Product Documentation

共有デバイス

Apr 27, 2017

XenMobileでは、複数のユーザーが共有できるデバイスを構成できます。共有デバイス機能を使用すると、たとえば、病院の臨床医は、特定のデバイスを持ち歩くのではなく、近くにある任意のデバイスを使用して、アプリケーションやデータにアクセスできます。場合によっては、法執行機関、リテール、製造などの現場で交代勤務労働者にデバイスを共有させ、機器費用の削減を図る必要があります。 

共有デバイスに関する注意点

MDMモード

  • iOSおよびAndroid搭載のタブレットおよびスマートフォンで使用できます。XenMobile Enterpriseの共有デバイスでは、基本的なデバイス登録プログラム(DEP)による登録はサポートされません。共有デバイスをこのモードで登録するするには、認証済みのDEPを使用する必要があります。
  • クライアント証明書認証、Citrix PIN、Touch ID、ユーザーエントロピー、2要素認証はサポートされません。

MDM+MAMモード

  • iOSおよびAndroidタブレットでのみ使用できます。
  • XenMobile 10.3以降でサポートされています。
  • Active Directoryのユーザー名およびパスワード認証のみがサポートされます。
  • クライアント証明書認証、Worx PIN、Touch ID、ユーザーエントロピー、2要素認証はサポートされません。
  • MAMのみのモードはサポートされません。デバイスはMDMに登録する必要があります。
  • Secure Mail、Secure Web、およびShareFileモバイルアプリのみがサポートされます。HDXアプリはサポートされません。
  • Active Directoryユーザーのみがサポートされます。ローカルユーザーおよびグループはサポートされません。
  • 既存のMDM-onlyモードの共有デバイスをMDM+MAMモードに更新するには、再登録が必要です。
  • ユーザーは、XenMobileアプリケーションおよびMDXラップしたアプリケーションのみを共有できます。デバイスのネイティブのアプリケーションは共有できません。
  • 最初の登録時にダウンロードすれば、新しいユーザーがデバイスにログオンするたびにXenMobileアプリケーションがダウンロードされることはありません。新しいユーザーは、デバイスを起動して、サインインし、使用を始めることができます。
  • セキュリティのために、Android上で各ユーザーのデータを隔離する場合は、XenMobileコンソールで[Disallow rooted devices]ポリシーを[オン]にする必要があります。

共有デバイスの登録の前提条件

共有デバイスを登録する前に、以下の操作を行う必要があります。

MDM+MAMモードの前提条件

  1. Shared Device Enrollersなどの名前のActive Directoryグループを作成します。
  2. 共有デバイスを登録するActive Directoryユーザーをこのグループに追加します。このために新しいアカウントが必要な場合は、新しいActive Directoryユーザー(sdenrollなど)を作成して、このユーザーをActive Directoryグループに追加します。

共有デバイスの要件

サイレントインストールやアプリケーションの削除など、最善のユーザーエクスペリエンスが提供されるよう、共有デバイスの構成は以下のプラットフォームで行うことをお勧めします。

  • iOS 9および10
  • Android M
  • Android 5.x
  • Android 4.4.x
  • Android 4.0.x(MDM-onlyモード)

共有デバイスを構成するには

以下の手順に従って、共有デバイスを構成します。

  1. XenMobileコンソールで、右上の歯車アイコンをクリックします。[Settings]ページが開きます。
  2. [Role-Based Access Control][Add]の順にクリックします。[Add Role]画面が表示されます。
  3. [uthorized Access]で[Shared Device Enrollment User]権限を持つShared Device Enrollment Userという名前の共有デバイス登録ユーザーの役割を作成します。[Console features][Devices]を展開し、[Selective Wipe device]をオンにします。この設定によって、共有デバイス登録機能アカウントにプロビジョニングされたアプリとポリシーは、デバイスの登録が解除されるとSecure Hubから削除されます。

    [Apply Permissions]で、デフォルト設定の[To all user groups]を保持するか、特定のActive Directoryユーザーグループに[To specific user groups]で権限を割り当てます。
localized image

[Next]をクリックして[Assignment]画面に進みます。作成したばかりの共有デバイス登録の役割を、前提条件の手順1で共有デバイス登録ユーザーのために作成したActive Directoryグループに割り当てます。下の図でcitrix.labはActive Directoryドメイン、Shared Device EnrollersはActive Directoryグループです。

localized image

4. ユーザーがサインオンしていないときにデバイスに適用するベースポリシー、アプリケーション、アクションを含むデリバリーグループを作成し、共有デバイス登録ユーザーActive Directoryグループにそのデリバリーグループを関連付けます。

localized image

5. 共有するデバイスで、Secure Hubをインストールし、共有デバイス登録ユーザーアカウントを使用してXenMobileにデバイスを登録します。XenMobileコンソールでデバイスを表示および管理できるようになります。詳しくは、「デバイスの登録」を参照してください。

6. 認証されたユーザーに異なるポリシーを適用したり、追加のアプリケーションを提供するには、そのユーザーに関連付け、共有デバイスにのみ展開するデリバリーグループを作成する必要があります。グループを作成するときは、展開規則を構成して、パッケージが共有デバイスに展開されるようにします。詳しくは「展開規則の構成」を参照してください。 

7. デバイスの共有を停止するには、選択的ワイプを実行して、共有デバイス登録ユーザーアカウントおよび展開されたアプリケーションとポリシーをデバイスから削除します。

共有デバイスのユーザーエクスペリエンス

MDMモード

ユーザーにはそのユーザーが使用できるリソースだけが表示され、すべての共有デバイスに同じエクスペリエンスが提供されます。共有デバイス登録ポリシーとアプリは常にデバイスに残ります。共有デバイス登録ユーザー以外のユーザーがSecure Hubにサインオンすると、そのユーザーのポリシーとアプリケーションがデバイスに展開されます。ユーザーがサインオフすると、共有デバイス登録に必要とされているものを除いて、ポリシーおよびアプリケーションは削除されます。

MDM+MAMモード

共有デバイス登録ユーザーによって登録されると、Secure MailとSecure Webがデバイスに展開されます。ユーザーデータはデバイスに安全に保持されます。ユーザーがSecure MailまたはSecure Webにサインオンした場合、データはほかのユーザーには表示されません。

Secure Hubにサインオンできるユーザーは、一度に1人だけです。前のユーザーがサインオフしてからでないと、次のユーザーはサインオンできません。セキュリティ上の理由から、共有デバイスにはユーザーの資格情報が保存されないので、ユーザーはサインオンのたびに資格情報を入力する必要があります。前のユーザーのためのリソースに新しいユーザーがアクセスできないように、前のユーザーに関連付けられているポリシー、アプリケーション、データが削除されている間、新しいユーザーはサインオンできません。

共有デバイス登録によって、アプリケーションのアップグレード プロセスが変更されることはありません。通常通り、共有デバイスユーザーにアップグレードをプッシュし、共有デバイスユーザーはデバイス上でアプリケーションをアップグレードできます。

推奨されるSecure Mailポリシー

  • Secure Mailのパフォーマンスを最適化するためには、デバイスを共有するユーザーの数に応じて[Max sync period]を設定します。無制限同期を許可することは推奨されません。

デバイスを共有するユーザーの数

推奨される[Max sync period]

21~25

1週間以内

6~20

2週間以内

5以下

1か月以内

 

  • [Enable contact export]を禁止して、ユーザーの連絡先がデバイスを共有する他のユーザーにさらされないようにします。

  • iOSでは、次の設定のみをユーザーごとに設定できます。その他のすべての設定はデバイスを共有しているユーザー間で共通です。

    Notifications
    Signature
    Out of Office
    Sync Mail Period
    S/MIME
    Check Spelling