Product Documentation

管理モード

2018年2月21日

XenMobileでは、デバイス、アプリ、またはその両方を管理するかどうかを選択できます。XenMobileは、デバイス管理モードとアプリケーション管理モード(展開モードと呼ばれる場合もあります)で次の用語を使用します。

  • モバイルデバイス管理(MDM)モード
  • モバイルアプリケーション管理(MAM)モード
  • MDM + MAM(企業)モード

モバイルデバイス管理(MDM)モード

MDMを使用すると、モバイルデバイスを設定、保護、およびサポートできます。MDMでは、システムレベルでデバイス上のデバイスとデータを保護できます。ポリシー、アクション、およびセキュリティ機能を設定できます。たとえば、デバイスが紛失や盗難にあったり、コンプライアンス違反となった場合に、デバイスを選択的にワイプできます。アプリ管理はMDMモードでは利用できませんが、このモードではパブリックアプリケーションストアやエンタープライズアプリなどのモバイルアプリを配信できます。以下は、MDMモードの一般的なユースケースです。

  • MDMは、完全なワイプ、選択的なワイプ、またはジオロケーションなどのデバイスレベルの管理ポリシーや制約が必要な企業所有デバイスが考慮されています。
  • 顧客が実際のデバイスの管理を必要としながら、アプリのコンテナー化、アプリケーションデータの共有の制御、マイクロVPNなどのMDXポリシーを必要としない場合。
  • ユーザーはモバイルデバイス上のネイティブメールクライアントへのメールの配信のみが必要で、Exchange ActiveSyncやクライアントアクセスサーバーにはすでに外部からアクセス可能な場合。このユースケースでは、MDMを使用してメールの配信を設定できます。
  • ネイティブエンタープライズアプリケーション(非MDX)、パブリックアプリケーションストアアプリ、またはパブリックストアから配信されたMDXアプリを展開する場合。MDMソリューションだけでは、デバイス上のアプリ間の機密情報の漏洩を防止できない可能性があることを考慮してください。データ漏洩は、Office 365アプリでのコピー&ペースト操作や名前を付けて保存操作で発生する可能性があります。

モバイルアプリケーション管理(MAM)モード

MAMはアプリケーションデータを保護し、アプリケーションデータ共有を制御できるようにします。また、個人データとは別に企業のデータやリソースの管理も可能です。XenMobileをMAMモードに設定すると、MDX対応のモバイルアプリを使用して、アプリごとのコンテナー化と制御を提供できます。MAMモードは、MAM-onlyモードとも呼ばれます。

MDXポリシーを活用することにより、XenMobileはネットワークアクセス(マイクロVPNなど)、アプリとデバイスのやり取り、データの暗号化、およびアプリへのアクセスをアプリレベルで制御します。

デバイスは管理されませんが企業データの保護は維持されるため、多くの場合MAMモードは持ち込みデバイス(BYO)に適しています。MDXには50以上のMAM専用のポリシーがあり、MDM制御なしで、デバイスパスコードによる暗号化に頼らずに設定できます。

MAMはXenMobile Appsもサポートしています。このサポートには、Citrix Secure Mailへのメールの安全な配信、保護されたXenMobile Apps間のデータ共有、およびShareFileの安全なデータストレージが含まれます。詳しくは、「XenMobile Apps」を参照してください。

多くの場合、MAMは次の例に適しています。

  • アプリレベルで管理されているMDXアプリなどのモバイルアプリケーションを配信する。
  • システムレベルでデバイスを管理する必要がない。

MDM + MAM(企業)モード

MDM + MAMはハイブリッドモードで、エンタープライズモードとも呼ばれ、XenMobile Enterprise Mobility Management(EMM)ソリューションで利用できるすべての機能セットを使用できます。XenMobileをMDM + MAMモードで構成すると、MDMとMAMの両方の機能が有効になります。

XenMobileでは、ユーザーがデバイス管理をオプトアウトできるか、またはデバイス管理が必要かどうかを指定できます。この柔軟性は、複数のユースケースが混在する環境で役立ちます。これらの環境では、MAMリソースへのアクセスで、MDMポリシーに基づいたデバイスの管理が必要な場合とそうでない場合があります。

多くの場合、MDM + MAMは次の例に適しています。

  • MDMとMAMの両方が必要なユースケースが1つだけある。MAMリソースにアクセスするためにMDMが必要である。
  • MDMが必要なユースケースもあるが、そうでないユースケースもある。
  • MAMが必要なユースケースもあるが、そうでないユースケースもある。

次の表に示すとおり、ライセンスを保有するXenMobileエディションによって使用可能な管理モードとその他の機能が決まります。

     
XenMobile MDM Edition XenMobile Advanced Edition XenMobile Enterprise Edition
MDMの機能 MDMの機能 MDMの機能
- MAMの機能 MAMの機能
- MDX ServiceまたはToolkit MDX ServiceまたはToolkit
Secure Hub Secure Hub Secure Hub
- Secure Mail Secure Mail
- Secure Web Secure Web
QuickEdit QuickEdit QuickEdit
- Secure Tasks Secure Tasks
- - ShareConnect
- - Secure Notes
- - ShareFile Enterprise Edition

デバイス管理とMDM登録

XenMobile Enterprise環境には、MAMリソースへのアクセスを許可するMDMポリシーによるデバイス管理が必要なユースケースが混在している場合があります。XenMobile Appsをユーザーに展開する前に、ユースケースを十分に評価し、MDM登録が必要かどうかを決定してください。MDM登録の必要性を後で変更すると、ユーザーがデバイスを再登録しなければならない場合もあります。

注: ユーザーがMDMに登録する必要があるかどうかを指定するには、XenMobileコンソールのXenMobile Serverプロパティ [登録が必要] を使用します([設定]>[サーバープロパティ])。そのグローバルサーバープロパティは、XenMobileインスタンスのすべてのユーザーとデバイスに適用されます。このプロパティは、XenMobile ServerモードがENTの場合にのみ適用されます。

次に、XenMobile Enterpriseモードでの展開においてMDM登録を必要とする場合のメリットとデメリットを(緩和策とともに)示します。

MDM登録をオプションとする場合

メリット:

  • ユーザーはデバイスをMDM管理下に置くことなく、MAMリソースにアクセスできる。このオプションは、ユーザーへの導入を増やすことができます。
  • MAMリソースへのアクセスを保護し、企業データを保護できる。
  • アプリパスコード などのMDXポリシーで、各MDXアプリのアプリアクセスを制御できる。
  • NetScaler、XenMobile、およびアプリケーションごとのタイムアウトをCitrix PINで構成すると、保護が強化される。
  • MDMアクションはデバイスには適用されませんが、一部のMDXポリシーをMAMアクセスを拒否するのに使用できます。この拒否は、ジェイルブレイクデバイスまたはRoot化済みデバイスなどのシステム設定に基づいて行なわれます。
  • ユーザーは初回使用時に、MDMを使用してデバイスを登録するかどうかを選択できます。

デメリット:

  • MAMリソースをMDMに登録されていないデバイスで使用できる。
  • MDMのポリシーとアクションを、MDMに登録されているデバイスでしか使用できない。

緩和オプション:

  • コンプライアンスに違反した場合はユーザーが責任を負うという企業の契約条件に対して、本人の同意を得ます。管理者に「管理されないデバイス」を監視させます。
  • アプリケーションタイマーを使用して、アプリケーションアクセスとセキュリティを管理します。タイムアウト値を小さくするとセキュリティは向上しますが、ユーザーエクスペリエンスに影響する場合があります。

MDM登録を必要とする場合

メリット:

  • MAMリソースへのアクセスをMDMが管理するデバイスのみに制限できる。
  • MDMのポリシーとアクションを、必要に応じて環境内のすべてのデバイスに適用できる。
  • ユーザーがデバイス登録をオプトアウトすることはできない。

デメリット:

  • すべてのユーザーをMDMに登録する必要がある。
  • 個人用デバイスの企業管理に反対するユーザーへの導入が減る可能性がある。

緩和オプション:

  • XenMobileが実際にデバイス上の何を管理するか、管理者がどの情報にアクセスできるかについてユーザーを教育します。