端末登録ルールModern

Just another POL Helpサイト site

1. ADのグループを媒介にMobiControlに登録

Windows Modernの端末登録ルールの主目的は、MobiControlの端末グループを、 AD_DS(Active Directory Domain Service)のグループに紐づけることです。
MobiControlは、登録を試みるWindows 10 PC のユーザが所属するAD_DSのユーザ名とグループを認識し、 それに対応する端末グループに登録します。
次の2つのどちらかの方法で、MobiControlはADのユーザ名とそのグループを認識します。
  1. MobiControl登録時に、ドメイン名とユーザ名を入力させる
  2. クライアント証明書をMobiControlが読み取って、ユーザ名とそのグループを認識。 エンドポイントには、予めAD_CS(Active Directory Certificate Service)が発行した証明書を展開しておく。

MobiControlは、企業/団体の階層型組織の各グループ毎に、端末を管理します。 
そこで、原則的に、末端グループ毎に、端末登録ルールを作成します。 (図1)の場合なら「課」単位で作成します。

(図1) 
ADのグループとMobiControlの端末グループの紐付け(マッピング)

Windows Modern(Windows10やWindows10 Mobile)が、MobiControlサーバと通信する場合には、端末側にエージェントプログラムを必要としません。 
Windows10でも、AD認証をしないWindows Classicとして、MobiControlに登録する場合は、エージェントプログラムを必要とします。 
Windows Classicの端末登録ルールの作成 
Windows Classicのエージェントの生成 
を参照ください。

2. 前準備

端末登録ルールを作成する前に、次の準備をしておきます。
  1. LDAP接続プロファイル
    MobiControlサーバから、LDAPサーバへの接続プロファイルを設定します。 「LDAP接続プロファイルの作成」を参照ください。 ADサーバがオンプレミスでなく、Azure AD の場合でも、このLDAP接続プロファイルを作成しておきます。
  2. ユーザ証明書の配布
    証明書に基づく登録をする場合は、各エンドポイントに、AD_CSのクライアント証明書を配布しておきます。
  3. WNSから認証を得る
    MobiControlサーバが、WNSからの認証を取得しておきます。 詳しくは、「WNSから認証を得る」を参照ください・
a. ADのユーザ名とパスワードの入力によって登録する場合、b. は不要です。
c.は、端末登録ルールの作成の前提となる条件ではありませんが、エンドポイントの リモート管理には必須です。

3. 端末登録ルール設定画面の表示

コンソール上辺の「Windows Modern」のタブを選択します。


コンソール下辺の「ルール」タブを選択。

  1. 左側のルールの種類の中から、「端末登録」を右クリック
  2. 「端末登録ルールの作成」の文字列が現れます。これを選択。
  3. (図2)が表示されます。これが、端末登録ルールの設定ダイアログです。

4. ルール名の入力

(図2) 

 
赤い背景色の部分に、ルール内容を連想しやすい文字列を入力します。 
「次へ」のボタンを押すと、(図3)が画面が遷移します。 

5. エンドポイントの登録方法の選択

(図3) 

 
エンドポイントを、MobiControlに登録する方法に2種類があり、どちらかを選択します。
  1. LDAPグループメンバーシップに基づく
    AD_DSのグループに対応する端末グループを指定します。エンドポイントの登録時に、 AD_DSで認証することで、そのユーザのAD_DSグループに対応する端末グループに登録します。
  2. 証明書に基づく登録
    AD_CS(Active Directory Certificate Service)が発行したユーザー証明書を基にMobiControlへの登録をします。 この場合、エンドポイントではAD_DSのユーザ名やパスワードの入力をしなくても登録ができます。 多くのエンドポイントを短期間で登録できます。 エンドポイントには、予め、ユーザー証明書を配布しておきます。
下記のをクリックください。
説明を開いた状態
説明を閉じた状態

6. LDAPグループメンバーシップに基づく登録


  • (図3)で、「LDAPグループメンバーシップに基づく」を選択すると、画面は(図4)に遷移します。

    (図4) 

     
    をプルダウンすると、2.項「前準備」で作成した「LDAP接続プロファイル」のリストが現われます。 この中から、1つを選びます。(図4)は、「WinModern」という名前のLDAP接続プロファイルを選択した例です。  
    の欄には、AD上の「グループ名」を入力し、「Add」ボタンを押します。  
    例えば、(図4)のの欄に「NAGOYA_Sales」というADのグループ名を 入力し、「Add」ボタンを押したら、(図5)のような表示になります。

    (図5) 

     
    (図5)には、「NAGOYA_Sales」という名前のADのグループ名が挿入されました。  
    をプルダウンして、MobiControlの 端末グループリストを表示します。 この中から、ADのグループ名に対応するMobiControlの端末グループを選択します。  

    (図6) 

     
    (図7)は、名古屋支店営業2課を選択した場合です。

    (図7) 

    これで、ADのグループが「営業2課」にマッピングされました。ここで、「営業2課」は、MobiControlの端末グループ名です。

    SSLのための証明書を指定

    (図7)で、「次へ」を押すと、(図8)が現われます。

    (図8) 

    通常は、MobiControl内部CAを選択します。 (図8)で「次へ」を押すと、(図12)に画面遷移します。

7. 証明書に基づく登録


  • (図3)で、「証明書に基づく登録」を選択すると、画面は(図9)に遷移します。

    (図9) 

    赤矢印の部分をプルダウンすると、証明書のリストが表示されるので、所定の証明書を選択します。 そして、その証明書の対象となる端末グループを選択します。
    これがエンドポイントの登録先となる端末グループです。
    証明書のリストが表示されないときは、「新規」ボタンを押します。(図10)がポップアップします。

    (図10) 

    (図10)の赤矢印部分をクリックすると、コンソールコンピュータの Exploreがポップアップします。そして、証明書を保存してあるフォルダを探し、証明書ファイルを選択し「開く」を 押します。その証明書ファイルがMobiControlサーバにアップロードされます。 そして、(図9)に表示されます。
    (図9)で「次へ」を押すと、(図11)に画面遷移します。

8. 利用規約ファイルの指定

(図11) 

登録するときに、従業員に「MobiControlの利用規約」への同意を求める場合は、左上のチェックボックスに チェックを入れ、利用規約ファイルを指定します。  
登録時のプロセスでに、PCユーザは利用規約への同意のチェックを入れないと、登録はできなくなります。  
別途、テキスト形式かHTML型式で利用規約文を作成しておきます。「管理」ボタンを押すと、(図12)がポップアップします。

(図12) 

新規に利用規約ファイルを登録するには、「追加」を押します。(図143)が現われます。

(図13) 

利用規約の名前を入力します。利用規約本文は、予め作成しておき、コンソールコンピュータ内に保存しておきます。 ソース欄の右の「参照」を押すと、コンソールコンピュータのExploreが開きますので、保存先フォルダを検索し、該当ファイルを クリックします。利用規約本文は、テキスト形式か、HTML形式で記述します。

9. エンドポイントの名前の決め方を指定

(図11)で「次へ」を押すと、(図14)が現われます。 
MobiControlでは、エンドポイントに名前をつけて、コンソールに表示し管理を行います。 そのエンドポイントに一意性のある名前をつけます。
 

(図14) 

 
(図14)の %AUTONUM% はマクロです。このマクロは、連番マクロです。 登録されていった順番に、4桁の整数を付番します。(図14)のままで「次へ」を押すと、 最初に登録されたPCの名前は、「Windows 0001」と表記されます。 
次ぎに登録された PCは、「Windows 0002」と表記されます。

 

この他にも多くのマクロが用意されています。右側のギアボタンを選択すると、 (図15)のようにマクロのリストが表示されますので、それを選択することも可能です。  

(図15) 

 
(図16)は、「連番= %AUTONUM% 」の後に、「登録時のユーザの名前=ENROLLEDUSER_USERNAME%」が表示されるように指定した例です。

(図16) 

 

10. 端末登録ルールの概要の確認

(図16)で「次へ」を押すと、(図17)が現われます。

(図17) 

この設定内容でよければ、「終了」ボタンを押します。これで、端末登録ルールの作成は終りです。 もし、修正したいときは「戻る」ボタンを押すと、前の画面にもどります。

11. オプション設定

端末登録ルールは、(図17)で作成完了しましたが、追加的な条件をつけることができます。  
(図17)の右下の「詳細設定」を押すと、(図18)が現われます。

(図18) 

 

11.1 ルールの適用期間

(図18)のままでは、この端末登録ルールは今すぐ適用開始となります。 MobiControlの導入プロジェクトの関係で、将来の指定期日に適用を開始したいときがあります。 その場合は、適用開始日時を(図16)で指定します。
(図18)のままでは、ルールの終了期日は、ルールの適用停止またはルールの削除のアクションを MobiControl管理者が執るまでとなります。 
予め、ルールの終了期日を決めておきたいときは、適用終了日時を指定しておくと、 その時になれば自動的にルールの適用は終了します。
 

11.2 デバイスプロパティ・フィルタの登録

(図18)の「新規」(赤矢印部分)をプルダウンすると、(図19)のような選択肢が現われます。

(図19) 

 
(図19)で「デバイスプロパティ・フィルタの追加」を選択すると、(図20)が現われます。 登録するPCのバージョンを指定します。不等号記号を使って、指定のバージョンより上とか下を指定できます。
(図20) 

11.3 ファームウェアフィルタの追加

 
(図19)で「ファームウェアフィルタの追加」を選択すると、(図21)が現われます。 登録するPCのファームウァエ・バージョンを指定します。不等号記号を使って、指定のファームウェアのバージョン範囲を指定できます。 Windows10 の2016年Anniversary Updateは、1607以上です。
(図21) 

12. 端末登録ルールの編集

(図22) 
端末登録ルールを作成の後、左側ペインの「端末登録」をクリックすると、作成した端末登録ルール名が展開して表示されます。  
これを右クリックすると、(図22)のようにメニューが現われます。
この中の「ルールの編集」を選択すると、作成した端末登録ルールの修正ができます。

13. サブドメインにenterpriseenrollmentを登録

PCユーザのADにおけるメールアドレスが、xxxxxxx@nippon.co.jp なら、 DNSサーバに、nipponの次のレベルのドメイン名として、enterpriseenrollmentを登録し、そのIPアドレスに MobiControlサーバのIPアドレスを紐付けします。
登 録 例
a.PCユーザのADでのメールアドレスxxxxxxx@nippon.co.jp
b.MobiControlサーバのURLv13.mobicontrol.nippon.co.jp
c.次のレベルのサブドメイン名enterpriseenrollment.nippon.co.jp
上記のドメインに、b. のMobiControlサーバのIPアドレスを紐付けします。
 
c. をDNSに登録しておくと、PCユーザがMobiControlに登録する際、MobiControlサーバのURLの入力が不要になります。  
Windows Modernの登録を参照ください。