XenMobile Server

ユーザーアカウント、役割、および登録

XenMobileコンソールの [管理] タブおよび [設定] ページで、ユーザーアカウント、役割、登録を構成します。別途記載されていない限り、ここでは以下のタスクの手順を説明します。

  • ユーザーアカウントおよびグループ:
    • [管理]>[ユーザー] で、ユーザーアカウントを手動で追加するか、.csvプロビジョニングファイルを使用してアカウントをインポートし、ローカルグループを管理します。
    • [設定]>[ワークフロー] で、ワークフローを使用して、ユーザーアカウントの作成および削除を管理します。
  • ユーザーアカウントおよびグループの役割
    • [設定]>[役割ベースのアクセス制御] で、権限の定義済みセットである役割をユーザーとグループに割り当てます。これらの権限によって、システム機能に対するユーザーのアクセスレベルを制御します。詳しくは、「RBACを使用した役割の構成」を参照してください。
    • [設定]>[通知テンプレート] で通知テンプレートを作成または更新し、自動化された操作、登録、およびユーザーに送信される標準通知メッセージで使用できます。Secure Hub、SMTP、SMSの3つの異なるチャネル経由でメッセージを送信するための通知テンプレートを構成します。詳しくは、「通知テンプレートの作成および更新」を参照してください。
  • 登録セキュリティモードおよび招待状
    • [設定]>[登録] で、最大7つの登録セキュリティモードの構成と登録招待の送信を行います。各登録セキュリティモードに独自のセキュリティレベルと、ユーザーがデバイス登録時に実行する必要のある手順を設定します。
    • XenMobileでのユーザー登録のAutoDiscoveryを有効にする

ローカルユーザーアカウントを追加、編集、ロック解除、または削除するには

ローカルユーザーアカウントをXenMobileに手動で追加したり、プロビジョニングファイルを使用してアカウントをインポートしたりすることができます。プロビジョニングファイルからユーザーをインポートする手順については、「ユーザーアカウントをインポートするには」を参照してください。

  1. XenMobileコンソールで、[管理]>[ユーザー] の順にクリックします。[ユーザー] ページが開きます。

    ユーザー管理の画像

  2. [フィルターを表示] をクリックして一覧をフィルターします。

ローカルユーザーアカウントを追加するには

  1. [ユーザー] ページで、[ローカルユーザーの追加] をクリックします。[ローカルユーザーの追加] ページが開きます。

    ユーザー管理の画像

  2. 次の設定を構成します:

    • ユーザー名: 名前を入力します。このフィールドは必須です。名前にはスペースや大文字、小文字を含めることができます。
    • パスワード: 任意で、ユーザーのパスワードを入力します。パスワードは14文字以上にして、以下の条件のすべてを満たす必要があります:
      • 数字を2つ以上含む
      • 大文字と小文字をそれぞれ1つ以上含む
      • 特殊文字を1つ以上含む
      • 辞書にある単語や使用が制限された単語(Citrixのユーザー名やメールアドレスなど)は含めないでください。
      • 1111、1234、asdfなど、4文字以上の連続する文字や繰り返し文字、またはキーボードパターンを含めないでください。
    • 役割: 一覧から、ユーザーの役割を選択します。役割について詳しくは、「RBACを使用した役割の構成」を参照してください。選択できるオプションは以下のとおりです:
      • ADMIN
      • DEVICE_PROVISIONING
      • SUPPORT
      • USER
    • メンバーシップ: 一覧から、ユーザーを追加するグループを選択します。
    • ユーザープロパティ: 任意でユーザープロパティを追加します。追加するユーザープロパティごとに、[追加] をクリックして以下の操作を行います:
      • ユーザープロパティ: 一覧からプロパティを選択し、プロパティの横のフィールドにユーザープロパティ属性を入力します。
      • [完了] をクリックしてユーザープロパティを保存するか、[キャンセル] をクリックします。

    既存のユーザープロパティを削除するには、プロパティが含まれる行の上にマウスポインターを置き、右側の [X] をクリックします。プロパティがすぐに削除されます。

    既存のユーザープロパティを編集するには、プロパティを選択して変更を加えます。[完了] をクリックして変更した項目を保存するか、[キャンセル] をクリックして項目を変更せずそのままにします。

  3. [保存] をクリックします。

ローカルユーザーアカウントを編集するには

  1. [ユーザー] ページのユーザー一覧で、ユーザーをクリックして選択してから [編集] をクリックします。[ローカルユーザーの編集] ページが開きます。

    ユーザー構成ページの画像

  2. 必要に応じて以下の情報を変更します。

    • ユーザー名: ユーザー名は変更できません。
    • パスワード: ユーザーパスワードを変更または追加します。
    • 役割: 一覧から、ユーザーの役割を選択します。
    • メンバーシップ: 一覧から、ユーザーアカウントを追加または編集するグループを選択します。ユーザーアカウントをグループから削除するには、グループ名の横にあるチェックボックスをオフにします。
    • ユーザープロパティ: 次のいずれかを行います:
      • 変更するユーザープロパティごとに、プロパティを選択して変更を加えます。[完了] をクリックして変更した項目を保存するか、[キャンセル] をクリックして項目を変更せずそのままにします。
      • 追加するユーザープロパティごとに、[追加] をクリックして以下の操作を行います:
        • ユーザープロパティ: 一覧からプロパティを選択し、プロパティの横のフィールドにユーザープロパティ属性を入力します。
        • [完了] をクリックしてユーザープロパティを保存するか、[キャンセル] をクリックします。
      • 削除する既存のユーザープロパティごとに、プロパティが含まれる行の上にマウスポインターを置き、右側の [X] をクリックします。プロパティがすぐに削除されます。
  3. [保存] をクリックして変更を保存するか、[キャンセル] をクリックしてユーザーを変更せずそのままにします。

ローカルユーザーアカウントのロックを解除するには

  1. [ユーザー] ページのユーザーアカウント一覧で、ユーザーアカウントをクリックして選択します。

  2. [ローカルユーザーのロック解除] をクリックします。確認ダイアログボックスが開きます。

  3. [ロック解除] をクリックしてユーザーアカウントのロックを解除するか、[キャンセル] をクリックしてユーザーを変更しないままにします。

ローカルユーザーアカウントを削除するには

  1. [ユーザー] ページのユーザーアカウント一覧で、ユーザーアカウントをクリックして選択します。

各ユーザーアカウントの横のチェックボックスをオンにして、削除するユーザーアカウントを複数選択できます。

  1. [削除]をクリックします。確認ダイアログボックスが開きます。

  2. [削除] をクリックしてユーザーアカウントを削除するか、[キャンセル] をクリックします。

Active Directoryユーザーを削除するには

一度に1人または複数のActive Directoryユーザーを削除するには、該当するユーザーを選択して [削除] をクリックします。

削除したユーザーがデバイスを登録していて、これらのデバイスを再登録する必要がある場合、再登録前に対象のデバイスを削除してください。デバイスを削除するには、[管理]>[デバイス] の順に選択し、対象のデバイスを選択して [削除] をクリックします。

ユーザーアカウントのインポート

ローカルユーザーアカウントやプロパティを、プロビジョニングファイルと呼ばれる.csvファイルからインポートできます。このファイルは手動で作成できます。プロビジョニングファイルの形式について詳しくは、「プロビジョニングファイル形式」を参照してください。

注:

  • ローカルユーザーの場合は、インポートファイル内のユーザー名とともにドメイン名を使用します。たとえば、username@domainのように指定します。作成またはインポートしたローカルユーザーがXenMobileの管理対象ドメイン用である場合、このユーザーは対応するLDAP資格情報を使って登録することはできません。
  • XenMobileの内部ユーザーディレクトリにユーザーアカウントをインポートする場合は、インポートプロセスの速度を上げるため、デフォルトのドメインを無効にします。ドメインの無効化によって登録が影響を受けることがあります。そのため、内部ユーザーのインポートを完了した後、デフォルトのドメインを再度有効にする必要があります。
  • ローカルユーザーはユーザープリンシパル名(UPN:User Principal Name)形式で指定できます。ただし、管理対象ドメインは使用しないことをお勧めします。たとえば、example.comが管理対象である場合、「user@example.com」というUPN形式のローカルユーザーは作成しないでください。

プロビジョニングファイルを準備した後、以下の手順に従ってファイルをXenMobileにインポートします。

  1. XenMobileコンソールで、[管理]>[ユーザー] の順にクリックします。[ユーザー] ページが開きます。

  2. [ローカルユーザーのインポート] をクリックします。[プロビジョニングファイルのインポート] ダイアログボックスが開きます。

    ユーザー管理の画像

  3. インポートするプロビジョニングファイルの形式として、[ユーザー] または [プロパティ] を選択します。

  4. [参照] をクリックして使用するプロビジョニングファイルの場所へ移動し、そのファイルを選択します。

  5. [インポート] をクリックします。

プロビジョニングファイル形式

プロビジョニングファイルを手動で作成して、XenMobileへのユーザーアカウントやプロパティのインポートに使用できます。有効な形式は次のとおりです:

  • ユーザープロビジョニングファイルのフィールド: user;password;role;group1;group2
  • ユーザー属性プロビジョニングファイルのフィールド: user;propertyName1;propertyValue1;propertyName2;propertyValue2

注:

  • プロビジョニングファイル内のフィールドはセミコロン(;)で区切ります。フィールドの一部としてセミコロンが含まれる場合は、バックスラッシュ文字(\)を使ってエスケープする必要があります。たとえば、プロパティpropertyV;test;1;2は、プロビジョニングファイルでは「propertyV\\;test\\;1\\;2」と入力します。
  • 役割として有効な値は、定義済みの役割であるUSER、ADMIN、SUPPORT、DEVICE_PROVISIONINGのほか、ユーザーが定義した役割です。
  • グループの階層構造を作成するための区切り文字としてピリオド(.)を使用します。グループ名にピリオドは使用しないでください。
  • 属性プロビジョニングファイル内のプロパティ属性には小文字を使用してください。データベースの大文字と小文字は区別されます。

ユーザープロビジョニングファイルの内容例

エントリ「user01;pwd\\;o1;USER;myGroup.users01;myGroup.users02;myGroup.users.users01」の意味:

  • ユーザー: user01
  • パスワード: pwd;01
  • 役割: USER
  • グループ:
    • myGroup.users01
    • myGroup.users02
    • myGroup.users.users.users01

別の例「AUser0;1.password;USER;ActiveDirectory.test.net」の意味:

  • ユーザー: AUser0
  • パスワード: 1.password
  • 役割: USER
  • グループ: ActiveDirectory.test.net

ユーザー属性プロビジョニングファイルの内容例

エントリ「user01;propertyN;propertyV\;test\;1\;2;prop 2;prop2 value」の意味:

  • ユーザー: user01
  • プロパティ1:
    • 名前: propertyN
    • 値: propertyV;test;1;2
  • プロパティ2:
    • 名前: prop 2
    • 値: prop2 value

登録セキュリティモードを構成する

デバイスの登録セキュリティモードを構成して、XenMobileへのデバイスの登録に使用するセキュリティレベルと通知テンプレートを指定します。

XenMobileには7つの登録セキュリティモードがあり、それぞれに独自のセキュリティレベルと、ユーザーがデバイスを登録するときに行う必要がある手順があります。登録セキュリティモードの構成は、XenMobile Serverコンソールの [設定]>[登録] ページから行います。

一部のモードはSelf Help Portalで使用可能にすることができます。ポータルから、デバイスを登録できる登録リンクを生成します。iOS、iPadOS、macOS、Android Enterprise、従来のAndroidユーザーは、ポータルから登録招待状を自分に送信できます。登録招待状は、Windowsデバイスでは利用できません。

登録招待の送信は、[管理]>[登録招待] ページから行います。詳しくは、「登録招待の送信」を参照してください。

注:

カスタム通知テンプレートを使用する予定の場合は、登録セキュリティモードを構成する前にテンプレートを設定しておく必要があります。通知テンプレートについて詳しくは、「通知テンプレートの作成または更新」を参照してください。

  1. XenMobileコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [登録] をクリックします。[登録] ページが開き、すべての使用可能な登録セキュリティモードの表が表示されます。デフォルトでは、すべての登録セキュリティモードが有効です。

  3. 一覧から登録セキュリティモードを選択して編集します。編集が完了したら、編集後のモードをデフォルトとして設定するか、無効にするか、またはユーザーがSelf Help Portalからアクセスできるようにします。

    注:

    登録セキュリティモードの横のチェックボックスを選択すると、登録セキュリティモード一覧の上にオプションメニューが表示されます。一覧で項目をクリックして、その項目の右側にオプションメニューを表示できます。

    [登録招待]設定の画像

    次の登録セキュリティモードから選択します:

    • ユーザー名およびパスワード
    • 高セキュリティ
    • 招待 URL
    • 招待URLおよびPIN
    • 招待URLおよびパスワード
    • 2要素認証
    • ユーザー名およびPIN

    登録招待状を使用すると、招待状を持つユーザーだけが登録できるように制限できます。 登録招待状を送信するには、登録セキュリティモードとして、[招待URL][招待URLおよびPIN]、または [招待URLおよびパスワード] のいずれかのみを使用できます。[ユーザー名およびパスワード][2要素認証][ユーザー名およびPIN]のいずれかで登録するデバイスの場合、Secure Hubに資格情報を手動で入力する必要があります。

    ワンタイムPIN(OTP:One-Time PIN)登録招待状は、2要素認証として使用できます。OTP登録招待状では、ユーザーが登録可能なデバイスの数を制限できます。OTPの招待状はWindowsデバイスでは利用できません。

登録セキュリティモードを編集するには

  1. [登録] の一覧で登録セキュリティモードを選択し、[編集] をクリックします。[登録モードの編集] ページが開きます。選択したモードによって、表示されるオプションが変わります。

    登録セキュリティモードの編集

  2. 必要に応じて以下の情報を変更します。

    • 有効期限: ユーザーがデバイスを登録できなくなる、有効期限を入力します。この値は、ユーザーおよびグループの登録招待状構成ページに表示されます。

      招待の有効期限が切れないようにするには0を入力します。

    • 日: 一覧から、[有効期限] ボックスに入力した有効期限に応じて、[日] または [時間] を選択します。
    • 最大試行数: 登録処理からロックアウトされるまでにユーザーが実行できる登録の試行回数を入力します。この値は、ユーザーおよびグループの登録招待状構成ページに表示されます。

      無制限に試行できるようにするには0を入力します。

    • PIN長: 生成されるPINの長さを設定する数字を入力します。
    • 数字: 一覧から、PINの種類として、[数字] または [英数字] を選択します。

    • 通知テンプレート:

      • 登録URL用テンプレート: 一覧から、登録URLに使用するテンプレートを選択します。たとえば、登録招待テンプレートでは、ユーザーにメールまたはSMSが送信されます。通知方法は、XenMobileへのデバイスの登録に使用するテンプレートの構成内容によって決まります。通知テンプレートについて詳しくは、「通知テンプレートおよび作成または更新」を参照してください。
      • 登録PIN用テンプレート: 一覧から、登録PINに使用するテンプレートを選択します。
      • 登録確認用テンプレート: 一覧から、登録が成功したことをユーザーに通知するときに使用するテンプレートを選択します。
  3. [保存] をクリックします。

登録セキュリティモードをデフォルトとして設定するには

登録セキュリティモードをデフォルトとして設定すると、別の登録セキュリティモードを選択しない限り、そのモードがすべてのデバイス登録要求に対して使用されます。デフォルトとして設定されている登録セキュリティモードがない場合は、デバイス登録ごとに登録の要求を作成する必要があります。

注:

デフォルトの登録セキュリティモードとして使用できるのは、[ユーザー名およびパスワード][2要素][ユーザー名およびPIN] のいずれかのみです。

  1. [ユーザー名およびパスワード][2要素][ユーザー名およびPIN] のいずれかをデフォルトの登録セキュリティモードとして設定します。

    モードをデフォルトとして使用するには、まずそのモードを有効化する必要があります。

  2. [デフォルト] をクリックします。これにより、選択したモードがデフォルトになります。ほかの登録セキュリティモードがデフォルトとして設定されていた場合、そのモードはデフォルトでなくなります。

登録セキュリティモードを無効化するには

登録セキュリティモードを無効化すると、その登録セキュリティモードは、グループ登録招待状でもSelf Help Portalでも使用できなくなります。ある登録モードを無効化して別の登録セキュリティモードを有効化することで、ユーザーがデバイスを登録できる方法を変更できます。

  1. 登録セキュリティモードを選択します。

    デフォルトの登録セキュリティモードは無効化できません。デフォルトの登録セキュリティモードを無効化するには、登録モードのデフォルト状態をまず解除する必要があります。

  2. [無効化] をクリックします。登録セキュリティモードが有効でなくなります。

Self Help Portalで登録セキュリティモードを有効化するには

Self Help Portalで登録セキュリティモードを有効化すると、ユーザーが個別にデバイスをXenMobileに登録できます。

注:

  • Self Help Portalで登録セキュリティモードを使用できるようにするには、登録が有効化され、通知テンプレートにバインドされている必要があります。
  • Self Help Portalでは、登録セキュリティモードを一度に1つのみ有効化できます。
  1. 登録セキュリティモードを選択します。

  2. [Self Help Portal] をクリックします。選択した登録セキュリティモードをSelf Help Portalでユーザーが使用できるようになります。Self Help Portalで既に有効化されていたモードがあった場合、ユーザーはそれを使用できなくなります。

グループの追加または削除

グループの管理は、XenMobileコンソールの [グループ管理] ダイアログボックスで行います。このダイアログボックスは、[ユーザー] ページ、[ローカルユーザーの追加] ページ、または [ローカルユーザーの編集] ページからアクセスできます。グループ編集コマンドはありません。

グループを削除する場合、グループを削除してもユーザーアカウントには影響しない点に注意してください。グループを削除しても、そのグループとユーザーの関連付けが削除されるだけです。また、ユーザーは、そのグループに関連付けられているデリバリーグループによって提供されているアプリやプロファイルにアクセスできなくなります。ただし、そのほかのグループ関連付けはそのまま保持されます。ほかのローカルグループに関連付けられていないユーザーは、最上位レベルで関連付けられます。

ローカルグループを追加するには

  1. 次のいずれかを行います:

    • [ユーザー] ページで、[ローカルグループの管理] をクリックします。

    ユーザーグループ管理の画像

    • [ローカルユーザーの追加] ページまたは [ローカルユーザーの編集] ページで、[グループの管理] をクリックします。

    ユーザーグループ管理の画像

    [グループ管理] ダイアログボックスが開きます。

    ユーザーグループ管理の画像

  2. グループの一覧の下で、新しいグループ名を入力してプラス記号(+)をクリックします。ユーザーグループが一覧に追加されます。

  3. [閉じる] をクリックします。

グループを削除するには

グループを削除してもユーザーアカウントには影響ありません。グループを削除しても、そのグループとユーザーの関連付けが削除されるだけです。また、ユーザーは、そのグループに関連付けられているデリバリーグループによって提供されているアプリやプロファイルにアクセスできなくなります。ただし、そのほかのグループ関連付けはそのまま保持されます。ほかのローカルグループに関連付けられていないユーザーは、最上位レベルで関連付けられます。

  1. 次のいずれかを行います:

    • [ユーザー] ページで、[ローカルグループの管理] をクリックします。
    • [ローカルユーザーの追加] ページまたは [ローカルユーザーの編集] ページで、[グループの管理] をクリックします。

    [グループ管理] ダイアログボックスが開きます。

    ユーザーグループ管理の画像

  2. [グループ管理] ダイアログボックスで、削除するグループを選択します。

  3. グループ名の右側のごみ箱アイコンをクリックします。確認ダイアログボックスが開きます。

  4. [削除] をクリックして操作を確認し、グループを削除します。

    重要:

    この操作を元に戻すことはできません。

  5. [グループ管理] ダイアログボックスで、[閉じる] をクリックします。

ワークフローの作成および管理

ワークフローを使用して、ユーザーアカウントの作成および削除を管理できます。ワークフローを使用する前に、ユーザーアカウント要求を承認する権限を持つ組織内のユーザーを特定する必要があります。その後で、ワークフローテンプレートを使用して、ユーザーアカウント要求を作成および承認できます。

XenMobileを初めて設定するときに、ワークフローのメール設定を構成します。これは、ワークフローを使用する前に設定する必要があります。ワークフローの電子メール設定はいつでも変更できます。これらの設定には、メールサーバー、ポート、メールアドレス、およびユーザーアカウントの作成要求に承認が必要かどうかなどが含まれます。

XenMobileの次の2つの方法でワークフローを構成できます:

  • XenMobileコンソールの [ワークフロー] ページ。[ワークフロー] ページでは、アプリの構成で使用する複数のワークフローを構成できます。[ワークフロー]ページでワークフローを構成するとき、アプリを構成するときのワークフローを選択できます。
  • アプリケーションコネクタを構成するとき、アプリで、ワークフロー名を入力し、ユーザーアカウント要求を承認できるユーザーを構成します。「XenMobileへのアプリケーションの追加」を参照してください。

ユーザーアカウントの管理者承認を最大3レベルまで割り当てることができます。ほかのユーザーにユーザーアカウントを承認してもらう必要がある場合は、名前またはメールアドレスでユーザーを検索して選択します。XenMobileでユーザーが見つかったら、そのユーザーをワークフローに追加します。ワークフローのすべてのユーザーが、新しいユーザーアカウントを承認または却下するための電子メールを受け取ります。

  1. XenMobileコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [ワークフロー] をクリックします。[ワークフロー] ページが開きます。

  3. [追加] をクリックします。[ワークフローの追加] ページが開きます。

    ワークフロー管理の画像

  4. 次の設定を構成します:

    • 名前: ワークフローの固有の名前を入力します。
    • 説明: 任意で、ワークフローの説明を入力します。
    • メール承認テンプレート: 一覧から、割り当てる電子メール承認テンプレートを選択します。電子メールテンプレートの作成は、XenMobileコンソールの [設定][通知テンプレート] セクションで行います。このフィールドの右にある、目のアイコンをクリックすると、構成中のテンプレートのプレビューが表示されます。
    • マネージャー承認のレベル: 一覧から、このワークフローで必要なマネージャー承認のレベル数を選択します。デフォルトは [1つのレベル] です。選択できるオプションは以下のとおりです:
      • 不必要
      • 1つのレベル
      • 2つのレベル
      • 3つのレベル
    • Active Directoryドメインの選択: 一覧から、ワークフローで使用する適切なActive Directoryドメインを選択します。
    • 追加の必須承認者を検索: 検索フィールドにユーザー名を入力して、[検索] をクリックします。名前はActive Directoryで取得されます。
    • ユーザーの名前がフィールドに表示されたら、名前の横にあるチェックボックスをオンにします。ユーザーの名前とメールアドレスが [選択した追加の必須承認者] の一覧に表示されます。
      • 一覧からユーザー名を削除するには、次のいずれかの操作を行います:
        • [検索] をクリックして、選択したドメイン内のすべてのユーザーの一覧を表示します。
        • 名前の全体または一部を検索ボックスに入力して [検索] をクリックし、検索結果を絞り込みます。
        • [選択した追加の必須承認者] の一覧に含まれるユーザーは、結果一覧に表示される名前の横にチェックマークがあります。一覧をスクロールし、削除するそれぞれの名前の横のチェックボックスをオフにします。
  5. [保存] をクリックします。作成したワークフローが [ワークフロー] ページに表示されます。

ワークフローを作成すると、ワークフローの詳細を表示したり、ワークフローに関連付けられたアプリを表示したり、ワークフローを削除したりできます。ワークフローを作成した後でワークフローを編集することはできません。承認レベルまたは承認者が異なるワークフローが必要な場合は、別のワークフローを作成します。

ワークフローの詳細の表示および削除を行うには

  1. [ワークフロー] ページの既存のワークフロー一覧で特定のワークフローを選択します。この選択を行うには、表の列をクリックするか、ワークフローの横にあるチェックボックスをオンにします。

  2. ワークフローを削除するには、[削除] をクリックします。確認ダイアログボックスが開きます。もう一度 [削除] をクリックします。

    重要:

    この操作を元に戻すことはできません。

ユーザーアカウント、役割、および登録