MobiControlの設定順序

Just another POL Helpサイト site


v14へのアップグレードのお勧め

現在、MobiControl v13をご利用中のユーザは、次の4つの理由で、これをMobiControl v14にアップグレードすることをお勧めします
  1. MobiControlのベンダーであるSOTIは、2020年1月31日を以って、MobiControl v13のサポートを終了しました。 同社の「End of Life」通知を参照ください。
  2. MobiControl v14.5.1以上でないと、2021年4月1日以降、 APNs(Apple Push Notification Service)にアクセスできなくなります。 APNsにアクセスできなくなると、iPhone/iPadとMobiControlサーバとの交信ができなくなります。詳しくは、「Apple端末:チェックインと接続」を参照ください。
  3. MobiControl v14.4以上になると、Android Plusのエージェント並びにAndroid Enterprise 及び Android Plusのプラグインの更新作業が、非常にラクになります。 「Android端末へのプラグインのインストール」を参照ください。
  4. Windows Modernモードへの登録に当たり、MobiControl v14なら、AD DS(Active Directory Domail Service)による認証を経なくても、登録ができる方式が加わります。

しかしながら、MobiControl v14は、次の条件の端末をサポートしていません
  1. Android Generic
    上辺のバーで、「Android Generic」のボタンを押して設定するAndroid端末です。

    Android OSが、v4.2以上、v6.0未満の場合に、設定するモードです。
  2. Samsung non-ELMモード端末で、且つ Android OSが、v6.0未満
    この条件の端末は、MobiControl v13.3ではサポートされますが、v13.4以上ではサポートされません。
  3. Windows CE 5.0 及び Windows Embedded CE 6.0の端末
    これらのOSは、通信暗号化方式であるTLS1.2をサポートしていません。しかし、MobiControl v14は、TLS1.2を必須条件としています。

今後、MobiControl v13サーバは、上記 a. b. c. の端末をサポートする目的に限定して、ご利用することをお勧めします。 そして、その他の条件の端末を管理するために、別途、MobiControl v14サーバを構築し、収容することを、お勧めします。

詳しくは、弊社にお問い合わせください。

MobiControl v14になると、コンソールでの「端末一覧」と「構成プロファイル管理画面」のユーザインターフェイスが変わります。 詳しくは、「MobiControlのバージョンと新機能」を参照ください。
「ルール」と「パッケージスタジオ」のユーザーインターフェイスは、基本的には、変わりません。


端末/エンドポイントのMobiControlへの登録まで

端末やエンドポイント・デバイスのMobiControlへの登録は、次の順序で行います。
端末グループの作成
企業や団体の階層構造の組織名を反映して、端末グループを作成します。階層構造の端末グループなので、 端末の挙動設定の範囲を、大きく「本部」単位で設定したり、逆に極め細かく「課」単位で設定したりできるようになります。
端末やエンドポイントの登録
端末やエンドポイントをMobiControlに登録します。登録には複数の方法と選択肢があります。
iOS端末のセットアップと登録
Android端末のセットアップと操作
Windows Modernの登録
Windows Classicの端末登録
Windows Embedded端末の登録
端末やエンドポイント・デバイスの登録が終わると、それらのステータスが、コンソールに表示されます。 端末の挙動を設定したり、アプリを配布できるようになります。

端末登録ルール作成の前にしておくこと

設定が必要なケース
1.APNs証明書のインストール
APNs(Apple Push Notification service)は、MobiControlサーバからのチェックイン要求をApple端末に中継送信します。 端末からのチェックインで、サーバと端末間で、設定オブジェクト、端末ステータス、ユーザデータの交信を行います。APNs証明書は、1年毎に更新しなければなりません。 MobiControlサーバがオンプレミスで、且つiPhone、iPadを管理する場合
2.FirewallにTCP5494その他を開通。「閉域網でのFirewall/Proxyのポート番号など」を参照

端末とDMZとの間のFirewallに5494を開通。 機能と運用に条件が付きますが、完全閉域網内の端末を外部と交信させずに管理できます。
MobiControlサーバをDMZに設置し、iOS端末以外の端末を管理する場合
インターネットとの間のFirewallにTCP443とTCP5494を開通 SaaSのMobiControlを利用し、iOS端末以外の端末を管理する場合
インターネットとの間のFirewallにTCP443、TCP5223、TCP5494を開通。いずれもOutbound CAll。 SaaSのMobiControlを利用し、iOS端末を管理する場合
3.ABM(Apple Business Manager)アカウントの取得
右記の2つの目的のためには、ABMアカウントが必要です。
管理対象端末がiOS端末でない、またはiOS端末であっても、監視モードとして設定しない場合は、 ABMアカウントは、必須ではありません。
4.Google管理者アカウントの取得
右記の目的のためには、Google管理者アカウントが必要です。 Android端末をAndroid Plusとして設定する場合は、不要です。 Android Enterprise端末でも、アプリを、パッケージでのみ配布する場合は不要です。 Android端末を、Android Enterpriseとして設定し、且つmanaged Google Playから直接アプリをダウンロードさせる 場合
5.WNSとの接続プロファイルの作成
WNS(Windows Push Notification Service)は、コンソール側からエンドポイントへのチェックイン要求を中継送信します。 エンドポイントPCからの周期的なチェックインだけで、運用をする場合は、 WNSとの接続プロファイルは必須ではありません。 次の3項目全てに適合する場合
  • MobiControlサーバがオンプレミス
  • 管理対象エンドポイントが、Windows Modern
  • コンソール側からチェックインを要求することがある
6. ディレクトリサービス接続プロファイル または IDプロバイダとの接続プロファイルの作成
次の場合に、認証サービスによる端末ユーザの認証が必須です。
  1. Windows ModernのMobiControlへの登録時
    (MobiControl v14では、必須ではありません)
  2. 共用するiPhone、iPad、またはAndroid端末で、端末ユーザーが変わる際
    (複数ユーザで、端末を共用する機能は、MobiControlサーバ v14.4以上が必要です)
  3. エンドユーザが、セルフサービスポータルにログインする際
次の場合は、認証サービスによる端末ユーザの認証は必須ではありませんが、認証をすると追加的なメリットがあります。
  1. iOS端末とAndroid端末ののMobiControlへの登録時
  2. MobiControl管理者がコンソールにログインする際
認証サービスとは、AD_DS(Active Directory Domain Service)などの「ディレクトリサービス」とAzure IdPなどの「IDプロバイダ」の総称です。 認証サービスによる認証をするメリットは、「認証サービスによる認証のメリット」を参照。
認証サービスの種類と、その認証を必要とするシーンの関係については、 「D. 認証サービスとMobiControlの機能」を参照。
端末登録ルールは、原則的に、最下位の端末グループ毎に作成します。
しかし、認証サービスのユーザグループに、端末グループをマッピングする方式では、 1つの端末登録ルールで、複数の端末グループを指定できます。
  • MobiControl v13への新機能追加は、v13.4.0-3985(2017年11月2日リリース)を最後に終了しています。v14へのアップグレードをご検討ください
  • MobiControl v14で、追加された新機能は、「 MobiControlのバージョンと新機能」を参照ください。
  • Android EnterpriseとAndroid Plusに対するエージェント・プラグインのインストールがスムーズに実行できるようになるのは v14.4からとなります。v14.4未満でのプラグインのインストールやアップデートの実施は、作業工数が多くなります。
  • iOS端末での全てのアプリの画面を、コンソールでリモートビューする機能は、v14.2以降で可能になります。
  • macOSコンピュータとLinuxデバイスのサポートは、MobiControl v14から可能になります。
  • MobiControl v13に対するバグ・フィックスは終了しました。最新バージョンは、v13.4.0-5519(2019年11月6日リリース)です。 解決したバグ情報は、「 MobiControl v13.4 Maintenance Release Notes(英文)」を参照ください。

アプリのサイレント・インストール

端末やエンドポイントPCへのアプリの配布手段として、MobiControlは、「アプリカタログルール」、「ファイル同期ルール」及び「MobiControlパッケージ」を用意しています。

下表で、セルの背景色が黄色の場合は、サイレント・インストールが可能です。 サイレント・インストールとは、 端末ユーザの知らない裡に、アプリを自動ダウンロードし、インストールすることを指します。業務アプリの迅速な展開やバージョンアップに有用です。

アプリカタログルール ファイル同期ルール MobiControl
パッケージ
公開アプリ社内限りアプリ
iOS端末
Android Plus
Android Enterprise
Windows Modern
Windows Classic
Windows Embedded

  • 公開アプリとは、Appストア、Google Playストア、または、Windowsストアがダウンロード元となるアプリを指します。
    ダウンロード元でアップデートがあれば、iOS端末とAndroid Enterpriseでは、自動アップデートが可能です。 逆に、IT部門が検証してからのアップデートとすることもできます。Android Plusでは、チェックインのたびに、アップデートを促すメッセージがポップアップします。
  • 社内限りアプリとは、社内で開発し公開したくないアプリを指します。「ファイル同期ルール」や「パッケージ」でも社内限りアプリを扱えます。 端末にとってのアプリのダウンロード元は、MobiControlサーバ又は他の社内ファイルサーバとなります。Android端末が完全閉域網の中にあっても アプリの配布が可能です。
  • Google Playアプリを、コンソールでダウンロードし、それを社内限りアプリの配布と同じ手段で、Android端末に 配布することができます。Android端末が完全閉域網の中にある場合に有効です。
  • ファイル同期ルールには、INSTALLスクリプトを付記しておくことで、サイレントインストールを実現します。
    Windows Modernのファイル同期ルールでは、INSTALLスクリプトを付記できません。
  • MobiControlパッケージとは、 MobiControlパッケージスタジオを使って、アプリを挿入し作成したファイル(拡張子 .pcg)です。 デフォルトでは、サイレントインストールをします。端末ユーザが「インストール」ボタンを押すまで、インストールを控えるオプションもあります。
  • iOS端末に対して、Appストアのアプリを、サイレントインストールさせるには、デバイスが監視モードであり、 アプリに対しAppストアとのVPP契約が必要です。詳しくは、「iOS端末のアプリカタログ・ルール」を参照ください。
  • アプリカタログルールやファイル同期ルールを利用すると、仮想端末グループへも配布できます。 MobiControlパッケージは、仮想端末グループへは配布できません。
  • アプリカタログでのサイレント・インストールは、アプリ配布オプションを「必須」にしておく必要があります。
iOS端末アプリカタログ・ルール
Androidアプリカタログ・ルール
Windows Modernアプリカタログ・ルール

端末の挙動設定 - 設定オブジェクトの配布

端末の挙動設定は、広範囲に渡ります。WiFiのSSIDに対するパスワード、端末ロック解除のためのパスコードの複雑性設定、メールアカウント、USB経由でPCとデータ交信を禁止、 ウィルス対策、ストレージの暗号化、等々です。 端末の挙動設定のために、「構成プロファイル」「ルール」「端末の詳細設定」をコンソールで作成または修正(編集)を行います。そして、これらの設定オブジェクトを 端末に送り、展開します。
これらの設定オブジェクトは、端末グループを指定して送信します。「本部」の端末全てに適用する場合は、「本部単位」で、 特定の「課」のみに適用する場合は、「課」単位で送ります。

構成プロファイルルール端末の詳細設定
iOS端末の構成プロファイル
Android Plusの構成プロファイル
Android Enterpriseの構成プロファイル
Windows PCの構成プロファイル
Windows Embedded端末の構成プロファイル
iOS端末のルール
Androidのルール
Windows PCのルール
Windows Embeddedのルール
iOS端末の詳細設定
Android端末の詳細設定
Windows PCの詳細設定
Windows Embeddedの詳細設定
「構成プロファイル」「ルール」「端末の詳細設定」の作成のタイミングは、端末の登録の後でもよいし、端末の登録の前でも結構です。 端末の登録の前に作成してあると、端末は登録直後に、これらの設定オブジェクトの適用を受けます。

「構成プロファイル」と「端末の詳細設定」は、原則的に、作成直後に端末に送られ展開されます。 「ルール」は、次回チェックインのときに展開されます。詳しくは、構成プロファイルとルールと詳細設定 を参照ください。
また、チェックインの仕組みについても、構成プロファイルとルールと詳細設定 を参照ください。
  • 端末を、現在所属する端末グループから、他の端末グループに移動するには、ドラッグ&ドロップで移動できます。端末は、他の端末グループに移ると、その端末の設定を規定する 「構成プロファイル」「ルール」「端末の詳細設定」も、原則的に、新しい端末のそれが適用されます。
  • セキュリティに留意した設定オブジェクトを配布した端末グループを、予め、作成しておきます。その端末グループの名前を、例えば、「異常端末グループ」と名づけておきます。 何かのアラート・インシデントが発生した端末が、MobiControlサーバにチェックインすると、アラートが発動します。アラートが発動した端末は、「異常端末グループ」に 自動的に移動します。
    アラートの場合に、自動通報するメール宛先を作成しておきます。
  • AD_DS(Active Directory Domain Service)の認証を要求するWiFiやVPNがあります。ExchangeメールもAD_DSの認証を経ます。 構成プロファイルで、WiFi、VPN または Exchangeメールの設定情報を送ります。この際、端末の登録の前に これらの構成プロフィルを作成しておくと、端末には、AD_DSのパスワードを含めて、設定情報を送ることができます。従って、 端末ユーザは、自動ログインができます。

端末の挙動設定 - コンソールからの働きかけ

「構成プロファイル」「ルール」「端末の詳細設定」は、端末の定常的な設定を指定するために作成され、展開されます。
これらの設定オブジェクトの配布とは、別に、非定常的な働きかけをすることができます。これは、働きかけのメニューから選択することで実施します。
例えば、次のような働きかけを実施します。
  • コンソールで作成したメッセージを端末画面に表示
  • 端末画面をコンソールに表示、または、コンソールからリモート操作
  • 端末の地理的位置を、コンソールの地図に表示
  • 端末のリセット(再起動)
  • 端末のリモートWipe(初期化)
  • iPhone、iPadを紛失モードに
  • iOSのアップデートを暫定留保、または更新強制
  • Androidエージェントのプラグインを配布、またはその更新
    コンソールでの「働きかけ」だけで、プラグインを配布するには、サーバがv14.4以上であることが必要です。
  • Android Plusのエージェントのバージョンアップ(更新)
    コンソールでの「働きかけ」だけで、エージェントの更新を実施するには、サーバがv14.3以上であることが必要です。
  • ジオフェンスの作成
    ジオフェンスは、地図上の仮想閉域です。端末がジオフェンスの外に出る、又は、中に入ることを検知すると、MobiControlは、 当該端末の所属グループを変更します。所属グループが変わることで、端末に対する設定が変わります。 例えば、職場領域に入ったら、カメラ機能禁止などを行います。

スクリプトコマンドによる働きかけ

MobiControl管理下の端末やエンドポイントには、MobiControlエージェントというプログラムがインストールされます。
「Android」「Windows Classic」「Windows Embedded」のエージェントは、Mobicontrolサーバからのスクリプト・コマンドを受領し、 端末に働きかけをすることができます。

例えば、次のようなスクリプトコマンドを送付します。
  • 特定のアプリをアンインストール
  • ランチャー画面を、縦長から横長に変える。またはその逆。
  • 端末のハードリセット(電源を落としてから再起動)、またはソフトリセット
  • Android端末で、今すぐ、ウィルススキャンをする
  • コンソールから送った文字列を、端末側からログの形式で、コンソールに送り返す
  • システムアプリの復活
    Android Enterprise Device Owner Modeは、端末を初期化してから設定します。その際、端末出荷時に表示されていたアプリの一部のアイコンが非表示になります。 スクリプトコマンドを送って、これらを復活表示できます。

Windows Modernとして設定したPCに対してのスクリプトは、Windowsのスクリプトを送信します。 その送信は、次の方法のどちらかを採用します。
  • エンドポイントの画面を、コンソールにリモート表示し、操作する。
    コンソールに表示されたエンドポイントの画面の左下の「検索窓」に、cmdと入力すれば、コマンド入力画面がポップアップします。
  • Windowsのシェルスクリプトを、MobiControlパッケージに挿入して、複数のエンドポイントに 向けて一斉送付。このスクリプトは、C:\Users\〇〇〇 や D:\ProgramFiles\〇〇〇 のように、ドライブ名以下のフルパス指定が必要。

データやコンテンツの送付

端末やエンドポイントに、データやコンテンツを送る必要があります。また、モバイルデバイス側の操作で社内のコンテンツを入手したいという要望もあります。 MobiControlでは、「ファイル同期ルール」、「コンテンツライブラリ」、「イントラネットゲートウェイ」を用意しています。

ファイル同期ルールコンテンツライブラリ イントラネットゲートウェイ
運用方法端末とサーバの特定のフォルダ間で送受。
スケジュールに基づき自動的に送受される。
iOSの場合は、端末アプリが使うデータまたは端末アプリが生成するデータが対象。
文書、写真、動画などのコンテンツが主体。どのコンテンツをダウンロードするかは端末ユーザの任意。
モバイル端末向けとしての意図を持って、コンテンツを、予めライブラリにアップロードしておく必要がある。
文書、写真、動画などのコンテンツが主体。
リポジトリサーバ(ファイルサーバ)に、端末からアクセスしダウンロードする。
モバイル端末向けコンテンツとして選抜して用意しておく必要がない。転送禁止、印刷禁止など様々な情報漏洩対策を用意してある。
iOS端末
SDK for iOSをアドオンしたアプリ傘下のフォルダが対象
Android
Windows系
イントラネットゲートウェイは、社外の端末から社内のリポジトリサーバ(ファイルサーバ)へアクセスするための逆プロキシサーバです。 この時、端末には、SOTI Hubというアプリを使用します。SOTI Hubは、クラウドの リポジトリ・サーバにもアクセスできます。SOTI Hubがアクセスできるリポジトリサーバの種類は、次の通りです。
WebDAV、SharePoint(オンプレミス)、SharePoint Online、OneDrive、OneDrive for Business、BOX、及びNextcloud content management service。

コンソールの端末一覧を見やすくする

コンソールの端末一覧の端末名の右側には、端末のプロパティを表示できます。 端末のプロパティは種類が多いので、一覧表示する端末プロパティを限定できます。
中央ペインでの表示項目の変更」を参照ください。
中央ペインでの表示項目群は、MobiControl v14では、「コラム」と呼びます。MobiControl v14では 複数の「コラム」を作成しておき、随時、表示する「コラム」を取り替えることができます。 iOS用「コラム」とか、Android用「コラム」のように取り替えることができます。

MobiControl v14では、一覧表示するiOS端末も、「監視モードのiOSのみ」とか「非監視モードのiOSのみ」のように 限定することができます。「Android Plusのみ」とか「Android Enterpriseのみ」とかの限定表示もできます。

オプション設定

下記のサーバの設定は必須ではありませんが、設定をすると、MobiControlの可用性が拡がります。
  • イントラネットゲートウェイ
    社外からイントラネット内部のリポジトリサーバ(WebDAVまたはSharePointサーバ)にアクセスするための ゲートウェイ。iOS端末とAndroid端末に適用
  • セルフサービスポータル
    自分の端末ステータスを、端末ユーザ自身で、対象端末以外のスマホ、タブレット、PCで視ることができます。
    端末を紛失した場合などに、紛失した端末の地理的位置を地図に表示します。ロック中でも紛失端末の画面にメッセージを表示できます。 iOS端末の場合は、連絡先の電話番号へのリンクも表示できます。
    最悪は、自ら、リモートWipeができます。
    夜間や週末に端末を紛失した場合に、コンソール管理者を呼び出す必要がありません
    セルフサービスポータルのサーバは MobiControlサーバそのものです。その自らの端末に限ってのコンソール権限を、端末ユーザに付託する機能です。
  • Exchange ActiveSync Filter
    MobiControlに登録してない端末、又は、特別に許可した端末でないと、Exchangeサーバにアクセスできないようにします。 会社に届出をせずに、Exchangeアカウントを設定した私物端末からのアクセスを禁止できます。 MobiControlに登録してない、これらの私物端末は、情報漏洩の頻度が高くなります。例えば、ロック解除パスワードが設定されてないと、 他人に会社メールを読まれてしまいます。
参考情報として、
端末OS共通の設定項目」と、 「管理コンソールの構成」 を、是非参照ください。
コンソール管理者の追加」を参照して、あなた以外の方にも管理者権限を付与しておいてください。 一定回数ログインに失敗すると、あなたはコンソールにアクセスできなくなります。
MobiControlは、多くの機能を搭載しています。それらの機能をフルに活用すると、貴社の端末やエンドポイントPCを、更に有効活用できます。 マニュアルの全てのページをお読みください。きっと、お役に立つ機能を、発見できると思います。