Windows Modern端末登録ルールの作成
1. ADのグループを媒介にMobiControlに登録
Windows Modernの端末登録ルールの主目的は、MobiControlの端末グループを、 AD_DS(Active Directory Domain Service)のグループに紐づけることです。
MobiControlは、登録を試みるWindows 10 PC のユーザが所属するAD_DSのユーザ名とグループを認識し、 それに対応する端末グループに登録します。
次の2つのどちらかの方法で、MobiControlはADのユーザ名とそのグループを認識します。
- MobiControl登録時に、ドメイン名とユーザ名を入力させる
- クライアント証明書をMobiControlが読み取って、ユーザ名とそのグループを認識。 エンドポイントには、予めAD_CS(Active Directory Certificate Service)が発行した証明書を展開しておく。
MobiControlは、企業/団体の階層型組織の各グループ毎に、端末を管理します。
そこで、原則的に、末端グループ毎に、端末登録ルールを作成します。 (図1)の場合なら「課」単位で作成します。(図1)
Windows Modern(Windows10やWindows10 Mobile)が、MobiControlサーバと通信する場合には、端末側にエージェントプログラムを必要としません。
ADのグループとMobiControlの端末グループの紐付け(マッピング)
Windows10でも、AD認証をしないWindows Classicとして、MobiControlに登録する場合は、エージェントプログラムを必要とします。
Windows Classicの端末登録ルールの作成
Windows Classicのエージェントの生成
を参照ください。2. 前準備
端末登録ルールを作成する前に、次の準備をしておきます。a. ADのユーザ名とパスワードの入力によって登録する場合、b. は不要です。
- LDAP接続プロファイル
MobiControlサーバから、LDAPサーバへの接続プロファイルを設定します。 「LDAP接続プロファイルの作成」を参照ください。 ADサーバがオンプレミスでなく、Azure AD の場合でも、このLDAP接続プロファイルを作成しておきます。- ユーザ証明書の配布
証明書に基づく登録をする場合は、各エンドポイントに、AD_CSのクライアント証明書を配布しておきます。- WNSから認証を得る
MobiControlサーバが、WNSからの認証を取得しておきます。 詳しくは、「WNSから認証を得る」を参照ください・
c.は、端末登録ルールの作成の前提となる条件ではありませんが、エンドポイントの リモート管理には必須です。3. 端末登録ルール設定画面の表示
コンソール上辺の「Windows Modern」のタブを選択します。
コンソール下辺の「ルール」タブを選択。
- 左側のルールの種類の中から、「端末登録」を右クリック
- 「端末登録ルールの作成」の文字列が現れます。これを選択。
- (図2)が表示されます。これが、端末登録ルールの設定ダイアログです。
4. ルール名の入力
(図2)
赤い背景色の部分に、ルール内容を連想しやすい文字列を入力します。
「次へ」のボタンを押すと、(図3)が画面が遷移します。
5. エンドポイントの登録方法の選択
(図3)
エンドポイントを、MobiControlに登録する方法に2種類があり、どちらかを選択します。
- LDAPグループメンバーシップに基づく
AD_DSのグループに対応する端末グループを指定します。エンドポイントの登録時に、 AD_DSで認証することで、そのユーザのAD_DSグループに対応する端末グループに登録します。- 証明書に基づく登録
AD_CS(Active Directory Certificate Service)が発行したユーザー証明書を基にMobiControlへの登録をします。 この場合、エンドポイントではAD_DSのユーザ名やパスワードの入力をしなくても登録ができます。 多くのエンドポイントを短期間で登録できます。 エンドポイントには、予め、ユーザー証明書を配布しておきます。
下記の をクリックください。 |
|
-
(図3)で、「LDAPグループメンバーシップに基づく」を選択すると、画面は(図4)に遷移します。(図4)
.png)
をプルダウンすると、2.項「前準備」で作成した「LDAP接続プロファイル」のリストが現われます。
この中から、1つを選びます。(図4)は、「WinModern」という名前のLDAP接続プロファイルを選択した例です。
.png)
の欄には、AD上の「グループ名」を入力し、「Add」ボタンを押します。
例えば、(図4)のの欄に「NAGOYA_Sales」というADのグループ名を
入力し、「Add」ボタンを押したら、(図5)のような表示になります。
(図5)
(図5)には、「NAGOYA_Sales」という名前のADのグループ名が挿入されました。
.png)
をプルダウンして、MobiControlの
端末グループリストを表示します。
この中から、ADのグループ名に対応するMobiControlの端末グループを選択します。
(図6)
(図7)は、名古屋支店営業2課を選択した場合です。(図7)
これで、ADのグループが「営業2課」にマッピングされました。ここで、「営業2課」は、MobiControlの端末グループ名です。SSLのための証明書を指定
(図7)で、「次へ」を押すと、(図8)が現われます。(図8)
通常は、MobiControl内部CAを選択します。 (図8)で「次へ」を押すと、(図12)に画面遷移します。
-
(図3)で、「証明書に基づく登録」を選択すると、画面は(図9)に遷移します。(図9)
赤矢印の部分をプルダウンすると、証明書のリストが表示されるので、所定の証明書を選択します。 そして、その証明書の対象となる端末グループを選択します。
これがエンドポイントの登録先となる端末グループです。
証明書のリストが表示されないときは、「新規」ボタンを押します。(図10)がポップアップします。(図10)
(図10)の赤矢印部分をクリックすると、コンソールコンピュータの Exploreがポップアップします。そして、証明書を保存してあるフォルダを探し、証明書ファイルを選択し「開く」を 押します。その証明書ファイルがMobiControlサーバにアップロードされます。 そして、(図9)に表示されます。
(図9)で「次へ」を押すと、(図11)に画面遷移します。
8. 利用規約ファイルの指定
(図11)
登録するときに、従業員に「MobiControlの利用規約」への同意を求める場合は、左上のチェックボックスに
チェックを入れ、利用規約ファイルを指定します。
登録時のプロセスでに、PCユーザは利用規約への同意のチェックを入れないと、登録はできなくなります。
別途、テキスト形式かHTML型式で利用規約文を作成しておきます。「管理」ボタンを押すと、(図12)がポップアップします。
登録時のプロセスでに、PCユーザは利用規約への同意のチェックを入れないと、登録はできなくなります。
別途、テキスト形式かHTML型式で利用規約文を作成しておきます。「管理」ボタンを押すと、(図12)がポップアップします。
(図12)
新規に利用規約ファイルを登録するには、「追加」を押します。(図143)が現われます。
(図13)
利用規約の名前を入力します。利用規約本文は、予め作成しておき、コンソールコンピュータ内に保存しておきます。
ソース欄の右の「参照」を押すと、コンソールコンピュータのExploreが開きますので、保存先フォルダを検索し、該当ファイルを
クリックします。利用規約本文は、テキスト形式か、HTML形式で記述します。
9. エンドポイントの名前の決め方を指定
(図11)で「次へ」を押すと、(図14)が現われます。
MobiControlでは、エンドポイントに名前をつけて、コンソールに表示し管理を行います。 そのエンドポイントに一意性のある名前をつけます。
MobiControlでは、エンドポイントに名前をつけて、コンソールに表示し管理を行います。 そのエンドポイントに一意性のある名前をつけます。
(図14)
(図14)の %AUTONUM% はマクロです。このマクロは、連番マクロです。
登録されていった順番に、4桁の整数を付番します。(図14)のままで「次へ」を押すと、
最初に登録されたPCの名前は、「Windows 0001」と表記されます。
次ぎに登録された PCは、「Windows 0002」と表記されます。
次ぎに登録された PCは、「Windows 0002」と表記されます。
この他にも多くのマクロが用意されています。右側のギアボタンを選択すると、 (図15)のようにマクロのリストが表示されますので、それを選択することも可能です。
(図15)
(図16)は、「連番= %AUTONUM% 」の後に、「登録時のユーザの名前=ENROLLEDUSER_USERNAME%」が表示されるように指定した例です。
(図16)
10. 端末登録ルールの概要の確認
(図16)で「次へ」を押すと、(図17)が現われます。
(図17)
この設定内容でよければ、「終了」ボタンを押します。これで、端末登録ルールの作成は終りです。
もし、修正したいときは「戻る」ボタンを押すと、前の画面にもどります。
11. オプション設定
端末登録ルールは、(図17)で作成完了しましたが、追加的な条件をつけることができます。
(図17)の右下の「詳細設定」を押すと、(図18)が現われます。
(図17)の右下の「詳細設定」を押すと、(図18)が現われます。
(図18)
11.1 ルールの適用期間
(図18)のままでは、この端末登録ルールは今すぐ適用開始となります。
MobiControlの導入プロジェクトの関係で、将来の指定期日に適用を開始したいときがあります。
その場合は、適用開始日時を(図16)で指定します。
(図18)のままでは、ルールの終了期日は、ルールの適用停止またはルールの削除のアクションを MobiControl管理者が執るまでとなります。
予め、ルールの終了期日を決めておきたいときは、適用終了日時を指定しておくと、 その時になれば自動的にルールの適用は終了します。
(図18)のままでは、ルールの終了期日は、ルールの適用停止またはルールの削除のアクションを MobiControl管理者が執るまでとなります。
予め、ルールの終了期日を決めておきたいときは、適用終了日時を指定しておくと、 その時になれば自動的にルールの適用は終了します。
11.2 デバイスプロパティ・フィルタの登録
(図18)の「新規」(赤矢印部分)をプルダウンすると、(図19)のような選択肢が現われます。
(図19)
| (図19)で「デバイスプロパティ・フィルタの追加」を選択すると、(図20)が現われます。 登録するPCのバージョンを指定します。不等号記号を使って、指定のバージョンより上とか下を指定できます。 | (図20) 
|
11.3 ファームウェアフィルタの追加
| (図19)で「ファームウェアフィルタの追加」を選択すると、(図21)が現われます。 登録するPCのファームウァエ・バージョンを指定します。不等号記号を使って、指定のファームウェアのバージョン範囲を指定できます。 Windows10 の2016年Anniversary Updateは、1607以上です。 | (図21) 
|
12. 端末登録ルールの編集
(図22) 
|
端末登録ルールを作成の後、左側ペインの「端末登録」をクリックすると、作成した端末登録ルール名が展開して表示されます。
これを右クリックすると、(図22)のようにメニューが現われます。 この中の「ルールの編集」を選択すると、作成した端末登録ルールの修正ができます。 |
13. サブドメインにenterpriseenrollmentを登録
PCユーザのADにおけるメールアドレスが、xxxxxxx@nippon.co.jp なら、
DNSサーバに、nipponの次のレベルのドメイン名として、enterpriseenrollmentを登録し、そのIPアドレスに
MobiControlサーバのIPアドレスを紐付けします。
c. をDNSに登録しておくと、PCユーザがMobiControlに登録する際、MobiControlサーバのURLの入力が不要になります。
Windows Modernの登録を参照ください。
| 登 録 例 | |||
|---|---|---|---|
| a. | PCユーザのADでのメールアドレス | xxxxxxx@nippon.co.jp | |
| b. | MobiControlサーバのURL | v13.mobicontrol.nippon.co.jp | |
| c. | 次のレベルのサブドメイン名 | enterpriseenrollment.nippon.co.jp | |
| 上記のドメインに、b. のMobiControlサーバのIPアドレスを紐付けします。 | |||
c. をDNSに登録しておくと、PCユーザがMobiControlに登録する際、MobiControlサーバのURLの入力が不要になります。
Windows Modernの登録を参照ください。