Firewall/Proxyへの配慮

Just another POL Helpサイト site

MobiControlを導入するに当ってのFirewall またはProxy Serverで設定するポート等を説明します。  

A. WiFi専用端末からインターネット上のMobiControlサーバにアクセス

デバイスが、携帯電話回線を利用せず、構内WiFiやLANに接続し、Firewall/Proxyを経由してインターネット場のMobiControlサーバに接続しているケースを想定します。

1. iOS端末

(図1)

TCP5223を開けておいてください。これはApple社の仕様です
iOS端末に対し働きかけるには、APNs(Apple Push Notification Service)を利用します。 管理されるデバイスはTCP5223を経由して、NATによりアドレス変換された自分のアドレスをAPNsに通知しています。
MobiControlデプロイメントサーバは、「チェックイン 要求」または「メッセージ着信通知」をAPNsに送ります。
「チェックイン 要求」は、MobiControlサーバが内蔵している更新スケジュールに基づいて送られることもあれば、コンソールでのマニュアル操作でも送られます。
APNsは、これをTCP5223経由で、デバイスに送ります。
「チェックイン 要求」を受けたデバイスは、 MobiControlデプロイメントサーバにTCP443経由でチェックインをし、情報を交信します。 のコールは、通常のWebサーバへのアクセスと同じ手順です。 MobiControlサーバ側から端末にアクセスすることはありません。NATでアドレス変換した場合は、端末側のプライベートIPアドレスは、MobiControlサーバには秘匿されています。
でチェックインしてからの 送受内容は、サーバとデバイスの両方で、送信待ちをしている情報(コマンド、構成プロファイル、端末ステータスなど)です。 詳しくは、「iOS:チェックインと接続」を参照ください。 送受が終わると、端末はサーバとの接続を切断します。
また端末ユーザが「着信通知」に応じて、「メッセージ」画面を開くと、端末はTCP443経由での接続を実行し、サーバからメッセージを受信します。
尚、TCP5223が開いてない構内にあるWiFi専用端末は、メール、SMS、LINEなどの着信通知も受信できなくなり、着信サウンドも鳴りません。

2. Android端末

(図2)

TCP5228、5229、5230を開けておいてください。これはGoogle社の仕様です。 Android端末に働きかけるには、GCM(Google Cloud Messaging)を利用します。 GCMは、管理される端末とはTCP5228を使って交信しますが、5229、5230を使うときもあります。
コンソールでの操作に基づいて、 MobiControlデプロイメントサーバは、「各種コマンド」または「メッセージ着信通知」をGCMに送ります。
GCMは、これをTCP5228経由で、デバイスに送ります。
受信した端末は、コマンドに対応します。例えばWipeコマンドを受信したら、初期化を行います。
コンソールから送るコマンドの中の1つに、「connect -f」コマンドがあります。
これを受信したデバイスは、MobiControlデプロイメントサーバにTCP443経由でアクセスをし接続をします。 のコールは、通常のWebサーバへのアクセスと同じ手順です。 MobiControlサーバ側から端末にアクセスすることはありません。NATでアドレス変換した場合、端末側のプライベートアドレスは、MobiControlサーバには秘匿されています。
で接続してからの 送受内容は、サーバとデバイスの両方で、送信待ちをしている情報(構成プロファイル、端末ステータス、ファイル同期ルールのファイル、監視データなど)です。
コンソール管理者がメッセージを送信した場合、MobiControlデプロイメントサーバはGCM経由で、着信通知を端末に送ります。 端末ユーザが「着信通知」に応じて、「メッセージ」画面を開くと、端末はTCP443経由での接続を実行し、メッセージを受信します。
MobiControlサーバに接続した端末は、通常、その接続状態を維持します。接続した後のMobiControlサーバからのコマンドは、TCP443経由で送られます。 端末は、更新スケジュールを内蔵しており、更新時刻になると、その時点での端末ステータスやファイル同期ルールのファイルなどを送ります。
コンソールで構成プロファイルを新規作成したり更新をすると、接続状態の場合は、すぐに端末に送られます。
  • Android端末は、通常TCP5228経由でGoogle Playにアクセスします。 TCP5228経由で接続できないときに、TCP443を使います。
  • 携帯電話回線経由の場合は、28分に一回、端末は、Google Playに、HeartBeatパケットを送ります。 (MVNOのSIMの場合は、28分経過してもHeatBeatパケットを送らないので、GCMからの通知を受信できないケースがあるようです)
  • WiFi経由の場合は、15分に一回、端末は、Google Playに、HeartBeatパケットを送ります。
  • もし、端末側のネットワークステータスが変わると、その都度、端末はGoogle Playに、HeartBeatパケットを送ります。
  • これにより、Google Playは、NAT変換後の端末のアドレスなどを把握しています。
  • GCMは、Google Playのアドレス情報を採用して、端末にMobiControlサーバからの情報(コマンドまたは着信通知)をTCP5228経由で送ります。

3. Windows Modern PC

(図3)

Windows10 PC をMobiControlサーバに登録する際に、AD_DS(Active Directory)で認証したPCを、Windows Modern PCと呼びます。 MobiControlデプロイメントサーバが、Windows Modern PCに働きかける場合は、WNS(Windows Push Notification Service)を利用します。 WNSは、管理されるデバイスとの間で、TCP443経由で交信します。

4. 画面のリモートコントロール

コンソールのディスプレイに、管理対象デバイスの画面及びハードウェアボタンを表示して、リモート操作ができます。 Android端末、Windows PC、Windows Embedded端末が対象です。
iOS端末の場合は、画面のリモートビューが可能です。

(図4)

このリモート操作(リモートビュー)を実行するには、下表に示した2種類の方法のどちらかを採用します。
方 法ポートプロトコル
コンソールのブラウザに端末の画面を表示する443https(HTML5)
ブラウザのプラグインソフト(無償)を起動し、これに端末の画面を表示する5494Binary
ブラウザのプラグイン(無償)を、コンソールにインストールしておく必要があります。
端末側プロキシとして認証プロキシを採用してあると、5494(Binary)を通過させるのは困難になります。
セッションの確立には、端末側からTCP443経由でのMobiControlサーバへのアクセスと接続が必要です。 このセッション確立は、通常のWebサーバへのアクセスとセッション維持と同じ手順です。
Android端末がオフラインの場合は、端末ユーザの操作、または「connect -f」コマンドをGCM経由で送ることで 接続させることができます。
iOS端末やWindowsデバイスがオフラインの場合は、端末ユーザの操作が必要です。詳しくはiOS端末をリモート表示を参照ください。
コンソール側のFirewallには、443または5494以外に80(http)も開けておきます。 コンソールは、80(http)を経由して、SOTIのSkinsサーバ(skins.soti.net IPアドレス:54.236.164.78)にアクセスし、端末のSkinをダウンロードします。 Skinとは、端末のハードウェアボタン情報を含むハードウェア全体の画像(画面部分は透明)です。

B. デバイスがアクセスする外部IPアドレス

MobiControlサーバ以外にも端末がアクセスするサーバ(サービス)があります。 端末が、携帯電話回線を利用せず、構内WiFiやLANに接続し、Proxyを経由してインターネットに接続している 場合があります。その場合は、TCP443ポートでは、次のIPアドレスまたはURLを開けておきます。

1. SOTI Enrollment Service

  • IP アドレス: 54.209.62.205
  • 端末をMobiControlサーバに登録する方法の一つに、エージェントソフトに登録IDを入力する方法があります。 この場合、エージェントソフトは、SOTI Enrollment Serviceにアクセスし、登録IDに対応する登録用URLを入手し、そのURLにアクセスすることで MobiControlサーバに登録します。

2. Android ウィルス定義サービス

  • https://mobicontrolservices.soti.net/BitDefenderAntivirus 
    (メインサーバ)
  • https://mobicontrolservices.soti.net/BDM/ 
    (ミラーサーバ)
Android端末のMobiControl Agentが、v13.5以上である必要があります。
詳しくは、下記のページを参照ください。
Android Plus:ウィルス対策
Android Enterprise:ウィルス対策

3. その他の外部アドレス

  • Apple アクティベーションサービス
    iOS端末をアクティベーション(初期設定)するために、Apple アクティベーションサービスにアクセスできるようにします。 監視モードとして設定する場合は、DEP(Device Enrollment Program)サーバにもアクセスできるようにします。
  • Appストア
    AppストアのアプリをiOS端末にダウンロードできるようにするために、Appストアにアクセスできるようにします。
  • Microsoft Health Attestation service

C. MobiControlサーバを貴社データセンターに設置する場合

MobiControlサーバを貴社のデータセンターに設置する場合は、次のTCPポートを開けておいてください。
5494MobiControlサーバのデフォルトポート
2195APNsの仕様
2196
5228GCMの仕様
5229
5230

APNsサーバに対するTCPポート

(図5)
MobiControlデプロイメントサーバは、「チェックイン 要求」または「メッセージ着信通知」のデバイスへの送信を APNs経由で送ります。この場合、MobiControlデプロイメントサーバからの送信にTCP2195を使います。
2195からの送信に対し、APNsは、そのフォーマットの適合性に関して、2196経由で応答を送り返します。

GCMサーバに対するTCPポート

(図6)
MobiControlデプロイメントサーバは、「コマンド」または「メッセージ着信通知」のデバイスへの送信を GCM経由で送ります。通常は、TCP5228経由ですが、GCMは5229/5230経由で応答することもあります。

D. MobiControlサーバとActive Directoryサーバとの接続

端末やPCをMobiControlサーバに登録する際の本人認証手段として、AD_DS(Active Directory)を参照することがあります。 その場合は、TCP389と636をDMZとイントラネットの間のFirewallに開けておく必要があります。389と636のプロトコルはLDAPです。

(図7)

E. MobiControlサーバとSOTIの各種サービスとの接続

MobiControlサーバは、製造元のSOTIの各種クラウドサービスにTCP443経由でアクセスします。 アクセスするIPアドレスは、下表の通りです。 もし、貴社のデータセンターに、MobiControlサーバを設置する場合は、Proxyサーバに、次のIPアドレスを開けるように 配慮願います。
サービス名称IPアドレス概要
Activation ServiceActivate2.soti.net
54.208.194.169
MobiControlサーバをアクティベーションする際にアクセスします。またライセンス番号の照合をします。
Mcenroll.soti.net
54.208.149.103
Notification Servicenotification.soti.net
54.208.194.169
サーバのライセンス終了期間が近づくと、その通知を送ってきます。
ordernotification.soti.net
54.208.194.169
Enrollment ServiceMc-enroll.soti.net
71.19.165.75
端末登録ルールを作成すると、その登録IDと登録URLを、登録しておきます。端末が登録IDを入力して 登録するときに参照します。
Agent Build Service54.209.62.205Android PlusやWindows Embeddedでは 端末メーカーや端末モデル別に、エージェントソフトが異なります。これらのダウンロード元サーバです。
Location ServiceLocation.soti.net
71.19.165.72
端末から送られてきた位置情報を地図に展開するサービス。Microsoft Bingと連動します。
Location2.soti.net
54.208.194.169

F. MobiControlサーバ・コンポーネント間の接続

MobiControlサーバは、次のサーバコンポーネントから構成されています。
  • MobiControlデプロイメントサーバ
  • MobiControlマネージメントサーバ
  • MobiControl サーチサーバ
  • Microsoft SQLサーバ
これらのサーバ間は、(図8)で示されるポートで情報共有をします。
小規模システムの場合、これら4つのサーバコンポーネントを1台のサーバハードウエァにインストールすることも可能です。
(図8)

G. オプション・サーバとの接続

SOTIは、MobiControl以外に、幾つかのオプションサーバを提供しています。
サーバのサービス名概 要
ERG(Enterprise Resource Gateway)Firewallの外部にある端末が、内部にあるリポジトリ・サーバから文書、画像、動画を 安全に入手するための逆プロキシサーバ
SOTI Assist Serverシステム運用に伴うインシデントを管理します。インシデント発生に伴い、これの解決に 向かっての工程管理をします。端末の画面をhttps(HTML5)でリモート操作ができるようになります。
Exchange ActiveSync FilterMS ExchangeサーバのフロントサーバであるActiveSyncサーバにアドオンするソフトウェアです。 MS Exchangeサーバへの不法アクセスを防止します。

H. 詳しい情報

ネットワーク・ポートに関する、より詳しい情報は、下記のSOTIのリンクにアクセスください。
  • Network Configuration Diagram
    https://www.soti.net/mc/help/v14.1/en/setup/reference/network_config_diagram/network_config_diagram.html#
    このページでは、システムの構成の仕方によって、構成図とポート番号がダイナミックに変化して表示されます。
    ここでいうシステムの構成とは、下記のの選択項目で、どの選択肢を選ぶかを指します。 これらの選択肢によって構成図が変化します。
    • MobiControlサーバの設置場所
      • SaaS
      • 貴社のDMZに設置(Firewallの外にある端末からのアクセスを想定)
      • 貴社の内部ネットワークに設置(Firewallの中にある端末からのアクセスを想定)
    • 複数のサーバコンポーネントのインストール
      • 上記のE項のように、別々のハードウエアにインストール
      • 1つのハードウェアにまとめてインストール

  • Network Ports
    https://www.soti.net/mc/help/v14.1/en/setup/installing/network_ports.html
    上記G.項で示したオプションサーバを含む 関連する全てのシステムコンポーネントとのTCPポートを記述してあります。
  • Network Diagram
    https://www.soti.net/mc/help/v13/en/Content/Setup/MCSetup/#network_diagram
    MobiControl v13をDMZに設置した場合の情報ですが、ページの下辺に構成図が表示されており、参考になります。