XenMobile Server

セキュリティ操作

[管理]>[デバイス] ページでデバイスやアプリのセキュリティの操作を実行できます。デバイスの操作には、取り消し、ロック、ロック解除、ワイプがあります。アプリのセキュリティの操作には、アプリのロック、アプリのワイプが含まれます。

  • アクティベーションロックバイパス: デバイスのライセンス認証の前に、監視対象のiOSデバイスからアクティベーションロックを解除します。このコマンドでは、Appleの個人IDやユーザーのパスワードが要求されることはありません。

  • アプリのロック: デバイスのすべてのアプリへのアクセスを拒否します。Androidでは、アプリロック後にユーザーがXenMobileにサインインすることはできません。iOSでは、ユーザーはサインインできますが、アプリにアクセスすることはできません。

  • アプリのワイプ: Secure Hubからユーザーアカウントを削除し、デバイスの登録を解除します。管理者がアプリのワイプ解除アクションを使用するまで、ユーザーは再登録できません。

  • ASM Deployment Programアクティベーションロック: Apple School Manager DEPに登録されているiOSデバイスのアクティベーションロックバイパスコードを作成します。

  • 制限の解除: 監視対象のiOSデバイスでこのコマンドを使用すると、ユーザーによって構成された制限パスワードと制限設定をXenMobile Serverで解除できます。

  • 紛失モードを有効化/無効化: 監視対象のiOSデバイスを紛失モードにして、デバイスに表示されるメッセージ、電話番号、補足説明を送信します。2回目にこのコマンドを送信すると、デバイスの紛失モードは無効になります。

  • 追跡を有効にする: AndroidまたはiOSデバイスでは、このコマンドによってXenMobileが指定された頻度で特定のデバイスの場所をポーリングできます。デバイスの座標と位置をマップ上に表示するには、[管理]>[デバイス] に移動し、デバイスを選択して [編集] をクリックします。デバイス情報は、[全般] タブの [セキュリティ] にあります。デバイスを継続的に追跡するには、[追跡を有効にする]を使用します。Secure Hubは、デバイスの実行中にデバイスの場所を定期的に報告します。

  • フルワイプ: デバイスからメモリカードを含むすべてのデータとアプリを直ちに消去します。

    • Androidデバイスの場合、メモリカードをワイプするオプションをこの要求に含めることができます。

    • 仕事用プロファイルで完全に管理されたAndroid Enterpriseデバイス(COPEデバイス)の場合、選択的なワイプにより仕事用プロファイルが削除された後、完全ワイプを実行できます。

    • iOSデバイスとmacOSデバイスの場合、デバイスがロックされていても直ちにワイプが実行されます。iOS 11デバイス(最小バージョン)の場合:フルワイプを確認したら、携帯データネットワークプランをデバイスに保存することができます。

    • メモリカードの内容が削除される前にユーザーがデバイスの電源をオフにした場合、ユーザーはデバイスのデータにまだアクセスできる場合があります。

    • ワイプの要求がデバイスに送信されるまでは、要求をキャンセルできます。

  • 検索: [管理]>[デバイス] ページの、[デバイス詳細]>[一般] で、デバイスを検索してデバイスの場所(マップなど)を報告します。検索は1回限りの操作です。[検索] を使用すると、操作を実行した時点のデバイスの場所が表示されます。一定期間にわたってデバイスを継続的に追跡するには、[追跡を有効にする] を使用します。
    • この操作をAndroid(Android Enterpriseを除く)デバイス、またはAndroid Enterprise(企業所有またはBYOD)デバイスに適用する場合は、次の動作に注意してください:
      • [検索] を使用するには、登録時にユーザーによって検索の権限が付与される必要があります。ユーザーは、検索の権限を付与しないことを選択できます。登録時にユーザーによって権限が付与されないと、XenMobileは [検索] コマンドの送信時に再度検索の権限を要求します。
    • この機能をiOSまたはAndroid Enterpriseデバイスに適用する場合は、次の制限に注意してください:
      • Android Enterpriseデバイスの場合、位置情報デバイスポリシーでデバイスの位置情報モードが [高精度] または[バッテリー節約] に設定されていない限り、この要求は失敗します。
      • iOSデバイスの場合、このコマンドは、デバイスがMDMの紛失モードである場合にのみ成功します。
  • ロック: デバイスをリモートでロックします。このアクションは、デバイスを紛失し、デバイスが盗まれたかどうかわからない場合に便利です。その後XenMobileによってPINコードが生成されてデバイスに設定されます。デバイスにアクセスするには、PINコードを入力します。XenMobileコンソールからロックを解除するには [ロックのキャンセル] を使用します。

  • ロックおよびパスワードのリセット: デバイスをリモートロックしてパスコードをリセットします。

    • Android 8.0より前のバージョンのAndroidを実行する、仕事用プロファイルモードでAndroid Enterpriseに登録されているデバイスではサポートされていません。
    • Android 8.0以降を実行する、仕事用プロファイルモードでAndroid Enterpriseに登録されているデバイスの場合:
      • 送信されたパスコードによって仕事用プロファイルはロックされます。デバイスはロックされません。
      • パスコードが送信されない場合、または送信されたパスコードがパスコードの要件を満たさず、仕事用プロファイルに設定済みのパスコードがない場合:デバイスはロックされます。
      • パスコードが送信されない場合、または送信されたパスコードがパスコードの要件を満たしていないが、仕事用プロファイルにパスコードが設定済みの場合:仕事用プロファイルはロックされますが、デバイスはロックされません。
  • 通知(通知音): Androidデバイスで通知音を鳴らします。

  • 再起動: Windows 10およびWindows 11デバイスを再起動します。WindowsタブレットおよびPCでは、「システムを再起動します」という内容のメッセージが表示されて、5分以内に再起動が実行されます。

  • AirPlayミラーリングの要求/停止: 監視対象のiOSデバイスで、AirPlayミラーリングを開始および停止します。

  • 再起動/シャットダウン: 監視対象のiOSデバイスを直ちに再起動またはシャットダウンします。

  • 取り消し: デバイスからXenMobile Serverへの接続を禁止します。

  • 取り消し/認証(iOS、macOS): 選択的なワイプと同じ操作を実行します。取り消し後に、デバイスを再承認して再登録できます。

  • 警報: 監視対象のiOSデバイスが紛失モードの場合に、デバイスで警告音を鳴らします。警告音は、デバイスの紛失モードが解除されるか、ユーザーがサウンドを無効にするまで鳴り続けます。

  • 選択的なワイプ: 個人のデータとアプリは残して、企業のすべてのデータとアプリをデバイスから消去します。選択的なワイプ後に、ユーザーはデバイスを再登録できます。

    • Androidデバイスを選択的にワイプしても、Device Managerや社内ネットワークから切断されることはありません。デバイスがDevice Managerにアクセスしないようにするには、デバイス証明書を失効させる必要もあります。
    • Androidデバイスを選択的にワイプしてもデバイスが取り消されます。デバイスの再登録は、デバイスを再認証するか、コンソールから削除した場合にのみ行えます。
    • 仕事用プロファイルで完全に管理されたAndroid Enterpriseデバイス(COPEデバイス)の場合、選択的なワイプにより仕事用プロファイルが削除された後、完全ワイプを実行できます。または、同じユーザー名でデバイスを再登録できます。デバイスを再登録すると、仕事用プロファイルが再作成されます。
    • Samsung Knox APIに対応している場合、デバイスを選択的にワイプするには、Samsung Knoxコンテナも削除する必要があります。
    • iOSデバイスおよびmacOSデバイスでは、このコマンドにより、MDMを通じてインストールされたすべてのプロファイルが削除されます。
    • Windowsデバイスに対して選択的ワイプを実行した場合、その時点でサインオンしているすべてのユーザーのプロファイルフォルダーの内容も削除されます。選択的なワイプでは、構成を介してユーザーに配信したWebクリップは削除されません。Webクリップを削除するには、ユーザーはデバイスを手動で登録解除します。選択的にワイプされたデバイスを再登録することはできません。
  • ロック解除: デバイスがロックされたときに送信されたパスコードをクリアします。このコマンドによってデバイスがロック解除されることはありません。

[管理]>[デバイス][デバイス詳細] ページには、デバイスの[セキュリティ]プロパティも表示されます。これらのプロパティには、[Strong ID]、[デバイスのロック]、[アクティベーションロックバイパス]、およびプラットフォームの種類に関するその他の情報などが含まれます。[デバイスの完全なワイプ] フィールドには、ユーザーのPINコードが含まれます。デバイスがワイプされた後、ユーザーはこのコードを入力する必要があります。ユーザーがコードを忘れた場合は、こちらで確認できます。

Androidデバイスのセキュリティ操作

セキュリティ操作 Android(Android Enterpriseデバイスを除く) Android Enterprise(BYOD) Android Enterprise(コーポレート所有)
アプリのロック はい いいえ いいえ
アプリのワイプ はい いいえ いいえ
完全なワイプ はい いいえ はい
検索 はい。Android 6.0以降を実行するデバイスの場合、検索には、登録時にユーザーによって検索の権限が付与される必要があります。ユーザーは、検索の権限を付与しない選択をできます。登録時にユーザーによって権限が付与されないと、XenMobileは検索コマンドの送信時に再度検索の権限を要求します。 はい。Android 6.0以降を実行するデバイスの場合、検索には、登録時にユーザーによって検索の権限が付与される必要があります。ユーザーは、検索の権限を付与しない選択をできます。登録時にユーザーによって権限が付与されないと、XenMobileは検索コマンドの送信時に再度検索の権限を要求します。 はい。Android 6.0以降を実行するデバイスの場合、検索には、登録時にユーザーによって検索の権限が付与される必要があります。ユーザーは、検索の権限を付与しない選択をできます。登録時にユーザーによって権限が付与されないと、XenMobileは検索コマンドの送信時に再度検索の権限を要求します。
ロック はい はい はい
パスワードのロックとリセット はい いいえ はい
通知(通知音) はい はい はい
取り消し はい はい はい
選択的なワイプ はい はい いいえ

iOSデバイスとmacOSデバイスのセキュリティ操作

セキュリティ操作 iOS macOS
アクティベーションロックのバイパス はい いいえ
アプリのロック はい いいえ
アプリのワイプ はい いいえ
ASM Deployment Programアクティベーションロック はい いいえ
制限の削除 はい いいえ
紛失モードを有効化/無効化 はい いいえ
追跡を有効/無効にする はい いいえ
完全なワイプ はい はい
検索 はい いいえ
ロック はい はい
警報 はい はい
AirPlayミラーリングの要求/停止 はい いいえ
再起動/シャットダウン はい いいえ
取り消し/承認 はい はい
選択的なワイプ はい はい
ロック解除 はい いいえ

Windowsデバイスのセキュリティ操作

セキュリティ操作 Windowsタブレット 10
検索 はい
ロック はい
パスワードのロックとリセット いいえ
再起動 はい
取り消し はい
警報 いいえ
選択的なワイプ はい
ワイプ はい

この記事の残りの部分では、さまざまなセキュリティ アクションを実行する手順について説明します。一部の操作を自動化することもできます。詳しくは、「自動化された操作」を参照してください。

iOSデバイスのロック

iOSデバイスをロックし、デバイスのロック画面にメッセージと電話番号を表示することができます。この機能は、iOS 7以降を実行しているデバイスでサポートされます。

ロックされたデバイスにメッセージと電話番号を表示するには、[パスコード] ポリシーがXenMobileコンソールでtrueに設定されている必要があります。あるいは、デバイス上でパスコードを手動で有効化できます。

  1. [管理]>[デバイス] の順にクリックします。[デバイス] ページが開きます。

    [デバイス]ページの画像

  2. ロックするiOSデバイスを選択します。

    デバイスの横にあるチェックボックスをオンにすると、デバイス一覧の上にオプションメニューが表示されます。一覧で項目をクリックして、その項目の右側にオプションメニューを表示できます。

    オプションメニューの画像

    オプションメニューの画像

  3. オプションメニューの [保護] を選択します。[セキュリティ操作] ダイアログボックスが開きます。

    [セキュリティ操作]ダイアログボックスの画像

  4. [ロック] をクリックします。[セキュリティ操作] 確認ダイアログボックスが開きます。

    [セキュリティ操作]確認画面の画像

  5. 必要に応じて、デバイスのロック画面に表示するメッセージと電話番号を入力します。

    iOS 7以降を実行しているiPad:iOSは「Lost iPad」という文字列をユーザーが [メッセージ] フィールドに入力した内容に追加します。

    iOS 7以降を実行しているiPhone: [メッセージ] フィールドを空白にして電話番号を指定すると、Appleはメッセージ「Call owner」をデバイスのロック画面に表示します。

  6. [デバイスのロック] をクリックします。

XenMobileコンソールからのデバイスの削除

重要:

XenMobileコンソールからデバイスを削除した場合、管理対象アプリとデータはデバイスに残っています。デバイスから管理対象アプリとデータを削除するには、この記事で後述する「デバイスの削除」を参照してください。

XenMobileコンソールからデバイスを削除するには、[管理]>[デバイス] の順に選択し、管理対象デバイスを選択して [削除] をクリックします。

[削除]オプションの画像

デバイスの選択的なワイプ

  1. [管理]>[デバイス] の順に選択し、管理対象デバイスを選択して [保護] をクリックします。

  2. [セキュリティ操作] で、[選択的なワイプ] をクリックします。

  3. Androidデバイスのみ、デバイスをワイプした後、[セキュリティ操作][取り消し] をクリックして、社内ネットワークからデバイスを切断します。

    選択的ワイプ要求が実行される前にその要求を取り消すには、[セキュリティ操作] で、[選択的なワイプのキャンセル] をクリックします。

デバイスの削除

この手順では、管理対象アプリとデータをデバイスから削除し、XenMobileコンソールの[デバイス]一覧からデバイスを削除します。Endpoint Management Public REST APIを使用して、デバイスを一括で削除できます。

  1. [管理]>[デバイス] の順に選択し、管理対象デバイスを選択して [保護] をクリックします。

  2. [選択的なワイプ] をクリックします。プロンプトが表示されたら、[選択的なワイプの実行] をクリックします。

  3. ワイプコマンドが成功したことを確認するには、[管理]>[デバイス] を更新します。[モード] 列でMDMとMAMが黄色の場合は、ワイプコマンドが成功したことを示します。

    ワイプコマンドが成功した画像

  4. [管理]>[デバイス] に移動し、デバイスを選択して [削除] をクリックします。プロンプトが表示されたら、再び [削除] をクリックします。

アプリのロック、ロック解除、ワイプ、ワイプ解除

  1. [管理]>[デバイス] の順に選択し、管理対象デバイスを選択して [保護] をクリックします。

  2. [セキュリティ操作] で、アプリの操作をクリックします。

    [セキュリティ操作] ボックスは、アカウントが無効になっているか、Active Directoryから削除されているユーザーのデバイスの状態を確認するために使用することもできます。アプリロック解除またはアプリワイプ解除アクションが存在する場合、アプリがロックまたはワイプされていることを意味します。

アプリのワイプとワイプ解除

  1. [管理]>[デバイス] に移動します。デバイスを選択します。

  2. アプリのワイプ
    • [保護]>[アプリのワイプ] をクリックします。次のメッセージのダイアログボックスが表示されます:このデバイスのアプリをワイプしてもよろしいですか?[アプリのワイプ] をクリックします。
  3. アプリのワイプ解除
    • [保護]>[アプリのワイプ解除] をクリックします。次のメッセージのダイアログボックスが表示されます:このデバイスのアプリワイプを解除してもよろしいですか?[デバイスのアプリのワイプ解除] をクリックします。
  4. デバイス上でSecure Hubを開き、[ストア] をクリックします。

  5. Secure Hubを起動します。

iOSデバイスを紛失モードにする

XenMobileの紛失モードデバイスプロパティで、iOSデバイスを紛失モードにします。Appleのマネージド紛失モードと異なり、XenMobileの紛失モードでは、ユーザーは自分のデバイスを探せるようにするために、次のどちらの操作も実行する必要がありません。[iPhone/iPadを探す] を構成するかCitrix Secure Hubの位置情報サービスを有効化する。

XenMobileの紛失モードでは、デバイスのロックを解除できるのはXenMobile Serverだけです。一方、XenMobileのデバイスロック機能を使用すると、ユーザーは管理者によって提供されたPINコードを使用して、デバイスを直接ロック解除できます。

紛失モードを有効または無効にするには: [管理]>[デバイス] に移動し、監視対象デバイスを選択して [保護] をクリックします。次に、[紛失モードを有効化] または [紛失モードを無効化] をクリックします。

紛失モードオプションの画像

[紛失モードを有効化] をクリックした場合は、デバイスが紛失モードになったときにデバイスに表示される情報を入力します。

デバイスに表示される情報の画像

次のいずれかの方法を使って紛失モードの状態を確認する:

  • [セキュリティ操作] ウィンドウで、ボタンが [紛失モードを無効化] であることを確認します。
  • [管理]>[デバイス] から、[セキュリティ][一般] タブで、[紛失モードを有効化]または[紛失モードを無効化]の最後の操作を確認します。

[一般] タブの画像

  • [管理]>[デバイス] から [プロパティ] タブで、[MDMの紛失モードの有効化] の設定値が正しいことを確認します。

[MDMの紛失モードの有効化]設定の画像

iOSデバイスでXenMobileの紛失モードを有効化すると、XenMobileコンソールも以下のように変更されます。

  • [構成]>[操作][操作] 一覧には、自動化された操作 [デバイスを失効][デバイスの選択的なワイプ][デバイスを完全にワイプ] は含まれません。
  • [管理]>[デバイス][セキュリティ操作] 一覧に、[失効] および [選択的なワイプ] デバイス操作が含まれなくなりました。必要に応じて、セキュリティ操作を使ってフルワイプを実行することは引き続き可能です。

iOS 7以降を実行しているiPad:iOSは「Lost iPad」という文字列をユーザーが [セキュリティ操作] 画面の [メッセージ] に入力した内容に追加します。

iOS 7以降を実行しているiPhone: [メッセージ] を空白にして電話番号を入力すると、Appleはメッセージ「Call owner」をデバイスのロック画面に表示します。

iOSアクティベーションロックのバイパス

アクティベーションロックは、紛失したり盗まれたりした管理対象デバイスが再アクティブ化されないようにすることを目的とした[iPhone/iPadを探す]の機能です。アクティベーションロックでは、ユーザーのApple IDとパスワードを入力してからでないと、[iPhone/iPadを探す]を無効にしたり、デバイスを消去したり、デバイスを再アクティブ化したりすることはできません。組織所有のデバイスの場合は、デバイスのリセットや再割り当てなどを行う際にアクティベーションロックをバイパスする必要があります。

アクティベーションロックを有効にするには、XenMobile MDMオプションのデバイスポリシーを設定して展開します。その後はユーザーのApple資格情報なしで、XenMobileコンソールからデバイスを管理することができます。アクティベーションロックで必要なApple資格情報の入力をバイパスするには、XenMobileコンソールから[アクティベーションロックバイパス]のセキュリティ操作を発行します。

たとえば、紛失したiPhoneがユーザーによって返却されたり、フルワイプの前または後にデバイスを設定したりする場合、iPhoneでiTunesアカウントの資格情報を入力するよう求められた際に、XenMobileコンソールから[アクティベーションロックバイパス]のセキュリティ操作を発行することでこの手順をバイパスすることができます。

アクティベーションロックバイパスのデバイス要件

  • iOS 7.1(最小バージョン)
  • Apple ConfiguratorまたはApple DEPによる監視対象である
  • iCloudアカウントで構成済みである
  • [iPhone/iPadを探す]が有効になっている
  • XenMobileに登録済みである
  • MDMオプションデバイスポリシー(アクティベーションロックが有効になっている)がデバイスに展開されている

デバイスのフルワイプを発行する前にアクティベーションロックをバイパスするには、次の手順を実行します:

  1. [管理]>[デバイス] の順に選択し、デバイスを選択して [保護][アクティベーションロックバイパス] の順にクリックします。
  2. デバイスをワイプします。デバイスの設定時に、アクティベーションロック画面は表示されません。

デバイスのフルワイプを発行した後にアクティベーションロックをバイパスするには、次の手順を実行します:

  1. デバイスをリセットまたはワイプします。デバイスの設定時に、アクティベーションロック画面が表示されます。
  2. [管理]>[デバイス] の順に選択し、デバイスを選択して [保護][アクティベーションロックバイパス] の順にクリックします。
  3. デバイスの[戻る]ボタンをタップします。ホーム画面が開きます。

次のことに注意してください:

  • ユーザーが[iPhone/iPadを探す]を無効にしないようアドバイスしてください。デバイスから完全に消去しないでください。いずれの場合も、ユーザーはiCloudアカウントのパスワードを入力するよう求められます。アカウントの検証後にすべてのコンテンツと設定が消去されると、iPhone/iPadのアクティブ化画面がユーザーに表示されなくなります。
  • 作成されたアクティベーションロックバイパスコードがあり、アクティベーションロックが有効になっているデバイスの場合は、フルワイプ後に[iPhone/iPadのアクティブ化]ページをバイパスできなくても、XenMobileからデバイスを削除する必要はありません。管理者またはユーザーがAppleサポートに連絡することで、デバイスのブロックを直接解除することができます。
  • ハードウェアインベントリの際に、XenMobileはデバイスでアクティベーションロックバイパスコードの照会を行います。バイパスコードが使用可能な場合は、デバイスからXenMobileにバイパスコードが送信されます。その後、バイパスコードをデバイスから削除するには、XenMobileコンソールから[アクティベーションロックバイパス]のセキュリティ操作を送信します。この時点で、XenMobile ServerとAppleには、デバイスのブロック解除に必要なバイパスコードがあります。
  • [アクティベーションロックバイパス]のセキュリティ操作は、Appleのサービスの可用性に依存しています。操作がうまくいかない場合は、次の手順を実行してデバイスのブロックを解除できます。デバイスで、iCloudアカウントの資格情報を手動で入力します。または、[ユーザー名]フィールドは空のままにして、[パスワード]フィールドにバイパスコードを入力します。バイパスコードを見つけるには、[管理]>[デバイス] に移動し、デバイスを選択して [編集][プロパティ] の順にクリックします。[セキュリティ情報] の下に [アクティベーションロックバイパスコード] があります。