iOS
XenMobile Server で iOS デバイスを管理するには、Apple から Apple Push Notification service (APNs) 証明書を設定します。詳しくは、「APNs 証明書」を参照してください。
登録プロファイルは、iOS デバイスが MDM+MAM に登録するかどうかを決定し、ユーザーが MDM からオプトアウトするオプションを提供します。XenMobile Server は、MDM+MAM の iOS デバイスに対して次の認証タイプをサポートしています。詳しくは、「証明書と認証」の記事を参照してください。
- ドメイン
- ドメインとセキュリティトークン
- クライアント証明書
- クライアント証明書とドメイン
iOS 13 での信頼された証明書の要件:
Apple は TLS サーバー証明書に新しい要件を設けています。すべての証明書が新しい Apple の要件に従っていることを確認してください。Apple の公開情報「https://support.apple.com/en-us/HT210176」を参照してください。証明書の管理については、「XenMobile Server での証明書のアップロード」を参照してください。
サポートされているオペレーティングシステムについては、「サポートされているデバイスオペレーティングシステム」を参照してください。
iOS 14 の互換性
XenMobile® Server および Citrix® モバイルアプリは iOS 14 と互換性がありますが、現在のところ新しい iOS 14 の機能はサポートしていません。
監視対象の iOS デバイスの場合、ソフトウェアアップグレードを最大 90 日間遅延させることができます。iOS の制限デバイスポリシーで、次の設定を使用します。
- ソフトウェアアップデートの強制遅延
- ソフトウェアアップデートの遅延期間
「iOS 設定」を参照してください。これらの設定は、ユーザー登録モードまたは非監視モード(完全 MDM)のデバイスでは利用できません。
開放しておく必要がある Apple ホスト名
iOS、macOS、および Apple App Store の適切な動作を確保するために、一部の Apple ホスト名を開放しておく必要があります。これらのホスト名をブロックすると、iOS、iOS アプリ、MDM 運用、およびデバイスとアプリの登録のインストール、更新、および適切な動作に影響を与える可能性があります。詳しくは、「https://support.apple.com/en-us/HT201999」を参照してください。
サポートされている登録方法
登録プロファイルで iOS デバイスの管理方法を指定します。デバイス登録または MDM 登録なしを選択できます。
iOS デバイスの登録設定を構成するには、[構成] > [登録プロファイル] > [iOS] に移動します。
次の表は、XenMobile Server が iOS デバイスでサポートする登録方法の一覧です。
| 方法 | サポート |
|---|---|
| Apple Deployment Program | はい |
| Apple School Manager | はい |
| Apple Configurator | はい |
| 手動登録 | はい |
| 登録招待 | はい |
Apple は、ビジネスアカウントと教育アカウント向けのデバイス登録プログラムを提供しています。ビジネスアカウントの場合、XenMobile Server でデバイスの登録と管理に Apple Deployment Program を使用するために、Apple Deployment Program に登録します。このプログラムは iOS および macOS デバイス用です。詳しくは、「Apple Deployment Program を介したデバイスの展開」を参照してください。
教育アカウントの場合、Apple School Manager アカウントを作成します。Apple School Manager は、Deployment Program とボリューム購入を統合します。Apple School Manager は、教育向け Apple Deployment Program の一種です。詳しくは、「Apple Education 機能との統合」を参照してください。
Apple Deployment Program を使用して、iOS および macOS デバイスを一括登録できます。これらのデバイスは、Apple、参加している Apple Authorized Reseller、または通信事業者から直接購入できます。iOS デバイスを Apple から直接購入するかどうかにかかわらず、Apple Configurator を使用してこれらのデバイスを登録できます。詳しくは、「Apple デバイスの一括登録」を参照してください。
iOS デバイスの手動追加
テスト目的などで iOS デバイスを手動で追加する場合は、次の手順に従います。
-
XenMobile Server コンソールで、[管理] > [デバイス] をクリックします。[デバイス] ページが表示されます。
-
[追加] をクリックします。[デバイスの追加] ページが表示されます。
-
次の設定を構成します。
- プラットフォームの選択: [iOS] をクリックします。
- シリアル番号: デバイスのシリアル番号を入力します。
-
[追加] をクリックします。デバイスがリストの下部に追加された状態で、[デバイス] テーブルが表示されます。デバイスの詳細を表示して確認するには、追加したデバイスを選択し、表示されるメニューで [編集] をクリックします。
注:
デバイスの横にあるチェックボックスを選択すると、オプションメニューがデバイスリストの上に表示されます。リスト内の他の場所をクリックすると、オプションメニューがリストの右側に表示されます。
-
LDAP が構成済み
-
ローカルグループとローカルユーザーを使用している場合:
- 1 つ以上のローカルグループ
- ローカルグループに割り当てられたローカルユーザー
- ローカルグループに関連付けられたデリバリーグループ
-
Active Directory を使用している場合:
- Active Directory グループに関連付けられたデリバリーグループ
-
-
[全般] ページには、シリアル番号やプラットフォームタイプに関するその他の情報など、デバイスの [識別子] が表示されます。[デバイスの所有権] で、[企業] または [BYOD] を選択します。
[全般] ページには、強力な ID、デバイスのロック、アクティベーションロックのバイパス、およびプラットフォームタイプに関するその他の情報など、デバイスの [セキュリティ] プロパティも表示されます。[デバイスの完全ワイプ] フィールドには、ユーザーの PIN コードが含まれます。デバイスがワイプされた後、ユーザーはこのコードを入力する必要があります。ユーザーがコードを忘れた場合は、ここで確認できます。
-
[プロパティ] ページには、XenMobile Server がプロビジョニングするデバイスプロパティが一覧表示されます。このリストには、デバイスの追加に使用されたプロビジョニングファイルに含まれるすべてのデバイスプロパティが表示されます。プロパティを追加するには、[追加] をクリックし、リストからプロパティを選択します。各プロパティの有効な値については、PDF「デバイスプロパティ名と値」を参照してください。
プロパティを追加すると、最初に追加したカテゴリの下に表示されます。[次へ] をクリックして [プロパティ] ページに戻ると、プロパティは適切なリストに表示されます。
プロパティを削除するには、リストにカーソルを合わせ、右側の [X] をクリックします。XenMobile Server はすぐに項目を削除します。
-
残りの [デバイスの詳細] セクションには、デバイスの概要情報が表示されます。
- ユーザープロパティ: RBAC ロール、グループメンバーシップ、ボリューム購入アカウント、およびユーザーのプロパティを表示します。このページからボリューム購入アカウントを廃止できます。
- 割り当て済みポリシー: 展開済み、保留中、失敗したポリシーの数を含む、割り当て済みポリシーの数を表示します。各ポリシーのポリシー名、タイプ、および最終展開情報を提供します。
- アプリ: 最後のインベントリについて、インストール済み、保留中、失敗したアプリ展開の数を表示します。アプリ名、識別子、タイプ、およびその他の情報を提供します。HasUpdateAvailable などの iOS および macOS インベントリキーの説明については、「Mobile Device Management (MDM) Protocol」を参照してください。
- メディア: 最後のインベントリについて、展開済み、保留中、失敗したメディア展開の数を表示します。
- アクション: 展開済み、保留中、失敗したアクションの数を表示します。アクション名と最終展開時刻を提供します。
- デリバリーグループ: 成功、保留中、失敗したデリバリーグループの数を表示します。各展開について、デリバリーグループ名と展開時刻を提供します。デリバリーグループを選択すると、ステータス、アクション、チャネルまたはユーザーなど、より詳細な情報が表示されます。
- iOS プロファイル: 名前、タイプ、組織、説明を含む、最後の iOS プロファイルインベントリを表示します。
- iOS プロビジョニングプロファイル: UUID、有効期限、管理ステータスなど、エンタープライズ配布プロビジョニングプロファイル情報を表示します。
- 証明書: 有効、期限切れ、または失効した証明書について、タイプ、プロバイダー、発行者、シリアル番号、および有効期限までの残り日数などの情報を表示します。
- 接続: 最初の接続ステータスと最後の接続ステータスを表示します。各接続について、ユーザー名、最終認証時刻の 1 つ前(最終認証時刻の直前)の認証時刻、および最終認証時刻を提供します。
- MDM ステータス: MDM ステータス、最終プッシュ時刻、最終デバイス応答時刻などの情報を表示します。
iOS デバイスポリシーの構成
これらのポリシーを使用して、XenMobile Server が iOS を実行しているデバイスとどのように対話するかを構成します。この表は、iOS デバイスで利用可能なすべてのデバイスポリシーを一覧表示します。
iOS デバイスの登録
このセクションでは、ユーザーがiOSデバイス(12.2以降)をXenMobile Serverに登録する方法について説明します。iOS登録の詳細については、以下のビデオをご覧ください。
- iOSデバイスでApple Storeにアクセスし、Citrix Secure Hub™アプリをダウンロードして、アプリをタップします。
- アプリのインストールを求められたら、次へをタップし、インストールをタップします。
- Secure Hubのインストール後、開くをタップします。
- XenMobile Serverのサーバー名、ユーザープリンシパル名(UPN)、またはメールアドレスなどの企業資格情報を入力します。次に、次へをクリックします。
- iOSデバイスを登録するには、はい、登録をタップします。
- XenMobile Serverが収集するデータの一覧が表示されます。次へをクリックします。組織がそのデータをどのように使用するかについての説明が表示されます。次へをクリックします。
- 資格情報を入力した後、構成プロファイルをダウンロードするよう求められたら、許可をタップします。構成プロファイルをダウンロードした後、閉じるをタップします。
- デバイス設定で、iOS証明書をインストールし、デバイスを信頼済みリストに追加します。
- 設定 > 一般 > プロファイル > XenMobileプロファイルサービスに移動し、インストールをタップしてプロファイルを追加します。
- 通知ウィンドウで、信頼をタップしてデバイスをリモート管理に登録します。
- 登録が成功したら、Secure Hubを開きます。MDM+MAMに登録している場合:資格情報が検証された後、プロンプトが表示されたらCitrix PINを作成して確認します。
- ワークフローが完了すると、デバイスが登録されます。その後、App Storeにアクセスして、iOSデバイスにインストールできるアプリを表示できます。
セキュリティアクション
iOSは以下のセキュリティアクションをサポートしています。各セキュリティアクションの説明については、「セキュリティアクション」を参照してください。
| アクティベーションロックバイパス | アプリロック | アプリワイプ |
| ASMアクティベーションロック | 証明書の更新 | 制限のクリア |
| 紛失モードの有効化/無効化 | 追跡の有効化/無効化 | 完全ワイプ |
| 位置特定 | ロック | 着信音 |
| AirPlayミラーリングの要求/停止 | 再起動/シャットダウン | 取り消し/承認 |
| 選択的ワイプ | ロック解除 |
iOSデバイスのロック
紛失したiOSデバイスをロックし、デバイスのロック画面にメッセージと電話番号を表示できます。
ロックされたデバイスにメッセージと電話番号を表示するには、XenMobile Serverコンソールでパスコードポリシーをtrueに設定します。または、ユーザーがデバイスでパスコードを手動で有効にすることもできます。
-
管理 > デバイスをクリックします。デバイスページが表示されます。
-
ロックするiOSデバイスを選択します。
デバイスの横にあるチェックボックスを選択すると、デバイスリストの上にオプションメニューが表示されます。リスト内の他の場所をクリックすると、リストの右側にオプションメニューが表示されます。
-
オプションメニューで、セキュリティをクリックします。セキュリティアクションダイアログボックスが表示されます。
-
ロックをクリックします。セキュリティアクション確認ダイアログボックスが表示されます。
-
必要に応じて、デバイスのロック画面に表示されるメッセージと電話番号を入力します。
iOSは、メッセージフィールドに入力した内容に「Lost iPad」という単語を追加します。
メッセージフィールドを空のままにして電話番号を提供すると、Appleはデバイスのロック画面に「Call owner」というメッセージを表示します。
-
デバイスをロックをクリックします。
iOSデバイスの紛失モード設定
XenMobile Serverの紛失モードデバイスプロパティは、iOSデバイスを紛失モードにします。Apple Managed Lost Modeとは異なり、XenMobile Serverの紛失モードでは、ユーザーがデバイスの位置特定を有効にするために、以下のいずれかのアクションを実行する必要はありません。iPhone/iPadを探す設定を構成するか、Citrix Secure Hubのロケーションサービスを有効にするかです。
XenMobile Serverの紛失モードでは、XenMobile Serverのみがデバイスのロックを解除できます。(対照的に、XenMobile Serverのデバイスロック機能を使用する場合、ユーザーは提供されたPINコードを使用してデバイスのロックを直接解除できます。)
紛失モードを有効または無効にするには:管理 > デバイスに移動し、監視対象のiOSデバイスを選択して、セキュリティをクリックします。次に、紛失モードを有効にするまたは紛失モードを無効にするをクリックします。
紛失モードを有効にするをクリックすると、紛失モード時にデバイスに表示される情報を入力します。
紛失モードのステータスを確認するには、以下のいずれかの方法を使用します。
- セキュリティアクションウィンドウで、ボタンが紛失モードを無効にするに設定されていることを確認します。
- 管理 > デバイスから、セキュリティの下にある一般タブで、最後の紛失モード有効化または紛失モード無効化アクションを確認します。
- 管理 > デバイスから、プロパティタブで、MDM紛失モード有効設定の値が正しいことを確認します。
iOSデバイスでXenMobile Serverの紛失モードを有効にすると、XenMobile Serverコンソールも次のように変更されます。
- 構成 > アクションでは、アクションリストに以下の自動アクションは含まれません:デバイスの取り消し、デバイスの選択的ワイプ、デバイスの完全ワイプ。
- 管理 > デバイスでは、セキュリティアクションリストに取り消しおよび選択的ワイプデバイスアクションは含まれなくなります。必要に応じて、セキュリティアクションを使用して完全ワイプアクションを実行することはできます。
iOSは、セキュリティアクション画面のメッセージに入力した内容に「Lost iPad」という単語を追加します。
メッセージを空のままにして電話番号を提供すると、Appleはデバイスのロック画面に「Call owner」というメッセージを表示します。
iOSアクティベーションロックのバイパス
アクティベーションロックは、紛失または盗難された監視対象デバイスの再アクティベーションを防ぐ「iPhone/iPadを探す」の機能です。アクティベーションロックでは、以下のいずれかのアクションを実行する前に、ユーザーのApple IDとパスワードが必要です:iPhone/iPadを探すをオフにする、デバイスを消去する、またはデバイスを再アクティベートする。組織が所有するデバイスの場合、たとえばデバイスをリセットまたは再割り当てするために、アクティベーションロックをバイパスする必要があります。
アクティベーションロックを有効にするには、XenMobile Server MDMオプションデバイスポリシーを構成して展開します。これにより、ユーザーのApple資格情報なしでXenMobile Serverコンソールからデバイスを管理できます。アクティベーションロックのApple資格情報要件をバイパスするには、XenMobile Serverコンソールからアクティベーションロックバイパスセキュリティアクションを発行します。
たとえば、ユーザーが紛失した電話を返却した場合や、完全ワイプの前後にデバイスをセットアップする場合:電話がApple App Storeアカウントの資格情報を要求したときに、XenMobile Serverコンソールからアクティベーションロックバイパスセキュリティアクションを発行することで、その手順をバイパスできます。
アクティベーションロックバイパスのデバイス要件
- Apple ConfiguratorまたはApple Deployment Programを通じて監視されている
- iCloudアカウントで構成されている
- iPhone/iPadを探すが有効になっている
- XenMobile Serverに登録されている
- アクティベーションロックが有効になっているMDMオプションデバイスポリシーがデバイスに展開されている
デバイスの完全ワイプを実行する前にアクティベーションロックをバイパスするには:
- 管理 > デバイスに移動し、デバイスを選択し、セキュリティをクリックして、アクティベーションロックバイパスをクリックします。
- デバイスをワイプします。デバイスのセットアップ中にアクティベーションロック画面は表示されません。
デバイスの完全ワイプを実行した後にアクティベーションロックをバイパスするには:
- デバイスをリセットまたはワイプします。デバイスのセットアップ中にアクティベーションロック画面が表示されます。
- 管理 > デバイスに移動し、デバイスを選択し、セキュリティをクリックして、アクティベーションロックバイパスをクリックします。
- デバイスの戻るボタンをタップします。ホーム画面が表示されます。
以下の点に注意してください。
- ユーザーに「iPhone/iPadを探す」をオフにしないようアドバイスしてください。デバイスから完全ワイプを実行しないでください。どちらの場合も、ユーザーはiCloudアカウントのパスワードを入力するよう求められます。アカウントの検証後、すべてのコンテンツと設定を消去しても、ユーザーは「iPhone/iPadをアクティベート」画面を見ません。
- アクティベーションロックバイパスコードが生成され、アクティベーションロックが有効になっているデバイスの場合:完全ワイプ後に「iPhone/iPadをアクティベート」ページをバイパスできない場合でも、XenMobile Serverからデバイスを削除する必要はありません。管理者またはユーザーがAppleサポートに直接連絡してデバイスのブロックを解除できます。
- ハードウェアインベントリ中に、XenMobile Serverはデバイスにアクティベーションロックバイパスコードを照会します。バイパスコードが利用可能な場合、デバイスはそれをXenMobile Serverに送信します。その後、デバイスからバイパスコードを削除するには、XenMobile Serverコンソールからアクティベーションロックバイパスセキュリティアクションを送信します。その時点で、XenMobile ServerとAppleはデバイスのブロック解除に必要なバイパスコードを持っています。
- アクティベーションロックバイパスセキュリティアクションは、Appleサービスの可用性に依存します。アクションが機能しない場合、次のようにデバイスのブロックを解除できます。デバイスで、iCloudアカウントの資格情報を手動で入力します。または、ユーザー名フィールドを空のままにして、パスワードフィールドにバイパスコードを入力します。バイパスコードを検索するには、管理 > デバイスに移動し、デバイスを選択し、編集をクリックして、プロパティをクリックします。アクティベーションロックバイパスコードはセキュリティ情報の下にあります。