デバイスポリシー
XenMobile® がデバイスとどのように連携するかは、ポリシーを作成して構成できます。多くのポリシーはすべてのデバイスに共通ですが、各デバイスにはそのオペレーティングシステムに固有のポリシーセットがあります。そのため、プラットフォーム間、さらには Android デバイスの異なるメーカー間でも違いが見られる場合があります。
各デバイスポリシーの概要については、この記事の「デバイスポリシーの概要」を参照してください。
注:
環境がグループポリシーオブジェクト (GPO) で構成されている場合:
Windows 10 および Windows 11 デバイスの XenMobile デバイスポリシーを構成する際は、次の規則に留意してください。1つ以上の登録済みデバイスでポリシーが競合する場合、GPO に準拠したポリシーが優先されます。
Android Enterprise コンテナがサポートするポリシーについては、「Android Enterprise」を参照してください。
前提条件
- 使用する予定のデリバリーグループを作成します。
- 必要な CA 証明書をインストールします。
デバイスポリシーの追加
デバイスポリシーを作成する基本的な手順は次のとおりです。
- ポリシーに名前を付け、説明します。
- 1つ以上のプラットフォームに対してポリシーを構成します。
- 展開ルールを作成します (オプション)。
- デリバリーグループにポリシーを割り当てます。
- 展開スケジュールを構成します (オプション)。
デバイスポリシーを作成および管理するには、[構成] > [デバイスポリシー] に移動します。
ポリシーを追加するには:
-
[デバイスポリシー] ページで、[追加] をクリックします。[新しいポリシーの追加] ページが表示されます。
-
1つ以上のプラットフォームをクリックして、選択したプラットフォームのデバイスポリシーのリストを表示します。ポリシー名をクリックして、ポリシーの追加を続行します。
検索ボックスにポリシー名を入力することもできます。入力すると、一致する可能性のある項目が表示されます。ポリシーがリストにある場合は、それをクリックします。選択したポリシーのみが結果に残ります。それをクリックして、そのポリシーの[ポリシー情報] ページを開きます。
-
ポリシーに含めるプラットフォームを選択します。選択したプラットフォームの構成ページが手順 5 に表示されます。
-
[ポリシー情報] ページを完了し、[次へ] をクリックします。[ポリシー情報] ページでは、ポリシー名などの情報を収集し、ポリシーの識別と追跡に役立てます。このページはすべてのポリシーで同様です。
-
プラットフォームページを完了します。プラットフォームページは、手順 3 で選択した各プラットフォームに対して表示されます。これらのページはポリシーごとに異なります。ポリシーはプラットフォーム間で異なる場合があります。すべてのポリシーがすべてのプラットフォームに適用されるわけではありません。
一部のページには項目のテーブルが含まれています。既存の項目を削除するには、リストを含む行にカーソルを合わせ、右側にあるゴミ箱アイコンをクリックします。確認ダイアログで、[削除] をクリックします。
既存の項目を編集するには、リストを含む行にカーソルを合わせ、右側にあるペンアイコンをクリックします。
展開ルール、割り当て、およびスケジュールの構成
展開ルール構成の詳細については、「リソースの展開」を参照してください。
-
プラットフォームページで、[展開ルール] を展開し、次の設定を構成します。デフォルトでは、[基本] タブが表示されます。
- リストで、ポリシーを展開するタイミングを決定するオプションをクリックします。すべての条件が満たされた場合、または任意の条件が満たされた場合にポリシーを展開するように選択できます。デフォルトのオプションは [すべて] に設定されています。
- [新しいルール] をクリックして条件を定義します。
- リストで、[デバイス所有権] や [BYOD] などの条件をクリックします。
- さらに条件を追加する場合は、もう一度 [新しいルール] をクリックします。条件はいくつでも追加できます。
-
[詳細] タブをクリックして、ルールをブールオプションと組み合わせます。[基本] タブで選択した条件が表示されます。
-
より高度なブール論理を使用して、ルールを結合、編集、または追加できます。
- [AND]、[OR]、または [NOT] をクリックします。
-
リストで、ルールに追加する条件を選択します。次に、右側のプラス記号 (+) をクリックして、条件をルールに追加します。
いつでも、条件をクリックして選択し、[編集] をクリックして条件を変更するか、[削除] をクリックして条件を削除できます。
- [新しいルール] をクリックして、別の条件を追加します。
-
[次へ] をクリックして次のプラットフォームページに移動するか、すべてのプラットフォームページが完了したら [割り当て] ページに移動します。
-
[割り当て] ページで、ポリシーを適用するデリバリーグループを選択します。デリバリーグループをクリックすると、そのグループが [アプリの割り当てを受け取るデリバリーグループ] ボックスに表示されます。
[アプリの割り当てを受け取るデリバリーグループ] は、デリバリーグループを選択するまで表示されません。
-
[割り当て] ページで、[展開スケジュール] を展開し、次の設定を構成します。
- [展開] の横で、[オン] をクリックして展開をスケジュールするか、[オフ] をクリックして展開を防止します。デフォルトのオプションは [オン] に設定されています。
- [展開スケジュール] の横で、[今すぐ] または [後で] をクリックします。デフォルトのオプションは [今すぐ] に設定されています。
- [後で] をクリックした場合は、カレンダーアイコンをクリックし、展開の日付と時刻を選択します。
- [展開条件] の横で、[接続ごとに] をクリックするか、[前回の展開が失敗した場合のみ] をクリックします。デフォルトのオプションは [接続ごとに] に設定されています。
-
[常時接続の展開] の横で、[オン] または [オフ] をクリックします。デフォルトのオプションは [オフ] に設定されています。
注:
[設定] > [サーバープロパティ] でスケジューリングバックグラウンド展開キーを構成した場合に、このオプションが適用されます。常時接続オプションは iOS デバイスでは使用できません。
構成する展開スケジュールは、すべてのプラットフォームで同じです。行った変更は、[常時接続の展開] を除くすべてのプラットフォームに適用されます。[常時接続の展開] は iOS には適用されません。
-
[保存] をクリックします。
ポリシーが [デバイスポリシー] テーブルに表示されます。
デバイスからのデバイスポリシーの削除
デバイスからデバイスポリシーを削除する手順は、プラットフォームによって異なります。
-
Android
Android デバイスからデバイスポリシーを削除するには、XenMobile アンインストールデバイスポリシーを使用します。詳細については、「XenMobile アンインストールデバイスポリシー」を参照してください。
-
iOS および macOS
iOS または macOS デバイスからデバイスポリシーを削除するには、プロファイル削除デバイスポリシーを使用します。iOS および macOS デバイスでは、すべてのポリシーが MDM プロファイルの一部です。したがって、削除したいポリシーのみのプロファイル削除デバイスポリシーを作成できます。残りのポリシーとプロファイルはデバイスに残ります。詳細については、「プロファイル削除デバイスポリシー」を参照してください。
-
Windows 10およびWindows 11
Windowsデスクトップまたはタブレットデバイスからデバイスポリシーを直接削除することはできません。ただし、次のいずれかの方法を使用できます。
-
デバイスの登録を解除し、新しいポリシーセットをデバイスにプッシュします。ユーザーは続行するために再登録します。
-
特定のデバイスを選択的にワイプするセキュリティアクションをプッシュします。このアクションにより、すべての企業アプリとデータがデバイスから削除されます。その後、そのデバイスのみを含むデリバリーグループからデバイスポリシーを削除し、そのデリバリーグループをデバイスにプッシュします。ユーザーは続行するために再登録します。
-
-
Chrome OS
Chrome OSデバイスからデバイスポリシーを削除するには、そのデバイスのみを含むデリバリーグループからデバイスポリシーを削除します。その後、そのデリバリーグループをデバイスにプッシュします。
デバイスポリシーの編集
ポリシーを編集するには、ポリシーの横にあるチェックボックスを選択して、ポリシーリストの上にオプションメニューを表示します。または、リスト内のポリシーをクリックして、リストの右側にオプションメニューを表示します。
ポリシーの詳細を表示するには、[詳細を表示] をクリックします。
デバイスポリシーのすべての設定を編集するには、[編集] をクリックします。
[削除] をクリックすると、確認ダイアログボックスが表示されます。ポリシーを削除するには、もう一度 [削除] をクリックします。
ポリシー展開ステータスの確認
[構成] > [デバイスポリシー] ページでポリシー行をクリックして、その展開ステータスを確認します。
ポリシーの展開が保留中の場合、ユーザーはSecure Hubで [設定] > [デバイス情報] > [ポリシーの更新] をタップしてポリシーを更新できます。
追加されたデバイスポリシーのリストのフィルタリング
追加されたポリシーのリストは、ポリシーの種類、プラットフォーム、および関連するデリバリーグループでフィルタできます。[構成] > [デバイスポリシー] ページで、[フィルターを表示] をクリックします。リストで、表示したい項目のチェックボックスを選択します。
フィルターを保存するには、[このビューを保存] をクリックします。フィルターの名前は、[このビューを保存] ボタンの下にボタンとして表示されます。
デバイスポリシーの概要
| デバイスポリシー名 | デバイスポリシーの説明 |
|---|---|
| AirPlay Mirroring | 特定のAirPlayデバイス(別のMacコンピューターなど)をiOSデバイスに追加します。監視対象デバイスの許可リストにデバイスを追加するオプションもあります。このオプションは、ユーザーを許可リスト上のAirPlayデバイスのみに制限します。 |
| AirPrint | AirPrintプリンターをiOSデバイスのAirPrintプリンターリストに追加します。このポリシーにより、プリンターとデバイスが異なるサブネットにある環境をサポートしやすくなります。 |
| Android Enterprise App Permissions | ワークプロファイル内のAndroid Enterpriseアプリへのリクエストが、Googleが「危険」と呼ぶ権限をどのように処理するかを設定します。 |
| Android Enterprise App Restrictions | Androidアプリに関連付けられている制限を更新します。 |
| APN | デバイスを特定の電話キャリアのGPRS(General Packet Radio Service)に接続するために使用される設定を決定します。この設定は、ほとんどの新しい電話で既に定義されています。組織がモバイルデバイスからインターネットに接続するために消費者向けAPNを使用しない場合は、このポリシーを使用します。 |
| App Access | デバイスで必須、オプション、または禁止されているアプリのリストを定義します。その後、そのアプリのリストに対するデバイスのコンプライアンスに対応する自動アクションを作成できます。 |
| App Attributes | iOSデバイスの管理対象アプリバンドルIDやアプリごとのVPN識別子などの属性を指定します。 |
| App Configuration | 管理対象構成をサポートするアプリのさまざまな設定と動作をリモートで構成します。これを行うには、XML構成ファイル(プロパティリスト、またはplistと呼ばれる)をiOSデバイスに展開します。または、Windows 10 Phone、またはWindows 10またはWindows 11を実行しているデスクトップまたはタブレットデバイスにキー/値ペアを展開します。 |
| App Inventory | 管理対象デバイス上のアプリのインベントリを収集します。XenMobileは、インベントリをこれらのデバイスに展開されたアプリアクセスポリシーと比較します。これにより、アプリアクセス許可リストまたはブロックリストにあるアプリを検出し、正しく対処します。 |
| App Lock | ユーザーがiOSまたは特定のAndroidデバイスで実行できる、または実行できないアプリのリストを定義します。 |
| App Network Usage | iOSデバイスで管理対象アプリがセルラーデータネットワークなどのネットワークをどのように使用するかを指定するネットワーク使用ルールを設定します。このルールは管理対象アプリにのみ適用されます。管理対象アプリとは、XenMobileを介してユーザーデバイスに展開するアプリです。 |
| App Uninstall | ユーザーデバイスからアプリを削除します。 |
| Apps Notifications | iOSユーザーが指定されたアプリから通知を受け取る方法を制御します。 |
| Automatically update managed apps | Android Enterpriseデバイスでインストール済みの管理対象アプリが更新される方法を制御します。 |
| BitLocker | Windows 10およびWindows 11デバイスのBitLockerインターフェイスで利用可能な設定を構成します。 |
| Calendar (CalDav) | iOSまたはmacOSデバイスにカレンダー(CalDAV)アカウントを追加します。CalDAVアカウントを使用すると、ユーザーはCalDAVをサポートする任意のサーバーとスケジュールデータを同期できます。 |
| Cellular | セルラーネットワーク設定を構成します。 |
| Connection Manager | インターネットおよびプライベートネットワークに自動的に接続するアプリの接続設定を指定します。このポリシーはWindows Pocket PCでのみ利用可能です。 |
| Contacts (CardDAV) | iOSまたはmacOSデバイスにiOS連絡先(CardDAV)アカウントを追加します。CardDAVアカウントを使用すると、ユーザーはCardDAVをサポートする任意のサーバーと連絡先データを同期できます。 |
| Control OS Updates | サポートされている監視対象デバイスに最新のOSアップデートを展開します。 |
| Credentials | XenMobileのPKI構成との統合認証を有効にします。たとえば、PKIエンティティ、キーストア、資格情報プロバイダー、またはサーバー証明書を使用します。 |
| Custom XML | デバイスプロビジョニング、デバイス機能の有効化、デバイス構成、障害管理などの機能をカスタマイズします。 |
| Defender | Windows 10およびWindows 11デスクトップおよびタブレットのWindows Defender設定を構成します。 |
| Device Health Attestation | Windows 10およびWindows 11デバイスがその正常性の状態を報告することを要求します。これを行うために、特定のデータとランタイム情報をHealth Attestation Service(HAS)に送信して分析します。HASはHealth Attestation Certificateを作成して返し、デバイスはそれをXenMobileに送信します。XenMobileがHealth Attestation Certificateを受信すると、その証明書の内容に基づいて、構成した自動アクションを展開できます。 |
| Device Name | デバイスを識別できるように、iOSおよびmacOSデバイスの名前を設定します。マクロ、テキスト、またはその両方の組み合わせを使用してデバイス名を定義できます。 |
| Education Configuration | Apple Educationで使用するために、インストラクターと学生のデバイスを構成します。インストラクターがClassroomアプリを使用する場合、Education Configurationデバイスポリシーが必要です。 |
| Exchange | デバイス上のネイティブメールクライアントでActiveSyncメールを有効にします。 |
| Files | ユーザーのために特定の機能を実行するスクリプトファイルをXenMobileに追加します。または、Androidデバイスユーザーがデバイスでアクセスできるようにしたいドキュメントファイルを追加することもできます。ファイルを追加する際に、デバイスにファイルを保存するディレクトリを指定することもできます。 |
| FileVault | このポリシーにより、登録済みのmacOSデバイスでFileVaultデバイス暗号化を有効にできます。また、ユーザーがログイン中にFileVaultセットアップをスキップできる回数を制御することもできます。macOS 10.7以降で利用可能です。 |
| Font | iOSおよびmacOSデバイスにフォントを追加します。フォントはTrueType(.TTF)またはOpenType(.OFT)フォントである必要があります。XenMobileはフォントコレクション(.TTCまたは.OTC)をサポートしていません。 |
| Home screen layout | iOS 9.3以降の監視対象デバイスで、iOSホーム画面のアプリとフォルダーのレイアウトを指定します。 |
| Import iOS & macOS Profile | iOSおよびmacOSデバイス用のデバイス構成XMLファイルをXenMobileにインポートします。このファイルには、Apple Configuratorを使用して準備するデバイスセキュリティポリシーと制限が含まれています。 |
| Keyguard Management | ユーザーがデバイスキーガードとワークチャレンジキーガードをロック解除する前に利用できる機能を制御します。また、完全に管理された専用デバイスのデバイスキーガード機能を制御することもできます。たとえば、指紋ロック解除、信頼エージェント、通知などのロック画面機能を無効にできます。 |
| Kiosk | Samsung SAFEデバイスでのアプリの使用を制限します。利用可能なアプリを特定のアプリまたは複数のアプリに制限できます。このポリシーは、特定の種類のアプリのみを実行することを目的とした企業デバイスに役立ちます。このポリシーでは、キオスクモードのデバイスホーム画面とロック画面の壁紙にカスタム画像を選択することもできます。 |
| Knox Platform for Enterprise Key | 必要なSamsung Knox Platform for Enterprise(KPE)ライセンス情報を提供できます。 |
| Launcher Configuration | Androidデバイス上のCitrix Launcherの設定(許可されるアプリやLauncherアイコンのカスタムロゴ画像など)を指定します。 |
| LDAP | iOSデバイスで使用するLDAPサーバーに関する情報(LDAPサーバーホスト名などの必要なアカウント情報を含む)を提供します。このポリシーは、LDAPサーバーをクエリする際に使用するLDAP検索ポリシーのセットも提供します。 |
| Location | デバイスでSecure HubのGPSが有効になっていると仮定して、マップ上でデバイスを地理的に特定できます。このポリシーをデバイスに展開した後、XenMobile Serverから位置特定コマンドを送信できます。デバイスはその後、その位置座標で応答します。XenMobileはジオフェンシングおよび追跡ポリシーもサポートしています。 |
| iOSまたはmacOSデバイスでメールアカウントを構成します。 | |
| Managed Domains | メールおよびSafariブラウザーに適用される管理対象ドメインを定義します。管理対象ドメインは、Safariを使用してドメインからダウンロードされたドキュメントをどのアプリが開くことができるかを制御することで、企業データを保護するのに役立ちます。iOS 8以降の監視対象デバイスの場合、URLまたはサブドメインを指定して、ユーザーがブラウザーからドキュメント、添付ファイル、ダウンロードを開く方法を制御できます。 |
| MDM Options | 監視対象のiOS 7.0以降の電話デバイスで、[iPhoneを探す]とiPadアクティベーションロックを管理します。 |
| Organization Info | XenMobileがiOSデバイスに展開するアラートメッセージの組織情報を指定します。 |
| Passcode | 管理対象デバイスにPINコードまたはパスワードを強制します。デバイスのパスコードの複雑さとタイムアウトを設定できます。 |
| Personal Hotspot | ユーザーがWi-Fiネットワークの範囲外にいるときにインターネットに接続できるようにします。ユーザーは、パーソナルホットスポット機能を使用して、iOSデバイスのセルラーデータ接続を介して接続します。 |
| Profile Removal | iOSまたはmacOSデバイスからアプリプロファイルを削除します。 |
| Provisioning Profile | デバイスに送信するエンタープライズ配布プロビジョニングプロファイルを指定します。iOSエンタープライズアプリを開発してコード署名する場合、通常はプロビジョニングプロファイルを含めます。Appleは、アプリがiOSデバイスで実行されるためにプロファイルを必要とします。プロビジョニングプロファイルが不足しているか期限切れの場合、ユーザーがタップして開くとアプリがクラッシュします。 |
| Provisioning Profile Removal | iOSプロビジョニングプロファイルを削除します。 |
| Proxy | iOSを実行しているデバイスのグローバルHTTPプロキシ設定を指定します。デバイスごとに展開できるグローバルHTTPプロキシポリシーは1つだけです。 |
| Restrictions | 管理対象デバイスの機能と機能をロックダウンおよび制御するための何百ものオプションを提供します。制限オプションの例:カメラまたはマイクの無効化、ローミングルールの強制、アプリストアなどのサードパーティサービスへのアクセスの強制。 |
| Roaming | iOSデバイスで音声およびデータローミングを許可するかどうかを構成します。音声ローミングが無効になっている場合、データローミングは自動的に無効になります。 |
| Scheduling | MDM管理、アプリプッシュ、ポリシー展開のためにAndroidデバイスがXenMobile Serverに接続し直すために必要です。このポリシーをデバイスに送信せず、Google FCMを有効にしない場合、デバイスはサーバーに接続し直すことができません。 |
| SCEP | 外部SCEPサーバーから証明書を取得するようにiOSおよびmacOSデバイスを構成します。XenMobileに接続されているPKIからSCEPを使用してデバイスに証明書を配信することもできます。これを行うには、分散モードでPKIエンティティとPKIプロバイダーを作成します。 |
| SSO Account | ユーザーがXenMobileおよび社内リソースにアクセスするために1回だけサインオンするシングルサインオン(SSO)アカウントを作成します。ユーザーはデバイスに資格情報を保存する必要はありません。XenMobileは、App Storeのアプリを含む、アプリ全体でSSOアカウントのエンタープライズユーザー資格情報を使用します。このポリシーはKerberos認証と互換性があります。iOSで利用可能です。 |
| Subscribed Calendars | 購読済みカレンダーをiOSデバイスのカレンダーリストに追加します。ユーザーデバイスの購読済みカレンダーリストに追加する前に、カレンダーを購読していることを確認してください。 |
| Terms and Conditions | 企業ネットワークへの接続を管理する会社の特定のポリシーをユーザーが受け入れることを要求します。ユーザーがデバイスをXenMobileに登録する際、デバイスを登録するには利用規約に同意する必要があります。利用規約を拒否すると、登録プロセスはキャンセルされます。 |
| Tunnel | リモートサポートのみに使用されます。リモートサポートにより、ヘルプデスク担当者は管理対象のWindows CEおよびAndroidモバイルデバイスをリモートで制御できます。クラスター化されたオンプレミスXenMobile Server展開では、リモートサポートは利用できません。リモートサポートは、2019年1月1日以降の新規顧客には利用できなくなりました。既存の顧客は引き続き製品を使用できますが、Citrixは機能強化や修正を提供しません。 |
| VPN | レガシーVPNゲートウェイテクノロジーを使用するバックエンドシステムへのアクセスを提供します。このポリシーは、デバイスに展開できるVPNゲートウェイ接続の詳細を提供します。XenMobileは、Cisco AnyConnect、Juniper、Citrix VPNなど、いくつかのVPNプロバイダーをサポートしています。VPNゲートウェイがこのオプションをサポートしている場合、このポリシーをCAにリンクして、VPNオンデマンドを有効にできます。 |
| Wallpaper | .pngまたは.jpgファイルを追加して、iOSデバイスのロック画面、ホーム画面、またはその両方に壁紙を設定します。iPadとiPhoneで異なる壁紙を使用するには、異なる壁紙ポリシーを作成し、適切なユーザーに展開します。 |
| Web Content Filter | iOSデバイスのWebコンテンツをフィルタリングします。XenMobileは、Appleの自動フィルター機能と、許可リストおよびブロックリストに追加したサイトを使用します。iOS監視対象デバイスでのみ利用可能です。 |
| Webclip | ユーザーデバイスのアプリと並んで表示されるように、Webサイトへのショートカット(Webクリップ)を配置します。iOS、macOS、AndroidデバイスのWebクリップを表す独自のアイコンを指定できます。WindowsタブレットはラベルとURLのみを必要とします。 |
| Wi-Fi | 管理者がWi-Fiルーターの詳細を管理対象デバイスに展開できるようにします。ルーターの詳細には、SSID、認証データ、および構成データが含まれます。 |
| Windows Information Protection | ポリシーで設定した適用レベルでWindows Information Protectionを必要とするアプリを指定します。このポリシーは、Windows 10およびWindows 11の監視対象デバイス用です。 |
| XenMobile Store | XenMobile StoreのWebクリップがユーザーデバイスのホーム画面に表示されるかどうかを指定します。 |
| XenMobile Options | AndroidデバイスからXenMobileに接続する際のSecure Hubの動作を構成します。 |
| XenMobile Uninstall | AndroidおよびWindow Mobile/CEデバイスからXenMobileをアンインストールします。展開されると、このポリシーは展開グループ内のすべてのデバイスからXenMobileを削除します。 |