共有デバイス
XenMobileでは、複数のユーザーが共有できるデバイスを構成できます。共有デバイス機能を使用すると、たとえば、病院の臨床医は、特定のデバイスを持ち歩くのではなく、近くにある任意のデバイスを使用して、アプリやデータにアクセスできます。場合によっては、法執行機関、リテール、製造などの現場で交代勤務労働者にデバイスを共有させ、機器費用の削減を図る必要があります。
共有デバイスに関する注意点
サポートされているiOSデバイスとAndroidデバイスのいずれかを共有デバイスとして使用できます。サポートされているデバイスのリストについては、「サポート対象のデバイスオペレーティングシステム」を参照してください。
MDMモード
- iOSおよびAndroid搭載のタブレットおよびスマートフォンで使用できます。XenMobile Enterpriseの共有デバイスでは、基本的なデバイス登録プログラム(DEP)による登録はサポートされません。共有デバイスをこのモードで登録するするには、認証済みのDEPを使用する必要があります。
- クライアント証明書認証、Citrix PIN、Touch ID、ユーザーエントロピー、2要素認証はサポートされません。
MDM+MAMモード
- iOSおよびAndroidタブレットでのみ使用できます。
- Active Directoryのユーザー名およびパスワード認証のみがサポートされます。
- クライアント証明書認証、Worx PIN、Touch ID、ユーザーエントロピー、2要素認証はサポートされません。
- MAMのみのモードはサポートされません。デバイスはMDMに登録する必要があります。
- Secure Mail、Secure Web、およびShareFileモバイルアプリのみがサポートされます。HDXアプリはサポートされません。
- Active Directoryユーザーのみがサポートされます。ローカルユーザーおよびグループはサポートされません。
- 既存のMDM-onlyモードの共有デバイスをMDM+MAMモードに更新するには、再登録が必要です。
- ユーザーが共有できるのは業務用モバイルアプリおよびMDXラップしたアプリのみであり、デバイスのネイティブのアプリケーションは共有できません。
- 最初の登録時に業務用モバイルアプリをダウンロードすれば、新しいユーザーがデバイスにログオンするたびにこのアプリがダウンロードされることはありません。新しいユーザーは、デバイスを起動して、サインインし、使用を始めることができます。
- セキュリティのために、Android上で各ユーザーのデータを隔離する場合は、XenMobileコンソールで[Disallow rooted devices]ポリシーを[オン]にする必要があります。
共有デバイスの登録の前提条件
共有デバイスを登録する前に、以下の操作を行う必要があります。
- 共有デバイス登録ユーザーの役割を作成します。「RBACを使用した役割の構成」を参照してください。
- 共有デバイスユーザーを作成します。「ローカルユーザーアカウントを追加、編集、または削除するには」を参照してください。
- 共有デバイス登録ユーザーに適用されるベースポリシー、アプリ、およびアクションを含むデリバリーグループを作成します。「リソースの展開」を参照してください。
MDM+MAMモードの前提条件
- Shared Device Enrollersなどの名前のActive Directoryグループを作成します。
- 共有デバイスを登録するActive Directoryユーザーをこのグループに追加します。このために新しいアカウントが必要な場合は、新しいActive Directoryユーザー(sdenrollなど)を作成して、このユーザーをActive Directoryグループに追加します。
共有デバイスを構成する
以下の手順に従って、共有デバイスを構成します。
- XenMobileコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。
- [役割ベースのアクセス制御]、[追加] の順にクリックします。[役割の追加] ページが開きます。
-
[承認済みのアクセス] で [共有デバイスの登録機能] 権限を持つShared Device Enrollment Userという名前の共有デバイス登録ユーザーの役割を作成します。[コンソールの機能] の [デバイス] を展開し、[デバイスの選択的なワイプ] をオンにします。この設定によって、共有デバイス登録機能アカウントにプロビジョニングされたアプリとポリシーは、デバイスの登録が解除されるとSecure Hubから削除されます。
[適用権限] で、デフォルト設定の [すべてのユーザーグループ] を保持するか、特定のActive Directoryユーザーグループに [特定のユーザーグループ] で権限を割り当てます。
![[適用権限]オプションの画像](/en-us/xenmobile/server/media/xmob-shared-devices-role-info.png)
[次へ] をクリックして [割り当て] 画面に進みます。作成したばかりの共有デバイス登録の役割を、前提条件の手順1で共有デバイス登録ユーザーのために作成したActive Directoryグループに割り当てます。下の図でcitrix.labはActive Directoryドメイン、Shared Device EnrollersはActive Directoryグループです。
![[割り当て]ページの画像](/en-us/xenmobile/server/media/shared-devices-assignment.png)
-
ユーザーがサインオンしていないときにデバイスに適用するベースポリシー、アプリ、アクションを含むデリバリーグループを作成し、共有デバイス登録ユーザーActive Directoryグループにそのデリバリーグループを関連付けます。
-
共有するデバイスで、Secure Hubをインストールし、共有デバイス登録ユーザーアカウントを使用してXenMobileにデバイスを登録します。XenMobileコンソールでデバイスを表示および管理できるようになります。詳しくは、「デバイスの登録」を参照してください。
-
認証されたユーザーに異なるポリシーを適用したり、追加のアプリを提供するには、そのユーザーに関連付け、共有デバイスにのみ展開するデリバリーグループを作成する必要があります。グループを作成するときは、展開規則を構成して、パッケージが共有デバイスに展開されるようにします。詳しくは、「リソースの展開」を参照してください。
- デバイスの共有を停止するには、選択的なワイプを実行して、共有デバイス登録ユーザーアカウントおよび展開されたアプリとポリシーをデバイスから削除します。
共有デバイスのユーザーエクスペリエンス
MDMモード
ユーザーにはそのユーザーが使用できるリソースだけが表示され、すべての共有デバイスに同じエクスペリエンスが提供されます。共有デバイス登録ポリシーとアプリは常にデバイスに残ります。共有デバイス登録ユーザー以外のユーザーがSecure Hubにサインオンすると、そのユーザーのポリシーとアプリがデバイスに展開されます。ユーザーがサインオフすると、共有デバイス登録に必要とされているものを除いて、ポリシーおよびアプリは削除されます。
MDM+MAMモード
共有デバイス登録ユーザーによって登録されると、Secure MailとSecure Webがデバイスに展開されます。ユーザーデータはデバイスに安全に保持されます。ユーザーがSecure MailまたはSecure Webにサインオンした場合、データはほかのユーザーには表示されません。
Secure Hubにサインオンできるユーザーは、一度に1人だけです。前のユーザーがサインオフしてからでないと、次のユーザーはサインオンできません。セキュリティ上の理由から、共有デバイスにはユーザーの資格情報が保存されないので、ユーザーはサインオンのたびに資格情報を入力する必要があります。前のユーザーのためのリソースに新しいユーザーがアクセスできないように、前のユーザーに関連付けられているポリシー、アプリ、データが削除されている間、新しいユーザーはサインオンできません。
共有デバイス登録によって、アプリのアップグレード プロセスが変更されることはありません。通常通り、共有デバイスユーザーにアップグレードをプッシュし、共有デバイスユーザーはデバイス上でアプリをアップグレードできます。
推奨されるSecure Mailポリシー
- Secure Mailのパフォーマンスを最適化するためには、デバイスを共有するユーザーの数に応じて [同期の最大期間] を設定します。無制限同期を許可することは推奨されません。
| デバイスを共有するユーザーの数 | 推奨される[同期の最大期間] |
|---|---|
| 21~25 | 1週間以内 |
| 6~20 | 2週間以内 |
| 5以下 | 1か月以内 |
-
[連絡先のエクスポートの有効化] を禁止して、ユーザーの連絡先がデバイスを共有する他のユーザーにさらされないようにします。
-
iOSでは、次の設定のみをユーザーごとに設定できます。その他の設定は、デバイスを共有するユーザー間で共通になります。
- 通知
- 署名
- 不在
- メールの同期期間
- S/MIME
- スペルチェック