Product Documentation

デバイスポリシーとアプリポリシー

2018年2月21日

XenMobileにデバイスポリシーとアプリポリシーを適用すると、次のような要素間のバランスを最適化できます。

  • 企業セキュリティ
  • 企業データおよび資産の保護
  • ユーザーのプライバシー
  • 生産的で好ましいユーザーエクスペリエンス

これらの要素間の最適なバランスはさまざまです。たとえば、金融などの高度に規制されている組織では、ユーザーの生産性が重視される教育や小売りなどの業界よりも厳格なセキュリティ管理が求められます。

ユーザーのID、デバイス、場所、および接続タイプに基づいてポリシーを集中的に管理および構成し、企業コンテンツが悪用されるのを抑制できます。デバイスを紛失または盗まれた場合、ビジネスアプリケーションとデータをリモートで無効にしたり、ロックやワイプを行ったりできます。総合的に見ると、従業員の満足度と生産性を向上させると同時に、セキュリティと管理者によるコントロールを保証するソリューションということになります。

この記事ではセキュリティに関連する多くのデバイスポリシーとアプリポリシーに焦点を当てます。

セキュリティリスクに対処するポリシー

XenMobileのデバイスポリシーとアプリポリシーは、次のようなセキュリティリスクを引き起こす可能性のある、様々な状況に対応しています。

  • 信頼できないデバイスや予期しない場所からアプリやデータにアクセスしようとした場合。
  • デバイス間でデータを移動させる場合。
  • 権限のないユーザーがデータにアクセスしようとした場合。
  • 退社したユーザーが独自のデバイス(Bring Your Own Device:BYOD)を使用した場合。
  • デバイスを紛失した場合。
  • 常時安全にネットワークにアクセスする必要がある場合。
  • ユーザーが自分でデバイスを管理していて、仕事用のデータと個人用のデータを分ける必要がある場合。
  • デバイスがアイドル状態で、ユーザーの資格情報の検証が再度必要な場合。
  • 機微なコンテンツをコピーして、保護されていないメールシステムに貼り付ける場合。
  • 個人用アカウントと企業アカウントの両方があり、機微なデータが保存されているデバイスで電子メールの添付ファイルまたはWebリンクを受信した場合。

企業データの保護においては、こうした事態が懸念される場面は主に2つあります。具体的にはデータが次のような状態にあるときです。

  • 保存されている
  • 転送している

XenMobileによる保存データの保護

モバイルデバイスに格納されているデータは、保存データと呼ばれます。XenMobileのモバイルアプリケーション管理(MAM)機能を利用すると、XenMobile Apps、MDX対応アプリ、およびそれらに関連付けられたデータに対する完全な管理、セキュリティ、および制御を実現できます。XenMobile環境でアプリを有効にするWorx App SDKは、Citrix MDXアプリコンテナ技術を利用して、ユーザーのモバイルデバイス上にある企業のアプリとデータを、個人のアプリとデータから分離します。これにより、包括的なポリシーベースの制御に基づいて、カスタムで開発されたモバイルアプリやサードパーティ製のモバイルアプリ、BYOモバイルアプリをすべて保護することができます。

豊富なMDXポリシーライブラリに加えて、XenMobileはアプリレベルでの暗号化も備えています。XenMobileはデバイスのPINコードを必要とせずに、MDX対応アプリ内に保存されたデータを単独で暗号化します。ポリシーを適用するためにデバイスを管理する必要もありません。

ポリシーとWorx App SDKを使用すると次のことを実現できます。

  • ビジネス用と個人用それぞれのアプリおよびデータをセキュリティで保護されたモバイルコンテナ内で分離。
  • 暗号化やその他のモバイルデータ損失防止(Data Loss Prevention:DLP)技術でアプリを保護。

MDXポリシーは多くの操作を制御できるため、すべての通信を制御しながら、MDXでラップされたアプリ間のシームレスな統合を実現できます。このようにして、MDX対応アプリでのみデータにアクセスできるようにするなどのポリシーを適用することができます。

デバイスポリシーとアプリポリシーの管理以外では、暗号化が保存データを安全に保護する方法としては最適です。XenMobileはMDX対応のアプリケーションに保存されたデータに暗号化レイヤーを追加することで、パブリックファイル暗号化、プライベートファイル暗号化、暗号化の除外などの機能をポリシーで制御できます。Worx App SDKでは、保護されたCitrix Secret Vaultに保存されているキーを用いて、FIPS 140-2準拠のAES 256ビット暗号化を行います。

XenMobileによる転送データの保護

ユーザーのモバイルデバイスと内部ネットワークとの間を移動するデータは、転送データと呼ばれます。MDXアプリコンテナ技術は、内部ネットワークに対するアプリケーション専用のVPNアクセスを、NetScaler Gatewayを介して提供します。

従業員が、モバイルデバイスからセキュリティで保護された企業ネットワークに存在するリソース(企業メールサーバー、企業イントラネット上にホストされているSSL対応のWebアプリケーション、ファイルサーバーやMicrosoft SharePointに保存されているドキュメントなど)にアクセスする場合を考えてみます。MDXを使用すると、アプリケーション専用のマイクロVPNを介して、モバイルデバイスからこれらすべての企業リソースにアクセスできます。各デバイスに専用のマイクロVPNトンネルが用意されます。

Micro VPN機能により、信頼できないモバイルデバイスのセキュリティを脅かす可能性がある、デバイス全体でのVPNは不要になります。そのため、内部ネットワークがマルウェアや企業システム全体に感染する可能性のある攻撃にさらされることはありません。企業のモバイルアプリと個人用のモバイルアプリを、1つのデバイス上で共存させることができます。

セキュリティレベルをさらに強化するには、代替NetScaler Gatewayポリシーを使用してMDX対応アプリを構成することができます。これは認証およびアプリとのマイクロVPNセッションに使用します。代替NetScaler Gatewayをオンラインセッション必須ポリシーと組み合わせて使用し、アプリを指定のゲートウェイで再認証するようにできます。通常、このようなゲートウェイには、別の(確実性の高い)認証要件およびトラフィック管理ポリシーが割り当てられています。

マイクロVPNはセキュリティ機能に加えて、最小限のデータだけを転送する圧縮アルゴリズムなどのデータ最適化技術を提供し、転送が最短時間で実行されるようにします。それによってモバイルのプロジェクトを成功させる要素として重要な、ユーザーエクスペリエンスが向上します。

次のような場合は、デバイスポリシーを定期的に再評価する必要があります。

  • デバイスのオペレーティングシステムのアップデートがリリースされたことで、XenMobileの新しいバージョンに新しいポリシーまたは更新されたポリシーが含まれる場合。
  • 新しいデバイスタイプを追加する場合。多くのポリシーはすべてのデバイスに共通ですが、各デバイスのオペレーティングシステムに固有のポリシーもあります。そのため、iOS、Android、Windowsデバイスの間で異なるほか、Androidを実行するデバイスの製造元によっても違いがある場合があります。
  • XenMobileの運用を、企業の新しいセキュリティポリシーやコンプライアンス規制など、企業や業界の変化に対して継続的に同期させる。
  • 新しいバージョンのMDXサービスに新しいポリシーまたは更新されたポリシーが含まれている場合。
  • アプリを追加または更新する場合。
  • アプリや要件が新しくなった結果、ユーザー用に新しいワークフローを統合する必要がある場合。

アプリポリシーとユースケースのシナリオ

Secure Hubで利用可能なアプリを選択できますが、それらのアプリがXenMobileとやり取りする方法を定義しなくてはならない場合もあります。特定の期間が経過した後にユーザーを認証させたい場合、またはユーザーが情報にオフラインでアクセスできるようにする場合は、アプリポリシーを使用します。以下の一覧ではポリシーの一部と、その使用方法について説明します。プラットフォームごとのMDXポリシーの一覧については、「MDXポリシーの概要」を参照してください。

認証ポリシー

  • デバイスのパスコード

    このポリシーを使用する理由: デバイスのパスコードポリシーを有効にして、デバイスのデバイスPINが有効になっている場合にのみ、ユーザーがMDXアプリにアクセスできるようにします。iOS 9デバイスでは、この機能によってデバイスレベルおよびMDXコンテナでのiOS暗号化が保証されます。

    ユーザーの例: このポリシーを有効にすると、iOSデバイスでPINコードを設定しない限りは、MDXアプリにアクセスできないようになります。

  • アプリのパスコード

    このポリシーを使用する理由: アプリのパスコードポリシーを有効にすると、Secure Hubで管理対象アプリを認証しない限りは、アプリを開いてデータにアクセスできないようになります。XenMobileコンソールで、[設定]>[クライアントプロパティ]で構成する内容に応じて、ユーザーはActive Directoryのパスワード、Citrix PIN、またはiOS TouchIDで認証できます。クライアントのプロパティで非アクティブタイマーを設定すると、継続的に使用している限りは、タイマーが切れるまでの間にSecure Hubが管理対象アプリの認証をユーザーに再度求めないようにすることができます。

    アプリのパスコードはデバイスのパスコードとは次の点で異なります。デバイスのパスコードポリシーをデバイスにプッシュすると、Secure HubはパスコードまたはPINを設定するようにユーザーに求めます。これにより、デバイスの電源を入れたとき、または非アクティブタイマーが時間切れになったときに、デバイスのロックを解除しない限りはデバイスにアクセスできなくなります。詳しくは、XenMobileでのユーザー認証についての記事を参照してください。

    ユーザーの例: デバイス上でCitrix Secure Webアプリケーションを開くときに非アクティブ期間が過ぎていると、Citrix PINを入力しない限りはWebサイトを参照できなくなります。

  • オンラインセッションを必須とする

    このポリシーを使用する理由: アプリケーションを実行するためにWebアプリケーション(Webサービス)へのアクセスが必要である場合は、このポリシーを有効にすることで、企業ネットワークに接続するかアクティブなセッションを確立してからアプリケーションを使用するように、XenMobileからユーザーに対して求めるようにできます。

    ユーザーの例: オンラインセッションを必須とするポリシーが有効になっているMDXアプリをユーザーが開こうとすると、携帯電話またはWi-Fiサービスを使用してネットワークに接続しない限り、アプリケーションを使用できなくなります。

  • 最大オフライン期間

    このポリシーを使用する理由: このポリシーを追加のセキュリティオプションとして使用すると、XenMobileでアプリの資格の再確認および最新のポリシーの更新を行わずに、長期間アプリをオフラインで実行することはできなくなります。

    ユーザーの例: 最大オフライン期間を適用したMDXアプリを構成すると、オフラインタイマー期間が終了するまでの間、ユーザーはオフラインでアプリケーションを開いて使用できます。期間が終了した時点で、ユーザーは携帯電話またはWi-Fiサービス経由でネットワークに接続し、プロンプトが表示されたら再認証する必要があります。

その他のアクセスポリシー

  • アプリ更新猶予期間(時間)

    このポリシーを使用する理由: アプリ更新猶予期間とは、XenMobile Storeにリリースされている新しいバージョンのアプリを更新するまでの間、ユーザーが利用できる時間です。猶予期間が終了した時点で、ユーザーはアプリを更新しない限り、アプリ内のデータにアクセスできなくなります。この値を設定する場合には、モバイルワーカーのニーズ、特に海外旅行で長期間オフラインの状態になる可能性があるユーザーのニーズを考慮してください。

    ユーザーの例: XenMobile Storeに新しいバージョンのSecure Mailをロードしてから、アプリ更新猶予期間を6時間に設定します。Secure Mailのすべてのユーザーには、6時間が経過するまで、Secure Mailアプリの更新を求めるメッセージが表示されます。6時間が経過すると、Secure HubはユーザーをXenMobile Storeにルーティングします。

  • アクティブなポーリング周期(分)

    このポリシーを使用する理由: アクティブなポーリング周期とは、XenMobileがアプリのApp LockやApp Wipeなどのセキュリティアクションを実行するタイミングをチェックする間隔のことです。

    ユーザーの例: アクティブなポーリング期間ポリシーを60分に設定した場合、XenMobileからデバイスにApp Lockコマンドを送信すると、最後のポーリングが行われてから60分以内にロックが発生します。

暗号化ポリシー

これらのポリシーを使用する理由: XenMobileには強力な暗号化レイヤーを備えたSecret Vaultが搭載されており、これによりSecure Hubや他のXenMobile Appsがパスワードや暗号キーなどの機微なデータを、プラットフォームのネイティブキーストアに依存することなくデバイスに保存できます。そのため、デバイスが何らかの形で侵害された場合、企業データはMDXコンテナ内で暗号化された状態が維持され、このデータはコンテナの外に転送される前にXenMobileによって難読化されます。

ユーザーの例: デバイスの所有者がデバイスのPINを設定しなかった場合、またはデバイスのPINが侵害された場合、Secure Hubコンテナ内の企業データはセキュリティで保護された状態が維持されます。

アプリ相互作用ポリシー

これらのポリシーを使用する理由: アプリ相互作用ポリシーを使用して、MDXアプリからデバイス上の他のアプリケーションへのドキュメントおよびデータの流れを制御します。たとえば、ユーザーがコンテナの外部にある個人アプリにデータを移動したり、コンテナの外部からコンテナ化されたアプリケーションにデータを貼り付けたりすることを防止できます。

ユーザーの例: アプリ相互作用ポリシーを[制限]に設定すると、ユーザーはSecure MailからSecure Webにテキストをコピーできますが、コンテナの外にある個人のSafariやChromeブラウザーにそのデータをコピーすることはできません。また、ユーザーはSecure Mailの添付ファイルをShareFileまたはQuick Editで開くことはできますが、添付ファイルをコンテナの外にある個人のファイル閲覧アプリで開くことはできません。

アプリの制限ポリシー

これらのポリシーを使用する理由: アプリの制限ポリシーは、MDXアプリが開いている間にユーザーがアプリからアクセスできる機能を制御するために使用します。これにより、アプリの実行中に悪意のある行為が発生しないようにすることができます。アプリの制限ポリシーは、iOSとAndroidでわずかに異なります。たとえばiOSでは、MDXアプリの実行中にiCloudへのアクセスをブロックできます。Androidでは、MDXアプリの実行中に近距離無線通信(NFC)の使用を停止できます。

ユーザーの例: アプリの制限ポリシーを有効にしてMDXアプリでのiOSの音声入力をブロックすると、ユーザーはMDXアプリの実行中に、iOSキーボードの音声入力機能を使用できなくなります。そのため、ユーザーの音声入力データが、セキュリティで保護されていないサードパーティのクラウド音声入力サービスに渡されることはありません。ユーザーがコンテナの外で個人のアプリを開いた場合、ユーザーが個人的な通信手段として使用する音声入力のオプションは、変わらず利用できます。

アプリのネットワークアクセスポリシー

これらのポリシーを使用する理由: アプリのネットワークアクセスポリシーは、デバイスのコンテナ内のMDXアプリから社内ネットワークにあるデータへのアクセスを提供するために使用します。ネットワークアクセスポリシーでは、[内部ネットワークへトンネル]オプションを設定して、MDXアプリからNetScaler経由での、バックエンドのWebサービスまたはデータストアへのマイクロVPNを自動化します。

ユーザーの例: トンネリングが有効になっているSecure WebなどのMDXアプリをユーザーが開くと、Webブラウザーが開いてイントラネットサイトが起動します。ユーザーがVPNを開始する必要はありません。Secure Webアプリケーションは、マイクロVPN技術を使用して内部サイトに自動的にアクセスします。

アプリの地理位置情報およびジオフェンシングポリシー

これらのポリシーを使用する理由: アプリの地理位置情報およびジオフェンシングを制御するポリシーには、中心点経度、中心点緯度、および半径が含まれます。これらのポリシーの対象には、特定の地理的領域にあるMDXアプリのデータに対するアクセスが含まれます。このポリシーでは緯度および経度座標の半径によって地理的エリアを定義します。定義された半径外にあるアプリをユーザーが使用しようとしても、アプリはロックされたままで、アプリケーションデータにはアクセスできません。

ユーザーの例: ユーザーが自分の職場がある場所にいる間はM&Aのデータにアクセスできますが、オフィスの外に移動すると、この機微なデータにアクセスできなくなります。

Secure Mailアプリポリシー

  • バックグラウンドネットワークサービス

    このポリシーを使用する理由: Secure Mailのバックグラウンドネットワークサービスは、Secure Ticket Authority(STA)を利用します。これは、事実上NetScaler Gateway経由で接続するSOCKS5プロキシです。STAは長時間の接続をサポートしており、マイクロVPNに比べてバッテリー寿命が長くなります。そのため、STAは常に接続しておくメールに最適です。Secure Mailではこれらの設定を構成することをお勧めします。NetScaler for XenMobileウィザードでは、Secure MailのSTAが自動的に設定されます。

    ユーザーの例: STAが有効になっていないときにAndroidユーザーがSecure Mailを開くと、VPNを開くように求められ、デバイス上で開かれたまま維持されます。STAが有効になっているときにAndroidユーザーがSecure Mailを開くと、Secure MailはVPNを必要とせずシームレスに接続されます。

  • デフォルトの同期間隔

    このポリシーを使用する理由: この設定では、ユーザーがSecure Mailに初めてアクセスしたときに、メールがSecure Mailと同期する既定の日数を指定します。2週間分のメールの同期には3日以上の時間がかかり、ユーザーのセットアッププロセスが長くなることに注意してください。

    ユーザーの例: ユーザーが最初にSecure Mailを設定したときのデフォルトの同期間隔が3日に設定されている場合、現在から過去3日間に受信した受信トレイ内のメールがすべて表示されます。4日以上経過したメールを見たい場合は、検索することができます。そうすることでサーバーに保存されている古いメールがSecure Mailに表示されます。Secure Mailのインストール後に、ユーザーはそれぞれのニーズに合わせてこの設定を変更できます。

デバイスポリシーとユースケースの動作

XenMobileがデバイスでどのように動作するかは、デバイスポリシー(MDMポリシーとも呼ばれます)によって決まります。多くのポリシーはすべてのデバイスに共通ですが、各デバイスのオペレーティングシステムに固有のポリシーもあります。以下の一覧ではデバイスポリシーの一部と、その使用方法について説明します。すべてのデバイスポリシーの一覧については、「デバイスポリシー」を参照してください。

  • アプリインベントリポリシー

    このポリシーを使用する理由: ユーザーがインストールしたアプリを表示する必要がある場合は、アプリインベントリポリシーをデバイスに展開します。アプリインベントリポリシーを展開しない場合、ユーザーがXenMobile Storeからインストールしたアプリのみが表示され、個人的にインストールしたアプリケーションは表示されません。特定のアプリが企業デバイスで実行されないようにブラックリストに追加するには、このポリシーを使用する必要があります。

    ユーザーの例: MDM管理デバイスを使用するユーザーがこの機能を無効にすることはできません。ユーザーが個人的にインストールしたアプリケーションは、XenMobile管理者に表示されます。

  • アプリロックポリシー

    このポリシーを使用する理由: Android用のアプリロックポリシーを使用すると、アプリをブラックリストまたはホワイトリストに追加できます。たとえば、アプリをホワイトリストに追加するとキオスクデバイスを構成できます。ユーザーがインストールできるアプリが制限されるため、通常は企業所有のデバイスにのみアプリロックポリシーを展開します。上書きパスワードを設定すると、ブロックされているアプリにユーザーがアクセスできます。

    ユーザー例: Angry Birdsアプリをブロックするというアプリロックポリシーを展開するとします。ユーザーはGoogle PlayからAngry Birdsアプリをインストールできますが、アプリを開くと管理者がアプリをブロックした旨のメッセージが表示されます。

  • 接続のスケジューリングポリシー

    このポリシーを使用する理由: AndroidおよびWindows MobileデバイスがMDM管理、アプリのプッシュ、およびポリシーの展開を行うためにXenMobileに接続するには、接続のスケジューリングポリシーを使用する必要があります。このポリシーを展開せず、Google Firebase Cloud Messaging(FCM)を有効にしていない場合、デバイスはXenMobileに接続しません。デバイスの登録では、ベースパッケージでこのポリシーを展開することが重要です。スケジューリングオプションは次のとおりです。

    • 常に: 接続のオンライン状態を永続的に維持します。最適化されたセキュリティについては、このオプションをお勧めします。[常に] を選択する場合は、接続タイマーポリシーも使用して、接続によるバッテリー切れが起こらないようにします。接続のオンライン状態を維持することにより、ワイプやロックなどのセキュリティコマンドを必要に応じてデバイスにプッシュできます。デバイスに展開した各ポリシーで、[展開スケジュール]オプションの [常時接続に対する展開] を選択することも必要です。

    • しない: 手動で接続します。デバイスにセキュリティポリシーを展開できず、新しいアプリやポリシーを受信しなくなるため、実稼働環境での [しない] オプションはお勧めしません。

    • 毎: 指定された間隔で接続します。このオプションが有効な状態でロックやワイプなどのセキュリティポリシーを送信すると、このポリシーは次回デバイスが接続されたときにXenMobileによって処理されます。

    • スケジュールを定義 - 有効にすると、XenMobileはネットワーク接続が失われた後に、ユーザーのデバイスをXenMobileサーバーに再接続するよう試行し、定義した期間中、一定の間隔でコントロールパケットを送信することによって接続を監視します。

    ユーザーの例: 登録されたデバイスにパスコードポリシーを展開する場合。スケジューリングポリシーを利用することで、デバイスは一定の間隔でサーバーに接続し、新しいポリシーを収集できます。

  • 資格情報ポリシー

    このポリシーを使用する理由: 多くはWi-Fiポリシーと連携して使用されますが、この資格情報ポリシーを利用することで、証明書による認証が必要な内部リソースの認証に使用する証明書を展開できます。

    ユーザーの例: デバイスにワイヤレスネットワークを構成するWi-Fiポリシーを展開します。Wi-Fiネットワークには認証用の証明書が必要です。資格情報ポリシーが証明書を展開すると、証明書はオペレーティングシステムのキーストアに格納されます。それによりユーザーは、内部リソースに接続したときに証明書を選択できます。

    • Exchangeポリシー

    このポリシーを使用する理由: XenMobileには、Microsoft Exchange ActiveSyncのメールを配信する2つのオプションがあります。

    • Secure Mailアプリ: パブリックアプリケーションストアまたはXenMobile Storeから配布するSecure Mailアプリを使用してメールを配信します。

    • ネイティブメールアプリ: Exchangeポリシーを使用して、デバイス上のネイティブメールクライアントでActiveSyncメールを有効にできます。ネイティブメールでExchangeポリシーを使用すると、Active Directory属性からマクロでユーザーデータを取得して入力できます。${user.username}ならユーザー名、${user.domain}ならユーザードメインのように、ユーザーデータを入力できます。

    ユーザーの例: Exchangeポリシーをプッシュすると、Exchange Serverの詳細がデバイスに送信されます。次にSecure Hubはユーザーに認証を求め、メールの同期を開始します。

  • 場所ポリシー

    このポリシーを使用する理由: 場所ポリシーでは、デバイスのGPSがSecure Hubで有効になっている場合に、地図上でそのデバイスの場所を検出できます。このポリシーを展開し、XenMobileからlocateコマンドを送信すると、デバイスは場所の座標を返します。

    ユーザーの例: 場所ポリシーが展開され、GPSがデバイスで有効になっている場合にユーザーがデバイスを紛失したときは、XenMobile Self Help Portalにログオンして[検索]オプションを選択すると、デバイスの場所を地図上に表示できます。Secure Hubで位置情報サービスの使用を許可することについては、ユーザーに選択権があることに注意してください。ユーザーがデバイスを自分で登録した場合に、位置情報サービスの使用を強制することはできません。このポリシーを使用するときにもう1つ考慮すべき事項は、バッテリー寿命への影響です。

  • パスコードポリシー

    このポリシーを使用する理由: パスコードポリシーを使用すると、管理対象デバイスにPINコードまたはパスワードを適用できます。このパスコードポリシーでは、デバイス上でパスコードの複雑さやタイムアウトを設定できます。

    ユーザーの例: パスコードポリシーを管理対象デバイスに展開すると、Secure HubはパスコードまたはPINを構成するようにユーザーに求めます。これにより、デバイスの電源を入れたとき、または非アクティブタイマーが時間切れになったときに、デバイスのロックを解除しない限りデバイスにアクセスできなくなります。

  • プロファイル削除ポリシー

    このポリシーを使用する理由: ユーザーのグループにポリシーを展開した後で、そのポリシーをユーザーのサブセットから削除する必要があるとします。選択したユーザーのポリシーを削除するには、プロファイル削除ポリシーを作成し、展開規則を使用して、プロファイル削除ポリシーを指定されたユーザー名にのみ展開します。

    ユーザーの例: プロファイル削除ポリシーをユーザーデバイスに展開すると、ユーザーは変更に気付かない可能性があります。たとえば、デバイスカメラを無効にする制限がプロファイル削除ポリシーによって削除された場合、ユーザーにはカメラの使用が許可されていることは分かりません。ユーザーエクスペリエンスに影響を及ぼす変更については、ユーザーに通知することを検討してください。

  • 制限ポリシー

    このポリシーを使用する理由: 制限ポリシーによって、管理対象デバイスの機能をロックダウンおよび制御するさまざまなオプションを使用できます。対応デバイスでは数百の制限オプションを利用して、デバイスのカメラやマイクを無効にしたり、ローミング規則の適用やアプリストアのようなサードパーティサービスへのアクセスなどを制限したりできます。

    ユーザーの例: iOSデバイスに制限を展開すると、ユーザーはiCloudまたはiTunesストアにアクセスできなくなることがあります。

  • 契約条件ポリシー

    このポリシーを使用する理由: デバイスを管理することの法的な意味を、ユーザーに知らせる必要がある場合があります。また、企業データをデバイスにプッシュするときの、セキュリティ上のリスクをユーザーに認識させる必要がある場合もあります。カスタムの契約条件文書では、ユーザー登録の前に規則および通知を公開できます。

    ユーザーの例: 登録処理中に契約条件の情報をユーザーに表示します。指定された条件の受け入れを拒否した場合、登録処理は終了し、ユーザーは企業データにアクセスすることはできません。レポートを生成してHR/法務/コンプライアンスチームに提供し、条件を了承または拒否した対象者を確認できます。

  • VPNポリシー

    このポリシーを使用する理由: VPNポリシーは、古いVPNゲートウェイ技術を使用するバックエンドシステムへのアクセスを提供するために使用します。このポリシーではさまざまなVPNプロバイダー(Citrix VPNに加えてCisco AnyConnect、Juniperなど)がサポートされています。また、このポリシーをCAにリンクして、オンデマンドでVPNを有効にできます(VPNゲートウェイがこのオプションをサポートしている場合)。

    ユーザーの例: VPNポリシーを有効にすると、ユーザーのデバイスは、ユーザーが内部ドメインにアクセスしたときにVPN接続を開きます。

  • Webクリップポリシー

    このポリシーを使用する理由: Webクリップポリシーは、Webサイトが直接開かれるアイコンをデバイスにプッシュする場合に使用します。WebクリップにはWebサイトへのリンクが含まれており、カスタムアイコンを加えることができます。デバイス上では、Webクリップはアプリのアイコンのように見えます。

    ユーザーの例: ユーザーがWebクリップアイコンをクリックしてインターネットのサイトを開くことで、アクセスが必要なサービスを利用できます。Webリンクを使用する方が、Webブラウザーアプリを開いてリンクアドレスを入力するよりも便利です。

  • Wi-Fiポリシー

    このポリシーを使用する理由: Wi-Fiポリシーを使用すると、SSID、認証データ、および設定データなどのWi-Fiネットワークの詳細を管理対象デバイスに展開できます。

    ユーザーの例: Wi-Fiポリシーを展開すると、デバイスが自動的にWi-Fiネットワークに接続してユーザー認証を行なうことで、ユーザーがネットワークにアクセスできるようになります。

  • Windows Information Protectionのポリシー

    このポリシーを使用する理由: Windows Information Protection(WIP)ポリシーは、企業データの潜在的な漏洩を防止するために使用します。設定した適用レベルのWindows Information Protectionが求められるアプリを指定できます。たとえば、不適切なデータ共有のブロックや警告を行ったり、ユーザーにポリシーの上書きを許可したりすることができます。不適切なデータ共有を記録しながら許可し、サイレントでWIPを実行できます

    ユーザーの例: 不適切なデータ共有をブロックするようにWIPポリシーを構成するとします。ユーザーが保護されたファイルを、保護されていない場所にコピーまたは保存すると、この場所に保護された作業コンテンツを置くことはできない、という旨のメッセージが表示されます。

  • XenMobile Storeポリシー

    このポリシーを使用する理由: XenMobile Storeは、ユーザーが必要とするすべての企業アプリとデータリソースを、管理者が公開できる一元化されたアプリストアです。Citrix StoreFrontで公開されたWebアプリケーション、SaaSアプリケーション、MDXラップされたアプリケーション、Citrixの生産性向上アプリケーション、.ipaや.apkファイルなどのネイティブモバイルアプリケーション、iTunesとGoogle Playアプリケーション、Webリンク、XenAppおよびXenDesktopアプリケーションを追加できます。

    ユーザーの例: デバイスをXenMobileに登録すると、ユーザーはCitrix Secure Hubアプリを通じてXenMobile Storeにアクセスし、利用できるすべての企業アプリとサービスを表示できます。ユーザーはアプリをクリックすると、インストール、データへのアクセス、アプリの評価とレビュー、XenMobile Storeからのアプリの更新プログラムのダウンロードを行えます。