10.79 のリリース・ノート - 2020 年 9 月 11 日

• ユーザー登録の強化： 10.78 プラットフォーム・リリースでは、 MaaS360、従業員が所有する（BYOD）デバイス用に設計された新しい登録モードであるユーザー登録のサポートが追加されました。 自己登録については、 MaaS360 IBM MaaS360 Portal に、BYOD デバイスがマネージドまたはユーザー登録モードのどちらで登録されるかを示す、対応するデバイス登録設定を追加しました。 このリリースでは、 MaaS360、ユーザー登録に以下の機能が追加されました：
  • デバイスの追加ワークフローに iOS ユーザー登録チェックボックスが追加されました：管理者が ［デバイス ］>［ 登録 ］>［ デバイスの追加］ ワークフローから登録リクエストを作成する場合、デバイスの登録モードとして［ユーザー登録］を選択できます。 新規の「iOS ユーザー登録を使用した登録 (Enroll using iOS User Enrollment)」チェック・ボックスは、デフォルトですべてのカスタマーが使用できます。 ユーザー登録では、管理者が登録要求を作成する前にデバイス登録設定を事前構成する必要はありません。 注意: 有効な管理対象 Apple ID を持つユーザー・アカウントは、ユーザー登録で登録要求を作成するための前提条件です。 「iOS ユーザー登録を使用した登録 (Enroll using iOS User Enrollment)」オプションを選択すると、「デバイスの追加」ワークフローで「デバイス所有者情報」がデフォルトで「従業員」に設定されます。
  • MaaS360 認証プロンプトを削除し、登録体験を簡素化しました： 10.78 プラットフォームリリースのデバイス登録では、 MaaS360 2つの認証画面が表示されました。 MaaS360 ユーザー認証（One Time Passcode、LDAP/AD、またはローカルユーザー）とManaged Apple IDです。 シームレスな登録体験を提供するため、 MaaS360、登録および構成プロファイルをダウンロードする前に表示されていたユーザー認証画面（ワンタイムパスコード、LDAP/AD、またはローカルユーザー）の追加レイヤーを削除し、ユーザーがマネージドApple IDに対して認証を行うことで登録を完了できるようにしました。
  • User Enrolled devicesのサポートアプリ: MaaS360 は、User Enrolled devicesへのユーザーライセンスVPPアプリ、エンタープライズアプリ、ウェブクリップの配布をサポートします。 デバイス・ライセンス VPP アプリとパブリック iTunes アプリはサポートされていません。
• 新規の管理対象 Apple ID 機能
  • 「ユーザー・サマリー」ページで、Active Directory、LDAP、Azure AD などのすべてのタイプのユーザー・レコードの「管理対象 Apple ID」フィールドを編集できるようになりました。 詳細については、 IBM MaaS360 ポータルでユーザーを追加するを参照してください。
  • 「ユーザー・サマリー」ページで、管理者は、管理対象 Apple ID として E メール・アドレスを使用できるようになりました。管理対象 Apple ID をユーザーごとに個別に入力する必要はありません。 ユーザ設定 > 基本 > マネージドApple IDとしてメールアドレスを使用 ]設定を選択すると、[ ユーザサマリー] ページの [マネージドApple ID] フィールドが空白であっても、ユーザ登録のデプロイメントではユーザのメールアドレスが自動的にマネージドApple IDとして使用されます。 注意: この機能は、 ユーザーサマリーページの Managed Apple ID フィールドにメールアドレスを自動的に入力しません。 詳細については、 IBM MaaS360 ポータルのユーザー設定の構成を参照してください。
• IBM MaaS360 ポータルで APNS証明書のシリアル番号を表示：管理者は、 IBM サポートに連絡することなく、 IBM MaaS360 ポータルで直接APNS証明書のシリアル番号を確認できるようになりました。 シリアル番号は、APNS 証明書をセットアップするために使用される Apple ID です。 以前に APNS 証明書のセットアップに使用した Apple ID 資格情報を使用できなくなった場合は、Apple ID を変更することもできます。

• 非準拠デバイスで App Catalog （管理対象）アプリをブロックします： Enforce Compliance フラグを使用する App Catalog から配布されるアプリは、非準拠の Android Enterprise デバイスでブロックされます。 以前のリリースでは、アプリを一時停止する代わりに、 MaaS360、それらのアプリへのアクセスをブロックするオーバーレイ画面が表示されていた。 注： この機能はAndroid 7.0 +デバイスでサポートされており、Androidバージョン 7.20 +用の MaaS360。詳細については https://www.ibm.com/support/pages/node/6327145.
• キオスク・モードでのユーザー・インターフェースの再設計および新規の機能拡張: キオスク・モードでのユーザー・インターフェースが再設計されて、ユーザビリティーが向上し、よりクリーンで単純な設計が提供されるようになりました。 MaaS360 また、アプリのアクションショートカットが強化され、シングルアプリモードで60秒のカウントダウンタイマーが使えるようになりました。 詳しくは https://www.ibm.com/support/pages/node/6327147.
• デバイス所有者の登録時にデバイスをロック：ユーザーがデバイス登録画面をスキップするのを防ぐため、 MaaS360、デバイス登録が完了するまでデバイスをロックするサポートが追加されました。 管理者は、「デバイスの所有者」登録構成中にデバイスに対してキーと値のペアとしてデバイスのロック・アクションを発行します。 この設定を有効にすると、デバイスの再起動後に MaaS360 アプリが自動的に起動し、デバイスの登録が再開されます。 登録が成功すると、ロックが解除され、ユーザーはデバイスにアクセスできます。 注： この機能は、デバイス所有者の登録に対応しています：QRコード、ZTE、KME、 MaaS360 for Android version 7.20 +が必要です。
• デバイス所有者の登録設定（JSON）ファイルにカスタムパラメータを渡す： MaaS360 では、管理者が登録設定（JSON）ファイルにカスタムパラメータを渡すことができるようになりました。 管理者は、Android Enterprise の QR コード、ZTE、KME プロビジョニング・ウィンドウの「カスタム属性」フィールドを使用して、キーと値のペアの形式で最大で 10 個のパラメーターを追加できます。 MaaS360 エージェントは、デバイス所有者の登録中にこれらのパラメータを読み取り、デバイスに対応するアクションを発行します。 以前のリリースでは、管理者は、JSON ファイルにパラメーターを手動で追加していました。 詳しくは https://www.ibm.com/support/pages/node/6327331.
• One LockまたはUnified Passwordのステータスによってデバイスを識別するための新しい属性を追加しました。 MaaS360、 Device Summary > Security & Complianceに新しいデバイス属性 One Lock Statusが追加され、管理者はデバイスとワークプロファイルの両方で有効化された同じパスワードを使用するデバイスを追跡できるようになりました。 管理者は、詳細検索を使用して、統合パスワード・ステータスに基づいてデバイスをフィルタリングすることもできます。
• セレクティブ・ワイプの実行時の ActiveSync 構成の削除: デバイスでポリシーの変更、セレクティブ・ワイプ、および企業設定のリセット のアクションが実行された場合、ポリシーを使用して構成された企業 ActiveSync アカウントがデバイスから自動的にワイプされます。 セレクティブ・ワイプ・アクションが実行された場合、ユーザーは、それらの ActiveSync アカウントを再構成する必要があります。 注： この機能はAndroid Enterprise (PO and DO)モードでのみサポートされ、 MaaS360 for Android agent 7.20 +が必要です。
• すべてのカスタマーへの Samsung Knox Platform for Enterprise (KPE) アクティブ化の提供: 以前のリリースでは、KPE アクティブ化サポートは、新規のカスタマーに対してロールアウトされました。 10.79 プラットフォーム・リリースから、KPE のアクティベーションはデフォルトですべての顧客に提供され、 MaaS360 エージェントのアップグレードまたは登録時に KPE キーが自動的に展開され、アクティベートされます。 詳細については、 サムスンのライセンス管理を参照してください。
• COPE (Corporate-Owned, Personally Enabled) mode end-of-life: MaaS360 marks COPE mode for end-of-life with MaaS360 for Android 7.20. MaaS360 COPE（Corporate-Owned, Personally Enabled）の新規登録はサポートされず、COPEモードでデバイスを登録するための設定オプションは、 IBM Portalから MaaS360 削除されました。 管理者は、COPE フラグが true に設定された古い構成プロファイル QR コードまたは JSON ファイルを再生成できます。
• MaaS360 エージェントが Android Q (10) API をターゲットにしている場合の Android 10+ デバイスでの動作：Android 10では、Device Adminモードが正式に廃止されました。 デバイス管理ポリシー機能の一部は、 MaaS360 アプリのバージョン 7.20 + で Android 10+ ではサポートされなくなりました。詳細については https://www.ibm.com/support/pages/node/6091042.

• Windows 10 Homeデバイス登録サポート：より多くの従業員がリモートで働くようになり、企業ではWindows Home Editionの利用が増加しています。 IBM MaaS360 Portalでの Windows 10（教育、エンタープライズ、プロフェッショナル）デバイスのサポートに加え、 MaaS360、管理者はWindows 10 Homeデバイスへのソフトウェア配布とOSパッチ管理も登録、管理、サポートできるようになった。

  MaaS360 管理者から電子メールまたはテキストメッセージで送信される 登録要求 通知を受け取った後、デバイスユーザーが Windows 10 Home デバイスまたは Windows (Education, Enterprise, Professional) デバイスを MaaS360 URL IBM MaaS360 ポータルに登録するオプションを可能にする新しい Windows 10 デバイス登録ワークフローを追加します。

  Windows 10 Homeデバイスは、 IBM MaaS360 ポータルに、Windows 7で通常使用される従来のエージェントベースの管理を使用するDTMモードで登録され、Windows 10（Education、Enterprise、Professional）デバイスは、Windows 10 MDM APIに基づいて構築された最新の管理機能を使用するMDMモードで登録されます。

  注:

  • IBM MaaS360 Portal の新規アカウントの場合は、 IBM MaaS360 Portal の Setup > Services で Laptop and Desktop Management 設定が有効になっていることを確認してください。
  • 既存の IBM MaaS360 Portal アカウントの場合、このサービスはすでに有効になっており、DTM モードを使用して Windows 10 Home デバイスの登録を開始できます。
  • Windows 7 デバイスを DTM モードに登録する方法については、 IBM サポートにお問い合わせください。

  詳細については、 Windows 10+デバイスの登録ワークフローを参照してください。

• TeamViewer Windows 10デバイスの無人リモートアクセスサポート： TeamViewer IBM Portalから MaaS360、管理対象デバイスへのリモートサポート（リモートビューおよびリモートコントロール）を提供します。 MaaS360 と TeamViewer の統合により、リモート・サポート・セッションの一環として管理対象デバイスを表示または制御し、直接サポートに出向くことなくデバイスの問題をトラブルシューティングすることができます。

  Windows 10デバイスがリモートサポートの TeamViewer's 無人アクセスモードに対応しました。 TeamViewer の無人アクセス・モードにより、管理者は、エンド・ユーザーの介入を必要とすることなく、リモート・デバイスへの永続アクセスを構成できます。 この機能は、Windows 10 MDM管理デバイスでのみサポートされています。 この機能は、Windows DTM登録デバイスをサポートしていません。

  詳細については、 TeamViewer 無人アクセスのためのリモート・セッション・リクエストの送信を参照してください。

• 新しいMicrosoft Defender Application Guardポリシー： MaaS360 Windows MDMポリシーにMicrosoft Defender Application Guard設定のサポートが追加されました。 ハードウェアベースのエンドポイントディフェンスであるApplication Guardは、 Microsoft Edge に組み込まれているセキュリティツールである。 Application Guard は、悪意のあるアクティビティーがデスクトップに到達しないように、エンタープライズ定義の信頼できないサイトを仮想マシン (VM) 内のデスクトップ (ホスト) から隔離します。 この機能はWindows 10のバージョン1709以降でサポートされている。

  このポリシーでは、ユーザーが Edge ブラウザーを使用して信頼できないサイトにアクセスすると、ブラウザーは、ホスト・マシンとは別個の隔離された Hyper-V 対応コンテナー内でそのサイトを開きます。 コンテナー内で隔離された信頼できないサイトが悪意のあるサイトである場合、ホスト・マシンは保護され、攻撃者はエンタープライズ・データにアクセスできません。

  Application Guard を使用するために、管理者は、グループ・ポリシーで設定を一度構成し、その設定を多数のコンピューターにコピーします。 例えば、ドメインにリンクされている GPO で複数のセキュリティー設定をセットアップし、それらのすべての設定をドメイン内の各コンピューターに適用することができます。 管理者は、組織での Application Guard の実装を管理するために、以下のポリシー設定を構成できます。

  • クリップボードの動作とコンテンツ: ユーザーのデバイスと Application Guard コンテナーとの間でテキストとイメージに対して許可されるコピー・アンド・ペースト・アクションを選択します。
  • コンテナーからの印刷: ユーザーは、Application Guard コンテナーからコンテンツを印刷できます (PDF ファイル、XPS ファイル、ローカル・プリンターからの印刷、ネットワーク・プリンターからの印刷)。
  • コンテナーでのカメラとマイクのアクセス: これらの設定がユーザーのデバイスでも有効になっている場合、Application Guard コンテナーはデバイスのカメラとマイクにアクセスできます。
  • ユーザーが生成したブラウザー・データの保存: Application Guard コンテナーのブラウズ・セッション中に作成されたユーザー・データ (パスワード、お気に入り、Cookie など) を保存します。
  • グラフィックス・アクセラレーション: グラフィックを集中的に使用するサイトで、仮想グラフィックス処理装置にアクセスしてビデオを高速でロードしたり、グラフィックスにデバイスの CPU を使用したりできます。 この設定はWindows 10のバージョン1803以降でサポートされています。
  • ホスト・ファイル・システムへのファイルのダウンロード: ユーザーは、Application Guard コンテナーからホスト・オペレーティング・システムにファイルをダウンロードするか、デバイス上でファイルをローカルに保持する (ホスト・ファイル・システムにファイルをダウンロードしない) ことができます。 この設定はWindows 10のバージョン1803以降でサポートされています。
  • エンタープライズ・サイトでの外部コンテンツのブロック: 未承認サイトからコンテンツがロードされないようにブロックするか、デバイス上で非エンタープライズ・サイトを開くことを許可します。 この設定は、Microsoft Defender Application GuardがEnterpriseモードで動作するWindows 10 EnterpriseまたはWindows 10 Education上の Microsoft Edge。
  • 証明書サムプリント: 特定のデバイス・レベルのルート証明書を Application Guard コンテナーと共有します。 この設定は、Windows 10 バージョン 1803 以降、 Microsoft Edge Windows 10 Enterprise、または Microsoft Defender Application Guard が Enterprise モードの Windows 10 Education でサポートされています。

  詳細については、 TeamViewer 無人アクセスのためのリモート・セッション・リクエストの送信を参照してください。

• カスタム OMA 設定ポリシーにおける ADMX バックアップされたポリシーのサポート： MaaS360 は、管理者が Windows ポリシーの一部としてカスタム OMA XML 設定ファイルを使用して、グループポリシー管理テンプレート（ADMX バックアップされたポリシー）を Windows 10 デバイスにプッシュできる新しいワークフローを提供します。 この機能はWindows 10のバージョン1703以降でサポートされている。

  ナレッジセンターのトピック「 Using custom OMA settings policy to push ADMX-backed policies to Windows devices（カスタム OMA 設定ポリシーを使用して ADMX バックアップされたポリシーを Windows デバイスにプッシュする ）」では、カスタム OMA 設定ポリシーを使用して ADMX バックアップされたポリシーのカスタム OMA XML 設定ファイルを作成し、そのコンテンツを IBM MaaS360 ポータルにアップロードしてから、そのポリシーを Windows 10 デバイスにプッシュする方法を説明しています。

• 新しいパッチ管理再起動設定: MaaS360 は、OSパッチがデバイスに適用された後、管理者がユーザーのデバイスで再起動が必要であることをユーザーに通知できるようにすることで、パッチ管理ワークフローに機能を追加します。

  デバイス・ユーザーには、 IBM MaaS360 Portal ユーザー・インターフェイスで特定の時間（分、時間、または日単位）を設定してデバイスの再起動を延期するか、または直ちに再起動を選択するオプションが提供されます。 管理者は、デバイスの再始動のしきい値日付を構成します。 デバイス・ユーザーは、しきい値の日付に達するまで、再起動を複数回延期できます。 この延期により、作業を継続し、都合のいいタイミングでデバイスを再起動するのに十分な時間がユーザーに提供されます。 詳しくは、 OSパッチをWindowsデバイスに配布するを参照してください。

• アプリアップロード時の Windows エンタープライズアプリインストール成功基準の強化: MaaS360 Windows エンタープライズアプリインストールワークフローに機能を追加し、管理者がスクリプト/ジョブが Windows デバイス上で正常に実行されたかどうかを判断できる新しいインストール基準オプションを提供します。 新規のインストール基準オプションを使用すると、管理者は、特定のレジストリー・キー、ファイル、またはプロセスが存在しないことを検査したり、終了コードを使用してスクリプト/ジョブがデバイス上で正常に実行されたことを検証したりできます。 以前のリリースでは、管理者は、特定のレジストリー・キー、ファイル、またはプロセスが存在することを検査することによって、スクリプト/ジョブがデバイス上で正常に実行されたかどうかを判別できるだけでした。
  MaaS360、Windows アプリ向けエンタープライズ アプリのアップロード時の 「インストールの関連性」成功基準設定が更新され、管理者に次の新しいインストール基準オプションが提供されるようになりました。 -

  • 管理者は、アプリのアップロード中にアプリが正常にアンインストールされたか、またはデバイスから削除されたかを判断するために、Windowsエンタープライズアプリの負のインストール成功/関連性基準を入力できるようになりました。 否定的なインストール成功基準/関連性基準を以下に示します。
    • レジストリー・キーが存在しない
    • ファイルが存在しません
    • プロセスが実行されていません
    この基準は、以下のアプリ・タイプに適用されます。
    • Windows インストーラー (.msi)
    • Windows 実行可能ファイル (.exe)
    • Windows スクリプト (.bat、.vbs、.ps1、.reg、.py)
  • 管理者は、アプリのアップロード中にアプリがデバイスから正常にアンインストールまたは削除されたかどうかを判別するために、終了コード・ベースのインストール成功基準を数値または数値のコンマ区切りリストとして入力できるようになりました。

詳細については、 Windows実行可能ファイル（exe）の追加を参照してください。

• Work プロファイル・デバイスでのエンタープライズ・アプリ・サポート: 管理者は、エンタープライズ (企業) アプリを Work プロファイル (PO) デバイスにデプロイできるようになりました。 デプロイ後、管理者は IBM MaaS360 Portal でアプリのステータスを追跡することもできます。

  「アプリのサマリー」ページからのアプリのレビューの削除: ユーザーがアプリの不適切なレビューを提供した場合、管理者は、「アプリのサマリー」ページからそのアプリのすべてのレビューを削除できるようになりました。 詳しくは https://www.ibm.com/support/pages/node/6327333.

• アプリの配布アーキテクチャーの再設計: 10.79 プラットフォーム・リリースでは、デプロイメント・サイズ (デバイス数) が 1,000 個以下であるすべてのカスタマーは、新規に再設計されたアプリの配布アーキテクチャーに移行します。 10.77 プラットフォーム・リリース以降のすべての新規のカスタマー・アカウントは、最新の再設計に既にマイグレーションされています。 新規アーキテクチャーへのマイグレーションがカスタマーに影響することはありません。

• IBM MaaS360 Portal から管理者アカウントを削除する: MaaS360 は、 管理者ページの新しい Delete アクションを提供し、 Deactivate administrator アクションの機能を拡張します。 「非アクティブ化」アクションの場合、管理者アカウントは非アクティブ化されますが、後で再アクティブ化できます。 無効化された管理者アカウントのユーザー名を別の管理者に割り当てることはできないため、 MaaS360、管理者アカウントを完全に削除する Delete アクションが用意されています。 削除された管理者アカウントに関連付けられているユーザー名は、完全に削除され、別の管理者が使用できるようになります。

  IBM MaaS360 ポータルでは、 [無効化] および [ 削除] アクションは、 [管理者] ページの [削除] オプションの下に一覧表示されます。 詳細については、 IBM MaaS360 ポータルから管理者アカウントを削除するを参照してください。

• 「ユーザー・サマリー」ページにリストされるユーザー所有デバイスの表示の制限: 「ユーザー・サマリー」ページには、ユーザーが所有しているすべてのアクティブ・デバイスの詳細が表示されます。 このリリースでは、「所有するデバイス」セクションに表示されるユーザー所有デバイスの数は、10 個のアクティブ・デバイスに制限されています。 10 個を超えるアクティブ・デバイスを使用するユーザー・アカウントの場合は、「ここをクリックしてすべてのデバイスを表示 (Click here to view all devices)」オプションが表示されます。 このオプションをクリックすると、ユーザーが所有しているすべてのデバイスの詳細を表示する検索結果にアクセスします。

Office 365 統合用のモダン認証のための Exchange ActiveSync モジュール・サポート: Microsoft が 2020 年 10 月から Exchange Online での基本認証のサポートを無効にしはじめるという発表を受けて、Exchange ActiveSync モジュールで、Office 365 統合用にモダン認証がサポートされるようになりました。 この変更は Office 365 にのみ影響し、オンプレミス版には影響しません。 この発表についての詳細は https://developer.microsoft.com/en-us/office/blogs/deferred-end-of-support-date-for-basic-authentication-in-exchange-online /.

Modern Authenticationのサポートについては、新しい Cloud Extender Configuration Toolが、Modern Authenticationへの移行方法を説明するMicrosoftへのリンクを提供し、管理者が必要な PowerShell V2 モジュールをインストールしているかどうかを自動的にチェックする。 PowerShell V2 モジュールがインストールされていない場合は、リマインダー・メッセージによって基本認証の非推奨化が近づいていることが管理者に通知され、モダン認証に移行する方法に関する説明へのリンクが示されます。