端末/エンドポイントのMobiControlへの登録まで

端末やエンドポイント・デバイスのMobiControlへの登録は、次の順序で行います。
端末グループの作成
企業や団体の階層構造の組織名を反映して、端末グループを作成します。階層構造の端末グループなので、 端末の挙動設定の範囲を、大きく「本部」単位で設定したり、逆に極め細かく「課」単位で設定したりできるようになります。
端末やエンドポイントの登録
端末やエンドポイントをMobiControlに登録します。登録には複数の方法と選択肢があります。
Apple製品のセットアップと登録
Android端末のセットアップと操作
Windows Modernの登録
Windows Classicの端末登録
Windows Embedded端末の登録
Linuxデバイスをセットアップ
端末やエンドポイント・デバイスの登録が終わると、それらのステータスが、コンソールに表示されます。 端末の挙動を設定したり、アプリを配布できるようになります。

端末登録ルール作成の前にしておくこと

設定が必要なケース
1.APNs証明書のインストール
APNs(Apple Push Notification service)は、MobiControlサーバからのチェックイン要求をApple端末に中継送信します。 端末からのチェックインで、サーバと端末間で、設定オブジェクト、端末ステータス、ユーザデータの交信を行います。APNs証明書は、1年毎に更新しなければなりません。 MobiControlサーバがオンプレミスで、且つiPhone、iPad、macOSコンピュータを管理する場合
2.FirewallにTCP5494その他を開通。「閉域網でのFirewall/Proxyのポート番号など」を参照

端末とDMZとの間のFirewallに5494を開通。 機能と運用に条件が付きますが、完全閉域網内の端末を外部と交信させずに管理できます。
MobiControlサーバをDMZに設置し、Apple製品以外の端末を管理する場合
インターネットとの間のFirewallにTCP443とTCP5494を開通 SaaSのMobiControlを利用し、Apple製品以外の端末を管理する場合
インターネットとの間のFirewallにTCP443、TCP5223、TCP5494を開通。いずれもOutbound CAll。 SaaSのMobiControlを利用し、Apple製品を管理する場合
3.ABM(Apple Business Manager)アカウントの取得
右記の2つの目的のためには、ABMアカウントが必要です。
管理対象端末がApple製品でない、またはApple製品であっても、監視モードとして設定しない場合は、 ABMアカウントは、必須ではありません。
4.Google管理者アカウントの取得
右記の目的のためには、Google管理者アカウントが必要です。 Android端末をAndroid Plusとして設定する場合は、不要です。 Android Enterprise端末でも、アプリを、パッケージでのみ配布する場合は不要です。 Android端末を、Android Enterpriseとして設定し、且つmanaged Google Playから直接アプリをダウンロードさせる 場合
5.WNSとの接続プロファイルの作成
WNS(Windows Push Notification Service)は、コンソール側からエンドポイントへのチェックイン要求を中継送信します。 エンドポイントPCからの周期的なチェックインだけで、運用をする場合は、 WNSとの接続プロファイルは必須ではありません。 次の3項目全てに適合する場合
  • MobiControlサーバがオンプレミス
  • 管理対象エンドポイントが、Windows Modern
  • コンソール側からチェックインを要求することがある
6. ディレクトリサービス接続プロファイル または IDプロバイダとの接続プロファイルの作成
次の場合に、認証サービスによるユーザの認証を行ないます。
  1. Apple製品、Android端末、Windows ModernのMobiControlへの登録時
  2. 共用するiPhone、iPad、またはAndroid端末で、端末ユーザーが変わる際
  3. MobiControl管理者がコンソールにログインする際
  4. エンドユーザが、セルフサービスポータルにログインする際
a. c. の場合は、認証サービスによる認証は必須ではありません。b. d. の場合は必須です。
認証サービスとは、AD_DS(Active Directory Domain Service)などの「ディレクトリサービス」とAzure IdPなどの「IDプロバイダ」の総称です。 認証サービスによる認証をするメリットは、「認証サービスによる認証のメリット」を参照。
認証サービスの種類と、その認証を必要とするシーンの関係については、 「D. 認証サービスとMobiControlの機能」を参照。
端末登録ルールは、原則的に、最下位の端末グループ毎に作成します。
しかし、認証サービスのユーザグループに、端末グループをマッピングする方式では、 1つの端末登録ルールで、複数の端末グループを指定できます。
共用端末を登録する目的とする端末登録ルールは、なるべく上位の端末グループを対象とします。 端末ユーザがログインすることで、端末の所属先は、傘下の端末グループに、自動的に移動します。

アプリのサイレント・インストール

端末やエンドポイントへのアプリの配布手段として、MobiControlは、アプリカタログとMobiControlパッケージを用意しています。

アプリカタログを端末で開くと、幾つかのアプリの名前とアイコンが表示されます。 これらには、アプリのダウンロード元へのリンクが張ってあります。端末ユーザは、アプリを選択しダウンロード/インストールをします。

MobiControlパッケージは、MobiControlパッケージスタジオを使って、アプリをパッケージ化します。 パッケージ化されたアプリは、サイレント・インストールが可能になります。
サイレント・インストールとは、 端末ユーザの知らない裡に、アプリを自動ダウンロードし、インストールすることを指します。業務アプリの迅速な展開やバージョンアップに有用です。
パッケージには、アプリインストーラ以外に、スクリプトコマンドを挿入することができます。 これにより、インストールの前と後に、必要な操作を実行することができます。例えば、同じアプリの前のバージョンをアンインストールしてから インストールを実行できます。インストール終了後に端末画面に、その旨のメッセージを表示できます。

公開アプリ以外に、社内で開発した、社内限りのアプリを配布することもできます。
下表で、公開アプリとは、Appストア、Google Playストア、または、Windowsストアがダウンロード元となるアプリを指します。

アプリカタログMobiControl
パッケージ
公開アプリ社内限りアプリ
ダウンロード元は社内サーバ
Appleデバイス
Android Plus
Android Enterprise
Windows Modern
Windows Classic
Windows Embedded
Linux
上の表で、背景色が黄色の場合は、サイレント・インストールが可能です。
  • アプリカタログでのサイレント・インストールは、アプリ配布オプションを「必須」にしておく必要があります。
  • Appleデバイスに対して、Appストアのアプリを、サイレントインストールさせるには、デバイスが監視モードであり、 アプリがAppストアとのVPP契約が必要です。詳しくは、「Apple製品のアプリカタログ・ルール」を参照ください。
Apple製品アプリカタログ・ルール
Androidアプリカタログ・ルール
Windows Modernアプリカタログ・ルール

端末の挙動設定 - 設定オブジェクトの配布

端末の挙動設定は、広範囲に渡ります。WiFiのSSIDに対するパスワード、端末ロック解除のためのパスコードの複雑性設定、メールアカウント、USB経由でPCとデータ交信を禁止、 ウィルス対策、ストレージの暗号化、等々です。 端末の挙動設定のために、「構成プロファイル」「ルール」「端末の詳細設定」をコンソールで作成または修正(編集)を行います。そして、これらの設定オブジェクトを 端末に送り、展開します。
これらの設定オブジェクトは、端末グループを指定して送信します。「本部」の端末全てに適用する場合は、「本部単位」で、 特定の「課」のみに適用する場合は、「課」単位で送ります。

構成プロファイルルール端末の詳細設定
iOS端末の構成プロファイル
macOSユーザプロファイル
macOS端末プロファイル
Android Plusの構成プロファイル
Android Enterpriseの構成プロファイル
Windows PCの構成プロファイル
Windows Embedded端末の構成プロファイル
Linux端末の構成プロファイル
Apple製品のルール
Androidのルール
Windows PCのルール
Windows Embeddedのルール
Linuxのルール
Apple製品の詳細設定
Android端末の詳細設定
Windows PCの詳細設定
Windows Embeddedの詳細設定
Linuxの詳細設定
「構成プロファイル」「ルール」「端末の詳細設定」の作成のタイミングは、端末の登録の後でもよいし、端末の登録の前でも結構です。 端末の登録の前に作成してあると、端末は登録直後に、これらの設定オブジェクトの適用を受けます。

「構成プロファイル」と「端末の詳細設定」は、原則的に、作成直後に端末に送られ展開されます。 「ルール」は、次回チェックインのときに展開されます。詳しくは、構成プロファイルとルールと詳細設定 を参照ください。
また、チェックインの仕組みについても、構成プロファイルとルールと詳細設定 を参照ください。
  • 端末を、現在所属する端末グループから、他の端末グループに移動するには、「端末を他の端末グループへ移動」を参照ください。 コンソールの端末一覧の画面で、ドラッグ&ドロップで移動できます。端末は、他の端末グループに移ると、その端末の設定を規定する 「構成プロファイル」「ルール」「端末の詳細設定」も、原則的に、新しい端末のそれが適用されます。
  • セキュリティに留意した設定オブジェクトを配布した端末グループを、予め、作成しておきます。その端末グループの名前を、例えば、「異常端末グループ」と名づけておきます。 何かのアラート・インシデントが発生した端末が、MobiControlサーバにチェックインすると、アラートが発動します。アラートが発動した端末は、「異常端末グループ」に 自動的に移動します。
    アラートの場合に、自動通報するメール宛先を作成しておきます。
  • AD_DS(Active Directory Domain Service)の認証を要求するWiFiやVPNがあります。ExchangeメールもAD_DSの認証を経ます。 構成プロファイルで、WiFi、VPN または Exchangeメールの設定情報を送ります。この際、端末の登録の前に これらの構成プロフィルを作成しておくと、端末には、AD_DSのパスワードを含めて、設定情報を送ることができます。従って、 端末ユーザは、自動ログインができます。

端末の挙動設定 - コンソールからの働きかけ

「構成プロファイル」「ルール」「端末の詳細設定」は、端末の定常的な設定を指定するために作成され、展開されます。
これらの設定オブジェクトの配布とは、別に、非定常的な働きかけをすることができます。これは、働きかけのメニューから選択することで実施します。
例えば、次のような働きかけを実施します。
ジオフェンスは、地図上の仮想閉域です。端末がジオフェンスの外に出る、又は、中に入ることを検知すると、MobiControlは、 当該端末の所属グループを変更します。所属グループが変わることで、端末に対する設定が変わります。 例えば、職場領域に入ったら、カメラ機能禁止などを行います。

スクリプトコマンドによる働きかけ

MobiControl管理下の端末やエンドポイントには、MobiControlエージェントというプログラムがインストールされます。
「Android」「Windows Classic」「Windows Embedded」「Linux」のエージェントは、Mobicontrolサーバからのスクリプト・コマンドを受領し、 端末に働きかけをすることができます。

例えば、次のようなスクリプトコマンドを送付します。
  • 特定のアプリをアンインストール
  • ランチャー画面を、縦長から横長に変える。またはその逆。
  • 端末のハードリセット(電源を落としてから再起動)、またはソフトリセット
  • Android端末で、今すぐ、ウィルススキャンをする
  • コンソールから送った文字列を、端末側からログの形式で、コンソールに送り返す
  • システムアプリの復活
    Android Enterprise Device Owner Modeは、端末を初期化してから設定します。その際、端末出荷時に表示されていたアプリの一部のアイコンが非表示になります。 スクリプトコマンドを送って、これらを復活表示できます。

Windows Modernとして設定したPCに対してのスクリプトは、Windowsのスクリプトを送信します。 その送信は、次の方法のどちらかを採用します。
  • エンドポイントの画面を、コンソールにリモート表示し、操作する。
    コンソールに表示されたエンドポイントの画面の左下の「検索窓」に、cmdと入力すれば、コマンド入力画面がポップアップします。
  • Windowsのシェルスクリプトを、MobiControlパッケージに挿入して、複数のエンドポイントに 向けて一斉送付。このスクリプトは、C:\Users\〇〇〇 や D:\ProgramFiles\〇〇〇 のように、ドライブ名以下のフルパス指定が必要。

データやコンテンツの送付

端末やエンドポイントに、データやコンテンツを送る必要があります。また、モバイルデバイス側の操作で社内のコンテンツを入手したいという要望もあります。 MobiControlでは、「ファイル同期ルール」、「コンテンツライブラリ」、「イントラネットゲートウェイ」を用意しています。

ファイル同期ルールコンテンツライブラリ イントラネットゲートウェイ
運用方法端末とサーバの特定のフォルダ間で送受。
スケジュールに基づき自動的に送受される。
iOSの場合は、端末アプリが使うデータまたは端末アプリが生成するデータが対象。
文書、写真、動画などのコンテンツが主体。どのコンテンツをダウンロードするかは端末ユーザの任意。
モバイル端末向けとしての意図を持って、コンテンツを、予めライブラリにアップロードしておく必要がある。
文書、写真、動画などのコンテンツが主体。
リポジトリサーバ(ファイルサーバ)に、端末からアクセスしダウンロードする。
モバイル端末向けコンテンツとして選抜して用意しておく必要がない。転送禁止、印刷禁止など様々な情報漏洩対策を用意してある。
Appleデバイス
SDK for iOSをアドオンしたアプリ傘下のフォルダが対象
Android
Windows系
Linux
イントラネットゲートウェイは、社外の端末から社内のリポジトリサーバ(ファイルサーバ)へアクセスするための逆プロキシサーバです。 この時、端末には、SOTI Hubというアプリを使用します。SOTI Hubは、クラウドの リポジトリ・サーバにもアクセスできます。SOTI Hubがアクセスできるリポジトリサーバの種類は、次の通りです。
WebDAV、SharePoint(オンプレミス)、SharePoint Online、OneDrive、OneDrive for Business、BOX、及びNextcloud content management service。

コンソールの端末一覧を見やすくする

端末フィルタ条件式の作成と保存

コンソールの端末一覧に、表示する端末の種類を限定するための「端末フィルタ条件式」を作成します。
例えば、「監視モードのiPhoneのみ」「Android Plusのみ」「Android Enterpriseのみ」「Windows Modernのみ」のような 条件式を作成できます。更には、「構成プロファイルがインストールされてない端末のみ」とか「長期間、MobiControlサーバにチェックインしてない端末のみ」 などの条件式も作成できます。
詳しくは、「端末フィルタ条件式の作成と保存」を参照ください。

端末プロパティのコラムの作成

1つの端末には、多くのプロパティが付随しています。このプロパティの種類が多すぎるので、全てを端末一覧には表示できません。 そこで、必要なプロパティを幾つかピックアップして、コラムを作成します。
MobiControlエージェントのバージョン番号、エージェントのプラグインのバージョン番号、直近のチェックイン時刻、電話番号、 OSのバージョン、端末メーカー、端末のモデル番号などなどが、プロパティです。
詳しくは、「端末プロパティのコラムの作成」を参照ください。

オプション設定

下記のサーバの設定は必須ではありませんが、設定をすると、MobiControlの可用性が拡がります。
  • イントラネットゲートウェイ
    社外からイントラネット内部のリポジトリサーバ(WebDAVまたはSharePointサーバ)にアクセスするための ゲートウェイ。iOS端末とAndroid端末に適用
  • セルフサービスポータル
    自分の端末ステータスを、端末ユーザ自身で、対象端末以外のスマホ、タブレット、PCで視ることができます。
    端末を紛失した場合などに、紛失した端末の地理的位置を地図に表示します。ロック中でも紛失端末の画面にメッセージを表示できます。 iOS端末の場合は、連絡先の電話番号へのリンクも表示できます。
    最悪は、自ら、リモートWipeができます。
    夜間や週末に端末を紛失した場合に、コンソール管理者を呼び出す必要がありません
    セルフサービスポータルのサーバは MobiControlサーバそのものです。その自らの端末に限ってのコンソール権限を、端末ユーザに付託する機能です。
  • Exchange ActiveSync Filter
    MobiControlに登録してない端末、又は、特別に許可した端末でないと、Exchangeサーバにアクセスできないようにします。 会社に届出をせずに、Exchangeアカウントを設定した私物端末からのアクセスを禁止できます。 MobiControlに登録してない、これらの私物端末は、情報漏洩の頻度が高くなります。例えば、ロック解除パスワードが設定されてないと、 他人に会社メールを読まれてしまいます。
参考情報として、
端末OS共通の設定項目」と、 「管理コンソールの構成」 を、是非参照ください。
コンソール管理者の追加」を参照して、あなた以外の方にも管理者権限を付与しておいてください。 一定回数ログインに失敗すると、あなたはコンソールにアクセスできなくなります。
MobiControlは、多くの機能を搭載しています。それらの機能をフルに活用すると、貴社の端末やエンドポイントPCを、更に有効活用できます。 マニュアルの全てのページをお読みください。きっと、お役に立つ機能を、発見できると思います。