MobiControl v14 Manual

MobiControl v14 Manual


MobiControlのマニュアルにアクセスいただき、ありがとうございます

このページをご覧になるだけで、端末の設定に関する基本的な流れを、ほとんど、ご理解いただけると思います。
また、左側のインデックスを順次クリックして、各ページをご一読いただけると幸いです。 「MobiControlには、こんな有用な機能もあったんだ」と、新しい発見をされると思います。
一部のページの閲覧には、ログインアカウントが必要です。申し込みページ にアクセスし、あなた様のメールアドレスとご希望のパスワードを入力願います。

端末/エンドポイントのMobiControlへの登録まで

端末やエンドポイント・デバイスのMobiControlへの登録は、次の順序で行います。
(青色部分にマウスを載せてください)

端末やエンドポイント・デバイスの登録が終わると、端末に名前がつけられ、コンソールの端末一覧に表示されます。 端末グループ別に端末の名前とそのプロパティが表示されます。 端末の挙動を設定したり、アプリを配布できるようになります。

端末登録ルール作成の前にしておくこと

設定が必要なケース
1.APNs証明書のインストール
APNs(Apple Push Notification service)は、MobiControlサーバからのチェックイン要求をApple端末に中継送信します。 端末からのチェックインで、サーバと端末間で、設定オブジェクト、端末ステータス、ユーザデータの交信を行います。APNs証明書は、1年毎に更新しなければなりませんMobiControlサーバがオンプレミスで、且つiPhone、iPad、macOSコンピュータを管理する場合
(MobiControlサーバがSaaSの場合は、当社で設定および更新を行います)
2.FirewallにPort5494その他を開通。「閉域網Firewallのポート番号とURL」を参照

端末とDMZとの間のFirewallにPort5494を開通。 機能と運用に条件が付きますが、完全閉域網内の端末を外部と交信させずに管理できます。
MobiControlサーバをDMZに設置し、Apple端末以外の端末を管理する場合
インターネットとの間のFirewallにTCP443とTCP/UDP 5494を開通。いずれもOutbound CAll。 SaaSのMobiControlを利用し、Apple端末以外の端末を管理する場合
インターネットとの間のFirewallにTCP443、TCP5223、TCP/UDP5494を開通。いずれもOutbound CAll。 SaaSのMobiControlを利用し、Apple端末を管理する場合。APNsへの通信路(TCP5223 Outbound)を確保します。
3.ABM(Apple Business Manager)アカウントの取得
右記の2つの目的のためには、ABMアカウントが必要です。
管理対象端末がApple端末でない、またはApple端末であっても、監視モードとして設定しない場合は、 ABMアカウントは、必須ではありません。
監視モード端末には、VPP調達したアプリをサイレントインストールできます。
4.Google管理者アカウントの取得
右記の目的のためには、Google管理者アカウントが必要です。 Android端末をAndroid Plusとして設定する場合は、不要です。 Android Enterprise端末でも、アプリを、パッケージでのみ配布する場合は不要です。 Android端末を、Android Enterpriseとして設定し、且つmanaged Google Playから直接アプリをダウンロードさせる 場合
5.WNSとの接続プロファイルの作成
WNS(Windows Push Notification Service)は、コンソール側からエンドポイントへのチェックイン要求を中継送信します。 エンドポイントPCからの周期的なチェックインだけで、運用をする場合は、 WNSとの接続プロファイルは必須ではありません。 次の3項目全てに適合する場合
  • MobiControlサーバがオンプレミス
  • 管理対象エンドポイントが、Windows Modern
  • コンソール側からチェックインを要求することがある
詳しくは、チェックインとWNSを、参照ください。
6. ディレクトリサービス接続プロファイル または IDプロバイダとの接続プロファイルの作成
次の場合に、認証サービスによるユーザの認証を行ないます。認証サービスによる認証は、a. b. の場合は、必須ではありません。c. d. の場合は必須です。
  1. Apple端末、Android端末、Windows ModernのMobiControlへの登録時
  2. MobiControl管理者がコンソールにログインする際
オプション
  1. iPhone、iPad、またはAndroid端末を、複数部門のユーザで共用する場合:
    今まで使っていたユーザーと異なる部門のユーザーが使い始めると、端末のアプリや設定機能が自動的に変わる
  2. エンドユーザが、セルフサービスポータルにログインする場合:
    端末ユーザ自らが、他の端末やPCから、紛失した自分の端末をMobiControlから登録解除できる。(登録解除をすると、会社アプリは削除され、社内WiFi/VPNなどの設定はリセットされる)
必須
認証サービスとは、AD_DS(Active Directory Domain Service)などの「ディレクトリサービス」とAzure IdPなどの「IDプロバイダ」の総称です。 認証サービスによる認証をするメリットは、「認証サービスによる認証のメリット」を参照。
認証サービスの種類と、その認証を必要とするシーンの関係については、 「D. 認証サービスとMobiControlの機能」を参照。
端末登録ルールは、原則的に、最下位の端末グループ毎に作成します。
しかし、認証サービスのユーザグループに、端末グループをマッピングする方式では、 1つの端末登録ルールで、複数の端末グループを指定できます。
共用端末を登録する目的とする端末登録ルールは、なるべく上位の端末グループを対象とします。 端末ユーザがログインすることで、端末の所属先は、傘下の端末グループに、自動的に移動します。

端末とMobiControlサーバとの間で送受されるオブジェクト

端末をMobiControlに登録したら、端末の定常的な挙動を指定するために、「構成プロファイル」「端末の詳細設定」及び「(端末登録ルール以外の)ルール」をコンソールで作成します。 そして、それらを、指定の端末グループに割り当て適用します。 これらの適用をした後に、その端末グループに端末を登録した場合は、それらは、登録直後に自動的に適用されます。

また、ケースバイケースで、コンソールから「端末への働きかけ」や「スクリプトの送信」を行ないます。

チェックインの時に、送受されるオブジェクト(コマンド、データ、ファイル)

  • ほとんどのオブジェクトは、端末からの「チェックイン」の時に送受されます。 サーバ側から送るときは、端末に対し「チェックイン」を要求し、その「チェックイン」を受けてから送ります。
    • Apple端末以外の端末は、TCP443経由で、MobiControlサーバに接続していることが常態で、その「接続」をしているときに「チェックイン」が行われます
    • APNs(Apple Push Notification Service)を使い、Apple端末では、「接続」していなくても、「チェックイン」が行われます。 Apple端末では、「接続」と「チェックイン」は、異なる動きです。iPhone/iPadの「接続」は、端末ユーザの操作で実行されます。 端末の現在の地理的位置情報などの一部のステータス情報、及び、ファイル同期ルールによるファイルは、「接続」のときに送受されます。
      詳しくは、「チェックインと接続」を参照ください。
  • 構成プロファイルとルールと詳細設定を、ご一読ください。
  • 端末の現在の位置を、コンソールの地図に表示するには、端末は、「接続」していなければなりません。 但し、端末がオフラインでも、端末の過去の立ち寄り先は地図表示できます。
  • コンソールにおいて、 端末の画面をリモート操作をする、または端末の画面表示をするには、端末は、「接続」していなければなりません。
  • MobiControl独自のスクリプトコマンドは、iPhone、 iPad 及び Windows Modern宛には送れません。macOSコンピュータ宛は送れます。
  • Apple端末に対しては、「パッケージを搭載したプロファイル」を送付することはできません。

アプリのサイレント・インストール

端末やエンドポイントPCへのアプリの配布手段として、MobiControlは、「アプリカタログルール」、「ファイル同期ルール」及び「MobiControlパッケージ」を用意しています。

下表で、セルの背景色が黄色の場合は、サイレント・インストールが可能です。 サイレント・インストールとは、 端末ユーザの知らない裡に、アプリを自動ダウンロードし、インストールすることを指します。業務アプリの迅速な展開やバージョンアップに有用です。

アプリカタログルール ファイル同期ルール MobiControl
パッケージ
公開アプリ社内限りアプリ
Appleデバイス
監視モード
非監視モード
Android Plus
Android Enterprise
Windows Modern
Windows Classic
Windows Embedded
Linux

  • 公開アプリとは、Appストア、Google Playストア、または、Windowsストアがダウンロード元となるアプリを指します。
    ダウンロード元でアップデートがあれば、AppleデバイスとAndroid Enterpriseでは、自動アップデートが可能です。 逆に、IT部門が検証してからのアップデートとすることもできます。Android Plusでは、チェックインのたびに、アップデートを促すメッセージがポップアップします。
  • 社内限りアプリとは、社内で開発し公開したくないアプリを指します。「ファイル同期ルール」や「パッケージ」でも社内限りアプリを扱えます。 端末にとってのアプリのダウンロード元は、MobiControlサーバ又は他の社内ファイルサーバとなります。端末が完全閉域網の中にあっても アプリの配布が可能です。
    MobiControl v15.4.0 以上で管理するAndroid Enterprise端末には、アプリポリシー(v14 でのアプリカタログルール)で、社内限りアプリも、配布が可能で、サイレントインストールがされます。
  • Google Playアプリを、コンソールでダウンロードし、それを社内限りアプリの配布と同じ手段で、Android端末に 配布することができます。Android端末が完全閉域網の中にある場合に有効です。
  • ファイル同期ルールには、INSTALLスクリプトを付記しておくことで、サイレントインストールを実現します。 Apple端末及びWindows Modern宛のファイル同期ルールでは、INSTALLスクリプトを付記できません。従って、アプリのサイレントインストールはできません。 しかし、各種ファイルの送受は可能です。
  • MobiControlパッケージとは、 MobiControlパッケージスタジオを使って、アプリを挿入し作成したファイル(拡張子 .pcg)です。 デフォルトでは、サイレントインストールをします。端末ユーザが「インストール」ボタンを押すまで、インストールを控えるオプションもあります。
  • Appleデバイスに対して、Appストアのアプリを、サイレントインストールさせるには、デバイスが監視モードであり、 アプリに対しAppストアとのVPP契約が必要です。詳しくは、「VPPトークンの入手」と 「Apple端末のアプリカタログ・ルール」を参照ください。
  • アプリカタログルールやファイル同期ルールを利用すると、仮想端末グループへも配布できます。 MobiControlパッケージは、仮想端末グループへは配布できません。
  • アプリカタログでのサイレント・インストールは、アプリ配布オプションを「必須」にしておく必要があります。
Apple端末アプリカタログ・ルール
Androidアプリカタログ・ルール
Windows Modernアプリカタログ・ルール

端末の定常的な挙動の設定 - 設定オブジェクトの配布

端末の挙動設定は、広範囲に渡ります。WiFiのSSIDに対するパスワード、端末ロック解除のためのパスコードの複雑性設定、メールアカウント、USB経由でPCとデータ交信を禁止、 ウィルス対策、ストレージの暗号化、等々です。 端末の挙動設定のために、「構成プロファイル」「ルール」「端末の詳細設定」をコンソールで作成または修正(編集)を行います。そして、これらの設定オブジェクトを 端末に送り、展開します。
これらの設定オブジェクトは、端末グループを指定して送信します。「本部」の端末全てに適用する場合は、「本部単位」で、 特定の「課」のみに適用する場合は、「課」単位で送ります。

構成プロファイルルール端末の詳細設定
iOS端末の構成プロファイル
macOSユーザプロファイル
macOS端末プロファイル
Android Plusの構成プロファイル
Android Enterpriseの構成プロファイル
Windows PCの構成プロファイル
Windows Embedded端末の構成プロファイル
Linux端末の構成プロファイル
Apple端末のルール
Androidのルール
Windows PCのルール
Windows Embeddedのルール
Linuxのルール
Apple端末の詳細設定
Android端末の詳細設定
Windows PCの詳細設定
Windows Embeddedの詳細設定
Linuxの詳細設定
「構成プロファイル」「ルール」「端末の詳細設定」の作成のタイミングは、端末の登録の後でもよいし、端末の登録の前でも結構です。 端末の登録の前に作成してあると、端末は登録直後に、これらの設定オブジェクトの適用を受けます。

「構成プロファイル」と「端末の詳細設定」は、割り当てる端末(端末グループ)の指定直後に端末に送られ展開されます。サーバから端末にチェックインの要求を だすからです。
  • 端末を、現在所属する端末グループから、他の端末グループに移動するには、「端末を他の端末グループへ移動」を参照ください。 コンソールの端末一覧の画面で、ドラッグ&ドロップで移動できます。端末は、他の端末グループに移ると、その端末の設定を規定する 「構成プロファイル」「ルール」「端末の詳細設定」も、原則的に、新しい端末のそれが適用されます。
  • セキュリティに留意した設定オブジェクトを配布した端末グループを、予め、作成しておきます。その端末グループの名前を、例えば、「異常端末グループ」と名づけておきます。 何かのアラート・インシデントが発生した端末が、MobiControlサーバにチェックインすると、アラートが発動します。アラートが発動した端末は、「異常端末グループ」に 自動的に移動します。
    アラートの場合に、自動通報するメール宛先を作成しておきます。
  • AD_DS(Active Directory Domain Service)の認証を要求するWiFiやVPNがあります。ExchangeメールもAD_DSの認証を経ます。 WiFi、VPN または Exchangeメールに関する構成プロファイルを送るときは、各端末毎にそのユーザのAD_DSログインユーザ名を埋め込んで送ります。 端末からは、自動ログインができるようになります。詳しくは、Active Directory UPNの登録 を参照ください。

端末のケースバイケースの設定 - コンソールからの働きかけ

「構成プロファイル」「ルール」「端末の詳細設定」は、端末の定常的な設定を指定するために作成され、展開されます。
これらの設定オブジェクトの配布とは別に、非定常的な働きかけをすることができます。これは、働きかけのメニューから選択することで実施します。
例えば、次のような働きかけを実施します。
ジオフェンスは、地図上の仮想閉域です。端末がジオフェンスの外に出る、又は、中に入ることを検知すると、MobiControlは、 当該端末の所属グループを変更します。所属グループが変わることで、端末に対する設定が変わります。 例えば、職場領域に入ったら、カメラ機能禁止などを行います。

スクリプトコマンドによる働きかけ

MobiControl管理下の端末やエンドポイントには、MobiControlエージェントというプログラムがインストールされます。
「Android」「Windows Classic」「Windows Embedded」「Linux」のエージェントは、Mobicontrolサーバからのスクリプト・コマンドを受領し、 端末に働きかけをすることができます。

例えば、次のようなスクリプトコマンドを送付します。
  • 特定のアプリをアンインストール
  • ランチャー画面を、通常画面に変える。またはその逆。
  • 端末のハードリセット(電源を落としてから再起動)、またはソフトリセット
  • Android端末で、今すぐ、ウィルススキャンをする
  • コンソールから送った文字列を、端末側からログの形式で、コンソールに送り返す
  • システムアプリの復活
    Android Enterprise Device Owner Modeは、端末を初期化してから設定します。その際、端末出荷時に表示されていたアプリの一部のアイコンが非表示になります。 スクリプトコマンドを送って、これらを復活表示できます。

Windows Modernとして設定したPCに対してのスクリプトは、Windowsのスクリプトを送信します。 その送信は、次の方法のどちらかを採用します。
  • エンドポイントの画面を、コンソールにリモート表示し、操作する。
    コンソールに表示されたエンドポイントの画面の左下の「検索窓」に、cmdと入力すれば、コマンド入力画面がポップアップします。
  • Windowsのシェルスクリプトを、MobiControlパッケージに挿入して、複数のエンドポイントに 向けて一斉送付。このスクリプトは、C:\Users\〇〇〇 や D:\ProgramFiles\〇〇〇 のように、ドライブ名以下のフルパス指定が必要。

データやコンテンツの送付

端末やエンドポイントに、データやコンテンツを送る必要があります。また、モバイルデバイス側の操作で社内のコンテンツを入手したいという要望もあります。 MobiControlでは、「ファイル同期ルール」、「コンテンツライブラリ」、「SOTI_Hub」を用意しています。SOTI_Hubは、Android、iPhone、iPad用のアプリで ファイルのダウンロード、閲覧、編集、アップロード、情報漏洩対策の機能があります。

SOTI Hubコンテンツ・ライブラリファイル同期ルール
ファイルの端末への
ダウンロード元
または
端末からのアップロード先
次のファイル共有システム
  1. BOX
  2. NextCloud
  3. Sharepoint Online
  4. Sharepoint2013
  5. OneDrive for Business
  6. OneDrive
  7. WebDav Server
MobiControlサーバ または
MobiControlサーバから
UNC指定できるファイルサーバ
端末へ配布用のファイルをサーバにアップロードする人 端末ユーザが所属する部門の従業員なら誰でも MobiControl管理者
ダウンロードするファイルを端末で取捨選択できるか
指定された全てのファイルは強制ダウンロード
端末からのファイルのアップロードは可能か
WebDavサーバ宛は除く
1つのファイルの最大サイズ ファイル共有システムの仕様に基づく 2GB 2GB
  • Firewallの外にある端末から、イントラネット内のSharepoint2013 または WebDav Serverにアクセスするために、 イントラネットゲートウェイ(=逆プロキシサーバ)を設定します。これには、SOTIが無償提供する、ERG(Enterprise Resource Gateway)というソフトを インストールします。このゲートウェイは、MobiControlに登録してある端末でないと、外から内部へ通過できません。

アラートルールの設定

端末(エンドポイント)、及び、MobiControlサーバが検知する 異常(ステータスの変更)並びに、アクションの成功又は失敗の結果を、「アラートログ画面」にログに記録するようにします。 アクションとは、端末及びコンソールでの操作、並びに、スケジュールに基づくサーバや端末の自律的アクションを指します。 何らかのインシデントが発生した場合、その原因を特定するのに、このログが参考になります。
ログの記録のためには、アラートルールを作成します。
アラートルールの作成の主要作業は、ログとして記録するアラートイベントを選択する(チェックボックスにチェックを入れる) ことです。なるべく多くのアラートイベントを選択するようにしてください

アラートイベントを検出したときのMobiControlの対応には、大きく分けて3種類あります。そこで、基本的には、3種類のアラートルールを作成します。
MobiControl
の対応
3種類のアラートルール
端末の隔離無害化実施

関係者に自動メール通報実施実施
ログに記録 実施 実施 実施
は、 最も緊急性が高いアラートイベントを選択したアラートルールです。
は、で選択されなかった アラートイベントを選択したアラートルールとなります。
詳しくは、「アラートルール(全OS共通)」を参照ください。

コンソールの端末一覧を見やすくする

端末フィルタ条件式の作成と保存

コンソールの端末一覧に、表示する端末の種類を限定するための「端末フィルタ条件式」を作成します。
例えば、「監視モードのiPhoneのみ」「Android Plusのみ」「Android Enterpriseのみ」「Windows Modernのみ」のような 条件式を作成できます。更には、「構成プロファイルがインストールされてない端末のみ」とか「長期間、MobiControlサーバにチェックインしてない端末のみ」 などの条件式も作成できます。
詳しくは、「端末フィルタ条件式の作成と保存」を参照ください。

端末プロパティのコラムの作成

1つの端末には、多くのプロパティが付随しています。このプロパティの種類が多すぎるので、全てを端末一覧には表示できません。 そこで、必要なプロパティを幾つかピックアップして、コラムを作成します。
MobiControlエージェントのバージョン番号、エージェントのプラグインのバージョン番号、直近のチェックイン時刻、電話番号、 OSのバージョン、端末メーカー、端末のモデル番号などなどが、プロパティです。
詳しくは、「端末プロパティのコラムの作成」を参照ください。

オプションサーバの設定

下記のサーバの設定は必須ではありませんが、設定をすると、MobiControlの可用性が拡がります。
  • イントラネットゲートウェイ
    社外からイントラネット内部のリポジトリサーバ(WebDAVサーバ またはSharePoint2013サーバ)にアクセスするための ゲートウェイ。MobiControlサーバに登録されている端末しか利用できない。
  • セルフサービスポータル
    自分の端末ステータスを、端末ユーザ自身で、対象端末以外のスマホ、タブレット、PCで視ることができます。
    端末を紛失した場合などに、紛失した端末の地理的位置を地図に表示します。ロック中でも紛失端末の画面にメッセージを表示できます。 iOS端末の場合は、連絡先の電話番号へのリンクも表示できます。
    最悪は、自ら、リモートWipeができます。
    夜間や週末に端末を紛失した場合に、コンソール管理者を呼び出す必要がありません
    セルフサービスポータルのサーバは MobiControlサーバそのものです。その自らの端末に限ってのコンソール権限を、端末ユーザに付託する機能です。
  • Exchange ActiveSync Filter
    MobiControlに登録してない端末、又は、特別に許可した端末でないと、Exchangeサーバにアクセスできないようにします。 会社に届出をせずに、Exchangeアカウントを設定した私物端末からのアクセスを禁止できます。 MobiControlに登録してない、これらの私物端末は、情報漏洩の頻度が高くなります。例えば、ロック解除パスワードが設定されてないと、 他人に会社メールを読まれてしまいます。
参考情報として、
端末OS共通の設定項目」と、 「管理コンソールの構成」 を、是非参照ください。
コンソール管理者の追加」を参照して、あなた以外の方にも管理者権限を付与しておいてください。 一定回数ログインに失敗すると、あなたはコンソールにアクセスできなくなります。
MobiControlは、多くの機能を搭載しています。それらの機能をフルに活用すると、貴社の端末やエンドポイントPCを、更に有効活用できます。 マニュアルの全てのページをお読みください。きっと、お役に立つ機能を、発見できると思います。