端末登録ルール

A. 端末登録ルール作成の前に知っておくこと

A-1 「端末登録ルール」作成の目的

「端末登録ルール」を作成する主な目的は、端末が所属する予定の端末グループを指定する一方、「端末登録ルール」のIDとなる「登録ID」と「登録用サーバアドレス(URL)」を生成することです。

(図A1)

端末には、MobiControlエージェントというアプリをインストールします。このアプリをインストールすると、(図A1)のような画面が現れます。これに、登録ID(8桁)または、登録用サーバアドレスを入力します。
登録用サーバアドレスを、MobiControl Stageというアプリを使ってQRコード化しておくと、それを読み取ることでも、登録用サーバアドレスを入力できます。その際は、画面の下部にあるQRコードのアイコンをタップすることで、QRコードリーダが作動し、QRコードを読み取ります。

登録IDまたは登録用サーバアドレスの入力を得た、エージェントは、MobiControlサーバにアクセスします。そして、登録用サーバアドレスのサブディレクトリ部分をサーバに提示します。 MobiControlサーバは、提示された登録用サーバアドレスのサブディレクトリから、それにに紐づけられた端末登録ルールを認識します。そして、その端末登録ルールが指定した端末グループに、端末を登録します。

A-2. 端末登録ルールと端末グループの関係

MobiControlの端末グループは、企業/団体の組織構造を反映して、階層構造とすることができます。

MobiControl設定を、総覧的にご理解いただくために「MobiControlの設定順序」のページを、お読みください。
端末の設定分野には「構成プロファイル」と「ルール」と「詳細設定」があります。詳しくは、構成プロファイルとルールと詳細設定を参照ください。

例えば「本部」「部」「課」の階層構造の場合だと、「課」単位の端末グループ毎の端末登録ルールを作成します。「端末登録ルール以外のルール」「構成プロファイル」及び「端末の詳細設定」は、端末グループ別に適用します。これらは上位の端末グループ(本部など)に適用し、多くの端末に一括適用することもできますが、最下位グループ(課など)に適用し、最下位グループ別に細かく適用することもできます。
そのために、端末登録ルールは、最下位グループ別に作成しておく必要があります。

例外として、「部」単位の端末登録ルールを作ることもできます。そして、部長席のユーザの端末は、「部」単位の端末登録ルールに則って登録することもできます。「本部長席」のユーザの端末に対しても同様に「本部」単位の端末登録ルールを作成します。

同じ端末グループを対象に、複数の端末登録ルールを作成し、端末に適用させることができます。例えば、同じ端末グループに登録することを目的としながらも、「Android Plus」のモードで登録する端末宛の端末登録ルールと、「Android Enterprise」のモードで登録する端末宛の登録ルールを、別々に作成できます。

A-3. 端末IDから登録用URLを取得

登録用URLは、貴社が使用するMobiControlサーバのアドレスとサブディレクトリ(パス)から構成されます。

登録用URL

端末のアクセスを受けたMobiControlサーバは、このサブディレクトリで、紐づけられた端末登録ルールを認識します。そして、端末登録ルールが指定した端末グループに、端末を登録します。

(図A2)

登録IDの入力で登録する場合は、端末は、次の手順で、登録用URLを取得し、MobiControlサーバに申告します。

最初に、クラウドにあるSOTI Enrollment Serviceにアクセスし、登録IDを申告します。
端末は、SOTI Enrollment Serviceから、登録IDに連関する登録URLを取得します。
端末は、取得したURLに基づき、MobiControlサーバにアクセスします。

MobiControlサーバは、登録用URLのサブディレクトリ部分から、紐づけられた端末登録ルールを認識します。そして、その端末登録ルールが指定した端末グループに端末を登録します。

(図A1)のMobiControlエージェントの登録画面で、登録用URLを入力した場合は、上記の

と

をスキップし、

から登録手順を始めます。

端末が、閉域網にある場合は、インターネットに接続できないので、SOTI Enrollment Serviceにアクセスできません。その場合は、(図A1)のMobiControlエージェントの登録画面で、登録用URLを入力します。
その登録用URLは、イントラネットのDNSサーバが発行したサーバURLと、MobiControlサーバが作成するサブディレクトリ部分で構成されます。
イントラネットのDNSサーバが無い場合は、イントラネットのIPアドレスがサーバアドレスになります。

A-4. Android端末の設定モードは、2種類に大別

Android端末の設定モードは、2種類に大別されます。その内、Android Enterpriseは、更に2種類の設定モードに分けられます。

Android Plus
Android Enterprise
- b-1. Device Owner Mode
- b-2. Profile Owner Mode

左の設定モードの違いについては、
「Android Plus」と「Android Enterprise」
を参照ください。

A-5. MobiControlエージェントのダウンロード元

端末のセットアップは、MobiControlエージェント(APKファイル)のダウンロードとそのインストールから始まります。適用できるダウンロード元を、下表に示します。

登録モード	ダウンロード元	インターネットに接続可能
登録モード	ダウンロード元	端末のネットワーク環境
Android Plus	SOTIのダウンロードサイト
	MobiControlサーバ
	MobiControlサーバ	注
Android Enterprise	Google Play
	MobiControlサーバまたはイントラネットのファイルサーバ
	MobiControlサーバまたはイントラネットのファイルサーバ	通常は、適用しない

注推奨。理由は、MobiControlエージェントのバージョンアップが容易だから。但し、v14.3以降で本格的な適用が可能。

A-6. 管理者用Googleアカウント

上の表で、水色のセルに該当する場合、つまり、閉域網にない端末を、 Android Enterpriseモードに設定する目的で、端末登録ルールを作成する際は、事前に、管理者用Googleアカウントを取得しておく必要があります。管理者用Googleアカウントには、下表のように2種類があります。

	貴社のAD_DSのGoogleとの連動	アカウント取得方法
managed Google アカウント	必要	「G. Suiteアカウントの作成と Googleとのバインド」を参照
managed Google アカウント	注	「G. Suiteアカウントの作成と Googleとのバインド」を参照
managed Google Playアカウント	不要	「managed Google Play アカウントの作成」を参照

注 AD_DS:Active Directory Domain Service。
端末ユーザのAD_DSのUPNが、登録した端末でのGoogleアカウントになります。

A-7 登録時に、認証サービスで認証させるかどうか

端末ユーザが、認証サービスのグループのメンバーであるかどうかを確認するために、端末を登録するプロセスで、認証サービスによる認証をさせることができます。
認証サービスには、「ディレクトリサービス」と「IDプロバイダ」の2系統があります。

ディレクトリサービス	オンプレミス	AD_DS、Dominoなど
ディレクトリサービス	クラウド	Azure AD
IDプロバイダ	オンプレミス	AD_FS、AD_FS以外
IDプロバイダ	クラウド	Azure IdP、Azure IdP以外

AD_DS:Active Directory Domain Service
AD_FS:Active Directory Federation Service
AD_FS以外のIDプロバイダ:Okta、PingFederateなど

ディレクトリサービスによる認証をさせるには、端末登録ルールの作成の前に、「ディレクトリサービス接続プロファイル」を作成しておきます。
IDプロバイダによる認証をさせるには、端末登録ルールの作成の前に、「IDプロバイダ接続プロファイル」を作成しておきます。
認証サービスによる認証をすることによるメリットについては、「認証サービスによる認証」を参照ください。
端末登録時には、認証サービスによる認証操作をスキップし、後に、端末ユーザ自身で、認証操作をして貰うこともできます。
1. キッティング時には、認証サービスによる認証を不要とする端末登録ルールで登録
2. 認証サービスによる認証を必要とするように、該当の端末登録ルールを編集(修正)
3. コンソールで、端末を一時的に登録解除
4. 端末では、MobiControlへの登録画面が表示されるので、「登録」ボタンを押す。登録IDまたは登録用URLの入力を不要にすることもできます。「端末での登録解除の禁止」を参照。
5. 端末は認証サービスにリダイレクトし、その認証画面を表示します。端末ユーザがユーザ名とパスワードを入力します。そして、MobiControlに再登録されます。

A-8 構成プロファイルは、認証サービスのユーザグループを割当て対象にできる

構成プロファイルは、端末単位や端末グループ単位で、割り当てることができますが、認証サービスのユーザグループにも割り当てることができます。
1つのユーザグループに、MobiControlの複数の端末グループをマッピング(紐づけ)させておくことができます。その場合、1つのユーザグループに、割り当てられた構成プロファイルは、マッピングしてある全ての(MobiControlの)端末グループの端末に、配布され、展開されます。

(図A3)
「認証サービスのユーザーグループ」に割り当て

A-9 端末グループの指定方法

端末登録ルールの作成では、次の選択肢画面が現れます。

(図A4)

端末の登録先となる端末グループを指定する方法には、次の3種類があります。
(図A4)で、次の3つの選択肢のどれかを選択します。

端末登録ルールで、端末グループを直接指定
- a-1 認証サービスによる認証をしない
- a-2 認証サービスによる認証をする
認証サービスのグループを指定し、端末グループを間接的に指定
(認証サービスのグループを端末グループにマッピングしておく)

a-1 と a-2 の場合は、(図A4)で「手動」を選びます。
b.の場合は、(図A4)で、「ユーザーグループメンバーシップに基づく」を選びます。

端末登録ルールの作成に当たっては、下表の(1)から(12)の、どの選択肢を選ぶかを、事前に決定しておく必要があります。

登録モード		a-1	a-2	b.
登録モード		端末グループの指定方法
Android Plus		(1)	(2)	(3)
Android Enterprise	managed Google Playアカウント	(4)	(5)	(6)
	managed Google アカウント	(7)	(8)	(9)
	管理者用Googleアカウントを不使用。端末が閉域網内。	(10)	(11)	(12)

B. 端末登録ルール名の入力

(図B1)
	(図B1)のAndroid端末のルールの一覧を表示するには、 Android端末のルールの設定を参照ください。 (図B1)で、「端末の登録」を右クリックすると、「端末登録ルールの作成」の文字列が現れます。これをクリックすると、(図B2)の設定ダイアログがポップアップします。

端末登録ルール名の入力画面(図B2)が現れます。

(図B2)

赤い背景色の部分に、ルール内容を連想しやすい文字列を入力します。
(図B3)は、そのサンプルです。

(図B3)

名前の入力が終われば「次へ」のボタンを押すと(図C1)が現れます。

C. 登録先端末グループの指定

(図C1)

ここで、次の3つの選択肢のどれかを選択します。

(図C1)で「手動」
端末登録ルールで、端末グループを直接指定
- a-1 認証サービスによる認証をしない -->C-1
- a-2 認証サービスによる認証をする -->C-2
(図C1)で、「ユーザーグループメンバーシップに基づく」
認証サービスのグループを指定し、端末グループを間接的に指定
(認証サービスのグループを端末グループにマッピングしておく) -->C-3

下記の

をクリックください。

	説明を開いた状態
	説明を閉じた状態

C-1. 端末グループを直接指定。認証サービスによる認証をしない

端末のMobiControlへの登録時(キッティング時)に認証サービスに対するユーザ名と
パスワード入力画面が、表示されません。

端末登録ルールを適用する端末グループを選択

(図C1)で、「手動」を選択すると、(図C2)が現われます。「端末グループの登録」ダイアログで作成した端末グループが階層構造で表示されます。現在作成中の端末登録ルールの対象グループを選択します。

(図C2)

前述したように、基本的には、最下位の端末グループを指定することが適切です。「次へ」を押すと、(図C3)が現われます。

端末登録時に、パスワード入力を要求するか否かの選択

(図C3)
(図C3)で、次のラジオボタンのどちらかにチェックを入れます。
1. 端末登録時に、ここで設定するパスワードの入力を要求する
2. 端末登録時にパスワードの入力を要求しない
- a.を選択した場合、パスワード欄にパスワードを入力します。このパスワードは端末の登録の際だけに入力要求がされます。端末を登録する人に、このパスワードを連絡しておきます。登録した後に、端末をMobiControlサーバに接続させるときには、入力の要求はされません。
- b.を選択すると、登録作業が簡単になる反面、「登録用URL」を知っている人間の端末なら誰でも登録されてしまう危険があります。もし、キッティング作業の関係でパスワードの入力の手間を避けたい場合は、後述するIPアドレスフィルタと併用するとよいでしょう。その場合、社内の特定のSSID/WiFiに接続し、指定のIPアドレスを割り当てられている端末のみが登録できます。 MobiControlサーバがSaaSの場合、グローバルIPアドレスである必要があります。
  詳しくは、IPアドレスフィルタを参照ください。
パスワードの入力または、選択が終わると、「次へ」ボタンを押します。(図D1)に画面遷移します。

C-2 端末グループを直接指定。認証サービスによる認証をする

端末のMobiControlへの登録時に、認証サービスに対するユーザ名と
パスワード入力画面が表示されます。

端末登録ルールを適用する端末グループを選択

(図C1)で、「手動」を選択すると、(図C4)が現われます。
「端末グループの登録」ダイアログで作成した端末グループが階層構造で表示されます。現在作成中の端末登録ルールの対象グループを選択します。

(図C4)

前述したように、基本的には、最下位の端末グループを指定することが適切です。「次へ」を押すと、(図C6)が現われます。

認証サービスのグループを指定
(図C4)で指定した、「MobiControlの端末グループ」に登録できる「認証サービスのグループ」を、(図C6)で指定します。

(図C5)

(図C5)の例の場合なら、認証サービスの「グループA」のメンバーであることを認証されたら、その端末は、MobiControlの端末グループ「営業1課」に登録されます。
認証サービスの複数のグループを指定できます。「認証サービスのグループ」を複数指定した場合、ユーザが、当該の「認証サービスのグループ」のどのメンバーであっても、その端末は(図C4)で指定した「MobiControlの端末グループ」に登録されます。
(図C5)の例の場合なら、認証サービスの「グループB」、「グループC」のどちらかのメンバーであることが認証されたら、その端末は、MobiControlの端末グループ「営業2課」に登録されます。

認証サービスの種類については、「A-7 登録時に、認証サービスで認証させるかどうか」を参照ください。
- ディレクトリサービスによる認証をさせるには、端末登録ルールの作成の前に、「ディレクトリサービス接続プロファイル」を作成しておきます。
- IDプロバイダによる認証をさせるには、端末登録ルールの作成の前に、「IDプロバイダ接続プロファイル」を作成しておきます。
(図C6)
(図C6)で、「デバイスの登録時にユーザーグループを使用してください。」のラジオボタンにチェックを入れます。
続けて、「ディレクトリサービス」か「IDプロバイダ」のどちらかにチェックを入れます。
- 右端をプルダウンすると、接続プロファイルの名前が表示されます。「ディレクトリサービス」を選択したら、ディレクトリサービス接続プロファイルの名前のリストが表示されます。
  「IDプロバイダ」を選択したら、IDプロバイダ接続プロファイルの名前のリストが表示されます。
  適用しようとする接続プロファイルの名前を選択します。(図C6)の「AD_Link」は、接続プロファイル名のサンプルです。
- 認証サービスのグループの名前を入力してから、右端の「Add」を押します。
  グループの名前の文字列全てを入力する替わりに、最初の4文字を入力してから「Add」を押すと、候補となるグループ名が表示されます。
- 認証サービスの入力したグループ名が表示されます。
  MobiControlサーバから認証サービスのサーバまで、問い合わせをしますから、表示されるまで、時間がかかります。
もし、認証サービスの複数のグループのメンバーの端末を、(図C4)で指定したMobiControlの端末グループに登録したい場合は、に、2番目のグループ名を入力します。
(図C7)は、「Sales T2」と「Sales T3」という名前の認証サービスのグループを、登録した例です。認証サービスの、ここに登録したグループのメンバーの端末が、(図C4)に指定したMobiControlの端末グループに登録されます。
もし、どちらかのグループを削除する場合は、グループ名の右横のX印をクリックします。
(図C7)

(図C6)での、入力が終われば、「次へ」を押します。(図D1)に画面遷移します。

C-3 端末グループに、認証サービスのグループをマッピングする

端末のMobiControlへの登録時に、認証サービスに対するユーザ名と
パスワード入力画面が表示されます。
1つの端末登録ルールの適用で、複数の端末グループへの振り分け登録ができます。

(図C8)

(図C9)

端末ユーザが所属する認証サービスグループに対し、MobiControlの端末グループを 1 対 1 でマッピングします。
(図C8)の例では、認証サービスの「グループA」のメンバーが、端末登録時にサインオンすれば、端末は、「営業1課」に登録されます。
端末登録ルールでは、1つの登録用URLが生成されます。
同じ登録用URLを入力しても、認証サービスの「グループB」のメンバーが、端末登録時にサインオンすれば、端末は、「営業2課」に登録されます。
つまり、この場合は、1つの端末登録ルールで、複数の端末グループへの登録を設定できます。
認証サービスのグループが、大ぐくりで、MobiControlの端末グループに、1対1で対応できない場合があります。その場合は、(図C9)のように、MobiControlの端末グループ毎に、端末登録ルールを作成します。
認証サービスの種類については、「A-7 登録時に、認証サービスで認証させるかどうか」を参照ください。
- ディレクトリサービスによる認証をさせるには、端末登録ルールの作成の前に、「ディレクトリサービス接続プロファイル」を作成しておきます。
- IDプロバイダによる認証をさせるには、端末登録ルールの作成の前に、「IDプロバイダ接続プロファイル」を作成しておきます。
(図C1)で、「ユーザーグループメンバーズシップに基づく」を選択すると、(図C10)が現われます。
(図C10)で、認証サービスのグループにマッピングするMobiControlの端末グループをマッピング(連携)させます。
マッピングすることの意義は、「A-8 構成プロファイルは、認証サービスのユーザグループを割当て対象にできる」を参照ください。
(図C10)
(図C10)の上辺には、「ディレクトリサービス」と「IDプロバイダ」の2種類のラジオボタンがあります。どちらかを選択します。
- 右端をプルダウンすると、接続プロファイルの名前が表示されます。「ディレクトリサービス」を選択したら、ディレクトリサービス接続プロファイルの名前のリストが表示されます。
  「IDプロバイダ」を選択したら、IDプロバイダ接続プロファイルの名前のリストが表示されます。
  適用しようとする接続プロファイルの名前を選択します。(図C10)の「AD_Link」は、接続プロファイル名のサンプルです。
- 認証サービスのグループの名前を入力してから、右端の「Add」を押します。
  グループの名前の文字列全てを入力する替わりに、最初の4文字を入力してから「Add」を押すと、候補となるグループ名が表示されます。
  MobiControlサーバから認証サービスのサーバまで、問い合わせをしますから、表示されるまで、時間がかかります。
欄で入力した認証サービスのグループの名前は、(図C11)の欄に表示されます。 (図C11)のの「Sales T3」は、認証サービスのグループ名のサンプルです。
(図C11)

(図C11)で、認証サービスのグループにマッピングするMobiControlの端末グループを選択します。
(図C11)の欄の右端をプルダウンすると、(図C12)のように MobiControlの端末グループが階層構造で表示されます。

(図C12)

(図C12)の欄で、MobiControlの端末グループを選択すると、(図C13)のように画面が遷移します。

(図C13)

(図C13)は、認証サービスの「Sales T2」という名前のグループが、MobiControlの端末グループである「営業第2部」にマッピングしていることを意味します。認証サービスの「Sales T2」のメンバーの端末は、MobiControlの端末グループ「営業第2部」に登録されます。
同時に、構成プロファイルが、認証サービスのグループ「Sales T2」に割り当てられたら、それは、MobiControlの端末グループ「営業第2部」の端末に展開されます。
追加的に、認証サービスの他のグループのマッピングを行います。(図C10)ので、再度、認証サービスの他のグループの名前を入力してから、右端の「Add」を押します。
以下、(図C11)と(図C12)と同じ作業をします。これで、認証サービスの複数のグループを、MobiControlの端末グループへマッピングできます。これで1つの端末登録ルールの登録IDを、MobiControlに提示するのに拘らず、登録する端末は、認証サービスのグループに基づき、各々のマッピングされた端末グループに振り分け登録されます。
複数のグループのマッピングをした後に、そのどれかを削除したいときがあります。その際は、該当するグループを選択してから、(図C13)の左下の「削除」ボタンを押します。
(図C13)での作業が終われば、「次へ」を押します。「次へ」を押すと、(図C14)に画面遷移します。

SSL(TLS)通信に関する証明書

(図C14)

端末とMobiControlサーバとの間のSSL(TLS)通信に使う証明書を規定します。 MobiControl内部CAを使う場合は、「次へ」を押します。「次へ」を押すと、(図E1)に画面遷移します。

D. 利用規約の入力

端末を登録するプロセスで、端末に「利用規約」を表示するか否かを選択します。表示する場合は、「利用規約」の文章ファイルをインポートします。

「利用規約」は、端末ユーザがMobiControlを利用することに伴う権利義務と MobiControlが端末を管理する事柄を記述した文章です。「会社支給端末を紛失したら、すぐに会社に届けること」とか「私物端末でも、紛失したら、端末をリモートWIPE(初期設定にもどす)をし、プライベートデータも削除すること」などの条項を記述しておきます。
端末を登録するプロセスで、端末に「利用規約」を表示します。そして、端末ユーザの同意を取得します。特に私物端末を登録する際に、端末データの取り扱いに関して、同意を得ておくことが望ましいと判断した場合、この利用規約を設定します。

利用規約を表示するか否かの選択

(図C4)の上辺の「端末登録時に利用規約への同意を求める」にチェックを入れないと、「利用規約」は、表示されません。

(図C4)

「利用規約」を表示するためには、まず、その文章を作成しておきます。文字のエンコーディングは、Unicodeとします。また、文章は、HTMLまたはText形式で記述します。
「利用規約」を表示するためには、(図C4)の上辺にチェックを入れ、「管理」ボタンを押します。(図C5)が現われます。

(図C5)

新規に利用規約を登録するには、「追加」を押します。(図C6)が現われます。

利用規約本文のファイルをインポート

(図C6)

利用規約の名前を入力します。利用規約本文は、予め作成しておき、コンソールコンピュータ内に保存しておきます。ソース欄の右の「参照」を押すと、コンソールコンピュータのExploreが開くので、保存先フォルダを検索し、該当ファイルをクリックします。利用規約本文のファイルがインポートされます。「プレビュー」を押すと、どのように表示されるかがポップアップします。
ファイルのインポートが終わると「OK」を押します。 (図C5)に、利用規約の名前が表示されます。
(図C5)の「閉じる」を押すと、(図C4)に戻ります。
(図C4)の「利用規約を選択」欄の右端をプルダウンすると、利用規約の名前のリストが表示されます。適用しようとする利用規約の名前を選択します。

これで、「利用規約」を登録しようとする端末の画面に表示する準備ができました。
(図C4)で、「次へ」をします。「次へ」を押すと、(図E1)が現れます。

E. 管理者用Googleアカウントの選択

端末を「Android Enterprise」モードとして設定する場合の、管理者用Googleアカウントを選択。
「Android Plus」モードとして設定する場合は、スキップ。

(図E1)は、端末をAndroid Enterpriseモードとして設定するときのみの選択肢です。
Android Plusモードとして設定するときは、(図E1)のどの選択肢を選んでも、影響はありません。
管理者用Googleアカウントには、2種類あります。どちらを使って、端末をGoogleに登録するかを(図E1)で指定します。

(図E1)

下表を参考にして、

、

のどれかを選択します。


管理者用Google アカウント	managed Google アカウント	managed Google Play アカウント	管理者用Google アカウントを使わない
AD_DSまたはAzure ADをGCDS(Google Cloud Directory Sync)ツールを使ってGoogleとの連動	必要	不要
登録時にAD_DSまたはAzure_ADによる認証画面	現れる	現れない
managed Google Playのアプリの端末への配布	可能		不可能
端末がインターネットに接続できる環境か否か	接続できる環境		閉域網でも運用可能。アプリはパッケージで配布。
管理者用Googleアカウント取得方法	「G. Suiteアカウントの作成とGoogleとのバインド」を参照	「managed Google Playアカウントの作成」を参照
端末のGoogleアカウント	AD_DSまたはAzure ADのUPN	端末登録時に付与される。コンソールの「端末の詳細」タブを開くと、右下に記載されている「AndroidのID」	付与されない

を選択した場合は、 (図E1)の赤矢印部分をプルダウンします。「企業」名の一覧が表示されるので、そのどれかを選択します。「企業」は、 managed Google Playアカウントを取得するときに、Googleに届出をした時の文字列です。
1つのアカウントに対し届出できる「企業」は1つです。但し、複数のアカウントを申請すれば、複数の「企業」をGoogleに届出できます。
本部別、店舗別などに、複数の「企業」を届出できます。そうすると、managed Google Playのアプリ群を、本部別、店舗別に異なるものにすることができます。
Android Enterprise Device Owner モードでは、一般のGoogle Playにはアクセスできません。アクセスできるのは、managed Google Playだけです。 managed Google Playには、管理者用Googleアカウントを保有している人が指定したアプリしか掲載されていません。
個人的なGoogleアカウントでは、managed Google Playには、アクセスできせん。
Android Enterprise Profile Owner モードでは、業務領域で、managed Google Play にアクセスできます。
個人的なGoogleアカウントで、一般のGoogle Playにもアクセスできます。
を選択しての端末登録ルールで登録した端末には、 managed Google Playストアやアプリカタログを使ってのアプリの配布ができません。替わりに、アプリをパッケージ化して配布します。
インターネットから遮断された閉域網にある端末の場合に適用します。

(図E1)での選択が終われば、「次へ」を押します。(図F1)が現れます。

F. Android Plusのエージェントの取り込み

「Android Plus」用のMobiControlエージェントアプリを、SOTIのサイトからMobiControlサーバに取り込みます。
端末を「Android Enterprise」モードとして設定する場合は、スキップ。

(図F1)

端末をAndroid Enterpriseとしてセットアップする場合は、(図F1)の下辺の「次へ」を押します。
Android Plusとしてセットアップする場合は、 (図F1)で、「サーバーから直接ダウンロードする」にチェックを入れます。(図F3)に遷移します。
この「サーバーから直接ダウンロードする」とは、「Android Plusのエージェントを、端末がMobiControlサーバからダウンロードできるように準備をする」ことを指します。

(図F2)

ここでは、(図F2)のA の作業を実施します。
これを実施できるのは、MobiControlサーバのバージョンが、v14.3.以上である必要があります。
Android Plusの最新バージョンのエージェントは、SOTIのサイトに格納されています。これを、MobiControlサーバに取り込みます。
端末のセットアップは、MobiControlのエージェントのダウンロードから始めます。 MobiControlサーバに、エージェントを取り込み済の場合、端末は、Bのように、MobiControlサーバからエージェントをダウンロードします。詳しくは、「Android Plus: エージェントのインストールと登録」のページの「方法1. エージェントのダウンロード元が、MobiControlサーバ」を参照ください。
A と Bの組み合わせは、エージェントのバージョンアップの際に便利です。新しいバージョンをAで取り込めば、端末群に向けて、一斉にプッシュ配布できるからです。
プッシュ・アップデートの方法は、「Android端末に働きかける」のページの「1. エージェントのアップデート」を参照ください。
MobiControlサーバのバージョンが、v14.2.以下の場合は、(図F1)や(図F3)の作業はせずに、下辺の「次へ」のボタンを押します。 MobiControlサーバのバージョンが、v14.2.以下の場合は、(図F2)のCに相当する作業を、端末側で実施します。詳しくは、「Android Plus: エージェントのインストールと登録」のページの「方法2. エージェントのダウンロード元が、SOTIのサイト」を参照ください。
この場合は、エージェントバージョンのプッシュ・アップデートはできません。個別端末毎に、SOTIのサイトから、新しいバージョンのエージェントをダウンロードします。

(図F3)

(図F3)の下辺の「エージェントの管理」ボタンを押します。(図F4)がポップアップします。

(図F4)

(図F4)には、SOTIサイトに格納してある、Android Plusの全ての端末メーカー及びその端末モデルが表示されます。これから端末に展開する、端末メーカーと端末モデルを選択します。端末メーカーの横向き三角をクリックすると、端末モデルのリストが現れます。
例えば、(図F4)で、Epson Moverio BT-350 という端末モデル名に、のマークがついています。これは、MobiControlサーバ側には、Epson Moverio BT-350対応のエージェントが無いことを示しています。
この場合、「追加」のボタンを押すと、MobiControlサーバは、SOTIのサイトから、そのエージェントを取り込みます。
これが、(図F2)でのAの作業に相当します。

取り込みが終わると、(図F3)の該当の端末モデル名に対応するエージェントが、最新バージョンのものに変わります。端末メーカーの横向き三角をクリックすると、端末モデルのリストが現れます。もし、そのエージェントを端末に展開するのなら、(図F3)でチェックを入れます。
(図F3)に表示されている端末メーカーのリストは、貴社のMobiControlサーバに格納してあるエージェントの端末メーカーとそのモデルのリストになります。
貴社で展開しない端末メーカーにチェックを入れることもできますが、端末側での選択肢が多くなり、煩雑になります。
今、作成中の端末登録ルールで、登録する予定の端末のメーカーと端末モデルに限定してチェックを入れます。
なるべく端末モデル数を少なくしておいた方が、端末側での選択肢が少なくなり、インストールがラクになります。
(図F3)での、チェックが終われば、下辺の「次へ」を押します。「次へ」を押すと、(図G1)が現れます。
Android端末へのプラグインのインストールを、参照ください。

G. 端末の名前の表示形式

コンソール画面に表示する端末の名前の表示形式を指定します。

(図G1)

端末の名前は、固定文字列と、端末毎に異なるパラメータ文字列の組み合わせとします。
(図G1)の例では、Android が固定文字列です。任意の文字列に変更しても結構です。
入力欄の右端の歯車アイコンをクリックすると、端末名のパラメータに対応するマクロ文字列のリストが表示されます。
どれかを選択すると、入力欄に反映されます。 (図G1)の例では、「連番の自動割り当て」を選択しています。
下表がマクロ文字列の説明です。複数のマクロ文字列を選択することも可能です。

	選択肢	マクロ
1	IMSI(International Mobile Subscriber Identity)Number 国際携帯機器加入者識別情報番号。15桁の数字	%IMSI%
2	ESN(Electronic Serial Number for Motorola devices) モトローラ製品電子連続番号。11桁の数字	％ESN%
3	IMEI(International Mobile Equipment Identity)Number 国際移動体装置識別番号。15桁の数字	%IMEI%
4	ICCID(Integrated Circuit Card Identifier)	SIMカードに固定的に割り当てられている番号
5	電話番号	%PHONENUMBER%
6	端末のIPアドレス	%IP%
7	連番の自動割り当て登録順に1から順に番号を割り当てる	%AUTONUM%
8	端末のMACアドレス (WiFiモデムのMACアドレス)	%MAC%
9	端末のシリアル番号メーカーが出荷時に附番する番号	%SERIALNUM%
10	端末のOS	%PLATFORM%
11	端末のモデル	%MODEL%
12	端末メーカー	%MANUFACTURER%
13	登録時のユーザのユーザ名	%EnrolledUser_Username%
14	登録時のユーザのドメイン	%EnrolledUser_Domain%
15	登録時のユーザのプリンシパルネーム	%ENROLLEDUSER_UPN%
16	登録時のユーザのメールアドレス	%EnrolledUser_Email%
17	所有者が命名した端末名	端末内に保存されているニックネーム
18	ロック画面メッセージ

1から5までは、携帯電話会社での開通をした端末で有効。いわゆるWiFi専用モデルでは、無効。
13から16は、端末登録時に、認証サービスによる認証を受けた端末にのみ有効
17は、デフォルトでは端末モデルの文字列。端末ユーザがGoogle Playにアクセスし、「設定」ボタンを押すと同じGoogleアカウントの端末一覧が表示されます。その一覧の端末毎の「編集」を押すと、名前(ニックネーム)を変更できます。それが「所有者が命名した端末名」です。
18は、「設定」-->「セキュリティ」-->「ロック画面メッセージ」で、端末ユーザが入力した文字列です。

複数のマクロ文字列を選択することが可能です。例えば、
「端末のモデル」と「数字の順番を自動的に割り当て」を選ぶと、
この欄は、 %MODEL% %AUTONUM%
と表示されます。この% %で囲まれた文字列が、マクロです。
実際の端末の定型端末名は、例えば、
SC-04E 00001
のようになります。続いて、この定型端末名の形式で2番目に登録された定型端末名は
SC-04E 00002 となります。

(図G1)の下辺で、「次へ」を押すと、(図H1)に画面遷移します。

H. 設定内容の確認

今までの設定内容が表示されます。この内容で良ければ、「終了」を押します。修正をする場合は、「戻る」を押します。

(図H1)

I. 登録IDの生成

(図H1)で「終了」を押すと、(図I1)が表示されます。この時点で、端末登録ルールの作成は終了しました。

(図I1)

端末をキッティングする人に、(図I1)の登録IDと登録用URLを連絡します。 (図I1)で、「メールで登録IDの通知」ボタンを押すと、コンソールでメーラーが起動します。本文に、登録IDと登録用URLが記されています。(図C3)で登録時のパスワードを設定した場合は、そのパスワードも連絡します。
キッティングをする人のメールアドレスを入力して、送信します。

(図I2)

(図I2)は、登録IDの発行と、それを端末がMobiControlサーバに提示するまでのプロセスを示しています。
(図H1)で「終了」を押すと、(図I2)の

から

までが実行され、(図I1)が表示されました。
続けて、(図I1)で、「メールで登録IDの通知」ボタンを押すことは、

を実行することです。

J. 登録IDと登録用サーバアドレス

作成した端末登録ルールの名前にマウスを載せると、その端末登録ルールの内容が(図J1)のように表示されます。 MobiControlサーバが閉域ネットワークにあるときは、(図J1)では、登録IDは表示されません。しかし、「端末登録サイトのURL(登録用サーバアドレス)」は、イントラネットのDNSサーバのURL、または、プライベートIPアドレスに、サブディレクトリが付与された型式となります。

(図J1)

K. 作成済の端末登録ルールの編集その他

(図K1)

(図K1)で、対象となる端末登録ルールを右クリックすると、(図K1)のようなメニューが現れます。

作成済の端末登録ルールの中身を修正する場合は、「ルールの編集」を選択します。「ルールの対象グループ」、「登録時の認証方式」、「利用規約書」、「適用期間」などを修正することができます。
「登録ID発行の停止」を選択すると、中央ペインの登録IDの部分が空白になります。更にプルダウンメニューの「登録ID発行の停止」が「登録ID発行の開始」に変ります。(図K2)参照

(図K2)

(図K2)で「登録ID発行の開始」を押すと、新しい登録IDが発行されます。今後は、この新しい登録IDを使わないと新規に端末を登録できなくなります。
この登録IDの再発行は、セキュリティ対策上、次のような場合に役立ちます。部外者が登録IDを知ると、Mobicontrolに自分の端末を登録できてしまうからです。登録IDを時々、変えると、このようなリスクを防げます。

(図K3)

「ルールの適用中止」を選択すると、臨時的に、その登録IDでは登録できなくなります。登録済の端末がMobiControlの管理外になるということではありません。また、端末登録ルールが削除された訳ではありません。
「ルールの適用中止」を選択すると、この文字列が「ルールの適用開始」に変わります。これを押すと、当該ルールの適用が再開します。
「ルールの削除」を選択すると、当該ルールは削除されます。復活はできません。

L. エージェントに対するプラグインを配布

端末の登録が終わったら、端末に対してエージェントに対するプラグインを配布してください。
プラグインをインストールすると、端末の管理機能が強化されます。

プラグインを適用してないAndroid Enterprise端末に対しては、端末画面のリモートビューは、可能ですが、端末画面のリモート操作はできません。プラグインを適用することで、端末画面のリモート操作が可能になります。

詳しくは、「Android端末へのプラグインのインストール」を参照ください。

M. 端末登録ルールの詳細設定

*端末が所属する端末グループを移動後、端末の登録一時解除 --> 端末の再登録をした場合に、移動後の端末グループに再復帰させるか否か
*上記の場合に、コンソールに表示する端末名も継承するか、新しくするか
*WiFiの特定のIPアドレス・レンジ内でしか、端末を登録できないようにする

(図H1)の右下の「詳細設定」を押すと、(図M1)が現われます

M-1. 適用期間の設定

オプションとして、端末登録ルールの適用期間を設定します。例えば、

MobiControlの社内展開日がまだ先の場合は、開始日時を設定できます。
端末の登録終了日を設定する場合、その日時を入力します。
この終了日で登録は終ります。この日以降、この登録IDでの登録はできなくなります。
しかし、登録済の端末によるMobiControlの利用は継続します。
セキュリティ上の観点から、キッティング完了予定日を「適用終了日時」にします。

(図M1)

M-2. 登録のオプション

(図M1)の下段の項目を説明します。

項目の文字列	説明
ルールの適用	チェックを外すと、端末登録ルールは存在しても、対象の端末グループへの新規登録は拒否します
再登録時に元の端末グループに所属させる	端末が所属する端末グループを移動させることがあります。その後に、、端末側操作またはコンソール操作で、MobiControl登録を一度解除し、登録時と同じ登録ID(または登録用URL)で、再度、登録させることがあります。ここにチェックを入れておくと、端末は、登録解除直前の端末グループに復帰して、再登録されます。チェックを入れておかないと、端末は、登録ルールで指定した端末グループ(図C2)、(図C4)、(図C13)に、再登録されます。軍隊用語での、原隊復帰です。端末の再登録に伴う復帰については、「端末での登録解除の禁止」を参照ください。端末は、コンソールにより、他の端末グループに移動させることができます。また、端末は、アラートルールの発動で端末グループを移動させられることもあります。
SHA-1クライアント証明の配布を強制	MobiControl v14.x は、サーバと端末との間の暗号化通信プロトコルに、SHA-2 による TLS1.2 を採用しています。端末がSHA-2をサポートしてない場合に、ここにチェックを入れます。
SafetyNet認証失敗でも登録	Androidにデフォルトで搭載されているセキュリティ対策メカニズムであるSafetyNetにより、MobiControlが認証されない場合があります。しかし、ここにチェックをいれると、それでも登録が実行されます。
パスワードをキャッシュに入れる	AD_DS(Active Directory Domain Service)で本人認証をして、端末を登録するとします。その場合、登録作業中の10分間に限り、ADのパスワードをサーバにキャッシュ保存します。 AD_DSの認証を必要とする、WiFi、VPN、またはEメールの登録に関する構成プロファイルが、すでに当該端末グループに割り当てられているとします。その構成プロファイルには、パスワード入りで端末に配布されます。従って、端末が、WiFi、VPN、またはEメールを利用とするときに、 AD_DSのパスワード入力画面がポップアップしません。
登録ID発行の開始	チェックを外すと、(図30)の「登録IDの発行開始」を選択しても、登録IDの発行はできなくなります。
再登録で端末名を保持	端末側またはコンソール側操作でMobiControl登録を一度解除し、再度、登録することがあります。その場合、ここにチェックを入れておくと、登録解除前の端末名で、再登録されます。

M-3. IPアドレスフィルタ

(図M1)の「ルールフィルタ」の新規ボタンをドロップダウンします。この中のIPアドレスフィルタを選択します。(図M2)がポップアップします。

(図M2)

IPアドレスフィルタとは、端末の登録時の端末のIPアドレスが、(図34)で設定したIPアドレスの範囲内であるときでないと、MobiControlに登録できなくするようにすることです。
例えば、社内の特定の場所を電波カバーする無線LANの提供するIPアドレスの範囲を指定します。そうすると、端末は地理的に社内のその場所でないと、登録できなくなります。
社外での登録を防ぐことでセキュリティ強度が増します。特にそのIPアドレスがグローバルIPアドレスだと一意性を持つので、益々、セキュリティ強度が高まります。
登録後、当該端末を社外で使っても、なんら問題なくMobiControlサーバに接続でき、MobiControlの管理対象とできます。

M-4. 端末登録時に端末のOSのバージョンを指定

(図M1)の「ルールフィルタ」の新規ボタンをドロップダウンします。この中の「デバイスプロパティ・フィルタの追加」を選択します。(図M3)がポップアップします。

(図M3)

登録する端末のAndroid OSバージョンを指定できます。不等号記号を使って、指定のバージョンより上とか下を指定できます。