自動化された操作
Citrix Endpoint Managementで自動化された操作を作成し、次に対する反応をプログラムします:
- イベント
- ユーザーまたはデバイスのプロパティ
- ユーザーデバイス上のアプリの存在
自動化された操作を作成する場合は、操作に対して定義したトリガーによって、ユーザーのデバイスがCitrix Endpoint Managementに接続したときにそのデバイス上で何が起きるかが決まります。イベントがトリガーされたときに、より深刻な操作が実行される前に問題を修正するよう、ユーザーに通知を送信できます。
自動的に発生する効果は、次の範囲から設定します:
- デバイスに選択的ワイプまたは完全なワイプを実行する。
- デバイスをコンプライアンス違反に設定する。
- デバイスを取り消す。
- より深刻な操作が実行される前に問題を修正するよう、ユーザーに通知を送信する。
MAMのみモードでのアプリロックとアプリワイプ操作を構成できます。
自動化された操作により、Azure Active Directory(AD)に参加しているWindows 10およびWindows 11デバイスを、Azure ADでコンプライアンス違反としてマークできます。
注:
ユーザーに通知するには、Citrix Endpoint Managementがメッセージを送信できるように、Citrix Endpoint Managementの設定で通知サーバー(SMTP)を構成している必要があります。詳しくは、「通知」を参照してください。また、続行する前に使用予定の通知テンプレートを設定します。詳しくは、「通知」を参照してください。「通知テンプレートの作成および更新」を参照してください。
操作の例
自動化された操作の使用例を次に示します:
例1
- 以前に禁止したアプリ(例:「Words with Friends」)を検出するとします。「Words with Friends」アプリが検出された場合に、ユーザーデバイスをコンプライアンス違反に設定するトリガーを指定できます。この操作では次に、そのアプリを削除して、デバイスが再度コンプライアンス遵守状態に戻す必要があることがユーザーに通知されます。ユーザーが遵守するのを待つ時間を設定することもできます。その期限が過ぎると、デバイスの選択的なワイプなどの定義された操作が実行されます。
例2
- 顧客が最新のファームウェアを使用しているかどうかを確認し、ユーザーがデバイスを更新する必要がある場合はリソースへのアクセスを禁止するとします。ユーザーのデバイスに最新バージョンがない場合に、ユーザーデバイスをコンプライアンス違反に設定するトリガーを指定できます。自動化された操作を使用して、リソースを禁止して、顧客に通知します。
例3
- ユーザーデバイスがコンプライアンス違反状態になり、ユーザーがそのデバイスを修正します。ポリシーを構成して、デバイスをコンプライアンス準拠状態へとリセットするパッケージを展開できます。
例4
-
一定期間非アクティブであったユーザーデバイスをコンプライアンス違反としてマークするとします。次のように、非アクティブなデバイスの自動化された操作を作成できます:
- Citrix Endpoint Managementコンソールで、[設定]>[ネットワークアクセス制御]をクリックし、[非アクティブデバイス] を選択します。[非アクティブデバイス] 設定について詳しくは、「ネットワークアクセス制御」を参照してください。
- 「操作の追加と管理」で概説されている手順に従って、操作を追加します。唯一の違いは、[操作の詳細]ページで次のように設定を構成することです:
- トリガー。[デバイスプロパティ]、[コンプライアンス違反]、[真]を選択します。
- 操作。[通知を送信]を選択し、[設定]の [通知テンプレート] を使用して、作成したテンプレートを選択します。次に、操作を実行するまでの遅延を日、時間、または分単位で設定します。ユーザーがトリガーの問題に対処するまで、操作が繰り返される間隔を設定します。
ヒント:
非アクティブデバイスを一括で削除するには、Citrix Endpoint Management Public REST APIを使用します。まず、削除する非アクティブなデバイスのデバイスIDを手動で取得してから、この削除APIを実行してそれらを一括で削除します。
操作の追加と管理
自動化された操作を追加、編集、フィルタリングするには:
-
Citrix Endpoint Managementコンソールで、[構成]>[アクション] の順にクリックします。[操作] ページが開きます。
-
[アクション] ページで、次のいずれかを行います:
- [追加] をクリックして操作を追加します。
- 編集または削除する既存の操作を選択します。使用するオプションをクリックします。
-
[アクション情報] ページが開きます。
-
[アクション情報] ページで、次の情報を入力または変更します:
- 名前: 操作を識別する名前を入力します。このフィールドは必須です。
- 説明: 操作の意図する内容を説明します。
-
[次へ] をクリックします。[アクションの詳細] ページが開きます。
次の例はイベントトリガーの設定方法を示しています。別のトリガーを選択した場合、この図で示されているものとは異なるオプションになります。
-
[アクションの詳細] ページで、次の情報を入力または変更します:
[トリガー] 一覧で、この操作に対するイベントトリガーの種類をクリックします。次のいずれかのトリガーを選択します:
- イベント: デバイスのステータスが選択した非準拠イベントと一致するかどうかを確認して、それに対応します。
- デバイスプロパティ: MDM管理のデバイスのデバイス属性が特定の値か確認して、それに対応します。詳しくは、「デバイスのプロパティ名と値」(PDF)を参照してください。
- ユーザープロパティ: ユーザー属性(通常、Active Directoryからの属性)の特定の値に対応します。
- インストールされているアプリ名: インストール中のアプリに対応します。MAMのみモードには適用されません。デバイスでアプリインベントリポリシーを有効にする必要があります。デフォルトでは、アプリインベントリポリシーはすべてのプラットフォームで有効です。詳しくは、「アプリインベントリデバイスポリシー」を参照してください。
- ポリシーの戻り値: PowerShellスクリプトからの戻り値が特定の論理条件を満たしているかを確認します。Windowsエージェントポリシーを有効にして、構成済みにする必要があります。Windowsエージェントポリシーについて詳しくは、「Windowsエージェントのデバイスポリシー」を参照してください。
-
次の一覧で、トリガーに対する応答をクリックします。
-
[アクション] の一覧で、トリガーの条件が満たされたときに実行される操作をクリックします。[通知を送信] アクション以外では、トリガーの原因となった問題をユーザーが解決できる期間を選択します。その期間内に問題が解決されない場合は、選択した操作が実行されます。操作の定義については、「セキュリティ操作」を参照してください。
[通知を送信] を選択した場合は、次の手順を実行して通知を送信します。
-
次の一覧で、通知に使用するテンプレートを選択します。選択したイベントに関連する通知テンプレートが表示されます。通知の種類のテンプレートがない場合、テンプレートの構成を促す次のメッセージが表示されます:このイベントの種類用のテンプレートはありません。[設定] の通知テンプレートを使用してテンプレートを作成します。
ユーザーに通知するには、[設定]>[通知サーバー]を使用してSMTPの設定を構成し、Citrix Endpoint Managementがメッセージを送信できるようにします。「通知」を参照してください。また、続行する前に、[設定]>[通知テンプレート] を使用して、使用予定の通知テンプレートを設定します。「通知テンプレートの作成および更新」を参照してください。
テンプレートを選択した後、[通知メッセージのプレビュー]をクリックします。
-
次のフィールドでは、操作を実行するまでの遅延を日、時間、または分単位で設定します。ユーザーがトリガーの問題に対処するまで、操作が繰り返される間隔を設定します。
-
[概要] で、意図したとおりに、自動化された操作を作成したことを確認します。
-
操作の詳細を構成したら、プラットフォームごとに個別に展開規則を構成できます。これを行うには、選択した各プラットフォームに対して、手順13を実行します。
-
展開規則を構成します展開規則の構成に関する一般情報については、「リソースの展開」を参照してください。
この例の場合:
- デバイスの所有権はBYODでなければなりません。
- デバイスはパスコードに準拠している必要があります。
- デバイスのモバイル国コードをAndorraのみにすることはできません。
-
操作のプラットフォームの展開規則の構成が完了したら、[次へ] をクリックします。アクション割り当てのページが開きます。ここで操作をデリバリーグループに割り当てます。この手順はオプションです。
-
[デリバリーグループを選択] の横にデリバリーグループを入力して検索するか、一覧でグループを選択します。選択したグループが [アプリ割り当てを受信するためのデリバリーグループ] 一覧に表示されます。
-
[展開スケジュール] を展開して以下の設定を構成します:
-
[展開] の横の [オン] をクリックすると展開がスケジュールされ、[オフ] をクリックすると展開が行われません。デフォルトのオプションは、[オン]です。[オフ] を選択した場合、そのほかのオプションは必要はありません。
-
[Deployment schedule]の横の[Now]または[Later]をクリックします。デフォルトのオプションは、[Now] に設定されています。
-
[あとで] をクリックした場合は、カレンダーアイコンをクリックして展開日時を選択します。
-
[展開状態] の横の [接続するたび] をクリックするか、[以前の展開が失敗した場合のみ] をクリックします。デフォルトのオプションは、[On every connection]です。
-
[常時接続に対する展開] の横の [オン] または [オフ] をクリックします。デフォルトのオプションは、[オフ]です。
このオプションは、[設定]>[サーバープロパティ] において、バックグラウンドで展開するキーのスケジュールを構成した場合に適用されます。
注:
このオプションは、[設定]>[サーバープロパティ] において、バックグラウンドで展開するキーのスケジュールを構成した場合に適用されます。
常時接続オプション:
- iOSデバイスでは使用できません。
- AndroidおよびAndroid Enterprise上でCitrix Endpoint Managementの使用をバージョン10.18.19以降のバージョンで始めた顧客は、使用できません
- AndroidおよびAndroid Enterprise上でCitrix Endpoint Managementの使用をバージョン10.18.19より前のバージョンで始めた顧客には、お勧めしません。
構成した展開スケジュールはすべてのプラットフォームについて同一です。すべてのプラットフォームに変更が適用されます。ただし、[常時接続に対する展開] は適用されません。
-
-
[次へ] をクリックします。[概要] ページが開きます。ここで操作の構成を確認できます。
-
[保存] をクリックして変更を保存します。
MAMのみモードでのアプリロックとアプリワイプ操作
Citrix Endpoint Managementコンソールに一覧表示されたトリガーの4種類のカテゴリすべてについて、デバイスでアプリをワイプまたはロックできます:トリガーの種類は、「イベント」、「デバイスプロパティ」、「ユーザープロパティ」、「インストール済みアプリ名」です。
自動でアプリのワイプまたはロックを構成するには
-
Citrix Endpoint Managementコンソールで、[構成]>[アクション] の順にクリックします。
-
[アクション] ページで、[追加] をクリックします。
-
[アクション情報] ページで、アクションの名前および任意で説明を入力します。
-
[アクションの詳細] ページで、目的のトリガーを選択します。
-
[アクション] でアクションを選択します。
この段階で、以下の条件に注意してください:
トリガーの種類が [イベント] で値が [Active Directory無効ユーザー] ではない場合、[アプリのワイプ] および [アプリのロック] アクションは表示されません。
トリガーの種類が [デバイスプロパティ] で値が [MDMの紛失モードが有効になっています] である場合、次のアクションは表示されません:
- デバイスを選択的にワイプ
- デバイスを完全にワイプ
- デバイスを取り消す
各オプションでは、自動で1時間の遅延が設定されていますが、遅延の期間は分単位、時間単位、日数単位を選択できます。遅延の目的は、アクションが発生する前に問題を修正する時間をユーザーに与えることです。[アプリのワイプ]および[アプリのロック]アクションの詳細については、「セキュリティ操作」を参照してください。
注:
トリガーを [イベント] に設定すると、繰り返し間隔は自動的に最小1時間となります。通知を生成するには、デバイスはポリシーの更新を実行して、サーバーと同期する必要があります。通常、ユーザーのサインオン時、またはCitrix Secure Hubでポリシーを手動で更新すると、デバイスはサーバーと同期します。
Active DirectoryデータベースとCitrix Endpoint Managementとの同期を許可するアクションが実行される前に、さらに約1時間、遅延を追加できます。
-
展開規則を構成して、[次へ] をクリックします。
-
デリバリーグループの割り当てと展開スケジュールを構成して、[次へ] をクリックします。
-
[保存] をクリックします。
アプリロックとアプリワイプの状態を確認するには
-
[管理]>[デバイス] に移動し、デバイスをクリックしてから [詳細表示] をクリックします。
-
[デバイスのアプリのワイプ] および [デバイスのアプリのロック] までスクロールします。
デバイスがワイプされると、PINコードの入力を要求するメッセージがユーザーに表示されます。ユーザーがコードを忘れた場合は、[デバイス詳細]で確認できます。
Azure ADでWindows 10およびWindows 11デバイスをコンプライアンス違反としてマーキング
Azure ADに参加しているWindows 10およびWindows 11デバイスが、Citrix Endpoint Managementによってコンプライアンス違反としてマークされている場合は、Azure ADでコンプライアンス違反のマークを付けることもできます。この機能を有効にするには、Azure ADポータルのMicrosoft Graph APIにアクセスする権限をオンプレミスMDMアプリケーションに追加します。
-
Azure AD管理者の資格情報でAzure ADポータルにログインします。
-
Azure ADポータルで [Azure Active Directory]>[Mobility(MDM and MAM)] に移動します。[On-premises MDM application] を選択します。
-
[On-premises Application Settings]>[Required Permissions]>[Add]>[Select an API]>[Microsoft Graph] をクリックします。[Select] をクリックして保存します。
-
[Required permissions] で [Microsoft Graph] を選択します。[Enable Access] で [Read and write directory data] を選択します。
-
[Required permissions] で [Microsoft Graph] を選択します。次に [Grant permissions] をクリックします。
-
[Yes] をクリックして権限を付与します。
Windows 10およびWindows 11を起動しているAzure AD登録済みデバイスがコンプライアンス違反としてマークされると、Citrix Endpoint ManagementはそのデバイスをAzure ADでもコンプライアンス違反としてマークします。
Windowsエージェントのデバイスポリシーを使用した自動化された操作の作成
Windowsエージェントのデバイスポリシーを使用して、管理されたWindowsデスクトップおよびタブレットでレジストリ値を監視するスクリプトを展開します。スクリプトの戻り値を基にして、自動化された操作を構成して実行できます。
-
Windowsエージェントのデバイスポリシーを構成し、スクリプトの戻り値を確認します。Windowsエージェントのデバイスポリシーについて詳しくは、「Windowsエージェントのデバイスポリシー」を参照してください。
上記の記事とこのセクションには
EntApp_2019_checkFirewall
というスクリプトのサンプルが含まれています。関連するWindowsエージェントのデバイスポリシーでcName_checkFirewall
という名前の構成を定義します。この構成は、サンプルスクリプトを実行します。「Windowsエージェントのデバイスポリシー」で説明されているとおり、デバイス上でスクリプトが実行された後、ユーザーは操作の作成に必要な情報を取得します。
- Citrix Endpoint Managementコンソールで、[構成]>[アクション] の順にクリックします。
- [アクション] ページで、[追加] をクリックします。
- [アクション情報] ページで、アクションの名前および任意で説明を入力します。
-
[アクションの詳細] ページで、[ポリシーの戻り値] トリガーを選択します。
-
表示されたフィールドで、トリガーとアクションを定義します:
- Windowsエージェント設定: 作成したWindowsエージェントポリシーのポリシー名、構成名、キー名を入力します。
- ドロップダウンメニュー: [=]、[≠]、[含む]、または [含まない] を選択します。この論理は次のフィールドに適用され、論理が適用されるとアクションがトリガーされます。
- 文字列を入力: ポリシーでアップロードされたPowerShellスクリプトを実行した結果の文字列を入力します。この文字列について詳しくは、「Windowsエージェントのデバイスポリシー」を参照してください。
- アクション: アクション、アクションの値を選択して、アクションの解決に必要な時間を選択します。
この例では、キー名
firewallEnabled
が値true
を返す場合、次のアクションによって、デバイスがコンプライアンス内としてマークされます。この例では、キー名
firewallEnabled
が値false
を返す場合、次のアクションによって、デバイスがコンプライアンス違反としてマークされます。 - 必要に応じて展開スケジュールを設定し、デリバリーグループを選択します。