管理者のタスクと注意事項

ここでは、業務用モバイルアプリの管理者に関連するタスクと注意事項について説明します。

機能フラグ管理

実稼働で業務用モバイルアプリに問題が発生した場合、影響を受ける機能をアプリのコード内で無効にできます。iOSおよびAndroid用のSecure Hub、Secure Mail、Secure Webで機能を無効にできます。無効化するには、機能フラグと、Launch Darklyと呼ばれるサードパーティ製サービスを使用します。ファイアウォールまたはプロキシが送信トラフィックをブロックしている場合を除いて、Launch Darklyへのトラフィックを有効にするために構成する必要はありません。送信トラフィックがブロックされている場合、ポリシー要件に応じて、特定のURLまたはIPアドレス経由のLaunch Darklyへのトラフィックを有効にします。MDXがドメインをトンネリングから除外する機能について詳しくは、MDX Toolkitのドキュメントを参照してください。

Launch Darklyへのトラフィックと通信は、次の方法で有効化できます:

次のURLへのトラフィックを有効にする

  • events.launchdarkly.com
  • stream.launchdarkly.com
  • clientstream.launchdarkly.com
  • firehose.launchdarkly.com

ドメインごとのホワイトリストを作成する

以前は、内部ポリシーがIPアドレスの一覧のみを必要とする場合に使用できるIPアドレス一覧を提供していました。インフラストラクチャの機能向上に伴い、2018年7月16日以降、パブリックIPアドレスの使用を段階的に停止しています。そのため、可能な場合はドメインごとのホワイトリストを作成することをお勧めします。

IPアドレスのホワイトリストを作成する

IPアドレスのホワイトリストを作成する必要がある場合、現在のすべてのIPアドレス範囲については、Launch DarklyのパブリックIP一覧を参照してください。この一覧を使用すると、インフラストラクチャの更新に合わせてファイアウォールの構成が自動的に更新されます。詳しくは、Launch Darklyのルートリソースを参照してください。インフラストラクチャの変更の最新状態については、LaunchDarklyステータスページを参照してください。

注:

パブリックアプリストアのアプリを初めて展開する場合は、新しくインストールする必要があります。現在のラッピングされたエンタープライズバージョンのアプリをパブリックストアバージョンにアップグレードすることはできません。

パブリックアプリストアでの配信では、シトリックスが開発したアプリをMDX Toolkitで署名およびラッピングしません。MDX Toolkitを使って、サードパーティ製アプリまたはエンタープライズアプリをラッピングできます。

Launch Darklyのシステム要件

  • Endpoint Management 10.7以降。
  • Citrix ADCの分割トンネリングが [オフ] に設定されている場合、アプリが以下のサービスと通信できることを確認してください:

サポートされるアプリストア

業務用モバイルアプリは、Apple App StoreやGoogle Playで入手できます。Windowsデバイスでのネイティブ業務アプリのセキュリティ保護および展開については、Windows Information Protectionのデバイスポリシーを参照してください。

中国では、Google Playを使用できないため、Secure Hub for Androidは以下のアプリストアで入手できます:

パブリックアプリストアでの配信の有効化

  1. Endpoint Managementのダウンロードページから、iOSとAndroidの両方のパブリックストア向け.mdxファイルをダウンロードします。
  2. Endpoint Managementコンソールに.mdxファイルをアップロードします。パブリックストアバージョンの業務用モバイルアプリは今までどおりMDXアプリケーションとしてアップロードします。パブリックストアアプリとしてサーバーにアップロードしないでください。手順については、「アプリの追加」を参照してください。
  3. セキュリティポリシーに基づくデフォルト設定からポリシーを変更します(オプション)。
  4. 必須アプリとしてプッシュ配信します(オプション)。この手順は、お使いの環境でモバイルデバイス管理が有効になっている必要があります。
  5. App Store、Google Play、またはEndpoint Managementアプリストアからデバイスにアプリをインストールします。
    • Androidでは、アプリをインストールするときにPlay Storeに移動されます。iOSでは、MDMによる展開で、ユーザーはApp Storeに移動することなくアプリがインストールされます。
    • App StoreまたはPlayストアからアプリをインストールすると、次のアクションが発生します。対応する.mdxファイルがサーバーにアップロードされていれば、アプリは管理対象アプリケーションになります。管理対象アプリに移行すると、アプリはCitrix PINの入力を要求します。Citrix PINを入力すると、アカウント構成画面が表示されます。
  6. アプリにアクセスできるのは、デバイスをSecure Hubに登録し、対応する.mdxファイルがサーバーにある場合のみです。いずれかの条件が満たされていない場合、アプリをインストールすることはできますが、アプリの使用がブロックされます。

パブリックアプリストアにあるCitrix Ready Marketplaceのアプリを現在利用中であれば、展開プロセスについては既に精通しているはずです。業務用モバイルアプリでは、多くの独立系ソフトウェアベンダーが現在使用しているアプローチを採用しています。アプリ内にMDX SDKを埋め込み、アプリをパブリックストア対応にします。

注:

iOSおよびAndroid対応のCitrix Filesアプリのパブリックストアバージョンは、ユニバーサルアプリになりました。Citrix Filesアプリは、スマートフォンとタブレットで同じです。

Appleプッシュ通知サービス

WorxChatのプッシュ通知の構成について詳しくは、「プッシュ通知のためのSecure Mailの設定」を参照してください。

パブリックアプリストアのよくある質問

  • パブリックストアアプリの複数のコピーを複数のユーザーグループに展開できますか。たとえば、複数のポリシーを複数のユーザーグループに展開する場合があります。

    ユーザーグループごとに異なる.mdxファイルをアップロードする必要があります。ただし、この場合、1人のユーザーが複数のグループに属することはできません。ユーザーが複数のグループに属していた場合、そのユーザーには同じアプリの複数のコピーが割り当てられます。パブリックストアアプリの複数のコピーを同じデバイスに展開することはできません。アプリのIDを変更できないからです。

  • 必須アプリとしてパブリックストアアプリをプッシュ配信できますか。

    はい。アプリをデバイスにプッシュ配信するにはMDMが必要です。MAM-only展開をサポートしていません。

  • トラフィックポリシーまたはユーザーエージェントに基づくExchange Serverのルールの更新は必要ですか。

    ユーザーエージェントベースポリシーやルールに対するプラットフォームごとの文字列は以下のとおりです。

    注:

    Secure NotesおよびSecure Tasksは2018年12月31日に製品終了(EOL)となりました。詳しくは、「EOLと廃止予定のアプリ」を参照してください。

Android

アプリ サーバー ユーザーエージェント文字列
Citrix Secure Mail 交換 WorxMail
  Lotus Notes Traveler Apple - iPhone WorxMail
Citrix Secure Web   WorxMail
Citrix Secure Tasks 交換 WorxMail
Citrix Secure Notes 交換 WorxMail
  Citrix Files Secure Notes

iOS

アプリ サーバー ユーザーエージェント文字列
Citrix Secure Mail 交換 WorxMail
  Lotus Notes Traveler Apple - iPhone WorxMail
Citrix Secure Web   com.citrix.browser
Citrix Secure Tasks 交換 WorxTasks
Citrix Secure Notes 交換 WorxNotes
  Citrix Files Secure Notes
  • アプリのアップグレードはしなくてもいいですか。

    いいえ。更新プログラムがパブリックアプリストアにポストされると、自動更新を有効にしているユーザーはすべてこの更新プログラムを受信します。

  • アプリのアップグレードを強制することはできますか。

    はい、アップグレードはアップグレード猶予期間ポリシーによって強制できます。更新バージョンのアプリに対応する新しい.mdxファイルがEndpoint Managementにアップロードされると、このポリシーは設定されます。

  • 更新スケジュールを調整できない場合、更新を受信する前にアプリをテストする方法はありますか。

    Secure Hubの手順と同様に、EAR期間中にTestFlight for iOSでアプリのテストができます。Androidの場合、アプリはGoogle PlayベータプログラムによってEAR期間中に利用できます。この期間中はすべてのアプリの更新プログラムをテストできます。

  • 自動更新プログラムがユーザーデバイスに送信される前に新しい.mdxファイルに更新しないとどうなりますか。

    更新されたアプリは引き続き古い.mdxファイルで動作します。新しいポリシーに依存した新機能は使えません。

  • Secure Hubがインストールされていればアプリを管理対象に移行できますか、それともアプリの登録が必要ですか。

    パブリックストアアプリを管理対象アプリ(MDXで保護)としてアクティブ化して使用できるようにするには、Secure Hubへのユーザー登録が必要です。Secure Hubがインストールされていても登録していなければ、ユーザーはパブリックストアアプリを利用できません。

  • パブリックストアアプリにApple Enterpriseデベロッパーアカウントは必要ですか。

    いいえ。現在はCitrixが証明書を管理し、業務用モバイルアプリ用のプロファイルをプロビジョニングしているため、アプリをユーザーに展開するためにApple Enterpriseデベロッパーアカウントは不要です。

  • エンタープライズ配信の終了はこれまで展開したラップされたアプリケーションにも適用されますか。

    いいえ、次の業務用モバイルアプリにのみ適用されます:Secure Mail、Secure Web、Citrix Files for Endpoint Management、QuickEdit、ShareConnect。展開したラップ済みエンタープライズアプリ(社内開発またはサードパーティ製)はエンタープライズラッピングを使い続けることができます。MDX Toolkitはアプリ開発者向けにエンタープライズラッピングのサポートを継続します。

  • Google Playからアプリをインストールすると、Androidエラー(エラーコード「505」)が発生します。

    注:

    Android 5.xのサポートは、2018年12月31日に終了しました。

    これは、Google PlayとAndroid 5.xバージョンで発生する既知の問題です。このエラーが発生した場合、以下の手順に従って、アプリのインストールを妨げているデバイス上の古いデータをすべて除去できます:

  1. デバイスを再起動します。

  2. デバイス設定でGoogle Playのキャッシュとデータをクリアします。

  3. 最終手段として、デバイスのGoogleアカウントを削除してからもう一度追加します。

詳しくは、「Fix Google Play Store Error 505 in Android: Unknown Error Code」というキーワードを使用してこのサイト を検索してください。

  • Google Playでアプリが実稼働環境向けにリリースされ、新しいベータリリースがない場合でも、Google Playのアプリタイトルに「Beta」が表示され続けるのはなぜですか。

    アーリーアクセスリリース(EAR)プログラムに参加している場合、必ずアプリタイトルの横に「Beta」と表示されます。これは単純に、特定のアプリへのユーザーのアクセスレベルを示しています。「Beta」がついている名前は、ユーザーが利用可能なアプリの最新バージョンを受け取っていることを示しています。最新バージョンとは、実稼働トラックまたはベータトラックに公開されている最も新しいバージョンとなります。

  • .mdxファイルがEndpoint Managementコンソールにある場合でもアプリをインストールして開くと、「承認されていないアプリ」というメッセージが表示されます。

    この問題は、App StoreまたはGoogle Playからアプリを直接インストールしてSecure Hubを更新していない場合に発生する可能性があります。Secure Hubは、Inactivity Timerが期限切れしたときに更新する必要があります。ポリシーは、ユーザーがSecure Hubを開いて再認証したときに更新されます。アプリは、ユーザーが次回アプリを開いたときに認証されます。

  • アプリを利用するためにアクセスコードは必要ですか。App StoreやPlay Storeからアプリをインストールするとき、アクセスコードの入力を促す画面が表示されます。

    アクセスコードの要求画面が表示される場合、Secure HubでEndpoint Managementに登録されていません。Secure Hubで登録してアプリ用の.mdxファイルが確実にサーバーに展開されていることを確認してください。また、アプリを使用できることも確認してください。アクセスコードは、Citrix内部使用のみに制限されています。アプリを有効化するにはEndpoint Managementの展開が必要です。

  • VPPまたはDEP経由でiOSパブリックストアアプリを展開できますか。

    Endpoint Managementは、MDX対応ではないパブリックストアアプリのVPPディストリビューション用に最適化されています。Endpoint ManagementパブリックストアアプリをVPPで配布することはできますが、Endpoint ManagementおよびSecure Hubストアに追加の拡張を行って制限に対応しない限り、展開は最適ではありません。VPP経由のEndpoint Managementパブリックストアアプリの展開に関する既知の問題と想定される解決策の一覧は、Citrix Knowledge Centerのトピックを参照してください。

業務用モバイルアプリに対するMDXポリシー

MDXポリシーでは、Endpoint Managementで適用される設定を構成できます。ポリシーは認証、デバイスセキュリティ、ネットワーク要件およびアクセス、暗号化、アプリ相互作用、アプリ制限などに対応します。多くのMDXポリシーがすべての業務用モバイルアプリに適用されます。一部のポリシーはアプリ固有のものです。

ポリシーファイルは、業務用モバイルアプリのパブリックストアバージョンのMDXファイルとして提供されます。アプリを追加する場合は、Endpoint Managementコンソールでポリシーを構成することもできます。

MDXポリシーについて詳しくは、このセクションの次の記事を参照してください:

次のセクションでは、ユーザー接続に関連するMDXポリシーについて説明します。

内部ネットワークへのユーザー接続

内部ネットワークをトンネルする接続は、完全VPNトンネルまたはさまざまなクライアントレスVPNを使用できます。これはセキュアブラウズと呼ばれています。優先VPNモードポリシーがこれを制御します。デフォルトでは、SSOが必要な接続にはセキュアブラウズが推奨されます。内部ネットワークのリソースにクライアント証明書またはエンドツーエンドのSSLを使用する接続に対しては、完全VPNトンネル設定を推奨します。この設定は、TCP上のあらゆるプロトコルを処理し、iOSやAndroidデバイスと同様にWindowsやMacコンピューターと共に使用できます。

Secure Web for iOSおよびSecure Web for Androidは、完全なVPNトンネル展開でのProxy Automatic Configuration(PAC)ファイルの使用をサポートします。この状況は、プロキシ認証にCitrix ADCを使用する場合に該当します。

VPNモードの切り替えを許可ポリシーにより、完全VPNトンネルとセキュアブラウズモードを必要に応じて切り替えることができます。デフォルトでは、このポリシーは無効になっています。このポリシーが有効な場合、優先VPNモードで処理できない認証要求のために失敗するネットワーク要求は、代替モードで再試行されます。たとえば、クライアント証明書に対するサーバーチャレンジは完全VPNトンネルモードでは処理できますが、セキュアブラウズモードでは処理できません。同様に、セキュアブラウズモードの使用時には、HTTP認証チャレンジでSSOが実行される可能性が高くなります。

ネットワークアクセス制限

ネットワークアクセスポリシーは、ネットワークアクセスを制限するかしないかを指定します。デフォルトでは、Secure Mailのアクセスは無制限で、ネットワークアクセスに制限はありません。アプリはデバイスが接続されるネットワークに無制限にアクセスします。デフォルトでは、Secure Webアクセスは内部ネットワークにトンネルされ、内部ネットワークに戻るアプリケーションごとのVPNトンネルは、すべてのネットワークアクセスに使用されて、Citrix ADC分割トンネル設定が使用されます。またブロックされるアクセスを指定して、デバイスがネットワークに接続していないようにアプリを操作できます。

AirPrint、iCloud、FacebookおよびTwitterのAPIといった機能を有効にする場合は、ネットワークアクセスポリシーをブロックしないでください。

また、ネットワークアクセスポリシーはバックグラウンドネットワークサービスポリシーと相互に作用します。詳しくは、「Exchange ServerまたはIBM Notes Traveler Serverの統合」を参照してください。

Endpoint Managementクライアントプロパティ

クライアントプロパティには、ユーザーのデバイスのSecure Hubに直接提供される情報が含まれています。クライアントのプロパティはEndpoint Managementコンソールの [設定]>[クライアント]>[クライアントプロパティ] にあります。

クライアントのプロパティは次のような設定を構成するために使用されます:

ユーザーパスワードのキャッシュ

ユーザーパスワードキャッシュにより、ユーザーのActive Directoryパスワードをモバイルでバス上にローカルでキャッシュできます。ユーザーパスワードのキャッシュを有効にすると、ユーザーはCitrix PINまたはパスコードを設定するよう求められます。

Inactivity Timer

ユーザーがデバイスを非アクティブにした後で、Citrix PIN またはパスコードの入力を求められずにアプリにアクセスできる時間(分単位)を定義します。MDXアプリでこの設定を有効にするには、[アプリのパスコードポリシー]を [オン] にする必要があります。[アプリのパスコードポリシー]が [オフ] である場合、ユーザーは完全認証を実行するようSecure Hubへリダイレクトされます。この設定を変更すると、ユーザーが次回認証を求められたときに値が有効になります。

Citrix PIN認証

Citrix PINは、ユーザー認証工程を簡素化します。PINは、クライアント証明書をセキュリティで保護するため、またはActive Directory資格情報をデバイス上にローカルに保存するために使用されます。PIN設定を構成すると、ユーザーのサインオン工程は次のようになります。

  1. ユーザーが初めてSecure Hubを起動したときにPINの入力が求められ、Active Directory資格情報がキャッシュされます。

  2. それ以降は、Secure Mailなどの業務用モバイルアプリを起動する場合にPINを入力してサインインします。

クライアントのプロパティを使ってPIN認証を有効にし、PINの種類を指定し、またPINの強さや長さも指定して、要件を変更します。

指紋認証またはTouch ID認証

iOSデバイスの指紋認証(Touch ID認証)は、Citrix PINの代わりに使用できます。この機能は、Inactivity timerがタイムアウトした場合など、Secure Hub以外のラップされたアプリでオフライン認証が必要なときに便利です。この機能は、次の認証シナリオで有効化できます。

  • Citrix PIN+クライアント証明書構成
  • Citrix PIN+キャッシュされたADパスワード構成
  • Citrix PIN+クライアント証明書構成およびキャッシュされたADパスワード構成
  • Citrix PINがオフ

指紋認証が失敗した場合、またはユーザーが指紋認証プロンプトをキャンセルした場合は、ラップされたアプリはCitrix PINまたはADパスワード認証にフォールバックします。

指紋認証の要件

  • 指紋認証をサポートし、1つ以上の指紋が構成されているiOSデバイス(バージョン8.1以上)

  • ユーザーエントロピーがオフである

指紋認証を設定するには

重要:

ユーザーエントロピーがオンの場合、Enable Touch ID Authenticationプロパティは無視されます。ユーザーエントロピーは、Encrypt secrets using Passcodeキーによって有効化されます。

  1. Endpoint Managementコンソールで、[設定]>[クライアント]>[クライアントプロパティ] の順に選択します。

  2. [追加] をクリックします。

    [新しいクライアントプロパティの追加]画面のイメージ

  3. ENABLE_TOUCH_ID_AUTHキーを追加し、その [値][True]、ポリシー名を [指紋認証機能を有効にする] に設定します。

指紋認証を設定した後、デバイスを再登録する必要はありません。

パスコードキーおよびクライアントプロパティを使用したシークレットの暗号化全般についてについて詳しくは、「クライアントプロパティ」を参照してください。