端末登録ルール

Just another POL Helpサイト site

iPhone、及びiPad をMobiControlの所定の端末グループに登録(Enroll)する仕組みを設定するのが、 端末登録ルールです。

A. 端末登録ルール作成の前に知っておくこと

端末登録ルールと端末グループの関係

MobiControlの端末グループは、企業/団体の組織構造を反映して、階層構造とすることができます。 端末登録ルールは、原則的に、階層構造の最下位の端末グループ毎に作成します。 例えば「本部」「部」「課」の階層構造の場合だと、「課」単位の端末グループ毎の端末登録ルールを作成します。例外として、 「部」単位の端末登録ルールを作ることもできます。そして、部長席のユーザの端末は、その端末登録ルールに則って登録することもできます。「本部長席」のユーザの 端末に対しても同様に「本部」単位の端末登録ルールを作成することも考えられます。
以下に説明するように、端末登録ルールの作成には多くの選択肢があります。従って、 同じ端末グループを対象に、複数の端末登録ルールを作成し、存在させることができます。 しかし、1つの端末登録ルールは、1つの端末グループしか対象にできません。<端末登録ルール> 対 <端末グループ> の関係は、N対1の関係になります。

iOS端末のセットアップと登録の方法は4種類

iOS端末のセットアップとMobiControlサーバへの登録の方法には4種類があります。
  1. 監視モードとしてセットアップ
    端末をアクティベーション(初期設定)をします。その後に、端末はApple DEP(Device Enrollment Program)サーバにアクセスし、DEPサーバに登録してあるMDMサーバのURLを取得します。 続けて、端末は当該MDMサーバにアクセスし登録をします。
    • 1-a 自動DEP登録
      DEP販売店IDを持つ販売店から購入するiOS端末が対象
    • 1-b 手動DEP登録
      DEP販売店IDを持たない販売店から購入したiOS端末、既に購入済みのiOS端末、及び、非監視モードでMobiControlに登録済みだが監視モードに変更する端末が対象
  2. 非監視モードとしてセットアップ
    既にアクティベーション済みの端末を登録します。

端末登録ルールが作成されると、「登録用URL」と「登録ID」が生成されます。 「登録用URL」と「登録ID」は、端末登録ルール毎に生成され、グローバルな唯一性を持ちます。 「登録用URL」は、MobiControlサーバのURLに、端末登録ルール別のディレクトリ名がつながった形式です。
端末が所定の端末グループに登録される仕組みは下表の通りです。
登録方法の種類端末グループに登録される仕組み
1-a 自動DEP登録 端末登録ルールの作成後、端末登録ルール毎に登録予定の端末のシリアル番号を割り当てておく。 この割り当てに関しては、iOS端末の自動DEP登録のページの「E. 端末登録ルールで、端末シリアル番号を再配置を参照ください。
初期設定後、始めて、MobiControlサーバにアクセスした 端末は、自らのシリアル番号が割り当てられている端末登録ルールを探す。そして、その端末登録ルールが指定する端末グループに登録される。
1-b 手動DEP登録 端末登録ルール毎に生成される「登録に関するファイル」を、Apple Configuratorにインポート。Apple Configuratorは、これを DEPサーバに登録。
端末は、DEPサーバの「登録に関するファイル」を読み取って、登録先となるサーバURLと端末登録ルールを認識。 そして、その端末登録ルールが指定する端末グループに登録される。
2-a 登録用URLをSafariに入力して登録 登録用URLが示すMobiControlサーバに アクセス。登録用URLのディレクトリ名により、端末登録ルールを判別。当該端末登録ルールが指定する端末グループに登録される。
2-b MobiControlエージェントのインストール後、登録IDを入力して登録 登録IDの入力を受けたエージェントは、最初、SOTIのサイトにアクセスし、登録IDとペアになっている登録用URLを取得。続けて、登録用URLが示すMobiControlサーバに アクセス。登録用URLのディレクトリ名により、端末登録ルールを判別。当該端末登録ルールが指定する端末グループに登録される。

AD(Active Directory)での認証をして登録するか否か

端末登録時に、AD_DS(Active Directory Domain Service)による認証をするかしないかの選択肢があります。 AD_DSによる認証をするには、そのように端末登録ルールを作成します。 AD_DSによる認証をすると、MobiControlサーバは、UPNなどの端末のAD_DSの属性情報を把握します。 AD_DSによる認証のメリットについては、AD_DS認証をして、端末をMobiControlに登録するメリットを参照ください。
端末登録時に、AD_DSによる認証をしなくても、後からAD_DSの属性情報を手入力、またはCSVファイルのインポートで、端末に関するデータベースに 登録することもできます。詳しくは、ユーザ情報を参照ください。
AD_DSによる認証の替わりに、AD_FS(Active Directory Federation Service)による認証も可能です。 AD_DSサーバがイントラネット内にあり、SaaSのMobiControlを利用する場合に適用します。 AD_DSによる認証の場合と、AD_FSによる認証の場合とでは、端末登録ルールは異なるものになります。

ADグループを端末登録ルールにマッピング

「ADのグループ」を端末登録ルールにマッピングすることができます。これにより、「ADのグループ」に割り当てられた構成プロファイルを 当該端末ルールの登録先となる端末グループにも割り当てることができます。
詳しくは、構成プロファイルは、ADのグループを割当て対象にできるを参照ください。
AD認証をするか否か、ADグループをマッピングするか否かで、端末登録ルールの選択肢は、次の5択があります。
AD_DS または AD_FSによる認証
AD_DS認証 AD_FS認証両方共しない
ADのグループを
マッピング
する
しない

端末登録ルールの選択肢

上記のように、AD_DSまたはAD_FSによる認証をすると、端末にAD_DSのユーザ属性が付与されて、端末管理の有用度が広がります。 一方、端末を監視モードにすると、端末の管理範囲が広がります。
端末登録ルール作成にあたっては、監視モードにするか、AD_DSのユーザ属性を付与するかによって、端末に対する管理範囲が変わってきます。
端末の設定モード
監視モード非監視モード
AD_DSのユーザ属性を端末に付与する
しない
の場合、 MobiControlの管理領域は最も広くなります。
の場合、 管理領域は最も狭くなります。
端末登録ルールの作成をスムーズに行うには、どの設定選択肢を採用するかを 事前決定しておく必要があります。

MobiControlエージェント・ソフト

iOSには、デフォルトで具備されているMDMプロトコルという名前の ソフトウェアがあります。MDMプロトコルが、MobiControlサーバにチェックインすることで、コマンドや構成プロファイルを受け取ります。
更に、MobiControlエージェントをインストールし、端末ユーザがこれを起動すると、端末は、MobiControlサーバに接続します。
チェックインと、接続とでは、端末とMobiControlサーバ間で送受されるデータ内容は異なります。 管理領域を拡げるには、MobiControlエージェントソフトのインストールが望まれます。
詳しくは、「iOS:チェックインと接続」を参照ください。
1-a、 1-b、 2-a の場合、登録が終わった段階では、端末にはMobiControlエージェントがインストールされていません。 そのために、アプリカタログルールにMobiControlエージェントを 掲載しておきます。端末は、MobiControlに登録後、 MobiControlエージェントをダウンロードしインストールします。

B. 端末登録ルールの作成

(図2)
iOS端末のルールの一覧
(図2)を表示します。
(図2)のiOS端末のルールの一覧を表示するには、iOS端末に対するルールの作成を参照ください。
(図2)の「端末の登録」を右クリックすると、「端末登録ルールの作成」の文字列が表示されます。
この「端末登録ルールの作成」をクリックすると、(図3)の設定ダイアログがポップアップします。

1. 端末登録ルール名の入力

端末登録ルール名の入力画面(図3)が現れます。

(図3)

赤い背景色の部分に、ルール内容を連想しやすい文字列を入力します。
例えば、(図4)のルール名は、ルールの種類が「登録ルール」であること、対象が「東京本社営業1課」 であることを連想させるものです。 企業/団体の組織は階層構造になっています。端末登録ルールの名前は、組織の末端グループの名前とすると管理が便利です。

(図4)


名前の入力が終われば「次へ」のボタンを押すと(図5)が現れます。

(図5)


ここで、次の3つの選択肢のどれかを選択します。
  1. AD_DSのグループをマッピングしないし、AD_DSまたはAD_FSによる認証もしない
  2. AD_DSのグループをマッピングしないが、AD_DSまたはAD_FSによる認証をする
  3. AD_DSのグループをマッピングするし、AD_DSまたはAD_FSによる認証もする
a. または b. を選択する場合は、(図5)で「手動」を選択します。
c. を選択する場合は、(図5)で、「LDAPグループメンバーズシップに基づく」を選択します。
「AD_DSのグループをマッピング」に関しては、AD_DSのグループをマッピングするか否か を参照ください。
下記のをクリックください。
説明を開いた状態
説明を閉じた状態

2. AD_DSのグループをマッピングしないし、AD_DSまたはAD_FSによる認証もしない


  • 端末登録ルールを適用する端末グループを選択

    (図5)で、「手動」を選択すると、(図6)が現われます。 「端末グループの登録」ダイアログで作成した端末グループが階層構造で表示されます。 現在作成中の端末登録ルールの対象グループを選択します。

    (図6)

    前述したように、基本的には、最下位の端末グループを指定することが適切です。 「次へ」を押すと、(図7)が現われます。

    端末登録時に、パスワード入力を要求するか否かの選択

    (図7)

    (図7)で、次のラジオボタンのどちらかにチェックを入れます。
    1. 端末登録時に、ここで設定するパスワードの入力を要求する
    2. 端末登録時にパスワードの入力を要求しない

    • a.を選択した場合、パスワード欄にパスワードを入力します。このパスワードは端末の登録の際だけに入力要求がされます。 端末を登録する人に、このパスワードを連絡しておきます。 登録した後に、端末をMobiControlサーバに接続させるときには、入力の要求はされません。
    • b.を選択すると、登録作業が簡単になる反面、 「登録用URL」を知っている人間の端末なら誰でも登録されてしまう危険があります。 もし、キッティング作業の関係でパスワードの入力の手間を避けたい場合は、後述するIPアドレスフィルタと 併用するとよいでしょう。その場合、社内の特定のSSID/WiFiに接続し、指定のIPアドレスを割り当てられている端末のみが 登録できます。 MobiControlサーバがSaaSの場合、グローバルIPアドレスである必要があります。
      詳しくは、IPアドレスフィルタを参照ください。
    • 端末を「手動DEP登録」する場合は、「静的登録チャレンジを使用する」にチェックを入れます。

    パスワードの入力または、選択が終わると、「次へ」ボタンを押します。(図13)に画面遷移します。

3. AD_DSのグループをマッピングしないが、AD_DSまたはAD_FSによる認証をする


  • 端末登録ルールを適用する端末グループを選択

    (図5)で、「手動」を選択すると、(図6)が現われます。 「端末グループの登録」ダイアログで作成した端末グループが階層構造で表示されます。 現在作成中の端末登録ルールの対象グループを選択します。

    (図6)

    前述したように、基本的には、最下位の端末グループを指定することが適切です。 「次へ」を押すと、(図8)が現われます。

    AD_DSまたはAD_FSによる端末ユーザ認証

    (図8)


    (図8)で、「端末の登録時にディレクトリサービスを使用してユーザーを認証してください」のラジオボタンに チェックを入れます。これにチェックを入れると、AD_DS または AD_FSによる端末ユーザ認証をします。
    続けて、
    a.LDAPディレクトリサービスAD_DSによる認証
    b.識別プロバイダ(LDAPあり)AD_FSによる認証
    のどちらかを選択します。a. b. 各々について、以下、説明します。
    1. LDAPディレクトリサービス
      (図8)のをプルダウンすると、 作成済みのLDAP接続プロファイルの名前の一覧が表示されます。 (図8)のサンプルでは、「東日本地区」という名前のLDAP接続プロファイルを選択しています。
      の欄には、 AD_DSのグループ名を入力し、「Add」ボタンを押します。 グループ名のフルスペルを入力する必要はありません。最初の4文字程度を入力すると、該当するグループ名候補が 現われます。これを選択すると、 の欄には、 選択したAD_DSのグループ名が表示されます。登録する端末ユーザは、このAD_DSのグループメンバーでなければなりません。 AD_DSの他のグループのメンバーも、この端末登録ルールで認証したいときは、 の欄に他のグループ名を 入力します。
      で、 AD_DSのグループ名として存在してない文字列を入力すると、「検索しましたが、見つかりませんでした」 のエラーポップアップがでます。

      端末の登録時には、AD_DSのログインIDとパスワード入力欄が、端末に表示されます。端末ユーザは、それを入力します。 その際、端末ユーザは、(図8)のの欄に入力した AD_DSのグループメンバーでなければなりません。

       

    2. 識別プロバイダ(LDAP)あり
      (図8)のをプルダウンすると、 作成済みのAD_FSとの接続プロファイルの名前の一覧が表示されます。 未だ、AD_FSとの接続プロファイルを作成していないと、 (図9)のように、「IdP接続を管理」の文字列が表示されます。

      (図9)

      これをクリックすると、AD_FSとの接続プロファイルの作成画面がポップアップします。 ここで、「IdP」や「識別プロバイダ」とは、AD_FSサーバを指します。
      AD_FSとの接続プロファイルを作成すみなら、 をプルダウンして、 該当するAD_FSとの接続プロファイルの名前を選択します。
      続けて、の欄には、 AD_DSのグループ名を入力し、「Add」ボタンを押します。 グループ名のフルスペルを入力する必要はありません。最初の4文字程度を入力すると、該当するグループ名候補が 現われます。これを選択すると、 の欄には、 選択したAD_DSのグループ名が表示されます。登録する端末ユーザは、このAD_DSのグループメンバーでなければなりません。 AD_DSの他のグループのメンバーも、この端末登録ルールで認証したいときは、 の欄に他のグループ名を 入力します。
      で、 AD_DSのグループ名として存在してない文字列を入力すると、「検索しましたが、見つかりませんでした」 のエラーポップアップがでます。

      (図8)の上辺で、「識別プロバイダ(LDAPあり)」を選択すると、端末は、AD_FSサーバによる認証を 受けます。ただし、端末ユーザは、ログインIDやパスワードの入力を要求されません。 AD_FSサーバによる認証は、SSO(Single Sign On)だからです。 詳しくは、AD_FSとの接続プロファイルを参照ください。
    (図8)での、入力が終われば、「次へ」を押します。(図13)に画面遷移します。

4. AD_DSのグループをマッピングするし、AD_DSまたはAD_FSによる認証もする

  • (図5)で、「LDAPグループメンバーズシップに基づく」を選択すると、(図10)が現われます。
    (図10)で、AD_DSのグループにマッピング(連携)する端末グループを指定します。

    (図10)


    (図10)の上辺には、下記の2種類のラジオボタンがあります。
    a.LDAPディレクトリサービスAD_DSによる認証
    MobiControlサーバが、AD_DSサーバと通信をして、マッピングするAD_DSのグループを指定できます。
    b.識別プロバイダ(LDAPあり)AD_FSによる認証
    MobiControlサーバが、AD_FSサーバと通信をして、マッピングするAD_DSのグループを指定できます。
    a. b. 各々について、以下、説明します。
    1. LDAPディレクトリサービス
      (図10)のをプルダウンすると、 作成済みのLDAP接続プロファイルの名前の一覧が表示されます。 (図10)のサンプルでは、「東日本地区」という名前のLDAP接続プロファイルを選択しています。
      もし、LDAP接続プロファイルを作成してない場合は、LDAP接続プロファイルの作成ダイアログが表示されます。
      LDAP接続プロファイルの作成には、「LDAP接続プロファイルの作成」を参照ください。
      (図10)のの欄には、マッピングするAD_DSのグループ名を 入力してから、右端の「Add」ボタンを押します。AD_DSのグループ名として存在してない文字列を入力すると、「検索しましたが、見つかりませんでした」 のエラーポップアップがでます。
      グループ名のフルスペルを入力する必要はありません。最初の4文字程度を入力すると、該当するグループ名候補が 現われます。
      (図10)は、「sales」という名前のAD_DSのグループ名を選んだ例です。 この「sales」にマッピングする端末グループを選択します。 をプルダウンすると、 端末グループが階層構造で表示されます。 ここから、この端末登録ルールの登録先となる端末グループを選択します。 選択できる端末グループは1つだけです。1つの端末登録ルールは、1つの端末グループのみしか対象にできないからです。
      AD_DSの同じグループのメンバーの端末を、異なる端末グループに登録させたい場合は、別途、異なる端末登録ルールを作成します。 例えば、で、 AD_DSのグループ"sales"を、「東京本社営業1部」にマッピングした端末登録ルールと、「東京本社営業2部」に マッピングした端末登録ルールを作るようなケースです。

      端末の登録時には、AD_DSのログインIDとパスワード入力欄が、端末に表示されます。端末ユーザは、それを入力します。 その際、端末ユーザは、(図10)のの欄に入力した AD_DSのグループメンバーでなければなりません。

       

    2. 識別プロバイダ(LDAP)あり
      の欄をプルダウンすると、 AD_FSとの接続プロファイルの名前リストが現れます。 該当するAD_FSとの接続プロファイルを選択します。
      未だ、AD_FSとの接続プロファイルを作成していないと、 (図11)のように、「IdP接続を管理」の文字列が表示されます。

      (図11)

      これをクリックすると、AD_FSとの接続プロファイルの作成画面がポップアップします。 ここで、「IdP」や「識別プロバイダ」とは、AD_FSサーバを指します。 の欄には、AD_DSのグループ名を 入力します。
      をプルダウンして、現在、作成中の 端末登録ルールが対象とする端末グループを選択します。

      (図10)の上辺で、「識別プロバイダ(LDAPあり)」を選択すると、端末は、AD_FSサーバによる認証を 受けます。ただし、端末ユーザは、ログインIDやパスワードの入力を要求されません。 AD_FSサーバによる認証は、SSO(Single Sign On)だからです。 詳しくは、AD_FSとの接続プロファイルを参照ください。

    (図10)での作業が終われば、「次へ」を押します。「次へ」を押すと、(図12)に画面遷移します。

    SSL通信に関する証明書

    (図12)

    端末とMobiControlサーバとの間のSSL通信に使う証明書を規定します。 MobiControl内部CAを使う場合は、「次へ」を押します。(図13)に画面遷移します。

5. DEP経由で登録する端末へのDEP登録プロファイル

Apple DEP(Device Enrollment Program)を利用してMobiControlに登録してくる端末の 初期設定時の 挙動を規定する選択肢を、(図13)で定めます。
登録にDEPを利用しない、つまり、非監視モードで端末を設定する場合は、(図13)での設定は不要です。その場合は「次へ」を押します。

(図13)


(図13)で、「全般」は、端末OSに働きかける選択肢です。「アシスタントオプションの設定」は、設定作業中の端末に、該当メッセージを 表示するか否かの選択肢です。
(図13)の項目説  明
全般
設定アシスタントで登録を必須にする 端末を初期化した場合、その設定アシスタントの手順の中に、MobiControlへの登録を必須とする場合に、ここにチェックを入れます。 通常はチェックを入れます
デバイスの監視チェックを入れると、端末を監視モードにします。 監視モードにすると、端末に対する設定機能が豊富になります。通常はチェックを入れます
登録解除を禁止するチェックを入れると、端末ユーザによって、端末の「設定」-->「一般」で、MobiControlプロファイルの削除ができないようにします。 通常はチェックを入れます
ホストペアリングを許可するチェックを入れると、iTunesを利用してパソコンとの間でデータの送受を許可することになります
アシスタントオプションの設定 アクティベーションプロセスで表示するか否かの選択です。 通常は、表示させないように、全てにチェックを入れません。 初期設定完了後でも、設定できる項目だからです。
新規またはバックアップからの復元の設定 チェックを入れると、「iTunesまたはiCloudに保存済みのデータを読み取って復元を するかどうか」のプロンプト画面を表示します。 そして、iTunesかiCloudかを選択すると、そこから 読み取っての復元を、アクティベーションプロセスで実行します。
Apple IDチェックを入れずにおくと、アクティベーションの際にApple IDの入力を要求する画面が端末で表示されません。 通常はチェックを入れません
使用条件チェックを入れると、利用規約に同意するかどうかの選択画面を表示します。
診断チェックを入れると、端末の状況を診断しApple社に送信するか否かの選択画面を表示します
位置情報サービスチェックを入れると、位置情報サービスを許諾するか否かの画面を表示します
Siriチェックを入れると、Siriを使用するかどうかの選択画面を表示します
Apple Pay チェックを入れると、Apple Payの設定画面を表示します。
タッチID チェックを入れると、タッチIDの設定画面を表示します。
アンドロイドの移行 チェックを入れると、今まで使っていたAndroidデバイスからのデータをインポートするかどうかの画面を表示します。
ズーム チェックを入れると、ズーム設定の画面を表示します。

(図13)での選択が終われば、「次へ」を押します。(図14)に画面遷移します。

6. 利用規約の設定

上記の「4. AD_DSのグループをマッピングする」を選択した場合、(図14)は表示されません。

(図14)

(図14)の「利用規約のタイトル」欄の右端をプルダウンすると、 作成済の「利用規約のタイトル」のリストが表示されるので、適切なタイトルを選択します。
「利用規約」は、端末ユーザがMobiControlを利用することに伴う権利義務と MobiControlが端末を管理する事柄を記述した文章です。 「会社支給端末を紛失したらすぐに会社に届けること」とか 「私物端末でも、紛失したら、端末をリモートWIPE(初期設定にもどす)をし、プライベートデータも削除すること」 などの条項が記述しておきます。
将来、モバイル端末に関して従業員と企業との間の訴訟が生じる可能性があるかも知れないので、端末の登録時に 「利用規約」の同意を端末ユーザから取り付けておき、後日のエビデンスとします。
端末登録時に、この規約に端末ユーザが同意したかどうかは、MobiControl管理者に通知がきます。
(図14)で、「管理」を押すと(図15)が現われます。

(図15)

新規に利用規約を登録するには、「追加」を押します。(図16)が現われます。

(図16)

利用規約の名前を入力します。利用規約本文は、予め作成しておき、コンソールコンピュータ内に保存しておきます。 ソース欄の右の「参照」を押すと、コンソールコンピュータのExploreが開きますので、保存先フォルダを検索し、該当ファイルを クリックします。利用規約本文は、テキスト形式か、HTML形式で記述します。

端末を登録するユーザに利用規約を端末に表示しない場合は、(図14)で、「端末登録時に利用規約への同意を求める」のチェックを外します。

7. 端末名の形式を設定

(図14)で、「次へ」を押すと、(図17)に画面遷移します。(図17)では、端末の名前の形式を設定します。

(図17)

入力欄の右端の歯車アイコンをクリックすると、端末名の構成要素となるマクロのリストが表示されます。
各々の構成要素を選択すると、対応するマクロが入力欄に入力されます。
端末名の構成要素名マクロ
IMEI Number
国際移動体装置識別番号。15桁の数字
%IMEI%
電話番号%PHONENUMBER%
数字の順番を自動的に割り当て%AUTONUM%
端末のMACアドレス%MAC%
端末のOS%PLATFORM%
端末のモデル%MODEL%
端末メーカー%MANUFACTURER%
登録時のユーザのユーザ名%EnrolledUser_Username%
登録時のユーザのドメイン%EnrolledUser_Domain%
登録時のユーザのメールアドレス%EnrolledUser_Email%
所有者が命名した端末名%PERSONALIZED_DEVICE_NAME%
注意青文字の構成要素を選ぶときは、AD_DSまたはAD_FSによる 認証をする端末登録ルールでなければなりません。AD_DSまたはAD_FSで認証することにより、MobiControlは AD_DSのユーザ属性を把握することができます。

複数の構成要素を選択することが可能です。 例えば、
「端末のモデル」と「数字の順番を自動的に割り当て」を選ぶと、
この欄は、 %MODEL% %AUTONUM%
と表示されます。
実際の端末の定型端末名は、この場合、
iPhone 00001
のようになります。続いて、この定型端末名の形式で2番目に登録された定型端末名は
iPhone 00002 となります。
マクロだけでなく、固定の文字列も挿入できます。

(図18)
(図17)の再掲

(図17)または(図18)で、「これを反映するようにデバイス側の名前を更新する」にチェックを入れます。
これにチェックを入れると、端末側の端末名が(図17)または(図18)で規定した名前に変更されます。 端末側の端末名とは、端末で「設定」--> 「一般」--> 「情報」に表示されている名前です。
端末側でMobiControlアプリ(エージェント)をアンインストールした後に、再インストールすると、 端末側の端末名で、(図17)または(図18)で設定したMobiControl側の名前を上書きしてしまいます。
これを防止するために、端末側の端末名も(図17)または(図18)で設定した名前と同じにしておきます。
端末側の端末名を同一にする機能は監視モード端末であることが必要です。

8. 端末の壁紙の設定

(図17)または(図18)で、「次へ」を押すと、(図19)に画面遷移します。

(図19)

端末のロック画面、またはホーム画面での壁紙(Wall Paper)の設定できます。 対象端末が、iPhoneかiPadかを(図19)の上部タブで選択します。 画像の部分をクリックすると、コンソールパソコンのExploreが開きますから、 壁紙としたい画像ファイルを選択します。画像ファイルの形式は、PNGかJPEGであることが 必要です。

9. 端末登録ルールの内容確認

(図19)で、「次へ」を押すと、(図20)に画面遷移します。

(図20)

設定した端末登録ルールの内容が表示されます。これでよければ、「終了」ボタンを押します。

10. 登録用URLの表示

(図20)で「終了」ボタンを押すと、(図21)のポップアップが表示されます。

(図21)

(図21)の端末登録サイトのURLが、「登録用URL」です。今まで作成してきた端末登録ルールに紐づけられたURLです。 端末のSafariに、このURLを入力すれば、端末をMobiControlに登録できます。
詳しくは、サーバの登録用URLによる端末の登録を参照ください。
(図21)の「メールで登録IDの通知」のボタンを押すと、メーラーが起動し、登録用URLを通知するメール文案が表示されます。 端末ユーザのメールアドレスが分かれば、そのメールアドレスを入力して発信します。端末でメールを開き、本文の中のURLをタップすれば、 ブラウザが開き、MobiControlサイトへアクセスし、登録を始めることができます。
URLをQRコードに変換してくれる無料のサードパーティ製アプリが幾つかあります。このアプリをWindows PCで起動し、(図21)のURLをコピー/貼り付けすると QRコードを生成できます。このQRコード画像を、キッティング対象の端末でスキャンすると、URLを読み取ることができます。 続けてSafariが起動し、MobiControlサイトへアクセスし、登録を始めることができます。
キッティング作業の場所にPCがあれば、そのPCにQRコードを表示し、端末にスキャンさせることができます。 または、QRコードを印刷したペーパーを、キッティング作業の場所に持っていくこともできます。
SIMカードがない端末をキッティングをする場合、未だ、端末にメーラーを設定してない場合があります。その場合は、端末にメールを送れません。 URLは文字数が長いので、SafariにURLを手入力するのは面倒です。こういう場合に、QRコードの利用も一案です。

11. 登録ルールの内容表示

(図21)で「閉じる」ボタンを押すと、端末登録ルールの作成は終わりです
コンソール画面の左側ペインにある「端末の登録」という項目を左クリックすると、作成済みのルールの一覧が表示されます。 登録したルールにマウスを載せると、その内容が、(図22)のように表示されます。

(図22)


(図22)に、登録IDと端末登録サイトのURLが表示されます。赤枠で囲った部分です。
端末の登録方法の一つに、端末で登録IDを入力する方法があります。これは、端末で、MobiControlエージェントソフトを App Storeからダウンロードし、それをインストールする登録方法です。そのインストールのプロセスの途中で、登録IDの入力を 要求されます。
詳しくは、登録IDによるセットアップと登録を参照ください。

12. 作成済の登録ルールの編集その他

コンソール画面の左側ペインにある「端末の登録」という項目を左クリックすると、作成済みのルールの一覧が表示されます。 作成した登録ルールの名前を右クリックすると、(図23)のようなメニューが現われます。

(図23)

  • 作成済の登録ルールの中身を修正する場合は、「ルールの編集」を選択します。 「ルールの対象グループ」、「登録時の認証方式」、「利用規約書」、「適用期間」などを修正することができます。
  • 「登録ID発行の停止」を選択すると、(図22)の「登録ID」と「端末登録サイトのURL」の欄の文字列が空白になります。更にプルダウンメニューの 「登録ID発行の停止」の文字列が消え、「登録ID発行の開始」が現れます。(図24)参照。

(図24)

  • (図24)で「登録ID発行の開始」を押すと、新しい登録IDと登録用URLが発行されます。今後は、この新しい登録IDまたは登録用URLを使わないと 新規に端末を登録できなくなります。
  • この登録IDと登録用URLの再発行は、セキュリティ対策上、次のような場合に役立ちます。 部外者が登録IDを知ると、Mobicontrolに自分の端末を登録できてしまうからです。登録IDと登録用URLを時々、変えると、このようなリスクを防げます。

(図25)

  • 「ルールの適用中止」を選択すると、臨時的に、その登録IDまたは登録用URLでは登録できなくなります。 登録済の端末がMobiControlの管理外になるということではありません。また、登録ルールが削除された訳ではありません。
  • 「ルールの適用開始」を押すと、この端末登録ルールの適用が再開します。
  • 「ルールの削除」を選択すると、この端末登録ルールは削除されます。復活はできません。

13. オプション

(図20)の右下の「詳細設定」を押すと、(図26)が現われます

13-1. 適用期間の設定

オプションとして、登録ルールの適用期間を設定します。例えば、
  • MobiControlの社内展開日がまだ先の場合は、開始日時を設定できます。
  • 端末の登録終了日を設定する場合、その日時を入力します。
    この終了日で登録は終ります。この日以降、この登録IDでの登録はできなくなります。
    しかし、登録済の端末によるMobiControlの利用は継続します。

(図26)

(図26)の下段の項目を説明します。
項目の文字列説  明
ルールの適用チェックを外すと、端末登録ルールは存在しても、対象の端末グループへの新規登録は拒否します
再登録時にデバイスの位置情報を保存する 端末が何らかの理由で、Mobicontrolの管理外になったとします。再度、登録アクションをしたときに、 同じ端末グループに再登録されます。ここでチェックを外すと、同じ端末グループに再登録できなくなります。 ここでいう「位置情報」とは、端末の「所属している端末グループ」のことです。
パスワードをキャッシュに入れる(図8)で、「端末登録時に、ここで設定するパスワードの入力を要求する」を選択したとします。 端末が何らかの理由で、Mobicontrolの管理外になったとします。再度、登録アクションをしたときに、ここにチェックを入れると、 端末登録用パスワードの入力が不要になります。端末のキャッシュに保存されているからです。
登録ID発行の開始チェックを外すと、(図24)の「登録IDの発行開始」を選択しても、登録IDの再発行はできなくなります。

13-2. IPアドレスフィルタ

(図26)の「ルールフィルタ」の新規ボタンをドロップダウンします。 この中のIPアドレスフィルタを選択します。(図27)が現われます。

(図27)

IPアドレスフィルタとは、 端末の登録時の端末のIPアドレスが、(図27)で設定したIPアドレスの範囲内であるときでないと、MobiControlに登録できなく するようにすることです。
例えば、社内の特定の場所を電波カバーする無線LANの提供するIPアドレスの範囲を指定します。 そうすると、端末は地理的に社内のその場所でないと、登録できなくなります。
社外での登録を防ぐことでセキュリティ強度が増します
。 特にそのIPアドレスがグローバルIPアドレスだと 一意性を持つので、益々、セキュリティが高まります。
登録後、当該端末を社外で使っても、なんら問題なくMobiControlサーバに接続でき、MobiControlの管理対象とできます。

13-3. 端末登録時に端末のOSのバージョンを指定

(図26)の「ルールフィルタ」の新規ボタンをドロップダウンします。 この中の「デバイスプロパティ・フィルタの追加」を選択します。

(図28)

登録する端末のOSのバージョンを指定します。不等号記号を使って、指定のバージョンより上とか下を指定できます。

13-4. 端末登録時に端末のOSのビルドバージョンを指定

(図26)の「ルールフィルタ」の新規ボタンをドロップダウンします。 この中の「ファームウェア・フィルタの追加」を選択します。

(図29)

登録する端末のOSのビルド・バージョンを指定します。不等号記号を使って、指定のビルド・バージョンより上とか下を指定できます。

14. 自動DEP登録に備えて端末のシリアル番号を端末登録ルールに再配置

DEP販売店IDを持つ販売店から購入するiOS端末に限り、端末を自動DEP登録できます。
端末登録ルール内のリストに、これから登録する予定の端末のシリアル番号を標記しておきます。自動DEP登録してくる端末は、自らの端末シリアル番号が標記している 端末登録ルールを探して、その端末登録ルールが指定した端末グループに登録されます。 端末のシリアル番号とは、製造時にAppleが端末毎に附番した番号で、端末に固有の番号です。
複数の観光バスがあり、各々乗車予定者リストが決まっていたとします。バスに乗る人はリストに自分の名前が載っているバスに乗車します。 これと同じ仕組みです。

(図30)

(図31)
  1. 販売店は、購入する端末の端末シリアル番号を、Apple DEPサーバに登録しておいてくれます。
  2. 端末を購入した企業/団体の、DEP担当者アカウントを持つ人が、Apple DEPサーバから、DEPトークンをダウンロードし、 それを、MobiControlサーバにアップロードします。
  3. MobiControlには、「既定のデバイス登録ルール」というデフォルトの端末登録ルールがあります。
    (図31)の例では「DEP受付」がそれです。 この端末ルールの文字列を右クリックして現われるメニューに「DEP指定の管理」があり、 これを選ぶと、これから登録する予定の端末の端末シリアル番号が表示されます。これを他の端末登録ルールに再配置します。
詳しくは、自動DEP登録の「E. 端末登録ルールで、端末シリアル番号を再配置」を参照ください。
手動DEP登録の場合は、この端末シリアル番号の再配置の作業をする必要はありません

15. 手動DEP登録をするのに必要なファイルをダウンロード

DEP販売店IDを持たない販売店から購入したiOS端末、既に購入済みのiOS端末、及び、非監視モードでMobiControlに登録済みのiOS端末は 手動でDEP登録をして、監視モードにすることができます。
(図32)
上記の第2項「2. AD_DSのグループをマッピングしないし、AD_DSまたはAD_FSによる認証もしない」の (図7)に、「静的登録チャレンジを使用する(Apple Configuratorと共に使用)」にチェックを入れておきます。 このチェックを入れた端末登録ルールの名前を右クリックすると、(図32)のようなメニューが表示されます。
(図32)の
  • 登録に関するファイルのダウンロード
  • MobiControlトラストプロファイルのダウンロード
をクリックしてファイルをダウンロードします。

ファイル名
登録に関するファイル addDeviceRulexxxx.mobileconfig
MobiControlトラストプロファイル rootCertProfile.mobileconfig
手動DEP登録は、登録しようとする端末を、USBケーブルでmacOSコンピュータに接続して実行します。 上記の2つのファイルを、macOSコンピュータに保存しておきます。 macOSコンピュータで起動するApple Configurator2に、この2つのファイルをインポートします。
初期設定された端末は、 2つのファイルの内、addDeviceRulexxxx.mobileconfigを参照して、適用される端末登録ルールを判別します。
手動DEP登録の方法は、手動DEP登録を参照ください。