XenMobile Server 10.11の新機能

重要:

iOS 12以上へのデバイスアップグレードの準備:iOS用のVPNデバイスポリシーのCitrix VPN接続タイプは、iOS 12以降をサポートしていません。VPNデバイスポリシーを削除し、Citrix SSO接続タイプで新しいVPNデバイスポリシーを作成します。

VPNデバイスポリシーを削除すると、以前に展開されたデバイスでCitrix VPN接続が引き続き動作します。新しいVPNデバイスポリシーの設定は、XenMobile Server 10.11ではユーザー登録時に有効になります。

iOS 13のサポート

XenMobile Serverは、iOS 13にアップグレードされたデバイスをサポートしています。アップグレードは、ユーザーに以下のように影響します:

  • 登録時に、新しいiOSセットアップアシスタントのオプション画面がいくつか表示されます。Appleは、iOS 13に新しいiOSセットアップアシスタントのオプション画面を追加しました。新しいオプションは、このリリースの [設定]>[Appleデバイス登録プログラム(DEP)] ページには含まれていません。そのため、これらの画面をスキップするようにXenMobile Serverを構成することはできません。これらのページは、iOS 13デバイスでユーザーに表示されます。

  • 旧バージョンのiOSでは監視対象デバイスと監視対象外デバイスで使用できた制限デバイスポリシー設定の一部が、iOS 13以上では監視対象デバイスでのみ使用できます。現在のXenMobile Serverコンソールのツールチップでは、これらの設定がiOS 13以上では監視対象デバイス専用であることが通知されません。

    • ハードウェアの制御を許可:
      • FaceTime
      • アプリのインストール
    • アプリを許可:
      • iTunesストア
      • Safari
      • Safari>自動入力
    • ネットワーク - 実行できるiCloudの操作:
      • iCloudドキュメントおよびデータ
    • 監視対象のみの設定 - 許可:
      • Game Center>友達を追加
      • Game Center>マルチプレイゲーム
    • メディアコンテンツ - 許可:
      • 不適切な音楽、Podcast、iTunes Uコンテンツ

これらの制限は、次のように適用されます:

  • 既にXenMobile Serverに登録されているiOS 12以下のデバイスがiOS 13にアップグレードされる場合、変更はありません。既存の設定はこれまでと同様にデバイスに適用されます。
  • iOS 13以上の監視対象外デバイスがXenMobile Serverに登録される場合、既存の設定がデバイスに適用されません。
  • iOS 13以上の監視対象デバイスがXenMobile Serverに登録される場合、既存の設定がデバイスに適用されます。

iOS 13およびmacOS 15での信頼された証明書の要件

Appleでは、TLSサーバー証明書の新しい要件を設定しています。すべての証明書が新しいAppleの要件に準拠していることを確認します。詳しくは、Appleのドキュメントhttps://support.apple.com/en-us/HT210176を参照してください。証明書の管理については、「XenMobileでの証明書のアップロード」を参照してください。

GCMからFCMへのアップグレード

2018年4月10日、GoogleはGoogle Cloud Messaging(GCM)の廃止を発表しました。2019年5月29日をもって、GCMサーバーとクライアントAPIは削除されました。

重要な要件:

  • XenMobile Serverの最新バージョンにアップグレードします。
  • Secure Hubの最新バージョンにアップグレードします。

Googleは、Firebase Cloud Messaging(FCM)にアップグレードして新機能を活用することを推奨しています。Googleが提供する情報については、https://developers.google.com/cloud-messaging/faqおよびhttps://firebase.googleblog.com/2018/04/time-to-upgrade-from-gcm-to-fcm.htmlを参照してください。

Androidデバイスへのプッシュ通知の利用を継続するには:XenMobile ServerでGCMを使用している場合は、FCMに移行してください。次に、Firebase Cloud Messagingコンソールで入手した新しいFCMキーを使用して、XenMobile Serverを更新します。

次の手順は、信頼された機関からの証明書を使用する場合の登録ワークフローを反映しています。

アップグレード手順:

  1. Googleから提供された情報に従って、GCMからFCMにアップグレードしてください。
  2. Firebase Cloud Messagingコンソールで、新しいFCMキーをコピーします。このキーは、次の手順で必要です。
  3. XenMobile Serverコンソールの [設定]>[Firebase Cloud Messaging] で設定を構成します。

次回XenMobile Serverにチェックインしてポリシーを更新したときに、デバイスはFCMに切り替わります。Secure Hubにポリシーの更新を適用するには:Secure Hubで、[設定]>[デバイス情報] に移動して、[ポリシーの更新] をタップします。 FCMの構成について詳しくは、「Firebase Cloud Messaging」を参照してください。

XenMobile Migration Service

XenMobile Serverをオンプレミスで使用している場合、XenMobile Migration ServiceによってEndpoint Managementの使用を開始することができます。XenMobile ServerからCitrix Endpoint Managementへの移行では、デバイスを再登録する必要はありません。

詳しくは、地域のシトリックス営業担当者、システムエンジニア、またはシトリックスパートナーにお問い合わせください。以下のブログで、XenMobile Migration Serviceについて解説しています:

New XenMobile Migration Service(英語)

Making the Case for XenMobile in the Cloud(英語)

XenMobile 10.11(オンプレミス)にアップグレードする前に

システム要件がいくつか変更されました。詳しくは、「システム要件と互換性」および「XenMobileの互換性」を参照してください。

  1. XenMobile Server 10.11の最新バージョンにアップデートする前に、Citrixライセンスサーバーを11.15以降にアップデートしてください。

    最新バージョンのXenMobileでは、Citrixライセンスサーバー11.15以降が必要です。

    注:

    プレビュー用に独自のライセンスを使用する場合は、XenMobile 10.11のカスタマーサクセスサービスの日付(以前のSubscription Advantageの日付)は2019年4月9日であることをご確認ください。Citrixライセンスのカスタマーサクセスサービスの日付は、この日付より後である必要があります。

    日付は、ライセンスサーバーのライセンスの隣に表示されています。XenMobileの最新バージョンを古いライセンスサーバー環境に接続すると、接続チェックが失敗し、ライセンスサーバーを構成できません。

    ライセンスの日付を更新するには、Citrixポータルから最新のライセンスファイルをダウンロードし、ライセンスサーバーにファイルをアップロードします。詳しくは、「カスタマーサクセスサービス」を参照してください。

  2. クラスタ化された環境の場合:iOS 11以降を実行するデバイスへのiOSポリシーおよびアプリの展開には、次の要件があります。NetScaler GatewayがSSL永続性に設定されている場合、すべてのXenMobile Serverノードでポート80を開く必要があります。

  3. アップグレードするXenMobile Serverを実行する仮想マシンのRAMが4GB未満の場合、最低4GBにRAMを増設してください。実稼働環境では、推奨される最小RAM容量は8GBであることに留意願います。

  4. 推奨事項:XenMobileの更新をインストールする前に、仮想マシンの機能を使用して、システムのスナップショットを取得してください。また、システム構成データベースもバックアップしてください。アップグレードで問題が発生した場合でも、完全なバックアップがあれば復元を行うことができます。

アップグレードするには

XenMobile 10.10.xまたは10.9.xからはXenMobile 10.11に直接アップグレードできます。アップグレードを実行するには、Citrixのダウンロードページで取得できる最新の10.11バイナリを使用します。アップグレードをアップロードするには、XenMobileコンソールで [リリース管理] ページを使用します。詳しくは、「リリース管理ページを使用してアップグレードする」を参照してください。

アップグレードした後

XenMobile 10.11(オンプレミス)にアップグレードした後に:

接続の構成を変更していないのに送信接続に関連した機能が動作しなくなった場合は、XenMobile Serverのログを調べて、「VPPサーバーに接続できません:ホスト名 192.0.2.0はピアによって提供された証明書のサブジェクトと一致しません」のような内容のエラーが含まれていないかを確認します。

証明書の検証エラーは、XenMobile Serverでホスト名の認証を無効にする必要があることを示しています。デフォルトでは、Microsoft PKIサーバーを除く送信接続でホスト名の認証が有効です。ホスト名の認証によって展開が損なわれる場合は、サーバープロパティdisable.hostname.verificationtrueに変更します。このプロパティのデフォルト値はfalseです。

Android Enterpriseデバイスの新規および更新されたデバイスポリシー設定

Samsung KnoxとAndroid Enterpriseのポリシー統一。Samsung Knox 3.0以降およびAndroid 8.0以降を実行しているAndroid Enterpriseデバイスの場合:KnoxとAndroid Enterpriseは、デバイスおよびプロファイルの一元的な管理ソリューションに統合されます。 [Android Enterprise]ページでKnoxの設定に関する以下のデバイスポリシーを設定します:

Android Enterprise制限ポリシー

Android Enterprise向けアプリインベントリデバイスポリシー。管理対象デバイスでAndroid Enterpriseアプリのインベントリを収集できるようになりました。アプリインベントリデバイスポリシーを参照してください。

managed Google Playストアにあるすべての Google Playアプリにアクセスします。Access all apps in the managed Googleサーバープロパティによって、パブリックGoogle Playストアのすべてのアプリにmanaged Google Playストアからアクセスできるようになります。このプロパティをtrueに設定すると、すべてのAndroid Enterpriseユーザー向けのパブリックGoogle Playストアアプリがホワイトリストに登録されます。管理者は、制限デバイスポリシーを使用してこれらのアプリへのアクセスを制御できます。

Android Enterpriseデバイスでシステムアプリを有効にします。Android Enterprise仕事用プロファイルモードまたは完全管理モードで、事前インストールされたシステムアプリを実行できるようにするには、制限デバイスポリシーを構成します。この構成により、ユーザーはカメラ、ギャラリーなどのデフォルトのデバイスアプリにアクセスできます。特定のアプリへのアクセスを制限するには、Android Enterpriseの権限デバイスポリシーを使用してアプリの権限を設定します。

システムアプリを有効にする

Android Enterprise専用デバイスのサポート。XenMobileは、以前は特定業務専用コーポレート所有(COSU)デバイスと呼ばれていた専用デバイスの管理をサポートするようになりました。

Android Enterprise専用デバイスは、単一のユースケース専用の完全に管理されたデバイスです。これらのデバイスは、このユースケースに必要なタスクを実行する1つのアプリまたはアプリの小セットのみに制限されます。また、ユーザーがこれらのデバイスで他のアプリを有効にしたり、他の操作を実行したりすることを禁止することもできます。

Android Enterpriseデバイスのプロビジョニングについて詳しくは、「Android Enterprise専用デバイスのプロビジョニング」を参照してください。

名前が変更されたポリシー。Googleの用語に合わせて、Android Enterpriseアプリ制限デバイスポリシーをAndroid Enterprise管理対象構成と呼ぶようになりました。Android Enterprise管理対象の構成デバイスポリシーを参照してください。

Android Enterpriseのパスワードのロックおよびリセット

XenMobileでは、Android Enterpriseデバイスのパスワードのロックとリセットのセキュリティ操作がサポートされるようになりました。これらのデバイスは、Android 8.0以上を実行している仕事用プロファイルモードで登録する必要があります。

  • 送信されたパスコードによって仕事用プロファイルはロックされます。デバイスはロックされません。
  • パスコードが送信されない場合、または送信されたパスコードがパスコードの要件を満たしていない場合:
    • 仕事用プロファイルにパスコードが設定されていないため、デバイスはロックされています。
    • 仕事用プロファイルにパスコードが既に設定されている場合、仕事用プロファイルはロックされますが、デバイスはロックされません。

パスワードのロックとリセットのセキュリティ操作について詳しくは、「セキュリティ操作」を参照してください。

iOSまたはmacOS向けの新しい[制限]デバイスポリシー設定

  • 非管理対象アプリによる管理対象アカウント連絡先の読み取り: オプション。[管理対象アプリから非管理対象アプリへのドキュメントの移動] が無効になっている場合にのみ利用できます。このポリシーを有効にすると、非管理対象アプリが管理対象アカウントの連絡先からデータを読み取ることができるようになります。デフォルトは [オフ] です。iOS 12以降で利用できます。
  • 管理対象アプリによる非管理対象アカウント連絡先への書き込み: オプション。有効にすると、管理対象アプリによる非管理対象アカウントの連絡先への書き込みを許可します。[管理対象アプリから非管理対象アプリへのドキュメントの移動] を有効にすると、この制限は有効になりません。デフォルトは [オフ] です。iOS 12以降で利用できます。
  • パスワードの自動入力: オプション。無効にすると、ユーザーはパスワードの自動入力または自動強力パスワード機能を使用できません。デフォルトは [オン] です。iOS 12およびmacOS 10.14以降で利用できます。
  • パスワード近接要求: オプション。無効にすると、ユーザーのデバイスは近くのデバイスにパスワードを要求しません。デフォルトは [オン] です。iOS 12およびmacOS 10.14以降で利用できます。
  • パスワード共有: オプション。無効にすると、ユーザーはAirDropパスワード機能を使用してパスワードを共有できません。デフォルトは [オン] です。iOS 12およびmacOS 10.14以降で利用できます。
  • 自動的な日付と時刻を強制: 監視対象。有効にすると、ユーザーは [全般]>[日付と時刻]>[自動的に設定] オプションを無効にできません。デフォルトは [オフ] です。iOS 12以降で利用できます。
  • USB制限モードを許可: 監視対象デバイスでのみ使用できます。[オフ]に設定すると、デバイスはロックされた状態でも常にUSBアクセサリーに接続できます。デフォルトは [オン] です。iOS 11.3以降で利用できます。
  • ソフトウェア更新の延期を強制する: 監視対象デバイスでのみ使用できます。[オン] に設定すると、ソフトウェア更新のユーザー表示が延期されます。この制限が設定されている場合、ソフトウェアの更新がリリースされてから指定された日数が経過するまで、ソフトウェアの更新は表示されません。デフォルトは [オフ] です。iOS 11.3およびmacOS 10.13.4以降で利用できます。
  • ソフトウェア更新の強制延期(日) 監視対象デバイスでのみ使用できます。この制限により、管理者は、デバイスのソフトウェア更新の延期期間を設定できます。最大値は90日で、デフォルト値は 30です。iOS 11.3およびmacOS 10.13.4以降で利用できます。
  • クラスを離れるときの許可の要求を強制する: 監視対象デバイスでのみ使用できます。[オン] に設定すると、クラスルームの管理対象外コースに登録した生徒は、コースを離れるときに教師の許可を求める必要があります。デフォルトは [オフ] です。iOS 11.3以降で利用できます。

制限デバイスポリシー設定

制限デバイスポリシーを参照してください。

iOSまたはmacOS用のExchangeデバイスポリシーの更新

iOS 12以降、S/MIME Exchangeの署名と暗号化の設定が増えています。Exchangeデバイスポリシーに、S/MIME署名と暗号化を構成するための設定が含まれるようになりました。

S/MIME署名の場合:

  • 署名ID資格情報: 使用する署名資格情報を選択します。
  • S/MIME署名(ユーザー上書き可能): [オン] に設定した場合、ユーザーはデバイスの設定でS/MIME署名の有効化と無効化を切り替えられます。デフォルトは [オフ] です。
  • S/MIME署名証明書UUID(ユーザー上書き可能): [オン] に設定した場合、ユーザーは使用する署名資格情報をデバイスの設定で選択できます。デフォルトは [オフ] です。

S/MIME暗号化の場合:

  • 暗号化ID資格情報: 使用する暗号化資格情報を選択します。
  • メッセージごとのS/MIME切り替えの有効化: [オン] に設定すると、ユーザーがメッセージを作成するたびにS/MIME暗号化のオンとオフを切り替えるオプションが表示されます。デフォルトは [オフ] です。
  • デフォルトのS/MIME暗号化(ユーザー上書き可能): [オン] に設定すると、ユーザーはデバイスの設定で、S/MIMEをデフォルトで有効にするかどうかを選択できます。デフォルトは [オフ] です。
  • S/MIME暗号化証明書UUID(ユーザー上書き可能): [オン] に設定した場合、ユーザーはデバイスの設定でS/MIME暗号化IDと暗号化の有効化と無効化を切り替えられます。デフォルトは [オフ] です。

iOS 12以降のExchange OAuthの設定。Exchangeとの接続の認証にOAuthを使用するように設定できるようになりました。

mac OS 10.14以降のExchange OAuthの設定。Exchangeとの接続の認証にOAuthを使用するように設定できるようになりました。OAuthを使用した認証では、自動検出を使用しないセットアップのサインインURLを指定できます。

Exchangeデバイスポリシーを参照してください。

iOS用のメールデバイスポリシーの更新

iOS 12以降、S/MIME Exchangeの署名と暗号化の設定が増えています。メールデバイスポリシーには、S/MIME署名と暗号化を構成するためのその他の設定が含まれています。

S/MIME署名の場合:

  • S/MIME署名の有効化: アカウントでS/MIME署名をサポートするかどうかを指定します。デフォルトは [オン] です。[オン] に設定した場合、以下の2つのフィールドが表示されます:
    • S/MIME署名(ユーザー上書き可能): [オン] に設定した場合、ユーザーはデバイスの設定でS/MIME署名の有効化と無効化を切り替えられます。デフォルトは [オフ] です。このオプションはiOS 12.0以降に適用されます。
    • S/MIME署名証明書UUID(ユーザー上書き可能): [オン] に設定した場合、ユーザーは使用する署名資格情報をデバイスの設定で選択できます。デフォルトは [オフ] です。このオプションはiOS 12.0以降に適用されます。

S/MIME暗号化の場合:

  • S/MIME暗号化の有効化: このアカウントでS/MIME暗号化をサポートするかどうかを選択します。デフォルトは [オフ] です。[オン] に設定した場合、以下の2つのフィールドが表示されます:
    • メッセージごとのS/MIME切り替えの有効化: [オン] に設定すると、ユーザーがメッセージを作成するたびにS/MIME暗号化のオンとオフを切り替えるオプションが表示されます。デフォルトは [オフ] です。
    • デフォルトのS/MIME暗号化(ユーザー上書き可能): [オン] に設定すると、ユーザーはデバイスの設定で、S/MIMEをデフォルトで有効にするかどうかを選択できます。デフォルトは [オフ] です。このオプションはiOS 12.0以降に適用されます。
    • S/MIME暗号化証明書UUID(ユーザー上書き可能): [オン] に設定した場合、ユーザーはデバイスの設定でS/MIME暗号化IDと暗号化の有効化と無効化を切り替えられます。デフォルトは [オフ] です。このオプションはiOS 12.0以降に適用されます。

メールデバイスポリシーを参照してください。

iOS向けのアプリ通知デバイスポリシーの更新

iOS12以降では、以下のアプリ通知設定を利用できます。

  • CarPlayで表示: [オン] にすると、Apple CarPlay に通知が表示されます。デフォルトは [オン] です。
  • 重大アラートを有効にする: [オン] にすると、アプリは通知を重大な通知としてマークできます。これによって[応答不可]および警告設定を無視します。デフォルトは [オフ] です。

詳細については、「アプリ通知デバイスポリシー」を参照してください。

Apple Educationで使用される共有iPadのサポート

Appleの教育向け機能とのXenMobileの統合により、共有iPadがサポートされるようになりました。クラスルーム内の複数の生徒は、1人または複数の講師が教えているさまざまな科目について、iPadを共有できます。

管理者か講師が共有iPadを登録し、デバイスポリシー、アプリ、メディアをデバイスに展開します。その後、生徒が管理対象Apple IDの資格情報を入力して共有iPadにサインインします。以前生徒に[教育の構成]ポリシーを展開したことがある場合、生徒はデバイスを共有するために「その他のユーザー」としてサインインする必要はありません。

共有iPadの前提条件:

  • iPad Pro、iPad第5世代、iPad Air 2以降、iPad mini 4以降
  • 32GB以上のストレージ容量
  • 監視

詳しくは、「共有iPadの構成」を参照してください。

役割ベースのアクセス制御(RBAC)権限の変更

RBAC権限[ローカルユーザーの追加/削除]が、[ローカルユーザーの追加]と[ローカルユーザーの削除]の2つの権限に分割されました。

詳しくは、「RBACを使用した役割の構成」を参照してください。