iOS端末

Just another POL Helpサイト site



業務アプリの管理

MobiControlは、業務アプリの管理に最適のソリューションをiOS端末に提供します。
  1. 端末ユーザの操作がなくても、アプリのサイレント・インストールとサイレント・バージョンアップを実現
    端末ユーザの操作を待つ必要がないので、短かい時間で数千台の端末にアプリの配布やバージョンアップができます。業務改善のスピードを速めます。
  2. 社内開発し、Appストアに公開したくないアプリも端末に配布し、インストール
これ以外に、社内のWiFiやVPN等も、リモート設定ができます。

情報漏洩対策の充実

利用中の対策

iOS端末には、様々な情報漏洩対策が用意されています。しかし、それは、適切な設定をしていることが前提です。 MobiControlは、適正な設定を強制的に適用します。例えば:-
  • パスコードの設定強制。複雑性や無効パスコード入力の許容回数制限。
  • ロック中のSiriの禁止
    (禁止にしてないと、ロック中でもSiriで連絡先の電話番号を知ることができます)
  • アクティベーションロックの強制
  • Cookieの制限(過去に訪問したサイトからのCookieのみに制限)
  • 端末証明書のインストール
    (メールサーバやVPNの利用に際する認証に使います)

紛失時の対策

監視モードの端末では、必ずしもApple IDを紐づける必要がありません。その場合は、 iCloudやその機能の一つの「iPhoneを探す」にアクセスできません。
その替わり、MobiControlコンソールまたはセルフサービスポータルから紛失時の対策を実行できます。 つまり、 「紛失モード」や「リモートWipe(初期化)=iPhoneを消去」や地理的位置の把握など、「iPhoneを探す」と同等の 働きかけができます。
尚、監視モード/非監視モードを問わず、アクティベーションロックを有効にしてある端末に対し、(拾得者が) リセット(Wipe -->再アクティベーション )しようとすると、元ユーザのApple IDとそのパスワードの入力が求められます。しかし、コンソールからは、端末ユーザの介在なく、Wipeできます。

監視モード

iOS端末を監視モードにすることで、次のようなメリットが得られます。
  • 情報漏洩対策及びその他を目的として、端末の設定を強制できる。
    詳しくは、下記の「監視モードでの機能」を参照。
  • Appストアアプリをサイレント・インストールできる
    詳しくは、アプリカタログルールを参照。 また、AppストアのVPP(Volume Purchase Planing)アプリをユーザのApple IDではなく、端末に紐づけることができる。 端末ユーザが変わっても、同じアプリを継承できる(=有償アプリでも新規購入不要)。
  • Apple IDの管理が不要
    端末を 監視モードでアクティベーション(初期設定)するときは、AppleへのApple IDの登録をしない。 そして、監視モードの端末は、Apple IDの登録をせずとも使用できる。 その際、Appストアのアプリは、デバイスベースのVPPアプリを アプリカタログに掲載することで配布できる。 「iCloud」にアクセスできなくても、「紛失モード」で同等の操作ができる。 これで、煩雑な端末毎のApple IDの管理を回避できる。
    (端末操作により端末ユーザのApple IDを登録することはできます。続けて、iCloudへのアクセスもできます。但し、iCloudでドキュメントの同期を有効にしておくと、私物のPCでも会社のドキュメントを入手できるようになります。私物のPCから情報が漏洩する危険があります。MobiControlでは、iCloudとのドキュメント共有を禁止することができます。)
  • Apple IDとパスワードが不明でも、紛失モードにできる。端末の地理的位置の表示など、「iPhoneを探す」と同等の 機能を使える。
  • アクティベーションロックの無効化を禁止
    端末ユーザによるアクティベーションロックの無効化を禁止できる。
    アクティベーションロックとそのバイパスを参照
  • アクティベーションロックのバイパス
    盗難/紛失されてない端末のWipeの後の再アクティベーションでは、Apple IDとそのパスワード等を入力をしなくてMobiControlに再登録することができる。 端末設定のリセットの時などに便利。
    逆に、盗難/紛失の可能性がある端末に対しては、バイパスを実施しないことで、アクティベーションプロセスで、 Apple IDとそのパスワード 又は アクティベーションロックのバイパスコードの入力を必須とすることができる。
    アクティベーションロックとそのバイパスを参照。
  • 端末側操作での、MobiControlへの登録解除を禁止
    端末操作での登録解除の禁止を参照。
    但し、手動DEP登録しての端末は、アクティベーション後30日間は、登録解除が可能。

APNs

端末は、通常、MobiControlサーバには接続していません。また、MobiControlサーバから端末にアクセスして通信セッションを張ることはありません。
iOS端末には、出荷時に「MDMプロトコル」という名前のプログラムが標準搭載されています。
この「MDMプロトコル」は、APNs(Apple Push Notification service)から通知Noticeを、常時受けるように設定されています。 端末に「リモートロック」「紛失モード」または「Wipe(初期化)」などのコマンドを送るには、 まず、APNs経由でチェックイン要求を送ります。
(図2)
端末はチェックイン要求に応えて、MobiControlサーバに「チェックイン」をし、コマンドを受け取ります。
端末に対し、構成プロファイルを送ったり、ルールを展開するのにも、端末にチェックイン要求を送ることで実現します。 端末から、MobiControlサーバへの「チェックイン」は、通常のhttps(TCP443)のコールです。
ルールの中には、アプリカタログルールがあり、インストールするべきアプリに関する情報を送ります。 送るべきオブジェクトを送り終わると、端末はすぐにチェックアウトします。

MobiControlエージェント

アプリの一つとしてMobiControlエージェントを追加的にインストールすると、端末には付加的な機能を追加できます。 端末ユーザがMobiControlエージェントを起動すると、MobiControlサーバに「接続」します。 端末から、MobiControlサーバへの「接続」は、通常のhttps(TCP443)のコールです。 (図3)
  • 端末の画像イメージを送り、コンソールに表示します。画像の変化をリアルタイムで表示します。
  • 端末の地理的位置を送り、コンソールの地図に表示します。
  • MDMプロトコルでは送れない端末ステータス情報を送ります。
  • 長文のメッセージを端末に送れます。
「MDMプロトコル」によるチェックインと、「MobiControlエージェント」による接続では、送受するオブジェクトが異なります。 詳しくは、「iOS:チェックインと接続」を参照ください。

アプリカタログとVPP

アプリカタログルールを適用したiOS端末には、「App Catalog」という名前のアイコンが、ホーム画面に表示されます。 これにはアプリの名前とアイコンが表示されています。これにはアプリのダウンロード元へのURLが埋め込まれています。 端末ユーザは、これをタップして業務アプリのダウンロードとインストールをします。
アプリには、Appストアのアプリもあれば、社内限りで社内サーバをダウンロード元とするアプリ(=エンタープライズ・アプリ)もありえます。
Appストアのアプリは、企業/団体としてVPP(Volume Purchase Planning = まとめ買い)契約をすることができます。 VPP契約で購入したアプリは、個別端末ユーザが費用負担するのではなく、企業/団体がまとめて費用負担をします。
VPPアプリの帰属先を、「端末(デバイス)」にするか「ユーザ」にするかの選択肢があります。 デバイスベースだと、その端末のユーザが変わっても、当該アプリを使い続けることができます。
ユーザベースだと、ユーザが端末を変えても、当該アプリを使い続けることができます。ユーザタイプの場合は、 ユーザのApple IDで管理します。
Appストアのアプリのダウンロードに当たっては、画面に表示される画面に、次のような違いがあります。
監視モード端末非監視モード端末
VPP契約アプリデバイスベース サイレント・インストールが可能
ダウンロードプロンプトもApple IDパスワード入力要求の画面も表示されない
ダウンロードプロンプトと
Apple IDパスワード入力要求の画面が表示される
ユーザベースApple IDパスワード入力要求の画面が表示される
VPP契約でないアプリ
サイレント・インストールでは、端末ユーザの操作を必要とせずに、ダウンロードとインストールが実行されます。 バージョンアップの場合も同様です。

DEP(Device Enrollment Program)とは

DEP(Device Enrollment Program)は、iOS端末を監視モードにする仕組みです。
監視モードにするのは、端末を初期設定(アクティベーション)するときです。 端末には工場出荷時に固有のシリアル番号が付番されています。そのシリアル番号は、Appleのアクティベーションサーバに登録されています。
通常の初期設定では、シリアル番号にMDMサーバのURLが紐づけられてないので、Apple IDを登録することで、初期設定が終わります。
シリアル番号に、MDMサーバのURLが紐づけられている場合、その端末は、MDMサーバに自動的にアクセス(リダイレクト)します。 そして、MDMサーバに登録されます。続けて、その端末用に用意されている構成プロファイル等がダウンロードされます。
(図1)
DEPを実現するには、当該端末のシリアル番号が、DEP対象であることを、Apple アクティベーションサーバに登録する必要があります。 この登録を誰がするかによって、DEP登録方法には2種類があります。

ABMは、Apple Business Managerの略


自動DEP登録手動DEP登録
対象となる端末
  • 携帯電話会社から直接購入する端末
  • DEP販売店IDを持っている販売店から購入する端末
  • DEP販売店IDを持っていない販売店から購入する端末
  • 購入済の端末
  • 非監視モードだが、これを監視モードに変更する端末
端末シリアル番号をDEPサーバに登録する人 販売店(購入元) 利用する企業/団体のABM担当アカウント保有者
端末シリアル番号の端末登録ルールへの再配置 MobiControlコンソールへのアクセス権限者が実行 不要
DEPサーバで、登録予定端末の端末シリアル番号とMobiControlサーバのURLとの紐付け 利用する企業/団体のABM担当アカウント保有者
通常、端末の初期化や再アクティベーションの場合は、Appleのアクティベーションサーバに対しApple IDとパスワードの入力が要求されます。 監視モードの端末では、Apple IDでの管理を不要にするオプションがあります。
その場合、当該端末のリモートWipe(初期化)や、再アクティベーションの際は、MobiControlサーバから、アクティベーションバイパスコードを 端末に送り、端末がそれを、Appleのアクティベーションサーバに送ることで、Apple IDとそのパスワードの入力の代替とします。

SDK for iOS

OS端末にインストールするアプリに、SDK for iOSをアドオンすると、 iOS端末の業務での活用度が高まります。
  • アプリ操作で動く端末の画面を、コンソールPCの画面にリモート表示できます。アプリ操作の指導や不具合の発見につながります。
  • アプリ配下のサブフォルダのデータファイルをファイルサーバに吸い上げたり、逆にファイルサーバから端末に必要なデータを送ることができます。 アプリ作成において、サーバとのファイル同期の手配が簡単になります。 サーバ側に端末毎のサブフォルダを自動的に作ります。
  • コンソールPCのエクスプロラ・ツールに、端末のアプリ配下のサブフォルダが表示されます。 コンソールPCとの間でファイル送受や更新ができ、アプリのデバッグなどに 役立ちます。
SDK for iOSは無償です。

AD(Active Directory)との連携

iOS端末をMobiControlサーバに登録するときの本人認証として、 端末ユーザのAD_DS(Active Directory Domain Service)のユーザ名とパスワードの 入力を要求することができます。
AD_DSで認証をしての端末登録のメリット
  • AD_DSの認証を得た端末宛の構成プロファイルの作成では、 マクロ文字列 %ENROLLED_UPN% を使うことができるようになります。 メール並びにAD_DS認証を要求するVPN及びWiFiの構成プロファイルは、 端末ユーザの実際のUPNに変更されてから、端末に配布されます。 このマクロ文字列 %ENROLLED_UPN% を使えることにより、 個別端末毎の 構成プロファイル作成が不要になります。
  • 端末ユーザは、端末紛失時に、他のデバイス(スマホ、タブレット、PC)から、 セルフサービスポータルにアクセスし、 「iPhoneを探す」と同じ操作が できます。紛失モードにしたり、リモートからのWipe(iPhoneを探す)を実行できます。
端末のモード
監視モード非監視モード
AD認証などでユーザ属性を把握する
しない
の場合、 MobiControlの管理領域は最も広くなります。
の場合、 管理領域は最も少なくなります。
AD_FSによる認証
非監視モードとして設定する場合は、AD_DSだけでなく、AD_FS(Active Directory Federation service)での本人認証も可能です。 AD_FSでは、SSO(Single Sign On)が適用されるので、端末登録時に、ユーザIDとパスワードの入力を要求されません。
監視モードで設定する際は、AD_FSでの認証はできません。なぜなら、初期化された端末は、 DEPサーバにアクセス直後に、MobiControlサーバへの登録プロセスに進む仕組みなので、AD_FSによる認証はできません。

監視モードでの機能

上記の「監視モード」でのメリット説明以外に、セキュリティ対策や業務の効率化のために、下記の機能を提供できます。
  • アプリの管理
    • アプリのサイレント・インストール 及び サイレント・バージョンアップ
    • アプリのブラックリストを作り、リストされたアプリが起動するとアラームが通報される。
    • Appストアからのアプリの追加ダウンロード禁止
    • Appストア以外のアプリの追加ダウンロード禁止
    • シングルアプリモード(基本的に1つのアプリのみ)
    • アプリの削除禁止
  • AirPlayのリモート設定
  • AirPrintのリモート設定

更には、次のように機能を制限できます。
  • 端末側操作でのMobiControlの登録解除を禁止
  • ホスト・ペアリングの許可/禁止
    iTunesを起動して、パソコンのデータをiOS端末に移動またはその逆の禁止
  • WiFi専用端末では、プロキシサーバを経由しないと、インターネットに接続できないようにする
  • 指定したURL以外には、ブラウザからアクセスできないようにする
  • Apple Musicを禁止
  • iMessageの利用禁止
  • SIRIでユーザの生成したコンテンツを非表示
  • SIRIの悪口誹謗フィルタ
  • iBook Storeの利用禁止
  • Eroticaコンテンツの禁止
  • AirDropの利用禁止
  • AirPrintでTLS通信を要求
  • AirPrintの利用禁止
  • ロック画面で通知センターを非表示
  • ロック画面で「今日」ビューを非表示
  • Exchangeアカウント変更の禁止
  • 携帯電話回線でのパケット使用量記録の変更の禁止
  • iCloud Keychain Syncの禁止
  • データ共有の管理対象から管理対象外への変更を無効にする
  • データ共有の管理対象外から管理対象への変更を無効にする
  • OTAによるPKIの更新禁止
  • 端末内のすべてのコンテンツと設定の削除を禁止
  • 構成プロファイルを手動でインストールさせない
  • パスコードの変更を禁止
  • Apple Watchとのペアリングを禁止
  • Spotlightの検索を無効にする
  • 予測キーボードを無効にする
    文字入力時に、予想単語を表示する機能を無効にする
  • スペルチェックを無効にする
  • 定義の辞書検索を無効にする
  • 「友達を探す」アプリの変更禁止
  • ゲームセンターへのアクセス禁止
    (ホーム画面からゲームセンターのアイコン削除)
  • ゲームセンターに友達を登録することを禁止
  • PodCastの禁止