XenMobile

XenMobile Server 10.13の新機能

Citrix ADCで廃止されたクラシックポリシーの継続的なサポート

シトリックスは最近、Citrix ADC 12.0ビルド56.20以降の一部のクラシックポリシーベースの機能が廃止されたことを発表しました。このCitrix ADCの機能廃止は、既存のXenMobile ServerとCitrix Gatewayの統合には影響しません。XenMobile Serverは引き続きクラシックポリシーをサポートしており、アクションは不要です。

XenMobile Migration Service

XenMobile Serverをオンプレミスで使用している場合、XenMobile Migration Service(無料)によってEndpoint Managementの使用を開始することができます。XenMobile ServerからCitrix Endpoint Managementへの移行では、デバイスを再登録する必要はありません。

移行を開始するには、地域のシトリックス営業担当者またはシトリックスパートナーにお問い合わせください。「XenMobile Migration Service」を参照してください。

廃止される項目の情報

段階的に廃止されるCitrix XenMobileの機能に関する詳細情報は、「廃止」を参照してください。

エンドポイントのiOS 14.5へのアップグレード準備

エンドポイントをiOS 14.5にアップグレードする前に、Citrixではアプリのクラッシュを軽減するために次の操作を実行することをお勧めします:

オンプレミスのCitrix ADCをアップグレードする前に

オンプレミスのCitrix ADCを特定のバージョンにアップグレードすると、シングルサインオンエラーが発生する可能性があります。[会社の従業員のサインイン] オプションを使用してブラウザーでCitrix FilesまたはShareFileドメインURLにシングルサインオンすると、エラーが発生します。ユーザーはサインインできません。

この問題を回避するには、Citrix GatewayのADC CLIから次のコマンドを実行して(まだ実行していない場合)、グローバルSSOを有効にします:

`set vpn parameter SSO ON`
`bind vpn vs <vsName> -portalTheme X1`

詳しくは、次のトピックを参照してください:

この回避策を完了すると、ユーザーは、[会社の従業員のサインイン] オプションを備えたWebブラウザーで、SSOを使用してCitrix FilesまたはShareFileドメインURLの認証を実行できます。 [CXM-88400]

XenMobile 10.13(オンプレミス)にアップグレードする前に

システム要件がいくつか変更されました。詳しくは、「システム要件と互換性」および「XenMobileの互換性」を参照してください。

  1. アップグレードするXenMobile Serverを実行する仮想マシンのRAMが8GB未満の場合、最低8GBにRAMを増設することをお勧めします。

  2. XenMobile Server 10.13の最新バージョンにアップデートする前に、Citrixライセンスサーバーを11.16以降にアップデートしてください。

    最新バージョンのXenMobileでは、Citrixライセンスサーバー11.16以降が必要です。

    注:

    XenMobile 10.13のカスタマーサクセスサービスの日付(以前のSubscription Advantageの日付)は、2020年9月29日です。Citrixライセンスのカスタマーサクセスサービスの日付は、この日付より後である必要があります。

    日付は、ライセンスサーバーのライセンスの隣に表示されています。XenMobileの最新バージョンを古いライセンスサーバー環境に接続すると、接続チェックが失敗し、ライセンスサーバーを構成できません。

    ライセンスの日付を更新するには、Citrixポータルから最新のライセンスファイルをダウンロードし、ライセンスサーバーにファイルをアップロードします。「カスタマーサクセスサービス」を参照してください。

  3. クラスタ化された環境の場合:iOS 11以降を実行するデバイスへのiOSポリシーおよびアプリの展開には、次の要件があります。Citrix GatewayがSSL永続性に設定されている場合、すべてのXenMobile Serverノードでポート80を開く必要があります。

  4. 推奨事項:XenMobileの更新をインストールする前に、仮想マシンの機能を使用して、システムのスナップショットを取得してください。また、システム構成データベースもバックアップしてください。アップグレードで問題が発生した場合でも、完全なバックアップがあれば復元を行うことができます。

アップグレードするには

このリリースでは、XenMobileはVMware ESXi 7.0をサポートします。ESXi 7.0をインストールまたはアップグレードする前に、必ず10.13にアップグレードしてください。

XenMobile 10.12.xまたは10.11.xからはXenMobile 10.13に直接アップグレードできます。アップグレードを実行するには、https://www.citrix.com/downloadsにアクセスして利用可能な最新のバイナリをダウンロードします。Citrix Endpoint Management(XenMobile)>XenMobile Server>Product Software>XenMobile Server 10の順に移動します。ハイパーバイザー用のXenMobile Serverソフトウェアのタイルで、[Download File] をクリックします。

アップグレードをアップロードするには、XenMobileコンソールで [リリース管理] ページを使用します。「リリース管理ページを使用してアップグレードする」を参照してください。

アップグレードした後

接続の構成を変更していないのに送信接続に関連した機能が動作しなくなった場合は、XenMobile Serverのログを調べて、「VPPサーバーに接続できません:ホスト名192.0.2.0はピアによって提供された証明書のサブジェクトと一致しません」のような内容のエラーが含まれていないかを確認します。

  • 証明書の検証エラーは、XenMobile Serverでホスト名の認証を無効にする必要があることを示しています。
  • デフォルトでは、Microsoft PKIサーバーを除く送信接続でホスト名の認証が有効です。
  • ホスト名の認証によって展開が損なわれる場合は、サーバープロパティdisable.hostname.verificationtrueに変更します。このプロパティのデフォルト値はfalseです。

プラットフォームサポートのアップデート

  • iOS 14: XenMobile ServerとCitrix業務用モバイルアプリはiOS 14と互換性がありますが、現在iOS 14の新機能をサポートしていません。MDX Serviceは、iOS 14用のiOSアプリのラッピングをサポートしていません。MDX Toolkit 20.8.5以降を使用してください。

  • Android 11: XenMobile ServerはAndroid 11をサポートしています。GoogleのDevice Administration APIのサポート終了がAndroid 10以降を実行しているデバイスに与える影響については、「Device AdministrationからAndroid Enterpriseへの移行」を参照してください。こちらのCitrixブログもご覧ください。

単一環境での複数デバイスとアプリの管理モードの構成

単一のXenMobileサイトを構成して、複数の登録構成をサポートできるようになりました。登録プロファイルの役割が拡張されて、デバイスとアプリを管理するための登録設定も含まれるようになりました。

登録プロファイルは、1つのXenMobileコンソール内で複数のユースケースとデバイス移行パスをサポートします。次のようなユースケースがあります:

  • モバイルデバイス管理(MDMのみ)
  • MDM+モバイルアプリケーション管理(MAM)
  • MAMのみ
  • コーポレート所有端末の登録
  • BYODデバイスの登録(MDM登録をオプトアウトできる)
  • Androidデバイス管理者の登録の、Android Enterprise登録への移行(完全管理、仕事用プロファイル、専用デバイス)

登録プロファイルによって、 廃止されたサーバープロパティxms.server.modeが置き換えられます。この変更が既存のデリバリーグループと登録済みデバイスに影響を与えることはありません。

専用デバイスを登録する必要がない場合は、サーバープロパティenable.multimode.xmsfalseに設定することでこの機能を無効にできます。「サーバープロパティ」を参照してください。

以下の表に、既存のサーバープロパティモードから新しい登録プロファイル機能への自動化された移行パスを示します:

既存のサーバーのプロパティ 新しい管理モード
ENTモード(iOS) Citrix MAMを使用したAppleデバイス登録
ENTモード(Android) Citrix MAMを使用した従来のデバイス管理者
ENTモード(Android Enterprise) Citrix MAMを使用した、完全管理対象(以前のCOPE)デバイスの仕事用プロファイル
MAMモード(iOSおよびAndroid) Citrix MAM
MDMモード(iOS) Appleデバイス登録
MDMモード(Android) 従来のデバイス管理者
MDMモード(Android Enterprise) 完全管理対象デバイスの仕事用プロファイル

デリバリーグループを作成した場合は、このグループに登録プロファイルを添付することができます。登録プロファイルを添付しないと、XenMobileによってグローバル登録プロファイルが添付されます。

登録プロファイルは、次のデバイス管理機能を提供します:

  • Androidデバイス管理者(DA)モードからAndroid Enterpriseへの移行を簡単にします。Android Enterpriseデバイスの場合、設定には、完全管理、完全管理対象デバイスでの仕事用プロファイル、専用などのデバイス所有者モードが含まれます。「Android Enterprise」を参照してください。

    Androidの[登録プロファイル]ページ

    このアップグレードでは、サーバーモードと [設定]>[Android Enterprise] に関するXenMobileの現在の構成が、以下のように登録プロファイルの新しい設定にマップされます。

    現在の構成 管理設定 デバイス所有者モードの設定 Citrix MAMの設定
    MDM、管理対象Google Play(Android Enterprise) Android Enterprise 完全管理対象デバイスの仕事用プロファイル 無効
    MDM、G Suite(従来のデバイス管理者) 従来のデバイス管理者 該当なし 無効
    MAM デバイスを管理しない 該当なし 有効
    MDM+MAM、管理対象Google Play(Android Enterprise) Android Enterprise* 完全管理対象デバイスの仕事用プロファイル 有効
    MDM+MAM、G Suite(従来のデバイス管理者) 従来のデバイス管理者* 該当なし 有効

    *登録が必須の場合、[ユーザーにデバイス管理の許否を許可][オフ] です。

    アップグレードすると、現在の登録プロファイルにこれらのマッピングが反映されます。従来のデバイス管理者から移行する際に、新しいユースケースを処理するために別の登録プロファイルを作成する必要があるかどうかを検討します。

  • iOSの管理をさらに簡単にします。iOSデバイスの場合、設定には、登録するデバイスを管理対象デバイスとして登録するか非管理デバイスとして登録するかの選択が含まれます。

    iOSの[登録プロファイル]ページ

    このアップグレードでは、以前の構成が、以下のように登録プロファイルの新しい設定にマップされます:

    サーバーモード 管理設定 Citrix MAMの設定
    MDM デバイス登録 無効
    MAM デバイスを管理しない 有効
    MDM + MAM デバイス登録 有効

    登録が必須の場合、[ユーザーにデバイス管理の許否を許可][オフ] です。

登録プロファイルの拡張機能には、以下の制限があります:

  • 登録プロファイルの拡張機能は、ワンタイムPINや2要素認証による登録招待状では使用できません。

登録プロファイル」を参照してください。

最新のHTTP/2ベースのAPNsプロバイダーAPIのサポート

Appleプッシュ通知サービスのレガシーバイナリプロトコルに対するAppleのサポートは、2021年3月31日で終了します。代わりにHTTP/2ベースのAPNプロバイダーAPIの使用をお勧めします。現在、XenMobile ServerはHTTP/2ベースのAPIをサポートしています。詳しくは、https://developer.apple.com/のニュースとアップデートで「Apple Push Notification Serviceのアップデート」を参照してください。APNsへの接続を確認する方法については、「接続確認」を参照してください。

次のバージョンのXenMobile Serverは、デフォルトでHTTP/2ベースのAPIを有効にします:

  • XenMobile Server 10.13
  • XenMobile Server 10.12 Rolling Patch 5以降

次のバージョンのXenMobile Serverを使用する場合は、サーバープロパティapple.apns.http2を追加してサポートを有効にする必要があります:

  • XenMobile Server 10.12 Rolling Patches 2-4以降
  • XenMobile Server 10.11 Rolling Patch 5以降

XenMobile Server 10.11のサポートは廃止されたため、最新リリースにアップグレードすることをお勧めします。

多数のiOSデバイスでのデバイス証明書ベースのIPsec VPNの使用

デバイス証明書ベースのIPsec VPNを必要とする、各iOSデバイスのVPNデバイスポリシーと資格情報デバイスポリシーを構成する代わりに、このプロセスを自動化します。

  1. iOSのVPNデバイスポリシーを接続タイプ [Always on IKEv2] で構成します。
  2. デバイス認証方法として、[デバイスIDベースのデバイス証明書]を選択します。
  3. 使用する [デバイスIDの種類] を選択します。
  4. REST APIを使用してデバイス証明書を一括インポートします。

VPNデバイスポリシーの構成方法に関する情報について詳しくは、「VPNデバイスポリシー」を参照してください。証明書の一括インポートについては、「REST APIを使用した証明書の一括アップロード」を参照してください。

Apple一括購入アプリの自動更新

一括購入アカウントを追加するとき([設定]>[iOS設定])に、すべてのiOSアプリで自動更新を有効にすることができます。「Apple Volume Purchase」の [アプリの自動更新] の設定を参照してください。

ローカルユーザーアカウントのパスワード要件

XenMobileコンソールでローカルユーザーアカウントを追加または編集する場合は、最新のパスワード要件に従ってください。

詳しくは、「ローカルユーザーアカウントを追加するには」を参照してください。

  • パスワード要件: XenMobile Serverコンソールでローカルユーザーアカウントを追加または編集する場合は、最新のパスワード要件に従ってください。「ローカルユーザーアカウントを追加するには」を参照してください。

  • ローカルユーザーアカウントのロック: ユーザーが連続して無効なログインを試行し、試行回数が上限に達すると、ローカルユーザーアカウントは30分間ロックされます。システムは、ロックアウト期間が終了するまで、以降のすべての認証試行を拒否します。XenMobile Serverコンソールでアカウントのロックを解除するには、[管理]>[ユーザー]に移動し、ユーザーアカウントを選択して、[ローカルユーザーのロック解除]をクリックします。「ローカルユーザーアカウントのロックを解除するには」を参照してください。

デバイスポリシー

Android Enterpriseデバイスに新しいデバイスポリシーとデバイスポリシー設定が追加されました。

Android Enterpriseデバイスのトレイバーアイコンの非表示

Android Enterpriseデバイスでトレイバーアイコンを非表示にするか表示するかを選択できるようになりました。「XenMobileオプションデバイスポリシー」を参照してください。

仕事用プロファイルモードまたは完全管理モードのAndroid Enterpriseデバイスの証明書管理機能の追加

管理対象のキーストアに証明機関をインストールする以外に、次の機能を管理できるようになりました:

  • 特定の管理対象アプリで使用される証明書の構成。Android Enterpriseの資格情報デバイスポリシーに、[証明書を使用するアプリ]の設定が含まれるようになりました。このポリシーで選択した資格情報プロバイダーによって発行されたユーザー証明書を使用するアプリを指定できます。アプリは、実行時に証明書へのアクセスを自動で許可されます。すべてのアプリで証明書を使用するには、アプリの一覧を空白のままにします。「資格情報デバイスポリシー」を参照してください。
  • 管理対象のキーストアからの証明書を自動削除、または非システムCA証明書をすべてアンインストール。資格情報デバイスポリシー」を参照してください。
  • 管理対象のキーストアに格納されている資格情報へのユーザーによる変更の禁止。Android Enterpriseの制限デバイスポリシーに、[ユーザーにユーザー資格情報の構成を許可]の設定が含まれるようになりました。この設定はデフォルトでは [オン] になっています。「制限デバイスポリシー」を参照してください。

Android Enterprise管理対象の構成で証明書エイリアスの使用がより容易に

Android Enterprise管理対象の構成のデバイスポリシーで、資格情報デバイスポリシーの新しい [証明書のエイリアス] 設定を使用します。これにより、ユーザーの操作なしでアプリがVPNでの認証を実行できます。アプリログで資格情報のエイリアスを検索するのではなく、資格情報のエイリアスを作成します。Android Enterprise管理対象の構成デバイスポリシーの [証明書のエイリアス] フィールドに入力することで、資格情報のエイリアスを作成します。次に、同じ証明書のエイリアスを資格情報デバイスポリシーの [証明書のエイリアス] 設定に入力します。Android Enterprise管理対象の構成ポリシーおよび資格情報デバイスポリシーを参照してください。

Android Enterpriseデバイス上での、「1つのロック」設定の使用の制御

新しいパスコードデバイスポリシーの [統合パスコードを有効にする] 設定では、デバイスで、デバイスと仕事用プロファイルに別のパスコードが必要かを制御できます。この設定が利用可能になる前は、デバイスの [1つのロックを使用する] 設定でこの動作を制御していました。[統合パスコードを有効にする][オン] の場合、デバイスで仕事用プロファイルと同じパスコードを使用できます。[統合パスコードを有効にする][オフ] の場合は、デバイスで仕事用プロファイルと同じパスコードを使用できません。デフォルトは [オフ] です。[統合ロックを有効にする] 設定は、Android 9.0以降が実行されているAndroid Enterpriseデバイスで使用できます。「パスコードデバイスポリシー」を参照してください。

要件に準拠していないAndroid Enterpriseデバイスへのアプリとショートカットの表示

Android Enterpriseのパスコードデバイスポリシーには、[パスコードの要件に準拠していないときにアプリとショートカットを表示する]という新しい設定があります 。この設定を有効にすると、デバイスのパスコードが要件に準拠しなくなったとき、アプリとショートカットが表示されたままになります。パスコードが要件に準拠していないときにデバイスを非準拠としてマークする自動化された操作を作成することをCitrixではお勧めします。「パスコードデバイスポリシー」を参照してください。

Android Enterprise仕事用プロファイルデバイスまたは完全管理対象デバイスでの印刷機能の無効化

制限デバイスポリシーの [印刷を許可しない] 設定を使用すると、ユーザーがAndroid Enterpriseデバイスからアクセスできるプリンターに印刷できるかどうかを指定できます。「Android Enterpriseの設定」を参照してください。

キオスクポリシーにパッケージ名を追加して、専用デバイスでアプリを許可

Android Enterpriseプラットフォームで許可するパッケージ名を入力できるようになりました。「Android Enterpriseの設定」を参照してください。

Android Enterpriseの仕事用プロファイルおよび完全に管理されているデバイスのKeyguard機能の管理

AndroidのKeyguardは、デバイスのロック画面および仕事用チャレンジのロック画面を管理します。Keyguard管理デバイスポリシーを使用して、以下を制御します:

  • 仕事用プロファイルデバイスのKeyguard管理。デバイスKeyguardと仕事用チャレンジKeyguardをロック解除する前に、ユーザーが利用できる機能を指定できます。たとえば、デフォルトでは、ユーザーは指紋によるロック解除を使用でき、ロック画面でマスキングされていない通知を表示できます。また、Keyguard管理ポリシーを使用して、Android 9.0以降を実行しているデバイスのすべての生体認証を無効にすることもできます。
  • 完全に管理された専用デバイスでのKeyguard管理。Keyguard画面のロックを解除する前に、使用できる機能(信頼できるエージェントやセキュアカメラなど)を指定できます。または、すべてのKeyguard機能を無効にできます。

Keyguard管理デバイスポリシー」を参照してください。

XenMobileコンソールでの、Android Enterprise用のエンタープライズアプリの公開

Android Enterpriseプライベートアプリを追加するときに、Google Playの開発者用アカウントに登録する必要がなくなりました。XenMobileコンソールで、管理対象のGoogle PlayストアUIが開き、APKファイルをアップロードして公開できます。詳しくは、「エンタープライズアプリの追加」を参照してください。

XenMobileコンソールでの、Android Enterprise用のWebアプリの公開

XenMobileのAndroid Enterprise Webアプリを公開するために、管理対象のGoogle PlayまたはGoogle Developerポータルにアクセスする必要がなくなりました。[設定]>[アプリ]>[Webリンク][アップロード] をクリックすると、管理対象Google Playストアのユーザーインターフェイスが開き、ファイルをアップロードして保存できます。アプリの承認と公開には約10分かかることがあります。詳しくは、「Webリンクの追加」を参照してください。

XenMobile Server REST APIを使用したiOSデバイスへの証明書の一括アップロード

証明書を一度に1つずつアップロードすることが現実的でない場合は、XenMobile Server REST APIを使用して、証明書をiOSデバイスに一括アップロードします。

  1. iOSのVPNデバイスポリシーを接続タイプ [Always on IKEv2] で構成します。
  2. デバイス認証方法として、[デバイスIDベースのデバイス証明書]を選択します。
  3. 使用する [デバイスIDの種類] を選択します。
  4. REST APIを使用してデバイス証明書を一括インポートします。

VPNデバイスポリシーの構成方法については、「VPNデバイスポリシー」を参照してください。証明書の一括インポートについては、「REST APIを使用したiOSデバイスへの証明書の一括アップロード」を参照してください。

暗号化キーの更新

[暗号化キーの更新] オプションは、XenMobile CLIの[詳細設定]に追加されています。このオプションを使用することで、暗号化キーを一度に1ノードずつ更新できます。「[System]オプション」を参照してください。

ESXi 7.0のサポート

このリリースでは、XenMobileはVMware ESXi 7.0をサポートします。ESXi 7.0をインストールまたはアップグレードする前に、必ず10.13にアップグレードしてください。

新しいサーバープロパティ

次のサーバープロパティが利用可能になりました:

  • iOS App Storeリンクのホスト名を許可: コンソールではなくパブリックAPIを使用してiOS用のパブリックアプリストアのアプリを追加するには、必要に応じて許可されるホスト名のリストを構成します。
  • ローカルユーザーアカウントのロックアウト制限: ローカルユーザーがアカウントをロックするまでのサインイン試行回数を設定します。
  • ローカルユーザーアカウントのロックアウト時間: サインインの試行に何度も失敗した後、ローカルユーザーがロックアウトされる時間を設定します。
  • ファイルアップロード制限の最大サイズの有効化: アップロードするファイルの最大ファイルサイズの制限を有効にします。
  • 許可されるファイルアップロードの最大サイズ: アップロードされたファイルの最大ファイルサイズを設定します。

これらのプロパティの詳細については、「サーバープロパティ」を参照してください。

セルフサービスのディスククリーンアップ

[Disk Usage] と呼ばれる新しいコマンドラインインターフェイスオプションは、 [Troubleshooting Menu] で利用できます。このオプションを使用すると、コアダンプファイルとサポートバンドルファイルのリストを表示できます。リストを表示した後、コマンドラインからこれらのファイルをすべて削除することができます。コマンドラインインターフェイスツールについて詳しくは、「コマンドラインインターフェイスオプション」を参照してください。

XenMobile Server 10.13の新機能