XenMobile Server 10.7の新機能

XenMobile Server 10.7(PDFのダウンロード)

注:

SymantecのTouchDownは2017年7月3日に取り扱いを終了し、2018年7月2日にスタンダードサポート、拡張サポート、サポートライフが終了します。詳しくは、Symantecのサポート記事 「Touchdown 取り扱い終了、可用性終了およびサポート終了通知」を参照してください。

アップグレードについて詳しくは、「アップグレード」を参照してください。XenMobile管理コンソールにアクセスするには、XenMobile Serverの完全修飾ドメイン名またはノードのIPアドレスを使用します。

重要:

XenMobile 10.7にアップグレード後

接続の構成を変更していないのに送信接続に関連した機能が動作しなくなった場合は、XenMobile Serverのログを調べて、「VPPサーバーに接続できません:ホスト名 192.0.2.0 はピアによって提供された証明書のサブジェクトと一致しません」のような内容のエラーが含まれていないかを確認します。

証明書の検証エラーを受信した場合は、XenMobile Serverでホスト名の認証を無効にします。デフォルトでは、Microsoft PKIサーバーを除く送信接続でホスト名の認証が有効です。ホスト名の認証によって展開が損なわれる場合は、サーバープロパティ disable.hostname.verificationtrueに変更します。このプロパティのデフォルト値はfalseです。

修正プログラムについて詳しくは、「解決された問題」を参照してください。

Apple Education機能との統合

Apple Educationを使用する環境で、XenMobile Serverをモバイルデバイス管理(MDM)ソリューションとして使用できます。XenMobileは、iOS 9.3で導入されたAppleの教育向け機能の強化(Apple School Manager、iPad用クラスルームアプリケーションなど)をサポートします。XenMobileの新しい教育の構成デバイスポリシーでは、Apple Educationを使用する講師および生徒のデバイスを構成します。

次のビデオでは、Apple School ManagerとXenMobile Serverに対して行う変更のクイックツアーを提供しています。

Citrix XenMobileの教育の構成:Apple Education機能とXenMobileの統合

講師と生徒には事前に構成された監視対象iPadが提供されます。この構成には次のことが含まれます。

  • XenMobileでのApple School Manager DEPの登録

  • 新しいパスワードで構成された、管理対象のApple IDアカウント

  • 必須のVPPアプリとiBooks

Apple Education機能との統合について詳しくは、「Apple Education機能との統合」および「教育の構成デバイスポリシー」を参照してください。

 Apple Education構成の画像

iOSデバイスへのiBooksの展開

XenMobileを使用して、Apple Volume Purchase Program(VPP)を介して取得したiBooksを展開することができます。XenMobileでVPPアカウントを構成すると、購入済みブックや無料ブックが [構成]>[メディア] に表示されます。[メディア] ページでデリバリーグループを選択し、展開規則を指定して、iOSデバイスに展開するiBooksを構成します。

ユーザーが初めてiBookを受信し、VPPライセンス契約に同意したときに、展開されたブックがデバイスにインストールされます。ブックはApple iBookアプリに表示されます。ユーザーからブックライセンスの割り当てを解除したり、デバイスからブックを削除することはできません。XenMobileでは、iBooksは必須メディアとしてインストールされます。インストールされたブックがユーザーによってデバイスから削除されても、そのブックはiBookアプリ内に保持されて、いつでもダウンロードできます。

前提条件

  • iOSデバイス(最小バージョンiOS 8)
  • iOS Volume Purchase Plan」の説明に従って、XenMobileでiOS VPPを構成します。

iBooksの構成

VPPを介して取得したiBooksは、[構成]>[メディア] ページに表示されます。詳しくは、「メディアの追加」を参照してください。

iBooks構成の画像

BitLockerデバイスポリシー

Windows 10 Enterpriseエディションにはディスク暗号化機能BitLockerが搭載されており、紛失または盗難に遭ったデバイスへの不正アクセスに対して、ファイルとシステムの保護が強化されています。さらに保護を強化するために、BitLockerとトラステッド プラットフォーム モジュール(TPM)チップ(バージョン1.2以降)を組み合わせて使用できます。TPMチップは暗号化操作を処理し、暗号化キーの生成、保存、および使用の制限を行います。

Windows 10のビルド 1703以降では、MDMポリシーでBitLockerを制御できるようになりました。XenMobileのBitLockerデバイスポリシーを使用して、Windows 10デバイスのBitLockerウィザードで使用可能な設定を構成します。たとえば、BitLockerが有効になっているデバイスで、BitLockerはユーザーに以下のプロンプトを表示します。

  • 起動時にドライブをロック解除する方法

  • 回復キーをバックアップする方法

  • 固定ドライブをロック解除する方法。

BitLockerデバイスポリシーの設定では、以下についても構成します。

  • TPMチップの内蔵されていないデバイスでBitLockerを有効にするかどうか。

  • BitLockerインターフェイスに回復オプションを表示するかどうか。

  • BitLockerが有効でない場合に、固定ドライブやリムーバブルドライブへの書き込みを拒否するかどうか。

    BitLocker構成の画像

    BitLocker構成の画像

BitLockerデバイスポリシーについて詳しくは、「BitLockerデバイスポリシー」を参照してください。

iOS 10.3以降を実行する監視対象デバイスに対する新しい制限

制限により、ユーザーが各自のデバイス上で特定の操作を実行するのを防ぐことができます。制限はデバイスポリシーを通じて実施されます。

次の制限は、iOS 10.3以降を実行する監視モードのデバイスで使用できます。

  • ディクテーションを許可: 監視のみ。この制限が [オフ] に設定されている場合、ディクテーションを使用した入力は許可されません。デフォルトでは、[オン]になっています。iOS 10.3以降。
  • WiFiのホワイトリスト作成を強制: オプションです。監視のみ。この制限が [オン] に設定されている場合、構成プロファイルを使用して設定されたデバイスのみがWi-Fiネットワークに接続できます。デフォルトでは、[オフ] になっています。iOS 10.3以降。

これらの制限を設定するには、次の手順を実行します

  1. XenMobileコンソールで、[構成]>[デバイスポリシー] の順に選択します。[デバイスポリシー] ページが開きます。

  2. [追加] を選択します。[新しいポリシーの追加] ページが開きます。

  3. [制限] をクリックします。制限の [ポリシー情報] ページが開きます。

  4. [ポリシー情報] ペインで、以下の情報を入力します。

    • ポリシー名: ポリシーの説明的な名前を入力します。
    • 説明: 任意で、ポリシーの説明を入力します。
  5. [次へ] をクリックします。[ポリシープラットフォーム] ページが開きます。

  6. [iOS] を選択します。

  7. [単一のアプリ バンドル ID]セクションのページが表示されるまで [次へ] をクリックします。制限を設定します。

    デバイスポリシーの制限の画像

制限の設定について詳しくは、「制限デバイスポリシー」を参照してください。

監視対象のiOSデバイスの再起動とシャットダウン

セキュリティ操作を使って、監視対象のiOSデバイス(最小バージョン 10.3)の再起動とシャットダウンを行うことができます。[管理]>[デバイス] の順に選択し、デバイスを選択して [セキュリティ] をクリックしてから、[再起動] または [シャットダウン] をクリックします。

デバイスは、再起動 のコマンドを受信すると直ちに再起動します。パスコードでロックされたiOSデバイスは再起動後にWiFiネットワークに再び参加しないため、 サーバーと通信することはありません。デバイスは、シャットダウン のコマンドを受信すると直ちにシャットダウンします。

iOSセキュリティ操作の画像

紛失モードの監視対象iOSデバイスの検索と警報

監視対象のiOSデバイスを紛失モードにした後に、セキュリティ操作を使ってデバイスを検索したり警報を鳴らすことができます。「警報」とは、Appleがデバイスに対して定義した紛失モードのサウンドです。

 iOS検索の画像

紛失モードのデバイスを検索するには

[管理]>[デバイス] の順に選択し、デバイスを選択して [セキュリティ][検索] の順にクリックします。[デバイス詳細] ページで検索要求の状態が提供されます。

 iOS位置確認の画像

デバイスが検索された場合、[デバイス詳細] ページにはマップが含まれます。

 iOS検索の画像

紛失モードのデバイス(最小バージョンiOS 10.3)の警報を鳴らすには、次の手順を実行します

[管理]>[デバイス] の順に選択し、デバイスを選択して [セキュリティ][警報] の順にクリックします。次にデバイスが接続したときに、警報が鳴ります。ユーザーが警報を止めるには、電源ボタンをクリックします。XenMobileコンソールから警報を止めるには、[紛失モードを無効化] のセキュリティ操作を使用します。

Android for Workのサポートの強化

XenMobileでは、組織でAndroid for Workを簡単にセットアップできる方法を提供します。XenMobile Management Toolsを使用して、Google PlayでXenMobileをエンタープライズモビリティ管理プロバイダーとしてバインドし、Android for Workのエンタープライズを作成することができます。

注:

G Suiteユーザーは従来のAndroid for Workの設定を使用します。「G Suiteユーザー向けの従来のAndroid for Work」を参照してください。XenMobile設定の [Android for Work] ページで、 [従来の Android for Work] をクリックします。

[従来のAndroid for Work]の画像

必要なものは以下のとおりです。

  • XenMobileツールにサインインするためのCitrixアカウントの資格情報
  • Google PlayにサインインするためのGoogle IDの企業資格情報

Android for Workについて詳しくは、「Android for Work」を参照してください。

オンプレミスのデバイス正常性構成証明(DHA)のサポート

オンプレミスのWindowsサーバーから、Windows 10モバイルデバイスのデバイス正常性構成証明(DHA)を有効にできるようになりました。これまでXenMobileのDHAは、Microsoft Cloudでのみ有効にすることができました。

オンプレミスでDHAを有効にするには、まずDHAサーバーを構成します。次に、XenMobile Serverポリシーを作成してオンプレミスのDHAサービスを有効にします。 DHAを構成するには、 Windows Server 2016 Technical Preview 5以降を実行するマシンが必要です。DHAはサーバーの役割でインストールします。詳しくは、Microsoft TechNetの「Device Health Attestation」を参照してください。

XenMobile ServerポリシーでオンプレミスのDHAサービスを有効にするには、次の手順を実行します。

  1. XenMobileコンソールで、[構成]>[デバイスポリシー] をクリックします。[デバイスポリシー] ページが開きます。

  2. Microsoft CloudでDHAを有効にするポリシーを作成済みの場合は、手順8に進んでください。

  3. ポリシーを追加するには[追加]をクリックします。[新しいポリシーの追加] ダイアログボックスが開きます。

  4. [詳細] をクリックした後、[カスタム] の下の [デバイス正常性構成証明ポリシー] をクリックします。[デバイス正常性構成証明ポリシー] 情報ページが開きます。

  5. [ポリシー情報] ペインで、以下の情報を入力します。

    • ポリシー名: ポリシーの説明的な名前を入力します。
    • 説明: 任意で、ポリシーの説明を入力します。
  6. [次へ] をクリックします。[ポリシープラットフォーム]ページが開きます。

  7. [プラットフォーム] で、追加するプラットフォームをオンにします。1つのプラットフォームのみを構成する場合は、それ以外のプラットフォームをオフにします。

  8. 選択したプラットフォームごとに、次の設定を構成します。

    1. [デバイス正常性構成証明を有効にする][オン] にします。

    2. [社内のデバイス正常性構成証明サービス(DHA)の構成][オン] にします。

    3. [社内のDHAサービスのFQDN] に、セットアップしたDHAサーバーの完全修飾ドメイン名を入力します。

    4. [社内のDHAのAPIバージョン] で、DHAサーバーにインストールするDHAサービスのバージョンを選択します。

  9. 展開規則を構成し、デリバリーグループを選択します。

    オンエアDHAポリシーの画像

ポリシーがWindows 10モバイルデバイスにプッシュされたことを確認するには、次の手順を実行します

  1. XenMobileコンソールで、[管理]>[デバイス] の順にクリックします。

  2. デバイスを選択します。

  3. [プロパティ] を選択します。

  4. 「Windows デバイス正常性構成証明」が表示されるまで下にスクロールします。

登録テンプレートのマクロの強化

デバイス登録招待状の登録テンプレートを作成する場合は、次の新しいマクロを使用できます。

${enrollment.urls}
${enrollment.ios.url}
${enrollment.macos.url}
${enrollment.android.url}
${enrollment.ios.platform}
${enrollment.macos.platform}
${enrollment.android.platform}
${enrollment.agent}

これらのマクロを使用すると、複数のデバイスプラットフォームの登録用URLを含む登録テンプレートを作成できます。

次の例は、複数のデバイスプラットフォームの登録用URLを含む通知を作成する方法を示しています。[メッセージ] のマクロは次のとおりです。

${enrollment.urls}

登録テンプレートの例の画像

次の例は、ユーザーに各自のデバイスプラットフォームに当てはまる登録用URLをクリックすることを促す、通知メッセージを作成する方法を示しています。

例1

To enroll, please click the link below that applies to your device platform:

${enrollment.ios.platform} - ${enrollment.ios.url}

${enrollment.macos.platform} - ${enrollment.macos.url}

${enrollment.android.platform} - ${enrollment.android.url}

例2

To enroll an iOS device, click the link ${enrollment.ios.url}.

To enroll a macOS device, click the link ${enrollment.macos.url}.

To enroll an Android device, click the link ${enrollment.android.url}.

そのほかの改善

  • XenMobileコンソールとSelf Help Portalが、スペイン語でご利用いただけるようになりました。

  • XenMobileで、Androidデバイスのセキュリティパッチレベルが報告されるようになりました[セキュリティ パッチ レベル] は、[管理]>[デバイス] ページの [デバイス詳細] で確認できます。また、[構成]>[操作] を使用して、セキュリティパッチレベルによってトリガーされるアクションを作成できます。

     Androidセキュリティパッチレベルの画像

    セキュリティパッチレベルトリガーの画像

  • macOSで登録招待状をフィルター処理[管理]>[登録招待状] のプラットフォームフィルターに、macOS が含まれるようになりました。

    登録macOSフィルタの画像

  • ユーザーが顔認証を使用してSamsung Galaxy S8以降のデバイスをロック解除することをブロックする、制限ポリシーの設定。Samsung SAFEの制限デバイスポリシーに、[顔認識] の設定が含まれるようになりました。デバイスアクセスのロック解除に顔認識が使用されることを防ぐには、[構成]>[デバイスポリシー] の順に選択し、 制限ポリシーを編集して [顔認識][オフ] にします。

     Samsungの顔認識制限の画像

  • 必須のmacOS VPPアプリがサポートされるようになりました。macOS VPPアプリを必須アプリとしてActive Directoryとローカルユーザーの両方に展開できます。[構成]>[アプリ] の順に選択してアプリをmacOS VPPでフィルター処理し、macOS VPPアプリを確認できます。macOSにSecure Hubは提供されていないため、macOS VPPアプリではこのページに [ストア構成] セクションが表示されません。[管理]>[デバイス][ユーザー プロパティ] に、macOS VPPアカウントの[VPPアカウントの削除]が含まれます。

  • [設定]>[アプリケーション]で、パブリックアプリストアのアプリとエンタープライズアプリのパッケージIDが表示されるようになりました

    アプリ構成の画像

    アプリ構成の画像

  • アルファベット順に表示されたデリバリーグループのリソース一覧。[構成]>[デリバリーグループ] で、すべてのリソース一覧と検索結果がアルファベット順に表示されます。

    デリバリーグループの構成の画像

    デリバリーグループの構成の画像

  • [管理]>[デバイス] ページと [管理]>[ユーザー] ページで、日付が24時間形式のdd/mm/yyyy hh:mm:ssで表示されるようになりました。日付には、デバイスとユーザーのローカルタイムゾーンが反映されます。

  • iOSデバイスのVPNポリシーに、iKEv2の種類に対するアプリケーションごとのVPNポリシーオプションが追加されました。iOS 9.0以降のデバイスでは、iKEv2接続でアプリケーションごとのVPNがサポートされます。iOS 9.0以降のデバイスでは、iKEv2の接続でPer-App VPNがサポートされます。[Per-App VPN] のPer-App VPNの有効化オプションは次のとおりです。

    • Per-App VPN を有効化
    • オンデマンドマッチアプリが有効
    • Safariドメイン

      アプリごとのVPNポリシーの画像

      アプリごとのVPNポリシーの画像

      [iOS]セクションで、[iKEv2の接続の種類]セクションに次が追加されました。

      Per-App VPNの有効化: アプリケーションごとのVPNを有効にするかどうかを選択します。デフォルトは [オフ] です。iOS 9.0以降でのみ利用できます。

      オンデマンドマッチアプリが有効: アプリケーションごとのVPNサービスにリンクされているアプリケーションがネットワーク通信を開始したときに、アプリケーションごとのVPN接続が自動的にトリガーされるようにするかどうかを選択します。デフォルトは [オフ] です。

      Safariドメイン:[追加] をクリックして、Safariドメイン名を追加します。

  • XenMobileコンソールに表示されるmacOSデバイスのワイプコード。 macOSデバイスでは、デバイスがワイプされるとユーザーはPINコードを入力する必要があります。ユーザーがこのコードを忘れた場合は、[管理]>[デバイス詳細] ページでワイプコードを調べることができます。

     macOSワイプコードの画像

  • VPPを使用してMDXアプリを展開すると、Secure HubストアでアプリのVPPインスタンスのみが表示されるようになりました。これまでは、VPPおよびMDXアプリの両方がストアに表示されていました。この変更により、エンドユーザーが、iTunesアカウントを必要とするMDXバージョンのアプリをインストールするのを防ぐことができます。MDXアプリの追加では、[VPP経由で展開されたアプリ] の設定が新たに追加されました。VPPを使用してアプリを展開する場合は、この設定を [オン] に変更します。

     VPPを使用したアプリ展開の画像

  • 多数のVPPライセンスをインポートするときのパフォーマンスが改善されました。この最適化には、マルチスレッド処理が使用されています。XenMobile Serverの新しいプロパティMaxNumberOfWorkerは、デフォルトでは3(スレッド)です。さらに最適化が必要な場合は、スレッド数を増やすことができます。ただし、スレッド数を大きくする(6など)と、VPPライセンスのインポートによりCPU使用率が非常に高くなります。

  • XenMobileコンソールで、Mac OS X、OS X、OSX、MACOSX、MacOSと呼んでいたものはすべて、今後はmacOSを指します。

  • Windows 10デバイスの再起動。セキュリティ操作[再起動]を送信して、デバイスを再起動できるようになりました。WindowsタブレットおよびPCでは、「システムを再起動します」という内容のメッセージが表示されて、5分以内に再起動が実行されます。Windows Phoneでは、ユーザーに警告メッセージは表示されず、数分後に再起動が実行されます。

     Windows 10の再起動の画像

パブリックREST APIの変更

デバイス通知のRESTサービスで、XenMobileにトークンの送信を要求せずに、デバイスIDを使用してデバイスに通知できるようになりました。

XenMobileのパブリックREST APIを使用して登録招待状を作成する場合、次のことができるようになりました。

  • カスタムPINの指定。登録モードでPINが必要な場合は、XenMobile Serverによってランダムに生成されたPINの代わりに、カスタムPINを使用できます。PINの長さは、該当する登録モードに対して構成された設定に一致する必要があります。デフォルトのPIN長は8です。たとえば、要求に「PIN」: 「12345678」を含めることができます。

  • 複数のプラットフォームの選択。これまでは、REST APIを使用して登録招待状に1つのプラットフォームしか指定できませんでした。「platform」フィールドは廃止されて「platforms」に置き換えられます。たとえば、要求に「”platforms”: [“iOS”, “MACOSX”]」と記載できます。

RESTサービス用のXenMobileパブリックAPIに、次のAPIが含まれるようになりました。

  • コンテナIDで取得
    • MDXモバイルアプリ
    • エンタープライズモバイルアプリ
    • WebLinkアプリ
    • WebおよびSaaSアプリ
    • パブリックストアアプリ
  • 新規または既存のコンテナにアプリをアップロード
    • MDXモバイルアプリ
    • エンタープライズモバイルアプリ
  • MDXモバイルアプリとパブリックストアアプリのコンテナ内でプラットフォームの詳細を更新
  • アプリの追加または更新
    • WebLinkアプリ
    • WebおよびSaaSアプリ
    • パブリックストアアプリ
  • すべてのWebおよびSaaSコネクタを取得、またはコネクタ名でWebおよびSaasコネクタを取得
  • アプリコンテナの削除
    • MDXモバイルアプリ
    • エンタープライズモバイルアプリ
    • WebLinkアプリ
    • WebおよびSaaSアプリ

詳しくは、『XenMobile Public API for REST Services』を参照してください。