閉域網Firewallのポート番号とURL

Just another POL Helpサイト site


Firewallで保護された 社内WiFiのみに接続している端末や、事業所内LANに接続しているPCを、MobiControlを利用して運用管理する場合があります。 閉域SIMサービスに加入しているスマホもあります。それらの閉域網のFirewallで許可しておくべきポート番号や宛先URL等を説明します。

A. Android端末とFirewall

Android端末を閉域網に置いて運用する場合の、Firewallで許可するポート番号を(図1)に示します。
許可することが必須のポートとオプションのポートがあります。
もし、MobiControlサーバを、貴社のDMZに設置し、オプションサービスとの接続を断念するならば、 Android端末は、完全閉域網に置いて運用をすることができます。許可するポートを (図1)での、 の443と5494に限定できるからです。
MobiControlによる完全閉域網内のAndroid端末の管理運用は、国内でも多くの実績があります。 数万台規模のAndroid Plus と Android Enterprise での運用事例が、数多くあります。

(図1)

説明を開いた状態
説明を閉じた状態

(図1)の からの詳細は、 下記のをクリックください。

端末とMobiControlサーバとの交信

  • Portsトランスポート層
    プロトコル
    アプリケーション層
    プロトコル
    方向宛先
    443TCPhttps端末から見て
    Outbound
    MobiControlサーバの
    URLまたはIPアドレス
    (プロキシ不可)
    5494TCP & UDPBinary
    MobiControl独自プロトコル
    Windows EmbeddedとWindows Classic
    の場合は、プロキシ可能
    端末のMobiControlエージェントは、端末登録時に、MobiControlサーバのURLを記憶しておきます。そして、端末起動時にMobiControlサーバに接続にいきます。
    その上で、チェックインのトリガーが働くと、MobiControlサーバと端末との間で ファイル、データ、コマンドを送受します。
    • URL または IPアドレス
      SaaSの場合は、弊社からURLをご連絡します。
      オンプレミスの場合は、貴社のDNSが名前解決できるURLとします。 オンプレミスの場合は、FQDNのURLでなく、IPアドレスのみによる接続も 可能ですが、サーバのIPアドレスが、将来変更になった場合、全ての端末を 登録しなおす面倒が生じます。Private DNSによるFQDN形式のURLを お勧めします。
    • Port5494
      MobiControlサーバは、接続している端末に、テストメッセージを、Port5494経由で送っています。 デフォルトでは60秒間隔です。
      ブラウザブラグインを使っての、端末画面のリモート操作(リモートビュー)では、 端末は、Port5494経由で、画面情報をサーバ/コンソールに送ります。
    • 端末が、どのようなトリガーで、MobiControlサーバに接続するかは、 「4. Android端末、Windowsは、どのようなトリガーで、MobiControlサーバに接続するか」を参照ください。
    • 端末が、どのようなトリガーで、MobiControlサーバにチェックインをするかは、 「5. Android端末、Windowsは、どのようなトリガーで、MobiControlサーバにチェックインするか」を参照ください。

MobiControlサーバからSOTI Servicesへ

  • Portsプロトコル方向宛先
    443TCPOutbound(表1) または (表2)
    MobiControlサーバから、SOTI Servicesへアクセスすることを許可しておきます。 SOTI Servicesは、(表1)で示すように4種類の Serviceから構成されます。 URLベースで許可する場合は、(表1)のURLをFirewallで許可ください。

    (表1)

    サービス名対応するURL
    Activation Serviceactivate2.soti.net
    MobiControlサーバのライセンスコードを更新したときに、Activation Serviceから、そのライセンスコードの 真正性を認証してもらいます。登録した端末台数の増減情報を、MobiControlサーバからActivation Serviceに送ります

    Agent Builder Serviceactivate2.soti.net
    Windows Embedded端末、及び、Windows Classic PCの端末登録ルール作成の都度、MobiControlサーバは、 Agent Builder Serviceに、エージェントの生成を依頼し、それを受け取ります。 コンソールは、これをMobiControlサーバからダウンロードし、登録しようとする 端末やPCにてインストールします。

    Enrollment Servicemc-enroll.soti.net
    端末登録ルールを作成したら、MobiControlサーバは、Enrollment Serviceに通告します。 Enrollment Serviceは、その端末登録ルールに紐づけられる登録IDをサーバに送り返してきます。

    Location Servicelocation2.soti.net
    端末から送られてきた緯度経度情報を、MobiControlサーバは、Location Serviceに送ります。
    Location Serviceは、該当するMicrosoft Bing Map情報を生成し、MobiControlサーバに送ります。
    MobiControlサーバは、コンソールのブラウザに送る XMLファイルに、そのMicrosoft Bing Map情報を組み込みます。
    コンソールは、この情報を Mcrosoft Bingに送り、端末位置の地図画像を入手します。
    IPアドレスベースで許可する場合は、(表2)のIPアドレスをFirewallで許可ください。

    (表2)

    54.208.149.103
    54.208.194.169
    54.209.62.205
    54.209.186.178
    54.209.186.251
    54.209.207.237
    (表2)の全てのIPアドレスを許可してください。ロードバランシングの目的で、(表2)のどれかのIPアドレスで、接続をします。
    (表1)と(表2)の典拠
    SOTI Services: URLs and IP Addresses

端末からSOTI Servicesへ

  • Portsプロトコル方向宛先
    443TCPOutboundmc-enroll.soti.net または (表2)
    この設定が必要なのは、(表3)で、黄色の場合だけです。これは、 端末をSaaSのMobiControlサーバに登録する場合で、且つ、端末のMobiControlエージェントに 登録IDを入力する方式を採用する場合です。 この場合、端末からSOTIのEnrollment Serviceにアクセスし、登録IDに照応する登録用URLを取得してから登録します。

    (表3)


    MobiControlサーバの設置場所
    SaaS貴社DMZ
    登録用URL入力で登録
    登録ID入力で登録
    端末のMobiControlへの登録が終われば、SOTIのEnrollment Serviceにアクセスができないネットワーク環境内へ端末を移動し、運用管理を開始することもできます
    (表3)で、水色の場合は、端末からSOTIのEnrollment Serviceにアクセスする必要はありません。

    登録用URLは、MobiControlサーバのアドレスとサブディレクトリ(パス)から構成されます。

    登録用URL

    (図2)

    端末を登録する際には、(図2)のような画面が現れます。 (図2)の白い欄には、登録用URLを入力します。
    この登録用URLを以って、(図3)のように、端末は、MobiControlサーバにアクセスします。 端末のアクセスを受けたMobiControlサーバは、このサブディレクトリ部分から、紐づけられた端末登録ルールを認識します。 そして、端末登録ルールが指定した端末グループに、端末を登録します。

    登録用URLは、文字数が長いので、手入力に工数がかかります。そこで、 QRコード読み取りで、登録用URLを入力します。 MobiControl Stage Barcode Generatorを使って、登録用URLに対応するQRコードを作成しておきます。 (図2)の下段のバーコードマークをタップすると、バーコード読み取りアプリが起動するので、そのQRコードを読み取ることで、 登録用URLの入力が完了します。

    (図2)では、登録用URLの替わりに、 登録IDを入力することもできます。登録IDは、8桁なので、登録用URLよりは手入力に手間がかかりません。

    (図3)

    (図2)で、登録IDの入力をすると、端末は、次の手順で、登録用URLを取得し、それをMobiControlサーバに申告します。
    • a. 最初に、クラウドにあるSOTI Enrollment Serviceにアクセスし、登録IDを申告します。
    • b. 端末は、SOTI Enrollment Serviceから、登録IDに連関する登録URLを取得します。
    • c. 端末は、取得したURLに基づき、MobiControlサーバにアクセスします。

    (図2)で、登録用URLを入力した場合は、上記の a.b.をスキップし、 c.から登録手順を始めます。 この場合、端末の閉域網のFirewallに、SOTI Enrollment Serviceに対するURLを許可する必要はありません。

Play ストア

  • Portsプロトコル方向宛先
    443TCPOutbound (表4)参照
    5228
    5229
    5230
    TCP
    UDP
    Playストアからアプリを直接ダウンロードすることを、端末に許可する場合には、Google宛URL、またはIPアドレスレンジを、 Firewallで許可しておきます。端末側とMobiControlサーバ側の両方のFirewallで、(表4)のURLまたはIPアドレスを許可しておきます。

    (表4)

    URL play.google.com
    android.com
    google-analytics.com
    googleusercontent.com
    *gstatic.com
    *gvt1.com
    *.ggpht.com
    dl.google.com
    dl-ssl.google.com
    android.clients.google.com
    *gvt2.com
    *gvt3.com
    *.googleapis.com
    IPアドレス 173.194.*

    MobiControlサーバ側から、Google Playサーバにアクセスするのは、アプリカタログを作成するのが目的です。

    Android Enterprise端末に対して、Playストアからダウンロードできるアプリは管理者用Googleアカウント保有者によって、指定制限できます

    (表4)のURLに関しては、 「 Android-Enterprise-Migration-Bluebook_2019.pdf」の37ページ目の「Devices」の項を参照ください。
    5228/5229/5230にUDPトラフィックが流れることも記述されています。

    完全閉域網の中の端末に、Playストアのアプリを、配布するには、 まず、コンソールで、該当アプリ(APKファイル)をダウンロードします。そして、次の 2つの方法のどれかを使って、端末(群)にアプリインストーラを配布します。 アプリのサイレントインストールができます。

Googleプッシュ通信サービス

  • Portsプロトコル方向宛先
    443、5228、5229、5230TCPOutbound (表5)参照
    Android端末は、MobiControlサーバに、原則的に常時接続しています。
    しかし、なんらかの理由で切断している場合があります。その場合は、 Googleプッシュ通信サービス(FCM = Firebase Cloud Messaging)を利用します。 Googleプッシュ通信サービスを利用する場合には、 Google宛URLを、Firewallで許可しておきます。端末側とMobiControlサーバ側の両方のFirewallで、(表5)のURLまたはIPアドレスを許可しておきます。

    (表5)

    URLベースで制限する場合 fcm.googleapis.com
    fcm-xmpp.googleapis.com
    Android-Enterprise-Migration-Bluebook_2019.pdf」の38ページ目を参照ください。
    IPアドレスベースで
    アクセス制限をする場合
    下記の2つのどちらかを選択します。
    1. IPアドレスによる制限なし
    2. Google の ASN 15169 に記載の IP ブロックに含まれているすべての IP アドレス
    Googleは、a.を推奨しています。
    b.のIPアドレスは、数が多く、頻繁に変更するので、少なくとも月に1回は、貴社Firewallでの 設定変更が必要になります。
    詳しくは、Googleのドキュメント「 FCM ポートとファイアウォール」を参照ください。
    端末とMobiControlサーバから見て、TCP5228/5229/5230が、Outbound Only でよい典拠は、 「 Android-Enterprise-Migration-Bluebook_2019.pdf」の37ページ目の「Firewall」の項を参照ください。

    Android端末とMobiControlサーバとの接続には、端末側からの接続アクションが必要です。 「4. Apple端末以外の端末は、どのようなトリガーで、MobiControlサーバに接続するか」を参照ください。
    もし、切断している場合に、コンソール側から次のアクションを起こすには、Googleプッシュ通信サービスを利用します。
    1. 端末側からMobiControlサーバに接続させる
      「E. オフラインの端末をサーバに接続させる」を参照ください。
    2. 切断している端末に、スクリプトコマンドを送る
    3. 切断している端末に、メッセージを送る

ウィルス検疫サービス

  • Portsプロトコル方向宛先
    443TCPOutbound下記リンクのページに記述されています。
    Amazon AWS のIPレンジ
    Firefoxで開いた場合は、「生データ」のタブを開くと表示されます。
    ウィルス検疫サービスを受けるには、AWS宛のIPアドレス群をFirewallで許可しておきます。

    MobiControlエージェントは、ウィルススキャンのスケジュール時刻になったら、端末内のファイルの拇印(Finger Print)を Bitdefenerのサーバに送ります。
    Bitdefenderは、常にアップデートしたマルウェアファイルの拇印をデータベースに格納してあります。
    そのデータベースと、端末から送った拇印群を照合します。
    もし、一致しているファイルがあれば、Bitdefenderは、MobiControlエージェントにその旨を通知します。
    通知を受けたMobiControlエージェントは、当該ファイルを隔離します。

    尚、2020年3月31日までは、下記の2つのURLををFirewallで許可していましたが、これらは不要になりました。
    • mobicontrolservices.soti.net/BitDefenderAntivirus
    • mobicontrolservices.soti.net/BDM/

    ウィルス検疫の構成プロファイルの作成については、下記ページを参照ください。

B. Apple端末とFirewall

Apple端末(iPhoneとiPad)を閉域網に置いて運用する場合の、Firewallで許可するポート番号を(図4)に示します。
Apple端末は、 (図4)ののポート5223(Outbound)のみを許可した閉域網で、MobiControlによる運用管理ができます。
更に、Appストアのアプリを端末に配布またはアップデートする場合は、(図4)ののTCP443(Outbound)を許可しておきます。
Apple端末をMobiControlサーバに登録する時だけ、 及び が許可されているネットワーク環境で、それを実行します。

(図4)

(図1)の からの詳細は、 下記のをクリックください。
説明を開いた状態
説明を閉じた状態

端末とMobiControlサーバとの交信

  • Portsトランスポート層
    プロトコル
    アプリケーション層
    プロトコル
    方向宛先
    443TCPhttps端末から見て
    Outbound
    MobiControlサーバの
    URLまたはIPアドレス
    (プロキシ不可)
    5494TCP & UDPBinary
    MobiControl独自プロトコル
    • URL または IPアドレス
      SaaSの場合は、弊社からURLをご連絡します。
      オンプレミスの場合は、貴社のDNSが名前解決できるURLとします。 オンプレミスの場合は、FQDNのURLでなく、IPアドレスのみによる接続も 可能ですが、サーバのIPアドレスが、将来変更になった場合、全ての端末を 登録しなおす面倒が生じます。Private DNSによるFQDN形式のURLを お勧めします。
    • MDMプロトコルによるチェックイン
      Apple端末が内蔵するMDMプロトコルは、TCP443経由で、MobiControlサーバにチェックインします。チェックインをすることで、 MobiControlサーバから、「構成プロファイル」、「端末の詳細設定」、「ルール」を取得します。
      また、WIPEなどの端末への働きかけは、端末からのチェックインがあったときに、MobiControlサーバから 端末へ送られます。
      MDMプロトコルが、どのようなトリガーで、MobiControlサーバにチェックインをするかは、 「6. Apple端末端末は、どのようなトリガーで、MobiControlサーバにチェックインするか」を参照ください。
    • MobiControlエージェントによる接続
      端末ユーザが、 MobiControlのアイコンをタップ すると、MobiControlエージェントが起動します。MobiControlエージェントは、443と5494の両方で、MobiControlサーバに接続にいきます。
      MobiControlサーバは、接続している端末に、テストメッセージを、Port5494経由で送っています。 デフォルトでは60秒間隔です。
      ブラウザブラグインを使っての、端末画面のリモートビューでは、 端末は、Port5494経由で、画面情報をサーバ/コンソールに送ります。
    MobiControl v14.1以下では、SDK for iOSをアドオンしたアプリとMobiControlエージェントの画面しか リモートビューはできません。MobiControl v14.2以上だと、iOSの通常のアプリの画面のリモートビューが可能になります。

MobiControlサーバからAPNS経由で端末にチェックインを要求

  • サーババージョンPortsプロトコル方向Appleの全てのクラウドサービス宛先
    v14.5.1未満2195、2196TCPOutbound*.apple.com
    または
    17.0.0.0/8 アドレスブロック全体
    v14.5.1以上443、2197
    Appleの全てのサービスでなくAPNsにそのアクセスを限定したい場合は、
    で説明したチェックインを端末からさせるには、MobiControlサーバから APNs(Apple Push Notification service)経由で、Apple端末に、チェックインをするように要求を出します。
    • MobiControlサーバのバージョンが、v14.5.1未満の場合
      TCP2195からの送信に対し、APNsは、そのメッセージフォーマットの適合性に関して、TCP2196経由で応答を、MobiControlサーバに送り返します。
      TCP2195 及び TCP2196がOutbound Onlyである典拠は、
      SOTI Network Diagramで、APNSにチェックを入れる。
    • MobiControlサーバのバージョンが、v14.5.1以上の場合
      TCP443経由で、APNSに中継を依頼します。TCP443経由で接続できない場合は、TCP2197経由で中継を依頼します。
    Apple端末を、MobiControl v12以下、v13 及び v14.5.1未満で管理されている場合、2020年10月末までに、v14.5.1以上にアップグレードする必要があります。
    AppleのAPNSの仕様に伴なう変更です。
    v14.5.1未満 v14.5.1以上
    TCP2195
    TCP2196
    TCP443
    TCP2197

端末がAPNS経由でチェックイン要求を受領

  • Portsプロトコル方向Appleの全てのクラウドサービス宛先
    5223TCPOutbound*.apple.com
    または
    17.0.0.0/8 アドレスブロック全体
    Appleの全てのサービスでなくAPNsにそのアクセスを限定したい場合は、
    で説明したチェックイン要求を、端末が受領するために、端末はTCP5223(Outbound)経由で、 APNs(Apple Push Notification service)への接続を維持しています。

    Apple端末に内蔵するMDMプロトコルは、APNs経由で受領したMobiControlサーバからのチェックイン要求に応えて、MobiControlサーバにチェックインをします。

    コンソールからメッセージを送り、Apple端末の画面に、それを表示することができます。 その送り方に2種類があります。
    1. 端末からのチェックインをさせ、TCP443経由でメッセージを送る。
    2. APNs経由でのみメッセージを送る。端末がロック中でもメッセージは表示されるが、そのメッセージは端末に保存されない。
    詳しくは、「Apple端末へメッセージを送る」を参照ください。

    尚、端末がTCP5223経由でのAPNsへの接続を、1週間以上しないと、APNsは、その旨をMobiControlサーバに通知します。そして、MobiControlサーバは、該当端末を 管理端末群から削除します。

    MobiControlに限らず、LINEなどのSNSやメールの着信通知を受領するためにも、Apple端末は、TCP5223経由で、APNsへの接続を維持しています。
    のPort5223が、端末から見てOutbound Only である典拠
    SOTI Network Diagramで、APNSを選択。

MobiControlサーバからSOTI Servicesへ

  • Portsプロトコル方向宛先
    443TCPOutbound(表6) または (表7)
    MobiControlサーバから、SOTI Servicesへアクセスすることを許可しておきます。 SOTI Servicesは、(表6)で示すように4種類の Serviceから構成されます。 URLベースで許可する場合は、(表6)のURLをFirewallで許可ください。

    (表6)

    サービス名対応するURL
    Activation Serviceactivate2.soti.net
    MobiControlサーバのライセンスコードを更新したときに、Activation Serviceから、そのライセンスコードの 真正性を認証してもらいます。MobiControlに登録した端末台数の増減情報を、MobiControlサーバからActivation Serviceに送ります

    Agent Builder Serviceactivate2.soti.net
    Windows Embedded端末、及び、Windows Classic PCの端末登録ルール作成の都度、MobiControlサーバは、 Agent Builder Serviceに、エージェントの生成を依頼し、それを受け取ります。 コンソールは、これをMobiControlサーバからダウンロードし、登録しようとする 端末やPCにてインストールします。

    Enrollment Servicemc-enroll.soti.net
    端末登録ルールを作成したら、MobiControlサーバは、Enrollment Serviceに通告します。 Enrollment Serviceは、その端末登録ルールに紐づけられる登録IDをサーバに送り返してきます。

    Location Servicelocation2.soti.net
    端末から送られてきた緯度経度情報を、MobiControlサーバは、Location Serviceに送ります。
    Location Serviceは、該当するMicrosoft Bing Map情報を生成し、MobiControlサーバに送ります。
    MobiControlサーバは、コンソールのブラウザに送る XMLファイルに、そのMicrosoft Bing Map情報を組み込みます。
    コンソールは、この情報を Mcrosoft Bingに送り、端末位置の地図画像を入手します。
    IPアドレスベースで許可する場合は、(表7)のIPアドレスをFirewallで許可ください。

    (表7)

    54.208.149.103
    54.208.194.169
    54.209.62.205
    54.209.186.178
    54.209.186.251
    54.209.207.237
    (表7)の全てのIPアドレスををFirewallで許可してください。ロードバランシングの目的で、(表7)のどれかのIPアドレスで、接続をします。

端末からSOTI Servicesへ

  • Portsプロトコル方向宛先
    443TCPOutboundmc-enroll.soti.net または (表9)
    (表8)の「非推奨」のケースで、Apple端末をMobiControlサーバに登録する場合には、SOTI Servicesの1つである、Enrollment Serviceへアクセスできるネットワーク環境に 端末を移動させます。
    (表8)での水色の部分に相当するケースでは、不要です。

    (表8)


    MobiControlサーバの設置場所
    SaaS貴社DMZ
    監視モードとして設定
    非監視モード
    として設定
    Safariに
    登録用URL入力で登録
    推奨
    MobiControlエージェントに
    登録ID入力で登録
    非推奨
    「非推奨」で登録する瞬間だけ、 SOTI Servicesにアクセスできるネットワーク環境に、端末を置き、登録が終わったら、SOTI Serviceへのアクセスを封じたネットワーク環境で運用することも可能です。

    IPアドレスベースで許可する場合は、(表9)のIPアドレスをFirewallで許可しておきます。

    (表9)

    54.208.149.103
    54.208.194.169
    54.209.62.205
    54.209.186.178
    54.209.186.251
    54.209.207.237
    (表9)の全てのIPアドレスを登録してください。ロードバランシングの目的で、(表9)のどれかのIPアドレスで、接続をします。

Appleデバイス管理

  • Portsプロトコル方向Appleの全てのクラウドサービス宛先
    443TCPOutbound*.apple.com
    または
    17.0.0.0/8 アドレスブロック全体
    Appleの全てへのクラウドサービスでなく、Appleの「デバイス管理」サービスのみに、 アクセスを許容しておきたい場合は、(表10)のURLを許可しておきます。
    MobiControlサーバからAppleの「デバイス管理」サービスへアクセスできるようにしておきます。
    端末をMobiControlに登録する際も、Appleの「デバイス管理」サービスへアクセスできるネットワーク環境に、端末を移動しておきます。

    (表10)

    deviceenrollment.apple.comDEPの暫定登録
    deviceservices-external.apple.com
    identity.apple.comAPNs 証明書リクエストポータル
    iprofiles.apple.comApple School Manager や Apple Business Manager に Device Enrollment 経由でデバイスを登録する際に使われるホスト登録プロファイル
    mdmenrollment.apple.comMDM サーバが、Apple School Manager や Apple Business Manager に Device Enrollment で 登録されるクライアントで使われる登録プロファイルをアップロードし、デバイスとアカウントを検索
    setup.icloud.com共有 iPad で管理対象 Apple ID を使ってログインするために必要
    詳しくは、Appleの下記のドキュメント
    エンタープライズネットワークで Apple 製品を使う」 の「デバイス管理」の項を参照ください。

    端末のMobiControlへの 登録が終われば、アクセスができないネットワーク環境内へ端末を移動し、運用管理を開始することもできます

Appストア

  • Portsプロトコル方向Appleの全てのクラウドサービス宛先
    443TCPOutbound*.apple.com
    または
    17.0.0.0/8 アドレスブロック全体
    Appleの全てのサービスでなく、Appストアのみに、アクセスを許容しておきたい場合は、次のURLを許可しておきます。
    • *.itunes.apple.com
    • *.apps.apple.com
    • *.mzstatic.com
    • itunes.apple.com
    • vpp.itunes.apple.com
    詳しくは、Appleの下記のドキュメント 「エンタープライズネットワークで Apple 製品を使う」 の「App Store」の項を参照ください。

    端末ユーザがAppストアからダウンロードできるアプリを指定制限することができます。
    端末が監視モードの場合は、Apple Business Manager担当者が指定したアプリのみをダウンロードでき、 且つそのアプリは、サイレントインストールされます。

Apple デバイスの設定

  • Portsプロトコル方向Appleの全てのクラウドサービス宛先
    443TCPOutbound*.apple.com
    または
    17.0.0.0/8 アドレスブロック全体
    Appleの全てのサービスでなく、「デバイスの設定」サービスのみに、アクセスを許容しておきたい場合は、Appleのドキュメント
    エンタープライズネットワークで Apple製品を使う」 の「デバイスの設定」の項で示されているURLをFirewallで許可しておきます。
    端末をMobiControlに登録する際やOSのアップデートの際は、Appleの「デバイス管理」サービスへアクセスできるネットワーク環境に、端末を移動しておきます。

    端末のMobiControlへの 登録が終われば、アクセスができないネットワーク環境内へ端末を移動し、運用管理を開始することもできます

ソフトウェアアップデート

  • Portsプロトコル方向Appleの全てのクラウドサービス宛先
    443TCPOutbound*.apple.com
    または
    17.0.0.0/8 アドレスブロック全体
    Appleの全てのサービスでなく、「ソフトウェアアップデートサービスのみに、アクセスを許容しておきたい場合は、Appleのドキュメント
    エンタープライズネットワークで Apple製品を使う」 の「ソフトウェアアップデート」の項で示されているURLをFirewallで許可しておきます。
    iOS、iPadOSをアップデートする場合は、Appleの「ソフトウェアアップデート」サービスに接続できるネットワーク環境に端末を移動させます。

    端末OSのアップデートが終われば、アクセスができないネットワーク環境内へ端末を移動し、運用管理を開始することもできます

    端末をAppleの「ソフトウェアアップデート」サービスに接続できるネットワーク環境に置いておくと、自動的に、OSがアップデートされることがあります。 これをコントロールすることができます。詳しくは、「Apple製品デバイスに働きかける」のページの「6. OSをアップデート」の項を参照ください。

C. Windows Modern とFirewall

閉域網に設置したPCをWindows Modernとして設定した場合のFirewallで許可するポート番号を(図5)に示します。 許可することが必須のポートとオプションのポートがあります。
をDMZに設置すると、 及び に対する アクセスを不要にできます。

(図5)

(図1)の からの詳細は、 下記のをクリックください。
説明を開いた状態
説明を閉じた状態

エンドポイントとMobiControlサーバとの交信

  • Portsトランスポート層
    プロトコル
    アプリケーション層
    プロトコル
    方向宛先
    443TCPhttps端末から見て
    Outbound
    MobiControlサーバの
    URLまたはIPアドレス
    (プロキシ不可)
    5494TCP & UDPBinary
    MobiControl独自プロトコル
    Windows EmbeddedとWindows Classic
    の場合は、プロキシ可能
    エンドポイントPCは、起動すると、Port443と5494経由で、MobiControlサーバに接続にいきます。 接続をしていれば、エンドポイントPCが内蔵する更新スケジュールの時刻になると、エンドポイントはチェックインを 行ないます。
    チェックインの結果、MobiControlサーバから「構成プロファイル」「ルール」「パッケージ・アプリ」及び「端末の詳細設定」の設定オブジェクトを 受領します。エンドポイントも、その各種ステータスをサーバに送ります。
    更新スケジュールの時間間隔は可変です。 最頻は、2分間隔です。デフォルトは2時間間隔です。
    • URL または IPアドレス
      端末登録ルールで、MobiControlサーバのアドレスを指定します。
      SaaSの場合は、弊社からURLをご連絡します。
      オンプレミスの場合は、貴社のDNSが名前解決できるURLとします。 オンプレミスの場合は、FQDNのURLでなく、IPアドレスのみによる接続も 可能ですが、サーバのIPアドレスが、将来変更になった場合、全てのエンドポイントを 登録しなおす面倒が生じます。Private DNSによるFQDN形式のURLを お勧めします。
    • Port5494
      MobiControlサーバは、接続しているエンドポイントに、テストメッセージを、Port5494経由で送っています。 デフォルトでは60秒間隔です。
      ブラウザブラグインを使っての、エンドポイント画面のリモート操作(リモートビュー)では、 エンドポイントは、Port5494経由で、画面情報をサーバ/コンソールに送ります。
    • エンドポイントが、どのようなトリガーで、MobiControlサーバに接続するかは、 「4. Android端末、Windowsは、どのようなトリガーで、MobiControlサーバに接続するか」を参照ください。
    • エンドポイントが、どのようなトリガーで、MobiControlサーバにチェックインをするかは、 「5. Android端末、Windowsは、どのようなトリガーで、MobiControlサーバにチェックインするか」を参照ください。

Windowsプッシュ通知サービス(WNS)

  • Portsプロトコル方向宛先
    443TCP OutboundWNSとの接続」のページの「WNSのURLとIPアドレス」の項を開いてください。
    で、説明したように、エンドポイントは、内蔵している更新スケジュールのスケジュール時刻になれば、 MobiControlサーバにチェックインをします。チェックインの結果、エンドポイントは、 MobiControlサーバから「構成プロファイル」「ルール」「パッケージ・アプリ」及び「端末の詳細設定」の設定オブジェクトを受領します。
    コンソール管理者は、それら設定オブジェクトを新規作成または編集をします。しかし、それらのエンドポイントへの配布は、 更新スケジュールの時刻になるまで、待たなければなりません。 待たずに送るためには、WNS(Windows プッシュ通知サービス)の設定をしておきます。
    • a. 「構成プロファイル」「端末の詳細設定」の設定オブジェクトや「パッケージ・アプリ」のエンドポイント群への割り当てが終わると、 MobiControlサーバは、WNS経由で、エンドポイントに対しチェックインを要求をします。エンドポイントはチェックインを実行し、これらを受領します。
    • b. コンソールから、エンドポイントへの働きかけをした後に、 チェックインボタン を押します。 そうすると、MobiControlサーバは、WNS経由でエンドポイントにチェックインを要求します。エンドポイントはチェックインを実行し、それらの働きかけを受領します。
    • c. エンドポイントの画面にメッセージを表示したいことがあります。その場合も、コンソールで、 チェックインボタン を押します。

    上述したWNSによるアドホックなチェックイン要求をせず、更新スケジュールの時刻のみに、設定オブジェクトを 送る場合は、WNSの設定は不要です。

SOTI Services

  • Portsプロトコル方向宛先
    443TCPOutbound(表11) または (表12)
    MobiControlサーバから、SOTI ServicesへアクセスするためのURLを Firewallで、許可しておきます。 SOTI Servicesは、(表11)で示すように4種類の Serviceから構成されます。 URLベースで許可する場合は、(表11)のURLををFirewallで許可しておきます。

    (表11)

    サービス名対応するURL
    Activation Serviceactivate2.soti.net
    MobiControlサーバのライセンスコードを更新したときに、Activation Serviceから、そのライセンスコードの 真正性を認証してもらいます。MobiControlに登録した端末台数の増減情報を、MobiControlサーバからActivation Serviceに送ります

    Agent Builder Serviceactivate2.soti.net
    Windows Embedded端末、及び、Windows Classic PCの端末登録ルール作成の都度、MobiControlサーバは、 Agent Builder Serviceに、エージェントの生成を依頼し、それを受け取ります。 コンソールは、これをMobiControlサーバからダウンロードし、登録しようとする端末やPCにてインストールします。

    Enrollment Servicemc-enroll.soti.net
    端末登録ルールを作成したら、MobiControlサーバは、Enrollment Serviceに通告します。

    Location Servicelocation2.soti.net
    エンドポイントから送られてきた緯度経度情報を、MobiControlサーバは、Location Serviceに送ります。
    Location Serviceは、該当するMicrosoft Bing Map情報を生成し、MobiControlサーバに送ります。
    MobiControlサーバは、コンソールのブラウザに送る XMLファイルに、そのMicrosoft Bing Map情報を組み込みます。
    コンソールは、この情報を Mcrosoft Bingに送り、エンドポイント位置の地図画像を入手します。
    IPアドレスベースで許可する場合は、(表12)のIPアドレスをFirewallで許可ください。

    (表12)

    54.208.149.103
    54.208.194.169
    54.209.62.205
    54.209.186.178
    54.209.186.251
    54.209.207.237
    (表12)の全てのIPアドレスををFirewallで許可してください。ロードバランシングの目的で、(表12)のどれかのIPアドレスで、接続をします。

オンプレミスのWSUSサーバ

  • Portsプロトコル方向宛先
    443TCPOutbound貴社WSUSサーバのアドレス
    MobiControlは、構成プロファイルを配布することで、エンドポイントPCが、オンプレミスのWSUS(Windows Server Update Services)から Windowsの更新ファイルを受信するように設定できます。
    WSUSサーバの設定方法は、Microsoftのドキュメント「 WSUS(Windows Server Update Services)サーバ」を参照ください。

    MobiControlは、Windows Defenderによるウィルスの検疫の設定を行います。 WSUSから、ウィルス定義ファイルを、エンドポイントPCに配布する方法は、Microsoftの文書を参照ください。 「WSUSを使用して、Windows Defender を実行しているコンピュータに定義ファイルの更新版を適用する方法

    オンプレミスのWSUSサーバを設置した場合、FirewallのTCP443(Outbound)に、WSUSサーバに対するアドレスを、許可しておきます。

オンプレミスのDHA(Device Health Attestation)サーバ

  • Portsプロトコル方向宛先
    443TCPOutbound貴社DHAサーバのアドレス
    DHAサーバは、エンドポイントのデバイス正常性構成を検査します。その結果として、各エンドポイントPC毎のデバイス正常性構成証明書を MobiControlサーバに送ります。これに異常があれば、MobiControlはアラートを発します。

Windows Defender サービス

  • Portsプロトコル方向宛先
    443 TCP Outbound Windows Defenderを使用する上での Firewall設定」のページを参照ください。
    Windows Defender サービスは、Microsoftによるシグネチャベースでのウィルス検疫サービスです。 この検疫サービスによりマルウェアとして判定されたファイルを、MobiControlは、隔離します。
    詳しくは、「Windows PCの機能制限」を参照ください。

    の オンプレミスのWSUSサーバを利用する場合、このURLを許可する必要はありません。

Microsoft Defender ATP サービス

Windows 更新サービス

  • Portsプロトコル方向宛先
    443 TCP Outbound Windows Update / Microsoft Update の接続先 URL について」のページ」を参照ください
    Windowsの更新を行なうために、MicrosoftのWindows Update サービスへのアクセスを許可しておきます。

    の オンプレミスのWSUSサーバを利用する場合、このURLを許可する必要はありません。

デバイス正常性構成証明サービス

  • Portsプロトコル方向宛先
    443 TCP Outboundhas.spserv.microsoft.com
    Microsoftのデバイス正常性構成証明サービスは、エンドポイントのデバイス正常性構成を検査します。無償です。その結果として、各エンドポイントPC毎のデバイス正常性構成証明書を MobiControlサーバに送ります。これに異常があれば、MobiControlはアラートを発します。

    の オンプレミスのDHAサーバを利用する場合、このURLを許可する必要はありません。

D. Windows Classic、Windows EmbeddedとFirewall

Windows Classicとして設定したPC及びWindows Embedded端末を閉域網に置いて運用する場合の、Firewallで許可するポート番号を(図6)に示します。

(図6)

Linuxデバイスを管理するには、MobiControl v14以上にアップグレードする必要があります。
説明を開いた状態
説明を閉じた状態

(図6)のの詳細は、 下記のをクリックください。

端末とMobiControlサーバとの交信

  • Portsトランスポート層
    プロトコル
    アプリケーション層
    プロトコル
    方向宛先
    443TCPhttps端末から見て
    Outbound
    MobiControlサーバの
    URLまたはIPアドレス
    5494TCP & UDPBinary
    MobiControl独自プロトコル
    端末が、Windows Classic または Windows Embeddedの場合は、プロキシ設定が可能です
    端末のMobiControlエージェントは、端末登録時に、MobiControlサーバのURLを記憶しておきます。そして、端末起動時にMobiControlサーバに接続にいきます。
    原則的に、常時接続しています。
    その上で、チェックインのトリガーが働くと、MobiControlサーバと端末との間で ファイル、データ、コマンドを送受します。
    • URL または IPアドレス
      SaaSの場合は、弊社からURLをご連絡します。
      オンプレミスの場合は、貴社のDNSが名前解決できるURLとします。 オンプレミスの場合は、FQDNのURLでなく、IPアドレスのみによる接続も 可能ですが、サーバのIPアドレスが、将来変更になった場合、全ての端末を 登録しなおす面倒が生じます。Private DNSによるFQDN形式のURLを お勧めします。
    • Port5494
      MobiControlサーバは、接続している端末に、テストメッセージを、Port5494経由で送っています。 デフォルトでは60秒間隔です。
      ブラウザブラグインを使っての、端末画面のリモート操作(リモートビュー)では、 端末は、Port5494経由で、画面情報をサーバ/コンソールに送ります。
    • 端末が、どのようなトリガーで、MobiControlサーバに接続するかは、 「4. Android端末、Windowsは、どのようなトリガーで、MobiControlサーバに接続するか」を参照ください。
    • 端末が、どのようなトリガーで、MobiControlサーバにチェックインをするかは、 「5. Android端末、Windowsは、どのようなトリガーで、MobiControlサーバにチェックインするか」を参照ください。

MobiControlサーバからSOTI Servicesへ

  • Portsプロトコル方向宛先
    443TCPOutbound(表13) または (表14)参照
    MobiControlサーバから、SOTI Servicesへアクセスすることを許可しておきます。 SOTI Servicesは、(表13)で示すように4種類の Serviceから構成されます。 URLベースで許可する場合は、(表14)のURLをFirewallで許可ください。

    (表13)

    サービス名対応するURL
    Activation Serviceactivate2.soti.net
    MobiControlサーバのライセンスコードを更新したときに、Activation Serviceから、そのライセンスコードの 真正性を認証してもらいます。登録した端末台数の増減情報を、MobiControlサーバからActivation Serviceに送ります

    Agent Builder Serviceactivate2.soti.net
    Windows Embedded端末、及び、Windows Classic PCの端末登録ルール作成の都度、MobiControlサーバは、 Agent Builder Serviceに、エージェントの生成を依頼し、それを受け取ります。 コンソールは、これをMobiControlサーバからダウンロードし、登録しようとする 端末やPCにてインストールします。

    Enrollment Servicemc-enroll.soti.net
    端末登録ルールを作成したら、MobiControlサーバは、Enrollment Serviceに通告します。 Enrollment Serviceは、その端末登録ルールに紐づけられる登録IDをサーバに送り返してきます。

    Location Servicelocation2.soti.net
    端末から送られてきた緯度経度情報を、MobiControlサーバは、Location Serviceに送ります。
    Location Serviceは、該当するMicrosoft Bing Map情報を生成し、MobiControlサーバに送ります。
    MobiControlサーバは、コンソールのブラウザに送る XMLファイルに、そのMicrosoft Bing Map情報を組み込みます。
    コンソールは、この情報を Mcrosoft Bingに送り、端末位置の地図画像を入手します。
    IPアドレスベースで許可する場合は、(表14)のIPアドレスをFirewallで許可ください。

    (表14)

    54.208.149.103
    54.208.194.169
    54.209.62.205
    54.209.186.178
    54.209.186.251
    54.209.207.237
    (表2)の全てのIPアドレスを許可してください。ロードバランシングの目的で、(表2)のどれかのIPアドレスで、接続をします。

E. MobiControlサーバ・コンポーネント間のPort

(図7)

MobiControl v13サーバは、次のサーバコンポーネントから構成されています。
  • MobiControlデプロイメントサーバ
  • MobiControlマネージメントサーバ
  • Microsoft SQLサーバ
これらのサーバ間は、(図7)で示されるポートで情報共有をします。
端末台数が1000台以下と少ない場合、これら4つのサーバコンポーネントを1台のサーバハードウエァに同居させることが可能です。

端末と接続するサーバは、MobiControlデプロイメントサーバです。上記で、単にMobiControlサーバと記述したのは、 正確には、MobiControlデプロイメントサーバです。

端末台数が多い場合は、デプロイメント・サーバを並列複数台数とします。 端末とサーバとの交信頻度を多く設定している場合、端末台数が500台程度でも、2台のデプロイメントサーバで運営しているユーザもいます。 国内でも数万台の端末を管理しているユーザもあります。

サポートしているサーバのOSは、「Windows Server 2012 R2」または「Windows Server 2016」です。
MobiControlのインストーラには、 Microsoft SQL Server 2014 R2 Express Editionが同梱しています。 Microsoft SQL Server 2014 R2 Express Editionが管理できるデータベース上限は、10GBです。

尚、MobiControlのバージョンが、v14以上になると、サーバコンポーネントとして、MobiControl Searchサーバが追加されます。 端末台数が少ない場合は、MobiControl Searchサーバも、他のサーバコンポーネントと同一のハードウェアに同居可能です。 、端末の各種プロパティの値を指定することで、コンソールの端末一覧画面に、指定の端末群を表示できるようになります。 またそれらの端末群のみにアクションを加えることができるようになります。

F. コンソールとの接続

(図8)

コンソールは、TCP443経由で、マネージメントサーバにアクセスします。
典拠は、SOTIのドキュメント
Network Ports
Management Server Connectionsの項
MobiControlシステムを管理し、モニターするためにコンソールで使うアプリは、ブラウザです。 次のブラウザをサポートします。
  • Google Chrome
  • Internet Explorer 11
  • Mozilla Firefox
典拠は、SOTIのドキュメント
System Requirementの Browsersの項
コンソールの権限アカウントは、複数作成できます。 アカウント別に、管理権限の範囲と、管理できる端末グループを制限できます。
MobiControlシステム以外に、コンソールからは、多くのインターネットサイトにTCP443経由でアクセスします。

E. AD_DSとの接続

端末やPCをMobiControlに登録する際に、AD_DS(Active Directory Domain Service)との認証を必要とするように、 端末登録ルールを作成することができます。 その際は、端末やPCの登録の前に、MobiControlサーバとAD_DSサーバとの間に、ディレクトリサービスとの接続プロファイルを作成しておきます。
端末の登録の毎に、MobiControlサーバは、AD_DSサーバと通信をします。 その場合は、TCP389と636をFirewallに開けておく必要があります。TCP389と636のプロトコルはLDAPです。

(図9)

端末は、AD_DSサーバにアクセスできるネットワーク環境になくても、MobiControlサーバにさえアクセスできれば、端末は、 AD_DSとの認証を受けてMobiControlに登録できます。

MobiControlサーバとAzure AD若しくはIDプロバイダとの接続は、TCP443経由となります。

Azure ADで認証 ID プロバイダで認証
(図10)
(図11)
AzureのAD_DSとの接続プロファイルの作成方法は、 AzureのAD_DSとの接続プロファイルを参照ください。 IDプロバイダとの接続プロファイルの作成方法は、IDプロバイダとの接続プロファイルを参照ください。

認証サービスは、「ディレクトリサービス」と「IDプロバイダ」の2つに大別されます。認証サービスによる認証を得て、MobiControlに登録できる端末のOSまたは設定モードには 制限があります。 詳しくは、「認証サービスによる認証」を参照ください。

F. オプション・サーバとの接続

SOTIは、MobiControl以外に、幾つかのオプションサーバを提供しています。
サーバのサービス名概 要
ERG(Enterprise Resource Gateway)
無償
Firewallの外部にある端末が、内部にあるリポジトリ・サーバから文書、画像、動画を 安全に入手するための逆プロキシサーバ
SOTI Assist Server
有償
システム運用に伴うインシデントを管理します。インシデント発生に伴い、これの解決に 向かっての工程管理をします。
Exchange ActiveSync Filter
無償
MS ExchangeサーバのフロントサーバであるActiveSyncサーバにアドオンするソフトウェアです。 MS Exchangeサーバへの不法アクセスを防止します。

G. ネットワーク・ポートに関するSOTIの情報

MobiControlに限定したネットワーク・ポートに関する情報は、下記のSOTIのリンクにアクセスください。
  • Network Configuration Diagram
    https://www.soti.net/mc/help/v14.4/en/network_config_diagram/network_config_diagram.html
    このページでは、システムの構成の仕方によって、構成図とポート番号がダイナミックに変化して表示されます。
    ここでいうシステムの構成とは、下記の a.と、b.の選択項目で、どの選択肢を選ぶかを指します。 これらの選択肢によって構成図が変化します。
    • a.MobiControlサーバの設置場所
      • Cloud (SaaS)
      • DMZ
        貴社のDMZに設置(Firewallの外にある端末からのアクセスを想定)
      • Internal
        貴社の内部ネットワークに設置(Firewallの中にある端末からのアクセスを想定)
    • b. 複数のサーバコンポーネントのインストール
      • デプロイメントサーバとマネージメントサーバを、別々のハードウエアにインストール
      • 1つのハードウェアに同居
  • Network Ports
    https://www.soti.net/mc/help/v14.4/en/setup/installing/network_ports.html
    上記F.項で示したオプションサーバを含む 関連する全てのシステムコンポーネントとのTCPポートを記述してあります。
  • Network Diagram
    https://www.soti.net/mc/help/v13/en/Content/Setup/MCSetup/#network_diagram