Firewall/Proxyへの配慮

Just another POL Helpサイト site

MobiControlを導入するに当ってのFirewall またはProxy Serverで設定するべきポート等を説明します。

A. 端末とMobiControlサーバの間のTCPポート

端末とMobiControlデプロイメントサーバの間には、TCP443とTCP5494経由にて通信を行います。

(図1)

TCP443のセッションは、常に端末側からセッションを開始し接続をします。 MobiControlサーバ側から端末に向けてセッションを開始して接続を求めることはありません。
MobiControlサーバと端末との間のほとんどのトラフィックは、TCP443を経由して送受されます。

TCP5494では、リモートコントロールやその他の目的で通信をします。
コンソールのブラウザのプラグインソフトを起動して、端末画面のリモートコントロールまたはリモートビューを実施するときが あります。その際は、TCP5494経由で送受されます。TCP5494では、MobiControl独自プロトコルのトラフィックが送受されます。

コンソールの実体はブラウザです。サーバ側のIIS経由で、MobiControlサーバと交信します。

B. 端末を登録する際に、端末がアクセスするSOTIのサーバアドレス

端末をMobiControlサーバに登録する際には、次のどちらかのパラメータを端末画面に入力します。
  1. 登録ID(8桁の文字列)
  2. 登録用サーバアドレス
a.も b.も、端末登録ルールを作成すると生成されます。
a.の登録IDが入力された場合の端末は、SOTIのサーバにアクセスします。 そのサーバから、b.の登録用サーバアドレスを入手します。 そのSOTIのサーバの情報は(表1)の通りです。

(表1)

URLIP アドレス
mc-enroll.soti.net54.208.149.103
54.208.194.169
54.209.62.205
54.209.186.178
54.209.186.251
54.209.207.237
端末を閉域網に置いて、登録IDを利用して、MobiControlサーバに登録する場合は、(表1)のURLとIPアドレスを プロキシサーバに登録しておいてください。 (表1)の全てのIPアドレスを登録してください。ロードバランシングの目的で、mc-enroll.soti.netは、(表1)の全ての IPアドレスを使用します。

登録用サーバアドレスを入力して、MobiControlサーバに 登録する場合は、(表1)のURLやIPアドレスをプロキシに登録する必要はありません

更に、オンプレミスのMobiControlサーバの場合は、その登録用サーバアドレスを、貴社のプライベートIPアドレスとすることができます。 そのプライベートIPアドレスを使って、MobiControlサーバに登録する場合、端末からインターネットへのアクセスは不要です。
その場合、完全閉域網内に設置してあるAndroid端末、Windows PC、Linuxデバイスを MobiControlサーバに登録できます。また業務アプリのプッシュ配布も可能です。
完全閉域網とは、インターネットから隔離されたネットワークを指します。WiFi接続のみの端末や、閉域網用のSIMカードを搭載した端末が、完全閉域網内の端末です。
但し、インターネットから隔離することは、幾つかの不便があるので、検討が必要です。

C. iOS端末にはTCP5223が追加的に必要

iOS端末が閉域網にある場合、TCP5223を、インターネット方向に開けておく必要があります。 TCP5223は、プロキシ経由とすることはできません。 TCP5223はOutboundだけ開けておけばよく、Inboundは閉じておいて結構です

iOS端末には、MDMプロトコルという名前のメカニズムがOSにビルトインしています。 MDMプロトコルが、MobiControlサーバに対する交信主体となります。
MDMプロトコルは、TCP5223経由で、APNsに対し接続をし、その接続を維持し、APNsからのコマンドを常に待ち受けています。

MobiControlサーバは、Apple APNS経由で、端末のMDMプロトコルに チェックイン要求コマンドを送ります。APNSサービスは、TCP5223経由で端末にチェックイン要求コマンドを送ります。 チェックイン要求コマンドを受けた端末は、TCP443経由で、MobiControlサーバにチェックインし、Wipeなどのコマンドを受領したり、 各種のファイルを送受します。送受が終われば、TCP443のセッションをすぐに切断します。
iOS端末は、MobiControlサーバにTCP443経由での常時接続をしていません。
APNsは、Apple Push Notification Serviceの略です。クラウドサービスです。

(図2)

iOS端末が閉域網にある場合に、MobiControlと交信するために開放しておくべきTCPポートは、TCP443、TCP5223、TCP5494の3つです。 (図1)と(図2)を参照ください。

TCP443経由でのインターネットへの接続を制限している場合でも、下記のAppleのサーバへアクセスできるようにしておきます。
  • App ストア
    URL *.itunes.apple.com へのアクセスを許容しておく必要があります。
  • Apple アクティベーションサービス
    iOS端末をアクティベーション(初期設定)するために、Apple アクティベーションサービスにアクセスできるようにします。 監視モードとして設定する場合は、DEP(Device Enrollment Program)サーバにもアクセスできるようにします。

D. Android端末には、TCP5228/5229/5230の開放が望ましい

Android端末は、原則的に、MobiControlサーバとの間でTCP443セッションの常時接続をしています。 従って、コンソール管理者はいつでも、端末に対し働きかけができます。
しかし、何らかの理由で、TCP443セッションが切断している場合があります。 その場合は、コンソール管理者は、Googleのプッシュ通信サービス(FCM)を利用して、 端末にスクリプトを送ります。多種類のスクリプトが用意されていますが、その中の1つである "connect -f"を送ると、 端末は、MobiControlサーバに対しTCP443セッションを開始し、接続をします。
Googleのプッシュ通信サービス(FCM)経由のスクリプトを受信するためには、 TCP5228/5229/5230を開放しておきます。

FCM = Firebase Cloud Messaging

(図3)

Android端末のMobiControlエージェントアプリがバックグラウンドに移ると、TCP443セッションが切断される場合があります。 そのような切断を無くすためには、常にサーバとの接続を維持を参照して、常時接続されるように設定ください。

MobiControlエージェントアプリが、DOZEモード(居眠りモード)になることが理由で、端末がサーバとオフラインになる場合は、(図3)の接続の 働きかけは、無効です。

端末からのTCP443接続が常時維持されている環境では、Googleのプッシュ通信サービス(FCM)とのTCP5228/5229/5230を、 必ずしも必要としません。
Android端末は、通常TCP5228経由でGoogle FCMに、自らのIPアドレスを通知しています。
  • 携帯電話回線経由の場合は、28分に1回、端末は、HeartBeatパケット(端末自らのIPアドレスを含む)を送ります。
  • WiFi接続で、インターネットに接続している場合は、15分に1回、端末は、HeartBeatパケットを送ります。
  • もし、端末側のネットワークステータスが変わると、その都度、端末はHeartBeatパケットを送ります。 ネットワークステータスが変わるとは、WiFiから携帯電話回線に接続回線が変わる、又はその逆などで、端末のIPアドレスが変わったことを 指します。
  • これにより、FCMは端末のアドレスなどを把握しています。

BitDefenderによるウィルスの検疫のためには、ウィルス定義ファイルを、次のサーバから受領します。 両方のサーバのURL(TCP443)を許容しておく必要があります。
  • https://mobicontrolservices.soti.net/BitDefenderAntivirus
    (プライマリー・サーバ)
  • https://mobicontrolservices.soti.net/BDM/
    (セコンダリ・サーバ)

Google Playからアプリをダウンロードすることを想定する場合は、端末からGoogle Playにアクセスするための URLを許容しておく必要があります。
しかし、下記の運用をする場合は、Google Playへのアクセスは不要です。
  1. アプリをパッケージ化して、MobiControlサーバからプッシュ配信
  2. Enterpriseアプリとして、アプリカタログルールで配信(但し、Android Plusの場合のみ)
「ウィルス検疫」を断念すれば、完全閉域網内のAndroid端末をMobiControlサーバで管理することは可能です。 この場合、アプリの配布は、上記 a. b. の運用を実施します。

完全閉域網のAndroid端末をオンプレミスのMobiControlサーバに登録する場合は、登録IDの替わりに、サーバアドレスを入力をします。 (サーバアドレスは、QRコードまたはNFC通信で、該当端末に入力します)

E. オンプレミスのMobiControlサーバのインターネットとの接続

E-1. APNsサーバに対するTCPポート

(図4)
(図2)で示したように、iOS端末に、Apple APNs経由で「チェックイン 要求」コマンドを送ります。 この場合、MobiControlデプロイメントサーバからの送信にTCP2195を使います。
2195からの送信に対し、APNsは、そのフォーマットの適合性に関して、2196経由で応答を送り返します。

E-2. FCMサーバに対するTCPポート

(図5)
(図3)で示したように、Android端末に向けて、スクリプトをFCM経由で送る場合があります。 それに備えて、5228/5229/5230ポートを開けて置きます。 通常は、TCP5228経由ですが、Google FCMは5229/5230経由で応答することもあります。

E-3. SOTIのサイトとの交信

MobiControlサーバは、TCP443経由で、SOTIのサーバにアクセスします。(表2)のURLとIPアドレスを、貴社のプロキシに 登録してください。

(表2)

URLIP アドレス
activate2.soti.net
mc-enroll.soti.net
location2.soti.net
54.208.149.103
54.208.194.169
54.209.62.205
54.209.186.178
54.209.186.251
54.209.207.237
SOTIのサーバは、次のサービスを提供します。
  1. Activation Service
    MobiControlサーバをアクティベーションする際にアクセスします。またライセンス番号の照合をします。ライセンス終了期限が近づくとNoticeを MobiControlサーバ経由でコンソールに表示します。また、ライセンスの更新の際も、MobiControlサーバは、 SOTIのActivation Serviceと通信をします。
  2. Enrollment Service
    端末登録ルールを作成するときに、MobiControlサーバは アクセスします。そして、登録用サーバアドレスに対応する登録IDを、SOTIのこのサーバから取得します。
    「B. 端末を登録する際に、端末がアクセスするSOTIのサーバアドレス」を参照ください。
  3. Agent Builder Service
    次のオブジェクトを、MobiControlサーバは受領します。
  4. Location Service
    端末から送られてきた緯度経度情報をコンソールの地図に展開するサービス。Microsoft Bingと連動します。 端末の地理的位置とその住所が地図に表示されます。
  5. Remote Control Skins Service
    端末画面のリモートコントロール、又はリモートビューをする際に、該当端末の外枠フレーム画像(スキン)を提供します。 「ホームボタン」や「音量スライド」をリモート操作するために必要です。
    画像ファイルそのものは、このサーバから、コンソールに直接送られます。

F. AD_DSとの接続

端末やPCをオンプレミスのMobiControlに登録する際に、AD_DS(Active Directory Domain Service)との認証を必要とするように、 端末登録ルールを作成することができます。 その際は、端末やPCの登録の前に、MobiControlサーバとAD_DSサーバとの間に、LDAP接続プロファイルを作成しておきます。
端末の登録の毎に、MobiControlサーバは、AD_DSサーバと通信をします。 その場合は、TCP389と636をFirewallに開けておく必要があります。TCP389と636のプロトコルはLDAPです。

(図6)

AD_DSとの認証を受ける場合、端末やエンドポイントPCは、AD_DSサーバとMobiControlサーバの両方に、接続できる環境にある必要があります。 (図6)の場合では、イントラネットの中に、端末がある場合です。

Windows Modernとして、Windows 10 PCを、MobiControlサーバに登録する場合、 「オンプレミスのAD_DS」、「Azure AD」、「IDプロバイダ」のどれかの認証を必要とします。 IDプロバイダとは、AD_FS(Active Directory Federation Service)や、OKTAなどを指します。

MobiControlサーバとAzure AD若しくはIDプロバイダとの接続は、TCP443経由となります。

Azure ADで認証 ID プロバイダで認証
(図7)
(図8)
AzureのAD_DSとの接続プロファイルの作成方法は、 AzureのAD_DSとの接続プロファイルを参照ください。 IDプロバイダとの接続プロファイルの作成方法は、AD FSとの接続プロファイルの作成 を参照ください。
1台のiOS端末又はAndroid端末を、複数の従業員で共用することができます。その際は、Azure_ADまたはIDプロバイダで、 ユーザの認証をします。そして、ユーザが所属するグループに割り当てた「構成プロファイル」「アプリ」「ルール」「端末詳細設定」 に従って、端末が挙動します。
Android: 端末の共用」と「iOS: 端末の共用」を参照ください。

G. MobiControlサーバ・コンポーネント間の接続

MobiControlサーバは、次のサーバコンポーネントから構成されています。
  • MobiControlデプロイメントサーバ
  • MobiControlマネージメントサーバ
  • MobiControl Search Server
  • Microsoft SQLサーバ
これらのサーバ間は、(図9)で示されるポートで情報共有をします。
端末台数が少ない場合、これら4つのサーバコンポーネントを1台のサーバハードウエァに同居させることが可能です。
端末台数が多い場合は、デプロイメント・サーバを並列複数台数とします。国内でも数万台の端末を管理しているMobiControlシステムがあります。
コンソールで、端末フィルタ条件式を入力して、表示する端末群を限定するときは、 MobiControl Search Serverが、SQLステートメントを作成し、マネージメントサーバ経由で、Microsoft SQLサーバに、サブミットします。
(図9)

H. オプション・サーバとの接続

SOTIは、MobiControl以外に、幾つかのオプションサーバを提供しています。
サーバのサービス名概 要
ERG(Enterprise Resource Gateway)
無償
Firewallの外部にある端末が、内部にあるリポジトリ・サーバから文書、画像、動画を 安全に入手するための逆プロキシサーバ
SOTI Assist Server
有償
システム運用に伴うインシデントを管理します。インシデント発生に伴い、これの解決に 向かっての工程管理をします。
Exchange ActiveSync Filter
無償
MS ExchangeサーバのフロントサーバであるActiveSyncサーバにアドオンするソフトウェアです。 MS Exchangeサーバへの不法アクセスを防止します。

I. ネットワーク・ポートに関するSOTIの情報

ネットワーク・ポートに関する、より詳しい情報は、下記のSOTIのリンクにアクセスください。
  • Network Configuration Diagram
    https://www.soti.net/mc/help/v14.1/en/setup/reference/network_config_diagram/network_config_diagram.html#
    このページでは、システムの構成の仕方によって、構成図とポート番号がダイナミックに変化して表示されます。
    ここでいうシステムの構成とは、下記のの選択項目で、どの選択肢を選ぶかを指します。 これらの選択肢によって構成図が変化します。
    • MobiControlサーバの設置場所
      • Cloud (SaaS)
      • DMZ
        貴社のDMZに設置(Firewallの外にある端末からのアクセスを想定)
      • Internal
        貴社の内部ネットワークに設置(Firewallの中にある端末からのアクセスを想定)
    • 複数のサーバコンポーネントのインストール
      • デプロイメントサーバとマネージメントサーバを、別々のハードウエアにインストール
      • 1つのハードウェアに同居
  • Network Ports
    https://www.soti.net/mc/help/v14.1/en/setup/installing/network_ports.html
    上記H.項で示したオプションサーバを含む 関連する全てのシステムコンポーネントとのTCPポートを記述してあります。
  • Network Diagram
    https://www.soti.net/mc/help/v13/en/Content/Setup/MCSetup/#network_diagram
    MobiControl v13をDMZに設置した場合の情報ですが、ページの下辺に構成図が表示されており、参考になります。