構成プロファイル

MobiControlの設定は次の順序で行いますが、下記の4番目で端末グループの
構成プロファイルの設定を行います。 


MobiControlサーバのプロパティと証明書等設定 

端末グループの作成 

企業や団体の組織にそって、階層的に端末グループを作成 
(組織名の入力が主な作業)

端末登録ルールの作成とエージェントの作成 

端末グループまたは端末の構成プロファイル作成
 
(無線LANやセキュリティ対策など)


端末の詳細設定の設定 

端末登録ルール以外のルールの設定
端末エージェントのインストールと端末の登録 

SOTIのダウンロードサイトから、機種別エージェントソフトをダウンロード。これを端末にメールやSDカードなどで配付しインストール。
インストールすることで、指定の端末グループに自動登録 




端末の設定分野には「構成プロファイル」と「ルール」と「詳細設定」 があります。詳しくは、
構成プロファイルとルールと詳細設定 を参照ください。



構成プロファイルのメニュー画面には、複数の設定項目が表示されます。
この設定項目を選ぶと各々のダイアログがポップアップするので
これに対し設定作業を行います。一つまたは複数の設定項目を設定して、一つの構成プロファイルが作成します。
そして、それを
適用する端末グループまたはAD(Active Directory)のグループに割り当てをします。その端末グループに属する端末の挙動は、割り当てられた構成プロファイルに従います。




A. 構成プロファイルのリスト

MobiControlコンソールの上辺に下図のようなバーが表示されます。「Windows Embedded」を選択します。









更に下辺バーで「プロファイル」を選択します。






(図1)が現れます。これが、すでに作成済の構成プロファイルのリストです。

(図1)



B. 構成プロファイルに名前をつける

(図1)で、「追加」ボタンを押すと、(図2)が現れます。

(図2)




名前欄に、構成プロファイルの名前を入力します。構成プロファイル内の構成や利用対象の組織名などを類推しやすい名前をつけるのがよいでしょう。
説明欄に、構成プロファイル内の構成や利用対象がより分かり易い記述を書き込みます。
構成プロファイルを更新した場合は、その履歴も記入しておくとよいでしょう。




(図2)で、名前を入力すれば、「構成」タブを押します。(図3)が現れます。



(図3)





C. Windows Embeddedの構成プロファイル・メニュー



(図3)で「追加」タブを選択すると、(図4)が現われます。



(図4) 

Windows Embedded 端末の構成プロファイルメニュー 







(図4)で設定したい項目をクリックすると、各々の設定ダイアログがポップアップします。



D. 構成プロファイルの端末グループへの割り当て

各々の設定ダイアログでの設定が終わり、その「OK」ボタンを押すと、画面は(図5)に遷移します。

設定した設定項目のタイトルが挿入されました。


(図5)




(図5)で、再度「追加」ボタンを押すと、(図4)が再度ポップアップします。ここで他の項目を選択して、設定項目を追加することができます。


設定項目を追加する必要がない場合は、(図5)の下辺の「保存して割り当て」ボタンを押します。
(図6)がポップアップします。


(図6)




(図6)で、構成プロファイルの配布対象となる端末グループまたは端末を選択します。選択をするとチェックボタンが青くなります。
選択が終わると、下辺の「割り当て」ボタンを押します。これで、端末グループまたは端末の割り当てが完了します。


「割り当て」直後に、構成プロファイルは、端末(群)に送られ展開されます。端末は、この構成プロファイルに従って挙動するようになります。



「割り当て」直後に、構成プロファイルが、端末(群)に送られるためには、端末は、MobiControlサーバとオンラインでなければなりません。
オンラインの場合は、(図6)のように、端末アイコンがと、ブルーになっていなければなりません。

オフラインの場合は、アイコンが、
と表示されます。

Windows 端末は、接続時間帯の設定により、非接続時間帯の時刻でない限り、オンラインであるのが常態です。

オフラインのWindows 端末に対しては、その端末がオンラインになったときに、構成プロファイルが展開されます。



E. 構成プロファイルの修正または項目の削除


(図5)の段階で、構成プロファイルの内容を修正したいときがあります。
その場合は、(図5)で、
設定した構成の項目を選択(背景色が変わる)してから、「アクション」をプルダウンすると、(図7)のように
アクション項目が表示されます。
ここで、「編集」を選択すると、設定項目のダイアログが再度表示されるので、そこで、設定内容を修正します。


(図7)




「削除」は選んでいる設定項目のみを削除。「全てを削除」は、当該プロファイルの全ての設定項目を削除します。



F. 作成済の構成プロファイルへの働きかけ


(図1)を参照ください。これは、作成済の構成プロファイルのリストです。

作成済の構成プロファイルに対し、各種の働きかけができます。


(図1)で、該当の構成プロファイルにマウスを当てて、背景色をブルーにしてから、「アクション」タブをプルダウンします。
「アクション」タブをプルダウンすると、(図8)のようなプルダウンメニューが現われます。 



(図8)







プロファイルの編集
構成プロファイルの設定内容の修正

プロファイルの割り当て
割当をする端末グループを追加、又は削除

プロファイルの複製
構成プロファイルのコピー
プロファイル項目の内容の一部を修正して、
他の端末グループに割り当てる

プロファイルを無効にする
これから追加登録する端末に対しては、当該構成プロファイルを非適用

プロファイルの失効
構成プロファイルの端末での削除

プロファイルのインストールを再試行
適用を暫定停止した構成プロファイルの再インストール

プロファイルの削除
端末とサーバの両方での構成プロファイルの削除

アクセス許可の編集
働きかけの権限を持つコンソール管理者の変更または追加



どの端末にも割り当ててない構成プロファイルは、「ドラフト」扱いです。「ドラフト」の構成プロファイルは、「名前」の後に、
ペンのマークがついています。



G. 高度な割り当て方法


(図6)の上部のタブで、「フィルター条件」、「LDAP対象」、「オプション」を選択すると、構成プロファイルを
高度な方法で割り当てることができます。


G-1. フィルター条件

構成プロファイルは、端末グループまたはAD_DSのグループに割り当てますが、そのグループ内の特定のプロパティを持つ端末(群)には、適用したくないことがあります。


例えば、OSのバージョンが特定のバージョン番号以降の端末(群)のみに適用したい場合があります。
また、特定のメーカーの端末(群)のみに適用したい場合もあります。

次の「フィルター条件の設定」をクリックしてください。





 
フィルター条件の設定



(図6)の上辺の「フィルター条件」のタブを選択すると、(図9)に画面遷移します。

(図9)





(図9)で「追加」ボタンを押すと、(図10)のように、「端末のプロパティ」などの選択肢が現れます。

(図10)






「端末のプロパティ」、「監視データ」、「付属情報」のどれでもを組み合わせて、複数のフィルター条件を設定できます。
(図9)の赤矢印部分で、「全て」または「どれでも」の選択ができます。

「全て」

複数の条件があれば、その全ての条件に適合した場合にのみ、除外します。
「どれでも」

複数の条件のうち、一つだけでも適合したときに、除外します。




(図10)で「端末のプロパティ」を選択すると、(図11)のように端末のプロパティの種類が列記されます。
(図11)




(図11)の項目名
意味
Carrier
端末購入時のキャリア
HasApplication
インストール済のアプリ
HasPasscode
パスコード設定されているか否か
IsEncrypted
暗号化されているか否か

Manufacture
メーカー
Model
端末モデル

OSVersion
OSのバージョン
TotalMemory
メモリ容量

TotalStorage
ストレージ容量


(図11)で除外したい端末のプロパティを選ぶと、その右に、「しきい値」を入力する欄が現れるので、適切な値を入力します。

(図12)



(図12)は、ロック解除のパスコードが設定されてない(=FALSE)端末には、構成プロファイルを適用しないようにしている例です。結果的に、
パスコードを設定してある端末(群)のみに適用されるようになります。


(図10)の監視データとは、Windows 端末の場合、PCの次の種類のデータ値を指します。


指定のフォルダの指定のテキストファイルの指定行の文字列 

指定したINIファイルの指定セクションの値

指定したレジストリの値

指定したプログラムの標準出力(STDOUT) 

指定したEXEプログラムが終了時に返す終了コード

MobiControl管理者が入力しておいた文字列


詳しくは、「監視データの指定」を参照ください。


(図10)の「付属情報」は、MobiControl管理者の任意で設定できる情報項目です。例えば、

端末ユーザの役職名
端末の購入日
端末の資産台帳での資産番号
その他
などです。これらの情報項目の値に基づいて、これに該当する端末を構成プロファイルを適用したり、逆に適用しないようにできます。

フィルタ条件の設定が終わると、下辺の「割り当て」ボタンを押します。これで、端末グループまたは端末の割り当てが完了します。




G-2. LDAP対象


AD_DS(Active Directory Domain Service)のグループを、
構成プロファイルの配布対象として指定します。

その結果として、そのAD_DSグループがマッピング(紐づけ)してある端末グループ(群)に、割り当てられます。





(図13)のように、端末グループの「マーケティング課」と「東京営業課」は、異なる部に属しているが、AD_DSでは、共通の「TOKYO」という
グループにマッピングされているとします。

この場合、構成プロファイルをグループ名「TOKYO」に割り当てると、端末グループの「マーケティング課」と「東京営業課」の両方に割り当てることができます。

(図13)




次の「LDAP対象の設定」をクリックしてください。





 
LDAP対象の設定




(図6)上辺の「LDAP対象」タブを選択すると、画面は(図14)のように遷移します。

(図14)



AD_DSのグループに構成プロファイルを割り当てるには、
予め、LDAP接続プロファイルを作成し、当該のディレクトリサーバとMobiControlサーバとの間をバインドしておきます。


複数のAD_DSサーバとバインドしてある場合は、の部分をプルダウンして、
対象となるLDAP接続プロファイルの名前AD_DSサーバを選択します。


の部分に、構成プロファイルの配布先となるユーザグループ名を入力します。
グループ名の正確な文字列を知っておく必要はありません。(図14)の赤矢印部分に、文字列の最初の2文字を入力すると、
その文字列で始まるグループ名を表示してくれます。複数のADのグループに割り当てることができます。その場合は、そのグループ名を2行目以降に列記します。


AD_DSのグループを選択すると、「このグループにマッピングする端末グループを選択してください」とのメッセージがポップアップ
することがあります。そして、画面は、(図6)に遷移します。そこで、マッピングするべき端末グループを選択します。
これで、AD_DSのグループ指定を経て、構成プロファイルの端末グループへの割り当てが完了します。

他のOSの端末の登録ルール作成や、構成プロファイルのAD_DSグループへの割り当て作業で、AD_DSのグループを、既に、
端末登録グループのどれかにマッピング済の場合は、「このグループにマッピングする端末グループを選択してください」との
メッセージはポップアップしません。

(図15)

ADのグループに構成プロファイルを割り当てた例




 
逆に、当該構成プロファイルを割り当てたくないADのグループがあるかもしれません。
例えば、SDカードの挿入を禁止する構成プロファイルを、AD_DSの本社全体グループの端末に割り当てたとします。
しかし、「情報システム部」に対応するAD_DSのグループには、例外として割り当てないことがあります。
その場合は、情報システム部に対応するAD_DSのグループを入力して、(図14)の下辺の「Excluded」をクリックします。


割り当てが終わると、下辺の「割り当て」ボタンを押します。これで、端末グループまたは端末の割り当てが完了します。




G-3. オプション

構成プロファイルの取り扱いに関して、下記を指定できます。

展開開始日時
端末への展開を今すぐでなく、指定の日時に展開するとして、その日時を指定


無効にする日時
構成プロファイルの端末への展開後、いつかそれを無効にするとして、その無効になる日時を指定
追加割り当て終了日時
ある日時以降に登録する端末には、適用されないようにするとして、その日時を指定
端末ユーザ操作で展開
デフォルトでは自動インストールだが、端末ユーザの手動操作を経て展開するようにする


次の「オプションの設定」をクリックしてください。




 
オプションの設定




(図6)の上辺の「オプション」を選択すると、(図16)に画面遷移します。

(図16)



(図16)で、赤枠の設定項目は、構成プロファイルの送信やインストールには無効です。入力しても、MobiControlは無視します。
赤枠部分は、パッケージを積み込んだプロファイルに対して、設定します。詳しくは、「
パッケージを指定日時にインストール」を参照ください。




(図16)の設定項目
説明
インストール方法
「自動」か「セルフサービス」を選択します。「自動」を選択した場合、下辺の「割り当て」ボタンを
押すと、構成プロファイルはすぐに端末に送られ、インストールされます。デフォルトは「自動」です。

「セルフサービス」を選択すると、端末ユーザが操作しないと、インストールされません。
端末でアプリ利用中に、新しい構成プロファイルが適用されると、アプリ操作に支障がある場合に選択します。
「セルフサービス」を選択した場合の
端末ユーザの操作方法は、「端末ユーザの任意の時刻にインストール」を参照ください。

通信回線の限定
構成プロファイルを端末に送る際の通信回線を限定します。
デフォルトは全てにチェックをいれてあります。

注ActiveSyncについては、下記の緑枠内の説明を参照ください。


最少のバッテリレベル
構成プロファイルおよびパッケージを端末に送るときの、
端末のバッテリーレベルを1から100%で指定します。デフォルトは0になっています。0のときは、バッテリレベルをチェックせずに、配布を試行します。



スケジュールされたアクション
割り当て日時、無効日時、失効日時を予め設定しておきます。



割り当て日

「自動」を選択すると、構成プロファイルはすぐに端末に送られ、インストールされますが、このオプションを選択すると、
今すぐでなく、後日に割り当てます。その日時を指定します。

例えば、勤務時間帯を避けて、夜間や週末にインストールする場合に適用。


次のアップデートスケジュールにずらす
今すぐでなく、次の更新スケジュールの時に割り当てます。


無効日

ある日時以降に登録する端末には、適用されないようにするとして、その日時を指定します。
その日時までに適用した端末では、その後も有効に機能しつづけます。

失効日
既に適用済の端末も含めて、構成プロファイルの機能が停止する日時を指定します。
但し、構成プロファイルが削除されるわけではありません。その後、再インストールすれば再度、構成プロファイルは有効になります。






注
「ActiveSync」は、コンソールPCからUSBケーブルで当該端末に接続して送る方法を指します。

コンソールPCのOSが、Windows XP以前の場合は、「ActiveSync」という名前のソフトをMicrosoftからダウンロード/インストールすることで
伝送が可能になります。
コンソールPCのOSが、Windows Vistaの場合は、「Windows Mobile Device Center」という名前のソフトをMicrosoftからダウンロード/インストールすることで
伝送が可能になります。
「ActiveSync」及び「Windows Mobile Device Center」は、Windows8 以降のPCには対応していません。






H. 構成プロファイルが適用されているかどうかの確認


コンソールの端末一覧で、確認したい端末を選択し、右側ペインの「プロファイル」欄をクリックすると、当該端末に適用されている 構成プロファイルの一覧が表示されます。