Product Documentation

デバイスポリシー

Oct 25, 2016

ポリシーを作成して、XenMobileとデバイスの連携方法を構成できます。 多くのポリシーはすべてのデバイスに共通ですが、各デバイスのオペレーティングシステムに固有のポリシーもあります。 そのため、iOS、Android、Windowsデバイスの間で異なるほか、Androidを実行するデバイスの製造元によっても違いがある場合があります。 プラットフォーム別のポリシーについては、「プラットフォーム別のXenMobileデバイスポリシー」を参照してください。

新しいポリシーを作成する前に、以下の手順を完了してください。

  • 使用する予定のデリバリーグループを作成します。
  • 必要なCA証明書をインストールします。

デバイスポリシーの基本的な作成手順は次のとおりです。

  1. ポリシーの名前と説明を指定します。
  2. 1つまたは複数のプラットフォームを構成します。
  3. 展開規則を作成します(任意)。
  4. ポリシーをデリバリーグループに割り当てます。
  5. 展開スケジュールを構成します(任意)。

XenMobileで次のデバイスポリシーを構成できます。  

デバイスポリシー名

デバイスポリシーの説明

AirPlayミラー化

XenMobileでデバイスポリシーを追加して、特定のAirPlayデバイス(Apple TVやほかのMacコンピューターなど)をユーザーのiOSデバイスに追加することができます。 また、デバイスを監視対象デバイスのホワイトリストに追加して、ユーザーをホワイトリストにあるAirPlayデバイスのみに限定するオプションもあります。

AirPrint

AirPrintデバイスポリシーで、AirPrintプリンターをユーザーのiOSデバイスのAirPrintプリンター一覧に追加できます。 このポリシーにより、プリンターとデバイスが異なるサブネットに存在している環境のサポートが容易になります。

注:

  • このポリシーはiOS 7.0以降に適用されます。
  • 各プリンターのIPアドレスとリソースパスがあることを確認してください。

Android for Workアプリケーション制限

このポリシーによって、Android for Workアプリに関連する制限を変更できますが、そのためには、次の前提条件を満たす必要があります。

APN

このポリシーは、モバイルデバイスからインターネットへの接続にコンシューマーAPNを使用しない組織で使用します。 APNポリシーによって、特定の電話会社の汎用パケット無線サービス(General Packet Radio Service:GPRS)にデバイスを接続するときに使用される設定が決まります。 ほとんどの新しい電話機において、この設定は既に定義されています。

アプリケーションアクセス

XenMobileのアプリケーションアクセスデバイスポリシーでは、デバイスへのインストールが必須のアプリケーション、デバイスにインストール可能なアプリケーション、デバイスへのインストールが禁止されるアプリケーションの一覧を定義できます。 次に、そのアプリケーション一覧に準拠しているデバイスに対して行う自動化された操作を作成できます。

アプリケーション属性

このオプションは、[Settings]の[Server Properties]において、バックグラウンドで展開するキーのスケジュールを構成した場合に適用されます。 常時接続オプションは、iOSデバイスでは使用できません。  

アプリケーション構成

このポリシーでは、管理された構成をサポートするApp Storeアプリケーションをリモートで構成できます。XML構成ファイル(プロパティ一覧またはplistと呼ばれるファイル)をユーザーのiOSデバイスに展開して、アプリケーションのさまざまな設定および動作を構成できます。

アプリケーションインベントリ

アプリケーションインベントリポリシーにより、管理されているデバイスのアプリケーションのインベントリを収集できます。その後、インベントリは、それらのデバイスに展開されたアプリケーションアクセスポリシーと比較されます。 この方法で、アプリケーションのブラックリスト(アプリケーションアクセスポリシーで禁止)またはホワイトリスト(アプリケーションアクセスポリシーで必須)に表示されるアプリケーションを検出し、それに応じた操作を実行することができます。 

アプリケーションロック

XenMobileでは、ポリシーを作成して、デバイスでの実行を許可するアプリの一覧、またはデバイスでの実行を禁止するアプリの一覧を定義できます。

このポリシーは、iOSデバイスとAndroidデバイスの両方に対して構成できますが、ポリシーが実際にどのように機能するかは各プラットフォームで異なります。 たとえば、iOSデバイスで複数のアプリを禁止することはできません。

注:デバイスポリシーは大部分のAndroid LおよびMデバイスで機能しますが、アプリのロックは、必要なAPIがGoogleによって廃止されたため、Android N以降のデバイスでは機能しません。

また、iOSデバイスで選択できるiOSアプリは、ポリシーあたり1つのみです。 つまり、ユーザーはデバイスを使用して1つのアプリを実行することのみできます。 アプリのロックポリシーが適用された場合に管理者が個別に許可したオプションを除いて、ユーザーはそのデバイスで他のアクティビティを実行できません。

アプリケーションネットワーク使用状況

ネットワーク使用状況規則を設定して、iOSデバイスで管理対象のアプリケーションが携帯データネットワークなどのネットワークをどのように使用するのかを指定できます。 規則は管理対象のアプリケーションにのみ適用されます。 管理対象のアプリケーションとは、XenMobileを使用してユーザーのデバイスに展開されるアプリケーションです。 これには、ユーザーがXenMobileを使用して展開することなく直接デバイスにダウンロードしたアプリケーションや、デバイスのXenMobileへの登録時に既にデバイスにインストールされていたアプリケーションは含まれません。

アプリケーション制限

このポリシーによって、ユーザーによるSamsung KNOXデバイスへのインストールを禁止するアプリケーションのプラックリストを作成したり、ユーザーによるインストールを許可するアプリケーションのホワイトリストを作成したりできます。

アプリトンネル

アプリトンネルポリシーは、モバイルアプリケーションのサービスの継続性およびデータ転送の信頼性を向上させるように構成できます。 アプリトンネルは、モバイルデバイスアプリケーションのクライアントコンポーネントとアプリケーションサーバーコンポーネント間のプロキシパラメーターを定義します。 また、アプリトンネルを使用して、デバイスへのリモートサポートトンネル(管理のサポートに使用)も作成できます。

注:このポリシーで定義したトンネルを使用して送信されるアプリケーショントラフィックは、XenMobileを経由してから、アプリケーションを実行するサーバーにリダイレクトされます。

アプリケーションのアンインストール

アプリケーションアンインストールポリシーにより、さまざまな理由でユーザーのデバイスからアプリケーションを削除できます。 この理由には、特定のアプリケーションをサポートしなくなったことや、会社が既存アプリケーションから異なるベンダーが提供する類似アプリケーションへの置き換えを希望していることなどがあります。 このポリシーがユーザーのデバイスに展開されると、アプリケーションが削除されます。 Samsung KNOX以外のデバイスでは、ユーザーにアプリケーションのアンインストールを求めるメッセージが表示されます。Samsung KNOXデバイスでは、ユーザーにアプリケーションのアンインストールを求めるメッセージは表示されません。

アプリケーションのアンインストール制限

このポリシーによって、ユーザーがアンインストールできる、またはアンインストールできないアプリを指定できます。

Webブラウザー

ブラウザーデバイスポリシーを作成して、ユーザーのデバイスでブラウザーを使用できるかどうかを定義したり、ユーザーのデバイスで使用できるブラウザー機能を制限したりすることができます。 Samsungデバイスでは、ブラウザーを完全に無効にすることや、ポップアップ、JavaScript、Cookie、オートフィル、不正Webサイト警告の適用の有無を有効または無効にすることができます。 Android for Worksデバイスでは、特定のURLをブラックリストまたはホワイトリストに追加したり、特定のセキュアブラウザーのブックマークを追加したりすることができます。

カレンダー(CalDav)

XenMobileでデバイスポリシーを追加して、カレンダー(CalDAV)アカウントをユーザーのiOSデバイスまたはMax OS Xデバイスに追加し、CalDAVをサポートするサーバーとそのデバイスのスケジュールデータを同期することができます。

移動体通信

このポリシーを使用すると、モバイルネットワーク設定を構成できます。

接続マネージャー

XenMobileでは、インターネットおよびプライベートネットワークに自動的に接続するアプリケーションの接続設定を指定できます。 このポリシーはWindows Pocket PCでのみ使用できます。

接続スケジュール

このポリシーは、AndroidおよびWindows MobileデバイスがMDM管理、アプリのプッシュ、ポリシーの展開のためにXenMobileサーバーに接続する際に必要です。 このポリシーを送信せず、Google GCMを有効にしていない場合、デバイスはサーバーに接続することができません。 このため、デバイスの登録では、ベースパッケージでこのポリシーをプッシュする必要があります。

連絡先(CardDAV)

XenMobileでデバイスポリシーを追加して、iOS連絡先(CardDAV)アカウントをユーザーのiOSデバイスまたはMac OS Xデバイスに追加し、CardDAVをサポートするサーバーとそのデバイスの連絡先データを同期することができます。

Samsungコンテナーへのアプリケーションのコピー

デバイスに既にインストールされているアプリケーションが、サポートされているSamsungデバイス上のSEAMSコンテナーまたはKNOXコンテナーにコピーされるように指定できます。 SEAMSコンテナーにコピーされたアプリケーションは、ユーザーのホーム画面で使用できます。KNOXコンテナーにコピーされたアプリケーションは、ユーザーがKNOXコンテナーにサインインした場合のみ使用できます。

資格情報

XenMobileで資格情報デバイスポリシーを作成し、XenMobileのPKI構成(PKIエンティティ、キーストア、資格情報プロバイダー、サーバー証明書など)を使用した統合認証を有効にすることができます。 資格情報について詳しくは、「XenMobileでの証明書」を参照してください。

プラットフォームごとに必要な値が異なります。これらの値について詳しくは、「資格情報デバイスポリシー」の記事で説明しています。  

注:このポリシーを作成するには、各プラットフォームで使用する予定の資格情報と、証明書およびパスワードが必要です。

Samsungコンテナーへのアプリケーションのコピー

デバイスに既にインストールされているアプリケーションが、サポートされているSamsungデバイス上のSEAMSコンテナーまたはKNOXコンテナーにコピーされるように指定できます。 サポートされるデバイスの詳細については、SamsungのSamsung KNOX Supported Devicesを参照してください。 SEAMSコンテナーにコピーされたアプリケーションは、ユーザーのホーム画面で使用できます。KNOXコンテナーにコピーされたアプリケーションは、ユーザーがKNOXコンテナーにサインインした場合のみ使用できます。

資格情報

WiFiポリシーと連携して使用されることの多いこのポリシーによって、組織が認証証明書を必要とする内部のリソースに認証証明書を展開することができます。

カスタムXML

以下の機能をカスタマイズする場合、XenMobileでカスタムXMLポリシーを作成できます。

  • プロビジョニング。デバイスの構成や、機能の有効化/無効化などです。
  • デバイス構成。ユーザーによる、設定やデバイスパラメーターの変更の許可などです。
  • ソフトウェアのアップグレード。アプリケーションやシステムソフトウェアなど、デバイスにロードされる新しいソフトウェアやバグ修正の提供などです。
  • 障害管理。デバイスからのエラーおよび状態レポートの受信などです。

WindowsでOpen Mobile Alliance Device Management(OMA DM)APIを使用して、カスタムXML構成を作成します。 OMA DM APIを使用したカスタムXMLの作成については、このトピックでは扱いません。 OMA DM APIの使用について詳しくは、Microsoft Developer Networkサイトの「OMA Device Management」を参照してください。

ファイルおよびフォルダーの削除

XenMobileでポリシーを作成して、Windows Mobile/CEデバイスから特定のファイルまたはフォルダーを削除できます。

レジストリ キーと値の削除

XenMobileでポリシーを作成して、Windows Mobile/CEデバイスから特定のレジストリキーおよび値を削除することができます。

デバイス正常性構成証明

XenMobileでは、分析目的で特定のデータおよびランタイム情報をHealth Attestation Service(HAS)に送信させ、Windows 10デバイスに正常性状態を報告させるポリシーを作成することができます。 HASは、正常性構成証明書を作成してデバイスに返します。その後、この証明書はデバイスからXenMobileに送信されます。 XenMobileは正常性構成証明書を受信すると、その内容に基づいて、管理者が以前に設定した自動アクションを展開します。

HASによって検証されるデータは以下のとおりです。

  • AIKの有無
  • Bit Lockerの状態
  • ブートデバッグが有効化されているかどうか
  • ブートマネージャーのバージョン
  • コードの整合性チェックが有効化されているかどうか
  • コード整合性のバージョン
  • DEP ポリシー
  • ELAMドライバーが起動されているかどうか
  • 発行元
  • カーネルのデバッグが有効化されているかどうか
  • PCR
  • リセット回数
  • 再起動の回数
  • セーフモードが有効化されているかどうか
  • SBCPハッシュ
  • セキュアブートが有効化されているかどうか
  • テスト署名が有効化されているかどうか
  • VSMが有効であること。
  • WinPEが有効であること。

詳しくは、MicrosoftのHealthAttestation CSPページを参照してください。

名前

デバイス名ポリシーでは、デバイスを特定しやすくするために、iOSデバイスおよびMac OS Xデバイスに名前を設定できます。 デバイス名は、マクロ、テキスト、または両方の組み合わせを使用して定義することができます。 マクロについて詳しくは、「XenMobileのマクロ」を参照してください。

エンタープライズハブ

Windows PhoneのEnterprise Hubデバイスポリシーでは、Enterprise Hub Companyストアを通じてアプリケーションを配布できます。

このポリシーを作成するには以下が必要です。

  • SymantecからのAET(.aetx)署名証明書
  • Microsoftのアプリケーション署名ツール(XapSignTool.exe)を使用して署名されたCitrix Company Hubアプリケーション

注:XenMobileでは、Windows Phone Worx Homeの1つのモードについて、1つのEnterprise Hubポリシーがサポートされています。 たとえば、Windows Phone Worx Home for XenMobile Enterprise Editionをアップロードするために、複数のEnterprise HubポリシーをさまざまなバージョンのWork Home for XenMobile Enterprise Edition用に作成する必要はありません。 デバイスの登録中に最初のEnterprise Hubポリシーを展開するだけです。

Exchange

XenMobileでは、電子メールを送信する2つのオプションがあります。 コンテナー化されたWorxMailアプリを使用してActiveSyncメールを送信するか、MDM Exchangeポリシーを使用してデバイス上のネイティブの電子メールクライアントでActiveSyncメールを有効にできます。

Files

このポリシーで、ユーザーに対して特定の機能を実行するスクリプトファイル、またはAndroidデバイスユーザーがデバイスでアクセスできるドキュメントファイルを、XenMobileに追加できます。 ファイルを追加するときは、デバイス上のファイルを格納するフォルダーも指定できます。 たとえば、Androidユーザーが会社のドキュメントまたは.pdfファイルを受け取るようにする場合は、ファイルをデバイスに展開し、ユーザーにファイルがある場所を知らせます。

このポリシーで追加できるファイルの種類は次のとおりです。

  • テキストベースのファイル(.xml、.html、.pyなど)
  • ドキュメント、写真、スプレッドシート、プレゼンテーションなどのほかのファイル
  • Windows MobileおよびWindows CEのみ:MortScriptで作成されたスクリプトファイル

フォント

XenMobileでこのデバイスポリシーを追加して、追加フォントをユーザーのiOSデバイスおよびMac OS Xデバイスに追加することができます。 フォントはTrueType(.ttf)またはOpenType(.oft)である必要があります。 フォントコレクション(.ttcまたは.otc)はサポートされません。

注:iOSの場合、このポリシーはiOS 7.0以降にのみ適用されます。

iOSおよびMac OS Xプロファイルのインポート

iOSおよびOS Xデバイス用のデバイス構成MXLファイルをXenMobileにインポートできます。 XMLファイルには、Apple Configuratorを使用して作成するデバイスセキュリティポリシーおよび制限が含まれます。 Apple Configuratorの使用による構成ファイルの作成について詳しくは、AppleのConfiguratorヘルプページを参照してください。

キオスク

XenMobileでキオスクポリシーを作成して、特定のアプリケーションのみをSamsung SAFEデバイスで使用できるように指定することができます。 このポリシーは、特定の種類またはクラスのアプリケーションのみを実行するように設計されているコーポレートデバイスで役立ちます。 また、このポリシーを使用して、デバイスがキオスクモードのときのホーム画面およびロック画面の壁紙用のカスタムイメージを選択することができます。

注:

  • キオスクモード用に指定したすべてのアプリケーションが、ユーザーのデバイスに既にインストールされている必要があります。
  • 一部のオプションは、Samsungモバイルデバイス管理(MDM)API 4.0以降にのみ適用されます。

LDAP

XenMobileでiOSデバイスのLDAPポリシーを作成して、必要なアカウント情報など、使用するLDAPサーバーに関する情報を指定できます。 また、LDAPサーバーの照会に使用するLDAP検索ポリシーのセットが提供されます。

このポリシーを構成するには、LDAPホスト名が必要です。

Location

位置情報ポリシーは地図上で位置を検出できるデバイスのGPSがWorxHomeに対応している場合に使用できます。 このポリシーがデバイスでプッシュされると、管理者はXenMobileサーバーから位置を確認するコマンドを送信し、デバイスは位置情報を返信します。 ジオフェンシングおよび追跡ポリシーもサポートされます。

メール

XenMobileでメールデバイスポリシーを追加して、ユーザーのiOSデバイスまたはMac OS Xデバイスのメールアカウントを構成することができます。

管理対象ドメイン

このポリシーによって、メールおよびSafariブラウザーに適用する管理対象ドメインを定義できます。 管理対象ドメインを使用すると、Safariを使用してドメインからダウンロードしたドキュメントを開くことができるアプリケーションを制御して、会社のデータを保護することができます。 URLまたはサブドメインを使用して、ユーザーがドキュメント、添付ファイルなど、ブラウザーからダウンロードしたものを開く方法を制御します。 このポリシーは、iOS 8以降の監視対象デバイスでのみサポートされます。 iOSデバイスをSupervisedモードに設定する手順については、「Apple Configuratorを使用してiOSデバイスをSupervisedモードにするには」を参照してください。

ユーザーが管理対象メールドメインの一覧に含まれていないドメインの宛先にメールを送信すると、ユーザーのデバイス上で該当するメッセージにフラグが付き、メッセージの送信先が社内ドメイン外の人物であることが警告されます。

ユーザーがSafariを使用して、管理対象Webドメイン一覧に含まれているWebドメインから取得したアイテム(ドキュメントや添付ファイルなど、ダウンロードしたもの)を開こうとすると、適切な社内アプリケーションによってアイテムが開かれます。 アイテムが管理対象Webドメイン一覧にあるWebドメインから取得されたものでない場合、ユーザーは社内アプリケーションでアイテムを開くことができません。この場合、ユーザーは各自の非管理対象アプリケーションを使用する必要があります。

Microsoft Exchange ActiveSync

Exchange ActiveSyncデバイスポリシーを使用してユーザーのデバイスのメールクライアントを構成し、Exchangeでホストされている会社のメールにアクセスできるようにすることができます。 プラットフォームごとに必要な値が異なります。これらの値について詳しくは、Microsoft Exchange ActiveSyncのトピックで説明しています。

MDMオプション

XenMobileでデバイスポリシーを作成して、監視対象のiOS 7.0以降のモバイルバイスで[iPhone/iPadを探す]の[アクティベーションロック]を管理することができます。 iOSデバイスをSupervisedモードに設定する手順については、「Apple Configuratorを使用してiOSデバイスをSupervisedモードにするには」または「iOSバルク登録」を参照してください。  

アクティベーションロックは、紛失したり、盗まれたりしたデバイスが再アクティベーションされないようにすることを目的とした[iPhone/iPadを探す]の機能であり、ユーザーのApple IDおよびパスワードを必須にすることで、誰かが[iPhoneを探す]をオフにしたり、デバイスを消去したり、デバイスを再アクティベーションして使用したりするのを防ぎます。 XenMobileでは、MDMオプションデバイスポリシーでアクティベーションロックを有効にすることにより、必須とされているApple IDおよびパスワードの入力をバイパスできます。 ユーザーから返却されたデバイスで[iPhoneを探す]が有効になっていた場合、Appleの資格情報なしでXenMobileコンソールからデバイスを管理することができます。

組織情報

XenMobileでデバイスポリシーを追加して、XenMobileからiOSデバイスにプッシュされるアラートメッセージ用の組織情報を指定できます。 このオプションはiOS 7以降のデバイスで使用できます。

パスコード

パスコードポリシーによって、管理対象デバイスにPINコードまたはパスワードを適用できます。 このパスコードポリシーは、デバイス上でパスコードの複雑さやタイムアウトを設定します。

個人用ホットスポット

このポリシーによって、iOSデバイスの個人用ホットスポット機能を介して携帯データネットワーク接続を使用することにより、ユーザーがWiFiネットワーク圏外にいてもインターネットに接続できるようにすることができます。 iOS 7.0以降で利用できます。

プロファイル削除

XenMobileで、アプリケーションプロファイル削除デバイスポリシーを作成することができます。 ポリシーを展開すると、ユーザーのiOSデバイスまたはMac OS Xデバイスからアプリケーションプロファイルが削除されます。

プロビジョニングプロファイル

iOSエンタープライズアプリを開発しコード署名するときは、通常は、iOSデバイスで実行するアプリにAppleが求めるエンタープライズ配布プロビジョニングプロファイルを含めます。 プロビジョニングプロファイルが見つからない場合、または期限が切れている場合は、ユーザーが開くためにタップするとそのアプリはクラッシュします。

プロビジョニングプロファイルの主な問題は、Apple Developer Portalで生成されてから1年で期限が切れるので、ユーザーによって登録されたすべてのiOSデバイス上のすべてのプロビジョニングファイルの期限を追跡する必要があることです。 期限の追跡では、実際の期限だけでなく、どのユーザーがどのバージョンのアプリを使用しているかも追跡する必要があります。 解決策としては、ユーザーにプロビジョニングプロファイルを電子メールで送信する、プロビジョニングプロファイルをWebポータルに置いてダウンロードとインストールを可能にする、という2つの方法があります。 これらの解決策は有効ですが、ユーザーに電子メールの指示に従って処理をすることを求めたり、Webポータルにアクセスして適切なプロファイルをダウンロードしインストールすることを求めたりするので、エラーが発生する傾向があります。

このプロセスをユーザーが意識しないで済むように、XenMobileではデバイスポリシー付きのプロビジョニングプロファイルをインストールおよび削除できます。 紛失した、または期限が切れたプロファイルは必要に応じて削除され、最新のプロファイルがユーザーのデバイスにインストールされるので、タップして開くだけでアプリを使用できます。

プロビジョニングプロファイルの削除

デバイスプリシーを使用してiOSプロビジョニングプロファイルを削除できます。 プロビジョニングプロファイルについて詳しくは、「プロビショニングプロファイルの追加」を参照してください。

プロキシDHCP

XenMobileでデバイスポリシーを追加して、Windows Mobile/CEおよびiOS 6.0以降を実行しているデバイスのグローバルHTTPプロキシ設定を指定できます。 グローバルHTTPプロキシポリシーはデバイスごとに1つのみ展開できます。

注:このポリシーを展開する前に、グローバルHTTPプロキシを設定するすべてのiOSデバイスを必ずSupervisedモードに設定してください。 詳しくは、「Apple Configuratorを使用してiOSデバイスをSupervisedモードにするには」を参照してください。

レジストリ

Windows Mobile/CEのレジストリには、アプリケーション、ドライバー、ユーザー設定、および構成設定に関するデータが格納されています。 XenMobileでは、Windows Mobile/CEデバイスを管理するためのレジストリキーおよび値を定義できます。

リモートサポート

XenMobileでリモートサポートポリシーを作成して、ユーザーのSamsung KNOXデバイスへのリモートアクセスを行うことができます。 次の2種類のサポートを構成できます。

  • [Basic]は、システム情報、実行中のプロセス、タスクマネージャー(メモリ使用率とCPU使用率)、インストールされているソフトウェアフォルダーの内容など、デバイスに関する診断情報を表示できます。
  • [Premium]は、色の制御(メインウィンドウまたは独立した浮動ウィンドウ)、ヘルプデスクとユーザーの間のVoIP(Voice-over-IP)セッションの確立、設定の構成、ヘルプデスクとユーザーの間のチャットセッションの確立など、デバイスの画面をリモート制御できます。

制限事項

制限ポリシーによって、管理者は管理対象デバイスをロックダウンしたり、機能を制御するさまざまなオプションを使用できます。 文字通り数百の制限オプションがあり、デバイスのカメラやマイクを無効にしたり、ローミング規則の適用やアプリケーションストアのようなサードパーティサービスへのアクセスなどに対応します。

XenMobileでデバイスポリシーを追加して、ユーザーのデバイス、電話、タブレットなどの特定の機能を制限できます。 プラットフォームごとに必要な値が異なります。これらの値については、ここで説明しています。

このデバイスポリシーでは、デバイスの特定の機能(カメラなど)をユーザーが使用することを許可または制限します。 また、セキュリティ制限、メディアコンテンツの制限、ユーザーがインストールできる(できない)アプリケーションの種類の制限を設定できます。 ほとんどの制限設定は、デフォルトでは[ON](許可)に設定されています。 例外は、iOSセキュリティの強制機能とすべてのWindowsタブレット機能です。デフォルトで[OFF](制限)に設定されています。

ヒント:いずかのオプションで[ON]を選択すると、ユーザーがその操作を実行またはその機能を使用できるようになります。 次に例を示します。

  • Camera。 [ON]の場合、ユーザーはデバイスでカメラを使用できます。 [OFF]の場合、ユーザーはデバイスでカメラを使用できません。
  • [Screen shots]。 [ON]の場合、ユーザーはデバイスでスクリーンショットを取得できます。 [OFF]の場合、ユーザーはデバイスでスクリーンショットを取得できません。

移動

XenMobileでデバイスポリシーを追加して、ユーザーのiOSデバイスおよびWindows Mobile/CEデバイスの音声通話ローミングおよびデータローミングを許可するかどうかを構成できます。 音声通話ローミングを無効にした場合、データローミングは自動的に無効になります。 iOSの場合、このポリシーはiOS 5.0以降のデバイスでのみ使用できます。

Samsung SAFEファイアウォール

このポリシーにより、Samsungデバイスのファイアウォール設定を構成できます。 デバイスにアクセスを許可するIPアドレス、ポート、ホスト名、またはデバイスのアクセスをブロックするIPアドレス、ポート、ホスト名を入力します。 プロキシおよびプロキシ再ルーティングの設定を構成することもできます。

Samsung MDMライセンスキー

XenMobileはSamsung for Enterprise(SAFE)およびSamsung KNOXポリシーの両方をサポートし、拡張しています。 SAFEは、モバイルデバイス管理(MDM:Mobile Device Management)ソリューションとの統合を通じてビジネス向けのセキュリティおよび機能拡張を提供するソリューションファミリーです。 Samsung KNOXは、企業向けにより高いセキュリティで保護されたAndroidプラットフォームを提供する、SAFEプログラム内のソリューションです。

SAFEのポリシーおよび制限を展開する前に、組み込みのSamsung Enterprise License Management(ELM)キーをデバイスに展開することによってSAFE APIを有効にする必要があります。 また、Samsung KNOX APIを有効にするには、Samsung ELMキーの展開に加え、Samsung KNOX License Management System(KLMS)を使用してSamsung KNOXライセンスを購入する必要もあります。 Samsung KLMSはモバイルデバイス管理(MDM:Mobile Device Management)ソリューションに有効なライセンスをプロビジョニングし、モバイルデバイスでSamsung KNOX APIをアクティブ化できるようにします。 これらのライセンスはSamsungから取得する必要があり、Citrixからは提供されません。

Worx HomeをSamsung ELMキーと共に展開し、SAFEおよびSamsung KNOX APIを有効にする必要があります。 SAFE APIが有効になっていることは、デバイスプロパティをチェックすることで確認できます。 Samsung ELMキーが展開されると、[Samsung MDM API available]設定が[True]に設定されます。

SCEP

このポリシーでiOSデバイスとMax OS Xデバイスを構成し、SCEP(Simple Certificate Enrollment Protocol)を使用して外部SCEPサーバーから証明書を取得することができます。 XenMobileに接続されているPKIからSCEPを使用してデバイスに証明書を配布する場合は、PKIエンティティとPKIプロバイダーを分散モードで作成する必要があります。 詳しくは、「PKIエンティティ」を参照してください。

サイドローディングキー

XenMobileのサイドローディングにより、Windows Storeから購入していないアプリケーションをWindows 8.1デバイスに展開できます。 最もよくある場合として、会社用に開発し、Windowsストアで公開したくないアプリケーションをサイドロードします。 アプリケーションをサイドロードするには、サイドローディングキーとキーアクティブ化を構成して、アプリケーションをユーザーのデバイスに展開します。

このポリシーを作成する前に以下の情報が必要です。

証明書署名

 

XenMobileでデバイスポリシーを追加して、APPXファイルへの署名に使用される署名証明書を構成することができます。 署名証明書は、ユーザーにAPPXファイルを配布して、ユーザーがWindowsタブレットにアプリケーションをインストールできるようにする場合に必要です。

Single Sign On(SSO)アカウント

XenMobileでシングルサインオン(SSO)アカウントを作成して、ユーザーが1回サインオンするだけで、さまざまなアプリケーションからXenMobileおよび社内リソースにアクセスすることができるようにします。 デバイスに資格情報を保存する必要はありません。 SSOアカウントエンタープライズユーザーの資格情報は、App Storeからのアプリケーションを含む複数のアプリケーションで使用されます。 このポリシーは、Kerberos認証バックエンドで動作するように設計されています。

注:このポリシーはiOS 7.0以降にのみ適用されます。

ストレージ暗号化

XenMobileでストレージ暗号化デバイスポリシーを作成して、内部ストレージと外部ストレージを暗号化したり、デバイスによっては、ユーザーがデバイスでストレージカードを使用できないようにしたりします。

Samsung SAFE、Windows Phone、Android Sonyデバイスに対してポリシーを作成できます。 プラットフォームごとに必要な値が異なります。これらの値について詳しくは、ストレージ暗号化ポリシーのトピックで説明しています。

サブスクライブされたカレンダー

XenMobileでデバイスポリシーを追加して、サブスクライブされたカレンダーをユーザーのiOSデバイスのカレンダー一覧に追加することができます。 サブスクライブできる公開カレンダーの一覧は、www.apple.com/downloads/macosx/calendarsにあります。

注:ユーザーのデバイスのサブスクライブされたカレンダー一覧にカレンダーを追加するには、そのカレンダーをサブスクライブ済みである必要があります。

契約条件

社内ネットワークに接続するときに適用される、会社の特定のポリシーの承諾をユーザーに求める場合、XenMobileで契約条件デバイスポリシーを作成します。 ユーザーがXenMobileにデバイスを登録するときに、この契約条件が示され、ユーザーは自分のデバイスを登録するためにこれに同意する必要があります。 契約条件を拒否すると、登録処理が取り消されます。

社内に複数の国のユーザーがおり、それぞれの母国語で契約条件の承諾を求める場合は、異なる言語での契約条件のポリシーをそれぞれ作成できます。 展開する予定のプラットフォームと言語の組み合わせごとに、個別のファイルを提供する必要があります。 AndroidデバイスおよびiOSデバイスの場合は、PDFファイルを提供する必要があります。 Windowsデバイスの場合は、テキスト(TXT)ファイルと付属のイメージファイルを提供する必要があります。

VPN

従来のVPN Gatewayテクノロジーでバックエンドシステムにアクセスを提供する必要がある場合、このVPNポリシーを使用してVPNゲートウェイ接続の詳細をデバイスにプッシュできます。 このポリシーでは、さまざまなVPNプロバイダー(Citrix VPNに加えてCisco AnyConnect、Juniperなど)がサポートされています。 また、このポリシーをCAにリンクして、オンデマンドでVPNオンデマンドを有効にできます(VPNゲートウェイがこのオプションをサポートしている場合)。

XenMobileでデバイスポリシーを追加して、VPN(Virtual Private Network:仮想プライベートネットワーク)の設定を構成し、ユーザーのデバイスが社内リソースに安全に接続できるようにすることができます。 プラットフォームごとに必要な値が異なります。これらの値について詳しくは、VPNのトピックで説明しています。

壁紙

.pngファイルまたは.jpgファイル追加して、iOSデバイスのロック画面かホーム画面、または両方の画面の壁紙に設定することができます。 iOS 7.1.2以降で使用できます。 iPadおよびiPhoneで異なる壁紙を使用するには、別の壁紙ポリシーを作成して、それを適切なユーザーに展開する必要があります。

Webコンテンツフィルター

XenMobileでデバイスポリシーを追加し、ホワイトリストおよびブラックリストに追加した特定のサイトとAppleのオートフィルター機能を組み合わせて使用して、iOSデバイスでWebコンテンツをフィルタリングできます。 このポリシーはiOS 7.0以降のSupervisedモードのデバイスでのみ使用できます。 iOSデバイスをSupervisedモードにする方法について詳しくは、「Apple Configuratorを使用してiOSデバイスをSupervisedモードにするには」を参照してください。

[Webclip

このポリシーでは、ショートカットやWebクリップをWebサイトに配置してユーザーデバイスのアプリと一緒に表示できます。 iOS、Mac OS X、AndroidデバイスのWebクリップを表す独自のアイコンを指定できます。Windowsタブレットのみ、ラベルおよびURLが必要になります。

WiFi

WiFiポリシーによって、管理者はSSID、認証データ、構成データなどWiFiルーターの詳細を簡単に管理対象デバイスにプッシュできます。

WiFiポリシーでは、ネットワークの名前と種類、認証およびセキュリティポリシー、プロキシサーバーの使用の有無や、そのほかのWiFi関連事項を、特定のプラットフォームのすべてのユーザーに対して一貫的に定義し、ユーザーデバイスのWiFiネットワークへの接続方法を管理できます。

左側の一覧にある関連プラットフォームのWiFi設定を構成できますが、プラットフォームごとに必要な値が異なります。これらの値について詳しくは、このセクションのWiFiのトピックで説明しています。

Windows CE証明書

このデバイスポリシーを追加して、外部のPKIを基にWindows Mobile/CE PKI証明書を作成し、ユーザーのデバイスに配布できます。 証明書およびPKIエンティティについて詳しくは、「証明書」を参照してください。

Worx Store

XenMobileでポリシーを作成して、iOS、Android、またはWindowsタブレットデバイスのホーム画面でWorx StoreのWebクリップを表示するかどうかを指定できます。

XenMobileオプション

XenMobileオプションポリシーを追加して、AndroidデバイスおよびWindows Mobile/CEデバイスからXenMobileに接続するときのWorx Homeの動作を構成します。

XenMobileのアンインストール

XenMobileでこのデバイスポリシーを追加して、XenMobileをAndroidデバイスおよびWindows Mobile/CEデバイスからアンインストールすることができます。 このポリシーを展開すると、展開グループ内のすべてのデバイスからXenMobileが削除されます。

 

コンソールの[Device Policies]ページ

デバイスポリシーの操作は、XenMobileコンソールの[Device Policies]ページで行います。 [Device Policies]ページにアクセスするには、[Configure]の[Device Policies]をクリックします。 このページで新しいポリシーを追加したり、既存のポリシーの状態を確認したり、ポリシーを編集または削除したりすることができます。

[Device Policies]ページには、現在のポリシーをすべて示す表があります。

localized image

[Device Policies]ページでポリシーを編集または削除するには、ポリシーの横のチェックボックスをオンにしてポリシー一覧の上に表示されるオプションメニューを使用するか、一覧内でポリシーをクリックして項目の右側に表示されるオプションメニューを使用します。 [Show More]をクリックすると、ポリシーの詳細が表示されます。

localized image

デバイスポリシーを追加するには

1. [Device Policies]ページで、[Add]をクリックします。

[Add a New Policy]ダイアログボックスが開きます。 [More]を展開するとほかのポリシーを表示できます。

localized image

2. 追加するポリシーを検索するには、次のいずれかを実行します。

  • ポリシーをクリックします。

    選択したポリシーの[Policy Information]ページが開きます。

  • 検索フィールドにポリシーの名前を入力します。 入力すると一致候補が表示されます。 一覧の中に目的のポリシーがあれば、それをクリックします。 選択したポリシーのみがダイアログボックス内に残ります。 それをクリックして、そのポリシーの[Policy Information]ページを開きます。

    重要:選択したポリシーが[More]領域の中にある場合、[More]を展開した場合にのみ表示されます。

localized image

3. ポリシーに含めるプラットフォームを選択します。 選択したプラットフォームの構成ページが手順5.で表示されます。

注:ポリシーでサポートされるプラットフォームのみが一覧に表示されます。

localized image

4. [Policy Information]ページで必要な情報を入力して、[Next]をクリックします。 [Policy Information]ページにはポリシー名などの情報が集約されているため、ポリシーの識別や追跡に役立ちます。 このページはすべてのポリシーで類似しています。

5. プラットフォームページの入力を完了します。 手順3.で選択した各プラットフォームのページが開きます。 これらのページはポリシーごとに異なります。 各ポリシーはプラットフォームによって異なる場合があります。 すべてのポリシーがすべてのプラットフォームでサポートされるわけではありません。 [Next]をクリックすると、次のプラットフォームページに移動します。すべてのプラットフォームページの入力が完了した場合は、[Assignment]ページに移動します。

6. [Assignments]ページで、ポリシーを適用するデリバリーグループを選択します。 デリバリーグループをクリックすると、[Delivery groups to receive app assignment]ボックスにそのグループが表示されます。

注:[Delivery groups to receive app assignment]ボックスは、デリバリーグループを選択するまで表示されません。

localized image

7. [Save]をクリックします。

ポリシーが[Device Policies]の表に追加されます。

デバイスポリシーを編集または削除するには

1. [Device Policies]の表で、編集または削除するポリシーの横のチェックボックスをオンにします。

2. [Edit]または[Delete]をクリックします。

  • [Edit]をクリックした場合、いずれかまたはすべての設定を編集できます。
  • [Delete]をクリックした場合、確認ダイアログボックスで、もう一度[Delete]をクリックします。