Windows PC

Just another POL Helpサイト site


社内PCをリモートサポート

PCをリモート操作

MobiControlを導入すると、社内のPC画面を、コンソールに映してリモート操作ができます。 
PCでの操作方法やPCの不具合に関する問い合わせが、IT部門には、日々寄せられます。 IT部門の担当者は、当該PCの場所まで出向かずに、使い方指導をしたり、不具合を修復できます。 
pcAnywhereを上回る機能群を用意しています。

アプリのサイレントインストール

アプリのダウンロードやインストールに、エンドポイント・ユーザの操作を必要としません。 エンドポイントユーザの操作を待たずに、アプリをインストールできるので、業務アプリの展開が速やかに行えます。 アプリのバージョンアップも同様にサイレント・インストールができます。

PCのリモートサポート

Windows Modern と Windows Classic

MobiControlでの Windows PCの設定モードには、Windows Modern と Windows Classicがあります。
両者の概要を、下表に示します。

Windows ModernWindows Classic
エンドポイントの用途 事務などの一般的用途 専用業務用途。
指定したアプリアイコンのみを表示するデスクトップ画面。KIOSK端末として利用。
アプリのプッシュ配布とサイレントインストール 可能 可能
アプリの配布方式アプリ・カタログ または
パッケージ・スタジオでアプリをパッケージ化して配付
パッケージ化して配布
リモート画面操作 可能 可能
エンドポイントの挙動を設定する方法 構成プロファイルを作成し、それを配布 スクリプトコマンドの送付
エンドポイントのMobiControlへの登録 Active Directoryでの認証が必要

注1

Active Directoryでの認証は不要
MobiControlがサポートするOSバージョン Windows 10

注2

Windows 8.1以上
セキュリティ対策に関するMobiControlの役割 Windows10の高度なセキュリティ対策をエンドポイントにリモート設定。異常エンドポイントは自動隔離。

注3

利用するアプリをランチャーで限定する。ブラウザでアクセスできるURLを限定できる。
メール、WiFi、VPN、端末証明書の設定 リモート設定が可能 リモート設定は不可能

注1 Active Directoryによる認証

Azure ADもサポートします。また、AD_DSに連携したIdProvider、例えば、AD_FS(Federation Service)での認証も可能です。

注2 サポートするWindows 10 Edition

MobiControlは、Windows 10 の次のEditionをサポートします。
  • Windows 10 Home
    但し、管理できる機能に制限があります。
  • Windows 10 Pro
  • Windows 10 Pro in S Mode
  • Windows 10 Enterprise
  • Windows 10 Enterprise LTSB
  • Windows 10 Education
  • Windows 10 Hyper-V
  • Windows 10 IoT Enterprise
  • Windows 10 IoT Enterprise LTSB(LISC)

注3 Windows10の高度なセキュリティ機能

  1. BitLockerによる暗号化の適用
    HDD/SSDドライブの暗号化を強制します。その暗号化鍵は、TPMに保存します。
  2. Windows Defenderによるマルウェア検疫の適用
    ウィルスパターンによる検疫をし、疑わしい検体は、Microsoftに自動送信し、その分析を要請します。
  3. Windows Defender ATP(Advanced Threat Protection)のリモート設定
    Windows Defender ATPは、MicrosoftのEDR(Endpoint Detection & Response)ソリューションです。ウィルス対策ソフトなどをすり抜けてきた マルウェアを検知します。エンドポイントの異常なアクティビティから巧妙なサイバー攻撃を検知します。
    MobiControlは、コンソールからWindows Defender ATPのリモート設定(OnBoading)をします。
    通常のウィルス対策ソフトは、ファイルレス・マルウェア攻撃、標的型攻撃 又はゼロデイ攻撃には無力です。
    • ファイルレス・マルウェア攻撃
      ファイルレス・マルウェア攻撃は、Windowsにバインドされており、且つ、Windows操作に不可欠なシステム管理ツールを利用して、外部マシンと不法通信をし社内情報を窃取する攻撃です。
      ファイルでなくスクリプトを送ってきて不法操作します。これらスクリプトそのものは正規記述されており、且つ、シグネチャ(特徴的なデータ断片やパターン)を持つファイルでもないので、ウィルス対策ソフトでは検知できません。
      PCの電源をオフにすると、メモリからスクリプトが消えるので、犯罪痕跡が残りません。HDD/SSDに保存されてないので、ウィルススキャンをしても検知されません。
    • 標的型攻撃では、暗号化され、パスワードがないとそれを開けないウィルスを送りつけてきます。攻撃者は、業務メールを装って、ウィルスを添付し、且つ、復号化するためのパスワードを メール本文に記してきます。ウィルス対策ソフトは、添付ファイルのみしか分析しないので、それを開いて検疫できません。
    • ゼロデイ攻撃では、新しいウィルスパターンが配布される前に、最新のウィルスが侵入してくるケースです。
    Windows Defender ATPを利用するには、Windows 10 Enterprise E5またはWindows 10 Education E5のボリュームライセンスが必要です。
    Windows Defender ATPに関するMicrosoftの次の文書を参照ください。
  4. 正常性構成証明書
    巧妙なサイバー攻撃に対抗して、エンドポイントが適切な構成となっているかどうかを調査します。
    MobiControlは、エンドポイントPCから、Microsoft HAS (Health Attestation Service) というクラウドサービスに、ログを送らせます。 MobiControlサーバは、その調査結果である正常性構成証明書を取得します。その正常性構成証明書に不適切な報告が含まれていれば、 当該エンドポイントに対しアラート対策をMobiControlは実施します。
    下記は、正常性構成証明書が調査するポイントの例です。
    • 仮想セキュアモード 
      社内サーバへのパスワードなどの格納部分は独立したカーネルにあります。 侵入ワームが、例えPC本体の管理者権限を奪っても、社内サーバへのパスワードなどは盗まれません。 
    • セキュアブート 
      カーネルやシステムで起動するプロセスファイルは、PCメーカーが信頼する団体の署名付のものに限定します。 PC起動時にはそれ以外のプロセスは起動しません。 
    • ELAM(=(Early Launch Anti-Malware) 
      PCが起動する前にマルウェア検知プログラムが働き 不正なドライバによるPCの起動を防止します。 
      これらの仕組みが整っているかどうかの正常性をMicrosoftが常に検査し、正常性構成証明書を生成してくれます。 MobiControlを導入すると、この正常性構成証明書を入手できます。もし、この中に安全でない検査項目があれば、 MobiControlはアラートメールを関係者に送付します。
  5. WIP(情報保護)によるファイルの共用とその制限
    企業/団体では、文書の共有が必要です。その共有が許されるPC群をMobiControlが定めます。 その共有が許されていないPCでは、当該文書を開くことができなくなります。共有が許されるPC群は、IPアドレスのゾーン、または Active Directoryの Domainで指定します。
上記のB項からD項の手段で、異常と判断されたエンドポイントは、自動的に隔離されます。隔離されたエンドポイントでは、パッケージで送られてインストールされたアプリが 自動的にアンインストールされます。
設定されていたVPNやメールが使えなくなります。同時に、上司や関係者にアラートメールが送られます。
MobiControlは、エンドポイントの所属する部門に対応した端末グループから、「異常端末グループ」に、エンドポイントを自動移動させることで、この隔離を実施します。 異常端末グループの構成プロファイルには、アプリを割り当てず、エンドポイントの多くの機能を制限したものにしておきます。
当該エンドポイントの問題点が解決された場合、これを、コンソールでの操作で従来の端末グループに戻します。指定のアプリが再インストールされ、端末の 機能は、従前に戻ります。

Windows Embedded端末

MobiControlは、PC系のWindows以外に、Windows Embeddedをもサポートしています。
  • Windows CE.NET 4.2
  • Windows CE.NET 5.0 
  • Windows Embedded CE6.0 
  • Windows Embedded Compact7 
  • Windows Embedded Compact2013 
但し、端末メーカーとそのモデル番号によっては、サポートしてない端末があります。
Windows Embedded 端末を参照ください。