端末登録ルール

Just another POL Helpサイト site

 端末登録ルール作成の主な目的は、「登録ID」と「登録用サーバアドレス」を生成することです。

A. 端末登録ルール作成の前に知っておくこと

MobiControlの設定順序

MobiControl設定を、総覧的にご理解いただくために「MobiControlの設定順序」 のページを、お読みください。
端末の設定分野には「構成プロファイル」と「ルール」と「詳細設定」 があります。詳しくは、 構成プロファイルとルールと詳細設定 を参照ください。

端末登録ルールと端末グループの関係

MobiControlの端末グループは、企業/団体の組織構造を反映して、階層構造とすることができます。 端末登録ルールは、原則的に、階層構造の最下位の端末グループ毎に作成します。 例えば「本部」「部」「課」の階層構造の場合だと、「課」単位の端末グループ毎の端末登録ルールを作成します。例外として、 「部」単位の端末登録ルールを作ることもできます。そして、部長席のユーザの端末は、「部」単位の端末登録ルールに則って登録することもできます。「本部長席」のユーザの 端末に対しても同様に「本部」単位の端末登録ルールを作成します。
同じ端末グループを対象に、複数の端末登録ルールを作成し、端末に適用させることができます。 しかし、1つの端末登録ルールは、1つの端末グループしか対象にできません。
<端末グループ> 対 <端末登録ルール> は、1対Nの関係になります。

登録IDと端末登録ルールと端末グループの関係

入力する登録IDが端末グループに連関 

端末登録ルールを作成すると登録IDと登録用のサーバアドレスが生成されます。 (図26)を参照ください。 登録IDまたは登録用のサーバアドレスは、端末登録ルールに紐づけられ、その端末登録ルールは、特定の端末グループに紐づけられています。 従って、登録IDまたは登録用のサーバアドレスは、特定の端末グループに紐づけられることにもなります。
Android端末をMobiControlに登録するには、Mobicontrolエージェントソフトをインストールします。 そのインストールが終わると、右の(図1)の画面が現れます。

(図1)で、(図26)の登録IDまたはサーバアドレスを入力すると、紐づけられた端末登録ルールが呼び出され、そして、その端末登録ルールが対象としている 端末グループに端末が登録されます。

端末が、インターネットに接続できる環境では、(図1)で、「登録ID」を入力して、端末をMobiControlに登録します。 端末が、閉域ネットワークにあり、インターネットに接続できない環境では、(図1)で、サーバアドレスを入力します。そのサーバはオンプレミスであり、 そのサーバアドレスは、Private IP Addressになると思います。

(図1)で、登録IDまたはサーバアドレスを手入力することもできますが、通常は、(図1)の下辺のQRコードマークをタップして、 登録IDまたはサーバアドレスに関連したQRコードを読み取ることで入力作業を行います。
(図1)

下辺のQRコードマークをタップすると、QRコードスキャナーが開きます。

Android端末の設定モードは、大きく分けて2種類

Android端末の設定モードは、大きく分けて2種類があります。
  1. Android Plus
  2. Android Enterprise
左の設定モードの違いについては、
「Android Plus」と「Android Enterprise」
を参照ください。

アプリの配布手段は3種類

Android端末に業務アプリを配布する手段には、大きく分けて3種類あります。
  1. managed Google Playストア
  2. アプリカタログルール
  3. パッケージ
設定モードとアプリ配布手段との関係は、アプリの配布手段による比較を参照ください。
a. managed Google Playストアを利用するためには、端末登録ルールの作成の前に、managed Google Playアカウントを取得しておく必要があります。
下記の(図20)を参照ください。

AD(Active Directory)での認証をして登録するか否か

端末登録時に、AD_DS(Active Directory Domain Service)による認証をするかしないかの選択肢があります。 AD_DSによる認証をするには、そのように端末登録ルールを作成します。 AD_DSによる認証をすると、MobiControlサーバは、UPNなどの端末のAD_DSの属性情報を把握します。 AD_DSによる認証のメリットについては、AD_DS認証をして、端末をMobiControlに登録するメリットを参照ください。
AD_DSによる認証の替わりに、AD_FS(Active Directory Federation Service)による認証も可能です。 AD_DSサーバがイントラネット内にあり、SaaSのMobiControlを利用する場合に適用します。 AD_DSによる認証の場合と、AD_FSによる認証の場合とでは、端末登録ルールは異なるものになります。
AD_DSによる本人認証を実行するには、予めLDAP接続プロファイルを作成しておく必要があります。
AD_FSによる本人認証を実行するには、予めAD FSとの接続プロファイルを作成しておく必要があります。

ADグループを端末登録ルールにマッピング

「ADのグループ」を端末登録ルールにマッピングすることができます。これにより、「ADのグループ」に割り当てられた構成プロファイルを 当該端末ルールの登録先となる端末グループにも割り当てることができます。
詳しくは、「構成プロファイルは、ADのグループを割当て対象にできる」を参照ください。

B. 端末登録ルールの作成

(図2)

  1. 上辺バーから、Androidタブを選択します。
    Android簡易モードに設定した端末では「Android簡易モード」タブを選択。
  2. 下辺の「ルール」タブを選択
  3. 左側ペインに、ルールの種類が現れます。その中から「アプリ・カタログ」を右クリック
  4. 「アプリ・カタログ・ルールの作成」の文字列が現れるので、それをクリック
(図3)のダイアログが表示されます。

1. 端末登録ルール名の入力

端末登録ルール名の入力画面(図3)が現れます。

(図3) 

赤い背景色の部分に、ルール内容を連想しやすい文字列を入力します。 
例えば、(図4)のルール名は、ルールの種類が「端末登録ルール」であること、対象が「東京本社営業1課」であることを連想させるものです。 端末登録ルールの名前は、組織の最下位グループの名前とすると管理が便利です。 その端末登録ルールを利用して登録してくる端末が自動的に、その最下位グループに所属するようになるからです。  

(図4) 


名前の入力が終われば「次へ」のボタンを押すと(図5)が現れます。

(図5)


ここで、次の3つの選択肢のどれかを選択します。
  1. AD_DSのグループをマッピングしないし、AD_DSまたはAD_FSによる認証もしない
  2. AD_DSのグループをマッピングしないが、AD_DSまたはAD_FSによる認証をする
  3. AD_DSのグループをマッピングするし、AD_DSまたはAD_FSによる認証もする
a. または b. を選択する場合は、(図5)で「手動」を選択します。
c. を選択する場合は、(図5)で、「LDAPグループメンバーズシップに基づく」を選択します。
「AD_DSのグループをマッピング」に関しては、 「構成プロファイルは、ADのグループを割当て対象にできる」 を参照ください。
下記のをクリックください。
説明を開いた状態
説明を閉じた状態

2. AD_DSのグループをマッピングしないし、AD_DSまたはAD_FSによる認証もしない


  • 端末登録ルールを適用する端末グループを選択

    (図5)で、「手動」を選択すると、(図6)が現われます。 「端末グループの登録」ダイアログで作成した端末グループが階層構造で表示されます。 現在作成中の端末登録ルールの対象グループを選択します。

    (図6)

    前述したように、基本的には、最下位の端末グループを指定することが適切です。 「次へ」を押すと、(図7)が現われます。

    端末登録時に、パスワード入力を要求するか否かの選択

    (図7)

    (図7)で、次のラジオボタンのどちらかにチェックを入れます。
    1. 端末登録時に、ここで設定するパスワードの入力を要求する
    2. 端末登録時にパスワードの入力を要求しない

    • a.を選択した場合、パスワード欄にパスワードを入力します。このパスワードは端末の登録の際だけに入力要求がされます。 端末を登録する人に、このパスワードを連絡しておきます。 登録した後に、端末をMobiControlサーバに接続させるときには、入力の要求はされません。
    • b.を選択すると、登録作業が簡単になる反面、 「登録用URL」を知っている人間の端末なら誰でも登録されてしまう危険があります。 もし、キッティング作業の関係でパスワードの入力の手間を避けたい場合は、後述するIPアドレスフィルタと 併用するとよいでしょう。その場合、社内の特定のSSID/WiFiに接続し、指定のIPアドレスを割り当てられている端末のみが 登録できます。 MobiControlサーバがSaaSの場合、グローバルIPアドレスである必要があります。
      詳しくは、IPアドレスフィルタを参照ください。

    パスワードの入力または、選択が終わると、「次へ」ボタンを押します。(図8)に画面遷移します。

    利用規約の入力

    (図8) 

    会社支給の端末にせよ、BYOD端末にせよ、企業/団体としては、端末ユーザに同意しておいてもらうべき 規約があるはずです。その規約を入力します。 端末登録時に、この規約に端末ユーザが同意したかどうかは、MobiControl管理者に通知がきます。 (図8)で、「管理」を押すと(図9)が現われます。

    (図9) 

    新規に利用規約を登録するには、「追加」を押します。(図10)が現われます。

    (図10) 

    利用規約の名前を入力します。利用規約本文は、予め作成しておき、コンソールコンピュータ内に保存しておきます。 ソース欄の右の「参照」を押すと、コンソールコンピュータのExploreが開くので、保存先フォルダを検索し、該当ファイルを クリックします。利用規約本文は、テキスト形式か、HTML形式で記述します。  
    (図10)を入力し「OK」を押すと、(図9)に利用規約の名前が表示されます。 
    (図9)の「閉じる」を押すと、(図8)に戻ります。 
    (図8)の「利用規約を選択」欄の右端をプルダウンすると、利用規約の名前のリストが 表示されます。適切な名前を選択し、「次へ」を押すと、(図20)が現れます。  

3. AD_DSのグループをマッピングしないが、AD_DSまたはAD_FSによる認証をする


  • 端末登録ルールを適用する端末グループを選択

    (図5)で、「手動」を選択すると、(図11)が現われます。 「端末グループの登録」ダイアログで作成した端末グループが階層構造で表示されます。 現在作成中の端末登録ルールの対象グループを選択します。

    (図11)

    前述したように、基本的には、最下位の端末グループを指定することが適切です。 「次へ」を押すと、(図12)が現われます。

    AD_DSまたはAD_FSによる端末ユーザ認証

    (図12)


    (図12)で、「端末の登録時にディレクトリサービスを使用してユーザーを認証してください」のラジオボタンに チェックを入れます。これにチェックを入れると、AD_DS または AD_FSによる端末ユーザ認証をします。
    続けて、
    a.LDAPディレクトリサービスAD_DSによる認証
    b.識別プロバイダ(LDAPあり)AD_FSによる認証
    のどちらかを選択します。a. b. 各々について、以下、説明します。
    1. LDAPディレクトリサービス
      (図12)のをプルダウンすると、 作成済みのLDAP接続プロファイルの名前の一覧が表示されます。 (図12)のサンプルでは、「東日本地区」という名前のLDAP接続プロファイルを選択しています。
      の欄には、 AD_DSのグループ名を入力し、「Add」ボタンを押します。 グループ名のフルスペルを入力する必要はありません。最初の4文字程度を入力すると、該当するグループ名候補が 現われます。これを選択すると、 の欄には、 選択したAD_DSのグループ名が表示されます。登録する端末ユーザは、このAD_DSのグループメンバーでなければなりません。 AD_DSの他のグループのメンバーも、この端末登録ルールで認証したいときは、 の欄に他のグループ名を 入力します。
      で、 AD_DSのグループ名として存在してない文字列を入力すると、「検索しましたが、見つかりませんでした」 のエラーポップアップがでます。

      端末の登録時には、AD_DSのログインIDとパスワード入力欄が、端末に表示されます。端末ユーザは、それを入力します。 その際、端末ユーザは、(図12)のの欄に入力した AD_DSのグループメンバーでなければなりません。

       

    2. 識別プロバイダ(LDAP)あり
      (図12)のをプルダウンすると、 作成済みのAD_FSとの接続プロファイルの名前の一覧が表示されます。 未だ、AD_FSとの接続プロファイルを作成していないと、 (図13)のように、「IdP接続を管理」の文字列が表示されます。

      (図13)

      これをクリックすると、AD_FSとの接続プロファイルの作成画面がポップアップします。 ここで、「IdP」や「識別プロバイダ」とは、AD_FSサーバを指します。
      AD_FSとの接続プロファイルを作成すみなら、 をプルダウンして、 該当するAD_FSとの接続プロファイルの名前を選択します。
      続けて、の欄には、 AD_DSのグループ名を入力し、「Add」ボタンを押します。 グループ名のフルスペルを入力する必要はありません。最初の4文字程度を入力すると、該当するグループ名候補が 現われます。これを選択すると、 の欄には、 選択したAD_DSのグループ名が表示されます。登録する端末ユーザは、このAD_DSのグループメンバーでなければなりません。 AD_DSの他のグループのメンバーも、この端末登録ルールで認証したいときは、 の欄に他のグループ名を 入力します。
      で、 AD_DSのグループ名として存在してない文字列を入力すると、「検索しましたが、見つかりませんでした」 のエラーポップアップがでます。

      (図12)または(図13)の上辺で、「識別プロバイダ(LDAPあり)」を選択すると、端末は、AD_FSサーバによる認証を 受けます。ただし、端末ユーザは、ログインIDやパスワードの入力を要求されません。 AD_FSサーバによる認証は、SSO(Single Sign On)だからです。 詳しくは、AD_FSとの接続プロファイルを参照ください。
    (図13)での、入力が終われば、「次へ」を押します。(図14)に画面遷移します。

    利用規約の入力

    (図14) 

    会社支給の端末にせよ、BYOD端末にせよ、企業/団体としては、端末ユーザに同意しておいてもらうべき 規約があるはずです。その規約を入力します。 端末登録時に、この規約に端末ユーザが同意したかどうかは、MobiControl管理者に通知がきます。 (図14)で、「管理」を押すと(図15)が現われます。

    (図15) 

    新規に利用規約を登録するには、「追加」を押します。(図16)が現われます。

    (図16) 

    利用規約の名前を入力します。利用規約本文は、予め作成しておき、コンソールコンピュータ内に保存しておきます。 ソース欄の右の「参照」を押すと、コンソールコンピュータのExploreが開くので、保存先フォルダを検索し、該当ファイルを クリックします。利用規約本文は、テキスト形式か、HTML形式で記述します。  
    (図16)を入力し「OK」を押すと、(図15)に利用規約の名前が表示されます。 
    (図15)の「閉じる」を押すと、(図14)に戻ります。 
    (図14)の「利用規約を選択」欄の右端をプルダウンすると、利用規約の名前のリストが 表示されます。適切な名前を選択し、「次へ」を押すと、(図20)が現れます。  

4. AD_DSのグループをマッピングするし、AD_DSまたはAD_FSによる認証もする


  • (図5)で、「LDAPグループメンバーズシップに基づく」を選択すると、(図17)が現われます。
    (図17)で、AD_DSのグループにマッピング(連携)する端末グループを指定します。

    (図17)


    (図17)の上辺には、下記の2種類のラジオボタンがあります。
    a.LDAPディレクトリサービスAD_DSによる認証
    MobiControlサーバが、AD_DSサーバと連携をして、マッピングするAD_DSのグループを指定できます。
    b.識別プロバイダ(LDAPあり)AD_FSによる認証
    MobiControlサーバが、AD_FSサーバと連携をして、マッピングするAD_DSのグループを指定できます。
    a. b. 各々について、以下、説明します。
    1. LDAPディレクトリサービス
      (図17)のをプルダウンすると、 作成済みのLDAP接続プロファイルの名前の一覧が表示されます。 (図17)のサンプルでは、「東日本地区」という名前のLDAP接続プロファイルを選択しています。
      もし、LDAP接続プロファイルを作成してない場合は、LDAP接続プロファイルの作成ダイアログが表示されます。
      LDAP接続プロファイルの作成には、「LDAP接続プロファイルの作成」を参照ください。
      (図17)のの欄には、マッピングするAD_DSのグループ名を 入力してから、右端の「Add」ボタンを押します。AD_DSのグループ名として存在してない文字列を入力すると、「検索しましたが、見つかりませんでした」 のエラーポップアップがでます。
      グループ名のフルスペルを入力する必要はありません。最初の4文字程度を入力すると、該当するグループ名候補が 現われます。
      (図17)は、「sales」という名前のAD_DSのグループ名を選んだ例です。 この「sales」にマッピングする端末グループを選択します。 をプルダウンすると、 端末グループが階層構造で表示されます。 ここから、この端末登録ルールの登録先となる端末グループを選択します。 選択できる端末グループは1つだけです。1つの端末登録ルールは、1つの端末グループのみしか対象にできないからです。
      AD_DSの同じグループのメンバーの端末を、異なる端末グループに登録させたい場合は、別途、異なる端末登録ルールを作成します。 例えば、で、 AD_DSのグループ"sales"を、「東京本社営業1部」にマッピングした端末登録ルールと、「東京本社営業2部」に マッピングした端末登録ルールを作るようなケースです。
      端末の登録時には、AD_DSのログインIDとパスワード入力欄が、端末に表示されます。端末ユーザは、それを入力します。 その際、端末ユーザは、(図17)のの欄に入力した AD_DSのグループメンバーでなければなりません。

       

    2. 識別プロバイダ(LDAP)あり
      の欄をプルダウンすると、 AD_FSとの接続プロファイルの名前リストが現れます。 該当するAD_FSとの接続プロファイルを選択します。
      未だ、AD_FSとの接続プロファイルを作成していないと、 (図18)のように、「IdP接続を管理」の文字列が表示されます。

      (図18)

      これをクリックすると、AD_FSとの接続プロファイルの作成画面がポップアップします。 ここで、「IdP」や「識別プロバイダ」とは、AD_FSサーバを指します。 の欄には、AD_DSのグループ名を 入力します。
      をプルダウンして、現在、作成中の 端末登録ルールが対象とする端末グループを選択します。

      (図17)または(図18))の上辺で、「識別プロバイダ(LDAPあり)」を選択すると、端末は、AD_FSサーバによる認証を 受けます。ただし、端末ユーザは、ログインIDやパスワードの入力を要求されません。 AD_FSサーバによる認証は、SSO(Single Sign On)だからです。 詳しくは、AD_FSとの接続プロファイルを参照ください。

    (図17)または(図18)での作業が終われば、「次へ」を押します。「次へ」を押すと、(図19)に画面遷移します。

    SSL通信に関する証明書

    (図19)

    端末とMobiControlサーバとの間のSSL通信に使う証明書を規定します。 MobiControl内部CAを使う場合は、「次へ」を押します。(図20)に画面遷移します。

5. managed Google Play への端末のGoogleアカウント

Google管理者アカウントには、2種類があります。
端末をMobiControlサーバに登録する際に、Google管理者アカウントを使って、端末をGoogleにも登録します。
(図20)は、そのどちらのアカウントで、端末をGoogleに登録するかを指定する画面です。

(図20)は、端末をAndroid Enterpriseモードとして設定するときのみの選択肢です。
Android Plusモードとして 設定するときは、(図20)のどの選択肢を選んでも、影響はありません。端末をGoogleに登録しないからです。

(図20) 


Google管理者のタイプ managed Google Playストア
アクセスするときの「端末のGoogleアカウント」
managed Google アカウント端末ユーザのAD_DS(Active Directory Domain Service)のアカウントを「端末のGoogleアカウント」として使用。 端末を登録する際に、AD_DSの本人認証が必要。
managed Google Play アカウントGoogleから付与される「端末のGoogleアカウント」。 コンソールの「端末の詳細」タブを開くと、右下に記載されている「AndroidのID」が、この「端末のGoogleアカウントID」
端末をGoogleに登録しない。従ってGoogle管理者アカウントを使わない。「端末のGoogleアカウント」は無し
  • (図20)で、または を選択して、MobiControlに登録した端末は、 managed Google Playストアからアプリをダウンロードできます。 上の表の右列の端末のGoogleアカウントを使って自動ログインします。自動ログインなので、ログイン時に、「端末のGoogleアカウント」の 入力は不要です。
  • 個人的なGoogleアカウントを使っての managed Google Playストアからのアプリのダウンロードはできません。
  • の、managed Googleアカウントを 取得する際に、「企業」名を登録します。managed Googleアカウント1つに、1つの「企業」です。
    会社/団体は、複数のmanaged Google Playアカウントを登録できます。例えば支店単位とか。 その際は、Googleに届けた「企業」名も複数になります。(図20)の赤矢印部分をクリックすると、その複数の「企業」名がプルダウンします。
    現在作成中の端末登録ルールを適用する端末グループに適合した「企業」名を選択します。
    例えば、「名古屋支店」という名前の「企業」を、名古屋支店のmanaged Google Playアカウント管理者が 届けたとします。そしてその人が、「名古屋支店」という端末グループの端末群のアプリを管理するとします。その場合は、「名古屋支店」という名前の「企業」名を 選択します。
  • を選択しての端末登録ルールで登録した端末には、 managed Google Playストア アプリカタログを使ってのアプリの配布ができません。替わりに、アプリをパッケージ化して配布します。
    インターネットから遮断された閉域網にある端末の場合に適用します。
  • managed Googleアカウント
    このアカウントの取得方法は、 「G. Suiteアカウントの作成とGoogleとのバインド」のページを参照ください。
  • managed GooglePlayアカウント
    このアカウントの取得方法は、「managed Google Playアカウントの作成」のページを参照ください。
(図20)での選択が終われば、「次へ」を押します。(図22)が現れます。
(図20)で、を選択して生成した登録IDを入力して、端末セットアップをすると、端末で右の(図21)が表示されます。

(図21)で、端末ユーザのActive DirectoryのユーザID(UPN=User Principal Name メールアドレス型式のID) を入力し、更にそのパスワードを入力します。

を選択して作成した端末登録ルールの登録IDを入力した場合、(図21)は表示されません。


(図20)で、だけでなく、 を選択した場合でも、端末は、managed Google Playストアからアプリをダウンロードできます。

(図21)

6. エージェントソフトのダウンロード元

(図22)では、デフォルト値のままで下辺の「次へ」を押して(図23)に移って結構です。 MobiControl v13では、端末にインストールするエージェントソフトは、SOTIのダウンロードサイトからエージェントをダウンロードし、端末に展開します。詳しくは 「エージェントのインストールと操作」のページの「SOTIのダウンロードサイト」の項を参照ください。

(図22) 

MobiControlのサーババージョンをv14にアップグレードすると、エージェントソフトをMobiControlサーバからダウンロードする選択肢も現実的になります。
(図22)で、「サーバから直接ダウンロード」にチェックを入れて、端末登録ルールを作成します。
そして、v14では、、エージェントのアップロードや、エージェントへ付加するプラグインの配布も便利になります。 v14へのアップグレードをご検討ください。

7. 端末の名前の表示形式

コンソール画面に表示する端末の名前の表示形式を指定します。

(図23) 

入力欄の右端の歯車アイコンをクリックすると、端末名の構成要素となるマクロのリストが表示されます。 
各々の構成要素を選択すると、対応するマクロが入力欄に入力されます。
選 択 肢マクロ
IMSI(International Mobile Subscriber Identity)Number 
国際携帯機器加入者識別情報番号。15桁の数字
%IMSI%
ESN(Electronic Serial Number for Motorola devices) 
モトローラ製品電子連続番号。11桁の数字
%ESN%
IMEI(International Mobile Equipment Identity)Number 
国際移動体装置識別番号。15桁の数字
%IMEI%
電話番号%PHONENUMBER%
端末のIPアドレス%IP%
数字の順番を自動的に割り当て 
1から登録順に番号を割り当てる
%AUTONUM%
端末のMACアドレス%MAC%
端末のシリアル番号%SERIALNUM%
端末のOS%PLATFORM%
端末のモデル%MODEL%
端末メーカー%MANUFACTURER%
登録した時のユーザのドメイン%EnrolledUser_Domain%
登録した時のユーザのユーザ名%EnrolledUser_Username%
登録した時のユーザのプリンシパルネーム%ENROLLEDUSER_UPN%
登録した時のユーザのメールアドレス%EnrolledUser_Email%
注意 青文字の構成要素を選ぶときは、端末登録時にAD_DSまたはAD_FSによる認証が必要です。この認証により、MobiControlは、 これらのAD_DSの属性情報を取得します。AD_DSまたはAD_FSによる認証を要求しない端末登録ルールでは、 青文字の構成要素は適用できません。

 

複数の構成要素を選択することが可能です。 例えば、 
「端末のモデル」と「数字の順番を自動的に割り当て」を選ぶと、 
この欄は、 %MODEL% %AUTONUM% 
と表示されます。 この% %で囲まれた文字列が、要素マクロです。 
実際の端末の定型端末名は、例えば、 
SC-04E 00001 
のようになります。続いて、この定型端末名の形式で2番目に登録された定型端末名は 
SC-04E 00002 となります。 

8. 設定内容の確認

今までの設定内容が表示されます。この内容で良ければ、「終了」を押します。 修正をする場合は、「戻る」を押します。

(図24) 

9. 登録IDの生成

(図24)で「終了」を押すと、(図25)が表示されます。この時点で、端末登録ルールは作成されました。

(図25) 

端末を登録しようとする人に、 (図25)に表示された「登録ID」を連絡します。(図7)で登録時のパスワードを設定した場合は、 そのパスワードも連絡します。
(図25)で、「メールで登録IDの通知」ボタンを押すと、コンソールでメーラーが起動し、 登録IDを記した本文が現れます。端末ユーザのメールアドレスを入力して、メールで「登録ID」を端末に 通知できます。

10. 登録IDと登録用サーバアドレス

作成した端末登録ルールの名前にマウスを載せると、その端末登録ルールの内容が(図26)のように表示されます。 MobiControlサーバが閉域ネットワークにあるときは、(図26)では、登録IDは表示されません。 また、「端末登録サイトのURL(登録用サーバアドレス)」も、Private IP Address型式で表示されます。

(図26) 

端末のセットアップ画面で(図1)が表示されますが、それに(図26)の「登録ID」または「登録用サーバアドレス」 を入力します。
端末が閉域ネットワークにあり、インターネットから遮断されているときは、「登録用サーバアドレス(Private IP Address)」 を入力します。
(端末台数が多いときは、(図1)で手入力せず、替わりに「登録ID」または「端末登録サイトのURL」に対応するQRコードを読み取らせます)

C. 作成済の端末登録ルールの編集その他

(図27)

  • 作成済の端末登録ルールの中身を修正する場合は、「ルールの編集」を選択します。 「ルールの対象グループ」、「登録時の認証方式」、「利用規約書」、「適用期間」などを修正することができます。
  • 「登録ID発行の停止」を選択すると、中央ペインの登録IDの部分が空白になります。更にプルダウンメニューの 「登録ID発行の停止」が「登録ID発行の開始」に変ります。(図28)参照

(図28)

  • (図28)で「登録ID発行の開始」を押すと、新しい登録IDが発行されます。今後は、この新しい登録IDを使わないと 新規に端末を登録できなくなります。
  • この登録IDの再発行は、セキュリティ対策上、次のような場合に役立ちます。 部外者が登録IDを知ると、Mobicontrolに自分の端末を登録できてしまうからです。登録IDを時々、変えると、このようなリスクを防げます。

(図29)

  • 「ルールの適用中止」を選択すると、臨時的に、その登録IDでは登録できなくなります。 登録済の端末がMobiControlの管理外になるということではありません。また、端末登録ルールが削除された訳ではありません。
  • 「ルールの適用開始」を押すと、当該ルールの適用が再開します。
  • 「ルールの削除」を選択すると、当該ルールは削除されます。復活はできません。

D. 本人認証を追加する

MobiControl導入時の大量端末の集中的な登録が終われば、端末登録の際には登録パスワードの入力を強制するように 端末登録ルールを編集することをお勧めします。 登録IDを知った第三者が不法に登録するのを防止するためです。
(図27)で「ルールの編集」を選択し、「認証」タブを選ぶと、(図30)が表示されます。 MobiControl導入時の大量端末の集中的な登録の際は、 「端末登録時にパスワードの入力を要求しない」のラジオボタンを選択してあったとします。 これを「端末登録時に、ここで設定するパスワードの入力を要求する」に変更します。
への変更後の端末の追加的登録には、パスワードの入力画面が表示されます。
そこで、 で入力したパスワードを入力します。パスワードは、頻繁に変更することをお勧めします。

(図30)

からへの変更をすると、 AD_DS(Active Directory)による認証を必要とするようになります。
への変更後の端末の追加的登録には、AD_DSによるIDとパスワードの入力を要求する画面が現れます。
AD_DS(Active Directory)による認証は、幾つかのメリットがあります。詳しくは、「AD_DS認証をして、端末をMobiControlに登録するメリット」を参照ください。
AD_DSでの認証無しに、登録した端末を、AD_DSでの認証をして再登録する方法は、次の通りです。
  1. 対象とする端末グループの端末登録ルールの編集をします。(図30)で、 「デバイスの登録時にディレクトリサービスを使用してユーザーを認証をする」のラジオボタンを選択します。
    AD_DSでの認証には「LDAPディレクトリサービス」を、AD_FSでの認証には、「認識プロバイダ(LDAP)あり」にチェックを入れます。詳しくは、(図12)を参照ください。
  2. コンソールで端末の登録解除します。方法は、「Android端末に働きかける」の項番30.を参照ください。
  3. 端末にMobiControlエージェントの登録ID入力画面(図1)が表示されます。登録IDまたはサーバアドレスを入力して貰います。
  4. AD_DSのIDとパスワードの入力画面が現れます。端末ユーザは、自分のIDとパスワードを入力します。
  5. これで、AD_DSでの本人認証を経て、端末の再登録の完了です。
以上は、MobiControlへ登録するときに限る本人認証です。端末からの通常のチェックイン(更新)では必要ありません。

E. オプション

(図24)の右下の「詳細設定」を押すと、(図31)が現われます

E-1. 適用期間の設定

オプションとして、端末登録ルールの適用期間を設定します。例えば、
  • MobiControlの社内展開日がまだ先の場合は、開始日時を設定できます。
  • 端末の登録終了日を設定する場合、その日時を入力します。 
    この終了日で登録は終ります。この日以降、この登録IDでの登録はできなくなります。  
    しかし、登録済の端末によるMobiControlの利用は継続します。

(図31) 

(図31)の下段の項目を説明します。 
項目の文字列説  明
ルールの適用チェックを外すと、端末登録ルールは存在しても、対象の端末グループへの新規登録は拒否します
再登録時にデバイスの位置情報を保存する 端末が何らかの理由で、Mobicontrolの管理外になったとします。再度、登録アクションをしたときに、 同じ端末グループに再登録されます。ここでチェックを外すと、同じ端末グループに再登録できなくなります。 ここでいう「位置情報」とは、端末の「所属する端末グループ」のことです。
パスワードをキャッシュに入れる(図9)で、「端末登録時に、ここで設定するパスワードの入力を要求する」を選択したとします。 端末が何らかの理由で、Mobicontrolの管理外になったとします。再度、登録アクションをしたときに、ここにチェックを入れると、 端末登録用パスワードの入力が不要になります。端末のキャッシュに保存されているからです。
登録ID発行の開始チェックを外すと、(図28)の「登録IDの発行開始」を選択しても、登録IDの発行はできなくなります。

E-2. IPアドレスフィルタ

(図31)の「ルールフィルタ」の新規ボタンをドロップダウンします。 この中のIPアドレスフィルタを選択します。

(図32) 

IPアドレスフィルタとは、 端末の登録時の端末のIPアドレスが、(図32)で設定したIPアドレスの範囲内であるときでないと、MobiControlに登録できなく するようにすることです。 
例えば、社内の特定の場所を電波カバーする無線LANの提供するIPアドレスの範囲を指定します。 そうすると、端末は地理的に社内のその場所でないと、登録できなくなります。 
社外での登録を防ぐことでセキュリティ強度が増します
。 特にそのIPアドレスがグローバルIPアドレスだと 一意性を持つので、益々、セキュリティが高まります。 
登録後、当該端末を社外で使っても、なんら問題なくMobiControlサーバに接続でき、MobiControlの管理対象とできます。

E-3. 端末登録時に端末のOSのバージョンを指定

(図31)の「ルールフィルタ」の新規ボタンをドロップダウンします。 この中の「デバイスプロパティ・フィルタの追加」を選択します。

(図33) 

登録する端末のOSのバージョンを指定します。不等号記号を使って、指定のバージョンより上とか下を指定できます。

E-4. 端末登録時に端末のOSのビルドバージョンを指定

(図31)の「ルールフィルタ」の新規ボタンをドロップダウンします。 この中の「ファームウェア・フィルタの追加」を選択します。

(図34) 

登録する端末のOSのビルド・バージョンを指定します。不等号記号を使って、指定のビルド・バージョンより上とか下を指定できます。