管理モード
各XenMobileインスタンス(単一のサーバーまたはノードのクラスター)に対し、デバイス、アプリ、またはその両方を管理するかどうかを選択できます。XenMobileは、デバイス管理モードとアプリ管理モードで次の用語を使用します:
- モバイルデバイス管理(MDM)モード
- モバイルアプリケーション管理(MAM)モード
- MDM + MAM(エンタープライズ)モード
モバイルデバイス管理(MDM)モード
重要:
MDMモードに構成し、後でENTモードに変更する場合は、必ず同じ(Active Directory)認証を使用してください。XenMobileでは、ユーザー登録後の認証モードの変更をサポートしていません。詳しくは、「アップグレード」を参照してください。
MDMを使用すると、モバイルデバイスを設定、保護、およびサポートできます。MDMでは、システムレベルでデバイス上のデバイスとデータを保護できます。ポリシー、アクション、およびセキュリティ機能を設定できます。たとえば、デバイスが紛失や盗難にあったり、コンプライアンス違反となった場合に、デバイスを選択的にワイプできます。アプリ管理はMDMモードでは利用できませんが、このモードではパブリックアプリストアやエンタープライズアプリなどのモバイルアプリを配信できます。以下は、MDMモードの一般的なユースケースです。
- MDMは、完全なワイプ、選択的なワイプ、またはジオロケーションなどのデバイスレベルの管理ポリシーや制約が必要な企業所有デバイスが考慮されています。
- 顧客が実際のデバイスの管理を必要としながら、アプリのコンテナ化、アプリデータの共有の制御、マイクロVPNなどのMDXポリシーを必要としない場合。
- ユーザーはモバイルデバイス上のネイティブメールクライアントへのメールの配信のみが必要で、Exchange ActiveSyncやクライアントアクセスサーバーにはすでに外部からアクセス可能な場合。このユースケースでは、MDMを使用してメールの配信を設定できます。
- ネイティブエンタープライズアプリ(非MDX)、パブリックアプリストアアプリ、またはパブリックストアから配信されたMDXアプリを展開する場合。MDMソリューションだけでは、デバイス上のアプリ間の機密情報の漏洩を防止できない可能性があることを考慮してください。データ漏洩は、Office 365アプリでのコピー&ペースト操作や名前を付けて保存操作で発生する可能性があります。
モバイルアプリケーション管理(MAM)モード
MAMはアプリデータを保護し、アプリデータ共有を制御できるようにします。また、個人データとは別に企業のデータやリソースの管理も可能です。XenMobileをMAMモードに設定すると、MDX対応のモバイルアプリを使用して、アプリごとのコンテナ化と制御を提供できます。MAMモードは、MAM-onlyモードとも呼ばれます。この用語は、このモードを従来のMAMモードと区別するものです。
MDXポリシーを活用することにより、XenMobileはネットワークアクセス(マイクロVPNなど)、アプリとデバイスのやり取り、データの暗号化、およびアプリへのアクセスをアプリレベルで制御します。
デバイスは管理されませんが企業データの保護は維持されるため、多くの場合MAMは私的デバイス活用(BYO)に適しています。MDXには、MDM制御を必要としないMAMのみのポリシーが多数あります。
MAMモードでは、業務用モバイルアプリもサポートされます。このサポートには、Citrix Secure Mailへのメールの安全な配信、保護対象の業務用モバイルアプリ間でのデータ共有、およびCitrix Filesの安全なデータストレージが含まれます。詳しくは、「業務用モバイルアプリ」を参照してください。
多くの場合、MAMは次の例に適しています。
- アプリレベルで管理されているMDXアプリなどのモバイルアプリを配信する。
- システムレベルでデバイスを管理する必要がない。
MDM + MAM(エンタープライズ)モード
MDM + MAMはハイブリッドモードで、エンタープライズモードとも呼ばれ、XenMobile Enterprise Mobility Management(EMM)ソリューションで利用できるすべての機能セットを使用できます。XenMobileをMDM + MAMモードで構成すると、MDMとMAMの両方の機能が有効になります。
XenMobileでは、ユーザーがデバイス管理をオプトアウトできるか、またはデバイス管理が必要かどうかを指定できます。この柔軟性は、複数のユースケースが混在する環境で役立ちます。これらの環境では、MAMリソースへのアクセスで、MDMポリシーに基づいたデバイスの管理が必要な場合とそうでない場合があります。
多くの場合、MDM + MAMは次の例に適しています。
- MDMとMAMの両方が必要なユースケースが1つだけある。MAMリソースにアクセスするためにMDMが必要である。
- MDMが必要なユースケースもあるが、そうでないユースケースもある。
- MAMが必要なユースケースもあるが、そうでないユースケースもある。
XenMobile Serverの管理モードは、サーバーモードプロパティで指定します。XenMobileコンソールでこの設定を構成できます。サーバーモードは、MDM、MAM、またはENT(MDM + MAM)です。
次の表に示すとおり、ライセンスを保有するXenMobileエディションによって使用可能な管理モードとその他の機能が決まります。
| XenMobile MDM Edition | XenMobile Advanced Edition |
| MDMの機能 | MDMの機能 |
| - | MAMの機能 |
| - | MAM SDK |
| Secure Hub | Secure Hub |
| - | Secure Mail |
| - | Secure Web |
管理モードと登録プロファイル
管理モードと登録プロファイルは連携して機能します。登録プロファイルを使用して、AndroidおよびiOSデバイスのデバイス管理およびアプリ管理の登録オプションを構成します。Androidの場合、MDM+MAMサーバーモードで利用可能な登録オプションは、MDMモードのオプションとは異なります。詳しくは、「登録プロファイル」を参照してください。
デバイス管理とMDM登録
XenMobile Enterprise環境には、MAMリソースへのアクセスを許可するMDMポリシーによるデバイス管理が必要なユースケースが混在している場合があります。業務用モバイルアプリをユーザーに展開する前に、ユースケースを十分に評価し、MDM登録を必須にするかどうかを決定してください。MDM登録の必要性を後で変更すると、ユーザーがデバイスを再登録しなければならない場合もあります。
注:
ユーザーがMDMに登録する必要があるかどうかを指定するには、XenMobileコンソールのXenMobile Serverプロパティ [登録が必要] を使用します([設定]>[サーバープロパティ])。そのグローバルサーバープロパティは、XenMobileインスタンスのすべてのユーザーとデバイスに適用されます。このプロパティは、XenMobile ServerモードがENTの場合にのみ適用されます。
次に、XenMobile Enterpriseモードでの展開においてMDM登録を必要とする場合のメリットとデメリットを(緩和策とともに)示します。
MDM登録をオプションとする場合
長所:
- ユーザーはデバイスをMDM管理下に置くことなく、MAMリソースにアクセスできる。このオプションは、ユーザーへの導入を増やすことができます。
- MAMリソースへのアクセスを保護し、企業データを保護できる。
- アプリのパスコードなどのMDXポリシーで、各MDXアプリのアプリアクセスを制御できる。
- Citrix ADC、XenMobile Server、およびアプリケーションごとのタイムアウトをCitrix PINで構成すると、保護が強化される。
- MDMアクションはデバイスには適用されませんが、一部のMDXポリシーをMAMアクセスを拒否するのに使用できます。この拒否は、ジェイルブレイクデバイスまたはRoot化済みデバイスなどのシステム設定に基づいて行なわれます。
- ユーザーは初回使用時に、MDMを使用してデバイスを登録するかどうかを選択できます。
短所:
- MAMリソースをMDMに登録されていないデバイスで使用できる。
- MDMのポリシーとアクションを、MDMに登録されているデバイスでしか使用できない。
緩和オプション:
- コンプライアンスに違反した場合はユーザーが責任を負うという企業の契約条件に対して、本人の同意を得ます。管理者に「管理されないデバイス」を監視させます。
- アプリケーションタイマーを使用して、アプリケーションアクセスとセキュリティを管理します。タイムアウト値を小さくするとセキュリティは向上しますが、ユーザーエクスペリエンスに影響する場合があります。
- MDM登録が必要な2番目のXenMobile環境はオプションです。このオプションを検討する場合には、2つの環境を管理するためにオーバーヘッドが増え、追加のリソースが必要となることに留意してください。
MDM登録を必要とする場合
長所:
- MAMリソースへのアクセスをMDMが管理するデバイスのみに制限できる。
- MDMのポリシーとアクションを、必要に応じて環境内のすべてのデバイスに適用できる。
- ユーザーがデバイス登録をオプトアウトすることはできない。
短所:
- すべてのユーザーをMDMに登録する必要がある。
- 個人用デバイスの企業管理に反対するユーザーへの導入が減る可能性がある。
緩和オプション:
- XenMobileが実際にデバイス上の何を管理するか、管理者がどの情報にアクセスできるかについてユーザーを教育します。
- MDM管理が不要なデバイスで、MAMのサーバーモード(MAM-onlyモードとも呼ばれます)にした2番目のXenMobile環境を使用できます。このオプションを検討する場合には、2つの環境を管理するためにオーバーヘッドが増え、追加のリソースが必要となることに留意してください。
MAMと従来のMAMモードについて
XenMobile 10.3.5では、新しいMAM-onlyサーバーモードが導入されます。以前のMAMモードと新しいMAMモードを区別するために、このドキュメントでは次の用語を使用します。新しいモードをMAM-onlyまたはMAとし、以前のMAMモードを従来のMAMモードとします。
XenMobileのサーバーモードプロパティがMAMの場合、MAM-onlyモードが有効になります。デバイスはMAMモードで登録します。
従来のMAM機能は、XenMobileサーバーモードプロパティがENTであり、ユーザーがデバイス管理を行わないことを選択した場合に有効になります。その場合、デバイスはMAMモードで登録します。MDM管理を行わないユーザーは、従来のMAM機能を引き続き使用できます。
注:
以前は、サーバーモードプロパティをMAMに設定すると、ENTに設定するのと同じ効果がありました。MDM管理を行わないユーザーは従来のMAM機能を使用できました。
次の表は、特定のライセンスの種類および機能のデバイスモードで使用するサーバーモードの概要を示しています。
| 現在のエディションのライセンス | デバイスを登録するモード | 必要なサーバーモードプロパティの設定 |
| Enterprise/Advanced/MDM | MDMモード | MDM |
| Enterprise/Advanced | MAMモード(MAM-onlyモードとも呼ばれます) | MAM |
| Enterprise/Advanced | MDM+MAMモード | ENT(デバイス管理を行わないユーザーは従来のMAMモードで操作します) |
MAM-onlyモードでは、以前はENTでのみ使用可能だった以下の機能がサポートされています。
- 証明書ベースの認証: MAM-onlyモードでは、証明書ベースの認証がサポートされます。Active Directoryのパスワードの有効期限が切れても、ユーザーは引き続きアプリにアクセスできます。MAMデバイスに証明書ベースの認証を使用する場合は、Citrix Gatewayを構成する必要があります。デフォルトでは、[XenMobile設定]>[Citrix Gateway] の[認証用のユーザー証明書を配信]は [オフ] であり、これはユーザー名とパスワードによる認証が使用されていることを意味します。その設定を [オン] に変更すると証明書による認証が有効になります。
- Self Help Portal: ユーザーは独自のアプリロックとアプリワイプを実行できます。これらの操作は、デバイス上のすべてのアプリに適用されます。アプリロックとアプリワイプのアクションは、[設定]>[アクション] で設定できます。
- 全登録セキュリティモード: [高セキュリティ]、[招待URL]、[2要素]が含まれます。[管理]>[登録招待] で設定します。
- AndroidとiOSデバイスのデバイス登録制限: サーバープロパティ [ユーザーごとのデバイスの数] は [構成]>[登録プロファイル] に移動し、すべてのサーバーモードに適用されるようになりました。
- MAM-only API: MAM-onlyデバイスでは、RESTクライアントとXenMobile REST APIを使用してRESTサービスを呼び出し、XenMobileコンソールで公開されているサービスを呼び出します。
- MAM-only APIを使用すると、次のことが可能になります。
- 招待URLとワンタイムPINを送信する。
- デバイスでアプリロックとアプリワイプを発行する。
次の表は、従来のMAMとMAM-onlyとの機能の違いをまとめたものです。
| 登録シナリオおよびその他の機能 | 従来のMAM(サーバーモードENT) | MAM-onlyモード(サーバーモードMAM) |
| 証明書の認証 | サポートされません。 | サポートされます。証明書認証を使用するには、Citrix Gatewayが必要です。 |
| 展開要件 | XenMobile Serverは、デバイスから直接アクセスできるようにする必要はありません。 | XenMobile Serverは、デバイスから直接アクセスできるようにする必要はありません。 |
| 登録オプション | Citrix Gateway FQDNを使用するか、MDM FQDNを使用する場合は登録しないことを選択してください。 | XenMobile Server FQDNを使用してください。 |
| 登録方法* | ユーザー名およびパスワード | [招待URLおよびパスワード]、[高セキュリティ]、[招待URL]、[招待URLおよびPIN]、[招待URLおよびパスワード]、[2要素]、[ユーザー名およびPIN] |
| アプリロックおよびアプリワイプ | サポートされます。 | サポートされます。 |
| アプリロックおよびアプリワイプのSelf Help Portalオプション | サポートされません。 | サポートされます。 |
| アプリワイプの動作 | アプリはデバイス上に残りますが、使うことはできません。XenMobileは、クライアント上のアカウントのみを削除します。 | アプリはデバイス上に残りますが、使うことはできません。XenMobileは、クライアント上のアカウントのみを削除します。 |
| MAM-onlyユーザー向けの自動化された操作 | イベント、デバイスプロパティ、ユーザープロパティ操作がサポートされます。インストールされたアプリベースの自動化された操作はサポートされません。 | イベント、デバイスプロパティ、ユーザープロパティ、アプリワイプやアプリロックなどの一部のアプリベースの操作がサポートされます。 |
| Active Directoryユーザーが削除された場合の組み込み操作 | アプリワイプがサポートされます。 | アプリワイプがサポートされます。 |
| 登録の制限 | サポートされます。登録プロファイル経由で設定されます。 | サポートされます。登録プロファイル経由で設定されます。 |
| ソフトウェアインベントリ | サポートされます。XenMobileは、デバイスにインストールされているアプリの一覧を作成します。 | サポートされません。 |
*通知について: SMTPは、登録招待状の送信でサポートされる唯一の方法です。
重要:
MAM-onlyモードでは、以前に登録したユーザーはデバイスを再登録する必要があります。登録に必要なXenMobile ServerのFQDNをユーザーに提供してください。MAM-onlyモードでは、ENTモードと同様、デバイスの登録にXenMobile ServerのFQDNを使用します。従来のMAMモードでは、デバイスの登録にCitrix Gatewayの完全修飾ドメイン名(Fully Qualified Domain Name:FQDN)を使用します。