XenMobile Server

パスコードデバイスポリシー

組織の基準に基づいて、XenMobileでパスコードポリシーを作成します。ユーザーのデバイスでパスコードを要求し、さまざまな形式およびパスコード規則を設定することができます。iOS、macOS、Android、Samsung Knox、Android Enterprise、およびWindowsデスクトップ/タブレットに対してポリシーを作成できます。プラットフォームごとに必要な値が異なります。これらの値については、ここで説明しています。

このポリシーを追加または構成するには、[構成]>[デバイスポリシー] の順に選択します。詳しくは、「デバイスポリシー」を参照してください。

iOSの設定

デバイスポリシー構成画面の画像

  • パスコードを要求: このオプションをオンにするとパスコードが必須になり、iOSのパスコードデバイスポリシーの構成オプションが表示されます。ページが展開され、パスコード要件、パスコードセキュリティ、ポリシー設定を構成できます。
  • パスコード要件
    • 最小の長さ: ドロップダウンリストから、パスコードの最小文字数を選択します。デフォルトは6です。
    • 単純なパスコードを許可: 簡単なパスコードを許可するかどうかを選択します。簡単なパスコードとは、文字の繰り返しや連続する文字を使用したパスコードのことです。デフォルトは[オン]です。
    • 必須文字: パスコードに文字を1つ以上含める必要があるかどうかを選択します。デフォルトは [オフ] です。
    • 記号の最小数: 一覧から、パスコードに含める必要がある記号の数を選択します。デフォルトは [0] です。
  • パスコードセキュリティ
    • デバイスロックの猶予期間(分単位のアイドル時間): 一覧から、ユーザーがパスコードを入力してデバイスのロックを解除することが必要になるまでの時間を選択します。デフォルトは [なし] です。
    • デバイスをロックするまでの期間(分単位のアイドル時間): 一覧から、デバイスを非アクティブにしておくことができる時間を選択します。この時間が過ぎると、デバイスはロックされます。デフォルトは[なし]です。
    • パスコードの有効期限(1-730日): パスコードを有効期限切れにするまでの日数を入力します。有効な値は1~730です。デフォルトは0で、パスコードの有効期限がないことを意味します。
    • 使用済みパスワードの保存数(0 - 50): 保存する使用済みパスワードの数を入力します。ユーザーはこの一覧にあるパスワードを使用できません。有効な値は0~50です。デフォルトは0で、ユーザーがパスワードを再使用できることを意味します。
    • サインオン失敗回数の上限: 一覧から、ユーザーが正常なサインインの前に失敗できる回数を選択します。この回数を超えると、デバイスはワイプされます。デフォルトは [未定義] です。

macOS設定

デバイスポリシー構成画面の画像

  • パスコードを要求: このオプションをオンにするとパスコードが必須になり、iOSのパスコードデバイスポリシーの構成オプションが表示されます。ページが展開され、パスコード要件、パスコードセキュリティ、ポリシー設定を構成できます。
  • [パスコードを要求] を有効にしない場合は、[サインオン試行失敗後の待機時間(分)] の横で、ユーザーがパスコードを再入力できるようになるまでの待機時間を分単位で入力します。
  • [パスコードを要求] を有効にした場合は、次の設定を構成します:
  • パスコード要件
    • 最小の長さ: 一覧から、パスコードの最小文字数を選択します。デフォルトは6です。
    • 単純なパスコードを許可: 簡単なパスコードを許可するかどうかを選択します。簡単なパスコードとは、文字の繰り返しや連続する文字を使用したパスコードのことです。デフォルトは[オン]です。
    • 必須文字: パスコードに文字を1つ以上含める必要があるかどうかを選択します。デフォルトは [オフ] です。
    • 記号の最小数: 一覧から、パスコードに含める必要がある記号の数を選択します。デフォルトは [0] です。
  • パスコードセキュリティ
    • デバイスロックの猶予期間(分単位のアイドル時間): 一覧から、ユーザーがパスコードを入力してデバイスのロックを解除することが必要になるまでの時間を選択します。デフォルトは [なし] です。
    • デバイスをロックするまでの期間(分単位のアイドル時間): 一覧から、デバイスを非アクティブにしておくことができる時間を選択します。この時間が過ぎると、デバイスはロックされます。デフォルトは [なし] です。
    • パスコードの有効期限(1-730日): パスコードを有効期限切れにするまでの日数を入力します。有効な値は1~730です。デフォルトは0で、パスコードの有効期限がないことを意味します。
    • 使用済みパスワードの保存数(0 - 50): 保存する使用済みパスワードの数を入力します。ユーザーはこの一覧にあるパスワードを使用できません。有効な値は0~50です。デフォルトは0で、ユーザーがパスワードを再使用できることを意味します。
    • サインオン失敗回数の上限: 一覧から、ユーザーが正常なサインインの前に失敗できる回数を選択します。この回数を超えると、デバイスはロックされます。デフォルトは [未定義] です。
    • サインオン試行失敗後の待機時間(分): ユーザーがパスコードを再入力できるようになるまでの待機時間を分単位で入力します。
    • パスコードの強制リセット: 次回のユーザー認証時に、パスコードをリセットする必要があります。
  • ポリシー設定
    • プロファイル対策: このポリシーを [ユーザー] または [システム] 全体に適用するかを選択します。デフォルトは [ユーザー] です。このオプションはmacOS 10.7以降でのみ使用できます。

Androidの設定

デバイスポリシー構成画面の画像

注:

Androidのデフォルト設定は [オフ] です。

  • パスコードを要求: このオプションをオンにするとパスコードが必須になり、Androidのパスコードデバイスポリシーの構成オプションが表示されます。ページが展開され、パスコード要件、パスコードセキュリティ、暗号化、Samsung SAFEの設定を構成できます。
  • パスコード要件
    • 最小の長さ: ドロップダウンリストから、パスコードの最小文字数を選択します。デフォルトは6です。
    • バイオメトリック認識: 生体認証を有効にするかどうかを選択します。このオプションを有効にした場合、[必須文字] フィールドは非表示になります。デフォルトは [オフ] です。
    • 必須文字: ドロップダウンリストから [制限なし][数字と文字の両方][数字のみ][文字のみ] のいずれかをクリックして、パスコードの作成方法を構成します。デフォルトは [制限なし] です。
    • 詳細な規則: 詳細なパスコード規則を適用するかどうかを選択します。このオプションはAndroid 3.0以降で使用できます。デフォルトは [オフ] です。
    • [詳細な規則] を有効にした場合、以下のボックスの一覧のそれぞれで、パスコードに含める必要がある文字、記号、または数字の数を、種類ごとに選択します。
      • 記号: 記号の最小使用数
      • 文字: 文字の最小使用数
      • 小文字: 小文字の最小使用数
      • 大文字: 大文字の最小使用数
      • 数字または記号: 数字または記号の最小使用数
      • 数字: 数字の最小使用数
  • パスコードセキュリティ
    • デバイスをロックするまでの期間(分単位のアイドル時間): 一覧から、デバイスを非アクティブにしておくことができる時間を選択します。この時間が過ぎると、デバイスはロックされます。デフォルトは [なし] です。
    • パスコードの有効期限(1-730日): パスコードを有効期限切れにするまでの日数を入力します。有効な値は1~730です。デフォルトは0で、パスコードの有効期限がないことを意味します。
    • 使用済みパスワードの保存数(0 - 50): 保存する使用済みパスワードの数を入力します。ユーザーはこの一覧にあるパスワードを使用できません。有効な値は0~50です。デフォルトは0で、ユーザーがパスワードを再使用できることを意味します。
    • サインオン失敗回数の上限: 一覧から、ユーザーが正常なサインインの前に失敗できる回数を選択します。この回数を超えると、デバイスはワイプされます。デフォルトは [未定義] です。
  • 暗号化
    • 暗号化を有効化: 暗号化を有効にするかどうかを選択します。このオプションはAndroid 3.0以降で使用できます。このオプションは、[パスコードを要求] 設定にかかわらず使用できます。

      デバイスを暗号化するには、ユーザーはまず充電済みのバッテリーを用意し、暗号化にかかる時間またはそれ以上の時間にわたってデバイスをコンセントに接続したままにする必要があります。暗号化処理を中断すると、デバイス上のデータの一部またはすべてが失われる可能性があります。デバイスを暗号化した後は、出荷時の設定へのリセットを実行してデバイス上のすべてのデータを消去しない限り、元に戻すことはできません。

  • Samsung SAFE

    注:

    Samsung SAFEデバイスの顔認識および虹彩認識を無効にするための回避策:Samsung SAFEの制限デバイスポリシーを作成します。制限ポリシーで、[アプリケーションを無効にする] をオンにして、com.samsung.android.bio.face.serviceまたはcom.samsung.android.server.irisをテーブルに追加します。その後、制限ポリシーを展開します。

    • すべてのユーザーに同じパスコードを使用: すべてのユーザーに対して同じパスコードを使用するかどうかを選択します。デフォルトは [オフ] です。この設定はSamsung SAFEデバイスにのみ適用され、[パスコードを要求] 設定にかかわらず使用できます。
    • [すべてのユーザーに同じパスコードを使用] を有効にした場合は、[パスコード] フィールドにすべてのユーザーが使用するパスコードを入力します。
    • [パスコードを要求] を有効にした場合は、次のSamsung SAFEの設定を構成します:
      • 変更する文字数: ユーザーが前のパスコードから変更する必要がある文字数を入力します。デフォルトは [0] です。
      • 同一文字の最大使用数: パスコード内に1つの文字を繰り返し使用できる最大回数を入力します。デフォルトは [0] です。
      • アルファベットの最大連続数: パスコードに含まれる、連続するアルファベットの最大文字数を入力します。デフォルトは [0] です。
      • 数字の最大連続数: パスコードに含まれる、連続する数字の最大文字数を入力します。デフォルトは [0] です。
      • パスワードの表示をユーザーに許可: ユーザーがパスコードを表示できるようにするかどうかを選択します。デフォルトは[オン]です。
      • 生体認証の構成。生体認証を有効にするかどうかを選択します。デフォルトは [オフ] です。[オン] に設定すると、次のオプションを設定できます。
        • 指紋を許可。ユーザーが指紋による認証を許可する場合に選択します。
        • 虹彩を許可。ユーザーが虹彩による認証を許可する場合に選択します。
      • 禁止文字列: 禁止文字列を作成して、「password」、「pwd」、「welcome」、「123456」、「111111」などの類推しやすく安全ではない文字列をユーザーが使用できないようにします。拒否する文字列ごとに [追加] をクリックして、以下の操作を行います:
        • 禁止文字列: ユーザーに使用できないようにする文字列を入力します。
        • [保存] をクリックして文字列を追加するか、[キャンセル] をクリックして文字列の追加を取り消します。

Android Enterpriseの設定

デバイスポリシー構成画面の画像

Android Enterpriseデバイスの場合は、デバイスのパスコードかAndroid Enterpriseの仕事用プロファイルのセキュリティ確認、またはその両方を必須条件にできます。

Android 9.0以降およびSamsung Knox 3.0以降を実行しているデバイスの場合は、[Android Enterprise] ページでSamsung Knoxの設定を行います。それ以前のバージョンのAndroidまたはSamsung Knoxを実行しているデバイスの場合は、[Samsung Knox] ページで設定します。

注:

Samsung Knox 3.0を実行しているデバイスが仕事用プロファイルデバイスとして登録されている場合、Knox 3.0 以降のデバイスパスコード設定を構成していても、デバイスのパスコードには適用されません。

  • デバイスのパスコードを要求: デバイスにパスコードが必要です。この設定が [オン] の場合は、[デバイスのパスコードのパスコード要件][デバイスのパスコードのパスコードセキュリティ] を設定します。デフォルトはオフです。
  • パスコードの要件に準拠していないときにアプリとショートカットを表示する: この設定を [オン] にすると、パスコードが要件に準拠していない場合でも、デバイス上のアプリとショートカットが非表示になりません。この設定を [オフ] にすると、パスコードが要件に準拠していない場合、アプリとショートカットが非表示になります。Citrixでは、この設定を有効にする場合、パスコードが要件に準拠していないときにデバイスを非準拠としてマークする自動化された操作を作成することをお勧めします。デフォルトはオフです。
  • デバイスのパスコードのパスコード要件:
    • 最小の長さ: パスコードの最小文字数を選択します。デフォルトは6です。
    • パスワードの表示をユーザーに許可: 有効なKnoxライセンスキーが設定されているSamsung Knox 3.0以降を実行しているデバイスで使用します。完全に管理されているデバイス用のみの設定です。仕事用プロファイルデバイスとして登録されているデバイスには適用されません。この設定をオンにすると、ユーザーはパスワードを表示できるようになります。デフォルトはオフです。
    • バイオメトリック認識: 生体認証を有効にします。この設定が [オン] の場合、[必須文字]フィールドは非表示になります。デフォルトは [オフ] です。
    • 必須文字: パスコードに必要な文字の種類を指定します。一覧から、[制限なし][数字と文字の両方][数字のみ]、または [文字のみ] を選択します。[制限なし] は、Android 7.0を実行しているデバイスにのみ使用します。Android 7.1以降では、[制限なし]設定は適用されません。デフォルトは [数字と文字の両方] です。
    • 禁止文字列: 有効なKnoxライセンスキーが設定されているSamsung Knox 3.0以降を実行しているデバイスで使用します。完全に管理されているデバイス用のみの設定です。仕事用プロファイルデバイスとして登録されているデバイスには適用されません。ユーザーがパスコードに使用できない文字列を指定します。禁止文字列を作成して、「password」、「pwd」、「welcome」、「123456」、「111111」などの類推しやすく安全ではない文字列をユーザーが使用できないようにします。拒否する文字列ごとに [追加] をクリックします。ユーザーに使用させない文字列を入力して、文字列を追加するには [保存] を、取り消すには [キャンセル] をクリックします。
    • 詳細な規則: パスコードに使用できる文字の種類を、規則で詳しく設定します。この設定が [オン] の場合は、[最小数]および [最大数] を設定します。この設定は、Android 5.0より前のAndroidデバイスでは使用できません。デフォルトは [オフ] です。
    • 最小数:
      • 記号: 記号の最小使用数を指定します。デフォルト値は0です。
      • 文字: 文字の最小使用数を指定します。デフォルト値は0です。
      • 小文字: 小文字の最小使用数を指定します。デフォルト値は0です。
      • 大文字: 大文字の最小使用数を指定します。デフォルト値は0です。
      • 数字または記号: 数字または記号の最小使用数を指定します。デフォルト値は0です。
      • 数字: 数字の最小使用数を指定します。デフォルト値は0です。
      • 変更する文字数: 有効なKnoxライセンスキーが設定されているSamsung Knox 3.0以降を実行しているデバイスで使用します。完全に管理されているデバイス用のみの設定です。仕事用プロファイルデバイスとして登録されているデバイスには適用されません。ユーザーが前のパスコードから変更する必要がある文字数を指定します。デフォルトは [0] です。
    • 最大数: 有効なKnoxライセンスキーが設定されているSamsung Knox 3.0以降を実行しているデバイスで使用します。完全に管理されているデバイス用のみの設定です。仕事用プロファイルデバイスとして登録されているデバイスには適用されません。
      • 同一文字の最大使用数: パスコード内に1つの文字を繰り返し使用できる最大回数を指定します。デフォルトは0で、制限がないことを意味します。
      • アルファベットの最大連続数: パスコードに含まれる、連続するアルファベットの最大文字数を指定します。デフォルトは0で、制限がないことを意味します。
      • 数字の最大連続数: パスコードに含まれる、連続する数字の最大文字数を指定します。デフォルトは0で、制限がないことを意味します。
  • デバイスのパスコードのパスコードセキュリティ:
    • デバイスをワイプ(サインオンの失敗回数が次を超えた場合): ユーザーがサインオンに失敗できる回数を指定します。この回数を超えると、デバイスは完全にワイプされます。デフォルトは [未定義] です。
    • デバイスロックの猶予期間(分単位のアイドル時間)(0-999): デバイスを非アクティブにしておくことができる分数を指定します。この時間が過ぎると、デバイスはロックされます。デフォルトは [なし] です。
    • パスコードの有効期限(1-730日): パスコードを有効期限切れにするまでの日数を指定します。有効な値は1~730です。デフォルトは0で、パスコードの有効期限がないことを意味します。
    • 使用済みパスワードの保存数(0 - 50): 保存する使用済みパスワードの数を指定します。ユーザーはこの一覧にあるパスワードを使用できません。有効な値は0~50です。デフォルトは0で、ユーザーがパスワードを再使用できることを意味します。
    • デバイスをロック(サインオンの失敗回数が次を超えた場合) 有効なKnoxライセンスキーが設定されているSamsung Knox 3.0以降を実行しているデバイスで使用します。完全に管理されているデバイス用のみの設定です。仕事用プロファイルデバイスとして登録されているデバイスには適用されません。ユーザーがサインオンに失敗できる回数を指定します。この回数を超えると、デバイスがロックされます。デフォルトは [未定義] です。
  • 仕事用プロファイルのセキュリティ確認: Android Enterpriseの仕事用プロファイル内で実行されるアプリへのアクセスに対して、ユーザーにセキュリティの確認を求めます。Android 7.0以降を実行するデバイス向けです。この設定が [オン] の場合は、[仕事用プロファイルのセキュリティ確認用のパスコード要件][仕事用プロファイルのセキュリティ確認用のパスコードセキュリティ] を設定します。デフォルトはオフです。
  • 仕事用プロファイルのセキュリティ確認用のパスコード要件:
    • 最小の長さ: パスコードの最小文字数を選択します。デフォルトは6です。
    • パスワードの表示をユーザーに許可: 有効なKnoxライセンスキーが設定されているKnox 3.0以降を実行しているデバイスで使用します。この設定をオンにすると、ユーザーはパスワードを表示できるようになります。デフォルトはオフです。
    • バイオメトリック認識: 生体認証を有効にします。この設定が [オン] の場合、[必須文字]フィールドは非表示になります。デフォルトは [オフ] です。
    • 必須文字: パスコードに必要な文字の種類を指定します。一覧から、[制限なし][数字と文字の両方][数字のみ]、または [文字のみ] を選択します。[制限なし] は、Android 7.0を実行しているデバイスにのみ使用します。Android 7.1以降では、[制限なし]設定は適用されません。デフォルトは [数字と文字の両方] です。
    • 禁止文字列: 有効なKnoxライセンスキーが設定されているKnox 3.0以降を実行しているデバイスで使用します。ユーザーがパスコードに使用できない文字列を指定します。禁止文字列を作成して、「password」、「pwd」、「welcome」、「123456」、「111111」などの類推しやすく安全ではない文字列をユーザーが使用できないようにします。拒否する文字列ごとに [追加] をクリックします。ユーザーに使用させない文字列を入力して、文字列を追加するには [保存] を、取り消すには [キャンセル] をクリックします。
    • 詳細な規則: パスコードに使用できる文字の種類を、規則で詳しく設定します。この設定が [オン] の場合は、[最小数]および [最大数] を設定します。この設定は、Android 5.0より前のAndroidデバイスでは使用できません。デフォルトは [オフ] です。
    • 最小数:
      • 記号: 記号の最小使用数を指定します。デフォルト値は0です。
      • 文字: 文字の最小使用数を指定します。デフォルト値は0です。
      • 小文字: 小文字の最小使用数を指定します。デフォルト値は0です。
      • 大文字: 大文字の最小使用数を指定します。デフォルト値は0です。
      • 数字または記号: 数字または記号の最小使用数を指定します。デフォルト値は0です。
      • 数字: 数字の最小使用数を指定します。デフォルト値は0です。
      • 変更する文字数: 有効なKnoxライセンスキーが設定されているKnox 3.0以降を実行しているデバイスで使用します。ユーザーが前のパスコードから変更する必要がある文字数を指定します。デフォルトは [0] です。
    • 最大数: 有効なKnoxライセンスキーが設定されているKnox 3.0以降を実行しているデバイスで使用します。
      • 同一文字の最大使用数: パスコード内に1つの文字を繰り返し使用できる最大回数を指定します。デフォルトは0で、制限がないことを意味します。
      • アルファベットの最大連続数: パスコードに含まれる、連続するアルファベットの最大文字数を指定します。デフォルトは0で、制限がないことを意味します。
      • 数字の最大連続数: パスコードに含まれる、連続する数字の最大文字数を指定します。デフォルトは0で、制限がないことを意味します。
    • 統合パスコードを有効にする: [オン] の場合、ユーザーはデバイスと仕事用プロファイルで1つのパスコードを使用します。[オフ] の場合:
      • ユーザーは、デバイスおよび仕事用プロファイルに異なるパスコードを使用する必要があります。
      • デバイスの [1つのロックを使用する] 設定(ユーザーがデバイスと仕事用プロファイルで1つのパスコードを使用する場合に行う設定)は無効になります。ユーザーはこれを有効にできません。
      • 仕事用プロファイルのセキュリティ確認のパスコード要件がデバイスのパスコードよりも複雑な場合:[1つのロックを使用する] 設定が有効になっているユーザーは、仕事用プロファイルのパスコードを変更するよう求められます。

      デフォルトは [オフ] です。Android 9.0以降で利用可能です。

  • 仕事用プロファイルのセキュリティ確認用のパスコード セキュリティ
    • コンテナをワイプ(サインオンの失敗回数が次を超えた場合): ユーザーがサインオンに失敗できる回数を指定します。この回数を超えると、仕事用プロファイルとそのデータがデバイスからワイプされます。ユーザーは、ワイプが発生した後、仕事用プロファイルを再度初期化する必要があります。デフォルトは [未定義] です。
    • コンテナをロックするまでの期間(分単位のアイドル時間): デバイスを非アクティブにしておくことができる分数を指定します。この時間が過ぎると、仕事用プロファイルはロックされます。デフォルトは [なし] です。
    • パスコードの有効期限(1-730日): パスコードを有効期限切れにするまでの日数を指定します。有効な値は1~730です。デフォルトは0で、パスコードの有効期限がないことを意味します。
    • 使用済みパスワードの保存数(0 - 50): 保存する使用済みパスワードの数を指定します。ユーザーはこの一覧にあるパスワードを使用できません。有効な値は0~50です。デフォルトは0で、ユーザーがパスワードを再使用できることを意味します。
    • コンテナをロック(サインオンの失敗回数が次を超えた場合) 有効なKnoxライセンスキーが設定されているKnox 3.0以降を実行しているデバイスで使用します。ユーザーがサインオンに失敗できる回数を指定します。この回数を超えると、デバイスがロックされます。デフォルトは [未定義] です。

Windowsデスクトップ/タブレットの設定

デバイスポリシー構成画面の画像

  • 便利なログオンを許可しない: ユーザーがピクチャーパスワードまたは生体認証ログオンを使用してデバイスにアクセスできるようにするかどうかを選択します。デフォルトは [オフ] です。
  • 最小パスコード長: ドロップダウンリストから、パスコードの最小文字数を選択します。デフォルトは6です。
  • ワイプ前のパスコード入力試行回数の上限: ユーザーが正常なサインオンの前に失敗できる回数を入力します。この回数を超えると、企業データがデバイスからワイプされます。デフォルトは4です。
  • パスコードの有効期限(0〜730日): パスコードを有効期限切れにするまでの日数を入力します有効な値は1~730です。デフォルトは0で、パスコードの有効期限がないことを意味します。
  • パスコード履歴:(1-24): 保存する使用済みパスコードの数を入力します。ユーザーはこの一覧にあるパスコードを使用できません。有効な値は1~24です。このフィールドには1~24の数値を入力する必要があります。デフォルトは [0] です。
  • デバイスロックまでの最大アイドル時間(1 - 999分): デバイスを非アクティブにしておくことができる分数を入力します。この時間が過ぎると、デバイスはロックされます。有効な値は1~999です。このフィールドには1~999の数値を入力する必要があります。デフォルトは [0] です。
パスコードデバイスポリシー