セキュリティアクション
「管理 > デバイス」ページから、デバイスおよびアプリのセキュリティアクションを実行します。デバイスアクションには、取り消し、ロック、ロック解除、ワイプが含まれます。アプリのセキュリティアクションには、アプリロックとアプリワイプが含まれます。
-
アクティベーションロックバイパス: デバイスのアクティベーション前に、監視対象のiOSデバイスからアクティベーションロックを解除します。このコマンドは、ユーザーの個人のApple IDやパスワードを必要としません。
-
アプリロック: デバイス上のすべてのアプリへのアクセスを拒否します。Androidでは、アプリロック後、ユーザーはXenMobileにサインインできません。iOSでは、ユーザーはサインインできますが、どのアプリにもアクセスできません。
-
アプリワイプ: Secure Hubからユーザーアカウントを削除し、デバイスの登録を解除します。ユーザーは、アプリのワイプ解除アクションを実行するまで再登録できません。
-
ASM展開プログラムアクティベーションロック: Apple School Manager DEPに登録されているiOSデバイスのアクティベーションロックバイパスコードを作成します。
-
制限のクリア: 監視対象のiOSデバイスで、このコマンドによりXenMobileは、ユーザーが構成した制限パスワードと制限設定をクリアできます。
-
紛失モードの有効化/無効化: 監視対象のiOSデバイスを紛失モードにし、デバイスに表示するメッセージ、電話番号、および脚注を送信します。このコマンドを2回目に送信すると、デバイスは紛失モードから解除されます。
-
追跡の有効化: AndroidまたはiOSデバイスで、このコマンドによりXenMobileは、定義した頻度で特定のデバイスの位置情報をポーリングできます。デバイスの座標と地図上の位置を表示するには、「管理 > デバイス」に移動し、デバイスを選択して「編集」をクリックします。デバイス情報は、「セキュリティ」の下の「一般」タブにあります。「追跡の有効化」を使用して、デバイスを継続的に追跡します。Secure Hubは、デバイスの実行中に位置情報を定期的に報告します。
-
完全ワイプ: デバイスから、メモリカードを含むすべてのデータとアプリを即座に消去します。
-
Androidデバイスの場合、この要求にはメモリカードをワイプするオプションも含まれることがあります。
-
ワークプロファイルを持つAndroid Enterpriseの完全管理デバイス(COPEデバイス)の場合、選択的ワイプでワークプロファイルを削除した後、完全ワイプを実行できます。
- iOSおよびmacOSデバイスの場合、デバイスがロックされていてもワイプは即座に実行されます。
- iOS 11デバイス(最小バージョン)の場合:完全ワイプを確定する際に、デバイス上のモバイルデータプランを保持するかどうかを選択できます。
- iOS 11.3デバイス(最小バージョン)の場合:完全ワイプを確定する際に、iOSデバイスが近接セットアップを実行するのを防ぎます。新しいiOSデバイスをセットアップする際、ユーザーは通常、すでに構成されているiOSデバイスを使用して自分のデバイスをセットアップできます。XenMobile Serverで管理され、ワイプされたデバイスでは、近接セットアップをブロックできます。
- iOS 17デバイス(最小バージョン)の場合:完全ワイプを確定すると、デバイスはすべてのユーザーデータを自動的にワイプし、指定されたWi-Fiネットワークに接続し、提供された登録プロファイルを使用してMDMサーバーに再登録します。
-
デバイスユーザーがメモリカードのコンテンツが削除される前にデバイスの電源を切った場合、ユーザーはデバイスデータにアクセスできる可能性があります。
- ワイプリクエストは、デバイスに送信されるまでキャンセルできます。
-
-
位置特定: デバイスを特定し、「管理 > デバイス」ページの「デバイスの詳細 > 一般」の下に、地図を含むデバイスの位置を報告します。位置特定は1回限りのアクションです。「位置特定」を使用して、アクションを実行した時点の現在のデバイスの位置を表示します。一定期間デバイスを継続的に追跡するには、「追跡の有効化」を使用します。
- このアクションをAndroid(Android Enterpriseを除く)デバイス、またはAndroid Enterprise(企業所有またはBYOD)デバイスに適用する場合、以下の動作に注意してください。
- 位置特定には、登録時にユーザーが位置情報の許可を付与する必要があります。ユーザーは位置情報の許可を付与しないことを選択できます。ユーザーが登録時に許可を付与しない場合、XenMobileは位置特定コマンドを送信する際に再度位置情報の許可を要求します。
- この機能をiOSまたはAndroid Enterpriseデバイスに適用する場合、以下の制限に注意してください。
- Android Enterpriseデバイスの場合、位置情報デバイスポリシーがデバイスの位置情報モードを「高精度」または「バッテリー節約」に設定していない限り、この要求は失敗します。
- iOSデバイスの場合、このコマンドはデバイスがMDM紛失モードにある場合にのみ成功します。
- このアクションをAndroid(Android Enterpriseを除く)デバイス、またはAndroid Enterprise(企業所有またはBYOD)デバイスに適用する場合、以下の動作に注意してください。
-
ロック: デバイスをリモートでロックします。このアクションは、デバイスを紛失し、盗難されたかどうかわからない場合に役立ちます。XenMobileはPINコードを生成し、デバイスに設定します。デバイスにアクセスするには、ユーザーはPINコードを入力します。「ロック解除」を使用して、XenMobileコンソールからロックを解除します。
-
ロックとパスワードのリセット: デバイスをリモートでロックし、パスコードをリセットします。
- Android 8.0より前のAndroidバージョンを実行している、ワークプロファイルモードでAndroid Enterpriseに登録されているデバイスではサポートされていません。
- Android 8.0以降を実行している、ワークプロファイルモードでAndroid Enterpriseに登録されているデバイスの場合:
- 送信されたパスコードはワークプロファイルをロックします。デバイスはロックされません。
- パスコードが送信されない場合、または送信されたパスコードがパスコード要件を満たさず、ワークプロファイルにパスコードがすでに設定されていない場合:デバイスはロックされます。
- パスコードが送信されない場合、または送信されたパスコードがパスコード要件を満たさないが、ワークプロファイルにパスコードがすでに設定されている場合:ワークプロファイルはロックされますが、デバイスはロックされません。
-
通知(着信音): Androidデバイスで音を鳴らします。
-
再起動: Windows 10およびWindows 11デバイスを再起動します。WindowsタブレットおよびPCの場合、「System will reboot soon」というメッセージが表示され、その後5分で再起動します。
-
AirPlayミラーリングの要求/停止: 監視対象のiOSデバイスでAirPlayミラーリングを開始および停止します。
-
再起動/シャットダウン: 監視対象のiOSデバイスを即座に再起動またはシャットダウンします。
-
取り消し: デバイスがに接続するのを禁止します。
-
取り消し/承認(iOS、macOS): 選択的ワイプと同じアクションを実行します。取り消し後、デバイスを再承認して再登録できます。
-
着信音: デバイスが紛失モードの場合、監視対象のiOSデバイスで音を鳴らします。この音は、デバイスを紛失モードから解除するか、ユーザーが音を無効にするまで鳴り続けます。
-
選択的ワイプ: デバイスからすべての企業データとアプリを消去し、個人データとアプリはそのまま残します。選択的ワイプ後、ユーザーはデバイスを再登録できます。
- Androidデバイスを選択的にワイプしても、デバイスがデバイスマネージャーおよび企業ネットワークから切断されることはありません。デバイスがデバイスマネージャーにアクセスするのを防ぐには、デバイス証明書も取り消す必要があります。
- Androidデバイスを選択的にワイプすると、デバイスも取り消されます。デバイスを再承認するか、コンソールから削除した後にのみ、デバイスを再登録できます。
- ワークプロファイルを持つAndroid Enterpriseの完全管理デバイス(COPEデバイス)の場合、選択的ワイプでワークプロファイルを削除した後、完全ワイプを実行できます。または、同じユーザー名でデバイスを再登録することもできます。デバイスを再登録すると、ワークプロファイルが再作成されます。
- Samsung Knox APIが有効になっている場合、デバイスを選択的にワイプすると、Samsung Knoxコンテナも削除されます。
- iOSおよびmacOSデバイスの場合、このコマンドはMDMを介してインストールされたプロファイルを削除します。
- Windowsデバイスでの選択的ワイプは、現在サインオンしているユーザーのプロファイルフォルダーの内容も削除します。選択的ワイプでは、構成を通じてユーザーに配信するWebクリップは削除されません。Webクリップを削除するには、ユーザーが手動でデバイスの登録を解除する必要があります。選択的にワイプされたデバイスを再登録することはできません。
- ロック解除: デバイスがロックされたときにデバイスに送信されたパスコードをクリアします。このコマンドはデバイスのロックを解除しません。
「管理 > デバイス」では、「デバイスの詳細」ページにデバイスのセキュリティプロパティも表示されます。これらのプロパティには、強力なID、デバイスのロック、アクティベーションロックバイパス、およびプラットフォームタイプに関するその他の情報が含まれます。「デバイスの完全ワイプ」フィールドにはユーザーのPINコードが含まれています。デバイスがワイプされた後、ユーザーはそのコードを入力する必要があります。ユーザーがコードを忘れた場合、ここで確認できます。
Androidデバイスのセキュリティアクション
| セキュリティアクション | Android(Android Enterpriseデバイスを除く) | Android Enterprise(BYOD) | Android Enterprise(企業所有) |
|---|---|---|---|
| アプリロック | はい | いいえ | いいえ |
| アプリワイプ | はい | いいえ | いいえ |
| 完全ワイプ | はい | いいえ | はい |
| 位置特定 | はい:Android 6.0以降を実行しているデバイスの場合、位置特定には、登録時にユーザーが位置情報の許可を付与する必要があります。ユーザーは位置情報の許可を付与しないことを選択できます。ユーザーが登録時に許可を付与しない場合、XenMobileは位置特定コマンドを送信する際に再度位置情報の許可を要求します。 | はい:Android 6.0以降を実行しているデバイスの場合、位置特定には、登録時にユーザーが位置情報の許可を付与する必要があります。ユーザーは位置情報の許可を付与しないことを選択できます。ユーザーが登録時に許可を付与しない場合、XenMobileは位置特定コマンドを送信する際に再度位置情報の許可を要求します。 | はい:Android 6.0以降を実行しているデバイスの場合、位置特定には、登録時にユーザーが位置情報の許可を付与する必要があります。ユーザーは位置情報の許可を付与しないことを選択できます。ユーザーが登録時に許可を付与しない場合、XenMobileは位置特定コマンドを送信する際に再度位置情報の許可を要求します。 |
| ロック | はい | はい | はい |
| ロックとパスワードのリセット | はい | いいえ | はい |
| 通知(着信音) | はい | はい | はい |
| 取り消し | はい | はい | はい |
| 選択的ワイプ | はい | はい | いいえ |
iOSおよびmacOSデバイスのセキュリティアクション
| セキュリティアクション | iOS | macOS |
|---|---|---|
| アクティベーションロックバイパス | はい | いいえ |
| アプリロック | はい | いいえ |
| アプリワイプ | はい | いいえ |
| ASM展開プログラムアクティベーションロック | はい | いいえ |
| 制限のクリア | はい | いいえ |
| 紛失モードの有効化/無効化 | はい | いいえ |
| 追跡の有効化/無効化 | はい | いいえ |
| 完全ワイプ | はい | はい |
| 位置特定 | はい | いいえ |
| ロック | はい | はい |
| 着信音 | はい | はい |
| AirPlayミラーリングの要求/停止 | はい | いいえ |
| 再起動/シャットダウン | はい | いいえ |
| 取り消し/承認 | はい | はい |
| 選択的ワイプ | はい | はい |
| ロック解除 | はい | いいえ |
Windowsデバイスのセキュリティアクション
| セキュリティアクション | Windows Tablet 10 |
|---|---|
| 位置特定 | はい |
| ロック | はい |
| ロックとパスワードのリセット | いいえ |
| 再起動 | はい |
| 取り消し | はい |
| 着信音 | いいえ |
| 選択的ワイプ | はい |
| ワイプ | はい |
この記事の残りの部分では、さまざまなセキュリティアクションを実行する手順を説明します。一部のアクションを自動化することもできます。詳細については、自動化されたアクションを参照してください。
iOSデバイスのロック
紛失したiOSデバイスをロックし、デバイスのロック画面にメッセージと電話番号を表示できます。この機能は、iOS 7以降を実行しているデバイスでサポートされています。
ロックされたデバイスにメッセージと電話番号を表示するには、XenMobileコンソールでパスコードポリシーをtrueに設定します。または、ユーザーがデバイスでパスコードを手動で有効にすることもできます。
-
[管理] > [デバイス] をクリックします。[デバイス] ページが表示されます。
-
ロックするiOSデバイスを選択します。
デバイスの横にあるチェックボックスを選択すると、デバイスリストの上にオプションメニューが表示されます。リスト内の他の場所をクリックすると、オプションメニューがリストの右側に表示されます。
-
オプションメニューで、[セキュリティ保護] をクリックします。[セキュリティアクション] ダイアログボックスが表示されます。
-
[ロック] をクリックします。[セキュリティアクション] 確認ダイアログボックスが表示されます。
-
オプションで、デバイスのロック画面に表示されるメッセージと電話番号を入力します。
iOS 7以降を実行しているiPadの場合:iOSは、[メッセージ] フィールドに入力した内容に「Lost iPad」という単語を追加します。
iOS 7以降を実行しているiPhoneの場合:[メッセージ] フィールドを空のままにして電話番号を入力すると、Appleはデバイスのロック画面に「Call owner」というメッセージを表示します。
-
[デバイスのロック] をクリックします。
XenMobileコンソールからのデバイスの削除
重要:
XenMobileコンソールからデバイスを削除しても、管理対象アプリとデータはデバイスに残ります。デバイスから管理対象アプリとデータを削除するには、この記事の後半にある「デバイスの削除」を参照してください。
XenMobileコンソールからデバイスを削除するには、[管理] > [デバイス] に移動し、管理対象デバイスを選択して、[削除] をクリックします。
デバイスの選択的ワイプ
-
[管理] > [デバイス] に移動し、管理対象デバイスを選択して、[セキュリティ保護] をクリックします。
-
[セキュリティアクション] で、[選択的ワイプ] をクリックします。
-
Androidデバイスの場合のみ、デバイスを企業ネットワークから切断します。デバイスがワイプされた後、[セキュリティアクション] で [取り消し] をクリックします。
ワイプが発生する前に選択的ワイプ要求を取り消すには、[セキュリティアクション] で [選択的ワイプのキャンセル] をクリックします。
デバイスの削除
この手順では、デバイスから管理対象アプリとデータを削除し、XenMobileコンソールのデバイスリストからデバイスを削除します。Endpoint Management Public REST APIを使用して、デバイスを一括削除できます。
-
[管理] > [デバイス] に移動し、管理対象デバイスを選択して、[セキュリティ保護] をクリックします。
-
[選択的ワイプ] をクリックします。プロンプトが表示されたら、[選択的ワイプの実行] をクリックします。
-
ワイプコマンドが成功したことを確認するには、[管理] > [デバイス] を更新します。[モード] 列で、MDMとMAMの琥珀色(アンバー)は、ワイプコマンドが成功したことを示します。
-
[管理] > [デバイス] で、デバイスを選択して [削除] をクリックします。プロンプトが表示されたら、もう一度 [削除] をクリックします。
アプリのロック、ロック解除、ワイプ、またはワイプ解除
-
[管理] > [デバイス] に移動し、管理対象デバイスを選択して、[セキュリティ保護] をクリックします。
-
セキュリティアクションで、アプリのアクションをクリックします。
Active Directoryからアカウントが無効化または削除されたユーザーのデバイスステータスを確認するために、セキュリティアクションボックスを使用することもできます。アプリのロック解除またはアプリのワイプ解除アクションが存在する場合、アプリがロックまたはワイプされていることを示します。
アプリのワイプとワイプ解除
-
管理 > デバイスに移動します。デバイスを選択します。
- アプリのワイプ
- セキュリティ > アプリのワイプをクリックします。次のメッセージが表示されたダイアログボックスが表示されます: このデバイスをアプリワイプしてもよろしいですか? アプリのワイプをクリックします。
- アプリのワイプ解除
- セキュリティ > アプリのワイプ解除をクリックします。次のメッセージが表示されたダイアログボックスが表示されます: このデバイスをアプリワイプ解除してもよろしいですか? デバイスのアプリのワイプ解除をクリックします。
-
デバイスでSecure Hubを開き、ストアをクリックします。
- Secure Hubを起動します。
iOSデバイスの紛失モードへの設定
XenMobile紛失モードのデバイスプロパティは、iOSデバイスを紛失モードにします。Apple管理の紛失モードとは異なり、XenMobile紛失モードでは、デバイスの位置特定を有効にするために、ユーザーがiPhone/iPadを探す設定を構成したり、Citrix Secure Hubのロケーションサービスを有効にしたりする必要はありません。
XenMobile紛失モードでは、のみがデバイスをロック解除できます。(対照的に、XenMobileデバイスロック機能を使用する場合、ユーザーは提供されたPINコードを使用してデバイスを直接ロック解除できます。)
紛失モードを有効または無効にするには、管理 > デバイスに移動し、監視対象のiOSデバイスを選択して、セキュリティをクリックします。その後、紛失モードを有効にするまたは紛失モードを無効にするをクリックします。
紛失モードを有効にするをクリックすると、紛失モードのときにデバイスに表示される情報を入力します。
紛失モードのステータスを確認するには、次のいずれかの方法を使用します。
- セキュリティアクションウィンドウで、ボタンが紛失モードを無効にするであるかを確認します。
- 管理 > デバイスの一般タブにあるセキュリティで、最後の紛失モードを有効にするまたは紛失モードを無効にするアクションを確認します。
- 管理 > デバイスのプロパティタブで、MDM紛失モード有効設定の値が正しいことを確認します。
iOSデバイスでXenMobile紛失モードを有効にすると、XenMobileコンソールも次のように変更されます。
- 構成 > アクションで、アクションリストには、デバイスの取り消し、デバイスの部分ワイプ、およびデバイスの完全ワイプの自動アクションは含まれません。
- 管理 > デバイスで、セキュリティアクションリストには、取り消しおよび部分ワイプデバイスアクションは含まれなくなります。必要に応じて、セキュリティアクションを使用して完全ワイプアクションを実行することは引き続き可能です。
iOS 7以降を実行しているiPadの場合、iOSはセキュリティアクション画面のメッセージに入力した内容に「Lost iPad」という単語を追加します。
iOS 7以降を実行しているiPhoneの場合、メッセージを空のままにして電話番号を提供すると、Appleはデバイスのロック画面に「Call owner」というメッセージを表示します。
iOSアクティベーションロックのバイパス
アクティベーションロックは、「iPhone/iPadを探す」の機能であり、紛失または盗難された監視対象デバイスの再アクティベーションを防止します。アクティベーションロックでは、誰かが「iPhone/iPadを探す」を無効にしたり、デバイスを消去したり、デバイスを再アクティベーションしたりする前に、ユーザーのApple IDとパスワードが必要です。組織が所有するデバイスの場合、例えばデバイスをリセットまたは再割り当てするために、アクティベーションロックのバイパスが必要です。
アクティベーションロックを有効にするには、XenMobile MDMオプションデバイスポリシーを構成して展開します。その後、ユーザーのApple資格情報なしでXenMobileコンソールからデバイスを管理できます。アクティベーションロックのApple資格情報要件をバイパスするには、XenMobileコンソールからアクティベーションロックバイパスセキュリティアクションを発行します。
例えば、ユーザーが紛失した電話を返却した場合、または完全ワイプの前後にデバイスをセットアップする場合、電話がiTunesアカウントの資格情報を要求したときに、XenMobileコンソールからアクティベーションロックバイパスセキュリティアクションを発行することで、その手順をバイパスできます。
アクティベーションロックバイパスのデバイス要件
- iOS 7.1(最小バージョン)
- Apple ConfiguratorまたはApple DEPを介して監視されている
- iCloudアカウントで構成されている
- 「iPhone/iPadを探す」が有効になっている
- XenMobileに登録されている
- アクティベーションロックが有効になっているMDMオプションデバイスポリシーがデバイスに展開されている
デバイスの完全ワイプを発行する前にアクティベーションロックをバイパスするには:
- 管理 > デバイスに移動し、デバイスを選択し、セキュリティをクリックし、その後アクティベーションロックバイパスをクリックします。
- デバイスをワイプします。デバイスのセットアップ中にアクティベーションロック画面は表示されません。
デバイスの完全ワイプを発行した後にアクティベーションロックをバイパスするには:
- デバイスをリセットまたはワイプします。デバイスのセットアップ中にアクティベーションロック画面が表示されます。
- 管理 > デバイスに移動し、デバイスを選択し、セキュリティをクリックし、その後アクティベーションロックバイパスをクリックします。
- デバイスの戻るボタンをタップします。ホーム画面が表示されます。
次の点に注意してください。
- ユーザーに「iPhone/iPadを探す」を無効にしないように助言してください。デバイスから完全ワイプを実行しないでください。いずれの場合も、ユーザーはiCloudアカウントのパスワードを入力するよう求められます。アカウントの検証後、すべてのコンテンツと設定を消去しても、ユーザーは「iPhone/iPadをアクティベート」画面を見ません。
- 生成されたアクティベーションロックバイパスコードを持ち、アクティベーションロックが有効になっているデバイスの場合:完全ワイプ後に「iPhone/iPadをアクティベート」ページをバイパスできない場合でも、XenMobileからデバイスを削除する必要はありません。あなたまたはユーザーは、Appleサポートに直接連絡してデバイスのブロックを解除できます。
- ハードウェアインベントリ中に、XenMobileはデバイスにアクティベーションロックバイパスコードを照会します。バイパスコードが利用可能な場合、デバイスはそれをXenMobileに送信します。その後、デバイスからバイパスコードを削除するには、XenMobileコンソールからアクティベーションロックバイパスセキュリティアクションを送信します。その時点で、とAppleはデバイスのブロック解除に必要なバイパスコードを持っています。
- アクティベーションロックバイパスセキュリティアクションは、Appleサービスの可用性に依存します。アクションが機能しない場合、次のようにデバイスのブロックを解除できます。デバイス上で、iCloudアカウントの資格情報を手動で入力します。または、ユーザー名フィールドを空のままにし、パスワードフィールドにバイパスコードを入力します。バイパスコードを検索するには、管理 > デバイスに移動し、デバイスを選択し、編集をクリックし、プロパティをクリックします。アクティベーションロックバイパスコードはセキュリティ情報の下にあります。