iOS
Citrix Endpoint ManagementでiOSデバイスを管理するには、AppleからApple Push Notificationサービス (APNs) 証明書を設定します。詳しくは、「APNs証明書」を参照してください。
-
登録プロファイルは、iOSデバイスがMDM+MAMに登録されるかどうかを決定し、ユーザーがモバイルデバイス管理 (MDM) からオプトアウトするオプションを提供します。Citrix Endpoint Managementは、MDM+MAMのiOSデバイスに対して次の認証タイプをサポートしています。詳しくは、次の記事を参照してください。
- ドメインまたはドメインとセキュリティトークン認証
- クライアント証明書または証明書とドメイン認証
iOS 13での信頼された証明書の要件:
AppleはTLSサーバー証明書に新しい要件を設けています。すべての証明書がAppleの新しい要件に準拠していることを確認してください。Appleの公開情報https://support.apple.com/en-us/HT210176を参照してください。証明書の管理については、「証明書のアップロード」を参照してください。
iOSデバイス管理を開始するための一般的なワークフローは次のとおりです。
-
オンボーディングプロセスを完了します。「オンボーディングとリソースのセットアップ」および「デバイスの登録とリソースの配信の準備」を参照してください。
-
登録方法を選択して構成します。「サポートされている登録方法」を参照してください。
-
デバイスとアプリのセキュリティアクションを設定します。「セキュリティアクション」を参照してください。
-
サポートされているオペレーティングシステムについては、「サポートされているデバイスオペレーティングシステム」を参照してください。
-
iOS 14の互換性
Citrix Endpoint ManagementとCitrixモバイルアプリはiOS 14と互換性がありますが、現在のところ新しいiOS 14の機能はサポートしていません。
監視対象iOSデバイスの場合、ソフトウェアアップグレードを最大90日間延期できます。iOSの制限デバイスポリシーで、次の設定を使用します。
- ソフトウェアアップデートの遅延を強制
- ソフトウェアアップデートの遅延を適用
「iOS設定」を参照してください。これらの設定は、ユーザー登録モードまたは非監視 (フルMDM) モードのデバイスでは利用できません。
開放しておく必要があるAppleホスト名
iOS、macOS、およびApple App Storeの適切な動作を確保するために、一部のAppleホスト名を開放しておく必要があります。これらのホスト名をブロックすると、iOS、iOSアプリ、MDMの操作、およびデバイスとアプリの登録のインストール、更新、および適切な動作に影響を与える可能性があります。詳しくは、https://support.apple.com/en-us/HT201999を参照してください。
サポートされている登録方法
-
登録プロファイルでiOSデバイスの管理方法を指定します。次の登録設定から選択できます。
-
Appleユーザー登録: BYODデバイスの場合、個人データのプライバシーと企業データのセキュリティのバランスを提供します。この登録モードはパブリックプレビューとして利用可能です。この機能を有効にするには、サポートチームにお問い合わせください。
- Appleデバイス登録: 監視対象iOSデバイスの場合、デバイス上に個別の個人プロファイルと企業プロファイルを作成します。
- デバイスを管理しない: アプリのみを管理したい場合は、これらのデバイスをMDMから除外します。
登録プロファイルの作成について詳しくは、「登録プロファイル」を参照してください。
Citrix Endpoint Managementは、iOSデバイスに対して次の登録方法をサポートしています。
| 方法 | サポート | |
|---|---|---|
| - | Apple Business Manager | はい |
| Apple School Manager | はい | |
| Apple Configurator | はい | |
| 手動登録 | はい | |
| 登録招待 | はい |
- Apple Deployment Programsには、企業組織向けのApple Business Manager (ABM)と、教育機関向けのApple School Manager (ASM)が含まれます。詳細については、「[Apple Deployment Programsによるデバイスの展開](/ja-jp/citrix-endpoint-management/device-management/apple/apple-deployment-program.html)」を参照してください。
- Apple School Managerは、教育機関向けApple Deployment Programの一種です。「[Apple Education機能との統合](/ja-jp/citrix-endpoint-management/device-management/apple/integrate-with-apple-education.html)」を参照してください。
- Apple Deployment Programsを使用して、iOS、iPadOS、およびmacOSデバイスを一括登録できます。これらのデバイスは、Apple、参加しているApple正規販売店、または通信事業者から直接購入できます。Appleから直接iOSデバイスを購入した場合でも、Apple Configuratorを使用してそれらのデバイスを登録できます。「[Appleデバイスの一括登録](/ja-jp/citrix-endpoint-management/device-management/apple/ios-bulk-enrollment.html)」を参照してください。
管理対象Apple ID
ユーザー登録は、管理対象Apple IDと密接に統合されています。ABM/ASMを使用して手動で、またはAzure Active Directory (AAD)で動的に、管理対象Apple IDを作成できます。
フェデレーション認証を使用しない場合は、ABM/ASMを使用して管理対象Apple IDを作成し、アカウントを追加します。ABM/ASMでアカウントを追加する方法については、Appleのドキュメント(ABMは<https://support.apple.com/guide/apple-business-manager/welcome/web>、ASMは<https://support.apple.com/guide/apple-school-manager/welcome/web>)を参照してください。ユーザーが登録する際の追加手順を避けるため、以下をお勧めします。
- 管理対象Apple IDを作成する際は、会社のメールアドレスと一致するメールアドレスを使用します。
- ユーザーの役割を**スタッフ**に設定します。
- ユーザーに登録前に手動でパスワードを変更させます。会社のパスワードと同じパスワードを使用することをお勧めすることをユーザーに伝えます。
- 管理対象Apple IDを動的に作成するには、Citrix Cloudを構成して、AADをIDプロバイダーとして使用します。Citrix CloudでAADを使用するように構成する方法の詳細については、「[Citrix Cloudを介したAzure Active Directoryによる認証](/ja-jp/citrix-endpoint-management/authentication/authentication-with-azure-active-directory-through-citrix-cloud.html)」を参照してください。また、ABM/ASMでフェデレーション認証を構成します。ABMまたはASMでフェデレーション認証を構成する方法の詳細については、「[Apple Business Managerユーザーガイド](https://support.apple.com/guide/apple-business-manager/welcome/web)」および「[Apple School Managerユーザーガイド](https://support.apple.com/guide/apple-school-manager/welcome/web)」を参照してください。
- 管理対象Apple IDを手動で作成する場合、デフォルトドメインの代わりにカスタムドメインを使用するように構成できます。構成したカスタムドメインは、既存のドメインを置き換えます。たとえば、会社のメールアドレスの形式が`first.last@company.com`であるとします。しかし、管理対象Apple IDのドメインとして`mycompany.website.com`を使用したいとします。ABM/ASMで管理対象Apple IDを作成すると、メールアドレスは`first.last@mycompany.website.com`になります。
- ### iOSデバイスの手動追加
- テスト目的などでiOSデバイスを手動で追加する場合は、次の手順に従います。
-
Citrix Endpoint Managementコンソールで、[管理] > [デバイス] をクリックします。[デバイス] ページが表示されます。
-
[追加] をクリックします。[デバイスの追加] ページが表示されます。
-
次の設定を構成します。
- プラットフォームの選択: [iOS] をクリックします。
- シリアル番号: デバイスのシリアル番号を入力します。
-
[追加] をクリックします。[デバイス] テーブルに、リストの最後にデバイスが追加されて表示されます。デバイスの詳細を表示して確認するには、追加したデバイスを選択し、表示されるメニューで[編集] をクリックします。
注:
デバイスの横にあるチェックボックスを選択すると、デバイスリストの上にオプションメニューが表示されます。リスト内の他の場所をクリックすると、オプションメニューがリストの右側に表示されます。
-
LDAPが構成されていること
-
ローカルグループとローカルユーザーを使用している場合:
-
1つ以上のローカルグループがあること。
-
ローカルグループに割り当てられたローカルユーザーがいること。
-
デリバリーグループはローカルグループに関連付けられています。
-
-
Active Directory を使用している場合:
- デリバリーグループは Active Directory グループに関連付けられています。
-
-
-
[全般] ページには、シリアル番号やプラットフォームタイプに関するその他の情報など、デバイスの識別子が一覧表示されます。[デバイスの所有権] では、[会社所有] または [BYOD] を選択します。
[全般] ページには、強力なID、デバイスのロック、アクティベーションロックのバイパスなど、プラットフォームタイプに関するその他の情報など、デバイスのセキュリティプロパティも一覧表示されます。[デバイスの完全ワイプ] フィールドには、ユーザーのPINコードが含まれています。デバイスがワイプされた後、ユーザーはそのコードを入力する必要があります。ユーザーがコードを忘れた場合は、ここで確認できます。
-
- [プロパティ] ページには、Citrix Endpoint Management がプロビジョニングするデバイスプロパティが一覧表示されます。このリストには、デバイスの追加に使用されたプロビジョニングファイルに含まれるすべてのデバイスプロパティが表示されます。プロパティを追加するには、[追加] をクリックし、リストからプロパティを選択します。各プロパティの有効な値については、PDF デバイスプロパティ名と値を参照してください。
-
プロパティを追加すると、最初に追加したカテゴリの下に表示されます。[次へ] をクリックして [プロパティ] ページに戻ると、プロパティは適切なリストに表示されます。
-
プロパティを削除するには、リストにマウスカーソルを合わせ、右側の X をクリックします。Citrix Endpoint Management はすぐに項目を削除します。
-
- 残りの [デバイスの詳細] セクションには、デバイスの概要が表示されます。
- ユーザープロパティ: RBACロール、グループメンバーシップ、ボリューム購入アカウント、およびユーザーのプロパティを表示します。このページからボリューム購入アカウントを廃止できます。
- 割り当て済みポリシー: 展開済み、保留中、失敗したポリシーの数を表示します。各ポリシーのポリシー名、種類、および最終展開情報を提供します。展開ステータスを保留中にリセットし、ユーザーが削除したポリシーを再展開できます。
- アプリ: 最後のインベントリについて、インストール済み、保留中、失敗したアプリ展開の数を表示します。アプリ名、識別子、種類、およびその他の情報を提供します。HasUpdateAvailable などの iOS および macOS インベントリキーの説明については、Mobile Device Management (MDM) Protocol を参照してください。
- メディア: 最後のインベントリについて、展開済み、保留中、失敗したメディア展開の数を表示します。
- アクション: 展開済み、保留中、失敗したアクションの数を表示します。アクション名と最終展開時刻を提供します。
- デリバリーグループ: 成功、保留中、失敗したデリバリーグループの数を表示します。各展開について、デリバリーグループ名と展開時刻を提供します。デリバリーグループを選択すると、ステータス、アクション、チャネルまたはユーザーを含む詳細情報が表示されます。
- iOSプロファイル: 名前、種類、組織、説明を含む最後のiOSプロファイルインベントリを表示します。
- iOSプロビジョニングプロファイル: UUID、有効期限、管理ステータスなどのエンタープライズ配布プロビジョニングプロファイル情報を表示します。
- 証明書: 有効、期限切れ、または失効した証明書について、種類、プロバイダー、発行者、シリアル番号、有効期限までの残り日数などの情報を表示します。
- 接続: 最初の接続ステータスと最後の接続ステータスを表示します。各接続について、ユーザー名、最後から2番目の認証時刻、および最終認証時刻を提供します。
- MDMステータス: MDMステータス、最終プッシュ時刻、最終デバイス応答時刻などの情報を表示します。
-
iOSデバイスポリシーの構成
これらのポリシーを使用して、Citrix Endpoint Management が iOS または iPadOS を実行しているデバイスとどのように連携するかを構成します。この表には、iOS および iPadOS デバイスで利用可能なすべてのデバイスポリシーが一覧表示されます。
| SSOアカウント | ストア | 購読済みカレンダー | |
| 利用規約 | VPN | 壁紙 | |
| Webコンテンツフィルター | Webクリップ |
iOSデバイスの登録
- このセクションでは、ユーザーがiOSデバイス(12.2以降)をCitrix Endpoint Managementに登録する方法について説明します。iOS登録の詳細については、以下のビデオをご覧ください。
- iOSデバイスでApple Storeにアクセスし、Citrix Secure Hubアプリをダウンロードして、アプリをタップします。
- アプリのインストールを求められたら、[次へ] をタップし、次に [インストール] をタップします。
-
- Citrix Secure Hubのインストール後、[開く] をタップします。
-
- Citrix Endpoint Managementサーバー名、ユーザープリンシパル名(UPN)、またはメールアドレスなどの企業資格情報を入力します。次に、[次へ] をクリックします。
- iOSデバイスを登録するには、[はい、登録] をタップします。
- Citrix Endpoint Managementが収集するデータの一覧が表示されます。[次へ] をクリックします。組織がそのデータをどのように使用するかについての説明が表示されます。[次へ] をクリックします。
- 資格情報を入力した後、構成プロファイルをダウンロードするよう求められたら [許可] をタップします。構成プロファイルのダウンロード後、[閉じる] をタップします。
- デバイス設定で、XenMobile®プロファイルをインストールします。
- [設定] > [一般] > [プロファイル] > [XenMobile Profile Service] に移動し、[インストール] をタップしてプロファイルを追加します。
- 通知ウィンドウで、[信頼] をタップしてデバイスをリモート管理に登録します。
-
- 登録が成功したら、Citrix Secure Hubを開きます。MDM+MAMに登録している場合:資格情報が検証された後、求められたらCitrix PINを作成して確認します。
-
- ワークフローが完了すると、デバイスが登録されます。その後、App Storeにアクセスして、iOSデバイスにインストールできるアプリを表示できます。
-
セキュリティアクション
iOSのデバイス登録は、以下のセキュリティアクションをサポートしています。各セキュリティアクションの説明については、「セキュリティアクション」を参照してください。
- アクティベーションロックバイパス
- アプリロック
- アプリワイプ
- ASMアクティベーションロック
- 証明書の更新
- 制限のクリア
- 紛失モードの有効化/無効化
- 追跡の有効化/無効化
- 完全ワイプ
- 位置特定
- ロック
- 着信音
- AirPlayミラーリングの要求/停止
- 再起動/シャットダウン
- 取り消し/承認
- 選択的ワイプ
- ロック解除
iOSのユーザー登録は、以下のセキュリティアクションをサポートしています。
- 取り消し
- ロック
- 選択的ワイプ
- 証明書の更新
iOSデバイスのロック
| 紛失したiOSデバイスをロックし、デバイスのロック画面にメッセージと電話番号を表示できます。 |
ロックされたデバイスにメッセージと電話番号を表示するには、Citrix Endpoint Managementコンソールでパスコードポリシーを true に設定します。または、ユーザーがデバイスでパスコードを手動で有効にすることもできます。
-
[管理] > [デバイス] をクリックします。[デバイス] ページが表示されます。
-
ロックするiOSデバイスを選択します。
デバイスの横にあるチェックボックスをオンにすると、デバイスリストの上にオプションメニューが表示されます。リスト内の他の場所をクリックすると、リストの右側にオプションメニューが表示されます。 | Header 1 | Header 2 ||
-
オプションメニューで、[セキュリティ保護] をクリックします。[セキュリティアクション] ダイアログボックスが表示されます。
-
[ロック] をクリックします。[セキュリティアクション] 確認ダイアログボックスが表示されます。
| Header 1 | Header 2 |
| 1. オプションで、デバイスのロック画面に表示されるメッセージと電話番号を入力します。 |
| iOSは、[メッセージ] フィールドに入力した内容に「Lost iPad」という単語を追加します。 |
**[メッセージ]** フィールドを空のままにして電話番号を入力した場合、Appleはデバイスのロック画面に「Call owner」というメッセージを表示します。
- [デバイスのロック] をクリックします。
iOSデバイスの紛失モード
| Citrix Endpoint Managementの紛失モードデバイスプロパティは、iOSデバイスを紛失モードにします。Apple Managed Lost Modeとは異なり、Citrix Endpoint Managementの紛失モードでは、デバイスを特定するためにユーザーが次のいずれかのアクションを実行する必要はありません。[iPhone/iPadを探す] 設定を構成するか、Citrix Secure Hubのロケーションサービスを有効にする。 |
Citrix Endpoint Managementの紛失モードでは、Citrix Endpoint Managementのみがデバイスのロックを解除できます。(対照的に、Citrix Endpoint Managementのデバイスロック機能を使用する場合、ユーザーは提供されたPINコードを使用してデバイスのロックを直接解除できます。
紛失モードを有効または無効にするには、[管理] > [デバイス] に移動し、監視対象のiOSデバイスを選択して、[セキュリティ保護] をクリックします。その後、[紛失モードを有効にする] または [紛失モードを無効にする] をクリックします。
| Header 1 | Header 2 |
[紛失モードを有効にする] をクリックすると、紛失モード時にデバイスに表示される情報を入力します。
紛失モードのステータスを確認するには、次のいずれかの方法を使用します。
- 「セキュリティアクション」ウィンドウで、ボタンが「紛失モードを無効にする」に設定されていることを確認します。
- 「管理 > デバイス」の「セキュリティ」の下にある「一般」タブで、最後の「紛失モードを有効にする」または「紛失モードを無効にする」アクションを確認します。
- 「管理 > デバイス」の「プロパティ」タブで、「MDM紛失モード有効」設定の値が正しいことを確認します。
iOSデバイスでCitrix Endpoint Managementの紛失モードを有効にすると、Citrix Endpoint Managementコンソールも次のように変更されます。
- 「構成 > アクション」で、「アクション」リストには、次の自動アクションが含まれません: 「デバイスの取り消し」、「デバイスの選択的ワイプ」、および「デバイスの完全ワイプ」。
- 「管理 > デバイス」で、「セキュリティアクション」リストには、「取り消し」および「選択的ワイプ」デバイスアクションが含まれなくなります。必要に応じて、「完全ワイプ」アクションを実行するためにセキュリティアクションを使用することは引き続き可能です。
iOSは、「セキュリティアクション」画面の「メッセージ」に入力した内容に「Lost iPad」という単語を追加します。
「メッセージ」を空のままにして電話番号を提供すると、Appleはデバイスのロック画面に「Call owner」というメッセージを表示します。
iOSアクティベーションロックのバイパス
アクティベーションロックは、紛失または盗難された監視対象デバイスの再アクティベーションを防止する「iPhone/iPadを探す」の機能です。アクティベーションロックでは、ユーザーのApple IDとパスワードがないと、次のアクションを実行できません: 「iPhone/iPadを探す」をオフにする、デバイスを消去する、またはデバイスを再アクティベートする。組織が所有するデバイスの場合、たとえばデバイスをリセットまたは再割り当てするために、アクティベーションロックのバイパスが必要です。
アクティベーションロックを有効にするには、Citrix Endpoint Management MDMオプションデバイスポリシーを構成して展開します。これにより、ユーザーのApple資格情報なしでCitrix Endpoint Managementコンソールからデバイスを管理できます。アクティベーションロックのApple資格情報要件をバイパスするには、Citrix Endpoint Managementコンソールからアクティベーションロックバイパスセキュリティアクションを発行します。
たとえば、ユーザーが紛失した電話を返却した場合、または完全ワイプの前後にデバイスをセットアップする場合: 電話がApple App Storeアカウントの資格情報を要求したときに、アクティベーションロックバイパスセキュリティアクションを発行してその手順をバイパスします。
アクティベーションロックバイパスのデバイス要件
- Apple ConfiguratorまたはApple Deployment Programを介して監視されていること
- iCloudアカウントで構成されていること
- 「iPhone/iPadを探す」が有効になっていること
- Citrix Endpoint Managementに登録されていること
- アクティベーションロックが有効になっているMDMオプションデバイスポリシーがデバイスに展開されていること
デバイスの完全ワイプを発行する前にアクティベーションロックをバイパスするには:
- 「管理 > デバイス」に移動し、デバイスを選択し、「セキュリティ保護」をクリックしてから、「アクティベーションロックバイパス」をクリックします。
- デバイスをワイプします。デバイスのセットアップ中にアクティベーションロック画面は表示されません。
デバイスの完全ワイプを発行した後にアクティベーションロックをバイパスするには:
- デバイスをリセットまたはワイプします。デバイスのセットアップ中にアクティベーションロック画面が表示されます。
- 「管理 > デバイス」に移動し、デバイスを選択し、「セキュリティ保護」をクリックしてから、「アクティベーションロックバイパス」をクリックします。
- デバイスの「戻る」ボタンをタップします。ホーム画面が表示されます。
次の点に注意してください:
- ユーザーに「iPhone/iPadを探す」をオフにしないようにアドバイスしてください。デバイスから完全ワイプを実行しないでください。どちらの場合も、ユーザーはiCloudアカウントのパスワードを入力するように求められます。アカウントの検証後、すべてのコンテンツと設定を消去しても、ユーザーは「iPhone/iPadをアクティベート」画面を表示しません。
- アクティベーションロックバイパスコードが生成され、アクティベーションロックが有効になっているデバイスの場合: 完全ワイプ後に「iPhone/iPadをアクティベート」ページをバイパスできない場合でも、Citrix Endpoint Managementからデバイスを削除する必要はありません。管理者またはユーザーがAppleサポートに直接連絡してデバイスのブロックを解除できます。
- ハードウェアインベントリ中に、Citrix Endpoint Managementはデバイスにアクティベーションロックバイパスコードを照会します。バイパスコードが利用可能な場合、デバイスはそれをCitrix Endpoint Managementに送信します。その後、デバイスからバイパスコードを削除するには、Citrix Endpoint Managementコンソールからアクティベーションロックバイパスセキュリティアクションを送信します。その時点で、Citrix Endpoint ManagementとAppleはデバイスのブロックを解除するために必要なバイパスコードを保持しています。
- アクティベーションロックバイパスセキュリティアクションは、Appleサービスの可用性に依存します。アクションが機能しない場合は、次のいずれかの方法でデバイスのブロックを解除できます:
- デバイスで、iCloudアカウントの資格情報を手動で入力します。
- ユーザー名フィールドを空のままにし、パスワードフィールドにバイパスコードを入力します。バイパスコードを検索するには、「管理 > デバイス」に移動し、デバイスを選択し、「編集」をクリックしてから、「プロパティ」をクリックします。「アクティベーションロックバイパスコード」は「セキュリティ情報」の下にあります。