Citrix Endpoint Management

クライアントプロパティ

クライアントプロパティには、ユーザーのデバイスのCitrix Secure Hubに直接提供される情報が含まれています。これらのプロパティを使用して、Citrix PINなどの詳細設定を構成することができます。クライアントプロパティはCitrixサポートから取得します。

クライアントプロパティは、Citrix Secure Hubのリリースごとに変更されるほか、クライアントアプリのリリースで変更されることもあります。一般的に構成されたクライアントプロパティについて詳しくは、「クライアントプロパティリファレンス」を参照してください。

  1. Citrix Endpoint Managementコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。
  2. [クライアント] の下の [クライアントプロパティ] をクリックします。[クライアントプロパティ] ページが開きます。このページでは、クライアントプロパティを追加、編集、または削除できます。

    [クライアントプロパティ]画面

クライアントプロパティを追加するには

  1. [追加] をクリックします。[新しいクライアントプロパティの追加] ページが開きます。

    [クライアントプロパティ]画面

  2. 次の設定を構成します:

    • キー: ドロップダウンリストから、追加するプロパティキーを選択します。重要: 設定を更新する前に、Citrixサポートにご連絡ください。特殊キーを要求できます。
    • 値: 選択したプロパティの値です。
    • 名前: プロパティの名前です。
    • 説明: プロパティの説明です。
  3. [保存] をクリックします。

クライアントプロパティを編集するには

  1. [クライアントプロパティ] の表で、編集するクライアントプロパティを選択します。

    クライアントプロパティの横にあるチェックボックスをオンにすると、クライアントプロパティ一覧の上にオプションメニューが表示されます。一覧で項目をクリックして、その項目の右側にオプションメニューを開きます。

  2. [編集]をクリックします。[クライアントプロパティの編集] ページが開きます。

    [クライアントプロパティ]画面

  3. 必要に応じて以下の情報を変更します。

    • キー: このフィールドは変更できません。
    • 値: プロパティの値です。
    • 名前: プロパティの名前です。
    • 説明: プロパティの説明です。
  4. [保存] をクリックして変更を保存するか、[キャンセル] をクリックしてプロパティを変更せずそのままにします。

クライアントプロパティを削除するには

  1. [Client Properties]の表で、削除するクライアントプロパティを選択します。

    各プロパティの横のチェックボックスをオンにして、削除するプロパティを複数選択できます。

  2. [削除]をクリックします。確認ダイアログボックスが開きます。もう一度 [削除] をクリックします。

クライアントプロパティリファレンス

以下に、Citrix Endpoint Managementの定義済みクライアントプロパティとそのデフォルトの設定を示します:

  • ALLOW_CLIENTSIDE_PROXY

    • 表示名:ALLOW_CLIENTSIDE_PROXY

    • ユーザーがiOS電話で構成したプロキシを使用する必要がある場合は、このカスタムポリシーをデフォルトのtrueに設定したままにします。

      一部のユーザーは既に、デバイスの [設定]>[Wi-Fi]>[プロキシの構成] でプロキシを構成しています。これらのユーザーに対してCitrix Secure Hubが開かない場合は、次のいずれかの操作を実行してもらいます:

      • デバイスからプロキシ構成を削除してから、Citrix Secure Hubを再起動する。
      • デバイスを別のWi-Fiネットワークに接続する。Citrix Secure Hubが再認証されると、ALLOW_CLIENTSIDE_PROXY プロパティを取得して開きます。
    • ALLOW_CLIENTSIDE_PROXYfalseで、ユーザーがデバイス上でプロキシを構成している場合、Citrix Endpoint Managementはプロキシを検出します。ただし、Citrix Secure Hubはプロキシを使用せず、エラーメッセージを表示します。プロキシが有効になっているアクセスポイントまたはルーターにデバイスが接続している場合、Citrix Endpoint Managementはプロキシを検出しません。安全性を最大限に高めるためには、証明書ピン留め機能を使用することをお勧めします。Citrix Secure Hubでの証明書ピン留め機能の有効化については、「証明書ピン留め」を参照してください。

    • このカスタムクライアントポリシーを構成するには、[設定]>[クライアントプロパティ] の順に選択し、カスタムキーALLOW_CLIENTSIDE_PROXYを追加して、[値] を設定します。

  • CONTAINER_SELF_DESTRUCT_PERIOD

    • 表示名: MDX Container Self-Destruct Period
    • 非アクティブな状態で指定の日数を経過すると、自動削除機能により、Citrix Secure Hubおよび管理対象アプリにアクセスできなくなります。指定の期間を過ぎると、アプリを使用できなくなります。データのワイプでは、各インストール済みアプリのアプリデータ(アプリキャッシュ、ユーザーデータなど)が消去されます。

      非アクティブ状態とは、サーバーが一定期間、ユーザーの検証をするための認証要求を受け取っていない状態です。このプロパティが30日であるとします。ユーザーがアプリを30日を超えて使用しない状況が続くと、このポリシーが適用されます。

      このグローバルセキュリティポリシーは、既存のアプリのロックポリシーおよびワイプポリシーの機能拡張であり、iOSおよびAndroidのプラットフォームに適用されます。

    • このグローバルポリシーを構成するには、[設定]>[クライアントプロパティ] の順に選択し、カスタムキーCONTAINER_SELF_DESTRUCT_PERIODを追加します。
    • 値:日数
  • DEVICE_LOGS_TO_IT_HELP_DESK

    • 表示名:Send device logs to IT help desk
    • このプロパティで、ITヘルプデスクへのログ送信機能を有効または無効にします。
    • 設定可能な値:trueまたはfalse
    • デフォルト値:false
  • DISABLE_LOGGING

    • 表示名:Disable Logging
    • このプロパティを使用して、ユーザーが各自のデバイスからログを収集してアップロードすることを防ぎます。このプロパティで、Citrix Secure Hubおよびすべてのインストール済みMDXアプリのログを無効にします。ユーザーが[サポート]ページから任意のアプリのログを送信することはできません。メール作成ダイアログボックスは開きますが、ログは添付されません。ログが無効になっているというメッセージが表示されます。またこの設定により、Citrix Endpoint ManagementコンソールでCitrix Secure HubとMDXアプリのログ設定が更新されるのを防ぎます。

      このプロパティをtrueに設定すると、Citrix Secure Hubによって [アプリケーションログのブロック]trueに設定されます。これによって、新しいポリシーが適用されたときにMDXアプリのログが停止します。

    • 設定可能な値:trueまたはfalse
    • デフォルト値:false(ロギングは有効です)
  • ENABLE_CRASH_REPORTING

    • 表示名:Enable Crash Reporting
    • trueの場合、Citrix Secure Hub for iOSおよびAndroidでの問題のトラブルシューティングを目的として、Citrixによりクラッシュレポートと診断情報が収集されます。falseの場合、データは収集されません。
    • 設定可能な値:trueまたはfalse
    • デフォルト値:true
  • ENABLE_CREDENTIAL_STORE

    • 表示名: Enable Credential Store
    • 資格情報ストアを有効にすると、AndroidおよびiOSのユーザーは、Citrix業務用モバイルアプリにアクセスする場合にパスワードを1度入力するだけで済むようになります。Citrix PINを有効にするかどうかに関係なく、資格情報ストアを使用できます。Citrix PINを有効にしないと、ユーザーはActive Directoryのパスワードを入力します。Citrix Endpoint Managementが資格情報ストアでActive Directoryのパスワードの使用をサポートしているのは、Citrix Secure Hubとパブリックストアアプリに対してのみです。資格情報ストアでActive Directoryのパスワードを使用する場合、Citrix Endpoint ManagementではPKI認証はサポートされません。
    • Citrix Secure Mailでの自動登録では、このプロパティをtrueに設定する必要があります。
    • このカスタムクライアントポリシーを構成するには、[設定]>[クライアントプロパティ] の順に選択し、カスタムキーENABLE_CREDENTIAL_STOREを追加して、[値]trueに設定します。
  • ENABLE_PASSCODE_AUTH

    • 表示名: Enable Citrix PIN Authentication
    • このプロパティを使用すると、Citrix PIN機能を有効にできます。ユーザーは、Citrix PINまたはパスコードにより、Active Directoryパスワードの代わりに使用するPINを定義するように求められます。ENABLE_PASSWORD_CACHINGが有効になっているとき、またはCitrix Endpoint Managementで証明書認証を使用しているときは、この設定が自動的に有効になります。

      オフライン認証では、Citrix PINがローカルで検証されて、要求したアプリやコンテンツへのアクセスがユーザーに許可されます。オンライン認証では、Citrix PINまたはパスコードによってActive Directoryパスワードまたは証明書のロックが解除され、Citrix Endpoint Managementとの認証を実行するために送信されます。

      ENABLE_PASSCODE_AUTHがtrueでENABLE_PASSWORD_CACHINGがfalseの場合、Citrix Secure Hubでパスワードが保存されないため、オンライン認証では常にパスワードの入力が求められます。

    • 設定可能な値:trueまたはfalse
    • デフォルト値:false
  • ENABLE_PASSWORD_CACHING

    • 表示名: Enable User Password Caching
    • このプロパティによって、Active Directoryパスワードをモバイルデバイス上にローカルにキャッシュできます。このプロパティをtrueに設定する場合、ENABLE_PASSCODE_AUTHプロパティをtrueに設定する必要があります。ユーザーパスワードのキャッシュを有効にすると、ユーザーはCitrix PINまたはパスコードを設定するよう求められます。
    • 設定可能な値:trueまたはfalse
    • デフォルト値:false
  • ENABLE_TOUCH_ID_AUTH

    • 表示名: Enable Touch ID Authentication
    • Touch ID認証をサポートするデバイスの場合、このプロパティでデバイスのTouch ID認証を有効または無効にします。要件:

      ユーザーデバイスでは、Citrix PINまたはLDAPを有効にする必要があります。LDAP認証がオフの場合(証明書による認証が使用されている場合など)、ユーザーはCitrix PINを設定する必要があります。この場合、クライアントプロパティの ENABLE_PASSCODE_AUTHfalseであっても、Citrix Endpoint ManagementにCitrix PINが必要になります。

      ENABLE_PASSCODE_AUTHfalseに設定します。これによって、ユーザーがアプリを起動したとき、Touch IDの使用を促すメッセージが表示されます。

    • 設定可能な値:trueまたはfalse
    • デフォルト値:false
  • ENABLE_WORXHOME_CEIP

    • 表示名: Enable Citrix Secure Hub CEIP
    • このプロパティにより、カスタマーエクスペリエンス向上プログラムがオンになります。この機能により、構成および使用データが定期的に、匿名でCitrixに送信されます。このデータは、Citrix Endpoint Managementの品質、信頼性、およびパフォーマンスを向上させる目的で使用させていただきます。
    • 値:trueまたはfalse
    • デフォルト値:false
  • ENCRYPT_SECRETS_USING_PASSCODE

    • 表示名: Encrypt secrets using Passcode
    • このプロパティでは、機密データをプラットフォームベースのネイティブな格納場所(iOSキーチェーンなど)ではなく、デバイスのSecret Vaultに格納します。このプロパティにより、重要なデータの強力な暗号化が可能になるとともにユーザーエントロピーが追加されます。ユーザーエントロピーは、ユーザーが生成した、ユーザーしか知らないランダムなPINコードです。

      ユーザーデバイスのセキュリティを強化するために、このプロパティを有効にすることをお勧めします。これによって、Citrix PINの認証メッセージが増えます。

    • 設定可能な値:trueまたはfalse
    • デフォルト値:false
  • INACTIVITY_TIMER

    • 表示名:Inactivity Timer
    • このプロパティで、ユーザーがデバイスを非アクティブにした後で、Citrix PINまたはパスコードの入力を求められずにアプリにアクセスできる時間を定義します。MDXアプリでこの設定を有効にするには、[アプリのパスコード]設定を[オン]に設定します。[アプリのパスコード]設定を [オフ] に設定すると、ユーザーは完全認証を実行するようCitrix Secure Hubにリダイレクトされます。この設定を変更すると、ユーザーが次回認証を求められたときに値が有効になります。

      iOSでは、Inactivity TimerはMDXアプリとMDX以外のアプリのCitrix Secure Hubへのアクセスにも対応します。

    • 設定可能な値:正の整数
    • デフォルト値:15(分)
  • ON_FAILURE_USE_EMAIL

    • 表示名:On failure Use Email to Send device logs to IT help desk
    • このプロパティで、メールを使用してITにデバイスログを送信する機能を有効または無効にします。
    • 設定可能な値:trueまたはfalse
    • デフォルト値:true
  • PASSCODE_EXPIRY

    • 表示名:PIN Change Requirement
    • このプロパティで、Citrix PINまたはパスコードが有効な期間を定義します。この期間を過ぎると、ユーザーはCitrix PINまたはパスコードを変更する必要があります。この設定を変更すると、現在のCitrix PINまたはパスコードの有効期限が切れた場合のみ、新しい値が設定されます。
    • 設定可能な値:1から99までの間を推奨。PINをリセットする必要がないようにするためには、大きな値に設定してください(例:100,000,000,000)。有効期限を1から99日の間で設定し、その期間中に大きな値に変更した場合、PINは最初に設定した期間の最終日に満期になり、満期がその後に設定されることはありません。
    • デフォルト値:90(日)
  • PASSCODE_HISTORY

    • 表示名:PIN History
    • このプロパティでは、使用済みであり、Citrix PINまたはパスコードの変更時にユーザーが再使用できないCitrix PINまたはパスコードの個数を定義します。この設定を変更すると、ユーザーがCitrix PINまたはパスコードを次回再設定したときに新しい値が設定されます。
    • 設定可能な値:1から99までの間
    • デフォルト値:5
  • PASSCODE_MAX_ATTEMPTS

    • 表示名:PIN Attempts
    • このプロパティで、完全認証が必要になる前に、ユーザーが誤ったCitrix PINまたはパスコードを入力できる回数を定義します。完全認証に成功した後で、ユーザーはCitrix PINまたはパスコードを作成するように求められます。
    • 設定可能な値:正の整数
    • デフォルト値:15
  • PASSCODE_MIN_LENGTH

    • 表示名:PIN Length Requirement
    • このプロパティは、Citrix PINの最小文字数を定義します。
    • 設定可能な値:410
    • デフォルト値:6
  • PASSCODE_STRENGTH

    • 表示名: PIN Strength Requirement
    • このプロパティで、Citrix PINまたはパスコードの強度を定義します。この設定を変更すると、ユーザーは、次回認証を求められたときに、Citrix PINまたはパスコードを作成するように求められます。
    • 設定可能な値:LowMediumHighStrong
    • デフォルト値:Medium
    • PASSCODE_TYPE設定に基づいた、各強度設定のパスワード規則は次のとおりです。

数字パスコードの規則は以下のとおりです。

パスコードの強度 数字パスコードの規則 許可 許可しない
Low すべての数字を任意の順序で使用できます 444444、123456、654321  
Medium(デフォルト設定) すべての番号を同じにしたり連番にしたりすることはできません。 444333、124567、136790、555556、788888 444444、123456、654321
High 隣接する数字を同じにすることはできません。 123512、134134、132312、131313、987456 080080、112233、135579、987745、919199
Strong 同じ数字を3回以上使用しない。3つ以上の連番を続けて使用しない。3つ以上の連番を逆の順序で使用しない。 102983、085085、824673、132312 132132、131313、902030

英数字パスコードの規則は以下のとおりです。

パスコードの強度 英数字パスコードの規則 許可 許可しない
Low 1つ以上の数字と1つ以上の文字が含まれている必要があります aa11b1、Abcd1#、Ab123~、aaaa11、aa11aa AAAaaa、aaaaaa、abcdef
Medium(デフォルト設定) パスコード強度「低」の規則に加えて、文字およびすべての数字を同じにすることはできません。連続した文字および連続した数字は使用できません。 aa11b1、aaa11b、aaa1b2、abc145、xyz135、sdf123、ab12c3、a1b2c3、Abcd1#、Ab123~ aaaa11、aa11aa、またはaaa111; abcd12、bcd123、123abc、xy1234、xyz345、またはcba123
High 1つ以上の大文字、および1つ以上の小文字を含めます。 Abcd12、jkrtA2、23Bc#、AbCd abcd12、DFGH2
Strong 1つ以上の数字、1つ以上の特殊記号、1つ以上の大文字、および1つ以上の小文字を含めます。 Abcd1#、Ab123~、xY12#3、Car12#、AAbc1# abcd12、Abcd12、dfgh12、jkrtA2
  • PASSCODE_TYPE

    • 表示名:PIN Type
    • このプロパティで、数字のCitrix PINまたは英数字パスコードのいずれをユーザーが定義できるようにするのかを定義します。[Numeric]を選択した場合、ユーザーは数字のみを使用できます(Citrix PIN)。[Alphanumeric] を選択した場合、ユーザーは文字と数字の組み合わせを使用できます(パスコード)。

      この設定を変更すると、ユーザーは、次回認証を求められたときに、新しいCitrix PINまたはパスコードを設定する必要があります。

    • 設定可能な値:NumericまたはAlphanumeric
    • デフォルト値:Numeric
  • REFRESHINTERVAL

    • 表示名:REFRESHINTERVAL
    • デフォルトでは、Citrix Endpoint ManagementはAutoDiscovery Server(ADS)のピン留め済み証明書に対して3日ごとにpingを実行します。更新時間を変更するには、[設定]>[クライアントプロパティ]でカスタムキーREFRESHINTERVALを追加して、[値] を時間数に設定します。
    • デフォルト値:72時間(3日)
  • SEND_LDAP_ATTRIBUTES

    • Android、iOS、またはmacOSデバイスをMAM-onlyで展開している場合、電子メール資格情報でCitrix Secure Hubに登録したユーザーがCitrix Secure Mailに自動的に登録されるようにCitrix Endpoint Managementを構成できます。これにより、ユーザーが追加の情報を入力したり、Citrix Secure Mailに登録するための追加の手順を実行する手間が省かれます。
    • このグローバルクライアントポリシーを構成するには、[設定]>[クライアントプロパティ] の順に選択し、カスタムキーSEND_LDAP_ATTRIBUTESを追加して、[値] を以下のように設定します。
    • 値:userPrincipalName=${user.userprincipalname},sAMAccountNAme=${user.samaccountname}, displayName=${user.displayName},mail=${user.mail}
    • MDMポリシーと同様、属性値はマクロとして指定されます。
    • このプロパティのアカウントサービスレスポンスのサンプルを以下に示します。

      <property value="userPrincipalName=user@site.com,sAMAccountName=eng1,displayName=user\,test1,email=user@site.com\,user@site.com" name="SEND_LDAP_ATTRIBUTES"/>

    • このプロパティでは、Citrix Endpoint Managementはコンマ文字を文字列の終わりとして扱います。そのため、属性値にコンマが含まれる場合は、コンマの前にバックスラッシュを置きます。バックスラッシュは、含まれているコンマがクライアントによって属性値の末尾と解釈されるのを防ぎます。バックスラッシュ文字は「"\\"」と表します。
  • HIDE_THREE_FINGER_TAP_MENU

    • このプロパティが設定されていないか、または falseに設定されている場合、ユーザーはデバイスで3本指タップすることで隠し機能メニューにアクセスできます。隠し機能メニューによって、アプリケーションデータをリセットできます。このプロパティをtrueに設定すると、ユーザーは隠し機能メニューにアクセスできなくなります。
    • このグローバルクライアントポリシーを構成するには、[設定]>[クライアントプロパティ] の順に選択し、カスタムキー HIDE_THREE_FINGER_TAP_MENUを追加して、[値] を設定します。
  • TUNNEL_EXCLUDE_DOMAINS

    • 表示名:Tunnel Exclude Domains
    • デフォルトでは、MDXは、Mobile Apps SDKおよびアプリが各種機能で使用する一部のサービスエンドポイントを、Micro VPNトンネルから除外します。たとえば、このようなエンドポイントには、社内ネットワークを経由する必要がない、Google Analytics、Citrix Cloudサービス、Active Directoryサービスなどのサービスが含まれます。このクライアントプロパティを使用して、除外対象ドメインのデフォルトの一覧を上書きします。
    • このグローバルクライアントポリシーを構成するには、[設定]>[クライアントプロパティ] の順に選択し、カスタムキーTUNNEL_EXCLUDE_DOMAINSを追加して、[値]を設定します。
    • 値:デフォルトの一覧をトンネルから除外するドメインで置き換えるには、ドメインサフィックスのコンマ区切りの一覧を入力します。すべてのドメインをトンネルに含めるには、「none」と入力します。デフォルトは:

      app.launchdarkly.com,cis.citrix.com,cis-staging.citrix.com,cis-test.citrix.com,clientstream.launchdarkly.com,crashlytics.com,events.launchdarkly.com,fabric.io,firehose.launchdarkly.com, hockeyapp.net,mobile.launchdarkly.com,pushreg.xm.citrix.com,rttf.citrix.com,rttf-staging.citrix.com,rttf-test.citrix.com,ssl.google-analytics.com,stream.launchdarkly.com,features.netscalergatewaystaging.net,features.netscalergateway.net

以下に、Citrix Endpoint Managementのクライアントプロパティを示します:

ENABLE_MAM_NFACTOR_SSO:

  • このプロパティを使用すると、NetScaler Gatewayで高度な認証ポリシーを使用している場合、MAMの登録中またはSecure Hubへのログイン中にMAM nFactor SSOを有効または無効にすることができます。値がtrueに設定されている場合、MAMの登録中またはSecure Hubへのログイン中にMAM nFactor SSOが有効になります。
  • このプロパティを構成するには、[設定]>[クライアントプロパティ] に移動し、[追加] をクリックします。[キー] ドロップダウンメニューで [カスタム キー] を選択し、必要に応じて次の情報を更新します:

    • キー - ENABLE_MAM_NFACTOR_SSO
    • 値 - true or false
    • 名前 - ENABLE_MAM_NFACTOR_SSO
    • 説明 - 関連する説明を追加します
クライアントプロパティ