共有デバイス

XenMobileでは、複数のユーザーが共有できるデバイスを構成できます。共有デバイス機能を使用すると、たとえば、病院の臨床医は、特定のデバイスを持ち歩くのではなく、近くにある任意のデバイスを使用して、アプリケーションやデータにアクセスできます。場合によっては、法執行機関、リテール、製造などの現場で交代勤務労働者にデバイスを共有させ、機器費用の削減を図る必要があります。

共有デバイスに関する注意点

サポートされているiOSデバイスとAndroidデバイスのいずれかを共有デバイスとして使用できます。サポートされているデバイスのリストについては、「サポート対象のデバイスオペレーティングシステム」を参照してください。

MDMモード

  • iOSおよびAndroid搭載のタブレットおよびスマートフォンで使用できます。XenMobile Enterpriseの共有デバイスでは、基本的なデバイス登録プログラム(DEP)による登録はサポートされません。共有デバイスをこのモードで登録するするには、認証済みのDEPを使用する必要があります。
  • クライアント証明書認証、Citrix PIN、Touch ID、ユーザーエントロピー、2要素認証はサポートされません。

MDM+MAMモード

  • iOSおよびAndroidタブレットでのみ使用できます。
  • Active Directoryのユーザー名およびパスワード認証のみがサポートされます。
  • クライアント証明書認証、Worx PIN、Touch ID、ユーザーエントロピー、2要素認証はサポートされません。
  • MAMのみのモードはサポートされません。デバイスはMDMに登録する必要があります。
  • Secure Mail、Secure Web、およびShareFileモバイルアプリのみがサポートされます。HDXアプリはサポートされません。
  • Active Directoryユーザーのみがサポートされます。ローカルユーザーおよびグループはサポートされません。
  • 既存のMDM-onlyモードの共有デバイスをMDM+MAMモードに更新するには、再登録が必要です。
  • ユーザーが共有できるのは業務用モバイルアプリおよびMDXラップしたアプリのみであり、デバイスのネイティブのアプリケーションは共有できません。
  • 最初の登録時に業務用モバイルアプリをダウンロードすれば、新しいユーザーがデバイスにログオンするたびにこのアプリがダウンロードされることはありません。新しいユーザーは、デバイスを起動して、サインインし、使用を始めることができます。
  • セキュリティのために、Android上で各ユーザーのデータを隔離する場合は、XenMobileコンソールで[Disallow rooted devices]ポリシーを[オン]にする必要があります。

共有デバイスの登録の前提条件

共有デバイスを登録する前に、以下の操作を行う必要があります。

MDM+MAMモードの前提条件

  1. Shared Device Enrollersなどの名前のActive Directoryグループを作成します。
  2. 共有デバイスを登録するActive Directoryユーザーをこのグループに追加します。このために新しいアカウントが必要な場合は、新しいActive Directoryユーザー(sdenrollなど)を作成して、このユーザーをActive Directoryグループに追加します。

共有デバイスを構成する

以下の手順に従って、共有デバイスを構成します。

  1. XenMobileコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。
  2. [Role-Based Access Control][Add]の順にクリックします。[デバイスの追加] ページが開きます。
  3. [承認済みのアクセス][共有デバイスの登録機能]権限を持つShared Device Enrollment Userという名前の共有デバイス登録ユーザーの役割を作成します。[Console features]の[Devices]を展開し、[Selective Wipe device]をオンにします。この設定によって、共有デバイス登録機能アカウントにプロビジョニングされたアプリとポリシーは、デバイスの登録が解除されるとSecure Hubから削除されます。

    適用権限]で、デフォルト設定の[すべてのユーザー グループ]を保持するか、特定のActive Directoryユーザーグループに[特定のユーザー グループ]で権限を割り当てます。

    [適用権限]オプションの画像

    [次へ]をクリックして[割り当て]画面に進みます。作成したばかりの共有デバイス登録の役割を、前提条件の手順1で共有デバイス登録ユーザーのために作成したActive Directoryグループに割り当てます。下の図でcitrix.labはActive Directoryドメイン、Shared Device EnrollersはActive Directoryグループです。

    [割り当て]ページの画像

  4. ユーザーがサインオンしていないときにデバイスに適用するベースポリシー、アプリケーション、アクションを含むデリバリーグループを作成し、共有デバイス登録ユーザーActive Directoryグループにそのデリバリーグループを関連付けます。

    デリバリーグループ設定の画像

  5. 共有するデバイスで、Secure Hubをインストールし、共有デバイス登録ユーザーアカウントを使用してXenMobileにデバイスを登録します。XenMobileコンソールでデバイスを表示および管理できるようになります。詳しくは、「デバイスの登録」を参照してください。

  6. 認証されたユーザーに異なるポリシーを適用したり、追加のアプリケーションを提供するには、そのユーザーに関連付け、共有デバイスにのみ展開するデリバリーグループを作成する必要があります。グループを作成するときは、展開規則を構成して、パッケージが共有デバイスに展開されるようにします。詳しくは、「リソースの展開」を参照してください。

  7. デバイスの共有を停止するには、選択的なワイプを実行して、共有デバイス登録ユーザーアカウントおよび展開されたアプリケーションとポリシーをデバイスから削除します。

共有デバイスのユーザーエクスペリエンス

MDMモード

ユーザーにはそのユーザーが使用できるリソースだけが表示され、すべての共有デバイスに同じエクスペリエンスが提供されます。共有デバイス登録ポリシーとアプリは常にデバイスに残ります。共有デバイス登録ユーザー以外のユーザーがSecure Hubにサインオンすると、そのユーザーのポリシーとアプリケーションがデバイスに展開されます。ユーザーがサインオフすると、共有デバイス登録に必要とされているものを除いて、ポリシーおよびアプリケーションは削除されます。

MDM+MAMモード

共有デバイス登録ユーザーによって登録されると、Secure MailとSecure Webがデバイスに展開されます。ユーザーデータはデバイスに安全に保持されます。ユーザーがSecure MailまたはSecure Webにサインオンした場合、データはほかのユーザーには表示されません。

Secure Hubにサインオンできるユーザーは、一度に1人だけです。前のユーザーがサインオフしてからでないと、次のユーザーはサインオンできません。セキュリティ上の理由から、共有デバイスにはユーザーの資格情報が保存されないので、ユーザーはサインオンのたびに資格情報を入力する必要があります。前のユーザーのためのリソースに新しいユーザーがアクセスできないように、前のユーザーに関連付けられているポリシー、アプリケーション、データが削除されている間、新しいユーザーはサインオンできません。

共有デバイス登録によって、アプリケーションのアップグレード プロセスが変更されることはありません。通常通り、共有デバイスユーザーにアップグレードをプッシュし、共有デバイスユーザーはデバイス上でアプリケーションをアップグレードできます。

推奨されるSecure Mailポリシー

  • Secure Mailのパフォーマンスを最適化するためには、デバイスを共有するユーザーの数に応じて[Max sync period]を設定します。無制限同期を許可することは推奨されません。
デバイスを共有するユーザーの数 推奨される[同期の最大期間]
21~25 1週間以内
6~20 2週間以内
5以下 1か月以内
  • [連絡先のエクスポートの有効化] を禁止して、ユーザーの連絡先がデバイスを共有する他のユーザーにさらされないようにします。

  • iOSでは、次の設定のみをユーザーごとに設定できます。その他の設定は、デバイスを共有するユーザー間で共通になります。

    • 通知
    • 署名
    • 不在
    • メール期間の同期
    • S/MIME
    • スペルチェック