Product Documentation

新機能

2018年5月1日

シトリックスは、XenMobile Serviceをご使用のお客様に、新機能と製品の更新をいち早くお届けするよう取り組んでいます。新しいリリースでは、より便利な機能をご利用いただけます。今すぐ更新してください。XenMobile Serviceリリースのローリング更新は、約2週間間隔で提供されます。

このプロセスは、お客様向けのわかりやすいものになっています。最初の更新は、Citrix内部サイトのみに適用され、その後徐々にお客様の環境に適用されます。段階的に更新することによって、製品の品質を確認し、最大限の可用性を実現しています。

XenMobile Serviceのお客様であれば、XenMobile Cloud運用チームからXenMobile Serviceの更新やメールなどを直接受け取ることができます。これらの更新は、新機能、既知の問題、解決された問題などを最新の状態に保ちます。

クラウド規模とサービスの可用性に関するXenMobileサービスのサービスレベル目標の詳細については、「サービスレベル目標」を参照してください。サービスの中断および定期メンテナンスを監視するには、Service Health Dashboardを参照してください。

XenMobile Serverのドキュメント:XenMobile Serverのドキュメントでは、XenMobile Serverの最新のオンプレミスリリースについて説明しています。XenMobileコンソールの使用の詳細については、「XenMobile Server」の記事を参照してください。XenMobile Serverのドキュメントには、オンプレミスの展開にのみ適用される機能が含まれます。XenMobile Serviceが最新リリースに更新されると同時に、新機能に関する記事の通知をお送りします。

XenMobile Service 10.18.5

XenMobileの最新バージョンには、次の新機能と拡張機能があります。

Chrome OSデバイスのWiFiデバイスポリシー設定

XenMobileでは、Chrome OSを実行しているデバイスのWi-Fiデバイスポリシーを作成できるようになりました。次の設定を構成します。

デバイスポリシー構成画面の画像

  • 名前: この接続のユーザー向けの説明を入力します。この設定は必須です。

  • 優先度: このネットワークの希望優先度の値を入力します。この値は、複数の構成済みネットワークが使用可能な場合に、どのネットワークに接続するかを決定できます。

  • ゲートウェイのARPポーリングを許可:オン] の場合、ARPメッセージをデフォルトゲートウェイに送信して、現在の接続の状態を監視できるようになります。デフォルトは [オン] です。

  • 自動接続:オン] の場合、デバイスは範囲内のネットワークに自動的に接続します。Default is Off.

  • 非表示のSSID:オン] に設定すると、ネットワークのSSIDはブロードキャストされません。デフォルトは [オフ] です。

  • ローミングのしきい値: このネットワークのローミングしきい値を入力します。ローミングのしきい値は、信号雑音比 (dB) で、この値を下回るとデバイスが新しいネットワークにローミングしようとします。

  • セキュリティの種類の選択: このWi-Fi接続で使用するセキュリティの種類を選択します。オプションは [なし] と [WPA-PSK] です。デフォルトは [なし] です。

Chrome OSの電源管理デバイスポリシーのデフォルト値変更

Chrome OSの次の電源管理デバイスポリシー設定のデフォルト設定が変更されました。

AC電源の場合:

  • アイドルの猶予期間: ユーザーの入力がないとアイドル操作が実行されるまでの時間。分単位で指定します。デフォルト値は60分間です。

  • アイドル警告の猶予期間: ユーザーの入力がないと警告ダイアログが表示されるまでの時間。分単位で指定します。デフォルトは58分です([アイドルの延期]操作が開始される2分前)。

  • 画面非表示の猶予期間: ユーザーの入力がないと画面が非表示になるまでの時間。分単位で指定します。デフォルトは3分です。

  • 画面オフの猶予期間: ユーザーの入力がないと画面がオフになるまでの時間。分単位で指定します。デフォルトは10分です。

バッテリーの場合:

  • アイドルの猶予期間: ユーザーの入力がないとアイドル操作が実行されるまでの時間。分単位で指定します。デフォルトは10分です。

  • アイドル警告の猶予期間: ユーザーの入力がないと警告ダイアログが表示されるまでの時間。分単位で指定します。デフォルトは8分です([アイドルの延期]操作が開始される2分前)。

  • 画面非表示の猶予期間: ユーザーの入力がないと画面が非表示になるまでの時間。分単位で指定します。デフォルトは1分です。

  • 画面オフの猶予期間: ユーザーの入力がないと画面がオフになるまでの時間。分単位で指定します。デフォルトは3分です。

10.18.5でのその他の改善

  • XenMobileサービスはWebとSaaSの内部アプリケーション名を表示するようになりました。XenMobileコンソールから、ShareFileなどのアプリを設定するときに、内部アプリ名を選択できるようになりました。

  • Google Chromeの設定のRBAC。 XenMobileで役割に役割ベースのアクセス制御(RBAC)を構成し、コンソールからGoogle Chrome設定へのアクセスを制御できるようになりました。デフォルトでは、組み込みの管理者の役割がGoogle Chromeの設定にアクセスできます。

  • macOS向けの新しい[制限]デバイスポリシー設定。[制限]デバイスポリシーに、macOS 10.13.4以降を実行するデバイス向けの制限が新しく追加されました。

  • ソフトウェア更新の延期を強制する:オン] の場合、ソフトウェアの更新がユーザーに表示されるまでの時間が延期されます。ソフトウェアの更新がリリースされてから指定の日数が経過するまで、ユーザーにソフトウェアの更新は表示されません。デフォルトは [オフ] です。macOS 10.13.4以降を実行する監視対象デバイスでのみ利用できます。

  • ソフトウェア更新の強制延期期間(日): デバイス上でソフトウェアの更新を延期する日数を指定します。日数の上限は90日です。デフォルトは30です。macOS 10.13.4以降を実行する管理対象デバイスでのみ使用できます。

XenMobile Service 10.18.5で解決された問題

XenMobile ServerがFederal Information Processing Standard(FIPS)モードでインストールされている場合は、SQL認証を使用してMicrosoft Java Database Connectivity(JDBC)ドライバーに切り替えることができます。Windows認証を使用したJDBCドライバーへの切り替えは失敗します。[CXM-42619]

SQLサーバーが子ドメインに展開されている、または子ドメインデータベースのログインが使用されている:Windows認証を使用するMicrosoft Java Database Connectivity(JDBC)が失敗します。[CXM-42969]

Android for Workアプリ向けのアプリ制限を作成しても、その制限がデバイスに適用されないことがあります。代わりに、作成した制限が管理者コンソールで保留状態のままになります。[CXM-42977]

macOSデバイスのOTA(Over-the-Air)登録は、SafariとChromeブラウザーでのみサポートされています。[CXM-45872]

XenMobile Service 10.18.5の既知の問題

ChromeをChromebookの必須アプリとして構成すると、ユーザーはログオフしてから再度ログインしないとこのアプリをインストールできなくなる場合があります。[CXM-48060]

XenMobile Service 10.18.4

XenMobileの最新バージョンには、次の新機能と拡張機能があります。

ChromebookデバイスのOSアップデートを管理する

[OS更新プログラムの制御]デバイスポリシーを使用して、ChromebookデバイスにOS更新プログラムを展開できるようになりました。このポリシーを構成するには、[構成]>[デバイスポリシー]の順に移動して、[OS更新プログラムの制御]デバイスポリシーを追加または編集します。

デバイスポリシー構成画面の画像

次の設定を構成します。

  • 更新を有効にする: Chromebookデバイスを、新しくリリースされたChrome OSのバージョンに自動で更新するかどうかを指定します。デフォルトは [オフ] です。
  • 更新後に再起動: 自動更新の成功後次にユーザーがサインアウトしたときに、Chromebookデバイスを再起動するかどうかを指定します。デフォルトは [オフ] です。
  • 更新先プラットフォームのバージョンのプレフィックス: デバイスのOSバージョンが古い場合、この設定で更新先のバージョンのプレフィックスを指定します。Chromeプラットフォームのバージョンについては、https://chromereleases.googleblog.com/を参照してください。指定したプレフィックスのバージョンのOSがすでにデバイスで実行されている場合、更新は行われません。デバイスのOSバージョンの方が新しい場合は、そのバージョンのままになります。ロールバックはサポートされません。デフォルトは空です。

    次のいずれかのバージョン形式を使用します。

    • ”“ または未設定:利用可能な最新バージョンに更新されます。
    • 10323.: 10323のマイナーバージョン(10323.58.0など)に更新されます。
    • 10323.58.: 10323.58のマイナーバージョン(10323.58.0など)に更新されます。
    • 10323.58.0: 指定したバージョンにのみ更新されます。
    • 更新の延期期間: 更新をダウンロードするまでにデバイスが待機する期間を指定します。延期期間は、更新プログラムが初めてサーバーに展開された時点からカウントされます。デバイスは、実時間でこの時間の一部にわたり待機し、残りの時間で更新チェックを行うことがあります。最長期間は14日です。デフォルト値は0です。

Chromebookデバイスの電源管理設定

AC電源またはバッテリー電源の使用時のアイドル状態に対するChromebookの応答方法を制御できます。電源設定を管理するには、[構成]>[デバイスポリシー]に移動し、[電源管理]デバイスポリシーを追加して、次の設定を構成します。

デバイスポリシー構成画面の画像

ACとバッテリーの両方で次の設定が表示されます。

  • アイドルの猶予期間: ユーザーの入力がないとアイドル操作が実行されるまでの時間。ミリ秒単位で指定します。デフォルト値は0です。

  • アイドル警告の猶予期間: ユーザーの入力がないと警告ダイアログが表示されるまでの時間。ミリ秒単位で指定します。デフォルト値は0です。

  • 画面非表示の猶予期間: ユーザーの入力がないと画面が非表示になるまでの時間。ミリ秒単位で指定します。デフォルト値は0です。

  • 画面オフの猶予期間: ユーザーの入力がないと画面がオフになるまでの時間。ミリ秒単位で指定します。デフォルト値は0です。

  • アイドル操作: アイドル猶予期間の終了後に実行する操作。[一時停止]、[ログアウト]、[シャットダウン]、[何もしない]から選択できます。デフォルトは [一時停止] です。

Chrome OSの[アプリ制限]デバイスポリシー

[アプリ制限]デバイスポリシーは、Chorome OSで実行されるChromeアプリおよびAndroidアプリを許可するかブロックするかを指定するために使用します。この制限デバイスポリシーでApp Runtime for Chrome(ARC)を有効にする場合は、XenMobileの[アプリ制限]デバイスポリシーの [Androidアプリ] でAndroidアプリの制限を構成します。

アプリの制限を構成するには、[構成]>[デバイスポリシー]に移動して[アプリ制限]ポリシーを追加し、Chrome OSに対するこれらの設定を構成します。

Chromeアプリの設定:

Chromeアプリは、アプリであると同時に拡張機能でもあります。

デバイスポリシー構成画面の画像

  • アプリのインストールの許可: ChromebookデバイスへのすべてのChromeアプリのインストールを許可またはブロックするグローバル設定。[許可する] を選択した場合、ブロック対象のアプリのリストを作成できます。[許可しない] を選択した場合、許可するアプリのリストを作成できます。これを行うには、[Chromeアプリ]の下にある [追加] をクリックします。ユーザーのChromeアカウントで指定されている設定を使用するには、[未指定]を選択します。デフォルトは [許可する] です。
  • Chromeアプリ:アプリのインストールの許可] 設定で指定したオプションの例外となるChromeアプリを追加するには、[追加]をクリックして次の設定を指定します。

    • アプリ名: XenMobileコンソールでアプリを識別するために使用する名前。
    • アプリID: Chromeアプリの一意の識別子。プレフィックスである「app:」は含めないでください。

    ChromeアプリのIDを調べるには、Chromeストア(https://chrome.google.com/webstore)にアクセスして目的のアプリを見つけます。アプリをクリックすると、アドレスバーにURLとアプリIDが表示されます。アドレスの最後の部分がアプリIDになります。たとえば、URLがhttps://chrome.google.com/webstore/detail/citrix-intranet/hjacpdaecmilhndcbllidcgaaicdlpffの場合、アプリIDは「hjacpdaecmilhndcbllidcgaaicdlpff」です。

    Chromeアプリの検索は、Chromebookからのみ行なえます。Chrome拡張機能は、どのプラットフォームからでも検索できます。

    • アプリのインストールの許可: 上記のグローバル設定の例外を作成します。この設定では、指定したChromeアプリを許可またはブロックします。
    • インストール:オン] の場合、登録済みのChromebookユーザーに対してこのChromeアプリを強制的にインストールします。[オフ] の場合にこのアプリがインストール済みであれば、アプリはアンインストールされます。[オフ] に設定してもポリシーでアプリの構成を行わない場合は、アプリはインストールされたままになります。デフォルトは [オフ] です。
    • ピン:オン] の場合、アプリがChromebookのタスクバーにピン留めされます。デフォルトは [オフ] です。
    • URL: ChromeウェブストアでホストされていないアプリをユーザーがダウンロードできるURLを指定します。
    • 拡張ポリシー: このアプリに定義するアプリ固有のポリシーをJSON形式で設定します。詳しくは、「Manifest for storage areas」を参照してください。

Androidアプリの設定:

登録済みのChromebookユーザーがAndroidアプリを実行できるようにするには、次のセクション「登録済みのChromebookユーザーがAndroidアプリを実行できるようにする」の説明に従ってこの制限デバイスポリシーを構成します。ARCアプリの制限を構成するには、[Androidアプリ]で [追加] をクリックして次の設定を指定します。

デバイスポリシー構成画面の画像

  • アプリID: Chrome OSで実行されるAndroidアプリの固有のアプリID。たとえば、com.android.cameraなどです。プレフィックス「app:」は含めないでください。

    AndroidアプリのIDを調べるには、Google Playストア(https://play.google.com/store)にアクセスして目的のアプリを見つけます。アプリをクリックすると、アドレスバーにURLとアプリIDが表示されます。「id=」より後の部分がアプリIDになります。たとえば、URLがhttps://play.google.com/store/apps/details?id=com.citrix.Receiverの場合、アプリIDは com.citrix.Receiver です。

  • インストール: 登録済みのChromebookユーザーに対してこのAndroidアプリを強制的にインストールするかどうかを指定します。[オフ] の場合にこのアプリがインストール済みであれば、アプリはアンインストールされます。[オフ] に設定してもポリシーでアプリの構成を行わない場合は、アプリはインストールされたままになります。デフォルトは [オフ] です。
  • ピン:オン] の場合、AndroidアプリがChromebookのタスクバーにピン留めされます。デフォルトは [オフ] です。

登録済みのChromebookユーザーがAndroidアプリを実行できるようにする

登録済みのChromebookユーザーがAndroidアプリを実行できるようにするには、[構成]>[デバイスポリシー]に移動し、[App Runtime for Chrome(ARC)を有効にする]設定を有効にしたChrome OSの制限デバイスポリシーを追加します。

  • App Runtime for Chrome(ARC)を有効にする:オン] の場合、登録済みのChromebookユーザーはAndroidアプリを実行できます。XenMobileの[アプリ制限]デバイスポリシーでARCアプリを指定します。G Suite Chromeの設定が必要です。ARC isn’t available if either Ephemeral mode or multiple sign-on is enabled in the current user session.[オフ] の場合、企業のChromebookユーザーはAndroidアプリを実行できません。デフォルトは[On]です。

Chromebookデバイスのブックマークを管理する

Chromebookデバイスにブックマークのフォルダーを展開できます。ブックマークを管理するには、[構成]>[デバイスポリシー]に移動して[管理対象ブックマーク]ポリシーを追加し、次の設定を行います。

デバイスポリシー構成画面の画像

  • フォルダ名ー: Chromebookデバイスに展開するブックマークフォルダーの名前。
  • 名前:ブックマークの名前。
  • ブックマーク: ブックマークのURL。

XenMobile Service 10.18.4で解決された問題

XenMobile操作を使用してChromebookまたはWorkspace Hubデバイスを削除した後:コンソールを更新するまで、デバイスはXenMobileコンソールに引き続き表示されます。[CXM-46418]

ユーザーのActive Directoryセキュリティグループを変更した場合、登録済みのiOSデバイスではXenMobile Serviceで変更が検出されず、デリバリーグループのメンバーシップの更新もデバイスへの新規ポリシーのプッシュも行われません。[CXM-47370]

XenMobile Service 10.18.2または10.18.3へのアップデートすると、[管理]>[ユーザー]および[管理]>[登録招待]の各ページに [エクスポート] ボタンが表示されなくなります。[CXM-47974]

デバイスの画面共有(プレビュー機能)

XenMobile Serviceコンソールからリモートデバイスの画面を表示できるようになりました。画面共有は、MDM管理のiOSデバイスでサポートされています。画面共有を有効にするためには、リモートデバイス上でAetherPal Mobile Support Managementアプリ(AetherPalMSM)を実行します。リモートデバイス画面は読み取り専用モードで表示できます。

この機能を使用すると、報告された問題をリアルタイムで表示できるため、効率的に診断して問題を解決することができます。

リモートデバイス上の次の前提条件を確認してください。

  • MDM管理のiOSデバイス
  • AetherPalのアクティベーションサイトでアクティベーションリクエストを申請してください。または、citrixsales@aetherpal.comにメールを送信してください。
  • リモートデバイスはhttps://xenmobile.aetherpal.comに送信接続できる必要があります。
  • リモートデバイスはiOSバージョン11以降を実行する必要があります。iOSバージョン9.3〜11を実行しているデバイスでは、画面のライブストリーミングはサポートされていません。ただし、ユーザーは静的なスクリーンショットを共有できます。

画面共有を設定するには、まず、AetherPalMSMアプリと対応する設定ポリシーを定義し、それらをユーザデバイスにプッシュします。

  1. AetherPalMSMアプリを追加します。「アプリケーションの追加」の「パブリックアプリケーションストアのアプリケーションの追加」で説明されている手順に従います。[アプリケーション情報] ページの [プラットフォーム] で [iOS] を選択し、それ以外をクリアします。
  2. AetherPalMSMアプリ用のApp Configurationデバイスポリシーを追加します。アプリケーション構成デバイスポリシー」で説明されている手順に従います。

    • アプリ構成ポリシー] ページの [プラットフォーム] で [iOS] を選択し、それ以外をクリアします。
    • 識別子] ドロップダウンリストで、定義したアプリを選択します。
    • ディクショナリの内容] に、お客様のアクティベーションでAetherPalから提供された内容を入力します。
  3. デリバリーグループに展開します。AetherPalMSMアプリを必須アプリとして展開します。また、[アプリ構成]デバイスポリシーも展開します。「リソースの展開」の手順に従います。

    デバイスがXenMobile Serviceに接続している時、リモートデバイスでAetherPalMSMアプリを使用できるようになりました。

    • ユーザーにアプリを承諾し、インストールを許可するように指示します。
    • ユーザーにアプリを起動するよう指示します。[アプリ構成]ポリシーで入力したプロビジョニング情報が読み込まれ、デバイスがAetherPalサーバーに登録されます。
    • Citrix-Remote Management Guide』(ダウンロードリンク)の説明に従い、リモートデバイス上のAetherPalMSMアプリで画面共有を開始するようユーザーに指示します。
  4. 画面共有を開始します。XenMobile Serviceコンソールで [モニター] タブに移動してユーザーを検索し、トラブルシューティングするデバイスを選択します。[デバイス詳細]ページで [画面共有] をクリックします。このボタンは、デバイスがMDMで管理され、AetherPalサーバーに登録されている場合にのみ有効です。

    モニター構成画面の画像

  5. ブラウザーで新しいタブが開きます。リモートデバイスへの接続の状態が表示されます。

    モニター構成画面の画像

  6. 接続が確立されると、リモートデバイスの画面をWebブラウザーで確認できるようになります。

    デバイス上での画面共有の画像

    Citrix Cloudディスカッションフォーラムで、この機能の使用に関するフィードバックをお寄せください。

XenMobile Service 10.18.3

XenMobileの最新バージョンには、次の新機能と拡張機能があります。

XenMobileのG Suiteパートナーアクセスをセットアップ

Chromeの一部のエンドポイント管理機能では、GoogleパートナーAPIを使用してXenMobileとG Suiteドメイン間で通信します。例えば、XenMobileでは、シークレットモードやゲストモードなどのChrome機能を管理するデバイスポリシーにAPIが必要です。

パートナーAPIを有効にするには、XenMobileコンソールでG Suiteドメインをセットアップしてから、G Suiteアカウントを構成します。

XenMobileでG Suiteドメインをセットアップする

XenMobileでG SuiteドメインのAPIと通信できるようにするには、[設定]>[Google Chromeの構成]で設定を構成します。

Google Chrome設定画面の画像

  • G Suiteドメイン: XenMobileに必要なAPIをホストするG Suiteドメイン。
  • G Suite管理者アカウント: G Suiteドメインの管理者アカウント。
  • G SuiteクライアントID: シトリックスのクライアントID。G Suiteドメインのパートナアクセスを構成する場合は、この値を使用します。
  • G SuiteエンタープライズID: アカウントのエンタープライズID。お客様のGoogleエンタープライズアカウントから入力されます。

G Suiteドメイン内のデバイスとユーザーのパートナーアクセスを有効にする

  1. Google管理コンソールにログインします。 https://admin.google.com

  2. 端末管理] をクリックします。

    Google管理者コンソールの画像

  3. Chrome管理] をクリックします。

    Google管理者コンソールの画像

  4. ユーザー設定] をクリックします。

    Google管理者コンソールの画像

  5. Chrome管理-パートナーアクセス] を見つけます。

    Google管理者コンソールの画像

  6. Chrome管理-パートナーアクセスを有効にします] チェックボックスをオンにします。

  7. パートナーアクセスについて了承し、有効にする必要があることに同意します。[保存]をクリックします。

  8. [Chrome管理]ページで [端末設定] をクリックします。

    Google管理者コンソールの画像

  9. Chrome管理-パートナーアクセス] を見つけます。

    Google管理者コンソールの画像

  10. Chrome管理-パートナーアクセスを有効にします] チェックボックスをオンにします。

  11. パートナーアクセスについて了承し、有効にする必要があることに同意します。[保存]をクリックします。

  12. セキュリティ] ページに移動し、[詳細設定]をクリックします。

    Google管理者コンソールの画像

  13. APIクライアントアクセスを管理する] をクリックします。

  14. XenMobileコンソールで、[設定]>[Google Chromeの構成]に移動し、[G SuiteクライアントID]の値をコピーします。次に、[APIクライアントアクセスを管理する]ページに戻り、コピーした値を [クライアント名] フィールドに貼り付けます。

  15. 1つ以上のAPIの範囲] に次のURLを追加します:https://www.googleapis.com/auth/chromedevicemanagementapi

    Google管理者コンソールの画像

  16. 承認] をクリックします。

    「設定が保存されました」というメッセージが表示されます。

より多くのChrome OSのデバイス管理の設定

XenMobileの制限デバイスポリシーには、XenMobileコンソールからChromebookデバイスのユーザー固有のプロパティを管理できる新しい設定があります。

デバイスポリシー構成画面の画像

  • シークレットモードを無効にする:オン] にすると、ChromebookデバイスユーザーはChromeでシークレットウィンドウを開けなくなります。G Suite Chromeの設定が必要です。デフォルトは、[Off]です。
  • ゲストユーザーモードを無効にする:オン] の場合、ゲストユーザーはChromebookデバイスにサインオンできなくなります。G Suite Chromeの設定が必要です。デフォルトは、[Off]です。
  • シングルサインオンIdPのリダイレクト:オン] にすると、SAMLベースのシングルサインオンが有効になります。G Suite Chromeの設定が必要です。デフォルトは[On]です。
  • シングルサインオンCookieの動作:オン] の場合、ユーザーがSAML資格情報でサインオンするたびに、SAML IdPで設定されたCookieがユーザープロファイルに転送されます。[オフ] の場合、最初のサインオン時にのみCookieが転送されます。G Suite Chromeの設定が必要です。デフォルトは[On]です。

Windows 10デバイス用のApplication Guardデバイスポリシー

Windows 10デバイスでApplication Guardデバイスポリシーを使用できるようになりました。このポリシーはMicrosoft Edgeブラウザーにのみ適用されます。Windows Defender Application Guardは、組織が信頼するサイトとして定義していないサイトから環境を保護します。ユーザーが分離ネットワーク境界に表示されていないサイトにアクセスすると、サイトはHyper-Vの仮想閲覧セッションで開きます。エンタープライズクラウドリソースは信頼済みサイトを定義します。

この機能は、Windows 10(64ビット)エンタープライズデバイスとOSバージョン1709でのみ使用できます。Windows Defender Application Guardをインストールするには、デバイスを再起動する必要があります。

デバイスポリシー構成画面の画像

  • Application Guard: Application Guardを有効にするかどうかを指定します。デフォルトは [オフ] です。
    • エンタープライズクラウドリソース: エンタープライズクラウドドメインをコンマで区切って列挙します。
  • クリップボードの動作: コンテンツをコピーして貼り付けることができる方向を制御します。使用できるオプションは、次のとおりです。

    • 未構成
    • WebブラウザーからPCへのコピーと貼り付けのみを許可: WebブラウザーからPCにのみコンテンツをコピーして貼り付けることができます。
    • PCからWebブラウザーへのコピーと貼り付けのみを許可: PCからWebブラウザーにのみコンテンツをコピーして貼り付けることができます。
    • PCとWebブラウザー間でコピーと貼り付けを許可: PCとWebブラウザー間で自由にコンテンツをコピーして貼り付けられます。
    • PCとWebブラウザー間のコピーと貼り付けを禁止: PCとブラウザー間でのコンテンツのコピーおよび貼り付けを禁止します。
  • クリップボードのコンテンツ: ユーザーがコピーおよび貼り付けできるコンテンツを制御します。使用できるオプションは、次のとおりです。
    • 未構成
    • テキストのコピーを許可する: テキストのみコピーできるようにします。
    • 画像のコピーを許可する: 画像のみをコピーできるようにします。
    • テキストと画像両方のコピーを許可する: テキストと画像の両方をコピーできるようにします。
  • エンタープライズサイトで外部コンテンツをブロックする:オン] の場合、Windows Defender Application Guardにより、エンタープライズサイトでの未承認サイトのコンテンツの読み込みが禁止されます。デフォルトは [オフ] です。
  • ユーザー生成Webブラウザーデータを保持する:オン] の場合、Application Guardの仮想閲覧セッション中に作成されたユーザーデータを保存できます。このデータには、パスワード、お気に入り、Cookieなどが含まれます。デフォルトは [オフ] です。

iOS 11.3の新しいデバイス管理設定

制限デバイスポリシーには、iOS 11.3以降を実行するデバイス向けの新しい制限が含まれます。制限は次のとおりです。

  • USB制限モードを許可:オフ] の場合、デバイスはロックされた状態でも常にUSBアクセサリーに接続できます。デフォルトは [オン] です。iOS 11.3以降の監視対象デバイスでのみ利用できます。
  • ソフトウェア更新の延期を強制する:オン] の場合、ソフトウェアの更新がユーザーに表示される時期が延期されます。この制限が設定されている場合、ソフトウェアの更新がリリースされてから指定された日数が経過するまで、ソフトウェアの更新は表示されません。デフォルトは [オフ] です。iOS 11.3以降の監視対象デバイスでのみ利用できます。
  • ソフトウェア更新の強制延期期間(日): デバイス上でソフトウェアの更新を遅らせる日数を指定できます。最大延期日数は90日です。デフォルトは30日です。iOS 11.3以降の監視対象デバイスでのみ利用できます。
  • クラスルームを離れるときの許可の要求を強制する:オン] の場合、クラスルームの管理対象外コースに登録した学生は、コースを離れるときに教師の許可を求める必要があります。デフォルトは [オフ] です。iOS 11.3以降の監視対象デバイスでのみ利用できます。

デバイスポリシー構成画面の画像

その他の新機能

  • ホーム画面のレイアウトに関するデバイスポリシーのWebクリップ。ホーム画面レイアウトのデバイスポリシーを設定する時に、[種類] メニューから [Webクリップ] を選択できるようになりました。[値] に、WebクリップのURLを入力します。同じURLに複数のWebクリップ値が存在する場合、動作はiOS 11.3以降のデバイスでは未定義です。
  • ホワイトリストテンプレートの説明。Citrix Ready Workspace HubデバイスをXenMobileコンソールに追加する場合に、[管理]>[デバイス]のホワイトリストデバイスを一括で追加するためのテンプレートで、各フィールドに説明が追加されました。

XenMobile Service 10.18.3で解決された問題

XenMobile操作を使用してChromebookまたはWorkspace Hubデバイスを削除した後:コンソールを更新するまで、デバイスはXenMobileコンソールに引き続き表示されます。 [CXM-46418]

XenMobile Service 10.18.3の既知の問題

デバイスが登録されているCitrix Cloud管理者を削除した後:管理者がSecure HubまたはSelf Help Portalから再度ログインするまで、XenMobileはXenMobileコンソールのユーザー役割を更新しません。[CXM-45730]

XenMobile Service 10.18.2

XenMobileの最新バージョンには、次の新機能と拡張機能があります。

Workspace Hubのデバイス管理

重要: Workspace Hubのサポートは現在、米国のお客様のみが利用できます。他地域のお客様に対しては、今後のリリースでサポートを提供いたします。

Citrix Ready Workspace Hubを使用すると、仮想アプリおよびデスクトップセッションを、Citrix Receiverを実行しているモバイルデバイスからCitrix Ready Workspace Hubに移動できます。Citrix Ready Workspace Hubは、キーボード、マウス、モニター、およびその他のアクセサリが接続されたRaspberry Piデバイスです。Citrix Ready Workspace Hubは、XenMobile Serviceコンソールから管理できます。Citrix Ready Workspace Hubについて詳しくは、こちらのシトリックスのブログ投稿を参照してください。

XenMobile Serviceを使用してCitrix Ready Workspace Hubを管理することにより、デバイスを最新の機能とセキュリティパッチで最新の状態に保つことができます。必要に応じて、完全なワイプや再起動などのセキュリティ操作を実行することもできます。XenMobile Serviceの統合エンドポイント管理(UEM)とデータ保護の利点について詳しくは、シトリックスWebサイトのこのユースケースを参照してください。

Citrix Ready Workspace Hubを使用するには、デバイスをXenMobileコンソールのデバイスのホワイトリスト表に追加します。表にデバイスを追加する2つの方法があります。

Citrix Ready Workspace Hubデバイスを手動でXenMobile Serverに追加するには

Citrix Ready Workspace HubデバイスをXenMobileに登録するには、登録するデバイスをXenMobileコンソールの[デバイスのホワイトリスト]表に追加します。表にデバイスを追加する2つの方法があります。

  1. XenMobileコンソールで、[管理]>[デバイス]の順に移動します。

    デバイス構成画面の画像

  2. 上部にある [デバイスのホワイトリスト] をクリックします。

    デバイス構成画面の画像

  3. 追加]をクリックします。開いたページで、次の情報を入力します。

    • デバイスプラットフォーム:Workspace Hub] を選択します。
    • デバイスIDの種類: デバイスを識別する方法を選択します。Citrix Ready Workspace Hubは、MACアドレスのみをサポートします。
    • デバイスID: 以前に選択した適切な識別子を入力します。
    • 関連付けられているユーザー: Citrix Ready Workspace Hubに関連付けるユーザー。デバイスに関連付けるユーザーには、サービスアカウントなどの擬似ユーザーを設定できます。選択したユーザーは、登録、ポリシーのプッシュ、セキュリティ操作の適用に使用されます。1人のユーザーを複数のデバイスに関連付けることができます。このユーザーには、XenMobile Serviceコンソールで構成済みのローカルユーザーまたはLDAPユーザーを指定できます。Citrix Ready Workspace Hubデバイスにローカルユーザーを関連付ける場合は、[ドメインの選択]で[ローカル]を選択します。[ユーザーの検索]に目的のユーザー名を入力し、ユーザーを選択します。Citrix Ready Workspace HubデバイスにLDAPユーザーを関連付ける場合は、[ドメインの選択]で適切なドメインを選択します。[ユーザーの検索]でユーザーを検索し、目的のユーザーを選択します。
    • ドメインの選択: ユーザーの検索に使用するドメインを選択します。
    • ユーザーの検索: このデバイスに関連付けるユーザー名を入力し、[検索]をクリックします。下の結果ボックスからユーザーを選択すると、[関連付けられているユーザー]フィールドに選択したユーザーが表示されます。

    デバイス構成画面の画像

  4. 保存]をクリックします。デバイスが表に追加されます。

Citrix Ready Workspace Hubデバイスを一括してインポートまたはエクスポートするには

  1. XenMobileコンソールで、[管理]>[デバイス]の順に移動します。[デバイスのホワイトリスト] をクリックし、[インポート]をクリックします。

    ホワイトリストデバイスのインポート画面の画像

  2. ダウンロード] をクリックして、デバイスをインポートするためのCSVテンプレートをダウンロードします。ファイルの列は、前のワークフローのフィールドと同じです。

  3. フォームに記入して保存します。完了したら、[ファイルの選択]をクリックしてテンプレートを選択します。

  4. Import]をクリックします。テンプレートファイル内のすべてのCitrix Ready Workspace Hubデバイスが表に追加されます。

  5. 編集用にCitrix Ready Workspace Hubデバイスの一覧をエクスポートするには、[エクスポート]をクリックします。

Citrix Ready Workspace Hubデバイスの構成

Citrix Ready Workspace Hubデバイスの登録をXenMobile Serviceで構成したら、Citrix Ready Workspace Hubデバイス自体を構成します。デバイスの構成について詳しくは、Stratodeskのナレッジベースを参照してください。

Workspace Hubデバイスの使用が初めての場合は、初回構成用のウィザードでCentral Managementを構成します。[Management URL] に「https://manageiot.xm.cloud.com:443/easyadmin/servlet/XmlRPC」と入力し、[Finish]をクリックします。デバイスでAnnounceが実行され、XenMobile Serviceに登録されます。

No Touchウィザードの画像

NoTouchのCentral Managementの画像

デバイスを構成済みの場合、またはウィザードを使用しない場合は、[Services]>[NoTouch Center]に移動します。上記と同様にManagement URLを構成して、[Save]をクリックします。左ペインで[Information]を選択し、[Announce]をクリックして手動でAnnounceを実行します。

NoTouch Centerの画像

NoTouchのInformationペインの画像

Citrix Ready Workspace Hubデバイスを管理するには

  1. 登録後にXenMobileでCitrix Ready Workspace Hubデバイスを確認および管理するには、[管理]>[デバイス]に移動します。[デバイス] 表が表示されます。左から [Workspace Hub] を選択すると、新しく登録したデバイスが表示されます。管理するCitrix Ready Workspace Hubデバイスを選択して [編集] をクリックし、デバイスの詳細を表示して確認します。

    デバイスの横にあるチェックボックスをオンにすると、デバイス一覧の上にオプションメニューが表示されます。一覧の項目をクリックすると、その項目の右側にオプションメニューが表示されます。

    デバイス構成画面の画像

  2. 一般] ページには、シリアル番号やActiveSync IDなど、プラットフォームの種類ごとにデバイスの識別子が一覧表示されます。[デバイス所有権] で、[コーポレート]または [BYOD] を選択します。

    一般] ページには、デバイスの [セキュリティ] プロパティ([Strong ID]、[デバイスのロック]、[アクティベーションロックバイパス]、プラットフォームの種類に関するその他の情報など)も表示されます。

  3. 残りの [デバイス詳細] セクションには、デバイスの概要が表示されます。

    • 割り当て済みポリシー: 展開済み、保留中、失敗したポリシーの数を含む、割り当て済みポリシーの数が表示されます。各ポリシーの名前、種類、最新展開の情報が表示されます。
    • アプリ: インストール済み、保留中、または失敗したアプリが表示されます。
    • デリバリーグループ: 成功、保留中、失敗したデリバリーグループの数が表示されます。各展開のデリバリーグループ名と展開時間が表示されます。

必要に応じて、完全なワイプや再起動などのセキュリティ操作を実行することもできます。セキュリティ操作について詳しくは、「セキュリティ操作」を参照してください。

アプリ構成デバイスポリシー

アプリ構成デバイスポリシーを使用して、Citrix Receiverの構成をCitrix Ready Workspace Hubデバイスに展開します。[構成]>[デバイスポリシー] に移動して [アプリ構成] ポリシーを追加し、[プラットフォーム]で [Workspace Hub] を選択します。以下のWorkspace Hub設定を構成します。

  • 接続モード:Citrix Receiver] を選択します。
  • 接続名: 接続の内容を説明する名前を入力します。
  • 接続ターゲット: 接続時に読み込むURLを入力します。

一部のアプリが機能するためには、追加のパラメーターが必要な場合があります。構成パラメーターごとに、[Add]をクリックして以下の操作を行います。

  • パラメーター名: Citrix Ready Workspace Hubデバイスのアプリケーション設定のキー名を入力します。
  • 値: 指定するパラメーターの値を入力します。

デバイスポリシー構成画面の画像

構成の完了後、デリバリーグループを選択します。詳しくは、「デバイスポリシーの追加」を参照してください。

Citrix Workspace Hubのアプリケーションを展開および更新するには

  1. Citrix Workspace Hubデバイスで展開および更新できるのは1つのファイルのみであるため、最初にすべてのアプリを1つのSquashFSファイルにパッケージ化します。

    SquashFSファイルについて詳しくは、SquashFSのドキュメントを参照してください。

    注: ファイルを作成するときは、必ず.imgファイルで出力してください。

  2. XenMobile Serverで [構成]>[アプリ] に移動して [追加] をクリックします。[Enterprise]をクリックします。

  3. アプリの名前と説明を入力し、[Workspace Hub]を除くすべてのプラットフォームの選択を解除します。[次へ] をクリックします。

  4. [Workspace Hubエンタープライズアプリ]ページで、[アップロード]をクリックします。作成した.imgファイルを選択し、[開く]をクリックします。

    デバイスポリシー構成画面の画像

  5. 次へ] をクリックします。Citrix Workspace Hubでは、[承認]ページは無効です。

  6. 次へ] をクリックします。[Delivery Group Assignment]ページが開きます。

  7. デリバリーグループを選択] の横にデリバリーグループを入力して検索するか、一覧で1つまたは複数のグループを選択します。選択したグループが [アプリ割り当てを受信するためのデリバリーグループ] 一覧に表示されます。

    注: アプリは常に、デリバリーグループに割り当てられたデバイスに配信されます。Citrix Workspace Hubデバイス用のストアがないため、アプリが任意か必須かによってこの動作が変更されることはありません。

  8. 保存]をクリックします。

アプリがXenMobileにアップロードされた後、Citrix Workspace Hubデバイスを再起動すると、構成を受信します。

Apple TVの管理

Apple Device Enrollment Program(DEP)の一環として、XenMobileにApple TVを登録することができます。この登録では、次の操作を実行できます。

  • DEP登録の構成
  • 制限ポリシーの構成とプッシュ
  • 登録済みのApple TVデバイスの消去、取り消し、再起動

前提条件

  • XenMobileに接続されたApple DEPアカウント。Apple DEPアカウントを作成してXenMobileに接続する方法については、「Apple DEPを介したiOSデバイスの展開」を参照してください。
  • Apple TVデバイスはDEPデバイスです。

Apple TVの設定を構成するには

  1. Apple DEPを介したiOSデバイスの展開」の手順に従って、Apple TVをXenMobile Serverに割り当てます。

  2. XenMobileコンソールで、[設定]>[Appleデバイス登録プログラム]の順に移動します。

  3. 表示されたページの [設定] で、[Apple TV]を選択します。次の設定を構成します。

    • デバイス登録を必須にする: ユーザーがデバイス登録をスキップできないようにします。
    • デバイス登録のための資格情報を求める: 登録時に資格情報を確認します。この設定が無効の場合、Apple TVはデフォルトの「デバイス登録プログラムユーザー」として登録されます。
    • セットアップを完了するため構成を待機する: デバイスは、すべてのリソースが展開されるまで[セットアップアシスタント]画面のまま待機します。
    • 監視モード: 管理者は制限を構成するとともに、さらに多くの機能を使用できるようになります。
    • 登録プロファイルの削除を許可: ユーザーが登録プロファイルを削除できるようにします。
    • デバイスのペアリングを許可: デバイス登録プログラムを介して登録されたデバイスを、iTunesやApple ConfiguratorなどのAppleツールで管理できるようにします。

    Apple DEP設定の構成画面の画像

  4. セットアップアシスタントオプション] で [Apple TV] を選択し、Apple TVの登録時にスキップするセットアップ画面を選択します。

    Apple DEP設定の構成画面の画像

  5. 保存]をクリックします。

  6. サーバーで、[構成]>[デバイスポリシー]に移動します。[追加] をクリックし、[制限]デバイスポリシーを選択します。

  7. プラットフォーム] で [TV OS] を選択し、適用する制限を構成します。

    • セキュリティとメディア設定 - 許可
      • 最初のAirPlayペアリングでパスコードを要求: AirPlay対応デバイスでAirPlayを使用する前に、ワンタイムオンスクリーンコードで検証するように求めます(iOS 7.0以降)。
      • iBooksの不適切な性的コンテンツ: iBooksから成人向けのコンテンツをダウンロードできるようにします(iOS 6.0以降)。
      • 不適切な音楽、Podcast、iTunes Uコンテンツ: ユーザーのデバイスで成人向けのコンテンツを許可します。
      • アプリ内課金: ユーザーがアプリ内課金を行えるようにします。
        • 購入時にiTunesパスワードを要求: アプリ内購入時にパスワードを求めます。デフォルトではこの機能は制限されており、アプリ内での購入ではパスワードは必要ありません(iOS 5.0以降)。
    • 監視対象のみの設定 - 許可
      • デバイス名の変更: ユーザーがデバイスの名前を変更できるようにします。
      • Apple TV Remote Appとのペアリングを許可する: ユーザーがApple TVリモートアプリとデバイスをペアリングできるようにします。
      • Siriの不適切な単語フィルター: Siriの不適切な単語フィルターを有効にします。デフォルトではこの機能は制限されており、不適切な言葉はフィルタリングされません。

        Siriとセキュリティについて詳しくは、「Siriとディクテーションのポリシー」を参照してください。

      • AirPlayを有効にする: ユーザーがこのデバイスでコンテンツをストリーミングしたり、iOSデバイスの画面をミラーリングしたりできるようにします。
      • アプリ使用の制限: 指定したバンドルIDに基づいて、ユーザーにすべてのアプリの使用を許可するか、またはアプリの使用を個別に許可または禁止します。監視対象のデバイスにのみ適用されます。

        いくつかのアプリをブロックするように制限デバイスポリシーを構成して展開した後で、これらのアプリの一部またはすべてを許可する必要が生じた場合、制限デバイスポリシーを変更して展開しても制限は変更されません。これは、iOSでは変更内容がiOSプロファイルに適用されないためです。

        この設定を [一部のアプリのみ許可] に変更する場合:このポリシーを展開する前に、Apple DEPを使用して登録したデバイスのユーザーに、セットアップアシスタントからAppleアカウントにサインインするよう指示してください。それ以外の場合、ユーザーがAppleアカウントにサインインして許可されたアプリにアクセスするには、各自のデバイスで2要素認証を無効にする必要があります。

    • ポリシー設定
      • ポリシーの削除] の横にある [日付を選択] または [削除までの期間(時)を指定] をクリックします。
      • Select date]をクリックした場合、カレンダーをクリックして削除を実行する特定の日付を選択します。
      • ユーザーにポリシーの削除を許可] の一覧で、[常に]、[パスワードが必要]、[しない]のいずれかを選択します。
      • パスワードが必要] を選択した場合、[パスワードを削除]の横に求めるパスワードを入力します。
  8. 次へ] をクリックしてポリシーを保存します。

セキュリティ操作

Apple TVがXenMobileに登録されると、管理者はデバイスでセキュリティ操作を実行できます。セキュリティ操作を実行するには、次の手順を実行します。

  1. サーバーで、[管理]>[デバイスポリシー]に移動します。
  2. 管理するデバイスを選択して [保護] をクリックします。ポップアップが開き、操作のオプションが表示されます。

    • 取り消し: デバイス管理を削除します。
    • フルワイプ: デバイスを完全にワイプします。この操作が実行されると、インストールされているすべてのポリシーとアプリが失われます。
    • 再起動: デバイスを再起動します。

    セキュリティ操作構成画面の画像

XenMobileコンソールでXenMobileツールにアクセス

XenMobileコンソールから必要なXenMobileツールへのリンクが含まれるようになりました。

  • XenMobile Analyzer:
    • 必要な理由:展開上の潜在的な問題を特定し、トリアージします。
    • アクセス方法:[管理]>[デバイス]ページおよび [管理]>[ユーザー] ページ。
  • APNsポータル:
    • 必要な理由:APNs証明書の署名要求をシトリックスに提出した後、Appleに提出します。
    • アクセス方法:[設定]> [証明書]ページおよび証明書構成ページ。
  • MDX Service:
    • 必要な理由:XenMobileを使用して管理できるアプリをラップします。
    • アクセス方法:[構成]> [アプリ]ページおよび [アプリの追加] ページ。

COSU Android for Workデバイスのサポート

注: XenMobile Serviceおよび弊社ドキュメントでは「Android for Work」と呼んでいますが、最新の呼称は「Androidエンタープライズ」です。詳しくは、Androidに関するドキュメントを参照してください。

XenMobileは、特定業務専用コーポレート所有(COSU)Android for Workデバイスの管理をサポートするようになりました。COSUデバイスは、デジタルサイネージ、チケット印刷、在庫管理などの特定の目的に使用されます。管理者は、これらのデバイスを1つまたは少数のアプリの使用に限定します。また、ユーザーがこれらのデバイスで他のアプリを有効にしたり、他の操作を実行したりすることを禁止することもできます。

XenMobile Management Toolsを使用して、Google PlayでXenMobileをエンタープライズモビリティ管理プロバイダーとしてバインドし、Android for Workのエンタープライズを作成する方法については、「Android for Work」を参照してください。

COSUデバイスをプロビジョニングするには:

  • XenMobile管理者がCOSUデバイスをXenMobile展開に登録できるように、役割ベースのアクセス制御(RBAC)の役割を追加します。これは、XenMobile Serverの今回のリリースで追加された役割です。COSUデバイスを登録するユーザーにこの役割を割り当てます。
  • XenMobile管理者がCOSUデバイスをXenMobile展開に登録できるように、XenMobile管理者の登録プロファイルを追加します。
  • COSUデバイスがアクセスするアプリをホワイトリストに登録します。
  • 必要に応じて、ホワイトリストのアプリがロックタスクモードを許可するように設定します。アプリがロックタスクモードになると、ユーザーがアプリを開いた時にデバイス画面にアプリが固定されます。[ホーム]ボタンは表示されず、[戻る]ボタンは無効になります。ユーザーは、サインアウトなど、アプリでプログラムされた操作を使用してアプリを終了します。

システム要件

Android COSUデバイスの登録は、Android 6.0以降でサポートされます。

COSUの役割を追加

COSUデバイスを登録するためのRBACの役割により、XenMobileはデバイス上で管理されたGoogle Playアカウントをサイレントプロビジョニングしてアクティブにすることができます。管理されたGoogle Playのユーザーアカウントとは異なり、これらのデバイスアカウントは、ユーザーに関連付けられていないデバイスを識別します。

このRBAC役割をXenMobile管理者に割り当てて、COSUデバイスを登録できるようにします。

COSUデバイスを登録するためのRBAC役割を追加するには:

  1. XenMobileコンソールで、右上の歯車アイコンをクリックします。[Settings]ページが開きます。

  2. 役割ベースのアクセス制御] をクリックします。[Role-Based Access Control]ページが開き、4つのデフォルトのユーザー役割と、以前に追加した役割が表示されます。

  3. 追加]をクリックします。[役割の追加] ページが開きます。

  4. 次の情報を入力します。

    • RBAC名:「COSU」と入力するか、役割を説明する名前を入力します。役割の名前は変更できません。
    • RBACテンプレート:[ADMIN]テンプレートを選択します。
    • 承認済みアクセス:管理コンソールへのアクセス] および [COSUデバイスの登録機能] を選択します。
    • コンソールの機能:デバイス] を選択します。
    • 適用権限: COSUの役割を適用するグループを選択します。[特定のユーザーグループ] をクリックするとグループの一覧が開き、1つまたは複数のグループを選択できます。
  5. 次へ] をクリックします。[Assignment]ページが開きます。

  6. ユーザーグループに役割を割り当てるための次の情報を入力します。

    • ドメインを選択: 一覧から、ドメインを選択します。
    • ユーザーグループを含める: 使用可能なすべてのグループ一覧を表示するには、[検索]をクリックします。または、グループ名の一部または全部を入力して、その名前のグループのみに表示を限定できます。
    • 表示された一覧で、役割を割り当てるユーザーグループを選択します。ユーザーグループを選択すると、[Selected user groups]の一覧にグループが表示されます。
  7. 保存]をクリックします。

COSU登録プロファイルの追加

XenMobile展開にCOSUデバイスが含まれている場合、1人のXenMobile管理者、または数人の管理者グループが多数のCOSUデバイスを登録します。こうした管理者が必要なすべてのデバイスを登録できるようにするには、ユーザーごとに無制限のデバイスを許可した状態で登録プロファイルを作成します。このプロファイルを、COSUデバイスを登録した管理者を含むデリバリーグループに割り当てます。これによって、デフォルトのグローバルプロファイルにユーザーあたりのデバイス数が制限されている場合でも、管理者はデバイスを無制限に登録できます。これらの管理者は、COSU登録プロファイルに含める必要があります。

  1. 構成]> [登録プロファイル] の順に移動します。デフォルトのGlobalプロファイルが表示されます。

  2. 登録プロファイルを追加するには、[追加]をクリックします。[登録情報]ページで、登録プロファイルの名前を入力します。このプロファイルのメンバーが登録できるデバイスの数が無制限に設定されていることを確認します。

    登録プロファイル構成画面の画像

  3. 次へ] をクリックします。[デリバリーグループ割り当て]画面が開きます。

  4. COSUデバイスを登録した管理者を含む、1つまたは複数のデリバリーグループを選択します。次に、[保存]をクリックします。

    [登録プロファイル]ページに、追加したプロファイルが表示されます。

    登録プロファイル構成画面の画像

アプリをホワイトに登録しロックタスクモードを設定

キオスクデバイスポリシーを使用すると、アプリがホワイトリストに登録され、ロックタスクモードを設定できます。デフォルトでは、Secure HubとGoogle Playサービスはホワイトリストに登録されています。

キオスクポリシーを追加するには:

  1. XenMobileコンソールで、[構成]>[デバイスポリシー]の順にクリックします。[デバイスポリシー] ページが開きます。

  2. 追加]をクリックします。[新しいポリシーの追加] ダイアログボックスが開きます。

  3. 詳細] を展開した後、[セキュリティ]の下の [キオスク] をクリックします。[Kiosk Policy]ページが開きます。

  4. [プラットフォーム]で [Android for Work] を選択します。

  5. [ポリシー情報]ペインで、[ポリシー名]および任意で [説明] を入力します。

  6. 次へ] をクリックし、[追加]をクリックします。

  7. アプリをホワイトリストに登録し、ロックタスクモードを許可または拒否するには:

    ホワイトリストに登録するアプリを一覧から選択します。

    ユーザーがアプリを起動した時にアプリをデバイス画面に固定するには、[許可]を選択します。アプリをデバイス画面に固定しない場合は、[禁止]を選択します。デフォルトは [許可] です。

    デバイスポリシー構成画面の画像

  8. 保存]をクリックします。

  9. さらにアプリをホワイトリストに登録し、ロックタスクモードを許可または禁止する場合は、[追加]をクリックします。

  10. 展開規則を構成し、デリバリーグループを選択します。詳しくは、「デバイスポリシーの追加」を参照してください。

Android for Workの新しい制限デバイスポリシー設定

XenMobileでは、ユーザーがデバイスのホーム画面に仕事用プロファイルアプリウィジェットを配置できるように管理者が制限ポリシーを設定できます。このポリシーはAndroid 5.0以降でサポートされます。[ホーム画面で仕事用プロファイルアプリのウィジェットを許可] 設定が追加されました。

ユーザーが仕事用プロフィールアプリウィジェットを端末のホーム画面に配置できるかどうかを設定するには:

  1. 構成]>[デバイスポリシー] の順に移動し、制限デバイスポリシーを追加します。

  2. [プラットフォーム]で [Android for Work] を選択します。

    デバイスポリシー構成画面の画像

  3. ホーム画面で仕事用プロファイルアプリのウィジェットを許可] を設定します。この設定が [オン] の場合、ユーザーは仕事用プロフィールアプリウィジェットを端末のホーム画面に配置できます。この設定が [オフ] の場合、ユーザーは仕事用プロフィールアプリウィジェットを端末のホーム画面に配置できません。デフォルトは [オフ] です。(Android 5.0以降)

  4. ホーム画面で仕事用プロファイルアプリのウィジェットを許可] を [オン] に設定した場合:一覧からホーム画面で許可するアプリを選択します。[保存]をクリックします。ウィジェットを許可するすべてのアプリに対してこれらの手順を繰り返します。

  5. 次へ] をクリックします。

  6. 展開規則を構成し、デリバリーグループを選択します。詳しくは、「デバイスポリシーの追加」を参照してください。

Windows 10デバイスの一括プロビジョニング

重要: Windows 10の一括登録は現在、米国のお客様のみが利用できます。他地域のお客様に対しては、今後のリリースでサポートを提供する予定です。

XenMobileは、Windows 10デバイスの一括登録をサポートしています。一括登録では、デバイスを再イメージ化することなく、MDMサーバーで管理する多数のデバイスをセットアップできます。プロビジョニングパッケージを使用して、Windows 10デスクトップデバイスを一括登録することができます。以下の手順で、一括登録をセットアップして実行します。

一括登録を実行する前に、すべてのデバイスが正しいエンドユーザーに割り当てられていることを確認してください。ユーザーごとにデバイスを登録するか、デバイスの一括インポートを実行して割り当てます。

デバイスを割り当てるには

  1. XenMobileコンソールで、[管理]>[デバイスのホワイトリスト]の順に移動します。

    デバイスホワイトリスト構成画面の画像

  2. 各デバイスを手動で追加するには、[追加]をクリックします。

    デバイスホワイトリスト構成画面の画像

  3. 次の情報を入力します。

    • デバイスプラットフォーム:Windows] を選択します。
    • ハードウェアIDの種類: デバイスを識別するために使用するIDを選択します。Windowsデバイスについては、XenMobileでは [ハードウェアID] のみをサポートします。
    • ハードウェアID: デバイスに対して選択したIDを入力します。
    • 関連付けられているユーザー: このデバイスに関連付けるユーザーを入力します。
  4. 保存]をクリックします。

  5. デバイスを一括して追加するには、[インポート]をクリックします。

    ホワイトリストデバイスのインポート画面の画像

  6. ダウンロード] をクリックして、デバイスのホワイトリストのテンプレートをダウンロードします。上述の説明に従ってテンプレートに記入し、[ファイルの選択]、[インポート]の順に選択してファイルをアップロードします。

デバイスを一括登録するには

  1. XenMobile Serverコンソールで、[設定]>[Windows一括登録]に移動します。

  2. UPN] ボックスに有効なユーザー名を入力して、すべてのデバイスを展開します。

    Windows一括登録構成画面の画像

  3. 保存]をクリックします。

  4. デバイスを一括プロビジョニングするには、MicrosoftストアからWindows構成デザイナーをダウンロードします。Windows構成デザイナーは、デバイスのイメージ作成で使用するプロビジョニングパッケージを作成します。パッケージの一部としてXenMobileの一括登録設定を含めて、デバイスがXenMobileに自動的に登録されるようにすることができます。

    ツールの構成方法、プロビジョニングパッケージの作成方法、およびプロビジョニングパッケージのインストール方法について詳しくはhttps://docs.microsoft.com/en-us/windows/client-management/mdm/bulk-enrollment-using-windows-provisioning-toolを参照してください。XenMobileの一括登録構成の設定方法については、同じページの「Create and apply a provisioning package for on-premises authentication」を参照してください。

Windows 10更新プログラムの配信の最適化

配信の最適化は、MicrosoftがWindows 10の更新で提供するピアツーピアクライアント更新サービスです。これは、更新処理中の帯域幅の問題を軽減するために導入されました。帯域幅の削減は、複数のデバイス間でダウンロードタスクを共有することによって実現できます。詳しくは、Microsoftの記事「Windows 10更新プログラムの配信の最適化の構成」を参照してください。

監視対象のWindows 10デスクトップおよびタブレット向けの[OS更新プログラムの制御]デバイスポリシーに、配信の最適化設定が追加されました。Windows 10バージョン1607を実行しているデスクトップとタブレットでは、配信の最適化設定を管理できます。

配信の最適化設定を構成するには、[構成]>[デバイスポリシー]の順に移動して[OS更新プログラムの制御]ポリシーを追加または編集します。

デバイスポリシー構成画面の画像

次の設定を構成します。

  • 配信の最適化を構成する: Windows 10更新プログラムの配信の最適化を使用するかを指定します。デフォルトは [オフ] です。
  • キャッシュサイズ: 配信の最適化キャッシュの最大サイズ。0に設定すると、キャッシュサイズは無制限になります。デフォルトは10GBです。
  • VPNピアキャッシュを許可: VPN経由でドメインネットワークに接続する場合、デバイスをピアキャッシュに追加するかを指定します。[オン] にすると、デバイスはVPN上または企業ドメインネットワーク上のどちらでも、他のドメインネットワークデバイスとの間でダウンロードまたはアップロードを実行することができます。デフォルトは [オフ] です。
  • ダウンロード方法: 配信の最適化でWindows Update、アプリ、アプリの更新プログラムのダウンロードに配信の最適化で使用できるダウンロード方法。デフォルトは [HTTPと同じNATでのピアリングの組み合わせ] です。次のオプションがあります。
    • HTTPのみ、ピアリングなし: ピアツーピアキャッシュを無効にしますが、配信の最適化で、Windows UpdateサーバーまたはWindows Server Update Services(WSUS)サーバーからコンテンツをダウンロードできるようにします。
    • HTTPと同じNATでのピアリングの組み合わせ: 同じネットワーク上でのピア共有を可能にします。配信の最適化クラウドサービスは、ターゲットクライアントと同じパブリックIPアドレスを使用してインターネットに接続する他のクライアントを検出します。次に、これらのクライアントが、プライベートサブネットIPを使用して同じネットワーク上の他のピアに接続しようとします。
    • HTTPとプライベートグループでのピアリングの組み合わせ: デバイスのActive Directoryドメインサービス(AD DS)サイトまたはデバイスの認証先のドメインに基づいて、グループを自動的に選択します。AD DSに基づく選択は、Windows 10バージョン1607の機能です。ドメインに基づく選択は、Windows 10バージョン1511の機能です。ピアリングは、同じグループに属しているデバイス間(リモートオフィス内のデバイスを含む)の内部サブネット間で発生します。
    • HTTPとインターネットピアリングの組み合わせ: 配信の最適化でインターネットピアソースを使用可能にします。
    • ピアリングなしの簡易ダウンロードモード: 配信の最適化クラウドサービスの使用を無効にします。配信の最適化クラウドサービスが利用できない場合、サービスに接続できない場合、またはコンテンツファイルのサイズが10MB未満の場合、配信の最適化はこのモードに自動的に切り替わります。このモードでは、配信の最適化により、ピアツーピアキャッシュなしでも信頼性の高いダウンロードエクスペリエンスが提供されます。
    • 配信の最適化の代わりにBITSを使用する: クライアントでBranchCacheを使用できるようにします。詳しくは、Microsoftの記事「BranchCache」を参照してください。
  • 最大ダウンロード帯域幅: 最大ダウンロード帯域幅(KB /秒)。デフォルトは0で、帯域幅を動的に調整します。
  • 最大ダウンロード帯域幅の割合: 同時ダウンロード操作のうち配信の最適化で使用可能な最大ダウンロード帯域幅。値は利用可能なダウンロード帯域幅の割合です。デフォルトは0で、動的な調整を行います。
  • 最大アップロード帯域幅: 最大アップロード帯域幅(KB /秒)。デフォルト値は0です。値が0の場合、帯域幅は無限になります。
  • 月単位のデータアップロード上限: 暦月ごとに配信の最適化でインターネットピアにアップロードできる最大サイズ(GB)す。デフォルトは20GBです。値を0にすると、月ごとのアップロードサイズは無制限になります。

Windowsデスクトップとタブレットのアプリのロックデバイスポリシー

管理対象のWindowsデスクトップとタブレットに、ブラックリストおよびホワイトリストに登録されたアプリケーションの一覧を定義するアプリのロックデバイスポリシーを作成できます。実行可能ファイル、MSIインストーラー、ストアアプリ、DLL、スクリプトを許可またはブロックできます。

アプリロックの前提条件

  • Windowsでは、Windows 10 EnterpriseまたはEducationを実行するWindows 10デスクトップ上のローカルセキュリティポリシーエディターで規則を構成します。
  • ポリシーXMLファイルをエクスポートします。Windowsでデフォルトの規則を作成して、デフォルトの構成がロックされたり、デバイスに問題が発生したりすることを回避してください。
  • 次に、XMLファイルをXenMobileにアップロードします。規則の作成について詳しくは、Microsoftの次の記事を参照してください。 https://docs.microsoft.com/en-us/windows/security/threat-protection/applocker/applocker-overview

WindowsからポリシーXMLファイルを構成およびエクスポートするには

重要: ポリシーXMLファイルをWindowsポリシーエディターで構成する場合、監査専用モードを使用してください。

  1. Windowsコンピューターで、ローカルセキュリティポリシーエディターを起動します。[スタート] をクリックし、「ローカルセキュリティポリシー」と入力して、[ローカルセキュリティポリシー]をクリックします。
  2. コンソールツリーで、[コンピューターの構成]>[Windowsの設定]>[セキュリティの設定]の順にクリックし、[アプリケーション制御ポリシー]を展開します。
  3. AppLocker] をクリックし、中央のウィンドウで [規則の実施の構成] をクリックします。
  4. 規則の実施] を選択します。規則を有効にすると、[規則の実施]がデフォルトになります。
  5. 実行可能ファイルの規則Windowsインストーラーの規則スクリプトの規則パッケージアプリの規則を作成できます。このためには、フォルダーを右クリックし、[新しい規則の作成]をクリックします。
  6. AppLocker] を右クリックし、[ポリシーのエクスポート]をクリックして、XMLファイルを保存します。

アプリロックポリシーの適用を停止するには

XenMobileでアプリロックポリシーを展開後、アプリロックポリシーの適用を停止するには、空のXMLファイルを作成します。次に、別のアプリロックポリシーを作成し、ファイルをアップロードし、ポリシーを展開します。アプリロックを有効にしたデバイスは影響を受けません。初めてポリシーを受信するデバイスには、アプリロックポリシーは設定されません。

デバイスステータスのDevice Guard情報

XenMobileは、デバイスステータスのDevice Guard情報を表示できるようになりました。デバイスを編集する時に、次のプロパティを追加できます。

デバイス構成画面の画像

デバイス構成画面の画像

  • LSA構成フラグ: ローカルシステム認証局のCredential Guardのステータスを示します。使用できる値は以下の通りです。
    • 0 - 実行中
    • 1 - 要再起動
    • 2 - Credential Guardのライセンスはありません
    • 3 - 未構成
    • 4 - VBSが動作していない
  • VBSハードウェア要件ステータス: 仮想化ベースのセキュリティハードウェア要件のステータスを示します。使用できる値は以下の通りです。
    • 0x0 - システムがハードウェア構成要件を満たしている
    • 0x1 - SecureBootが必要
    • 0x2 - DMA保護が必要
    • 0x4 - ゲスト仮想マシンでHyperVがサポートされていない
    • 0x8 - HyperV機能を利用できない
  • VBSステータス: 仮想化ベースのセキュリティのステータスを示します。
    • 0 - ランニング
    • 1 - 要再起動
    • 2 - 64ビットアーキテクチャが必要
    • 3 - ライセンスなし
    • 4 - 未構成
    • 5 - システムがハードウェア要件を満たしていない
    • 42 - その他。詳細はMicrosoft-Windows-DeviceGuardのイベントログに記載

ネットワークアクセス制御フィルターを使用してVPN接続をブロック

NetScalerのポリシー設定により、XenMobileはiOSデバイスのエンドポイントセキュリティ機能としてネットワークアクセス制御(NAC)をサポートします。NACフィルターを有効にすると、非準拠のアプリケーションがインストールされているデバイスのVPN接続をブロックできます。VPN接続がブロックされている場合、ユーザーはVPN経由でアプリやWebサイトにアクセスできません。

たとえば、管理者が[アプリアクセス]ポリシーで特定のアプリを[禁止]、つまりブラックリスト対象に指定したとします。ユーザーがそのアプリケーションをインストールした場合、Citrix SSOを開いてVPNに接続しようとすると、接続はブロックされます。次のエラーが表示されます:要求の処理中にエラーが発生しました。管理者に問い合わせてください。

接続エラーの画像

構成では、NACをサポートするようにNetScalerポリシーを更新する必要があります。XenMobileコンソールで、NACフィルターを有効にします。また、VPNデバイスポリシーを展開する必要もあります。この機能をデバイスで使用するには、ユーザーがApple StoreからCitrix SSO VPNクライアントをインストールします。

サポートされるNACフィルターは次のとおりです。

  • 匿名デバイス
  • 禁止アプリ
  • 非アクティブ デバイス
  • 不足必須アプリ
  • 非推奨アプリ
  • 非準拠パスワード
  • コンプライアンス外デバイス
  • 失効状態
  • Root 化された Android およびジェイルブレイクした iOS デバイス
  • 非管理デバイス

NACフィルタリングの前提条件

  • NetScaler 12
    • 次のセクションの説明に従って、NACをサポートするようにNetScalerポリシーを更新します。
  • XenMobile Server 10.18.2
    • 次のセクションの説明に従って、NACフィルターを有効にします。
    • VPNデバイスポリシーを展開します。
  • Apple StoreからデバイスにインストールしたCitrix SSO VPNクライアント1.0.1

NACをサポートするようにNetScalerポリシーを更新するには

構成した認証ポリシーとVPNセッションポリシーを拡張する必要があります。仮想VPNサーバー上のコンソールウィンドウで、次の操作を行います。コマンドと例の中のIPアドレスは架空のものです。

  1. VPN仮想サーバーでクラシックポリシーを使用している場合は、すべてのクラシックポリシーを削除してバインド解除します。クラシックポリシーの使用の有無を確認するには、以下のように入力します。

    show vpn vserver <VPN仮想サーバー>

    表示されたポリシーのうち、Classicという単語が含まれているものをすべて削除する必要があります。例:VPNセッションポリシー名:PL_OS_10.10.1.1 種類:Classic 優先度:0

    ポリシーを削除するには、以下のように入力します。

    unbind vpn vserver <VPN仮想サーバー> -policy <ポリシー名>

  2. 対応する拡張セッションポリシーを作成します。

    add vpn sessionPolicy <ポリシー名> <規則> <セッション操作>

    例:add vpn sessionPolicy vpn_nac true AC_OS_10.10.1.1_A\_

  3. ポリシーをVPN仮想サーバーにバインドします。

    bind vpn vserver \_XM_XenMobileGateway -policy vpn_nac -priority 100

  4. 認証仮想サーバーを作成します。

    add authentication vserver <認証仮想サーバー名> <sサービスの種類> <IPアドレス>

    次に例を示します。

    add authentication vserver authvs SSL 0.0.0.0

    この例の0.0.0.0は、認証仮想サーバーを公開しないことを示します。

  5. SSL証明書を仮想サーバーにバインドします。

    bind ssl vserver <認証仮想サーバー名> -certkeyName <Webサーバーの証明書>

    次に例を示します。

    bind ssl vserver authvs -certkeyName Star_mpg_citrix.pfx_CERT_KEY

  6. VPN仮想サーバーの認証プロファイルを認証仮想サーバーに関連付けます。まず、認証プロファイルを作成します。

    add authentication authnProfile <プロファイル名> -authnVsName <認証仮想サーバー名>

    次に例を示します。

    add authentication authnProfile xm_nac_prof -authnVsName authvs

  7. 作成した認証プロファイルをVPN仮想サーバーに関連付けます。

    set vpn vserver <VPN仮想サーバー名> -authnProfile <認証プロファイル名>

    次に例を示します。

    set vpn vserver \_XM_XenMobileGateway -authnProfile xm_nac_prof

  8. NetScalerからデバイスへの接続を確認します。次のコマンドの「server」には、XenMobile Serverのアドレスを入力します。

    curl -v -k https://server:4443/Citrix/Device/v1/Check --header "X-Citrix-VPN-Device-ID: deviceid\_<デバイスID>"

    次に例を示します。

    curl -v -k https://10.10.1.1:4443/Citrix/Device/v1/Check --header "X-Citrix-VPN-Device-ID: deviceid_7"

    以下の例のようなコマンドが表示されます。

       HTTP/1.1 200 OK
       < Server: Apache-Coyote/1.1
       < X-Citrix-Device-State: Non Compliant
       < Set-Cookie: ACNODEID=181311111;Path=/; HttpOnly; Secure
    
  9. 前の手順が成功したら、XenMobileへのWeb認証アクションを作成します。まず、iOS VPNプラグインからデバイスIDを抽出するポリシー式を作成します。次のように入力します。

    add policy expression xm_deviceid_expression "HTTP.REQ.BODY(10000).TYPECAST_NVLIST_T(\\'=\\',\\'&\\').VALUE(\\"deviceidvalue\\")"

  10. XenMobileに要求を送信します。

    add authentication webAuthAction xm_nac -serverIP 10.10.1.1 -serverPort 4443 -fullReqExpr q{"GET /Citrix/Device/v1/Check HTTP/1.1\r\n" + "Host: 10.200.60.80:4443\r\n" + "X-Citrix-VPN-Device-ID: " + xm_deviceid_expression + "\r\n\r\n"} -scheme https -successRule "HTTP.RES.STATUS.EQ(\\"200\\") &&HTTP.RES.HEADER(\\"X-Citrix-Device-State\\").EQ(\\"Compliant\\")"

    成功した場合、XenMobile NACではHTTPステータス「200 OK」が出力されます。「X-Citrix-Device-State」ヘッダーの値は「Compliant」である必要があります。

  11. アクションを関連付ける認証ポリシーを作成します。

    add authentication Policy <pポリシー名> -rule <規則> -action <Web認証アクション>

    次に例を示します。

    add authentication Policy xm_nac_webauth_pol -rule "HTTP.REQ.HEADER(\\"User-Agent\\").CONTAINS(\\"NAC\\")" -action xm_nac

  12. 既存のLDAPポリシーを拡張ポリシーに変換します。

    add authentication Policy <ポリシー名> -rule <規則> -action <LDAPアクション名>

    次に例を示します。

    add authentication Policy ldap_xm_test_pol -rule true -action 10.10.1.1_LDAP

  13. LDAPポリシーを関連付けるポリシーラベルを追加します。

    add authentication policylabel <ポリシーラベル名>

    次に例を示します。

    add authentication policylabel ldap_pol_label

  14. LDAPポリシーをポリシーラベルに関連付けます。

    bind authentication policylabel ldap_pol_label -policyName ldap_xm_test_pol -priority 100 -gotoPriorityExpression NEXT

  15. 準拠デバイスを接続してNACテストを実行し、LDAP認証が正常に行われたことを確認します。次のように入力します。

    bind authentication vserver <認証サーバー> -policy <Web認証ポリシー> -priority 100 -nextFactor <LDAPポリシーラベル> -gotoPriorityExpression END

  16. 認証仮想サーバーに関連付けるUIを追加します。次のコマンドを入力してデバイスIDを取得します。

    add authentication loginSchemaPolicy <スキーマポリシー> -rule <規則> -action lschema_single_factor_deviceid

  17. 認証仮想サーバーにバインドします。

    bind authentication vserver authvs -policy lschema_xm_nac_pol -priority 100 -gotoPriorityExpression END

  18. Secure Hub接続を有効にするLDAP拡張認証ポリシーを作成します。次のように入力します。

    add authentication Policy ldap_xm_test_pol -rule "HTTP.REQ.HEADER(\\"User-Agent\\").CONTAINS(\\"NAC\\").NOT" -action 10.200.80.60_LDAP

    bind authentication vserver authvs -policy ldap_xm_test_pol -priority 110 -gotoPriorityExpression NEXT

XenMobileコンソールのNACフィルターを有効にするには

  1. 設定]>[ネットワークアクセス制御] に移動します。
  2. 非準拠として設定] の隣にある検出を有効にするフィルターを選択して、[保存]をクリックします。

NACをサポートするようにVPNデバイスポリシーを構成するには

iOSのVPNポリシー設定で次の手順を実行します。

  1. NACフィルターを構成するには、[接続の種類]を [カスタムSSL] にする必要があります。
  2. VPNの [接続名] を指定します。
  3. カスタムSSL識別子]に、「com.citrix.NetScalerGateway.ios.app」と入力します。
  4. プロバイダーのバンドル識別子] に、「com.citrix.NetScalerGateway.ios.app.vpnplugin」と入力します。

手順3と4の値は、NACフィルタリングに必要なCitrix SSO 1.0.1インストールから取得したものです。認証パスワードは設定しないでください。

次の画像は、必要なVPN設定です。

デバイスポリシー構成画面の画像

XenMobile Service 10.18.2で解決された問題

XenMobileの管理者アカウントを持つユーザーをXenMobile Service(クラウド)にプロビジョニングすると、このユーザーがデバイスを登録できません。[CXM-26447]

管理]>[デバイス] ページ:[オペレーティングシステムバージョン]を基準に並べ替えを行っても、一覧が正しい順序で並べられません。[CXM-45540]

XenMobile Service 10.18.2の既知の問題

XenMobile操作を使用してChromebookまたはWorkspace Hubデバイスを削除した後:コンソールを更新するまで、デバイスはXenMobileコンソールに引き続き表示されます。 [CXM-46418]

XenMobile Service 10.18.1

XenMobileの最新バージョンには、次の新機能と拡張機能があります。

Chromebookデバイスのサポート

重要: Chromebookのサポートは現在、米国のお客様のみが利用できます。他地域のお客様に対しては、今後のリリースでサポートを提供する予定です。

XenMobile Service 10.18.1より、XenMobileはChromebookデバイスをサポートするようになりました。ChromebookデバイスはMDMモードでのみ登録されます。

システム要件:

  • Chrome OS 46以降

Chromebookデバイスの登録用にG Suiteを構成する

Chromebookデバイスを登録する前に、Chromebookの登録用にG Suiteを構成してください。この構成により、ChromebookデバイスにSecure Hub拡張機能が強制的にインストールされ、この拡張機能を無効化および削除できないようになります。

  1. https://admin.google.comにアクセスして、G Suiteアカウントにログインします。

  2. Google管理者コンソールで、[端末管理]をクリックします。

    Google管理者コンソールの画像

  3. Chrome管理] をクリックします。

    Google管理者コンソールの画像

  4. Chrome端末管理ページで、[ユーザー設定]をクリックします。

    Google管理者コンソールの画像

  5. ユーザー設定ページで、クライアント証明書を検索します。次のパターンを追加します。

    {"pattern": "https://[*.]xm.cloud.com", "filter": {}}

    このパターンをクライアント証明書に追加することで、XenMobileからデバイスにプッシュされたデバイス証明書が、ユーザーに選択メッセージを表示せずに自動的に選択されるようになります。

    Google管理者コンソールの画像

  6. 保存]をクリックします。

  7. 自動インストールするアプリと拡張機能を検索し、[自動インストールするアプリを管理]をクリックします。

    Google管理者コンソールの画像

  8. カスタムアプリを指定] をクリックします。

    Google管理者コンソールの画像

  9. [ID]フィールドをクリックし、「cnkimbgkdakemjcipljhmoplehfcjban」と入力します。

  10. [URL]フィールドをクリックし、「https://chrome.google.com/webstore/detail/cnkimbgkdakemjcipljhmoplehfcjban」と入力します。

  11. 追加]をクリックします。

  12. [自動インストールするアプリと拡張機能]ダイアログウィンドウで[保存]をクリックします。

  13. [ユーザー設定]ページで [保存] をクリックします。

Chromebookデバイスを登録する

Chromebookデバイスの登録は、ユーザーがChromeでSecure Hub拡張機能を使用して行います。XenMobileはChromebookデバイスの自動検出をサポートしています。

XenMobileでは、Chromebookデバイスの手動追加および一括登録はサポートされません。XenMobileでは、Chromebookデバイスに登録招待状を送信することはできません。

ユーザーがChromebookデバイスをXenMobileに登録する前に、管理者またはユーザーがデバイスを企業のG Suiteドメインに登録する必要があります。Chromeデバイスの登録について詳しくは、Googleの記事「Chromeデバイスの登録」を参照してください。

ChromebookデバイスをXenMobileに登録したら、Citrix PINを作成する必要があります。このPINはリセットできません。ユーザーがこのPINを忘れた場合、Chromebookデバイスの登録を解除して再登録する必要があります。

  1. G Suiteの資格情報でChromebookデバイスにサインインします。

  2. ChromeのSecure Hub拡張機能をクリックします。Secure Hub拡張機能が、次のようにWebブラウザーのアドレスバーの横に灰色で表示されます。

    灰色表示されたアイコンの画像

  3. Secure Hub登録画面が表示されます。[登録] をクリックします。

    デバイスへの登録の画像

  4. XenMobile Server名、ユーザープリンシパル名(User Principal Name:UPN)、メールアドレスなどの会社の資格情報を入力します。入力後、[次へ]をクリックします。

    デバイスへの登録の画像

  5. プロンプトが表示されたら、企業ユーザー名を入力します。会社のパスワードを入力します。[サインイン] をクリックします。

    デバイスへの登録の画像

  6. Citrix PINを作成します。このPINは6文字にする必要があります。英数字のみを使用できます。Citrix PINは2回入力します。[完了] をクリックします。

    デバイスへの登録の画像

  7. 登録が完了すると、Secure Hub拡張機能のアイコンが灰色表示ではなくなります。

登録したChromebookデバイスにサインインする

XenMobileに登録したChromebookデバイスにサインインするには、次の手順に従います。

  1. G Suiteの資格情報でサインインします。

  2. 画面の指示に従ってCitrix PINを入力します。このPINは、デバイスをXenMobileに登録した時に作成したものです。

Citrix PINを入力しない場合、Citrix PINを入力するまでこのPINを入力するを求めるメッセージが1分ごとに表示されます。5分が経過すると、google.com、citrix.com、gotomeeting.com、cloud.com以外のすべてのWebサイトへのアクセスがブロックされます。他のWebサイトにアクセスしようとすると、エラーメッセージが表示され、Citrix PINを使用してサインインするよう求められます。

Chromebookデバイスの登録を解除して再登録する

XenMobileからChromebookデバイスの登録を解除するには、アカウントを削除します。

  1. Chromeブラウザーで、Secure Hub拡張機能アイコンをクリックします。
  2. Secure Hubの登録ウィンドウで、[削除]をクリックします。
  3. はい、削除します] をクリックして削除を確定します。
  4. Secure Hubの登録ウィンドウが閉じ、Secure Hub拡張機能のアイコンが灰色表示になります。

再登録するには:

  1. Chromebookデバイスからログアウトし、G Suiteの資格情報でログインし直します。
  2. [登録]をクリックし、表示される指示に従って再登録します。

Chromebookデバイス用のデバイスポリシー

Chromebookデバイスでは、次の制限デバイスポリシーを使用できます。

デバイスポリシー構成画面の画像

  • オートフィルを無効化: Chromeブラウザーの自動入力機能を許可するかどうかを選択します。このポリシーを[オン]に設定すると、自動入力機能が無効になります。デフォルトは [オン] です。
  • パスワードの保存を無効にする: Chromeブラウザーでパスワードの保存機能を許可するかどうかを選択します。このポリシーを [オン] に設定すると、パスワードの保存機能が無効になります。デフォルトは [オン] です。
  • ページ翻訳を無効にする:Chromeブラウザーで別の言語で表示されたWebページの翻訳を許可するかどうかを選択します。このポリシーを [オン] に設定すると、Webページの翻訳が無効になります。デフォルトは [オン] です。
  • 画像をブロックする:ChromeブラウザーでWebページの画像の表示を許可するかどうかを選択します。このポリシーを[オン]に設定すると、ChromeブラウザーでWebページの画像が表示されなくなります。デフォルトは [オフ] です。
  • ウェブサイト:ChromeブラウザでのWebサイトへのアクセスの制御に、ホワイトリストまたはブラックリストのどちらを使用するかを選択します。デフォルトは [ブラックリスト] です。

Windows Hello for Businessポリシー

Windows Hello for Businessでは、ユーザーはActive DirectoryまたはAzure Active Directoryのアカウントを使用してWindowsデバイスにサインオンできます。この機能を有効にしてユーザーがデバイスへWindows Hello for Businessのプロビジョニングできるようにするには、Windows Hello for Businessデバイスポリシーを使用します。このポリシーでは、パスコードの制限などのセキュリティ機能を構成することもできます。

Windows Hello for Businessポリシーを追加するには、[構成]>[デバイスポリシー]の順に選択します。次の設定を構成します。

デバイスポリシー構成画面の画像

  • Windows Hello for Businessの使用: この機能を有効にしてユーザーがデバイスにWindows Hello for Businessをプロビジョニングできるようにするかどうかを指定します。
  • セキュリティデバイスが必要です: サインオンにトラステッドプラットフォームモジュール(Trusted Platform Module:TPM)を必須にするかどうかを指定します。
  • 最小PIN長]/[最大PIN長]: ユーザーPINの最小長および最大長。[最小PIN長] のデフォルト値は4です。[最大PIN長] のデフォルト値は127です。
  • 大文字]、[小文字]、[特殊文字]:各種類の文字について、[許可]、[必須]、または [許可しない] のいずれかを選択します。デフォルトは [許可しない] です。
  • 数字: 数字について[許可]、[必須]、[許可しない]のいずれかを選択します。デフォルトは [必須] です。
  • 履歴: ユーザーに再利用を禁止する過去のPINの数。デフォルト値は0であり、ユーザーはすべてのPINを再利用できます。
  • 有効期限: PINの変更が必要になるまでの日数。デフォルト値は0であり、PINに有効期限はありません。
  • 生体認証を使用する: ユーザーのサインインでPINの代わりに生体認証の使用を許可するかどうかを指定します。

Office 365アプリをWindows 10デバイスに展開

XenMobileで、Office構成サービスプロバイダー(CSP)を使用してMicrosoft Office 365製品を展開できるようになりました。この新しいOfficeデバイスポリシーを構成することにより、Microsoft Officeアプリを、Windows Update 1709以降を実行しているすべてのWindows 10デスクトップまたはタブレットに展開できます。

Officeポリシーを追加するには、[構成]>[デバイス ポリシー]の順に選択します。次の設定を構成します。

デバイスポリシー構成画面の画像

  • 製品ID: Office 365プランに基づいて製品IDを選択します。オプションは[O365ProPlusRetail]、[O365BusinessRetail]、[O365SmallBusPremRetail]です。
  • Office 365アプリ:展開するOffice 365アプリを選択します。デフォルトではすべてのアプリが選択されています。
  • その他のOfficeアプリProject Onlineのデスクトップクライアント またはVisio Pro for Office 365のライセンスを所有している場合は、これらのアプリをインストール対象に選択できます。
  • Officeバージョン: インストールするOfficeのバージョンを [32ビット] と [64ビット] から選択します。
  • 更新チャネル: 更新頻度を選択します。オプションは[毎月]、[毎月(対象限定)]、[半年ごと]、[半年ごと(対象限定)]です。
  • プロパティ:
    • アプリのエンドユーザーライセンス契約の自動承諾:オン] または [オフ] を選択します。デフォルトは、[オン]です。
    • ユーザー共有コンピューターのライセンス認証: コンピューターを共有するかどうかを選択します。オプションは [オン] または [オフ] です。デフォルトは、[オフ]です。
  • Officeの言語:Officeは、Windowsにインストール済みのすべての言語版で自動的にインストールされます。追加でインストールする言語を選択できます。

Windows 10デバイスをキオスクモードに制限する

キオスクポリシーを使用して、1つのアプリの実行のみを許可するキオスクモードにWindows 10デバイスを制限できるようになりました。

キオスクポリシーを追加するには、[構成]>[デバイスポリシー]の順に選択します。次の設定を構成します。

デバイスポリシー構成画面の画像

  • キオスクモード: 機能を有効にするかどうかを選択します。
  • アプリケーションユーザーモデルID(AUMID): キオスクモードで許可するアプリのID。現在のデバイスユーザー用にインストールされているMicrosoft StoreアプリすべてのAUMIDの一覧を取得するには、次のPowerShellコマンドを実行します。

$installedapps = get-AppxPackage

$aumidList = @()
foreach ($app in $installedapps)
{
    foreach ($id in (Get-AppxPackageManifest $app).package.applications.application.id)
    {
        $aumidList += $app.packagefamilyname + "!"+ $id
    }
}

$aumidList

デバイスがAzure Active Directoryまたは企業ドメインを介してドメインに参加していない場合は、登録ユーザーをシステムローカルユーザーとして事前設定します。この構成では、デバイスにはキオスクポリシーのみがインストールされます。

XenMobileがこのポリシーを展開するのは、以下の条件が満たされている場合のみです。

  • デバイスにローカルユーザー設定されている場合:このユーザーがデバイスのローカルアカウントを持っている必要があります。
  • ドメインユーザー(Active DirectoryユーザーまたはAzure Active Directoryユーザー)の場合:デバイスがドメインに参加している必要があります。デバイス上に手動でローカルアカウントを作成しても、条件は満たされません。
  • デバイスにローカルユーザー「kiosk」が設定されている場合:「kiosk」という名前のシステムユーザーが存在する必要があります。

Appleの教育向け機能で共有されたiPadを使用する

Appleの教育向け機能とのXenMobileの統合により、共有iPadsがサポートされます。クラスルーム内の複数の生徒で、1人または複数の講師が教える科目ごとにiPadを共有できます。

管理者か講師が共有iPadを登録し、デバイスポリシー、アプリ、メディアをデバイスに展開します。その後、生徒が管理対象Apple IDの資格情報を入力して共有iPadにサインインします。以前生徒に[教育の構成]ポリシーを展開したことがある場合、生徒はデバイスを共有するために「その他のユーザー」としてサインインする必要はありません。

XenMobileは共有iPad用に、デバイス所有者(講師)用のシステムチャネルおよび現在の常駐ユーザー(生徒)用のユーザーチャネルという2つの通信チャネルを使用します。XenMobileは、これらのチャネルからAppleがサポートするリソースに対応した適切なMDMコマンドを送信します。

システムチャネル上に展開されるリソースは次のとおりです。

  • 教育の構成、ロック画面のメッセージ、最大常駐ユーザー数、パスコードロックの猶予期間などのデバイスポリシー
  • デバイスベースのVPPアプリ

    Appleは、共有iPadでエンタープライズアプリやユーザベースのVPPアプリをサポートしていません。共有iPadでは、アプリはユーザーごとではなく、デバイス全体にインストールされます。

  • ユーザーベースのVPP iBook

    Appleは、共有iPadでのユーザーベースのVPP iBooksの割り当てをサポートしています。

ユーザーチャネル上に展開されるリソースは次のとおりです。

  • デバイスポリシー:アプリ通知、ホーム画面レイアウト、制限

    XenMobileが現在ユーザーチャネルでサポートしているデバイスポリシーは、上記のもののみです。

共有iPadの要件

デバイスの要件:

  • iPad Pro、iPad第5世代、iPad Air 2以降、iPad mini 4以降
  • 32GB以上のストレージ容量
  • 監視

そのほかの要件:

  • Apple School ManagerとXenMobileの初回統合については、「Appleの教育向け機能との統合」を必ずお読みください。この記事の手順に従って、1対1モデル(iPadは学生1人あたり1つ)で使用するすべてのiPad、または講師用のiPad(非共有)の統合を構成します。その後、このセクションに戻って共有iPadを構成します。

一般的なワークフロー

通常、講師には事前に構成された監視対象共有iPadが提供されます。講師は生徒に各デバイスを配布します。事前登録済みの共有iPadを講師に配布しない場合は、講師にXenMobile Serverのパスワードを提供して、デバイスを登録できるようにしてください。

共有iPadの構成と登録の一般的なワークフローは次のとおりです。

  1. XenMobile Serverコンソールで共有モードを有効にして、ASM DEPアカウントを追加します([設定]>[Appleデバイス登録プログラム(DEP)])。詳しくは、「共有iPadのASM DEPアカウントを管理する」を参照してください。
  2. このセクションで説明するように、必要なデバイスポリシー、アプリケーション、メディアをXenMobileに追加して、リソースをデリバリーグループに割り当てます。詳しくは、「Appleの教育向け機能との統合」を参照してください。
  3. 講師に共有iPadのハードリセットを実行するよう指示します。DEP登録の[Remote Management]画面が開きます。
  4. 講師が共有iPadを登録します。 XenMobileから、登録済みの各共有iPadに構成済みのリソースが展開されます。自動再起動後、講師は生徒とデバイスを共有できるようになります。サインインページがiPadに表示されます。
  5. 生徒がクラスを選択し、管理対象Apple IDと一時的なApple School Manager(ASM)のパスワードを入力します。 共有iPadがASMを認証すると、生徒はASMパスワードを作成するよう求められます。次回の共有iPadへのサインインでは、生徒は新しいASMパスワードを使用します。
  6. iPadを共有している別の生徒も、ここまでの手順を繰り返してサインインすることができます。

共有iPadのASM DEPアカウントを管理する

既にAppleの教育向け機能でXenMobileを使用している場合:インストラクタが使用するデバイスなど、共有されていないデバイスに対しては、XenMobileに既存のASM DEPアカウントが設定されています。同じASMと同じXenMobile Serverを共有デバイスと非共有デバイスの両方に使用できます。

XenMobileは、次の展開シナリオをサポートしています。

  • 1クラスあたり1グループの共有iPad

    このシナリオでは、複数の共有iPadを1クラスの生徒に割り当てます。iPadはクラスルームにとどまります。そのクラスの各科目の講師達は、同じグループのiPadを使用します。

  • 講師1人あたり1グループの共有iPad

    このシナリオでは、複数の共有iPadを1人の講師に割り当てます。講師は、授業を行うさまざまなクラスでこれらのiPadを使用します。

共有iPadをデバイスグループにまとめる

ASMによって、複数のMDMサーバーを作成して、デバイスをグループにまとめることができます。複数の共有iPadを1つのMDMサーバーに割り当てるには、クラスごとまたは講師ごとに、共有iPadのグループのデバイスグループを作成します。

  • 共有iPadのグループ1>デバイスグループ1 MDMサーバー
  • 共有iPadのグループ2>デバイスグループ2 MDMサーバー
  • 共有iPadのグループN>デバイスグループN MDMサーバー

各デバイスグループにASM DEPアカウントを追加する

XenMobile Serverコンソールで複数のASM DEPアカウントを作成すると、クラスごとまたは講師ごとに共有iPadのグループ1つが自動的にインポートされます。

  • デバイスグループ1 MDMサーバー>デバイスグループ1 DEPアカウント
  • デバイスグループ2 MDMサーバー>デバイスグループ2 DEPアカウント
  • デバイスグループN MDMサーバー>デバイスグループN DEPアカウント

共有iPadに固有の要件は以下のとおりです。

  • デバイスグループごとに1つのASM DEPアカウントを用意し、以下の設定を有効にします。
    • デバイス登録を必須にする
    • 監視モード
    • 共有モード
  • 同じ教育機関では、すべてのASM DEPアカウントに同じ教育機関のサフィックスを使用してください。

DEPアカウントを追加するには、[設定]>[Appleデバイス登録プログラム(DEP)]に移動します。

Apple DEP設定の構成画面の画像

ASM DEPアカウントをXenMobileに追加する方法については、「Appleの教育向け機能との統合」を参照してください。

共有iPad用のデバイスポリシー

共有iPadに固有のデバイスポリシーを以下に示します。

  • 最大常駐ユーザー数: 共有iPadの最大ユーザー数。このポリシーで指定したユーザー数がデバイスでサポートされる最大ユーザー数を超えている場合、XenMobileではデバイスの最大ユーザー数を使用します。デフォルトは5ユーザーです。iOS 9.3以降で利用できます。

    このポリシーは、設定アシスタントの実行中にiPadが「設定待ち」の段階にあるときに展開する必要があります。Appleにより、このポリシーを共有iPadの登録後に展開することは禁止されています。

    デバイスポリシー構成画面の画像

    Appleにより、[最大常駐ユーザー数]の値はできるだけ小さくすることが推奨されています。値を小さくすると、各ユーザーのiPadストレージ容量が最大になります。また、値を小さくすることでiCloudとの通信回数が最小限に抑えられるため、サインインにかかる時間が短縮されます。iPadでの共有ストレージ容量の扱いについては、https://help.apple.com/deployment/ios/#/cad7e2e0cf56を参照してください。

  • パスコードロックの猶予期間: 共有iPadの画面がロックされてから、画面のロック解除のためにパスコードの入力が必要になるまでの時間(分)。この設定をゆるい値にした場合、ユーザーがサインアウトするまで反映されません。デフォルトは [即時] です。iOS 9.3.2以降で利用できます。

    デフォルトでは、共有iPadは2分間使用しないと自動的にロックされます。

    デバイスポリシー構成画面の画像

XenMobileが現在ユーザーチャネルでサポートしているデバイスポリシーは以下のとおりです。

  • ホーム画面のレイアウト:ホーム画面のアプリ、フォルダー、Webクリップのレイアウトを定義します。
  • アプリ通知:アプリでの制限の適用に関する通知の設定を指定します。
  • 制限:一部の教育上の制限事項を許可または禁止するか、アプリの使用を制限します。たとえば、各アプリをブラックリストまたはホワイトリストに登録します。
  • プロファイルの削除

これらのポリシーを構成するときには、展開チャネルを指定します。

デバイスポリシー構成画面の画像

ユーザーチャネルで展開したデバイスポリシーを削除する場合、[プロファイルの削除]ポリシーの [展開範囲] で [ユーザー] を選択するようにしてください。

他のデバイスポリシーについては、「Appleの教育向け機能との統合」の「ステップ7:XenMobileサーバーへのリソースと配信グループの計画と追加」を参照してください。

共有iPad用のアプリ

共有iPadは、デバイスベースのVPPアプリの割り当てをサポートしています。XenMobile Serverは共有iPadにアプリを展開する前に、デバイスにVPPライセンスを割り当てるようにApple VPPサーバーに要求を送信します。VPPの割り当てを確認するには、[構成]>[アプリ]>[iPad]に進み、[Volume Purchase Program(VPP)]を展開します。

共有iPadでのアプリの選択、展開、更新に関する推奨事項については、Appleのドキュメントで「共有iPadを使う」を参照してください。

共有iPad用のメディア

共有iPadは、ユーザーベースのVPP iBooksの割り当てをサポートしています。XenMobile Serverは共有iPadにiBooksを展開する前に、生徒にVPPライセンスを割り当てるようにApple VPPサーバーに要求を送信します。VPPの割り当てを確認するには、[構成]>[メディア]>[iPad]に移動し、[Volume Purchase Program(VPP)]を展開します。

メディア構成画面の画像

共有iPadの展開規則

デリバリーグループレベルの規則はユーザープロパティに関するものであるため、共有iPadを展開する場合これらの規則は適用されません。デバイスのグループごとにポリシー、アプリケーション、メディアを絞り込むには、DEPアカウント名に基づいて、リソースの展開規則を追加します。次に例を示します。

  • デバイスグループ1のDEPアカウントでは、次の展開規則を設定します。

  DEP account name
  Only
  Device Group 1 DEP account

  • デバイスグループ2のDEPアカウントでは、次の展開規則を設定します。

  DEP account name
  Only
  Device Group 2 DEP account

  • デバイスグループNのDEPアカウントでは、次の展開規則を設定します。

  DEP account name
  Only
  Device Group N DEP account

デバイスポリシー構成画面の画像

非共有のiPadを使用して講師にのみAppleクラスルームアプリを展開する場合、ASM DEPの共有状態を次の展開規則で絞り込みます。


Deploy this resource regarding ASM DEP shared mode
only
unshared

または:


Deploy this resource regarding ASM DEP shared mode
except
shareable

アプリ構成画面の画像

共有iPadのデリバリーグループ

講師ごとのデバイスグループについては、次を参照してください。

  • 1つのデリバリーグループを構成する。講師には、[教育の構成]ポリシーで定義されているすべてのクラスを割り当てます。

デリバリーグループ構成画面の画像

  • このデリバリーグループには、次のMDMリソースを含める必要があります。
    • デバイスポリシー
      • 教育の構成
      • ロック画面のメッセージ
      • アプリ通知
      • ホーム画面のレイアウト
      • 制限事項
      • 最大常駐ユーザー数
      • パスコード ロックの猶予期間
    • 必須のVPPアプリ
    • 必須のVPP iBooks

デリバリーグループ構成画面の画像

共有iPadのセキュリティ操作

既存のセキュリティ操作に加えて、共有iPadでは次の新しいセキュリティ操作を使用できます(iOS 9.3以降で利用可能)。

  • 常駐ユーザーの取得: 現在のデバイスで有効なアカウントを持つユーザーの一覧を表示します。この操作では、デバイスとXenMobileコンソール間の同期が強制的に行われます。
  • 常駐ユーザーのログアウト:現在のユーザーを強制的にログアウトさせます。
  • 常駐ユーザーの削除: 指定したユーザーの現在のセッションを削除します。対象のユーザーは再びサインインできるようになります。

セキュリティ操作画面の画像

常駐ユーザーの削除] のクリック後、ユーザー名を指定できます。

セキュリティ操作画面の画像

セキュリティ操作の結果は、[管理]>[デバイス]>[一般]ページおよび[管理]>[デバイス]>[デリバリーグループ]ページに表示されます。

共有iPadの情報を取得する

共有iPadに関する情報は、[管理]>[デバイス]ページで確認できます。

  • 次を検索できます。
    • デバイスが共有されているか([ASM DEP共有])
    • 共有デバイスにログインしているユーザー([ASMログイン済みユーザー])
    • 共有デバイスに割り当てられているすべてのユーザー([ASM常駐ユーザー])

デバイス構成画面の画像

  • ASM DEPデバイスの状態]でデバイス一覧を絞り込む:

デバイス構成画面の画像

  • 管理]>[デバイス]>[ログイン済みユーザーのプロパティ]ページで、共有iPadにログインしているユーザーの詳細を確認できます。

デバイス構成画面の画像

デバイス構成画面の画像

  • 管理]>[デバイス]>[デリバリーグループ]ページでは、デリバリーグループの講師およびユーザーへのリソース展開に使用されているチャネルを確認できます。[チャネル/ユーザー]列には、チャネルの種類([システム]または[ユーザー])と受信者(講師または生徒)が表示されます。

デバイス構成画面の画像

  • 常駐ユーザーの情報を取得できます。
    • 同期するデータがある:クラウドに同期させるデータをユーザーが持っているかどうか。
    • データクォータ:ユーザーに設定されているデータクォータ(バイト単位)。ユーザークォータが一時的にオフになっているか、ユーザーに割り当てられていない場合は、クォータが表示されないことがあります。
    • 使用済みデータ:ユーザーが使用したデータ量(バイト単位)。システムの情報収集時にエラーが発生した場合、値が表示されないことがあります。
    • ログイン中: ユーザーがデバイスにログオンしているかどうか。

デバイス構成画面の画像

  • 両方のチャネルのプッシュステータスを確認できます。

デバイス構成画面の画像

iOSデバイスでのアプリ通知の表示方法の設定

[アプリ通知]ポリシーでは、iOSユーザーが指定のアプリから通知を受け取る方法を制御できます。このポリシーは、iOS 9.3以降を実行しているデバイスでサポートされています。ポリシーを追加するには、[構成]>[デバイス ポリシー]の順に選択します。

デバイスポリシー構成画面の画像

通知設定の構成

  • アプリバンドルID: このポリシーを適用するアプリを指定します。
  • 通知を許可: 通知を許可する場合は、[オン]を選択します。
  • 通知センターに表示:オン] を選択すると、ユーザーデバイスの通知センターに通知が表示されます。
  • アプリアイコンをバッジ表示:オン] を選択すると、通知がある場合アプリアイコンにバッジが表示されます。
  • サウンド:オン] を選択すると、通知の際にサウンドが鳴ります。
  • セキュリティ-ロック画面に表示:オン] を選択すると、ユーザーデバイスのロック画面に通知が表示されます。
  • ロック解除されたアラートスタイル: 一覧で、[なし]、[バナー]、または [アラート] を選択して、ロック解除されたアラートの外観を構成します。

Android for Workエンタープライズの登録を解除する

XenMobileでは、XenMobile ServerコンソールとXenMobileToolsを使用して、Android for Workエンタープライズを登録解除できます。

このタスクを実行すると、XenMobile ServerによってXenMobileToolsのポップアップウィンドウが開かれます。始める前に、XenMobile Serverに、使用しているWebブラウザーでポップアップウィンドウを開く権限があることを確認してください。Google Chromeなどの一部のWebブラウザーでは、ポップアップブロックを無効にし、XenMobileサイトのアドレスをポップアップブロックのホワイトリストに追加する必要があります。

警告: エンタープライズの登録が解除されると、エンタープライズ経由で登録されていたデバイスのAndroid for Workアプリはデフォルトの状態にリセットされます。これらのデバイスはGoogleの管理対象外になります。それらのデバイスをAndroid for Workエンタープライズで再登録した後、以前の機能を復元するには再度構成する必要があります。

Android for Workエンタープライズの登録を解除した後:

  • エンタープライズ経由で登録されていたデバイスとユーザーのAndroid for Workアプリはデフォルト状態にリセットされます。以前に適用されていた[Android for Work アプリの権限]ポリシーと[Android for Work アプリの制限]ポリシーは無効になります。
  • XenMobileはエンタープライズ経由で登録されたデバイスを管理します。Googleはこれらの端末を管理しません。Android for Workアプリを追加することはできません。[Android for Workアプリの権限]ポリシーと[Android for Workアプリの制限]ポリシーは適用できません。[スケジュール設定]、[パスワード]、[制限]などのその他のポリシーは、引き続きこれらのデバイスに適用できます。
  • Android for Workにデバイスを登録しようとすると、Android for WorkデバイスではなくAndroidデバイスとして登録されます。

Android for Workエンタープライズを登録解除するには:

  1. XenMobileコンソールで、右上の歯車アイコンをクリックします。[Settings]ページが開きます。

  2. [設定]ページで、[Android for Work]をクリックします。

  3. エンタープライズの削除] をクリックします。

    Android for Work設定画面の画像

  4. パスワードを指定します。このパスワードは、次の手順で登録解除を完了するのに必要となります。[登録解除] をクリックします。

    Android for Work設定画面の画像

  5. [XenMobile Tools]ページが開いたら、前の手順で作成したパスワードを入力します。

    管理ツール画面の画像

  6. 登録解除] をクリックします。

    管理ツール画面の画像

最適化されたデバイスプロパティ検索

これまでは、[管理]>[デバイス]ページからのデバイス検索ではデフォルトですべてのデバイスプロパティが含まれていたため、検索が遅くなる可能性がありました。現在、デフォルト検索のスコープには、次のデバイスプロパティのみが含まれています。

  • シリアル番号
  • IMEI
  • Wi-Fi MACアドレス
  • Bluetooth MAC アドレス
  • Active Sync ID
  • ユーザー名

新しいサーバープロパティ include.device.properties.during.search を使用して検索スコープを構成できるようになりました。このプロパティのデフォルト値はfalseです。デバイス検索にすべてのデバイスプロパティを含めるには、[設定]>[サーバープロパティ]に移動し、設定をtrueに変更します。

XenMobile Service 10.18.1で解決された問題

構成]>[デバイスポリシー]>[アプリロックポリシー]: ポリシー名を入力して[iOS]ページに移動した後、[アプリバンドルID]メニューにバンドルIDが表示されません。AndroidとiOSとを切り替えると、アプリバンドルIDが表示されます。[CXM-39302]

.ipaエンタープライズアプリケーションをXenMobile Serverにアップロードするときに、アップロードが失敗することがあります。「アップロードされたモバイルアプリは無効です。アプリケーションアイコンが見つかりませんでした。[From xms_10.4.0.10018.bin][#662026][CXM-43032]

Android for Work用に構成された環境の場合:デバイスを登録し、アプリを追加した後、そのデバイス上のGoogle Playにそのアプリが表示されません。エンタープライズを登録解除してから再登録し、アプリを追加した場合、Google Playですべてのアプリが表示されなくなることがあります。[CXM-43424]

登録に失敗しました。出力されたログメッセージ:com.zenprise.zdm.enroll.EnrollmentException: com.hazelcast.core.OperationTimeoutException: QueryPartitionOperation invocation failed to complete due to operation-heartbeat-timeout.[CXM-43779]

Internet Explorerでアプリパッケージ(APK、IPA、MDX)をアップロードすると失敗し、中断するまで読み込み中アイコンが表示され続けます。[CXM-43797]

トンネルポリシーおよびWebクリップデバイスポリシーがあるAndroidデバイス:Webクリップを開いてから複数回Webブラウザーに戻ると、Secure Hubが停止します。[CXM-43812]

[OS の更新の制御]デバイスポリシーをiOSデバイスに展開した後:XenMobile内のActiveSync IDがデバイスのActiveSync IDと一致しません。その結果、ユーザーはメールにアクセスできません。[CXM-43958]

XenMobileコンソールを使用してユーザーまたはデバイスを検索すると低速になります。[CXM-44120]

XenMobile Service 10.18.1の既知の問題

SQLサーバーが子ドメインに展開されている、または子ドメインデータベースのログインが使用されている:Windows認証を使用するMicrosoft Java Database Connectivity(JDBC)が失敗します。 [CXM-42969]

XenMobile Service 10.7.6

XenMobileの最新バージョンには、次の新機能と拡張機能があります。

Windows 10デバイス用のDevice Guardポリシー

Device GuardはWindows 10のセキュリティ機能であり、Windows Hypervisorを使用してデバイス上のセキュリティサービスをサポートすることにより、仮想化ベースのセキュリティを実現します。新規デバイスポリシーであるDevice Guardを使用することで、セキュアブート、UEFIロック、仮想化などのセキュリティ機能を有効にできます。

前提条件:

  • バージョン1709(RS3)のEnterpriseライセンスまたはEducationライセンスが設定されたWindows 10デスクトップおよびタブレット
  • WindowsでDevice Guardが有効になっている

Device Guardの詳細については、https://docs.microsoft.com/en-us/windows/access-protection/credential-guard/credential-guard-manageを参照してください。

Device Guardポリシーを追加するには、[構成]>[デバイスポリシー]の順に選択します。次の設定を構成します。

デバイスポリシー構成画面の画像

  • 仮想化ベースのセキュリティを有効にする: 仮想化ベースのセキュリティ機能を有効または無効にします。仮想化ベースのセキュリティは、Windows Hypervisorを使用してセキュリティサービスをサポートします。
  • LSA構成フラグ:Credential Guardの構成を許可するかどうかを指定します。この設定により、ユーザーは仮想化ベースのセキュリティ機能を備えたCredential Guardを有効にして、次回再起動時に資格情報を保護することができます。オプションは[オフ]、[オン、UEFIロックあり]、[オン、UEFIロックなし]です。デフォルトは [オフ] です。
  • プラットフォームのセキュリティ機能が必要:次回再起動時のプラットフォームのセキュリティレベルを指定します。オプションは[オフ]、[VBS、セキュアブートあり]、[VBS、セキュアブートおよびダイレクトメモリアクセス(DMA)あり]です。デフォルトは [オフ] です。

XenMobileはデバイスにクエリを行い、仮想化ベースのセキュリティ設定がサーバーの設定と一致するかどうかを判定します。一致する場合、XenMobileはこのポリシーをデバイスに展開しません。セキュリティ設定が一致しない場合、XenMobileはポリシーを展開します。

Windows 10デバイスのファイアウォールの構成

Windows 10 RS3以降を実行するデスクトップデバイスおよびタブレットデバイスで、ファイアウォールを構成できるようになりました。[構成]>[デバイスポリシー] の順に移動し、ファイアウォールポリシーを追加または編集します。次の設定を構成します。

デバイスポリシー構成画面の画像

  • 機能を有効にする: このポリシーを展開したコンピューターで送受信トラフィックを制御するかどうかを指定します。デフォルトは [オン] です。
  • パブリックプロファイル: コンピューターが公共の場所(空港や喫茶店など)で信頼できないネットワークに接続するときに、Windowsファイアウォールを制御するかどうかを指定します。デフォルトは [オン] です。
  • プライベートプロファイル: コンピューターが信頼できるネットワーク(ホームネットワークなど)に接続するときに、Windowsファイアウォールを制御するかどうかを指定します。デフォルトは [オン] です。
  • ドメインプロファイル: コンピューターがオフィスなどでドメインネットワークに接続するときに、Windowsファイアウォールを制御するかどうかを指定します。デフォルトは [オン] です。
  • 許可されたプログラム一覧にあるものを含むすべての受信接続をブロックする: デフォルトは [オフ] です。
  • ファイアウォールが新しいプログラムをブロックしたときの通知を無効にする: デフォルトは [オフ] です。

サーバーのチューニングを改善するためのサーバープロパティの変更点

XenMobileの処理に使用されるいくつかのサーバープロパティについては、デフォルト値が推奨値と一致するようになりました。詳しくは、「XenMobileの動作の調整」を参照してください。

次に、更新されたサーバープロパティを示し、新しいデフォルト値をカッコ内に示します。

  • hibernate.c3p0.timeout(120秒)
  • Push Services Heartbeat Interval:ios.apns.heartbeat.interval、windows.wns.heartbeat.interval、gcm.heartbeat.interval(20時間)
  • Background Deployment(1440分)
  • Background Hardware Inventory(1440分)
  • Interval for check deleted Active Directory user(15分)
  • また、次のサーバープロパティのデフォルト値は、「サーバープロパティ」で推奨されている設定に変更されました。
  • Block Enrollment of Rooted Android and Jailbroken iOS Devices(真)

以前は文書化されていなかった以下のカスタムサーバープロパティを使用して、XenMobile Serverをさらにチューニングできるようになりました。

カスタムキー:hibernate.c3p0.min_size

この[カスタムキー]というXenMobile Serverプロパティでは、XenMobileでSQL Serverデータベースに対して開くことのできる最小接続数を指定します。デフォルトは50です。

この設定を変更するには、次の構成を使用して、XenMobile Serverにサーバープロパティを追加する必要があります。

  • キー:カスタムキー
  • キー:hibernate.c3p0.min_size
  • 値:50
  • 表示名:hibernate.c3p0.min_size=\*nnn\*
  • 説明:DB connections to SQL

カスタムキー:hibernate.c3p0.idle_test_period

この[カスタムキー]というXenMobile Serverプロパティでは、接続が自動的に検証されるまでのアイドル時間を秒単位で指定します。デフォルトは30です。

この設定を変更するには、次の構成を使用して、XenMobile Serverにサーバープロパティを追加する必要があります。

  • キー:カスタムキー
  • キー:hibernate.c3p0. idle_test_period
  • 値:30
  • 表示名:hibernate.c3p0. idle_test_period =*nnn*
  • 説明:Hibernate idle test period

XenMobile Service 10.7.6で解決された問題

XenMobileバージョン10.5から10.6へのアップグレード後、デバイスワイプなどの操作をデバイスで実行した場合:実行したセキュリティ操作に関するサーバーログがループし、データベースのサイズが大幅に増加します。[CXM-43020]

サーバープロパティの表示名がNULLに設定されている場合:[設定]>[サーバープロパティ]ページで文字列を検索すると「500内部サーバーエラー」が発生します。[CXM-43469]

XenMobile Service 10.7.6の既知の問題

管理]>[デバイス] ページでiOSデバイスを編集して [アプリ] タブに移動した場合:[バージョン]列にSecure HubアプリおよびMDXアプリのリビジョン番号が表示されません。[CXM-40183]

Samsung SAFE用の制限デバイスポリシー:[ブラウザー]、[YouTube]、[Google Play/Marketplace]オプションは削除されました。これらの機能を有効または無効にするには、[アプリケーションを無効化]オプションを使用します。[CXM-43043]

XenMobile Service 10.7.5

XenMobileの最新バージョンには、次の新機能と拡張機能があります。

ヘルプデスク管理者のためのモニタページ

新しい [モニター] ページで、XenMobile Serviceの監視およびトラブルシューティングを行えるようになりました。このインターフェイスは、ヘルプデスク管理者がユーザーごとのトラブルシューティングを効率的に実行できるようにカスタマイズされています。

ヘルプデスク管理者が[モニター]タブとすべての利用可能なワークフローにアクセスするには、次の権限が必要です。

  • 承認済みアクセス
    • 管理者のコンソールアクセス
    • パブリック API へのアクセス
  • コンソール機能
    • 監視
    • デバイス
    • デバイスの完全なワイプ
    • 場所の表示
      • デバイスの場所の確認
      • デバイスの追跡
    • デバイスのロック
    • デバイスのロック解除
    • アプリのロック
    • アプリのワイプ
    • アプリ

モニター] ページには、デバイスポリシーと構成をまとめたビューが表示されます。このビューでは、アプリのロック/ロック解除、アプリのワイプ、デバイスのロック/ロック解除、デバイスのワイプなどのトラブルシューティング操作を行うことができます。

Citrix Cloudの[モニター]画面の画像

モニター] ページでは以下の操作が可能です。

  • トラブルシューティングを行うActive Directory(AD)のユーザーおよびデバイスの検索。
  • 以下が表示される [デバイス詳細] ページの分析。
    • ポリシー: 選択したデバイスとアプリのデバイスポリシーとアプリポリシーが表示されます。ポリシーの変更方法については、「デバイスポリシー」と「アプリケーションの追加」を参照してください。
    • 構成: デバイスの構成が表示されます。このパネルには、デバイスの位置情報サービスの状態とジェイルブレイクの有無、およびデバイスがMAM/MDMの管理対象かどうかを示す各種アイコンが表示されます。また、ストレージの暗号化状態も表示されます。
    • 実行中のアプリケーション] テーブル:デバイスで現在実行されているアプリケーションの詳細が表示されます。
  • デバイスのトラブルシューティング。このページで実行できるセキュリティ操作は、デバイスの登録状態およびログイン済みの管理者が持つ権限によって決まります。
    • デバイスのロック/ロック解除
    • デバイスのワイプ
    • アプリのロック/ロック解除(デバイスがMAMに登録済みの場合に利用可能)
    • アプリのワイプ(デバイスがMAMに登録済みの場合に利用可能)

実行できる操作について詳しくは、「セキュリティ操作」を参照してください。

[モニター]ページではログイントークンの更新が行われないため、最後の読み込みから60分が経過すると正常に動作しなくなる場合があります。この問題を回避するには、サービスコンソールで [Citrix Cloud] リンクをクリックして [XenMobileサービス]>[管理]>[モニター] の順にクリックし、ページを再読み込みしてトークンを更新します。

Citrix Cloudディスカッションフォーラムで、この機能の実用性に関するフィードバックをお寄せください。

XenMobileコンソールからXenMobileツールへのアクセス

XenMobileで、以下のXenMobileツールにXenMobileコンソールからアクセスできるようになりました。

  • XenMobile Analyzer – 展開に関する潜在的な問題を特定し、トリアージします。
  • APNsポータル – シトリックスにAPNs証明書への署名を求める要求を送信します。署名された証明書は、Appleに提出します。
  • 自動検出サービス – ドメインのXenMobile Serverの自動検出を要求および構成します。
  • プッシュ通知の管理 – iOSおよびWindowsのXenMobile Appsのプッシュ通知を管理します。
  • MDXサービス – アプリをラップします。ラップしたアプリは、XenMobileで管理できるようになります。

これらのツールにアクセスするには、[設定]>[XenMobile Tools]に移動します。このページは、Cloud AdminまたはCustomer Adminの役割を持つユーザーが使用できます。

XenMobileダッシュボード画面の画像

Windows AutoPilotを使用してデバイスをセットアップおよび構成する

Windows AutoPilotは、新しいデバイスのセットアップと事前設定に使用されるテクノロジの集まりで、生産性の高い使用を可能にします。Windows AutoPilotでは、デバイスのリセット、用途変更、および復元を行うことができます。AutoPilotでは、最新のオペレーティングシステムの展開作業を簡単に行えるようになります。AutoPilotを使用すると、こうした作業を単純な設定と操作にまとめ、デバイスの使用準備を素早く効率的に行うことができます。

前提条件:

  • ビジネス向けMicrosoftストアポータルでデバイスを組織に登録している。
  • Azure Active Directoryポータルで会社のブランド設定を構成している。
  • 会社がAzure Active DirectoryのPremium P1またはP2サブスクリプションを所有している。
  • Citrix IDプラットフォームをXenMobileのIDPタイプとして構成する:XenMobileコンソールで [設定]>[IDプロバイダー(IDP)] に移動します。詳しくは、「IDPとしてのAzure Active Directory」を参照してください。
  • Windows AutoPilotで使用するクラウドサービスにネットワークで接続できる。
  • デバイスにWindows 10 Professional、Enterprise、またはEducationのバージョン1703以降がプリインストールされている。
  • デバイスがインターネットにアクセスできる。

前提条件の構成方法について詳しくは、https://docs.microsoft.com/en-us/windows/deployment/windows-10-auto-pilotを参照してください。

AutoPilotデバイス用にXenMobileでWindowsの自動再展開を構成するには、次の手順に従います。

  1. カスタムXMLデバイスポリシーで、手順に従ってカスタムXMLポリシーを追加します。[XML コンテンツ] に以下を追加します。

    
    <Add>
    <CmdID>_cmdid_</CmdID>
    <Item>
    <Target>
    <LocURI>./Vendor/MSFT/Policy/Config/CredentialProviders/DisableAutomaticReDeploymentCredentials</LocURI>
    </Target>
    <Meta>
    <Format xmlns="syncml:metinf">int</Format>
    </Meta>
    <Data>0</Data>
    </Item>
    </Add>
    
    
  2. Windowsのロック画面で、CTRL+Windowsキー+Rを押します。

  3. Azure Active Directoryアカウントでログインします。

  4. デバイスにより、ユーザーにデバイスの再展開を行う権限があるか確認されます。その後、デバイスの再展開が行われます。

  5. AutoPilotの構成でデバイスが更新されると、ユーザーは新しく構成されたデバイスにログインできるようになります。

Android for Workデバイスの制限の追加

構成]>[デバイスポリシー]>[制限ポリシー] ページで、Android for Workデバイスに対してより多くの制限を適用できるようになりました。

デバイスポリシー構成画面の画像

以下の設定は、特に記載のない限り、Android 5.0以降で使用できます。

  • ファイル転送: USBでのファイル転送を許可します。デフォルトは [オフ] です。
  • テザリング: ユーザーがポータブルホットスポットおよびテザリングデータの構成できるようにします。デフォルトは[Off]です。
  • コピーと貼り付けを許可: Android for Workプロファイルのアプリとパーソナルエリアのアプリ間で、クリップボードを使用してコピーと貼り付けできるかどうかを指定します。デフォルトは [オフ] です。
  • アプリの検証を有効化: OSがアプリをスキャンして悪意のある動作を検出できるようにします。デフォルトは [オン] です。
  • ユーザーにアプリケーション設定の制御を許可: ユーザーがアプリのアンインストール、アプリの無効化、キャッシュやデータの消去、アプリの強制停止、デフォルト値のクリアをできるようにします。デフォルトは [オフ] です。
  • デバイスの連絡先で仕事用プロファイルの連絡先を許可: 着信時に、管理対象のAndroid for Workプロファイルの連絡先を親プロファイルに表示します。デフォルトは [オフ] です。(Android 7.0以降)

デバイスポリシーの構成方法について詳しくは、「デバイスポリシー」を参照してください。

管理対象Android for WorkデバイスへのOS更新プログラムの展開

[OS更新プログラムの制御]デバイスポリシーを使用して、管理対象のAndroid for Workデバイス(Android 7.0以降)にOS更新プログラムを展開できるようになりました。このポリシーを構成するには、[構成]>[デバイスポリシー]の順に選択します。

デバイスポリシー構成画面の画像

Android for Workの設定を構成します。

  • システム更新ポリシー: システムの更新を行うタイミングを指定します。[自動] では、更新プログラムが利用可能になるとインストールされます。[ウィンドウ] では、[開始時間]と [終了時間] で指定した毎日のメンテナンスウィンドウ内に更新プログラムが自動でインストールされます。[延期] に設定すると、ユーザーは最大30日間更新を延期できるようなります。
    • 開始時間: メンテナンスウィンドウの開始時間(分単位。01440)。デバイスのローカル時間の午前0時を基準とします。デフォルト値は0です。
    • 終了時間: メンテナンスウィンドウの終了時間(分単位。01440)。デバイスのローカル時間の午前0時を基準とします。デフォルトは120です。

Android for Workアプリで危険な権限が要求されたときの動作の指定

仕事用プロファイル内にあるAndroid for Workアプリへの要求の場合:新しいデバイスポリシーでは、Googleが「危険な」権限と呼ぶ要求を、どのように処理するかを構成できます。アプリからの権限要求を許可または拒否するためのプロンプトを、ユーザーに表示するかどうかを制御します。この機能は、Android 7.0以降を実行するデバイス向けです。

Googleでは、危険な権限は、アプリが次のものにアクセスできるようにする権限として定義されています。

  • ユーザーの個人情報を含むデータまたはリソース。
  • ユーザー用の保存データまたは他のアプリの操作に影響する可能性のあるリソース。たとえば、ユーザーの連絡先を読み取れるというのは、危険な権限です。

仕事用プロファイル内にあるAndroid for Workアプリの場合:グローバルの状態を構成して、あらゆる危険な権限をアプリに要求する動作を制御できます。Googleで定義されているように、アプリごとに、個々の権限グループに対して危険な権限の要求の動作を制御することもできます。これらの個々の設定は、グローバルな状態を上書きします。

Googleが権限グループをどのように定義しているかについては、Android開発者ガイドの「実行時のパーミッションリクエスト」を参照してください。

デフォルトでは、危険な権限の要求を許可または拒否するためのプロンプトがユーザーに表示されます。

Android for Workアプリの権限を構成するには、[構成]>[デバイスポリシー]に移動し、[Android for Workアプリの権限]ポリシーを追加します。このポリシーが適用されるアプリは、まずGoogle Play Consoleへの追加と承認後に、XenMobileにパブリックストアのアプリとして追加したものだけです。

デバイスポリシー構成画面の画像

次の設定を構成します。

  • グローバルの状態: すべての危険な権限要求の動作を制御します。一覧で[プロンプト]、[許可]、または [拒否] をクリックします。デフォルトは [プロンプト] です。
    • プロンプト: 危険な権限の要求を許可または拒否するかどうかをユーザーに確認します。
    • 許可: ユーザーにプロンプトは表示されず、危険な権限の要求はすべて許可されます。
    • 拒否: ユーザーにプロンプトは表示されず、危険な権限の要求はすべて拒否されます。
  • 権限グループの [グローバルの状態] を上書きする場合は、権限グループの個々の動作を設定します。権限グループの設定を構成するには、[追加]をクリックし、一覧からアプリを選択して [状態を許可] を選択します。

iOSデバイスを紛失した場合にロック画面に表示するメッセージの設定

新しいデバイスポリシーである[ロック画面のメッセージ]を使用すると、次のiOSデバイスの紛失時に表示するメッセージを設定できます。

  • 共有iPadのログインウィンドウ
  • 監視対象iOSデバイスのロック画面

このポリシーを追加するには、[構成]>[デバイス ポリシー]の順に選択し、[ロック画面のメッセージ]を追加します。

デバイスポリシー構成画面の画像

次の設定を構成します。

  • デバイスの資産タグ情報: デバイスの資産タグ。Appleデバイスは長い文字列を省略するため、ポリシーを実稼働環境に展開する前に文字列をテストするようにしてください。文字列の長さは、AppleデバイスのモデルとAppleの設定によって変わります(iOS 9.3以降)。
  • ログインウィンドウとロック画面の脚注: 住所やその他の連絡先情報など、デバイスの返却に役立つ情報。Appleデバイスは長い文字列を省略するため、ポリシーを実稼働環境に展開する前に文字列をテストするようにしてください。文字列の長さは、AppleデバイスのモデルとAppleの設定によって変わります(iOS 9.3以降)。
  • ポリシーの削除: ポリシーが無効になる日付、または有効期限を選択します。この期限を過ぎると、ロック画面のメッセージは表示されなくなります。
  • ユーザーにポリシーの削除を許可: ユーザーがロック画面のメッセージをオフにできるかどうかを指定します。オプションは、[常に]、[パスワードが必要]、または [しない] です。

デバイスポリシーの構成方法について詳しくは、「デバイスポリシー」を参照してください。

新しいREST API

RESTサービス用のXenMobileパブリックAPIに、次の新しいAPIが追加されました。

  • フィルター基準に合うユーザーの取得
  • 登録トークンの削除

詳細については、『XenMobile Public API for REST Services』(PDF)をダウンロードし、セクション3.12.1「Get Users by Filter」およびセクション3.19.7「Remove Enrollment Token」」を参照してください。

XenMobile Service 10.7.5で解決された問題

RBAC管理者は、XenMobile Serverコンソールから管理対象デバイスを参照できません。500サーバー内部エラーが発生します。[CXM-41147]

iOS用の[アプリ構成]デバイスポリシーの構成時:ディクショナリの内容に区切り文字「&」が含まれている場合、デバイスでXMLコードが機能しません。ログには「The reference to entity “name” must end with the ‘;’ delimiter.’」というXML検証エラーが記録されます。[CXM-41883]

XenMobileのダッシュボードに表示される保留中の選択的なワイプの数が、[分析]タブに表示される数と一致しません。[CXM-42020]

特定のバージョン管理シナリオで、アプリ更新機能のチェックが正しく機能しません。[CXM-42388]

XenMobile Service 10.7.5の既知の問題

MDMに登録済みのiOS 11デバイス上で、XenMobileをMDMモードまたはMDM+MAMモードのクラスターセットアップで展開すると、MDMコマンドが失敗することがあります。この結果、次の問題が発生する可能性があります。

  • MDMポリシーのプッシュやアプリの展開ができない場合があります
  • iOS 11デバイスでロックやワイプなどのセキュリティ操作を実行できない場合があります。
  • ユーザーデバイスで、次の問題が発生する可能性があります。
    • アプリがインストールを試行し続けます
    • VPNまたはWi-Fi構成のインストールに失敗します
    • ロックなどのセキュリティ操作が繰り返し発生します。

詳しい内容と必要な操作については、Citrix Support Knowledge Centerの記事(https://support.citrix.com/article/CTX227406)を参照してください。[CXM-38331]

XenMobile Service 10.7.4

XenMobileの最新バージョンには、次の新機能と拡張機能があります。

Azure Active Directoryを使用したシングルサインイン

XenMobile Serviceでは、次のシナリオでAzure Active Directoryの資格情報を使用したシングルサインインがサポートされます。

  • Citrix Secure Hubによるユーザー登録(AndroidまたはiOS)
  • RBACユーザー役割でのXenMobile Self Help Portalに対する認証
  • 管理者のXenMobileコンソールに対する認証
  • XenMobile Serviceでの、Citrix Cloud APIにより取得したトークンによるRESTサービス用XenMobileパブリックAPIに対する管理者の認証。
  • 詳しくは、『XenMobile Public API for REST Services』(PDF)のセクション3.3.2「Login (Cloud Credentials)」を参照してください。

XenMobile Serviceは、Citrix CloudサービスであるCitrix IDプラットフォームを使用して、Azure Active Directoryへのフェデレーションを行います。CitrixIDプラットフォームはIDプロバイダー(Identiry Provider:IDP)サービスです。

このサービスを設定するには、Azure Active DirectoryをIDプロバイダーとして使用するようにCitrix Cloudを構成します。次に、Citrix IDプラットフォームをXenMobile ServerのIDPタイプとして構成します。これで、ユーザーがAzure Active Directoryの資格情報を使用してSecure Hubにログオンできるようになります。Secure Hubでは、MAMデバイスのクライアント証明書認証を使用します。

Azure Active Directoryに直接接続するのではなく、Citrix IDプラットフォームを使用することをお勧めします。

Azure Active Directoryを使用したシングルサインインの前提条件

  • MDMモード、MAM-onlyモード、またはEnterpriseモードで構成されたXenMobile Server
  • 証明書ベースの認証で構成されたNetScaler Gateway
  • Secure Hub 10.7.20(最小バージョン)
  • Azure Active Directoryユーザーの資格情報

Azure Active DirectoryをIDプロバイダーとして使用するようにCitrix Cloudを構成する

Citrix CloudでAzure Active Directoryを構成するには、次の手順に従います。

  1. https://citrix.cloud.comでCitrix Cloudアカウントにサインインします。

  2. Citrix Cloudメニューから [IDおよびアクセス管理] ページに移動し、Azure Active Directoryに接続します。

    Citrix Cloud画面の画像

  3. 管理者のサインインURLを入力し、[接続]をクリックします。

    Citrix Cloud画面の画像

  4. サインインすると、Azure Active DirectoryアカウントがCitrix Cloudに接続されます。[IDおよびアクセス管理]>[認証] ページに、Citrix CloudアカウントとAzure ADアカウントへのサインインに使用するアカウントが表示されます。

    Citrix Cloud画面の画像

Citrix IDプラットフォームをXenMobile ServerのIDPタイプとして構成する

Citrix CloudでAzure Active Directoryを構成したら、次のようにXenMobile Serverを構成します。

  1. XenMobileコンソールで [設定]>[IDプロバイダー(IDP)] に移動し、[追加]をクリックします。

  2. IDプロバイダー(IDP)] ページで、次の項目を構成します。

    IDP構成画面の画像

    • IDP名: 作成するIDP接続が識別できる一意の名前を入力します。
    • IDPの種類:Citrix IDプラットフォーム] を選択します。
    • 認証ドメイン: 該当するCitrix Cloudドメインを選択します。Citrix Cloudの [IDおよびアクセス管理]>[認証] ページに表示されるドメインを選択してください。
  3. 次へ] をクリックします。[IDPクレームの使用状況] ページで、次の項目を構成します。

    IDP構成画面の画像

    • ユーザー識別子の種類: このフィールドは [userPrincipalName] に設定します。
    • ユーザー識別子の文字列: このフィールドは自動入力されます。
  4. 次へ] を選択して [概要] ページを確認し、[保存]をクリックします。

    これで、Secure Hubユーザー、XenMobileコンソール、Self Help PortalユーザーがAzure Active Directoryの資格情報を使用してサインインできるようになります。

XenMobile Serverの管理者とユーザーの認証フロー

XenMobileコンソールとXenMobile Self Help Portalのサインイン画面には、[会社の資格情報でサインイン]リンクが表示されます。

XenMobileのサインイン画面の画像

リンクをクリックして、Azure Active Directory資格情報を入力します。認証に成功した場合、今後XenMobileへのアクセスでサインインは不要になります。

ドメイン参加デバイスからXenMobileコンソールまたはSelf Help Portalにサインインし、[会社の資格情報でサインイン]リンクをクリックした場合、XenMobileによりシングルサインオンが行われます。認証プロンプトは表示されません。

Secure Hubの認証フロー

Citrix IDプラットフォームをIDPとして使用するようにXenMobileを構成している場合、Secure Hubを介して登録済みのデバイスのSecure Hub認証フローは次のようになります。

  1. Secure Hubを起動します。
  2. Secure Hubが認証要求をCitrix IDプラットフォームに渡し、プラットフォームがこの要求をAzure Active Directoryに渡します。
  3. ユーザーはユーザー名とパスワードを入力します。
  4. Azure Active Directoryがユーザーを検証し、Citrix IDプラットフォームにコードを送信します。
  5. Citrix IDプラットフォームがコードをSecure Hubに送信し、Secure HubがコードをXenMobile Serverに送信します。
  6. XenMobileがコードとシークレットを使用してIDトークンを取得し、IDトークンに含まれるユーザー情報を検証します。XenMobileはセッションIDを返送します。

ドメイン参加デバイスのユーザーは、Azure Active Directoryの資格情報を使用してシングルサインオンを行うことができます。XenMobileローカルアカウントでは、シングルサインオンは使用できません。

XenMobileからのビジネス向けMicrosoftストアアプリの展開

ビジネス向けMicrosoftストアは、所属組織用の大量の無料アプリおよび有料アプリを検索、配布できるストアです。XenMobile Serverをビジネス向けMicrosoftストアに接続すると、XenMobileの [構成]>[アプリ] ページにビジネス向けストアのアプリが表示されます。表示されたアプリをWindows 10デバイスに展開できます。

XenMobileでは、ビジネス向けMicrosoftストアでサポートされるデフォルトのライセンスモデルである、オンラインライセンスアプリ管理のみをサポートしています。このモデルでは、ユーザーとデバイスがMicrosoftストアサービスに接続して、アプリとそのライセンスを取得する必要があります。

ビジネス向けMicrosoftストアについて詳しくは、Microsoftのドキュメント(https://docs.microsoft.com/en-us/microsoft-store/microsoft-store-for-business-overview)を参照してください。

ビジネス向けMicrosoftストアのアプリにアクセスするための前提条件

  • Azure Active Directory

    ビジネス向けMicrosoftストアのアプリにアクセスするには、まずAzure Active DirectoryをIDプロバイダーとして構成する必要があります。この構成を行う方法については、「IDPとしてのAzure Active Directory」を参照してください。

  • ビジネス向け Microsoft ストア

XenMobileサーバーをビジネス向けMicrosoftストアに接続する

  1. XenMobileコンソールの [設定] ページで、[ビジネス向けMicrosoftストア]リンクを検索してクリックします。

  2. 次の設定を構成します。

    • Azure AD構成: 前提条件で構成したAzure Active Directoryインスタンスを選択します。
    • アプリのサフィックス: 識別しやすいようにすべてのビジネス向けMicrosoftストアアプリに追加するサフィックスを入力します。
    • ローカリゼーション: ビジネス向けMicrosoftストアからXenMobileにダウンロードされたアプリの詳細で使用する言語を選択します。

    Microsoft Store for Business設定画面の画像

  3. 保存]をクリックします。XenMobileにより、ビジネス向けMicrosoftストアのアプリが [構成]>[アプリ] ページに追加されます。

    Microsoft Store for Business設定画面の画像

  4. 後でアプリケーションを再同期するには、[ビジネス向けMicrosoftストア]設定ページに戻り、[強制同期]ボタンをクリックします。

    Microsoft Store for Business設定画面の画像

ビジネス向けMicrosoftストアアカウントとXenMobileを関連付ける

  1. Azure Active Directoryへのサインインに使用するのと同じテナントアカウントで、ビジネス向けMicrosoftストアにログインします。
  2. ビジネス向けMicrosoftストアで、[Settings]>[Management tools]の順にクリックします。
  3. Management tools] ページで [Add a management tool] をクリックし、[XenMobile]を選択します。

ビジネス向けMicrosoftストアとアプリを同期する

デフォルトでは、XenMobileは24時間ごとにビジネス向けMicrosoftストアと同期します。同期を強制的に行うには、[設定]>[ビジネス向けMicrosoftストア]に移動して [強制同期] をクリックします。

Microsoft Store for Business設定画面の画像

同期間隔を変更するには、[設定]>[サーバープロパティ]に移動し、[最小MSBベースライン間隔]サーバープロパティの値を更新します。

ビジネス向けMicrosoftストアのアプリをデリバリーグループに割り当てる

ビジネス向けMicrosoftストアから同期されたアプリには、[設定]>[ビジネス向けMicrosoftストア]ページで設定したサフィックスが付けられます。

アプリ構成画面の画像

  1. これらのアプリをデリバリーグループに追加するには、[設定]>[デリバリーグループ]に移動し、グループを選択して[編集]、[アプリ]の順にクリックします。追加するアプリを [必須アプリ] 一覧に移動します。
  2. 構成]>[アプリ] に移動します。アプリを1つ以上選択し、[編集]をクリックして、[デリバリーグループの割り当て]をクリックします。

アプリのユーザーライセンスを取り消す

  1. 構成]>[アプリ] に移動し、ビジネス向けMicrosoftストアのアプリを選択して [編集] をクリックします。

  2. プラットフォーム] で、[Windowsデスクトップ/タブレット]をクリックします。

  3. 下にスクロールして、[ビジネス向けMicrosoftストア]を展開します。

    アプリ構成画面の画像

  4. ユーザーを選択し、[割り当て解除]をクリックします。

    アプリ構成画面の画像

Windowsデスクトップ/タブレットにインストールする更新プログラムの制御

監視対象のWindows 10デスクトップおよびタブレットデバイスにOS更新プログラムを展開する[OS更新プログラムの制御]デバイスポリシーに、新しい機能が追加されました。承認した更新プログラムのみをインストールするかどうかを指定できるようになりました。XenMobileでは更新プログラムは次のように処理されます。

  • セキュリティ更新プログラム(Windows Defenderの定義など)については、XenMobileは更新プログラムを自動的に承認し、次回の同期中にデバイスにインストールコマンドを送信します。
  • 他のすべての更新プログラムについては、XenMobileは管理者の承認を待ってから、インストールコマンドをデバイスに送信します。

条件

Microsoftルート証明書をサーバー証明書としてXenMobile Serverにアップロードする必要があります。この証明書は、http://go.microsoft.com/fwlink/?linkid=747875&clcid=0x409から取得できます。証明書をXenMobileにアップロードしたら、XenMobile Serverを再起動します。サーバー証明書のインポート方法については、「証明書および認証」の「証明書をインポートするには」を参照してください。

承認された更新のみをインストール

  1. 構成]>[デバイスポリシー] に移動して[OS更新プログラムの制御]デバイスポリシーを開きます。
  2. 承認一覧の更新のみを許可] の設定を [はい。承認された更新のみをインストールします] に変更します。

更新プログラムを承認する

  1. [OS更新プログラムの制御]デバイスポリシーで、[保留中の更新]テーブルにスクロールします。XenMobileにより、デバイスのテーブルにある更新が取得されます。

  2. 承認ステータス] が [保留中] の更新プログラムを見つけます。

  3. 承認する更新プログラムの行をクリックし、その行の [追加] 列にある編集アイコンをクリックします。

    デバイスポリシー構成画面の画像

  4. 更新を承認する場合は [承認済み] をクリックし、[保存]をクリックします。

    デバイスポリシー構成画面の画像

注:[保留中の更新]テーブルには追加コマンドおよび削除コマンドが表示されますが、これらのコマンドを実行してもXenMobileデータベースは変更されません。保留中の更新に対して実行できる操作は、承認ステータスの編集のみです。

デバイスのWindows Updateの状態を確認するには、[管理]>[デバイス]>[プロパティ]に移動します。

デバイス構成画面の画像

更新プログラムが公開されると、更新IDがステータス([成功]または[失敗])とともに最初の列に表示されます。更新が失敗したデバイスについて、レポートまたは自動アクションを作成できます。公開日時も表示されます。

初回および2回目以降の展開での更新の動作

初回展開とデバイス更新後の展開では、デバイスに対する[OS更新プログラムの制御]デバイスポリシーの影響が異なります。

  • XenMobileがデバイスに更新の有無を照会できるようにするには、デリバリーグループを少なくとも1つ構成し、[OS更新プログラムの制御]デバイスポリシーに割り当てる必要があります。

    XenMobileは、デバイスのMDM同期中に、インストール可能な更新プログラムがあるかどうかデバイスに照会します。

  • [OS更新プログラムの制御]デバイスポリシーを初めて展開した後は、デバイスからの報告が行われていないため、Windows更新プログラムの一覧は空になります。
  • 割り当て済みのデリバリーグループ内のデバイスが更新プログラムを報告すると、XenMobileはそれらの更新プログラムをデータベースに保存します。報告された更新プログラムを承認するには、ポリシーを再度編集します。

    更新プログラムの承認は、編集中のポリシーにのみ適用されます。あるポリシーで承認された更新が、別のポリシーで承認済みとして表示されることはありません。次回のデバイスの同期時に、XenMobileは更新プログラムが承認されたことを示すコマンドをデバイスに送信します。

  • 2番目の[OS更新プログラムの制御]デバイスポリシーの更新プログラムの一覧には、XenMobileデータベースに保存されている更新プログラムが含まれます。各ポリシーの更新プログラムを承認する必要があります。

    更新プログラムがインストールされたとデバイスから報告されるまで、XXenMobileは各デバイスの同期中にデバイスに承認済み更新プログラムの状態を照会します。インストール後にデバイスの再起動が必要な更新プログラムについては、XenMobileはデバイスからインストール完了と報告されるまで更新プログラムの状態を照会します。

  • XenMobileのポリシー構成ページに表示される更新プログラムは、デリバリーグループやデバイスで限定されることはありません。一覧には、デバイスから報告された更新プログラムがすべて表示されます。

Win32アプリのインベントリ登録と削除

ユーザーデバイス上のWin32アプリが[アプリアクセス]デバイスポリシーに準拠しているかどうかを判別できるようになりました。管理対象のWindows 10デスクトップデバイスおよびタブレットデバイスのWin32アプリのインベントリを表示するには、次の手順に従います。

  1. 構成]>[デバイスポリシー]に移動し、Windowsデスクトップ/タブレットプラットフォームの[アプリインベトリ]ポリシーを追加します。ポリシーを展開します。

  2. 管理]>[デバイス] に移動して、表示するWindows 10デバイスを選択し、[編集]をクリックして [アプリ] タブをクリックします。

    インベントリの結果が表示されます。

    デバイス構成画面の画像

  3. 実際のアプリのインベントリを[アプリインベトリ]デバイスポリシーと比較します。デバイスにブラックリスト登録済みのアプリがインストールされている場合、次の手順でデバイスから削除できます。

誤った製品コードに起因するアプリのインストールとアンインストールの問題

Win32アプリが誤った製品コードで構成されている場合、アプリは初めはインストールされますが、MicrosoftからXenMobileにこのアプリの状態が返されません。次のような結果になります。

  • [アプリのアンインストール]デバイスポリシーでアプリがアンインストールされません。
  • XenMobileサーバーは、アプリのインストールを確認していないため、引き続きアプリを展開します。アプリは既にインストールされているため、展開のたびにデバイスはエラーコードを生成します。[管理]>[デバイス]>[デリバリーグループの詳細]に次のようなエラーが表示されます:「MSIアプリケーション受信済み:Reporting:AppPush ID:7z1701-x64.msi:コマンドの実行に失敗しました -2147023293」

製品コードを修正するには、以下の操作を行います。

  1. アプリを手動でデバイスから削除します。
  2. XenMobileコンソールで、[構成]>[アプリ]に移動して、Win32アプリの製品コードを修正します。
  3. Win32アプリを展開します。

管理対象macOSデバイスのファイアウォールの構成

macOS 10.12以降が実行されている管理対象デバイスで、ファイアウォールを設定できるようになりました。[構成]>[デバイスポリシー] の順に移動し、ファイアウォールポリシーを追加または編集します。

デバイスポリシー構成画面の画像

次の設定を構成します。

  • ファイアウォールを有効にする。ファイアウォールを有効にするには、このオプションを[オン]に設定します。
  • すべての受信接続をブロックする。このオプションを [オン] に設定すると、基本サービスに必要な接続以外のすべての受信接続がブロックされます。
  • ステルスモードを有効にする。ステルスモードでは、Ping などの ICMP を使用したテストアプリケーションによるネットワークからのアクセスの試みに対して、応答または承認しません。ステルスモードを有効にするには、このオプションを[オン]に設定します。
  • アプリ固有の受信接続設定。特定のアプリで接続を受信できるようにするには、アプリを追加し、[許可]を [はい] に設定します。

Android for Work用の仕事用プロファイルのセキュリティ強化

仕事用プロファイルのパスコード

Android 7.0以降を実行しているデバイスでは、Android for Work用の仕事用プロファイル内にある、アプリのパスコードを要求できるようになりました。ユーザーは、仕事用プロファイル内のアプリを開こうとすると、パスコードの入力を求められます。パスコードを入力すると、仕事用プロファイル内のアプリにアクセスできます。

仕事用プロファイルのみ、またはデバイスに対して、パスコード要件を構成します。

Android for Workのパスコード要件を構成するには、[構成]>[デバイスポリシー]の順に移動し、[パスコード]ポリシーを追加または編集します。Android for Workプラットフォームのページをクリックして、次の設定を構成します。

  • 仕事用プロファイルのセキュリティ確認: Android for Workの仕事用プロファイル内で実行されるアプリへのアクセスに対して、ユーザーにセキュリティの確認を求めるには、この設定を有効にします。このオプションは、Android 7.0より前のAndroidデバイスでは使用できません。デフォルトは [オフ] です。
  • 仕事用プロファイルのセキュリティ確認用のパスコード要件:
    • 最小の長さ: 一覧から、パスコードの最小文字数を選択します。デフォルトは6です。
    • バイオメトリック認識: 生体認証を有効にするかどうかを選択します。このオプションを有効にした場合、[Required characters]フィールドは非表示になります。デフォルトは [オフ] です。この機能は現在サポートされていません。
    • 必須文字: 一覧から[制限なし]、[数字と文字の両方]、[数字のみ]、[文字のみ]のいずれかを選択して、パスコードの作成方法を構成します。[制限なし] は、Android 7.0を実行しているデバイスにのみ使用します。Android 7.1以降では、[制限なし]設定は適用されません。デフォルトは [数字と文字の両方] です。

デフォルトのセキュリティポリシー

デフォルトでは、USBデバッグおよび不明なソース設定は、デバイスがAndroid for Workの仕事用プロファイルモードで登録されているときは無効になります。

そのほかの改善

  • オフラインのiOSデバイスまたはmacOSデバイスを到達不可とみなすまでの日数を指定する、新しいサーバープロパティ。iOSまたはmacOSデバイスが以下のサーバープロパティで指定された制限に達すると、XenMobile Serverへの確認が停止されます。両方のプロパティのデフォルトは45日間です。
    • ios.delayBeforeDeclareUnreachable
    • macos.delayBeforeDeclareUnreachable
  • ロケールベースの日時形式。XenMobileコンソール全体で表示される日付と時刻の形式が、管理者のロケールとタイムゾーンに準拠するようになりました。

    たとえば、2017年11月20日の午後6時は次のように表示されます。

    U.S. (en-US): 11/20/17 06:00:00 pm
    U.K. (en-GB): 20/11/17 18:00:00
    South Africa (en-ZA): 2017/11/20 06:00:00 pm
    

XenMobileパブリックREST APIに関連する変更として、createdOnフィールドとlastAuthenticatedフィールドが廃止されました。代わりにcreationDateとlastAuthDateを使用してください。詳しくは、『XenMobile Public API for REST Services』(PDF)をダウンロードしてください。

  • パブリックREST APIの変更。RESTサービス用のXenMobileパブリックAPIに、「Revoke enrollment tokens」が含まれるようになりました。このAPIは、登録状態を期限切れに設定します。詳しくは、『XenMobile Public API for REST Services』(PDF)をダウンロードしてください。

XenMobile Service 10.7.4で解決された問題

Azure環境のみ:iOSデバイスがオフラインのまま7日間を超えた場合、サーバーが再起動されるまでXenMobileサーバーへの確認は行われません。[CXM-39540]

iOSデバイスにTelnetプロファイルがインストールされていると、XenMobile Serverと通信できません。このため、XenMobileでこれらのデバイスにポリシーを展開できません。[CXM-40402]

Citrix Receiver ADMXファイルをインポートしてXenMobileの[アプリ構成]デバイスポリシーを作成する場合:必須フィールドを指定しない場合でも、XenMobileでエラーが表示されないことがあります。ポリシーを保存する前に、すべての必須フィールドを指定してください。[CXM-40664]

XenMobileアプリ構成デバイスポリシーを作成するためにMicrosoft Office 2016 ADMXファイルをインポートすると、次のエラーが表示されることがあります。

「admx/office16.admxの処理中にエラーが発生しました:cvc-complex-type.3.2.3:属性 ‘noSort’が要素に表示されません。」このエラーを回避するには、office16.admxファイルを編集して、「noSort='true'」というテキスト文字列を削除します。アップロードのためにファイルを再圧縮します。[CXM-40750]

管理]>[デバイス] からエクスポートできるレポートに、[ASM DEPデバイスの種類]という列が2つあります。[CXM-40872]

一部の大規模なWin32 MSIアプリケーションはインストールされないことがあります。ログには、「Msiアプリケーション受信済み:Reporting:AppPush id:AdbeRdr1000_en_US.msi:コマンドの実行に失敗しました -2147023277」のようなエラーが記録されます。[CXM-40890]

Secure Hub APKファイルをXenMobileコンソールにダウンロードしているときに、500サーバー内部エラーが発生します。[CXM-41855]

NAC操作がコンソールログファイルに書き込まれることにより、ファイルが大きくなります。[CXM-42071]

XenMobile Service 10.7.4の既知の問題

登録済みのiOSデバイスをXenMobileサービス10.7.4にアップグレードした場合:[設定]>[クライアントブランド化]の [デフォルトストアビュー] を変更すると、Secure Hubのカテゴリビューにフォルダーアイコンが表示されなくなります。回避策:フォルダー名をタップすると、そのカテゴリのアプリが表示されます。[CXM-42091]

Azure Active DirectoryへのシングルサインインにCitrix IDプラットフォームを使用するようにXenMobile Serviceを構成した場合:XenMobile管理者またはユーザーがAzure Active Directoryのサインイン画面にリダイレクトされると、画面に「Citrix Secure Hubのサインインページ」というメッセージが表示されます。このメッセージは、「Citrix XenMobileコンソールのサインインページ」である必要があります。[CXM-42309]

XenMobile Service 10.7.3

XenMobileの最新バージョンには、次の新機能と拡張機能があります。

管理対象のWindows 10デスクトップデバイスおよびタブレットデバイスへのWin32アプリの展開

Win32アプリ用のMSIファイルをXenMobileコンソールにアップロードして、管理対象のWindows 10デスクトップデバイスおよびタブレットデバイスに展開できるようになりました。XenMobileを使用してMSIを展開すると、次のようにWindowsデバイスにアプリがインストールされます。

  • インストール中にアップグレード後のアプリにより旧バージョンが削除される場合、デバイスにはアップグレード後のアプリのみが含まれます。
  • アップグレード後のアプリで旧バージョンを削除できないものの、新バージョンはインストール可能な場合、デバイスには両方のバージョンのアプリが含まれます。XenMobile Serverでは、旧バージョンの情報は保存されなくなります。
  • 旧バージョンが存在するとアップグレード後のアプリをインストールできない場合、新しいアプリはインストールされまっせん。この場合には、まず[アプリのアンインストール]デバイスポリシーを展開して旧バージョンのアプリを削除します。次に、新しいバージョンのアプリを展開します。

要件

  • Windows 10、バージョン1607(最小バージョン)
  • Windows 10 ProfessionalまたはWindows 10 Enterprise
  • /quietオプションを指定してインストールされたスタンドアロンのWin 32 MSIアプリ。この展開のユースケースでは、Microsoftはアプリを複数含むMSI、ネストされたMSI、対話形式のインストールをサポートしていません。

MSIメタデータを調べる

XenMobileにWin32アプリを追加する場合、そのアプリのメタデータを指定します。メタデータを調べるに、WindowsコンピューターでOrcaアプリケーションを使用し、次の情報を記録します。

  • 製品コード
  • 製品名
  • 製品バージョン
  • パッケージのインストールタイプ(ユーザーごとまたはマシンごと)

XenMobileにWin32アプリを追加する

  1. 構成]>[アプリ] に移動して [エンタープライズ] をクリックし、[アプリ情報]ページにアプリの名前を入力します。

  2. Windowsデスクトップ/タブレット] を除くすべてのプラットフォームのチェックボックスをオフにします。

  3. Windowsデスクトップ/タブレットのエンタープライズアプリ] ページで、[アップロード]をクリックして目的のMSIを選択します。

  4. 次の設定を構成します。

    アプリ構成画面の画像

    • アプリ名: アプリのメタデータに記載されているアプリの名前。
    • 説明: アプリの説明。
    • アプリバージョン: アプリのメタデータに記載されているアプリのバージョン番号。
    • 最小OSバージョン: オプション。アプリを使用するためにデバイスで実行できるオペレーティングシステムの最も古いバージョン。
    • 最大Oバージョン: オプション。アプリを使用するためにデバイスで実行されている必要があるオペレーティングシステムの最も新しいバージョン。
    • 除外するデバイス: オプション。アプリケーションの実行を禁止するデバイスの製造元またはモデル。
    • 製品コード: アプリのメタデータに記載されている、UUID形式のMSIアプリの製品コード。
    • インストールコンテキスト: アプリのメタデータに基づいて、アプリをデバイスとユーザーのどちらにインストールするかを選択します。
    • コマンドライン: MSIEXEC.exeの呼び出しで使用するコマンドラインオプション。
    • 再試行回数: インストールを失敗としてマークするまでにダウンロードおよびインストール操作を試行できる回数。
    • タイムアウト: インストーラーがインストールを失敗して監視を中止するまでインストール処理を実行できる時間(分)。
    • 再試行の間隔: 再試行できるようになるまでの時間(分)。
  5. 必要に応じて、展開ルールとストア設定を指定します。

  6. 概要ページ] が表示されるまで [次へ] をクリックし、[保存]をクリックします。

  7. 構成>デリバリーグループ] に移動して、構成したWin32アプリを必須アプリとして追加します。

  8. 追加したアプリを展開してから、ユーザーにアプリが利用可能になったことを知らせます。

Win32アプリケーションのアップグレード

  1. 前述の「MSIメタデータを調べる」の説明に従い、アプリのメタデータを調べます。
  2. 構成>アプリ] に移動して新バージョンのアプリをアップロードし、[アプリバージョン]を更新します。アプリの製品コードが新バージョンで変更されている場合は、この設定も更新します。
  3. 変更を送信し、アプリを展開します。

Windows 10デスクトップデバイスおよびタブレットデバイス用のADMXファイルのサポート

Windows 10のタブレットとデスクトップのポリシーを構成するときに、Microsoftの管理用テンプレート(ADMX)ポリシーの設定をインポートできるようになりました。ADMXファイルをインポートして設定を構成するには、XenMobileの[アプリ構成]デバイスポリシーを使用します。

  1. XenMobileコンソールで、[構成]>[デバイスポリシー]の順にクリックします。[デバイスポリシー] ページが開きます。

  2. 追加]をクリックします。[新しいポリシーの追加] ページが開きます。

  3. [アプリ]で [アプリ構成] をクリックします。[アプリ構成ポリシー]情報ページが開きます。

  4. [ポリシー情報]ペインで、以下の情報を入力します。

    • ポリシー名: ポリシーの説明的な名前を入力します。
    • 説明: 任意で、ポリシーの説明を入力します。
  5. Windowsデスクトップ/タブレット] を除くすべてのプラットフォームのチェックボックスをオフにして、[次へ]をクリックします。

  6. アプリケーションの種類] で [Win32アプリ] を選択します。

  7. ADMXファイル] で、ポリシーの構成に使用するADMXファイルをインポートします。

    デバイスポリシー構成画面の画像

  8. 追加] をクリックして、構成を追加します。ADMXファイルの構成オプションがページの右側に表示されます。

    デバイスポリシー構成画面の画像

  9. ポリシーパスを選択します。

  10. 有効] を [オン] に設定します。

  11. アプリに必要なその他のオプションを設定します。

    • 一覧の要素の値はキーと値のペアとして入力します。各キーと値のペアおよびそのペア内の値とキーは、テキスト文字列「&#xF000」を使用して区切ります。
    • 小数を入力しなければならない値では、値を特定の範囲に収める必要のある場合があります。
  12. このポリシーにさらに構成を追加する場合は、[追加]をクリックして別のポリシーパスを選択します。手順10および11を繰り返します。

    注: 同じパスを複数回選択すると、直前に選択したバージョンに関連付けられている構成が適用されます。

  13. 次へ] をクリックします。

  14. 展開規則を構成し、デリバリーグループを選択します。

このリリースその他の機能強化

  • VPPアカウントとの強制同期。XenMobileは、VPPライセンスをAppleから定期的に再インポートしてライセンスにすべての変更を反映させています。これに加えて、同期を強制的に行えるようになりました。[設定]>[iOS設定] ページに [同期を強制する] ボタンが追加されました。

クリックして同期の強制を確定すると、XenMobileがVPP情報をインポートします。VPPライセンスの数によっては、インポートに数分かかることがあります。同期が完了すると、XenMobileは [iOS設定] ページを更新し、新規追加された [最後の同期日付] 列の同期日時を更新します。

iOS設定の構成画面の画像

  • Windows 10 RS3のサポート。Windows 10 RS3のスマートフォンとタブレット対応のXenMobile 10.7を認定しました。
  • iOS用のモバイルデバイスポリシーの非文字列フィールドにマクロを使用できるようになりました。XenMobileでは、iOSモバイルポリシーの非文字列フィールド([プロキシサーバーポート]など)の値にマクロを使用できるようになりました。

たとえば、整数を展開する「${device.xyz}」または「${setting.xyz}」などのマクロを使用できます。また、マクロは、[iOSおよびmacOSプロファイルのインポート]デバイスポリシーでXenMobileにインポートしたデバイス構成XMLファイルでもできます。

  • Samsung SAFEデバイスでのアプリの無効化。[制限]デバイスポリシーを使用して、一覧にあるインストール済みアプリがSamsung SAFEデバイスで実行されないようにできます。デフォルトでは、この新しい [アプリケーションを無効化] 設定は [オフ] になっており、アプリは有効になっています。インストール済みのアプリを無効にするには、この設定を [オン] に変更し、[アプリケーション一覧]表で [追加] をクリックしてから、アプリのパッケージ名を入力します。

アプリ一覧を変更して展開すると、以前のアプリ一覧が上書きされます。たとえば、com.example1とcom.example2を無効にしてから、後で一覧をcom.example1とcom.example3に変更すると、XenMobileによりcom.example.2が有効化されます。

デバイスポリシー構成画面の画像

  • macOS用の[OS更新プログラムの制御]デバイスポリシーの状態に関する情報の追加。[管理]>[デバイス]>[デバイスの詳細] ページに、スケジュール済みのOS更新プログラムスキャンの状態、使用可能なOS更新プログラム、スケジュール済みのmacOSとアプリの更新プログラムが表示されるようになりました。追加された状態は次のとおりです。
    • OS 更新プログラムのスキャン スケジュールが送信されました
    • OS 更新プログラムのスキャン スケジュールが確認されました
    • 送信済みの利用可能な OS 更新プログラムの取得
    • 承認済みの利用可能な OS 更新プログラムの取得
    • 送信済み OS 更新プログラムのインストール
    • 承認済みの OS 更新プログラムのインストール

デバイス構成画面の画像

  • オフラインのiOSデバイスまたはmacOSデバイスを到達不可とみなすまでの日数を指定する、新しいサーバープロパティ。iOSまたはmacOSデバイスが以下のサーバープロパティで指定された制限に達すると、XenMobile Serverへの確認が停止されます。両方のプロパティのデフォルトは45日間です。
    • ios.delayBeforeDeclareUnreachable
    • macos.delayBeforeDeclareUnreachable
  • 次のサーバープロパティを変更しても、XenMobile Serverを再起動する必要はありません。
    • デバイスの常時追加(secure.device.add.device.always)
    • 自動ログアウト(secure.device.auto.logout.after)
    • バックグラウンド展開(scheduling.backgrounddeployment)
    • バックグラウンドハードウェアインベントリ(scheduling.background.inventory)
    • ルート化済みAndroidデバイスおよびジェイルブレイク済みiOSデバイスの登録のブロック(secure.device.forbid.jailbroken.iphones.and.rooted.androids)
    • 証明書の書き換え(秒単位)(secure.device.renew.certificate.before)
    • デフォルトの展開チャネル(macos.mdm.deployment.deploymentSplitType)
    • デバイスの三角測量の有効化(zdm.device.triangulation.enable)
    • SSLの強制(secure.device.enforce.ssl)
    • 登録の強制(wsapi.mdm.required.flag)
    • 許可および禁止されたActiveSyncユーザーの完全な抽出(mag.policy.baseline.interval.seconds)
    • 最長デバイスID(zdm.mag.max.device.ids.asked)
    • 許可および禁止されたユーザーの増分変更の抽出(mag.policy.delta.interval.seconds)
    • 認証の保護(secure.device.enforce.strong.authentication)
    • SOAP Webサービス(zdm.ws.soap.otp-service.enabled)
    • 強力な8文字ID(secure.device.strong.id.short)
    • 強力なIDは1回のみ有効(secure.device.strong.id.valid.once)
    • User-Defined Device Properties N
    • Exchangeのユーザーに限定(userOnlyFromExchange)
    • XenMobile MDM Self Help Portalコンソールの最大非アクティブ間隔(分)(zdm.console.max.inactive.interval)

XenMobile Service 10.7.3で解決された問題

XenMobileコンソールでモバイルデバイスポリシーを構成する場合、整数値にマクロを使用すると「ポート整数値を1~65535で入力します。」などのエラーが発生します。[iOSおよびmacOSプロファイルのインポート]デバイスポリシーを使用してデバイス構成XMLファイルをXenMobileにインポートする場合、整数値にマクロを使用すると、「解析エラーが検出されました。選択したファイルは無効であるか、または破損しているiOS構成ファイルです:”org.xml.sax.InputSource@69335cc”」などのエラーが発生します。[CXM-32005]

メッセージおよびウォレットアプリのアプリ通知ポリシーをiOSデバイスに展開すると、一部のオプションが通常どおりに機能しません。たとえば、メッセージアプリとウォレットアプリの通知、およびメッセージアプリのサウンドを無効にできません。これはサードパーティの問題であり、AppleバグID 34591546に該当します。[CXM-37529]

ロケールが「英語 - 南アフリカ」(en-ZA)に設定されているInternet ExplorerでXenMobileコンソールを使用する場合:[管理]>[ユーザー]ページに表示される [最後の認証日時] が正しくありません。[CXM-40028]

一部のAPKファイルをXenMobileコンソールにアップロードすると、「500内部サーバーエラー」が発生して失敗します。[CXM–40333]

構成]>[アプリ] の一覧でAndroid用の[Secure Mail]または[Secure Web]を左クリックしてから [詳細表示] をクリックすると、「構成エラーが発生しました。もう一度試してください。」というエラーが表示されることがあります。[アプリの評価] セクションの [Android] タブは空白になります。[CXM–40334]

通知が別のノードから送信された場合、指定されたプッシュのためにすでに初期化されているノードで、セキュリティアクションが実行されません。[CXM-40418]

更新プログラムとして新しいiOSバージョンのみをダウンロードすると、[デバイス詳細]の[一般設定]の[OS更新プログラムのスケジュール]が空になります。[CXM-41066]

XenMobile Service 10.7.3の既知の問題

Azure環境のみ:iOSデバイスがオフラインのまま7日間を超えた場合、サーバーが再起動されるまでXenMobileサーバーへの確認は行われません。 [CXM-39540]

Windows 10 RS3バージョン1709ビルド16299.19が実行されているデバイスの場合:Citrix ReceiverのADMXファイルをインポートして作成したXenMobileの[アプリ構成]デバイスポリシーを、デバイスにプッシュできないことがあります。[CXM-40521]

XenMobileアプリ構成デバイスポリシーを作成するためにMicrosoft Office 2016 ADMXファイルをインポートすると、次のエラーが表示されることがあります。

「admx/office16.admxの処理中にエラーが発生しました:cvc-complex-type.3.2.3:属性 ‘noSort’が要素に表示されません。」このエラーを回避するには、office16.admxファイルを編集して、「noSort=’true’」というテキスト文字列を削除します。アップロードのためにファイルを再圧縮します。 [CXM-40750]

Citrix ReceiverのADMXファイルをインポートしてXenMobileの[アプリ構成]デバイスポリシーを作成する場合、必須フィールドを指定していなくても、XenMobileでエラーが表示されないことがあります。ポリシーを保存する前に、すべての必須フィールドを指定してください。 [CXM-40664]

一部の大規模なWin32 MSIアプリケーションはインストールされないことがあります。ログには、「Msiアプリケーション受信済み:Reporting:AppPush id:AdbeRdr1000_en_US.msi:コマンドの実行に失敗しました -2147023277」のようなエラーが記録されます。 [CXM-40890]

XenMobile Service 10.7.2

XenMobileの最新バージョンには、次の新機能と拡張機能があります。

登録されたmacOSデバイスでのFileVaultデバイス暗号化

macOSのFileVaultディスク暗号化機能を使用すると、コンテンツを暗号化することでシステムボリュームを保護できます。MacOSデバイスでFileVaultが有効になっていると、ユーザーはデバイスが起動するたびにアカウントパスワードでログインします。ユーザーがパスワードをなくした場合は、復元キーを使用すると、ディスクのロックを解除してパスワードをリセットできます。

XenMobileデバイスポリシー[FileVault]では、FileVaultのユーザー設定画面を有効にし、復元キーなどの設定を構成します。FileVaultについて詳しくは、Appleのサポート記事を参照してください。https://support.apple.com/kb/PH25107

  1. 構成]>[デバイスポリシー] の順にクリックします。[デバイスポリシー] ページが開きます。

  2. 追加]をクリックします。[新しいポリシーの追加] ダイアログボックスが開きます。

  3. FileVault」と入力し、検索結果でこの名前をクリックします。FileVaultの [ポリシー情報] ページが表示されます。

  4. ポリシー情報] ページで以下の情報を入力します。

    • ポリシー名: ポリシーの説明的な名前を入力します。
    • 説明: 任意で、ポリシーの説明を入力します。
  5. 次へ] をクリックしてプラットフォーム設定を構成します。

macOS設定

デバイスポリシー構成画面の画像

  • ログオン時にFileVaultのセットアップを要求:オン] の場合、[FileVault のセットアップをスキップする最大回数]で指定されている次のN回目のログアウト時に、FileVaultを有効にするようユーザーにメッセージが表示されます。[オフ] の場合、FileVaultのパスワードプロンプトは表示されません。

この設定を[ON]にしてFileVaultポリシーを展開すると、ユーザーがデバイスからサインオフしたときに、次の画面が表示されます。画面には、サインオフする前にFileVaultを有効にするオプションが表示されます。

FileVaultユーザー画面の画像

FileVaultのセットアップをスキップする最大回数] の値が0でない場合、この設定をオフにしてFileVaultポリシーを展開すると、ユーザーがサインオンした時に、次の画面が表示されます。

FileVaultユーザー画面の画像

FileVaultのセットアップをスキップする最大回数] の値が0の場合、またはユーザーがセットアップを最大回数スキップした場合は、次の画面が表示されます。

FileVaultユーザー画面の画像

  • FileVaultのセットアップをスキップする最大回数: ユーザーがFileVaultのセットアップをスキップできる最大回数。最大回数に達すると、ユーザーはログインするためにFileVaultを設定する必要があります。0の場合、ユーザーは最初のログイン試行時にFileVaultを有効にする必要があります。デフォルト値は0です。
  • 復元キーの種類: ユーザーがパスワードを忘れた場合、復元キーを入力することでディスクのロックを解除し、パスワードをリセットできます。復元キーのオプションは次の通りです。

    • 個人用復元キー: 個人用復元キーは、ユーザーに固有のものです。FileVaultのセットアップ中に、ユーザーは、復元キーを作成するかiCloudアカウントでディスクのロックを解除するかを選択します。FileVault設定の完了後にユーザーに復元キーを表示するには、[個人用復元キーの表示]を有効にします。キーを表示することで、ユーザーが今後の使用に備えてキーを記録できます。復元キーの管理について詳しくは、Appleのサポート記事(https://support.apple.com/en-us/HT204837)を参照してください。

    • 組織用復元キー: デバイスのロックを解除するために使用できる、組織用(つまりマスター)復元キーとFileVault証明書を作成できます。詳しくは、Appleのサポート記事(https://support.apple.com/en-us/HT202385)を参照してください。XenMobileを使用して、FileVault証明書をデバイスに展開します。詳しくは、「証明書および認証」を参照してください。

    • 個人用復元キーと組織用復元キー: 両方の種類の復元キーを有効にすることで、ユーザーデバイスのロック解除が必要になるのは、ユーザーが個人用復元キーを紛失した場合だけになります。

  • 個人用復元キーの表示:オン] の場合は、デバイスでFileVaultを有効にすると、ユーザーに個人用復元キーが表示されます。デフォルトは [オン] です。

FileVaultユーザー画面の画像

設定の完了後、展開規則を構成しデリバリーグループを選択します。詳しくは、「デバイスポリシーの追加」を参照してください。

iOS向けの新しいCisco AnyConnect VPNクライアントのサポート

Ciscoは、廃止されたVPNフレームワークを基盤とするCisco AnyConnectクライアントを段階的に廃止しており、そのクライアントの名称をCisco Legacy AnyConnectに変更しました。バンドルIDに変更はなく、com.cisco.anyconnect.guiのままとなっています。

Ciscoには、Cisco AnyConnectという新しいクライアントがあります。この新しいクライアントでは内部リソースへの接続の信頼性が向上しており、Per-App VPNを使用するUDPおよびTCPアプリケーションをサポートしています。この新しいクライアントのバンドルIDは、com.cisco.anyconnectです。このCiscoの新しいクライアントは、iOS 10(最小バージョン)をサポートしています。

  • Legacy AnyConnectクライアントを引き続き使用するには: 従来のクライアントを引き続き使用する場合、iOS向けの既存のVPNデバイスポリシーを変更する必要はありません。このポリシーは、Ciscoが従来のクライアントのサポートを段階的に廃止するまで、引き続き機能します。このリリース以降、XenMobile Serverコンソールでは、[接続の種類]オプションの [Cisco AnyConnect] の名称が [Cisco Legacy AnyConnect] に変更されます。
  • 新しいCisco AnyConnectクライアントを使用するには: 新しいCisco AnyConnectクライアントでは、[接続の種類]オプションの [Cisco AnyConnect] を使用して作成されたXenMobile VPNデバイスポリシーは検出されません。

新しいCisco AnyConnectクライアントを使用するには、XenMobile Serverを次のように構成します。

  1. 構成]>[デバイスポリシー] に移動し、iOS用のVPNポリシーを追加します。

  2. VPNポリシー] プラットフォームページで、設定を構成します。次に記載する設定は、Cisco AnyConnectに必要となります。

    • 接続名: Cisco AnyConnect
    • 接続の種類: カスタムSSL
    • カスタムSSL識別子(リバースDNS形式): com.cisco.anyconnect
    • プロバイダーのバンドル識別子: com.cisco.anyconnect
    • プロバイダーの種類: パケットトンネル

    接続の認証の種類] や [Per-app VPNの有効化] などのその他の設定は、ユースケースに応じて異なります。詳しくは、「iOSの設定の構成」の「カスタムSSLプロトコルの構成」を参照してください。

    デバイスポリシー構成画面の画像

  3. 展開規則を構成し、VPNデバイスポリシーのデリバリーグループを選択します。iOSデバイスにそのポリシーを展開します。

  4. https://itunes.apple.com/us/app/cisco-anyconnect/id1135064690?mt=8からCisco AnyConnectクライアントをアップロードし、XenMobile Serverにアプリを追加してから、iOSデバイスにアプリを展開します。

  5. iOSデバイスから古いVPNデバイスポリシーを削除します。

詳しくは、XenMobileの言語サポートの記事(https://support.citrix.com/article/CTX227708)を参照してください。

WindowsデスクトップとタブレットのOS更新の制御

[OS更新プログラムの制御]デバイスポリシーを使用して、監視対象のWindows 10デスクトップデバイスおよびタブレットデバイスにOS更新プログラムを展開できるようになりました。

デバイスポリシー構成画面の画像

これらのWindowsデスクトップ/タブレット設定を構成します。

  • アクティブ時間モードを選択: OSの更新を実行するアクティブ時間の構成モードを、期間指定または開始時刻と終了時刻の組み合わせから選択します。モードを選択すると、[アクティブ時間の最大範囲を指定]設定または [アクティブ時間の開始] と [アクティブ時間の終了] の各設定が追加表示されます。[未構成] を指定した場合、WindowsでいつでもOSの更新を実行できます。デフォルトは、[未構成]です。
  • 自動更新の動作:ユーザーデバイス上のWindows Updateサービスのダウンロード、インストール、再起動の動作を構成します。デフォルトは、[自動でインストールして再起動]です。
    • 更新をダウンロードする前にユーザーに通知する:更新が利用可能な場合、Windowsはユーザに通知します。Windowsが自動で更新プログラムをダウンロードしてインストールすることはありません。ユーザーがダウンロードおよびインストール操作を開始する必要があります。
    • 自動でインストールしてデバイスの再起動スケジュールを通知:Windowsは定額制課金接続で更新プログラムを自動的にダウンロードします。Windowsは、デバイスが使用されておらず、バッテリー電源で動作していない時の自動メンテナンス中に更新をインストールします。自動メンテナンスで2日間更新プログラムをインストールできない場合、Windows Updateは更新プログラムを直ちにインストールします。インストールで再起動が必要な場合、Windowsは再起動時間をスケジュールするようユーザーに求めます。ユーザーは再起動を7日までの範囲でスケジュールする必要があります。7日が経過すると、Windowsはデバイスを強制的に再起動します。ユーザーが開始時刻を制御できるようにすることで、アプリが再起動時に正常にシャットダウンされないことで生じる不慮のデータ損失のリスクを抑えられます。
    • 自動でインストールして再起動: デフォルト設定。Windowsは定額制課金接続で更新プログラムを自動的にダウンロードします。Windowsは、デバイスが使用されておらず、バッテリー電源で動作していない時の自動メンテナンス中に更新をインストールします。自動メンテナンスで2日間更新プログラムをインストールできない場合、Windows Updateは更新プログラムを直ちにインストールします。インストールに再起動が必要な場合、Windowsはデバイスが非アクティブの時にデバイスを自動的に再起動します。
    • 指定した時間に自動でインストールして再起動:このオプションを選択すると、日付と時刻を指定するための詳細設定が表示されます。デフォルトは毎日午前3時です。自動インストールは指定された時刻に行われ、15分のカウントダウン後にデバイスが再起動します。Windowsを再起動する準備ができているときにログインしたユーザーは、15分のカウントダウンを中断して再起動を遅らせることができます。
    • エンドユーザーの制御なしで自動でインストールして再起動: Windowsは定額制課金接続で更新プログラムを自動的にダウンロードします。Windowsは、デバイスが使用されておらず、バッテリー電源で動作していない時の自動メンテナンス中に更新をインストールします。自動メンテナンスで2日間更新プログラムをインストールできない場合、Windows Updateは更新プログラムを直ちにインストールします。インストールに再起動が必要な場合、Windowsはデバイスが非アクティブの時にデバイスを自動的に再起動します。また、このオプションでは、ユーザーコントロールパネルが読み取り専用になります。
    • 自動更新を無効にする:デバイスのWindows自動更新を無効にします。
  • Microsoft Updateからアプリの更新をスキャンする:WindowsがMicrosoft Updateサービスの他のMicrosoftアプリの更新を受け入れるかどうかを指定します。デフォルトは、[未構成]です。
    • 未構成:動作を構成しない場合は、この設定を使用します。Windowsはユーザーデバイス上の関連UIを変更しません。ユーザーは他のMicrosoftアプリの更新を承認または拒否できます。
    • はい:Windowsで、Windows Updateサービスからアプリの更新プログラムをインストールできます。ユーザーデバイス上の関連設定は非アクティブであるため、ユーザーは設定を変更できません。
    • いいえ:Windowsで、Windows Updateサービスからアプリの更新プログラムをインストールすることはできません。ユーザーデバイス上の関連設定は非アクティブであるため、ユーザーは設定を変更できません。
  • 更新分岐の指定: 更新に使用するWindows Updateサービスのブランチを指定します。デフォルトは、[未構成]です。
    • 未構成:動作を構成しない場合は、この設定を使用します。Windowsはユーザーデバイス上の関連UIを変更しません。ユーザーはWindows Updateサービスのブランチを選択できます。
    • 現在のブランチ:Windowsは現在のブランチから更新プログラムを受け取ります。ユーザーデバイス上の関連設定は非アクティブであるため、ユーザーは設定を変更できません。
    • 会社の現在のブランチ:Windowsは会社の現在のブランチから更新プログラムを受け取ります。ユーザーデバイス上の関連設定は非アクティブであるため、ユーザーは設定を変更できません。
  • 機能の更新を保留する日数を構成する:[オン]の場合、Windowsは機能の更新を指定された日数だけ延期し、ユーザーは設定を変更できません。[オフ]の場合、ユーザーは機能の更新を延期する日数を変更できます。デフォルトは、[オフ]です。
  • 機能の更新を保留する日数を構成する:[オン]の場合、Windowsは品質の更新を指定された日数だけ延期し、ユーザーは設定を変更できません。[オフ]の場合、ユーザーは品質の更新を延期する日数を変更できます。デフォルトは、[オフ]です。
  • 品質更新の一時停止:品質の更新を35日間一時停止するかどうかを指定します。デフォルトは、[未構成]です。
    • 未構成:動作を構成しない場合は、この設定を使用します。Windowsはユーザーデバイス上の関連UIを変更しません。ユーザーは35日間、品質の更新を一時停止することができます。
    • はい:Windowsは35日間、Windows Updateサービスからの品質の更新プログラムのインストールを一時停止します。ユーザーデバイス上の関連設定は非アクティブであるため、ユーザーは設定を変更できません。
    • いいえ:Windowsは、Windows Updateサービスからの品質の更新プログラムをインストールを一時停止することはできません。ユーザーデバイス上の関連する設定は非アクティブなので、ユーザーは設定を変更できません。
  • 承認一覧の更新のみを許可:MDMサーバーが承認する更新のみをインストールするかどうかを指定します。XenMobile Serverは現在、更新の承認一覧の設定をサポートしていません。デフォルトは、[未構成]です。
    • 未構成:動作を構成しない場合は、この設定を使用します。Windowsはユーザーデバイス上の関連UIを変更しません。ユーザーは、許可する更新プログラムを選択できます。
    • はい。承認された更新のみをインストールします:承認された更新のみをインストールできます。
    • いいえ。すべての更新をインストールします:該当する更新をデバイスにインストールできます。
  • 内部更新サーバーを使用する:Windows Updateサービスまたは内部更新サーバーからWindows Server Update Services(WSUS)を使用して更新を取得するかどうかを指定します。[オフ]の場合、デバイスはWindows Updateサービスを使用します。[オン]の場合、デバイスは指定されたWSUSサーバーに接続して更新を行います。デフォルトは、[オフ]です。
    • Microsoft以外のエンティティが署名した更新を承認する:Microsoft以外のサードパーティエンティティによって署名された更新を受け入れるかどうかを指定します。この機能を使用するには、デバイスがサードパーティのベンダ証明書を信頼する必要があります。デフォルトは、[オフ]です。
    • Microsoft Updateサービスへの接続を許可する:デバイスがWSUSサーバーから更新プログラムを取得するように構成されている場合でも、デバイス上のWindows更新プログラムをMicrosoft Updateサービスに定期的に接続できるようにします。デフォルトは、[オン]です。
    • WSUSサーバー:WSUSサーバーのサーバーURLを指定します。
    • 更新をホストする代替イントラネットサーバー:更新をホストし、レポート情報を受け取る代替のイントラネットサーバーURLを指定します。

監視対象のWindows 10電話デバイスでのオフラインマップのインストール

Windows 10の電話デバイスでは、オフラインマップがサポートされています。[マップ]デバイスポリシーを使用して、デバイスにダウンロードするマップを指定します。Microsoft Maps構成サービスプロバイダー(CSP)では、現在、ドイツ、英国、および米国のマップがサポートされています。

デバイスポリシー構成画面の画像

XenMobile Service 10.7.2でのそのほかの改善

  • 携帯データ通信プランを使用するiOS 11デバイスの完全なワイプを実行する場合、そのデータ通信プランの保存を選択できます。

    セキュリティ操作画面の画像

  • XenMobileで、Apple VPPまたはDEPトークンの有効期限が近づいているか、期限が切れている場合に、[ライセンスの有効期限の警告]が表示されるようになりました。

    ライセンス有効期限画面の画像

    ライセンス有効期限画面の画像

  • ロケールベースの日時形式。[管理]>[デバイス] ページおよび [管理]>[ユーザー] ページに表示される日時が、ロケールに応じて書式設定されるようになりました。たとえば、2017年10月15日の午後6時は次のように表示されます。


  U.S. (en-US): 10/15/17 06:00:00 pm
  U.K. (en-GB): 15/10/17 18:00:00
  South Africa (en-ZA): 2017/10/15 06:00:00 pm

デバイス構成画面の画像

XenMobile Service 10.7.2で解決された問題

管理]>[デバイス]>[プロパティ] ページ:パスコードポリシーの要件を満たしていないSamsungデバイスでは、[パスコード準拠]プロパティが [はい] に設定されます。[CXM-37948]

構成]>[デバイスポリシー]>[アプリロックポリシー]: ポリシー名を入力して[iOS]ページに移動した後、[アプリバンドルID]メニューにバンドルIDが表示されません。AndroidとiOSとを切り替えると、アプリバンドルIDが表示されます。 [CXM-39302]

更新されたSSLリスナー証明書をXenMobileにインポートすると、「証明書をインポートできませんでした。」というメッセージが表示されます。XenMobile Serverを再起動しても、[証明書]ページとXenMobileデータベースで引き続き古い証明書が参照されます。ただし、Webブラウザーには新しい証明書が表示されます。[CXM-39409]

操作で、登録済みデバイスがSecure Hub未インストール時にコンプライアンス違反としてマークされる場合:Secure Hubをインストール済みのデバイスもコンプライアンス違反としてマークされます。この修正は、次のパターンを持つ操作に適用されています。トリガー:[インストール済みアプリ名][\≠]/[含まない][<アプリ名>]。操作:<5~10>** 分遅れで <操作> を実行する。[CXM-39410]

XenMobile Service 10.7.2の既知の問題

メッセージおよびウォレットアプリのアプリ通知ポリシーをiOSデバイスに展開すると、一部のオプションが通常どおりに機能しません。たとえば、メッセージアプリとウォレットアプリの通知、およびメッセージアプリのサウンドを無効にできません。これはサードパーティの問題であり、AppleバグID 34591546に該当します。 [CXM-37529]

ロケールが「英語 - 南アフリカ」(en-ZA)に設定されているInternet ExplorerでXenMobileコンソールを使用する場合:[管理]>[ユーザー]ページに表示される [最後の認証日時] が正しくありません。 [CXM-40028]

XenMobile Service 10.7.1

XenMobileの最新バージョンには、次の新機能と拡張機能があります。

iOSを実行する監視対象デバイスに対する新しい制限

監視モードで動作するiOSデバイスで、次の制限が使用できるようになりました。各制限がサポートされる最小バージョンを載せています。

  • クラスルームアプリが生徒の画面をリモートで監視することを許可する: この制限が選択されていない場合、講師はクラスルームアプリを使用してリモートで生徒の画面を監視することはできません。デフォルト設定が選択されている場合、講師はクラスルームアプリを使用して生徒の画面を監視できます。[プロンプトを表示せずにクラスルーム アプリがAirPlayと画面表示を実行できるようにする] の設定では、講師に権限を与えるためのプロンプトを生徒に表示するかどうかを決めます。iOS 9.3(最小バージョン)を実行している監視対象デバイスの場合。

  • プロンプトを表示せずにクラスルーム アプリがAirPlayと画面表示を実行できるようにする: この制限が選択されている場合、講師は生徒のデバイスでAirPlayと画面表示を実行でき、権限を求めるプロンプトは表示されません。デフォルト設定では、選択解除されています。iOS 10.3(最小バージョン)を実行している監視対象デバイスの場合。

  • プロンプトを表示せずにクラスルームアプリがアプリとデバイスをロックできるようにする: この制限が [オン] に設定されている場合、クラスルームアプリはユーザープロンプトを表示せず自動的に、アプリに対してユーザーデバイスをロックし、ユーザーデバイスをロックします。デフォルトでは、[オフ]になっています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。

  • プロンプトを表示せずにクラスルームアプリのクラスに自動的に参加する: この制限が [オン] に設定されている場合、クラスルームアプリはユーザーにプロンプトを表示せずに自動的にクラスに参加します。デフォルトでは、[オフ]になっています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。

  • AirPrintを許可: この制限が [オフ] に設定されている場合、ユーザーはAirPrintで印刷できません。デフォルトでは、[オン]になっています。この制限が [オン] の場合、さらに次の制限が表示されます。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。

  • AirPrint資格情報のキーチェーンへの保存を許可する: この制限が選択されていない場合、AirPrintのユーザー名とパスワードはキーチェーンに保存されません。デフォルト設定では選択されています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。

  • iBeaconsを使用したAirPrintプリンターの検出を許可する: この制限が選択されていない場合、AirPrintプリンターのiBeacon検出は無効になります。検出を無効にすると、偽のAirPrint Bluetoothビーコンがネットワークトラフィックでフィッシングされるのを防止できます。デフォルト設定では選択されています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。

  • 信頼された証明書がある出力先に対してのみAirPrintを許可する: この制限が選択されている場合、ユーザーは、信頼された機関からの証明書がある出力先にのみAirPrintを使用して印刷できます。デフォルト設定では、選択解除されています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。

  • VPN構成の追加: この制限が [オフ] に設定されている場合、ユーザーはVPN構成を作成できません。デフォルトでは、[オン]になっています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。

  • 携帯の通信プラン設定の変更: この制限が [オフ] に設定されている場合、ユーザーは携帯の通信プラン設定を変更できません。デフォルトでは、[オン]になっています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。

  • システムアプリの削除: この制限が [オフ] に設定されている場合、ユーザーはデバイスからシステムアプリを削除できません。デフォルトでは、[オン]になっています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。

  • 近くの新しいデバイスをセットアップ: この制限が [オフ] に設定されている場合、ユーザーは近くの新しいデバイスを設定できません。デフォルトでは、[オン]になっています。iOS 11(最小バージョン)を実行している監視対象デバイスの場合。

これらの制限を構成するには、[構成]>[デバイスポリシー]の順に移動します。制限の設定について詳しくは、「制限デバイスポリシー」を参照してください。

デバイスポリシー構成画面の画像

デバイスポリシー構成画面の画像

Samsung Enterprise Firmware-Over-The-Airのサポート

Samsung Enterprise FOTA(E-FOTA)では、デバイスの更新時期や使用するファームウェアのバージョンを決定できます。E-FOTAを使用すると、更新プログラムを展開前にテストして、更新プログラムとアプリとの互換性を確認できます。ユーザーが操作することなく、使用可能な最新のファームウェアバージョンでデバイスを強制的に更新できます。

Samsungは、認定ファームウェアを実行しているSamsung KNOX 2.7.1デバイス(最小バージョン)でE-FOTAをサポートしています。

E-FOTAポリシーを構成するには:

  1. Samsungから受け取ったキーとライセンス情報でSamsung MDMライセンスキーポリシーを作成します。続いてXenMobile Serverによる情報の検証と登録が行われます。

    デバイスポリシー構成画面の画像

    • ELMライセンスキー: このフィールドには、ELMライセンスキーを生成するマクロが入力されています。このフィールドが空白の場合は、「${elm.license.key}」というマクロを入力します。

    • Enterprise FOTA顧客ID]、[Enterprise FOTA ライセンス]、[クライアントID]、[クライアントシークレット]のそれぞれに、E-FOTAパッケージの購入時にSamsungから提供された情報を入力します。

  2. [OS更新プログラムの制御]ポリシーを作成します。

    デバイスポリシー構成画面の画像

    次の設定を構成します。

    • Enterprise FOTAの有効化:[オン]に設定します。
    • Enterprise FOTAライセンスキー: 手順1で作成したSamsung MDMライセンスキーポリシーの名前を選択します。
  3. [OS更新の制御]ポリシーをSecure Hubに展開します。

XenMobile Service 10.7.1でのそのほかの改善

  • 新しいiOSセットアップアシスタントオプション:新機能のハイライト。iOSセットアップアシスタントの項目である [新機能のハイライト] では、配布準備情報画面[Access the Dock from Anywhere]および[Switch Between Recent Apps]を設定します。ユーザーが初めてデバイスを起動したときに、iOSセットアップアシスタントの手順からそれらの配布準備画面を省略するかどうかを選択できます。

新機能のハイライト] は、iOS 11.0(最小バージョン)で利用できます。すべての項目はデフォルトでは選択解除されています。

Apple DEP設定画面の画像

  • macOS VPPアプリ用のXenMobileコンソールインターフェイスは、次のように変更されました。
    • 構成]>[アプリ]で、macOS VPPを基準にしたアプリのフィルタリングが可能になりました。インターフェイスのうち、macOS VPPアプリに適用されない部分は省略されるようになりました。たとえば、macOS用のSecure Hubは提供されていないため、[ストア構成]は表示されません。VPPキーのインポートのオプションは表示されなくなりました。
    • 管理]>[デバイス]の[ユーザープロパティ]に、[VPPアカウントの削除]が含まれています。
  • macOS用の[OS更新プログラムの制御]デバイスポリシー。[OS更新プログラムの制御]ポリシーを使用して、監視されているかApple DEP経由で展開されているmacOSデバイスにOS更新プログラムを展開できるようになりました。

デバイスポリシー構成画面の画像

  • 複数のユーザーがSamsung SAFEデバイスを使用できるようにするオプション。[制限]デバイスポリシーに、[複数ユーザーを許可]というハードウェア制御オプションが追加されました。このオプションは、MDM 4.0以降ではデフォルトで [オフ] に設定されています。
  • 管理]>[デバイス] ページに、Androidデバイスから通知される次のデバイスプロパティが追加されました。

    • キャリアコード(Samsung MDM 5.7以降を実行しているデバイスからのみ通知されます)
    • モデル番号(Samsung MDMバージョン2.0以上を実行しているデバイスからのみ通知されます)
  • 制限]デバイスポリシーに、Androidデバイス上のカメラを無効にするポリシーが追加されました。このポリシーを構成するには、[構成]>[デバイスポリシー]に移動し、[追加]、[制限]の順にクリックします。デフォルトでは、カメラの使用は有効になっています。カメラの使用を無効にするには、[カメラ]設定を [オフ] に変更します。

この機能にはSecure Hub 10.7.5(最小バージョン)が必要です。

デバイスポリシー構成画面の画像

  • 値の種類が整数のデバイスプロパティに基づいて操作を作成する場合に、既存の条件である [] に加えて、[以上]および [以下] を選択できるようになりました。この新しい条件が追加されたデバイスプロパティ値には、[使用できるRAM]および[RAM合計]、[使用できるストレージ領域]および[総ストレージ領域]、[画面サイズ]、[画面解像度]があります。[設定]>[操作] ページで操作を作成します。
  • ログイン/ログアウトパブリックAPIの更新。Citrix Cloudユーザーは、Citrix Cloud APIで取得したトークンを使用して、RESTサービス用XenMobileパブリックAPIにログインできるようになりました。詳しくは、『XenMobile Public API for REST Services』(PDF)のセクション3.3.2「Login (Cloud Credentials)」を参照してください。

XenMobile Service 10.7.1で解決された問題

Apple File System(APFS)が導入されたmacOS High Sierra(10.13ベータ3)を実行する登録済みデバイスで、[ロック]のセキュリティ操作が失敗します。[CXM-35731]

Secure Hubがインストールされていない監視対象のiOSデバイスに[紛失モードを有効化]セキュリティ操作を送信した場合、[検索]ボタンがデバイスに表示されません。[CXM-36106]

管理]>[デバイス]>[アプリ] ページで、インベントリに表示されるBoeing Toolbox Mobile Libraryのバージョン番号が間違っています。[CXM-37514]

iOSユーザーは、Citrix Receiverをバージョン7.2.3に更新できません。[更新プログラムのチェック] をクリックした時に、古いバージョンを使用している場合でも「アプリケーションは最新のバージョンです。」というメッセージが表示されます。[CXM-38114]

RBAC役割に[アプリのワイプ]操作および[アプリのロック]操作へのアクセス権限がない場合:RBAC役割を持つ、Self Help Portalにログインしているユーザーは、[アプリのワイプ]操作および[アプリのロック]操作を実行できます。[CXM-38348]

RBAC権限「ADD/EDIT/DELETE local users and groups」を持つローカルユーザーおよびActive Directoryユーザーは、管理者アカウントを削除することもできます。これらのユーザーがXenMobileコンソールにログインした場合、[管理]>[ユーザー]ページに管理者アカウント用の [編集] および [削除] が表示されます。[CXM-38350]

多数のトランザクションログがディスクスペース制限を超えていることが原因で、スケジュールされたデータベースクリーンアップが失敗します。[CXM-38439]

自動化された操作のトリガーがデバイスプロパティのnull値に基づいている場合、そのデバイスに対して操作が実行されます。たとえば、プラットフォームがiOSでない場合にデバイスをワイプするように操作が設定されている場合、その操作でiOSデバイスがワイプされます。[CXM-38470]

RBACでPKIエンティティと資格情報プロバイダーの役割しかない管理者が、PKIエンティティや資格情報プロバイダーを追加していると、XenMobileコンソールからログアウトされます。この問題を回避するには、管理者のRBACの役割に証明書の権限を追加します。[CXM-38713]

XenMobile Service 10.7.0

重要:XenMobile 10.7にアップグレード後

接続の構成を変更していないのに送信接続に関連した機能が動作しなくなった場合は、XenMobile Serverのログを調べて、「VPPサーバーに接続できません:ホスト名 192.0.2.0 はピアによって提供された証明書のサブジェクトと一致しません」のような内容のエラーが含まれていないかを確認します。

証明書の検証エラーを受信した場合は、XenMobile Serverでホスト名の認証を無効にします。デフォルトでは、Microsoft PKIサーバーを除く送信接続でホスト名の認証が有効です。ホスト名の認証によって展開が損なわれる場合は、サーバープロパティ disable.hostname.verificationtrueに変更します。このプロパティのデフォルト値はfalseです。

XenMobileの最新バージョンには、次の新機能と拡張機能があります。

登録テンプレートのマクロの強化

デバイス登録招待状の登録テンプレートを作成する場合は、次の新しいマクロを使用できます。


${enrollment.urls}
${enrollment.ios.url}
${enrollment.macos.url}
${enrollment.android.url}
${enrollment.ios.platform}
${enrollment.macos.platform}
${enrollment.android.platform}
${enrollment.agent}

これらのマクロを使用すると、複数のデバイスプラットフォームの登録用URLを含む登録テンプレートを作成できます。

次の例は、複数のデバイスプラットフォームの登録用URLを含む通知を作成する方法を示しています。[メッセージ] のマクロは次のとおりです。

${enrollment.urls}

通知テンプレートの設定画面の画像

次の例は、ユーザーに各自のデバイスプラットフォームに当てはまる登録用URLをクリックすることを促す、通知メッセージを作成する方法を示しています。

例1:


To enroll, click the link below that applies to your device platform:

${enrollment.ios.platform} - ${enrollment.ios.url}

${enrollment.macos.platform} - ${enrollment.macos.url}

${enrollment.android.platform} - ${enrollment.android.url}

例2:


To enroll an iOS device, click the link ${enrollment.ios.url}.

To enroll a macOS device, click the link ${enrollment.macos.url}.

To enroll an Android device, click the link ${enrollment.android.url}.

パブリックREST APIの変更

XenMobileのパブリックREST APIを使用して登録招待状を作成する場合、次のことができるようになりました。

  • カスタムPINの指定。登録モードでPINが必要な場合は、XenMobile Serverによってランダムに生成されたPINの代わりに、カスタムPINを使用できます。PINの長さは、該当する登録モードに対して構成された設定に一致する必要があります。デフォルトのPIN長は8です。たとえば、要求に「PIN」: 「12345678」を含めることができます。
  • 複数のプラットフォームの選択。これまでは、REST APIを使用して登録招待状に1つのプラットフォームしか指定できませんでした。「platform」フィールドは廃止されて「platforms」に置き換えられます。たとえば、要求に「”platforms”: [“iOS”, “MACOSX”]」と記載できます。

現在使用できるAPIの全一覧については、『XenMobile Public API for REST Services』(PDF)をダウンロードしてください。

XenMobile Service 10.7.0で解決された問題

VPN接続名にスペース、または英数字以外の文字が含まれると、XenMobileはポリシーをデバイスに展開しません。[CXM-32538]

登録招待状の作成時に、XenMobile REST APIで複数のプラットフォームを選択できません。[CXM-35853]

Apple File System(APFS)が導入されたmacOS High Sierra(10.13ベータ3)を実行する登録済みデバイスで、[完全なワイプ]のセキュリティ操作が失敗します。[CXM-36397]

登録招待状に記載された登録用URLのリンクが、登録用URLの解決に失敗する場合があります。[CXM-37513]

  • この問題を回避するには、登録招待状を作成するときに、選択したプラットフォームと互換性のあるマクロが、選択したテンプレートに含まれていることを確認してください。登録用URLのテンプレートを作成する場合は、次の新しいマクロを使用します。

  ${enrollment.urls}
  ${enrollment.ios.url}
  ${enrollment.macos.url}
  ${enrollment.android.url}
  ${enrollment.ios.platform}
  ${enrollment.macos.platform}
  ${enrollment.android.platform}
  ${enrollment.agent}

  • 以前の${enrollment.url}は、プラットフォームが1つしか選択されていない登録招待状で機能します。

XenMobile CLIを使用してプロキシ除外の一覧を編集してからサーバーを再起動すると、一覧が一部省略された形でCLIに表示されます。この問題は一覧の表示にのみ影響します。[CXM-37812]

トラブルシューティングとサポート]>[マクロ] ページでマクロを送信すると、「マクロ情報を取得できませんでした」という内容のメッセージが表示されます。[CXM-37940]

XenMobile Service 10.7.0の既知の問題

トラブルシューティングとサポート]>[マクロ] ページでマクロを送信すると、「マクロ情報を取得できませんでした」という内容のメッセージが表示されます。 [CXM-37940]