構成プロファイルの設定

Windows PCを含む端末のMobiControlでの設定は次の順序で行いますが、ここでは、下記の3番目、「端末グループまたは端末の構成プロファイル作成」を実行します。 


MobiControlサーバのプロパティと証明書等設定
端末グループの作成
端末グループまたは端末の構成プロファイル作成
端末登録ルールの作成
端末グループの詳細設定
エンドポイントからMobiControlへの登録
端末登録ルール以外のルールの設定



端末の設定分野には「構成プロファイル」と「ルール」と「詳細設定」 があります。詳しくは、
構成プロファイルとルールと詳細設定 を参照ください。



構成プロファイルのメニュー画面には、複数の設定項目が表示されます。この設定項目を選ぶと各々のダイアログがポップアップするので
これに対し設定作業を行います。
一つまたは複数の設定項目を設定して、一つの構成プロファイルが作成します。
そして、それを
適用する端末グループまたはAD(Active Directory)のグループに割り当てをします。その端末グループに属するエンドポイントPCの挙動は、割り当てられた構成プロファイルに従います。


A. 構成プロファイルの一覧を表示







上辺のタブバーの中から、Windowsタブを選びます。
Windows Modern

ADでユーザ認証をする環境にあるWindows10以上のPC。

PCの一般的な利用の場合は、Windows Modernを選択します。

Windows Classic

ADでユーザ認証をしない、Windows8.1以上のWindows PCと Windows Server。

PCを専用業務端末(KIOSKモード)として利用する場合は、Windows Classicを選択します。

デスクトップ画面に表示される画面は、指定のアプリ群のみとすることができます。



ここでは、Windows Modernを選択します。


更に、下辺の「プロファイル」タブを選択します。







画面は(図1)のようになります。(図1)は、既に作成した構成プロファイルの一覧です。


(図1)




B. 構成プロファイルに名前をつける


(図1)で、「追加」ボタンを押すと、(図2)が現れます。

(図2)





名前欄に、構成プロファイルの名前を入力します。構成プロファイル内の設定項目や利用対象の組織名などを類推しやすい名前をつけるのがよいでしょう。


説明欄に、構成プロファイル内の設定項目や利用対象がより分かり易い記述を書き込みます。

構成プロファイルを更新した場合は、その履歴も記入しておくとよいでしょう。



(図2)の「タイプ」欄の右端をプルダウンして、「Windows デスクトップ」を選択します。

そして、「構成」タブを選択すると、画面は、(図3)に遷移します。

(図3)





C. Windows Modernの構成プロファイル・メニュー



(図3)で「追加」ボタンを押すと、(図4)がポップアップします。


(図4)

Windows Modern PCの構成プロファイルメニュー






(図4)で設定したい項目をクリックすると、各々の設定ダイアログがポップアップします。



D. 構成プロファイルの端末グループへの割り当て

各々の設定ダイアログでの設定が終わり、その「OK」ボタンを押すと、画面は(図5)に遷移します。

設定した設定項目のタイトルが挿入されました。


(図5)




(図5)で、再度「追加」ボタンを押すと、(図4)が再度ポップアップします。ここで他の項目を選択して、設定項目を追加することができます。


設定項目を追加する必要がない場合は、(図5)の下辺の「保存して割り当て」ボタンを押します。
(図6)がポップアップします。


(図6)




(図6)で、構成プロファイルの配布対象となる端末グループまたはエンドポイントPCを選択します。選択をするとチェックボタンが青くなります。
選択が終わると、下辺の「割り当て」ボタンを押します。これで、端末グループまたはエンドポイントPCの割り当てが完了します。


「割り当て」直後に、構成プロファイルは、エンドポイントPC(群)に送られ展開されます。エンドポイントPCは、この構成プロファイルに従って挙動するようになります。



「割り当て」直後に、構成プロファイルが、エンドポイントPC(群)に送られるためには、端末は、MobiControlサーバとオンラインでなければなりません。
オンラインの場合は、(図6)のように、端末アイコンがと、ブルーになっていなければなりません。

オフラインの場合は、アイコンが、
と表示されます。

Windows エンドポイントは、接続時間帯の設定により、非接続時間帯の時刻でない限り、オンラインであるのが常態です。

オフラインのWindows エンドポイントに対しては、そのエンドポイントがオンラインになったときに、構成プロファイルが展開されます。



E. 構成プロファイルの修正または項目の削除


(図5)の段階で、構成プロファイルの内容を修正したいときがあります。
その場合は、(図5)で、
設定した構成の項目を選択(背景色が変わる)してから、「アクション」をプルダウンすると、(図7)のように
アクション項目が表示されます。
ここで、「編集」を選択すると、設定項目のダイアログが再度表示されるので、そこで、設定内容を修正します。


(図7)




「削除」は選んでいる設定項目のみを削除。「全てを削除」は、当該プロファイルの全ての設定項目を削除します。



F. 作成済の構成プロファイルへの働きかけ


(図1)を参照ください。これは、作成済の構成プロファイルのリストです。

作成済の構成プロファイルに対し、各種の働きかけができます。

(図1)で、該当の構成プロファイルにマウスを当てて、背景色をブルーにしてから、「アクション」タブをプルダウンします。
「アクション」タブをプルダウンすると、(図8)のようなプルダウンメニューが現われます。 



(図8)







プロファイルの編集
構成プロファイルの設定内容の修正

プロファイルの割り当て
割当をする端末グループを追加、又は削除

プロファイルの複製
構成プロファイルのコピー
プロファイル項目の内容の一部を修正して、
他の端末グループに割り当てる

プロファイルを無効にする
これから追加登録する端末に対しては、当該構成プロファイルを非適用

プロファイルの失効
構成プロファイルの端末での削除

プロファイルのインストールを再試行
適用を暫定停止した構成プロファイルの再インストール

プロファイルの削除
端末とサーバの両方での構成プロファイルの削除

アクセス許可の編集
働きかけの権限を持つコンソール管理者の変更または追加



どのエンドポイントPCにも割り当ててない構成プロファイルは、「ドラフト」扱いです。「ドラフト」の構成プロファイルは、「名前」の後に、
ペンのマークがついています。



G. 高度な割り当て方法


(図6)の上部のタブで、「フィルター条件」、「LDAP対象」、「オプション」を選択すると、構成プロファイルを
高度な方法で割り当てることができます。


G-1. フィルター条件

構成プロファイルは、端末グループまたはAD_DS若しくはAD_FSのグループに割り当てますが、そのグループ内の特定のプロパティを持つエンドポイントPC(群)には、適用したくないことがあります。


例えば、OSのバージョンが特定のバージョン番号以降のエンドポイントPC(群)のみに適用したい場合があります。
また、特定のメーカーのエンドポイントPC(群)のみに適用したい場合もあります。

次の「フィルター条件の設定」をクリックしてください。





 
フィルター条件の設定



(図6)の上辺の「フィルター条件」のタブを選択すると、(図9)に画面遷移します。

(図9)





(図9)で「追加」ボタンを押すと、(図10)のように、「端末のプロパティ」などの選択肢が現れます。

(図10)






「端末のプロパティ」、「監視データ」、「付属情報」のどれでもを組み合わせて、複数のフィルター条件を設定できます。
(図9)の赤矢印部分で、「全て」または「どれでも」の選択ができます。

「全て」

複数の条件があれば、その全ての条件に適合した場合にのみ、除外します。
「どれでも」

複数の条件のうち、一つだけでも適合したときに、除外します。




(図10)で「端末のプロパティ」を選択すると、(図11)のように端末のプロパティの種類が列記されます。
(図11)




(図11)の項目名
意味
Carrier
端末購入時のキャリア
HasApplication
インストール済のアプリ
HasPasscode
パスコード設定されているか否か
IsEncrypted
暗号化されているか否か

Manufacture
メーカー
Model
端末モデル

OSVersion
OSのバージョン
SIMCarrierNetwork
挿入しているSIMのキャリア

TotalStorage
ストレージ容量



(図11)で除外したい端末のプロパティを選ぶと、その右に、「しきい値」を入力する欄が現れるので、適切な値を入力します。

(図12)



(図12)は、ロック解除のパスコードが設定されてない(=FALSE)エンドポイントには、構成プロファイルを適用しないようにしている例です。結果的に、
パスコードを設定してあるエンドポイント(群)のみに適用されるようになります。


(図10)の監視データとは、Windows エンドポイントの場合、PCの次の種類のデータ値を指します。


指定のフォルダの指定のテキストファイルの指定行の文字列 

指定したINIファイルの指定セクションの値

指定したレジストリの値

指定したプログラムの標準出力(STDOUT) 

指定したEXEプログラムが終了時に返す終了コード

MobiControl管理者が入力しておいた文字列


詳しくは、「監視データの指定」を参照ください。


(図10)の「付属情報」は、MobiControl管理者の任意で設定できる情報項目です。例えば、

端末ユーザの役職名
端末の購入日
端末の資産台帳での資産番号
その他
などです。これらの情報項目の値に基づいて、これに該当するエンドポイントPCを構成プロファイルを適用したり、逆に適用しないようにできます。

フィルタ条件の設定が終わると、下辺の「割り当て」ボタンを押します。これで、端末グループまたはエンドポイントPCの割り当てが完了します。




G-2. LDAP対象


AD_DS(Active Directory Domain Service)のグループを、
構成プロファイルの配布対象として指定します。

その結果として、そのAD_DSグループがマッピング(紐づけ)してある端末グループ(群)に、割り当てられます。





(図13)のように、端末グループの「マーケティング課」と「東京営業課」は、異なる部に属しているが、AD_DSでは、共通の「TOKYO」という
グループにマッピングされているとします。

この場合、構成プロファイルをグループ名「TOKYO」に割り当てると、端末グループの「マーケティング課」と「東京営業課」の両方に割り当てることができます。

Active Directoryのグループの端末グループへのマッピングは、端末登録ルールで設定しておきます。

(図13)




次の「LDAP対象の設定」をクリックしてください。





 
LDAP対象の設定




(図6)上辺の「LDAP対象」タブを選択すると、画面は(図14)のように遷移します。

(図14)



AD_DSのグループに構成プロファイルを割り当てるには、
予め、LDAP接続プロファイルを作成し、当該のディレクトリサーバとMobiControlサーバとの間をバインドしておきます。


また、端末登録ルールで、AD_DSのグループを端末グループへのマッピングしておきます。


複数のAD_DSサーバとバインドしてある場合は、の部分をプルダウンして、
対象となるLDAP接続プロファイルの名前AD_DSサーバを選択します。


の部分に、構成プロファイルの配布先となるユーザグループ名を入力します。
グループ名の正確な文字列を知っておく必要はありません。(図14)の赤矢印部分に、文字列の最初の2文字を入力すると、
その文字列で始まるグループ名を表示してくれます。複数のADのグループに割り当てることができます。その場合は、そのグループ名を2行目以降に列記します。

選択したAD_DSのグループに対し、端末グループを、端末登録ルールでマッピングしてなかった場合がありえます。その場合は、「このグループにマッピングする端末グループを選択してください」とのポップアップがでて、画面は、(図6)に遷移します。そこで、マッピングするべき端末グループを選択します。
これで、AD_DSのグループ指定を経て、構成プロファイルの端末グループへの割り当てが完了します。

(図15)

ADのグループに構成プロファイルを割り当てた例




 
逆に、当該構成プロファイルを割り当てたくないADのグループがあるかもしれません。
例えば、SDカードの挿入を禁止する構成プロファイルを、AD_DSの本社全体グループのエンドポイントPCに割り当てたとします。
しかし、「情報システム部」に対応するAD_DSのグループには、例外として割り当てないことがあります。
その場合は、情報システム部に対応するAD_DSのグループを入力して、(図14)の下辺の「Excluded」をクリックします。


割り当てが終わると、下辺の「割り当て」ボタンを押します。これで、端末グループまたはエンドポイントPCの割り当てが完了します。




G-3. オプション

構成プロファイルの取り扱いに関して、下記を指定できます。

展開開始日時
エンドポイントPCへの展開を今すぐでなく、指定の日時に展開するとして、その日時を指定


無効にする日時
構成プロファイルのエンドポイントPCへの展開後、いつかそれを無効にするとして、その無効になる日時を指定
追加割り当て終了日時
ある日時以降に登録するエンドポイントPCには、適用されないようにするとして、その日時を指定
エンドポイントPCユーザ操作で展開
デフォルトでは自動インストールだが、エンドポイントPCユーザの手動操作を経て展開するようにする


次の「オプションの設定」をクリックしてください。




 
オプションの設定




(図6)の上辺の「オプション」を選択すると、(図16)に画面遷移します。

(図16)



(図16)で、赤枠の設定項目は、構成プロファイルの送信やインストールには無効です。入力しても、MobiControlは無視します。
赤枠部分は、パッケージを積み込んだプロファイルに対して、設定します。詳しくは、「
パッケージを指定日時にインストール」を参照ください。




(図16)の設定項目
説明
インストール方法
「自動」か「セルフサービス」を選択します。「自動」を選択した場合、下辺の「割り当て」ボタンを
押すと、構成プロファイルはすぐにエンドポイントPCに送られ、インストールされます。デフォルトは「自動」です。

「セルフサービス」を選択すると、エンドポイントPCユーザが操作しないと、インストールされません。
エンドポイントPCでアプリ利用中に、新しい構成プロファイルが適用されると、アプリ操作に支障がある場合に選択します。
「セルフサービス」を選択した場合の
エンドポイントPCユーザの操作方法は、「エンドポイントPCユーザの任意の時刻にインストール」を参照ください。

Minimum Battery Level
構成プロファイルを端末に送る端末のバッテリレベルの最低値を指定します。
単位は、パーセントです。これより低いと送られません。

スケジュールされたアクション
割り当て日時、無効日時、失効日時を予め設定しておきます。



割り当て日

「自動」を選択すると、構成プロファイルはすぐにエンドポイントPCに送られ、インストールされますが、このオプションを選択すると、
今すぐでなく、後日に割り当てます。その日時を指定します。

例えば、勤務時間帯を避けて、夜間や週末にインストールする場合に適用。


次のアップデートスケジュールにずらす
今すぐでなく、次の更新スケジュールの時に割り当てます。


無効日

ある日時以降に登録するエンドポイントPCには、適用されないようにするとして、その日時を指定します。
その日時までに適用したエンドポイントPCでは、その後も有効に機能しつづけます。

失効日
既に適用済のエンドポイントPCも含めて、構成プロファイルの機能が停止する日時を指定します。
但し、構成プロファイルが削除されるわけではありません。その後、再インストールすれば再度、構成プロファイルは有効になります。









H. 構成プロファイルが適用されているかどうかの確認


コンソールの端末一覧で、確認したい端末を選択し、右側ペインの「プロファイル」欄をクリックすると、当該端末に適用されている 構成プロファイルの一覧が表示されます。