デバイスポリシーおよびアプリポリシーの展開
XenMobileにデバイスポリシーとアプリポリシーを適用すると、次のような要素間のバランスを最適化できます。
- 企業セキュリティ
- 企業データおよび資産の保護
- ユーザーのプライバシー
- 生産的で好ましいユーザーエクスペリエンス
これらの要素間の最適なバランスはさまざまです。たとえば、金融などの高度に規制されている組織では、ユーザーの生産性が重視される教育や小売りなどの業界よりも厳格なセキュリティ管理が求められます。
ユーザーのID、デバイス、場所、および接続タイプに基づいてポリシーを集中的に管理および構成し、企業コンテンツが悪用されるのを抑制できます。デバイスを紛失または盗まれた場合、ビジネスアプリとデータをリモートで無効にしたり、ロックやワイプを行ったりできます。総合的に見ると、従業員の満足度と生産性を向上させると同時に、セキュリティと管理者によるコントロールを保証するソリューションということになります。
この記事ではセキュリティに関連する多くのデバイスポリシーとアプリポリシーに焦点を当てます。
セキュリティリスクに対処するポリシー
XenMobileのデバイスポリシーとアプリポリシーは、次のようなセキュリティリスクを引き起こす可能性のある、さまざまな状況に対応しています。
- 信頼できないデバイスや予期しない場所からアプリやデータにアクセスしようとした場合。
- デバイス間でデータを移動させる場合。
- 権限のないユーザーがデータにアクセスしようとした場合。
- 退社したユーザーが独自のデバイス(Bring Your Own Device:BYOD)を使用した場合。
- デバイスを紛失した場合。
- 常時安全にネットワークにアクセスする必要がある場合。
- ユーザーが自分でデバイスを管理していて、仕事用のデータと個人用のデータを分ける必要がある場合。
- デバイスがアイドル状態で、ユーザーの資格情報の検証が再度必要な場合。
- 機微なコンテンツをコピーして、保護されていないメールシステムに貼り付ける場合。
- 個人用アカウントと企業アカウントの両方があり、機微なデータが保存されているデバイスで電子メールの添付ファイルまたはWebリンクを受信した場合。
企業データの保護においては、こうした事態が懸念される場面は主に2つあります。具体的にはデータが次のような状態にあるときです。
- 保存されている
- 転送している
XenMobileによる保存データの保護
モバイルデバイスに格納されているデータは、保存データと呼ばれます。XenMobileは、iOSおよびAndroidプラットフォームによって提供されるデバイス暗号化を使用します。XenMobileは、Citrix MAM SDKによって利用できるコンプライアンスチェックなどの機能でプラットフォームベースの暗号化を補完します。
XenMobileのモバイルアプリケーション管理(MAM)機能を利用すると、業務用モバイルアプリ、MDX対応アプリ、およびそれらに関連付けられたデータに対する完全な管理、セキュリティ、および制御を実現できます。
Mobile Apps SDKは、Citrix MDXアプリコンテナ技術の使用によってXenMobile展開環境のアプリを有効にします。コンテナ技術はユーザーデバイス上の企業アプリとデータを個人用アプリとデータから分離します。これにより、包括的なポリシーベースの制御に基づいて、カスタム開発したモバイルアプリやサードパーティ製のモバイルアプリ、BYOモバイルアプリをすべて保護することができます。
XenMobileには、アプリレベルの暗号化も含まれています。XenMobileはデバイスのパスコードを使用せずに、MDX対応アプリ内に保存されたデータを単独で暗号化します。ポリシーを適用するためにデバイスを管理する必要もありません。
ポリシーとMobile Apps SDKを使用すると次のことを実現できます:
- ビジネス用と個人用それぞれのアプリおよびデータをセキュリティで保護されたモバイルコンテナ内で分離。
- 暗号化やその他のモバイルデータ損失防止(Data Loss Prevention:DLP)技術でアプリを保護。
MDXポリシーは、多数の操作制御を提供します。MAM SDK対応アプリまたはMDXでラップされたアプリをシームレスに統合しながら、すべての通信を制御します。このようにして、MAM SDK対応アプリまたはMDXでラップされたアプリでのみデータにアクセスできるようにするなどのポリシーを適用することができます。
デバイスポリシーとアプリポリシーの管理以外では、暗号化が保存データを安全に保護する方法としては最適です。XenMobileはMDX対応のアプリケーションに保存されたデータに暗号化レイヤーを追加することで、パブリックファイル暗号化、プライベートファイル暗号化、暗号化の除外などの機能をポリシーで制御できます。Mobile Apps SDKでは、保護されたCitrix Secret Vaultに保存されているキーを用いて、FIPS 140-2準拠のAES 256ビット暗号化を行います。
XenMobileによる転送データの保護
ユーザーのモバイルデバイスと内部ネットワークとの間を移動するデータは、転送データと呼ばれます。MDXアプリコンテナ技術は、内部ネットワークに対するアプリケーション専用のVPNアクセスを、Citrix Gatewayを介して提供します。
従業員がモバイルデバイスからセキュアなエンタープライズネットワーク上の次のリソースにアクセスしようとする状況を想定します:
- 企業のメールサーバー
- 企業イントラネットでホストされているSSL対応のWebアプリケーション
- ファイルサーバーまたはMicrosoft SharePointに保存されているドキュメント
MDXを使用すると、アプリケーション専用のマイクロVPNを介して、モバイルデバイスからこれらすべての企業リソースにアクセスできます。各デバイスに専用のマイクロVPNトンネルが用意されます。
マイクロVPN機能により、信頼できないモバイルデバイスのセキュリティを脅かす可能性がある、デバイス全体でのVPNは不要になります。そのため、内部ネットワークがマルウェアや企業システム全体に感染する可能性のある攻撃にさらされることはありません。企業のモバイルアプリと個人用のモバイルアプリを、1つのデバイス上で共存させることができます。
セキュリティレベルをさらに強化するには、代替Citrix Gatewayポリシーを使用してMDX対応アプリを構成することができます。これは認証およびアプリとのマイクロVPNセッションに使用します。代替Citrix Gatewayをオンラインセッション必須ポリシーと組み合わせて使用し、アプリを指定のゲートウェイで再認証するようにできます。通常、このようなゲートウェイには、別の(確実性の高い)認証要件およびトラフィック管理ポリシーが割り当てられています。
セキュリティ機能に加え、マイクロVPN機能も圧縮アルゴリズムなどのデータ最適化テクノロジを提供します。圧縮アルゴリズムによって、次のことが保証されます:
- 最小限のデータのみが転送される
- 転送は可能な限り最短時間で行われる。スピードはユーザーエクスペリエンスを向上させるため、モバイルデバイスの導入を成功させる重要な要因です。
次のような場合は、デバイスポリシーを定期的に再評価します:
- デバイスのオペレーティングシステムのアップデートがリリースされたことで、XenMobileの新しいバージョンに新しいポリシーまたは更新されたポリシーが含まれる場合。
-
デバイスの種類を追加する場合:
多くのポリシーはすべてのデバイスに共通ですが、各デバイスのオペレーティングシステムに固有のポリシーもあります。そのため、iOS、Android、Windowsデバイスの間で異なるほか、Androidデバイスの製造元によっても違いがある場合があります。
- XenMobileの運用を、企業の新しいセキュリティポリシーやコンプライアンス規制など、企業や業界の変化に対して継続的に同期させる場合
- 新しいバージョンのMAM SDKに新しいポリシーまたは更新されたポリシーが含まれている場合
- アプリを追加または更新する場合
- アプリや要件が新しくなった結果、ユーザー用に新しいワークフローを統合する必要がある場合
アプリポリシーとユースケースのシナリオ
Secure Hubで利用可能なアプリを選択できますが、それらのアプリがXenMobileとやり取りする方法を定義しなくてはならない場合もあります。次の場合に、アプリポリシーを使用します:
- 一定の期間が経過した後にユーザーを認証できるようにする場合。
- ユーザーに自分の情報へのオフラインアクセスを提供する場合。
次のセクションでは、いくつかのポリシーと使用例について説明します。
- MAM SDKを使用してiOSアプリやAndroidアプリに統合できるサードパーティポリシーの一覧については、「MAM SDKの概要」を参照してください。
- プラットフォームごとのMDXポリシーの一覧については、「MDXポリシーの概要」を参照してください。
認証ポリシー
-
デバイスのパスコード
このポリシーを使用する理由: デバイスのパスコードポリシーを有効にして、デバイスのデバイスパスコードが有効になっている場合にのみ、ユーザーがMDXアプリにアクセスできるようにします。この機能によってデバイスレベルでのiOS暗号化が保証されます。
ユーザーの例: このポリシーを有効にすると、iOSデバイスでパスコードを設定しない限りは、MDXアプリにアクセスできないようになります。
-
アプリのパスコード
このポリシーを使用する理由: アプリのパスコードポリシーを有効にすると、Secure Hubで管理対象アプリを認証しない限りは、アプリを開いてデータにアクセスできないようになります。XenMobile Server設定のクライアントのプロパティで構成する内容に応じて、ユーザーはActive Directoryのパスワード、Citrix PIN、またはiOS TouchIDで認証できます。クライアントのプロパティで非アクティブタイマーを設定すると、継続的に使用している限りは、タイマーが切れるまでの間にSecure Hubが管理対象アプリの認証をユーザーに再度求めないようにすることができます。
アプリのパスコードはデバイスのパスコードとは次の点で異なります。デバイスのパスコードポリシーをデバイスにプッシュすると、Secure HubはパスコードまたはPINを設定するようにユーザーに求めます。これにより、デバイスの電源を入れたとき、または非アクティブタイマーが時間切れになったときに、デバイスのロックを解除しない限りはデバイスにアクセスできなくなります。詳しくは、XenMobileでのユーザー認証についての記事を参照してください。
ユーザーの例: デバイス上でCitrix Secure Webアプリケーションを開くときに非アクティブ期間が過ぎていると、Citrix PINを入力しない限りはWebサイトを参照できなくなります。
-
オンラインセッションを必須とする
このポリシーを使用する理由: アプリケーションを実行するためにWebアプリケーション(Webサービス)へのアクセスが必要である場合は、このポリシーを有効にすることで、企業ネットワークに接続するかアクティブなセッションを確立してからアプリケーションを使用するように、XenMobileからユーザーに対して求めるようにできます。
ユーザーの例: オンラインセッションを必須とするポリシーが有効になっているMDXアプリをユーザーが開こうとすると、携帯電話またはWi-Fiサービスを使用してネットワークに接続しない限り、アプリを使用できなくなります。
-
最大オフライン期間
このポリシーを使用する理由: このポリシーを追加のセキュリティオプションとして使用すると、XenMobileでアプリの資格の再確認および最新のポリシーの更新を行わずに、長期間アプリをオフラインで実行することはできなくなります。
ユーザーの例: 最大オフライン期間を適用したMDXアプリを構成すると、オフラインタイマー期間が終了するまでの間、ユーザーはオフラインでアプリを開いて使用できます。期間が終了した時点で、ユーザーは携帯電話またはWi-Fiサービス経由でネットワークに接続し、プロンプトが表示されたら再認証する必要があります。
その他のアクセスポリシー
-
アプリ更新猶予期間 (時間)
このポリシーを使用する理由: アプリ更新猶予期間とは、XenMobile Storeにリリースされている新しいバージョンのアプリを更新するまでの間、ユーザーが利用できる時間です。猶予期間が終了した時点で、ユーザーはアプリを更新しない限り、アプリ内のデータにアクセスできなくなります。この値を設定する場合には、モバイルワーカーのニーズ、特に海外旅行で長期間オフラインの状態になる可能性があるユーザーのニーズを考慮してください。
ユーザーの例: XenMobile Storeに新しいバージョンのSecure Mailをロードしてから、アプリ更新猶予期間を6時間に設定します。Secure Mailのすべてのユーザーには、6時間が経過するまで、Secure Mailアプリの更新を求めるメッセージが表示されます。6時間が経過すると、Secure HubはユーザーをXenMobile Storeにルーティングします。
-
アクティブなポーリング周期 (分)
このポリシーを使用する理由: アクティブなポーリング周期とは、XenMobileがアプリのApp LockやApp Wipeなどのセキュリティアクションを実行するタイミングをチェックする間隔のことです。
ユーザーの例: アクティブなポーリング期間ポリシーを60分に設定した場合、XenMobileからデバイスにApp Lockコマンドを送信すると、最後のポーリングが行われてから60分以内にロックが発生します。
非準拠デバイスの動作ポリシー
デバイスが最小コンプライアンス要件を下回ると、非準拠デバイスの動作ポリシーによって、実行する操作を次の中から選択することができます:詳しくは、「非準拠デバイスの動作」を参照してください。
アプリ相互作用ポリシー
これらのポリシーを使用する理由: アプリ相互作用ポリシーを使用して、MDXアプリからデバイス上の他のアプリへのドキュメントおよびデータの流れを制御します。たとえば、ユーザーがコンテナの外部にある個人アプリにデータを移動したり、コンテナの外部からコンテナ化されたアプリにデータを貼り付けたりすることを防止できます。
ユーザーの例: アプリ相互作用ポリシーを[制限]に設定すると、ユーザーはSecure MailからSecure Webにテキストをコピーできますが、コンテナの外にある個人のSafariやChromeブラウザーにそのデータをコピーすることはできません。また、ユーザーはSecure Mailの添付ファイルをCitrix FilesまたはQuick Editで開くことはできますが、添付ファイルをコンテナの外にある個人のファイル閲覧アプリで開くことはできません。
アプリ制限ポリシー
これらのポリシーを使用する理由: アプリ制限ポリシーは、MDXアプリが開いている間にユーザーがアプリからアクセスできる機能を制御するために使用します。これにより、アプリの実行中に悪意のある行為が発生しないようにすることができます。アプリ制限ポリシーは、iOSとAndroidでわずかに異なります。たとえばiOSでは、MDXアプリの実行中にiCloudへのアクセスをブロックできます。Androidでは、MDXアプリの実行中に近距離無線通信(NFC)の使用を停止できます。
ユーザーの例: アプリ制限ポリシーを有効にしてMDXアプリでのiOSの音声入力をブロックすると、ユーザーはMDXアプリの実行中に、iOSキーボードの音声入力機能を使用できなくなります。そのため、ユーザーの音声入力データが、セキュリティで保護されていないサードパーティのクラウド音声入力サービスに渡されることはありません。ユーザーがコンテナの外で個人のアプリを開いた場合、ユーザーが個人的な通信手段として使用する音声入力のオプションは、変わらず利用できます。
アプリのネットワークアクセスポリシー
これらのポリシーを使用する理由: アプリのネットワークアクセスポリシーは、デバイスのコンテナ内のMDXアプリから社内ネットワークにあるデータへのアクセスを提供するために使用します。ネットワークアクセスポリシーでは、[内部ネットワークへトンネル] オプションを設定して、MDXアプリからCitrix ADC経由での、バックエンドのWebサービスまたはデータストアへのマイクロVPNを自動化します。
ユーザーの例: トンネリングが有効になっているSecure WebなどのMDXアプリをユーザーが開くと、Webブラウザーが開いてイントラネットサイトが起動します。ユーザーがVPNを開始する必要はありません。Secure Webアプリは、マイクロVPN技術を使用して内部サイトに自動的にアクセスします。
アプリの地理位置情報およびジオフェンシングポリシー
これらのポリシーを使用する理由: アプリの地理位置情報およびジオフェンシングを制御するポリシーには、中心点経度、中心点緯度、およびRADIUSが含まれます。これらのポリシーの対象には、特定の地理的領域にあるMDXアプリのデータに対するアクセスが含まれます。このポリシーでは緯度および経度座標の半径によって地理的エリアを定義します。定義された半径外にあるアプリをユーザーが使用しようとしても、アプリはロックされたままで、アプリデータにはアクセスできません。
ユーザーの例: ユーザーが自分の職場がある場所にいる間はM&Aのデータにアクセスできますが、オフィスの外に移動すると、この機微なデータにアクセスできなくなります。
Secure Mailアプリポリシー
-
バックグラウンドネットワークサービス
このポリシーを使用する理由: Secure Mailのバックグラウンドネットワークサービスは、Secure Ticket Authority(STA)を利用します。これは、事実上Citrix Gateway経由で接続するSOCKS5プロキシです。STAは長時間の接続をサポートしており、マイクロVPNに比べてバッテリー寿命が長くなります。そのため、STAは常に接続しておくメールに最適です。Secure Mailではこれらの設定を構成することをお勧めします。Citrix ADC for XenMobileウィザードでは、Secure MailのSTAが自動的に設定されます。
ユーザーの例: STAが有効になっていないときにAndroidユーザーがSecure Mailを開くと、VPNを開くように求められ、デバイス上で開かれたまま維持されます。STAが有効になっているときにAndroidユーザーがSecure Mailを開くと、Secure MailはVPNを必要とせずシームレスに接続されます。
-
デフォルトの同期間隔
このポリシーを使用する理由: この設定では、ユーザーがSecure Mailに初めてアクセスしたときに、メールがSecure Mailと同期する既定の日数を指定します。2週間分のメールの同期には3日以上の時間がかかり、ユーザーのセットアッププロセスが長くなります。
ユーザーの例: ユーザーが最初にSecure Mailを設定したときのデフォルトの同期間隔が3日に設定されている場合、現在から過去3日間に受信した受信トレイ内のメールがすべて表示されます。4日以上経過したメールを見たい場合は、検索することができます。そうすることでサーバーに保存されている古いメールがSecure Mailに表示されます。Secure Mailのインストール後に、ユーザーはそれぞれのニーズに合わせてこの設定を変更できます。
デバイスポリシーとユースケースの動作
XenMobileがデバイスでどのように動作するかは、デバイスポリシー(MDMポリシーとも呼ばれます)によって決まります。多くのポリシーはすべてのデバイスに共通ですが、各デバイスのオペレーティングシステムに固有のポリシーもあります。以下の一覧ではデバイスポリシーの一部と、その使用方法について説明します。すべてのデバイスポリシーの一覧については、「デバイスポリシー」を参照してください。
-
アプリインベントリポリシー
このポリシーを使用する理由: ユーザーがインストールしたアプリを表示する必要がある場合は、アプリインベントリポリシーをデバイスに展開します。アプリインベントリポリシーを展開しない場合、ユーザーがXenMobile Storeからインストールしたアプリのみが表示され、個人的にインストールしたアプリケーションは表示されません。特定のアプリが企業デバイスで実行されないようにするには、このポリシーを使用する必要があります。
ユーザーの例: MDM管理デバイスを使用するユーザーがこの機能を無効にすることはできません。ユーザーが個人的にインストールしたアプリケーションは、XenMobile管理者に表示されます。
-
アプリのロックポリシー
このポリシーを使用する理由: Android用のアプリのロックポリシーを使用すると、アプリを禁止または許可できます。たとえば、アプリを許可すると、キオスクデバイスを構成できます。ユーザーがインストールできるアプリが制限されるため、通常は企業所有のデバイスにのみアプリのロックポリシーを展開します。上書きパスワードを設定すると、ブロックされているアプリにユーザーがアクセスできます。
ユーザー例: Angry Birdsアプリをブロックするというアプリのロックポリシーを展開するとします。ユーザーはGoogle PlayからAngry Birdsアプリをインストールできますが、アプリを開くと管理者がアプリをブロックした旨のメッセージが表示されます。
-
接続のスケジューリングポリシー
このポリシーを使用する理由: Windows MobileデバイスがMDM管理、アプリのプッシュ、およびポリシーの展開を行うためにXenMobile Serverに接続するには、接続のスケジューリングポリシーを使用する必要があります。Android、Android Enterprise、およびChrome OSデバイスの場合、このポリシーの代わりにGoogleのFirebase Cloud Messaging(FCM)を使用して、XenMobile Serverへの接続を制御します。スケジューリングオプションは次のとおりです:
-
常に: 接続のオンライン状態を永続的に維持します。最適化されたセキュリティについては、このオプションをお勧めします。[常に] を選択する場合は、接続タイマーポリシーも使用して、接続によるバッテリー切れが起こらないようにします。接続のオンライン状態を維持することにより、ワイプやロックなどのセキュリティコマンドを必要に応じてデバイスにプッシュできます。デバイスに展開した各ポリシーで、[展開スケジュール]オプションの [常時接続に対する展開] を選択することも必要です。
-
しない: 手動で接続します。デバイスにセキュリティポリシーを展開できず、新しいアプリやポリシーを受信しなくなるため、実稼働環境での [しない] オプションはお勧めしません。
-
毎: 指定された間隔で接続します。このオプションが有効な状態でロックやワイプなどのセキュリティポリシーを送信すると、このポリシーは次回デバイスが接続されたときにXenMobileによって処理されます。
-
スケジュールを定義: 有効にすると、XenMobileはネットワーク接続が失われた後に、ユーザーのデバイスをXenMobile Serverに再接続するよう試行し、定義した期間中、一定の間隔でコントロールパケットを送信することによって接続を監視します。
ユーザーの例: 登録されたデバイスにパスコードポリシーを展開する場合。スケジューリングポリシーを利用することで、デバイスは一定の間隔でサーバーに接続し、新しいポリシーを収集できます。
-
-
資格情報ポリシー
このポリシーを使用する理由: 多くはWi-Fiポリシーとともに使用されますが、この資格情報ポリシーを利用することで、証明書による認証が必要な内部リソースの認証に使用する証明書を展開できます。
ユーザーの例: デバイスにワイヤレスネットワークを構成するWi-Fiポリシーを展開します。Wi-Fiネットワークには認証用の証明書が必要です。資格情報ポリシーが証明書を展開すると、証明書はオペレーティングシステムのキーストアに格納されます。それによりユーザーは、内部リソースに接続したときに証明書を選択できます。
-
Exchangeポリシー
このポリシーを使用する理由: XenMobileには、Microsoft Exchange ActiveSyncのメールを配信する2つのオプションがあります。
-
Secure Mailアプリ: パブリックアプリケーションストアまたはXenMobile Storeから配布するSecure Mailアプリを使用してメールを配信します。
-
ネイティブメールアプリ: Exchangeポリシーを使用して、デバイス上のネイティブメールクライアントでActiveSyncメールを有効にできます。ネイティブメールでExchangeポリシーを使用すると、Active Directory属性からマクロでユーザーデータを取得して入力できます。${user.username}ならユーザー名、${user.domain}ならユーザードメインのように、ユーザーデータを入力できます。
ユーザーの例: Exchangeポリシーをプッシュすると、Exchange Serverの詳細がデバイスに送信されます。次にSecure Hubはユーザーに認証を求め、メールの同期を開始します。
-
-
場所ポリシー
このポリシーを使用する理由: 場所ポリシーでは、デバイスのGPSがSecure Hubで有効になっている場合に、地図上でそのデバイスの場所を検出できます。このポリシーを展開し、XenMobile Serverからlocateコマンドを送信すると、デバイスは場所の座標を返します。
ユーザーの例: 場所ポリシーが展開され、GPSがデバイスで有効になっている場合にユーザーがデバイスを紛失したときは、XenMobile Self-Help Portalにログオンして[検索]オプションを選択すると、デバイスの場所を地図上に表示できます。Secure Hubで位置情報サービスの使用を許可することについては、ユーザーに選択権があります。ユーザーがデバイスを自分で登録した場合に、位置情報サービスの使用を強制することはできません。このポリシーを使用するときにもう1つ考慮すべき事項は、バッテリー寿命への影響です。
-
パスコードポリシー
このポリシーを使用する理由: パスコードポリシーを使用すると、管理対象デバイスにPINコードまたはパスワードを適用できます。このパスコードポリシーでは、デバイス上でパスコードの複雑さやタイムアウトを設定できます。
ユーザーの例: パスコードポリシーを管理対象デバイスに展開すると、Secure HubはパスコードまたはPINを構成するようにユーザーに求めます。これにより、デバイスの電源を入れたとき、または非アクティブタイマーが時間切れになったときに、デバイスのロックを解除しない限りデバイスにアクセスできなくなります。
-
プロファイル削除ポリシー
このポリシーを使用する理由: ユーザーのグループにポリシーを展開した後で、そのポリシーをユーザーのサブセットから削除する必要があるとします。選択したユーザーのポリシーを削除するには、プロファイル削除ポリシーを作成し、展開規則を使用して、プロファイル削除ポリシーを指定されたユーザー名にのみ展開します。
ユーザーの例: プロファイル削除ポリシーをユーザーデバイスに展開すると、ユーザーは変更に気付かない可能性があります。たとえば、デバイスカメラを無効にする制限がプロファイル削除ポリシーによって削除された場合、ユーザーにはカメラの使用が許可されていることは分かりません。ユーザーエクスペリエンスに影響を及ぼす変更については、ユーザーに通知することを検討してください。
-
制限ポリシー
このポリシーを使用する理由: 制限ポリシーによって、管理対象デバイスの機能をロックダウンおよび制御するさまざまなオプションを使用できます。対応デバイスでは数百の制限オプションを利用して、デバイスのカメラやマイクを無効にしたり、ローミング規則の適用やアプリストアのようなサードパーティサービスへのアクセスなどを制限したりできます。
ユーザーの例: iOSデバイスに制限を展開すると、ユーザーはiCloudまたはApple App Storeにアクセスできなくなることがあります。
-
契約条件ポリシー
このポリシーを使用する理由: デバイスを管理することの法的な意味を、ユーザーに知らせる必要がある場合があります。また、企業データをデバイスにプッシュするときの、セキュリティ上のリスクをユーザーに認識させる場合もあります。カスタムの契約条件文書では、ユーザー登録の前に規則および通知を公開できます。
ユーザーの例: 登録処理中に契約条件の情報をユーザーに表示します。指定された条件の受け入れを拒否した場合、登録処理は終了し、ユーザーは企業データにアクセスすることはできません。レポートを生成してHR/法務/コンプライアンスチームに提供し、条件を了承または拒否した対象者を確認できます。
-
VPNポリシー
このポリシーを使用する理由: VPNポリシーは、古いVPNゲートウェイ技術を使用するバックエンドシステムへのアクセスを提供するために使用します。このポリシーではさまざまなVPNプロバイダー(Cisco AnyConnect、Juniper、Citrix VPN)がサポートされています。また、このポリシーをCAにリンクして、オンデマンドでVPNを有効にできます(VPNゲートウェイがこのオプションをサポートしている場合)。
ユーザーの例: VPNポリシーを有効にすると、ユーザーのデバイスは、ユーザーが内部ドメインにアクセスしたときにVPN接続を開きます。
-
Webクリップポリシー
このポリシーを使用する理由: Webクリップポリシーは、Webサイトが直接開かれるアイコンをデバイスにプッシュする場合に使用します。WebクリップにはWebサイトへのリンクが含まれており、カスタムアイコンを加えることができます。デバイス上では、Webクリップはアプリのアイコンのように見えます。
ユーザーの例: ユーザーがWebクリップアイコンをクリックしてインターネットのサイトを開くことで、アクセスが必要なサービスを利用できます。Webリンクを使用する方が、Webブラウザーアプリを開いてリンクアドレスを入力するよりも便利です。
-
Wi-Fiポリシー
このポリシーを使用する理由: Wi-Fiポリシーを使用すると、SSID、認証データ、および設定データなどのWi-Fiネットワークの詳細を管理対象デバイスに展開できます。
ユーザーの例: Wi-Fiポリシーを展開すると、デバイスが自動的にWi-Fiネットワークに接続してユーザー認証を行うことで、ユーザーがネットワークにアクセスできるようになります。
-
Windows Information Protectionのポリシー
このポリシーを使用する理由: Windows Information Protection(WIP)ポリシーは、企業データの潜在的な漏洩を防止するために使用します。設定した適用レベルのWindows Information Protectionが求められるアプリを指定できます。たとえば、不適切なデータ共有のブロックや警告を行ったり、ユーザーにポリシーの上書きを許可したりすることができます。不適切なデータ共有を記録しながら許可し、サイレントでWIPを実行できます
ユーザーの例: 不適切なデータ共有をブロックするようにWIPポリシーを構成するとします。ユーザーが保護されたファイルを、保護されていない場所にコピーまたは保存すると、この場所に保護された作業コンテンツを置くことはできない、という旨のメッセージが表示されます。
-
XenMobile Storeポリシー
このポリシーを使用する理由: XenMobile Storeは、ユーザーが必要とするすべての企業アプリとデータリソースを、管理者が公開できる一元化されたアプリストアです。管理者は、次の項目を追加できます:
- Webアプリ、SaaSアプリ、MAM SDK対応アプリ、またはMDXでラップされたアプリ
- Citrix業務用モバイルアプリ
- .ipaまたは.apkファイルなどのネイティブモバイルアプリ
- Apple App StoreアプリとGoogle Playアプリ
- Webリンク
- Citrix StoreFrontを使用して公開されたCitrix Virtual Apps
ユーザーの例: デバイスをXenMobileに登録すると、ユーザーはCitrix Secure Hubアプリを通じてXenMobile Storeにアクセスし、利用できるすべての企業アプリとサービスを表示できます。ユーザーはアプリをクリックすると、インストール、データへのアクセス、アプリの評価とレビュー、XenMobile Storeからのアプリの更新プログラムのダウンロードを行えます。