Product Documentation

デバイスの登録

Apr 27, 2017

ユーザーデバイスをリモートで安全に管理するために、ユーザーデバイスをXenMobileに登録します。XenMobileクライアントソフトウェアがユーザーデバイスにインストールされ、ユーザーのIDが認証されます。次に、XenMobileとユーザーのプロファイルがインストールされます。続いてXenMobileコンソールで、デバイス管理タスクを実行できます。ポリシーの適用、アプリケーションの展開、データのデバイスへのプッシュ、紛失または盗難されたデバイスのロック、ワイプ、および捜索が可能です。

: iOSデバイスユーザーを登録する前に、APNS証明書を要求する必要があります。詳しくは、「証明書」を参照してください。

ユーザーとデバイスの構成オプションを更新するには、[Manage]>[Enrollment]ページを使用します。詳しくは、この記事の「登録招待状の送信」を参照してください。

Androidデバイス

  1. AndroidデバイスでGoogle Playストアにアクセスして、Citrix Secure Hubアプリをダウンロードしてタップします。
  2. インストールを求めるメッセージが表示されたら、[次へ]をクリックし、[インストール]をクリックします。
  3. インストールが完了したら、[開く]をタップします。
  4. 会社の資格情報(組織のXenMobileサーバー名、ユーザープリンシパル名(User Principal Name:UPN)、メールアドレスなど)を入力し、[次へ]をクリックします。
  5. [デバイス管理者を有効にしますか]画面で、[有効にする]をタップします。
  6. 会社のパスワードを入力し、[サインオン]をタップします。
  7. XenMobileの構成方法によっては、Citrix PINの作成を求められる場合があります。Citrix PINは、Secure HubやそのほかのXenMobile準拠アプリ(Secure Mail、Secure Web、ShareFileなど)へのサインオンに使用できます。Citrix PINは2回入力する必要があります。[Citrix PINの作成]画面で、PINを入力します。
  8. PINを再入力します。Secure Hubが開きます。その後、XenMobile Storeにアクセスし、Androidデバイスにインストールできるアプリを確認することができます。
  9. 登録の後でアプリをユーザーデバイスに自動的にプッシュするようにXenMobileを構成している場合は、アプリのインストールを求めるメッセージがユーザーに表示されます。さらに、XenMobileで構成したポリシーはデバイスに展開されます。[インストール]をタップしてアプリをインストールします。

Androidデバイスを登録解除および再登録するには

Secure Hub内から登録解除できます。次の 手続きを使って登録解除する場合、デバイスはXenMobileコンソールのデバイスインベントリに表示され続けます。ただし、そのデバイスを操作することはできません。そのデバイスを追跡したり、デバイスのコンプライアンスを監視したりすることはできません。

1. Secure Hubアプリケーションをタップして開きます。

2. スマートフォンかタブレットかに応じて、以下の操作を行います。

スマートフォンの場合:

a. 画面左側からスワイプして設定ペインを開きます。

b. [設定][アカウント][アカウントの削除]の順にタップします。

タブレットの場合:

a. 右上のメールアドレスの横の矢印をタップします。

b. [設定][アカウント][アカウントの削除]の順にタップします。

3.[再登録]をタップします。デバイスの再登録を確認するメッセージが表示されます。

4.[OK]をタップします。

デバイスが登録解除されます。

5. 画面の指示に従って、デバイスを再登録します。

iOSデバイス

1. Secure HubアプリをデバイスのApple社のiTunes App Storeからダウンロードした後、アプリをデバイスにインストールします。

2. iOSデバイスのホーム画面で、Secure Hubアプリをタップします。

3. Secure Hubの起動後、ヘルプデスクが指定するサーバーアドレスを入力します。

(表示される画面は、XenMobileの構成方法に応じて、次の例と異なる可能性があります。)

localized image

4. 画面に指示に従って、ユーザー名とパスワード、またはPINを入力します。[Next]をクリックします。

localized image

5. 登録するよう求められたら[Yes, Enroll]をクリックし、続いて画面の指示に従って資格情報を入力します。

localized image
localized image

6.[Install]をタップして、Citrix Profileサービスをインストールします。

localized image

7.[Trust]をタップします。

localized image

8.[Open]をタップし、続いて資格情報を入力します。

localized image
localized image

Mac OS XおよびmacOSデバイス

MDM-onlyモードのXenMobileで、OS XまたはmacOSが実行されているMacを登録することができます。登録は、Macユーザーが各自のデバイスから無線経由で直接行います。

XenMobile管理者は次の手順に従って、Macデバイスを登録できます。

1. 任意で、XenMobileコンソールでMacのデバイスポリシーを設定します。デバイスポリシーについて詳しくは、「デバイスポリシー」を参照してください。Mac用に構成できるデバイスポリシーを確認するには、「プラットフォーム別のXenMobileデバイスポリシー」を参照してください。

2. 登録リンク(https://:8443/zdm/macos/otae)を送信します。

  • serverFQDNは、XenMobileが動作するサーバーの完全修飾ドメイン名(FQDN)です。
  • ポート8443は、デフォルトのセキュアポートです。別のポートを構成している場合は、8443ではなく、構成済みのポートを使用します。
  • zdmは、サーバーのインストール時に使用されるインスタンス名です。別のインスタンス名を構成している場合は、そのインスタンス名を使用します。

メール招待状でリンクを送信することもできます。詳しくは、「登録招待状の送信」を参照してください。

3. 必要に応じて、ユーザーが証明書をインストールします。管理者がiOSおよびMac OS用の公式に信頼されるSSL証明書および公式に信頼されるデジタル署名証明書を構成すると、ユーザーに証明書のインストールを求めるメッセージが表示されます。証明書について詳しくは、「証明書」を参照してください。

4. Macデバイスを登録するには、Safariで登録リンクにアクセスします。

注:このリンクにアクセスできない場合は、ブラウザーの履歴とキャッシュを削除するか、別のブラウザーを使用します。

5. デフォルトでは、証明書のインストールを求めるメッセージが表示されます。

a.[XenMobile root certificate]をクリックします。

localized image

b. [Continue]をクリックして、証明書をインストールします。

localized image

注:XenMobileサーバーのルートCA証明書をインストールすると、デバイスとXenMobileの信頼済みの通信チャネルが有効になります。

c.[Install]をクリックして、XenMobile Profileをインストールします。

localized image

d. 入力画面が表示されたら、デバイスのログオン資格情報を入力します。

localized image

e. この画面は、XenMobile証明書のインストールが成功した場合に[Profiles]の下に表示されます。この画面を閉じて、デバイスの登録に進みます。

localized image

6. macOS Over-the-Air Enrollmentポータルで、[Sign in]をクリックします。

localized image

7. XenMobile管理者が構成したユーザーの資格情報をUPNまたはsAMAccountName形式で入力し、[Sign-in]をクリックします。

localized image

:XenMobileはユーザー要求を検証し、Active Directoryを使用して資格情報を確認します。資格情報は、Active Directoryに対して検証されます。

8. ログオンに成功した場合は、XenMobile Profile Service画面が表示されます。[Install]をクリックして、XenMobile Profileをインストールします。XenMobile Profile Serviceをインストールすることによって、XenMobile管理者はリモートでMacデバイスを管理できます。

localized image

9. MDMプロファイルをインストールするには、[Continue]をクリックしてから、[Install]をクリックします。

localized image

10. 入力画面が表示されたら、デバイスのログオン資格情報を入力します。

localized image

11. MDM構成プロファイルがインストールされると、MDM構成画面が表示されます。

localized image

12. XenMobileコンソールの[Device]タブにMacデバイスが表示されます。これで、モバイルデバイスを管理するのと同じように、XenMobileでMacを管理できるようになります。

localized image

Windowsデバイス

XenMobileには、以下のWindowsオペレーティングシステムが動作するデバイスを登録できます。

  • Windows 8.1およびWindows 10
  • Windows Phone 8.1および10

WindowsおよびWindows Phoneのユーザーはデバイスから直接登録します。

ユーザー登録のため自動検出およびWindows検出サービスを構成して、WindowsおよびWindows Phoneデバイスの管理を有効にする必要があります。

注意

Windowsデバイスの登録には、SSLリスナー証明書が公開証明書である必要があります。自己署名SSL証明書をアップロード済みの場合、登録は失敗します。

自己検出を使用してWindowsデバイスを登録するには

ユーザーは、Windows RT 8.1、Windows 8.1 ProとWindows 8.1 Enterprise(32ビットと64ビット)の両方、およびWindows 10を実行しているデバイスを登録できます。Windowsデバイスの管理を有効にするには、自動検出およびWindows検出サービスを構成することをお勧めします。詳しくは、「ユーザー登録のためにXenMobileで自動検出を有効にするには」を参照してください。

1. デバイスで使用可能なWindows Updateをすべて確認し、インストールします。この手順は、Windows 8からWindows 8.1にアップグレードする場合に特に重要です。適用できるすべての更新について自動通知されるとは限らないからです。

2. チャームメニューで[設定]をタップします。

  • Windows8.1の場合、 [PC設定]>[ネットワーク]>[社内]の順にタップします。
  • Windows 10の場合は、[アカウント]>[職場または学校へのアクセス]>[職場または学校への接続]の順にタップします。
3. コーポレートメールアドレスを入力してから、[デバイス管理を有効にする](Windows 8.1)または[続行](Windows 10)をタップします。ローカルユーザーとして登録するには、ドメイン名は正しいものの、存在しないメールアドレスを入力します(例:foo@mydomain.com)。これによって、Windowsの埋め込みデバイス管理によって登録が実行される、既知のMicrosoftの制限を回避できます。[サービスに接続しています]ダイアログボックスで、ローカルユーザーに関連付けられたユーザー名とパスワードを入力します。デバイスがXenMobileサーバーを自動的に検出し、登録処理が開始されます。
4. パスワードを入力します。XenMobileのユーザーグループのメンバーであるアカウントに関連付けられたパスワードを使用します。
5. Windows 8.1の場合、[IT管理者によるアプリやサービスの管理を許可する]ダイアログボックスで、デバイスの管理に同意して、[オンにする]をタップします。Windows10の場合: [使用条件]ダイアログボックスで、デバイスの管理に同意して、[同意する]をタップします。

自己検出なしでWindowsデバイスを登録するには

自動検出なしでWindowsデバイスを登録することができます。しかし、自動検出を構成するようお勧めします。自動検出なしで登録すると、希望するURLに接続する前にポート80を呼び出すことになるため、実稼働環境でのベストプラクティスとはみなせません。このような処理は、テスト環境や概念実証展開でのみ使用するようにしてください。

1. デバイスで使用可能なWindows Updateをすべて確認し、インストールします。この手順は、Windows 8からWindows 8.1にアップグレードする場合に特に重要です。適用できるすべての更新について自動通知されるとは限らないからです。

2. チャームメニューで[設定]をタップします。

  • Windows8.1の場合、 [PC設定]>[ネットワーク]>[社内]の順にタップします。
  • Windows 10の場合は、[アカウント]>[職場または学校へのアクセス]>[職場または学校への接続]の順にタップします。

3. 会社のメールアドレスを入力します。

4. Windows 10では、自動検出が構成されていない場合、手順5で説明されているようにサーバーの詳細を入力できるオプションが表示されます。Windows 8.1では、[サーバーアドレスを自動検出する]がオンに設定されている場合、タップしてこのオプションをオフにします。

5.[サーバーアドレスを入力してください]フィールドに以下のアドレスを入力します。

  • Windows 8.1の場合、「https://serverfqdn:8443/serverInstance/Discovery.svc」という形式でサーバーアドレスを入力します。未認証のSSL接続に8443以外のポートが使用される場合、このアドレスの8443の箇所にそのポート番号を指定します。
  • Windows 10の場合、「https://beta.managedm.com:8443/zdm/wpe」というアドレスを入力します。未認証のSSL接続に8443以外のポートが使用される場合、このアドレスの8443の箇所にそのポート番号を指定します。
6. パスワードを入力します。

7. Windows 8.1の場合、[IT管理者によるアプリやサービスの管理を許可する]ダイアログボックスで、デバイスの管理に同意して、[オンにする]をタップします。Windows 10の場合、[使用条件]ダイアログボックスで、デバイスの管理に同意して、[同意する]をタップします。

Windows Phoneデバイスを登録するには

XenMobileでWindows Phoneデバイスを登録するには、ユーザーはActive Directoryまたは内部ネットワークのメールアドレスおよびパスワードを入力する必要があります。自動検出がセットアップされていない場合、ユーザーはXenMobileサーバーのサーバーWebアドレスも必要です。以下の手順に従って、デバイスを登録します。

:Windows Phoneの業務用ストアを介してアプリケーションを展開する場合は、ユーザーが登録する前に、(署名済みのSecure Hub、サポートする各プラットフォーム向けWindows Phoneアプリを使って)Enterprise Hubポリシーを構成します。

1. Window Phoneのメイン画面で[設定]アイコンをタップします。

  • Windows 10 Phoneの場合は、バージョンに応じて[Accounts]>[Access work or school]>[Connect to work or school]の順にタップするか、[Accounts]>[Work access]>[Enroll in to device management]の順にタップします。
  • Windows Phone 8.1の場合は、[PC設定]>[ネットワーク]>[社内]の順にタップし、次に[アカウントの追加]をタップします。

2. 次の画面でメールアドレスとパスワードを入力し、[サインイン]をタップします。

ドメインに自動検出が構成されている場合、以降のいくつかの手順で求められる情報は自動的に抽出されます。手順8に進みます。

ドメインに自動検出が構成されていない場合、次の手順に進みます。ローカルユーザーとして登録するには、ドメイン名は正しいものの、存在しないメールアドレスを入力します(例:foo@mydomain.com)。これによって既知のMicrosoftの制限を回避できます。[サービスに接続しています]ダイアログボックスで、ローカルユーザーに関連付けられたユーザー名とパスワードを入力します。

3. 次の画面でXenMobileサーバーのWebアドレスを、「https://://wpe」のように入力します。たとえば、https://mycompany.mdm.com:8443/zdm/wpeなどです。:実際の実装に合わせてポート番号を選択する必要がありますが、iOSの登録に使用したポートと同じポートを使用してください。

4. ユーザー名とドメインを介して認証が検証される場合、ユーザー名とドメインを入力し、次に[サインイン]をタップします。

5. 証明書に関する問題を通知する画面が表示された場合、そのエラーの原因は自己署名入り証明書の使用です。サーバーが信頼できる場合、[続行]をタップします。信頼できない場合は、[キャンセル]をタップします。

6. Windows Phone 8.1で、アカウントを追加すると[業務用アプリをインストール]というオプションが表示されます。管理者が業務用アプリストアを構成済みの場合、このオプションをオンにして、[完了]をタップします。このオプションをオフにした場合、業務用アプリストアを受信するには再登録が必要になります。

7. Windows Phone 8.1で、[アカウントが追加されました]画面で[完了]をタップします。

8. サーバーへの接続を強制的に実行するには、[最新の情報に更新]アイコンをタップします。デバイスを手動でサーバーに接続できない場合、XenMobileは再接続を試行します。XenMobileは3分ごとに5回連続でデバイスに接続し、その後は2時間ごとに接続します。この接続頻度は、[サーバーのプロパティ]にある[Windows WNSハートビートの間隔]で変更できます。登録の完了後、Secure Hubがバックグラウンドで登録を実行します。インストールが完了してもそれについては何も通知されません。[すべてのアプリ]画面からSecure Hubをタップします。

登録招待状の送信

XenMobileコンソールで、iOSデバイスまたはAndroidデバイスを使用しているユーザーに登録招待状を送信できます。iOS、Android、Windowsデバイスを使用しているユーザーにインストールリンクを送信することもできます。

1. XenMobileコンソールで、[Manage]>[Enrollment]の順にクリックします。[Enrollment]ページが開きます。

localized image

2.[Add]をクリックします。登録オプションが示されたメニューが表示されます。

localized image
  • 登録招待状をユーザーまたはグループに送信するには、[Add Invitation]を選択します。この設定の構成手順については、「招待状を送信するには」を参照してください。
  • SMTPまたはSMS経由で登録インストールリンクを受信者の一覧に送信するには、[Send Installation Link]を選択します。この設定の構成手順については、「インストールリンクを送信するには」を参照してください。

招待状を送信するには

1.[Add Invitation]をクリックします。[Enrollment Invitation]画面が開きます。

localized image

2. 次の設定を構成します。

  • Select a platform:一覧から、[iOS]または[Android]を選択します。
  • Device ownership:一覧から、[Corporate]または[Employee]を選択します。
  • Recipient:一覧から、[User]または[Group]を選択します。

選択した宛先に応じて、追加の構成設定が表示されます。[User]の設定については「登録招待状をユーザーに送信するには」を、[Group]の設定については「登録招待状をグループに送信するには」を参照してください。

登録招待状をユーザーに送信するには

localized image

1.[User]について、次の設定を構成します。

  • User name:ユーザー名を入力します。ユーザーは、XenMobileサーバーのローカルユーザー、またはActive Directoryのユーザーとして存在している必要があります。ローカルユーザーの場合、通知を送信できるようにユーザーの電子メールプロパティが設定されていることを確認します。Active Directoryユーザーの場合、LDAPが構成されていることを確認します。
  • Device info:一覧で、[Serial number][UDID]、または[IMEI]をクリックします。オプションを選択すると、デバイスに応じて値を入力できるフィールドが表示されます。
  • Phone number:任意で、ユーザーの電話番号を入力します。
  • Carrier:一覧から、ユーザーの電話番号を関連付ける電話会社を選択します。
  • Enrollment mode:一覧から、ユーザーに求める登録の方法を選択します。デフォルトは[User name + Password]です。選択できるオプションは以下のとおりです。
    • 高セキュリティ
    • 招待 URL
    • 招待 URL および PIN
    • 招待 URL およびパスワード
    • 2 要素
    • ユーザー名および PIN

注::PINを含む登録モードを選択すると、[Template for enrollment PIN]フィールドが表示されます。このフィールドで、[Enrollment PIN]を選択します。

  • Template for agent download:一覧から、登録招待に使用するテンプレートを選択します。この一覧では、プラットフォームの種類に基づいてオプションが決まります。たとえば、プラットフォームとして[iOS]を選択した場合、オプションとして[iOS Download Link]が表示されます。
  • Template for enrollment URL:一覧から、[Enrollment Invitation]を選択します。
  • Template for enrollment confirmation:一覧から、[Enrollment Confirmation]を選択します。
  • Expire after:このフィールドは登録の期限を示すものであり、登録モードを構成するときに設定します。登録モードの構成について詳しくは、「登録モードを構成するには」を参照してください。
  • Maximum Attempts:このフィールドは登録処理を行う上限回数を指定するものであり、Enrollment Modeを構成するときに設定します。登録モードの構成について詳しくは、「登録モードを構成するには」を参照してください。
  • Send invitation:招待状をすぐに送信する場合は[ON]を選択し、[Enrollment]ページの表に招待状を追加するだけの場合は[OFF]を選択します。

2.[Send invitation]を有効にした場合は[Save and Send]をクリックし、それ以外の場合は[Save]をクリックします。[Enrollment]ページの表に招待状が追加されます。

登録招待状をグループに送信するには

localized image

1. 次の設定を構成します。

  • Domain:一覧から、グループを選択するドメインを選択します。
  • Group:一覧から、招待状の宛先グループを選択します。
  • Enrollment mode:一覧から、グループ内のユーザーに求める登録の方法を選択します。デフォルトは[User name + Password]です。選択できるオプションは以下のとおりです。
    • 高セキュリティ
    • 招待 URL
    • 招待 URL および PIN
    • 招待 URL およびパスワード
    • 2 要素
    • ユーザー名および PIN

注::PINを含む登録モードを選択すると、[Template for enrollment PIN]フィールドが表示されます。このフィールドで、[Enrollment PIN]を選択します。

  • Template for agent download:一覧から、登録招待に使用するテンプレートを選択します。この一覧では、プラットフォームの種類に基づいてオプションが決まります。たとえば、プラットフォームとして[iOS]を選択した場合、オプションとして[iOS Download Link]が表示されます。
  • Template for enrollment URL:一覧から、[Enrollment Invitation]を選択します。
  • Template for enrollment confirmation:一覧から、[Enrollment Confirmation]を選択します。
  • Expire after:このフィールドは登録の期限を示すものであり、登録モードを構成するときに設定します。登録モードの構成について詳しくは、「登録モードを構成するには」を参照してください。
  • Maximum Attempts: このフィールドは登録処理を行う上限回数を示すものであり、登録モードを構成するときに設定します。登録モードの構成について詳しくは、「登録モードを構成するには」を参照してください。
  • Send invitation:招待状をすぐに送信する場合は[ON]を選択し、[Enrollment]ページの表に招待状を追加するだけの場合は[OFF]を選択します。

2.[Send invitation]を有効にした場合は[Save and Send]をクリックし、それ以外の場合は[Save]をクリックします。[Enrollment]ページの表に招待状が追加されます。

インストールリンクを送信するには

localized image

登録インストールリンクを送信する前に、[Settings]ページでチャネル(SMTPまたはSMS)を構成する必要があります。詳しくは、次を参照してください。通知」。

1. 次の設定を構成します。

  • Recipient:追加する宛先ごとに、[Add]をクリックして以下の操作を行います。
    • Email:送信先のメールアドレスを入力します。このフィールドは必須です。
    • Phone number:送信先の電話番号を入力します。このフィールドは必須です。
    • [保存]をクリックします。

注:既存の送信先を削除するには、項目が含まれる行の上にマウスポインターを置き、右側のごみ箱アイコンをクリックします。確認ダイアログボックスが開きます。項目を削除するには[Delete]をクリックし、項目をそのままにするには[Cancel]をクリックします。

既存の送信先を編集するには、項目が含まれる行の上にマウスポインターを置き、右側のペンアイコンをクリックします。項目を変更し、[Save]をクリックして変更した項目を保存するか、[Cancel]をクリックして項目を変更せずそのままにします。

  • Channels:登録インストールリンクの送信に使用するチャネルを選択します。通知はSMTPまたはSMSで送信することができます。[Notifications][Settings]ページでサーバー設定を構成するまでは、これらのチャネルをアクティブ化できません。詳しくは、次を参照してください。通知」。
    • SMTP:次の設定を任意で構成します。これらのフィールドに何も入力しない場合は、選択したプラットフォームで構成済みの通知テンプレートに指定されているデフォルト値が使用されます。
      • Sender:任意で送信者を入力します。
      • Subject:任意でメッセージの件名を入力します。たとえば、「Enroll your device」などです。
      • Message:任意で、送信先に送信されるメッセージを入力します。たとえば、「Enroll your device to gain access to organizational apps and email.」などです。
    • SMS:以下の設定を構成します。このフィールドに何も入力しない場合は、選択したプラットフォームで構成済みの通知テンプレートに指定されているデフォルト値が使用されます。
      • Message:送信先に送信されるメッセージを入力します。SMSベースの通知の場合、このフィールドは必須です。

:北米の場合、160文字を超えるSMSメッセージは複数のメッセージとして配信されます。

2.[Send]をクリックします。

注意

環境がSAMAccountNameを使用している場合、ユーザーが招待状を受け取ってリンクをクリックした後、認証を完了するには、ユーザー名を編集する必要があります。たとえば、SAMAccountName@domainname.comからドメイン名を削除する必要があります。