Windows Modern端末登録ルールの作成
1. ADのグループを媒介にMobiControlに登録
Windows Modernの端末登録ルールの主目的は、MobiControlの端末グループを、 AD_DS(Active Directory Domain Service)のグループに紐づけることです。
MobiControlは、登録を試みるWindows 10 PC のユーザが所属するAD_DSのユーザ名とグループを認識し、 それに対応する端末グループに登録します。
次の2つのどちらかの方法で、MobiControlはADのユーザ名とそのグループを認識します。
- MobiControl登録時に、ドメイン名とユーザ名を入力させる
- クライアント証明書をMobiControlが読み取って、ユーザ名とそのグループを認識。 エンドポイントには、予めAD_CS(Active Directory Certificate Service)が発行した証明書を展開しておく。
MobiControlは、企業/団体の階層型組織の各グループ毎に、端末を管理します。
そこで、原則的に、末端グループ毎に、端末登録ルールを作成します。 (図1)の場合なら「課」単位で作成します。(図1)
Windows Modern(Windows10やWindows10 Mobile)が、MobiControlサーバと通信する場合には、端末側にエージェントプログラムを必要としません。
ADのグループとMobiControlの端末グループの紐付け(マッピング)
Windows10でも、AD認証をしないWindows Classicとして、MobiControlに登録する場合は、エージェントプログラムを必要とします。
Windows Classicの端末登録ルールの作成
Windows Classicのエージェントの生成
を参照ください。2. 前準備
端末登録ルールを作成する前に、次の準備をしておきます。a. ADのユーザ名とパスワードの入力によって登録する場合、b. は不要です。
- LDAP接続プロファイル
MobiControlサーバから、LDAPサーバへの接続プロファイルを設定します。 「LDAP接続プロファイルの作成」を参照ください。 ADサーバがオンプレミスでなく、Azure AD の場合でも、このLDAP接続プロファイルを作成しておきます。- ユーザ証明書の配布
証明書に基づく登録をする場合は、各エンドポイントに、AD_CSのクライアント証明書を配布しておきます。- WNSから認証を得る
MobiControlサーバが、WNSからの認証を取得しておきます。 詳しくは、「WNSから認証を得る」を参照ください・
c.は、端末登録ルールの作成の前提となる条件ではありませんが、エンドポイントの リモート管理には必須です。3. 端末登録ルール設定画面の表示
コンソール上辺の「Windows Modern」のタブを選択します。
コンソール下辺の「ルール」タブを選択。
- 左側のルールの種類の中から、「端末登録」を右クリック
- 「端末登録ルールの作成」の文字列が現れます。これを選択。
- (図2)が表示されます。これが、端末登録ルールの設定ダイアログです。
4. ルール名の入力
(図2)
赤い背景色の部分に、ルール内容を連想しやすい文字列を入力します。
「次へ」のボタンを押すと、(図3)が画面が遷移します。
5. エンドポイントの登録方法の選択
(図3)
エンドポイントを、MobiControlに登録する方法に2種類があり、どちらかを選択します。
- LDAPグループメンバーシップに基づく
AD_DSのグループに対応する端末グループを指定します。エンドポイントの登録時に、 AD_DSで認証することで、そのユーザのAD_DSグループに対応する端末グループに登録します。- 証明書に基づく登録
AD_CS(Active Directory Certificate Service)が発行したユーザー証明書を基にMobiControlへの登録をします。 この場合、エンドポイントではAD_DSのユーザ名やパスワードの入力をしなくても登録ができます。 多くのエンドポイントを短期間で登録できます。 エンドポイントには、予め、ユーザー証明書を配布しておきます。
下記のをクリックください。 |
|