端末登録ルールModern

1. Windows10をWindows Modernとして登録する2つの方法


Windows 10 をMobiControlに登録する方法には、2種類があります。




ユーザーグループに基づく登録
証明書ベースの登録
登録のための主な作業場所
エンドポイントPC
コンソールPC
登録時にAD(Active Directory)またはAzure ADの認証
必要
不要
事前作業


MobiControlサーバとAD(またはAzure AD)との接続プロファイルの作成。詳しくはディレクトリ・サービスの設定を参照。
端末登録ルールで、ADまたはAzure ADのユーザーグループと
MobiControlの端末グループを、端末登録ルールで紐づけ(マッピング)


コンソールで、プロビジョニング・パッケージ(拡張子 .ppkg のファイル)を作成。

次のどれかの方法で、このファイルを該当エンドポイントに配布

メール添付で配布
このファイルをUSBメモリに入れておき、該当エンドポイントにUSBメモリを差し込む
WebDavなどのリポジトリサーバに、このファイルを格納し、該当エンドポイントでダウンロード

プロビジョニング・パッケージの作成方法は、Windows証明書ベースの登録を参照ください。

登録作業の概要
エンドポイントで、ADの認証を行なう。これにより、
MobiControlサーバが、端末ユーザの所属するADのユーザーグループを把握。そして、ADのユーザーグループに紐づけられた端末グループに、エンドポイントを登録。
登録の方法は、Windows ModernのMobiControlへの登録を参照。

エンドポイントで、プロビジョニング・パッケージのファイル名をダブルクリック

証明書ベースの登録は、「一括登録」とも呼ばれます。

多くの台数のエンドポイントを、短時間で、登録させることができます。



Windows PCをWindows Classicとして登録する場合の、端末登録ルールの作成については、「Windows Classicの端末登録ルールの作成」を参照ください。
「Windows PCのリモートサポート」のページの「Windows Modern と Windows Classic」を参照ください。




2. ユーザーグループに基づく登録の事前準備



(図1)



(図2)



エンドポイントPCの登録の前に、次の2つの作業を実施しておきます。


MobiControlサーバと、ADまたはAzure ADとの間の接続プロファイルの作成

詳しくは「ディレクトリ・サービスの設定」を参照。

端末登録ルールの作成

これから作成する端末登録ルールで、ADまたはAzure ADのユーザーグループを、1つのMobiControlの端末グループにマッピング(紐づけ)します。

MobiControlサーバに登録しようとしてアクセスしたエンドポイントPCは、AD認証をすることによって、ADまたはAzure ADのユーザーグループをMobiControlサーバに申告します。

MobiControlサーバは、エンドポイント・ユーザのADでのユーザーグループを把握します。
MobiControlサーバは、
そのユーザーグループにマッピングされている端末グループに、当該エンドポイントを登録します。


「ユーザーグループに基づく登録」を実施するには、
ADまたはAzure ADのユーザーグループと、MobiControlの端末グループが、(図1)のように、1対1 に対応している必要があります。


1つのユーザーグループに対応する端末グループが、(図2)のように複数あると、MobiControlは、どの端末グループに登録するべきか
判断できなくなります。

もし、ユーザーグループと端末グループの関係が(図2)の場合は、1つの端末グループのみを、暫定的にマッピングしておきます。
そして、登録が終わってから、該当の端末を、他の端末グループに移動させます。
端末の移動の方法については、「端末を他の端末グループへ移動」のページを参照ください。



ユーザーグループに基づく登録の場合は、1つの端末登録ルールを作成すれば、原則的に、全てのエンドポイントPCの登録に適用できます。
1つの端末登録ルールで、(図1)のように、複数の「ユーザーグループ」と「端末グループ」の組み合わせを指定できるからです。





サブドメインにenterpriseenrollmentを登録
エンドポイントPCユーザのADにおけるメールアドレスが、仮に、xxxxxxx@nippon.co.jp なら、
DNSサーバに、nipponの次のレベルのドメイン名として、enterpriseenrollmentを登録し、そのIPアドレスに
MobiControlサーバのIPアドレスを紐付けします。




登 録 例
a.
PCユーザのADでのメールアドレス
xxxxxxx@nippon.co.jp
b.
MobiControlサーバのURL
v14.mobicontrol.nippon.co.jp
c.
次のレベルのサブドメイン名
enterpriseenrollment.nippon.co.jp
上記のドメインに、b. のMobiControlサーバのIPアドレスを紐付けします。

 

c. をDNSに登録しておくと、エンドポイントPCユーザがMobiControlに登録する際、MobiControlサーバのURLの入力が不要になります。
 

Windows Modernの登録を参照ください。


3. 証明書ベースでの登録の事前準備


証明書ベースの登録をする場合の、端末登録ルールを作成するには、事前に、自己署名証明書(SSL証明書)を作成しておきます。
この証明書のファイルを、MobiControlサーバにアップロードします。

自己署名証明書の作成方法は、「Windows証明書ベースの登録」の「3. 自己署名証明書を作成」の項を参照ください。



4. 端末登録ルール設定画面の表示









Windows PCのためのルールの種類一覧を表示します。
表示の方法は、Windows PC:ルールを作成を参照ください。

ここでは、上辺で、「Windows Modern」を選択します。
「端末の登録」を右クリックすると、「端末登録ルールの作成」の文字列が表示されます。
これをクリックすると、(図4)の端末登録ルールの設定ダイアログが現れます。



5. ルール名の入力

(図4) 


 


赤い背景色の部分に、ルール内容を連想しやすい文字列を入力します。 


「次へ」のボタンを押すと、(図5)が画面が遷移します。 



6. エンドポイントの登録方法の選択

(図5) 



Windows Modernの2つの登録方法の選択画面が現れます。




下記のをクリックください。

説明を開いた状態
説明を閉じた状態







7. ユーザーグループメンバーシップに基づく登録



7-1. ユーザーグループと端末グループのマッピング

(図5)で、「ユーザーグループメンバーシップに基づく」を選択すると、(図6)に遷移します。

(図6)







右端をプルダウンすると、「ディレクトリサービス接続プロファイル」の名前のリストが表示されます。

適用しようとする接続プロファイルの名前を選択します。(図6)の「AD_Link」は、接続プロファイル名のサンプルです。


ADのユーザーグループの名前を入力してから、右端の「Add」を押します。

ユーザーグループの名前の文字列全てを入力する替わりに、最初の4文字を入力してから「Add」を押すと、候補となるグループ名が表示されます。


MobiControlサーバからADサーバまで、問い合わせをしますから、表示されるまで、時間がかかります。


欄で入力した ADのユーザー
グループの名前は、(図7)の欄に表示されます。
(図7)のの「Sales T3」は、ADのユーザーグループ名のサンプルです。


(図7)




(図7)で、ADのユーザーグループにマッピングするMobiControlの端末グループを選択します。

(図7)の欄の右端をプルダウンすると、(図8)のように
MobiControlの端末グループが階層構造で表示されます。


(図8)




(図8)の欄で、MobiControlの端末グループを選択すると、(図9)のように画面が遷移します。

(図9)




(図9)は、ADの「Sales T2」という名前のユーザーグループが、MobiControlの端末グループである「営業第2部」にマッピングしていることを意味します。
ADの「Sales T2」のメンバーの端末は、MobiControlの端末グループ「営業第2部」に登録されます。


同時に、構成プロファイルが、ADのユーザーグループ「Sales T2」に割り当てられたら、それは、MobiControlの端末グループ「営業第2部」の端末に
展開されます。

追加的に、ADの他のユーザーグループのマッピングを行います。(図6)ので、再度、
ADの他のユーザーグループの名前を入力してから、右端の「Add」を押します。

以下、(図7)と(図8)と同じ作業をします。

こうして、ADの複数のユーザーグループを、MobiControlの端末グループへマッピングできます。これで1つの端末登録ルールしか作成しないのにかかわらず、
登録しようとする全てのエンドポイントPCを、MobiControlの、各々のマッピングされた端末グループに振り分け登録されます。


複数のユーザーグループのマッピングをした後に、そのどれかを削除したいときがあります。
その際は、該当するユーザーグループを選択してから、(図9)の左下の「削除」ボタンを押します。


(図9)での作業が終われば、「次へ」を押します。「次へ」を押すと、(図10)に画面遷移します。

7-2. SSL(TLS)通信に関する証明書

(図10)




端末とMobiControlサーバとの間のSSL(TLS)通信に使う証明書を規定します。
MobiControl内部CAを使う場合は、「次へ」を押します。「次へ」を押すと、(図11)に画面遷移します。



7-3. 利用規約ファイルの指定
(図11) 




登録するときに、従業員に「MobiControlの利用規約」への同意を求める場合は、左上のチェックボックスに
チェックを入れ、利用規約ファイルを指定します。

 
登録時のプロセスでに、PCユーザは利用規約への同意のチェックを入れないと、登録はできなくなります。
 
チェックを入れないでおくと、利用規約の画面は、エンドポイントPCには表示されません。


別途、テキスト形式かHTML型式で利用規約文を作成しておきます。「管理」ボタンを押すと、(図12)がポップアップします。


(図12) 




新規に利用規約ファイルを登録するには、「追加」を押します。(図13)が現われます。

(図13) 




利用規約の名前を入力します。利用規約本文は、予め作成しておき、コンソールコンピュータ内に保存しておきます。
ソース欄の右の「参照」を押すと、コンソールコンピュータのExploreが開きますので、保存先フォルダを検索し、該当ファイルを
クリックします。利用規約本文は、テキスト形式か、HTML形式で記述します。

(図13)での入力が終わると「OK」を押します。(図12)に、(図13)で入力した「名前」がリストの一つとして表示されます。「閉じる」を押します。

(図11)をプルダウンすると、利用規約ファイルの名前一覧が表示されるので、該当ファイルを選択します。

そして「次へ」を押します。画面は、(図18)に遷移します。











8. 証明書に基づく登録



8-1. 証明書のアップロード

(図5)で、「証明書に基づく登録」を選択すると、画面は(図14)に遷移します。

(図14) 



(図14)の「新規」ボタンを押すと、（図15)がポップアップします。


(図15)






(図15)の赤矢印部分をクリックすると、コンソールのExploreが開きます。

「証明書ベースの登録」の 「3. 自己署名証明書を作成」で得た
証明書を保存したフォルダから、該当の証明書( .cer)を選択し、MobiControlにアップロードします。

(図15)の赤背景の欄に、証明書のファイル名が表示されます。「OK」ボタンを押します。






(図16)





(図15)で、「OK」を押すと、(図14)に戻ります。(図16)は、その再掲です。
(図16)の赤矢印部分をプルダウンすると、MobiControlにアップロードしてある
証明書のリストが表示されます。
その中から、(図15)で、アップロードした証明書のファイル名を選択します。
(図16)では、
続けて、エンドポイントPCの登録先となる端末グループを選択します。

選択が終わったら、「次へ」を押します。(図17)が現れます。



8-2. SSL(TLS)通信に関する証明書

(図17)




端末とMobiControlサーバとの間のSSL(TLS)通信に使う証明書を規定します。
MobiControl内部CAを使う場合は、「次へ」を押します。「次へ」を押すと、(図18)に画面遷移します。






9. エンドポイントの名前の決め方を指定

(図11)または(図17)で「次へ」を押すと、(図18)に画面遷移します。 

MobiControlでは、エンドポイントに名前をつけて、コンソールに表示し管理を行います。
そのエンドポイントに一意性のある名前をつけます。

 

(図18) 


 


(図18)の %AUTONUM% はマクロです。このマクロは、連番マクロです。
登録されていった順番に、4桁の整数を付番します。(図18)のままで「次へ」を押すと、
最初に登録されたPCの名前は、「Windows 0001」と表記されます。 
次ぎに登録された
PCは、「Windows 0002」と表記されます。
 
この他にも多くのマクロが用意されています。右側のギアボタンを選択すると、
(図19)のようにマクロのリストが表示されますので、それを選択することも可能です。
 


(図19) 


 


(図20)は、「連番= %AUTONUM% 」の後に、「登録時のユーザの名前=ENROLLEDUSER_USERNAME%」が表示されるように指定した例です。


(図20) 



10. 端末登録ルールの概要の確認


(図20)で「次へ」を押すと、(図21)が現われます。(図21)は、(図5)で、「ユーザーグループメンバーシップに基づく」を選択した場合の
設定結果です、



(図21) 




(図22)は、(図5)で、「証明書に基づく登録」を選択した場合の
設定結果です、

(図22) 





(図21)または(図22)の設定内容でよければ、「終了」ボタンを押します。これで、端末登録ルールの作成は終りです。
もし、修正したいときは「戻る」ボタンを押すと、前の画面にもどります。


11. オプション設定

端末登録ルールの作成は、(図21)または(図22)で完了しましたが、追加的な条件をつけることができます。
 
(図21)または(図22)の右下の「詳細設定」を押すと、(図23)が現われます。


(図23) 




11-1. 適用期間の設定

オプションとして、端末登録ルールの適用期間を設定します。例えば、
MobiControlの社内展開日がまだ先の場合は、開始日時を設定できます。
端末の登録終了日を設定する場合、その日時を入力します。

この終了日で登録は終ります。この日以降、この登録IDでの登録はできなくなります。

しかし、登録済の端末によるMobiControlの利用は継続します。



11-2. 再登録時の復帰オプションなど

(図23)の下段の項目を説明します。





項目の文字列
説  明
ルールの適用
チェックを外すと、端末登録ルールは存在しても、対象の端末グループへの新規登録は拒否します

再登録時に元の端末グループに所属させる
端末が所属する端末グループを移動させることがあります。その上で、
端末側でMobiControl登録を一度解除し、前回登録時と同じ登録ルールを適用して、再度、登録することがあります。

ここにチェックを入れておくと、端末は、登録解除直前の端末グループに復帰して、再登録されます。
チェックを入れておかないと、端末は、登録ルールで指定した端末グループ、つまり(図8)または、(図14)で指定した端末グループに、再登録されます。


端末は、コンソールにより、
他の端末グループに移動させることができます。
また、端末は、アラートルールの発動で
端末グループを移動させられることもあります。


再登録で端末名を保持
端末側でMobiControl登録を一度解除し、再度、登録することがあります。その場合、ここにチェックを入れておくと、
登録解除前の端末名で、再登録されます。


パスワードをキャッシュに入れる

AD_DS(Active Directory Domain Service)で本人認証をして、端末を登録するとします。
その場合、登録作業中の10分間に限り、ADのパスワードをサーバにキャッシュ保存します。

AD_DSの認証を必要とする、WiFi、VPN、またはEメールの登録に関する構成プロファイルが、すでに
当該端末グループに割り当てられているとします。その構成プロファイルには、パスワード入りで
端末に配布されます。従って、端末が、WiFi、VPN、またはEメールを利用とするときに、
AD_DSのパスワード入力画面がポップアップしません。


SHA-1クライアント証明の配布を強制

MobiControl v14.x は、サーバと端末との間の暗号化通信プロトコルに、SHA-2 による TLS1.2 を採用しています。
端末がSHA-2をサポートしてない場合に、ここにチェックを入れます。


11-3. 端末登録時に端末のOSのバージョンを指定

(図23)の「ルールフィルタ」の新規ボタンをドロップダウンします。
この中の「デバイスプロパティ・フィルタの追加」を選択します。


(図24)




登録する端末のOSのバージョンを指定します。不等号記号を使って、指定のバージョンより上とか下を指定できます。


12. 端末登録ルールの編集

(図25) 



端末登録ルールを作成の後、左側ペインの「端末登録」をクリックすると、作成した端末登録ルール名が展開して表示されます。
 
これを右クリックすると、(図25)のようにメニューが現われます。

この中の「ルールの編集」を選択すると、作成した端末登録ルールの修正ができます。