ユーザーアカウント、役割、および登録
XenMobile®コンソールで、[管理] タブと [設定] ページからユーザーアカウント、役割、および登録を構成します。特に指定がない限り、以下のタスクの手順はこの記事で説明されています。
- ユーザーアカウントとグループ:
- [管理] > [ユーザー] から、ユーザーアカウントを手動で追加するか、.csvプロビジョニングファイルを使用してアカウントをインポートし、ローカルグループを管理します。
- [設定] > [ワークフロー] から、ワークフローを使用してユーザーアカウントの作成と削除を管理します。
- ユーザーアカウントとグループの役割
- [設定] > [役割ベースのアクセス制御] から、事前定義された役割、つまり一連の権限をユーザーとグループに割り当てます。これらの権限は、ユーザーがシステム機能にアクセスできるレベルを制御します。詳細については、「RBACによる役割の構成」を参照してください。
- [設定] > [通知テンプレート] から、自動化されたアクション、登録、およびユーザーに送信される標準通知メッセージで使用する通知テンプレートを作成または更新します。通知テンプレートは、Secure Hub、SMTP、SMSの3つの異なるチャネルでメッセージを送信するように構成します。詳細については、「通知テンプレートの作成と更新」を参照してください。
- 登録セキュリティモードと招待
- [設定] > [登録] から、最大7つの登録セキュリティモードを構成し、登録招待を送信します。各登録セキュリティモードには、独自のセキュリティレベルと、ユーザーがデバイスを登録するために実行する必要がある手順があります。
- ユーザー登録のためのXenMobileでのAutoDiscoveryの有効化
ローカルユーザーアカウントの追加、編集、ロック解除、または削除
XenMobileにローカルユーザーアカウントを手動で追加することも、プロビジョニングファイルを使用してアカウントをインポートすることもできます。プロビジョニングファイルからユーザーアカウントをインポートする手順については、「ユーザーアカウントのインポート」を参照してください。
-
XenMobileコンソールで、[管理] > [ユーザー] をクリックします。[ユーザー] ページが表示されます。
-
[フィルターの表示] をクリックしてリストをフィルター処理します。
ローカルユーザーアカウントの追加
-
[ユーザー] ページで、[ローカルユーザーの追加] をクリックします。[ローカルユーザーの追加] ページが表示されます。
-
次の設定を構成します。
- ユーザー名: 必須フィールドである名前を入力します。名前には、大文字と小文字に加えてスペースを含めることができます。
-
パスワード: オプションのユーザーパスワードを入力します。パスワードは14文字以上で、以下のすべての条件を満たす必要があります。
- 2つ以上の数字を含める
- 1つ以上の大文字と1つ以上の小文字を含める
- 1つ以上の特殊文字を含める
- 辞書に載っている単語や、Citrix®ユーザー名やメールアドレスなどの制限された単語を含めない
- 1111、1234、asdfなどの3つ以上の連続する繰り返し文字やキーボードパターンを含めない
-
役割: リストでユーザーの役割をクリックします。役割の詳細については、「RBACによる役割の構成」を参照してください。選択可能なオプションは次のとおりです。
- ADMIN
- DEVICE_PROVISIONING
- SUPPORT
- USER
- メンバーシップ: リストで、ユーザーを追加するグループをクリックします。
-
ユーザープロパティ: オプションのユーザープロパティを追加します。追加するユーザープロパティごとに、[追加] をクリックして次の操作を行います。
- ユーザープロパティ: リストでプロパティをクリックし、プロパティの横のフィールドにユーザープロパティ属性を入力します。
- [完了] をクリックしてユーザープロパティを保存するか、[キャンセル] をクリックします。
既存のユーザープロパティを削除するには、プロパティを含む行にマウスカーソルを合わせ、右側のXをクリックします。プロパティはすぐに削除されます。
既存のユーザープロパティを編集するには、プロパティをクリックして変更を加えます。[完了] をクリックして変更されたリストを保存するか、[キャンセル] をクリックしてリストを変更しないままにします。
-
[保存] をクリックします。
ローカルユーザーアカウントの編集
-
[ユーザー] ページで、ユーザーのリストからユーザーを選択し、[編集] をクリックします。[ローカルユーザーの編集] ページが表示されます。
-
必要に応じて、以下の情報を変更します。
- ユーザー名: ユーザー名を変更することはできません。
- パスワード: ユーザーパスワードを変更または追加します。
- 役割: リストでユーザーの役割をクリックします。
- メンバーシップ: リストで、ユーザーアカウントを追加または編集するグループをクリックします。グループからユーザーアカウントを削除するには、グループ名の横にあるチェックボックスをオフにします。
-
ユーザープロパティ: 次のいずれかを実行します。
- 変更するユーザープロパティごとに、プロパティをクリックして変更を加えます。[完了] をクリックして変更されたリストを保存するか、[キャンセル] をクリックしてリストを変更しないままにします。
- 追加するユーザープロパティごとに、[追加] をクリックして次の操作を行います。
- ユーザープロパティ: リストでプロパティをクリックし、プロパティの横のフィールドにユーザープロパティ属性を入力します。
- [完了] をクリックしてユーザープロパティを保存するか、[キャンセル] をクリックします。
- 削除する既存のユーザープロパティごとに、プロパティを含む行にマウスカーソルを合わせ、右側の X をクリックします。プロパティはすぐに削除されます。
-
[保存] をクリックして変更を保存するか、[キャンセル] をクリックしてユーザーを変更しないままにします。
ローカルユーザーアカウントのロック解除
-
[ユーザー] ページで、ユーザーアカウントのリストからユーザーアカウントを選択します。
-
[ローカルユーザーのロック解除] をクリックします。確認ダイアログボックスが表示されます。
-
[ロック解除] をクリックしてユーザーアカウントをロック解除するか、[キャンセル] をクリックしてユーザーを変更しないままにします。
ローカルユーザーアカウントの削除
-
[ユーザー] ページで、ユーザーアカウントのリストからユーザーアカウントを選択します。
各ユーザーアカウントの横にあるチェックボックスを選択することで、複数のユーザーアカウントを削除できます。
-
[削除] をクリックします。確認ダイアログボックスが表示されます。
-
[削除] をクリックしてユーザーアカウントを削除するか、[キャンセル] をクリックします。
Active Directoryユーザーの削除
複数のActive Directoryユーザーを一度に削除するには、ユーザーを選択して [削除] をクリックします。
削除したユーザーが登録済みのデバイスを持っており、それらのデバイスを再登録したい場合は、再登録する前にデバイスを削除してください。デバイスを削除するには、[管理] > [デバイス] に移動し、デバイスを選択して [削除] をクリックします。
ユーザーアカウントのインポート
ローカルユーザーアカウントとプロパティは、手動で作成できるプロビジョニングファイルと呼ばれる.csvファイルからインポートできます。プロビジョニングファイルの形式の詳細については、「プロビジョニングファイルの形式」を参照してください。
注:
- ローカルユーザーの場合、インポートファイルでユーザー名とともにドメイン名を使用します。たとえば、username@domainと指定します。作成またはインポートするローカルユーザーがXenMobileの管理対象ドメイン用である場合、ユーザーは対応するLDAP資格情報を使用して登録できません。
- XenMobileの内部ユーザーディレクトリにユーザーアカウントをインポートする場合、インポートプロセスを高速化するためにデフォルトドメインを無効にします。ドメインを無効にすると登録に影響するため、内部ユーザーのインポートが完了したらデフォルトドメインを再度有効にしてください。
- ローカルユーザーはユーザープリンシパル名(UPN)形式にすることができます。ただし、Citrixでは管理対象ドメインを使用しないことをお勧めします。たとえば、example.comが管理対象である場合、user@example.comのようなUPN形式でローカルユーザーを作成しないでください。
プロビジョニングファイルを準備したら、次の手順に従ってファイルをXenMobileにインポートします。
-
XenMobileコンソールで、[管理] > [ユーザー] をクリックします。[ユーザー] ページが表示されます。
-
[ローカルユーザーのインポート] をクリックします。[プロビジョニングファイルのインポート] ダイアログボックスが表示されます。
-
インポートするプロビジョニングファイルの形式として、[ユーザー] または [プロパティ] のいずれかを選択します。
-
[参照] をクリックしてファイル場所に移動し、使用するプロビジョニングファイルを選択します。
-
[インポート] をクリックします。
プロビジョニングファイルの形式
XenMobileにユーザーアカウントとプロパティをインポートするためのプロビジョニングファイルを手動で作成できます。有効な形式は次のとおりです。
-
ユーザープロビジョニングファイルのフィールド:
user;password;role;group1;group2 -
ユーザー属性プロビジョニングファイルのフィールド:
user;propertyName1;propertyValue1;propertyName2;propertyValue2
注:
- プロビジョニングファイル内のフィールドはセミコロン(;)で区切ります。フィールドの一部にセミコロンが含まれている場合は、バックスラッシュ文字(\)でエスケープします。たとえば、プロパティ
propertyV;test;1;2は、プロビジョニングファイルではpropertyV\\;test\\;1\\;2と入力します。- 役割の有効な値は、事前定義された役割であるUSER、ADMIN、SUPPORT、DEVICE_PROVISIONING、および定義したその他の役割です。
- グループ階層を作成するには、区切り文字としてピリオド(.)を使用します。グループ名にピリオドを使用しないでください。
- 属性プロビジョニングファイルでは、プロパティ属性に小文字を使用します。データベースでは大文字と小文字が区別されます。
ユーザープロビジョニングコンテンツの例
エントリuser01;pwd\\;o1;USER;myGroup.users01;myGroup.users02;myGroup.users.users01は次のことを意味します。
-
ユーザー:
user01 -
パスワード:
pwd;01 -
役割:
USER -
グループ:
myGroup.users01myGroup.users02myGroup.users.users.users01
別の例として、AUser0;1.password;USER;ActiveDirectory.test.netは次のことを意味します。
-
ユーザー:
AUser0 -
パスワード:
1.password -
役割:
USER -
グループ:
ActiveDirectory.test.net
ユーザー属性プロビジョニングコンテンツの例
エントリuser01;propertyN;propertyV\;test\;1\;2;prop 2;prop2 valueは次のことを意味します。
-
ユーザー:
user01 -
プロパティ1
-
名前:
propertyN -
値:
propertyV;test;1;2
-
名前:
-
プロパティ2:
-
名前:
prop 2 -
値:
prop2 value
-
名前:
登録セキュリティモードの構成
XenMobileでデバイス登録のセキュリティレベルと通知テンプレートを指定するために、デバイス登録セキュリティモードを構成します。
XenMobileは7つの登録セキュリティモードを提供しており、それぞれに独自のセキュリティレベルと、ユーザーがデバイスを登録するために実行する必要がある手順があります。XenMobile Serverコンソールで、[設定] > [登録] ページから登録セキュリティモードを構成します。
一部のモードはセルフヘルプポータルで利用可能にできます。ポータルから、ユーザーはデバイスを登録できる登録リンクを生成します。iOS、iPadOS、macOS、Android Enterprise、およびレガシーAndroidのユーザーは、ポータルから登録招待を自分自身に送信することを選択できます。Windowsデバイスでは登録招待は利用できません。
[管理] > [登録招待] ページから登録招待を送信します。詳細については、「登録招待の送信」を参照してください。
注:
カスタム通知テンプレートを使用する予定がある場合は、登録セキュリティモードを構成する前にテンプレートを設定する必要があります。通知テンプレートの詳細については、「通知テンプレートの作成または更新」を参照してください。
-
XenMobileコンソールで、コンソールの右上隅にある歯車アイコンをクリックします。[設定] ページが表示されます。
-
[登録] をクリックします。[登録] ページが表示され、利用可能なすべての登録セキュリティモードの表が含まれています。デフォルトでは、すべての登録セキュリティモードが有効になっています。
-
リストから任意の登録セキュリティモードを選択して編集します。次に、そのモードをデフォルトとして設定するか、モードを無効にするか、セルフヘルプポータルを通じてユーザーアクセスを許可します。
注:
登録セキュリティモードの横にあるチェックボックスを選択すると、登録セキュリティモードリストの上にオプションメニューが表示されます。リスト内の他の場所をクリックすると、リストの右側にオプションメニューが表示されます。
次の登録セキュリティモードから選択します。
- ユーザー名 + パスワード
- 高セキュリティ
- 招待URL
- 招待URL + PIN
- 招待URL + パスワード
- 2要素認証
- ユーザー名 + PIN
登録招待を使用して、招待状を持つユーザーのみに登録を制限できます。登録招待を送信するには、[招待URL]、[招待URL + PIN]、または [招待URL + パスワード] の登録セキュリティモードのみを使用できます。[ユーザー名 + パスワード]、[2要素認証]、または [ユーザー名 + PIN] で登録するデバイスの場合、ユーザーはSecure Hubで資格情報を手動で入力する必要があります。
ワンタイムPIN(OTP)登録招待を2要素認証ソリューションとして使用できます。OTP登録招待は、ユーザーが登録できるデバイスの数を制御します。OTP招待はWindowsデバイスでは利用できません。
登録セキュリティモードの編集
-
登録リストで、登録セキュリティモードを選択し、編集をクリックします。登録モードの編集ページが表示されます。選択したモードによって、表示されるオプションが決まります。
-
必要に応じて、以下の情報を変更します。
-
有効期限: ユーザーがデバイスを登録できなくなる有効期限を入力します。この値は、ユーザーおよびグループの登録招待設定ページに表示されます。
招待の有効期限が切れないようにするには、「0」と入力します。
- 日数: リストで、有効期限に入力した有効期限に対応する日数または時間をクリックします。
-
最大試行回数: ユーザーが登録プロセスからロックアウトされるまでに試行できる登録回数を入力します。この値は、ユーザーおよびグループの登録招待設定ページに表示されます。
無制限の試行を許可するには、「0」と入力します。
- PINの長さ: 生成されるPINの長さを設定する数値を入力します。
-
数値: リストで、PINの種類として数値または英数字をクリックします。
-
通知テンプレート:
- 登録URLのテンプレート: リストで、登録URLに使用するテンプレートをクリックします。たとえば、登録招待テンプレートは、ユーザーにメールまたはSMSを送信します。この方法は、ユーザーがXenMobileにデバイスを登録できるようにテンプレートを構成した方法によって異なります。通知テンプレートについて詳しくは、「通知テンプレートの作成または更新」を参照してください。
- 登録PINのテンプレート: リストで、登録PINに使用するテンプレートをクリックします。
- 登録確認のテンプレート: リストで、ユーザーに登録が正常に完了したことを通知するために使用するテンプレートをクリックします。
-
-
保存をクリックします。
登録セキュリティモードのデフォルト設定
登録セキュリティモードをデフォルトとして設定すると、別の登録セキュリティモードを選択しない限り、すべてのデバイス登録要求にそのモードが使用されます。登録セキュリティモードがデフォルトとして設定されていない場合、各デバイス登録に対して登録要求を作成する必要があります。
注:
デフォルトとして使用できる登録セキュリティモードは、ユーザー名 + パスワードのみ、2要素認証、またはユーザー名 + PINのみです。
-
デフォルトの登録セキュリティモード(ユーザー名 + パスワード、2要素認証、またはユーザー名 + PIN)を選択します。
モードをデフォルトとして使用するには、まずそのモードを有効にする必要があります。
-
デフォルトをクリックします。選択したモードがデフォルトになります。他の登録セキュリティモードがデフォルトとして設定されていた場合、そのモードはデフォルトではなくなります。
登録セキュリティモードの無効化
登録セキュリティモードを無効にすると、グループ登録招待とセルフヘルプポータルの両方で使用できなくなります。ある登録セキュリティモードを無効にし、別のモードを有効にすることで、ユーザーがデバイスを登録する方法を変更できます。
-
登録セキュリティモードを選択します。
デフォルトの登録セキュリティモードは無効にできません。デフォルトの登録セキュリティモードを無効にする場合は、まずそのデフォルトステータスを解除する必要があります。
-
無効にするをクリックします。登録セキュリティモードは有効ではなくなります。
セルフヘルプポータルでの登録セキュリティモードの有効化
セルフヘルプポータルで登録セキュリティモードを有効にすると、ユーザーは個別にXenMobileにデバイスを登録できます。
注:
- 登録セキュリティモードは、セルフヘルプポータルで利用可能にするために、有効にして通知テンプレートにバインドする必要があります。
- セルフヘルプポータルでは、一度に1つの登録セキュリティモードのみを有効にできます。
-
登録セキュリティモードを選択します。
-
セルフヘルプポータルをクリックします。選択した登録セキュリティモードが、セルフヘルプポータルでユーザーに利用可能になります。セルフヘルプポータルで既に有効になっているモードは、ユーザーに利用できなくなります。
グループの追加または削除
グループは、XenMobileコンソールのユーザー、ローカルユーザーの追加、またはローカルユーザーの編集ページにあるグループの管理ダイアログボックスで管理します。グループの編集コマンドはありません。
グループを削除しても、ユーザーアカウントには影響がないことに注意してください。グループを削除すると、そのグループとのユーザーの関連付けが解除されるだけです。ユーザーは、そのグループに関連付けられているデリバリーグループによって提供されるアプリやプロファイルへのアクセスも失いますが、他のグループ関連付けはそのまま維持されます。ユーザーが他のローカルグループに関連付けられていない場合、最上位レベルに関連付けられます。
ローカルグループの追加
-
次のいずれかを実行します。
- ユーザーページで、ローカルグループの管理をクリックします。
- ローカルユーザーの追加ページまたはローカルユーザーの編集ページで、グループの管理をクリックします。
グループの管理ダイアログボックスが表示されます。
-
グループリストの下に新しいグループ名を入力し、プラス記号(+)をクリックします。ユーザーグループがリストに追加されます。
-
閉じるをクリックします。
グループの削除
グループを削除しても、ユーザーアカウントには影響がありません。グループを削除すると、そのグループとのユーザーの関連付けが解除されるだけです。ユーザーは、そのグループに関連付けられているデリバリーグループによって提供されるアプリやプロファイルへのアクセスも失います。ただし、他のグループ関連付けはそのまま維持されます。ユーザーが他のローカルグループに関連付けられていない場合、最上位レベルに関連付けられます。
-
次のいずれかを実行します。
- ユーザーページで、ローカルグループの管理をクリックします。
- ローカルユーザーの追加ページまたはローカルユーザーの編集ページで、グループの管理をクリックします。
グループの管理ダイアログボックスが表示されます。
-
グループの管理ダイアログボックスで、削除するグループをクリックします。
-
グループ名の右にあるゴミ箱アイコンをクリックします。確認ダイアログボックスが表示されます。
-
削除をクリックして操作を確定し、グループを削除します。
重要:
この操作は元に戻せません。
-
グループの管理ダイアログボックスで、閉じるをクリックします。
ワークフローの作成と管理
ワークフローを使用して、ユーザーアカウントの作成と削除を管理できます。ワークフローを使用する前に、ユーザーアカウント要求を承認する権限を持つ組織内の個人を特定します。その後、ワークフローテンプレートを使用してユーザーアカウント要求を作成および承認できます。
XenMobileを初めてセットアップするときに、ワークフローのメール設定を構成します。これは、ワークフローを使用する前に設定する必要があります。ワークフローのメール設定はいつでも変更できます。これらの設定には、メールサーバー、ポート、メールアドレス、およびユーザーアカウントを作成する要求に承認が必要かどうかが含まれます。
XenMobileでは、ワークフローを2か所で構成できます。
- XenMobileコンソールのワークフローページ。ワークフローページでは、アプリ構成で使用する複数のワークフローを構成できます。ワークフローページでワークフローを構成すると、アプリを構成するときにそのワークフローを選択できます。
- アプリでアプリケーションコネクタを構成するときに、ワークフロー名を提供し、ユーザーアカウント要求を承認できる個人を構成します。「XenMobileへのアプリの追加」を参照してください。
ユーザーアカウントのマネージャー承認には、最大3つのレベルを割り当てることができます。他の個人にユーザーアカウントの承認が必要な場合は、名前またはメールアドレスを使用して検索し、選択できます。XenMobileがその個人を見つけると、ワークフローに追加します。ワークフロー内のすべての個人は、新しいユーザーアカウントを承認または拒否するためのメールを受信します。
-
XenMobileコンソールで、コンソールの右上隅にある歯車アイコンをクリックします。設定ページが表示されます。
-
ワークフローをクリックします。ワークフローページが表示されます。
-
追加をクリックします。ワークフローの追加ページが表示されます。
-
以下の設定を構成します。
- 名前: ワークフローの一意の名前を入力します。
- 説明: 必要に応じて、ワークフローの説明を入力します。
- メール承認テンプレート: リストで、割り当てるメール承認テンプレートを選択します。メールテンプレートは、XenMobileコンソールの設定の下にある通知テンプレートセクションで作成します。このフィールドの右にある目のアイコンをクリックすると、構成しているテンプレートのプレビューが表示されます。
-
マネージャー承認レベル: リストで、このワークフローに必要なマネージャー承認レベルの数を選択します。デフォルトは1レベルです。選択可能なオプションは次のとおりです。
- 不要
- 1レベル
- 2レベル
- 3レベル
- Active Directoryドメインの選択: リストで、ワークフローに使用する適切なActive Directoryドメインを選択します。
- 追加の必須承認者の検索: 検索フィールドに名前を入力し、検索をクリックします。名前はActive Directoryから取得されます。
- フィールドに名前が表示されたら、名前の横にあるチェックボックスをオンにします。名前とメールアドレスが選択された追加の必須承認者リストに表示されます。
- リストから名前を削除するには、次のいずれかを実行します。
- 検索をクリックして、選択したドメイン内のすべての人のリストを表示します。
- 検索ボックスに完全な名前または部分的な名前を入力し、検索をクリックして検索結果を絞り込みます。
- 選択された追加の必須承認者リストの個人には、検索結果リストの名前の横にチェックマークが付いています。リストをスクロールし、削除したい各名前の横にあるチェックボックスをオフにします。
- リストから名前を削除するには、次のいずれかを実行します。
-
保存をクリックします。作成されたワークフローがワークフローページに表示されます。
ワークフローを作成した後、ワークフローの詳細を表示したり、ワークフローに関連付けられているアプリを表示したり、ワークフローを削除したりできます。ワークフローは作成後に編集できません。異なる承認レベルまたは承認者を持つワークフローが必要な場合は、別のワークフローを作成します。
ワークフローの詳細表示と削除
-
ワークフローページで、既存のワークフローのリストから特定のワークフローを選択します。これを行うには、テーブルの行をクリックするか、ワークフローの横にあるチェックボックスをオンにします。
-
ワークフローを削除するには、削除をクリックします。確認ダイアログボックスが表示されます。もう一度削除をクリックします。
重要:
この操作は元に戻せません。