Windows PCの設定
A. Windows Modern か Windows Classicか
MobiControlでの Windows PCの設定モードには、Windows Modern と Windows Classicがあります。 WindowsコンピュータをMobiControlで管理しようとする場合は、Windows Modern と Windows Classicのどちらで設定するかを、 まず、決めます。詳しくは、「C. Windows Modern と Windows Classicの違い」を参照ください。
Windows Modern と Windows Classicの主な違い Windows Modern Windows Classic 用途 PCとしての汎用的な利用
- 特定アプリのみの専用端末
- Windowsサーバ画面のリモート操作
機能面での主な特徴 多彩な構成プロファイル
但し、「ランチャー作成機能」は、ありません。
注1ランチャー作成機能 サポートする
OS
注2Windows10のみ Windows8.x、Windows10
Windows Server 2012/2016/201932bit 及び 64bit
- 注1 MobiControl v15.0 から、Windows Modern でも、ランチャー作成機能を搭載します。
- 注2 MobiControl v15.4.2 から、Windows Modern とWindows Classicの両方のモードで、Windows11をサポートします。
B. エンドポイントとMobiControlサーバとの間で送受されるオブジェクト
エンドポイントをMobiControlに登録したら、「構成プロファイル」「端末の詳細設定」 及び「(端末登録ルール以外の)ルール」を設定し、指定の端末グループに適用します。 これらの適用をした後に、端末を登録したら、登録直後に自動的に適用されます。
(図1)
これらのオブジェクトは、エンドポイントがチェックインをした時にしか送受されません。構成を設定する方法については、下記のリンク先ページを参照ください。端末は、企業/団体の組織を反映して、階層構造の端末グループに登録されています。
- 構成プロファイル
「構成プロファイルの留意事項」も、あわせてご一読ください。
一つの端末グループに複数の構成プロファイルを割り当てるケースや、構成プロファイルの割り当てオプションを説明してあります。- パッケージを積み込んだプロファイル
アプリのインストーラとスクリプトコマンドを挿入してパッケージを作成。パッケージをプロファイルへ積み込む。 デフォルトでは、アプリはサイレントインストールされます。- 端末の詳細設定
「端末の詳細設定の留意事項」もあわせて、ご一読ください。
上位層の端末の詳細設定との継承などについて説明してあります。- ルール
「ルールの留意事項」もあわせて、ご一読ください。
「ルール」は、仮想端末グループに適用できます。例えば、「Windows10 64bitのみの仮想端末グループ」を作成できます。 64bitのCPUのWindows10エンドポイントにしかインストールできないアプリカタログルールを 作成するときに便利です。- 働きかけメニュー
- Windows Classicに対するスクリプトコマンド
「本部」-->「部」-->「課」。
端末登録ルールを除くと、構成の設定は、なるべく上位階層の端末グループを適用対象とすると、管理が便利です。 勿論、下位階層の端末グループの特殊性に鑑みて、下位階層の端末グループを適用対象とすることもできます。
詳しくは、「構成プロファイルとルールと詳細設定」を、参照ください。C. Windows ModernとWindows Classicの違い
C-1. 機能面での違い
Windows Modern Windows Classic リモート画面操作 コンソールからメッセージを送信し、エンドポイントの画面に表示 アプリ配布手段 ランチャー作成機能
- MobiControlのサーバ・インスタンスを、v15にアップグレードすると、Windows Modernでも、ランチャーを適用できます。
- MobiControl v14 では、「アサインド・アクセス」の構成プロファイルを適用することで、疑似的にランチャーを作成できます。
アプリの制限 アプリのブラックリスト/ホワイトリスト ランチャーによる制限 セキュリティ対策
- Windows Defenderによるシグネチャベースのウィルス検疫の設定
- 仮想セキュアモードになっているかどうかのチェック
- Microsoft Defender ATPのリモートオンボーディング
- デバイス正常性構成証明書の取得と表示
更に、 デバイス正常性構成証明書の15の診断項目の内、貴社にとってクリティカルとされる項目があれば、端末一覧のエンドポイントの名前の左に、 を付けます- WIP(Windows 情報保護)による人為的情報漏洩対策の設定
- BitLockerによるファイル暗号化
- 端末機能制限による情報漏洩対策
SDカードやUSBメモリへの書込禁止など- ロック解除のための本人認証条件のリモート設定
- その他
無し スクリプトコマンド MobiControlのスクリプトは使えない。Windowsのシェルスクリプトを、リモート操作画面で入力。 MobiControlスクリプトを使える。端末グループの全端末に向けて一斉送信も可能。 Windows OSの更新のコントロール 通信機能のリモート設定 C-2. アプリの配布とインストール
アプリの配布手段として、MobiControlは、「アプリカタログ・ルール」、「ファイル同期ルール」及び「MobiControlパッケージ」の3つを用意しています。 下表で、セルの背景色が黄色の場合は、サイレント・インストールが可能です。 サイレント・インストールとは、 端末ユーザの知らない裡に、アプリを自動ダウンロードし、インストールすることを指します。
アプリカタログ
ルールファイル同期
ルールMobiControl
パッケージWindows Modern Windows Classic
- Windows Classicにインストールファイルを送るファイル同期ルールでは、ファイル送信後に、インストールを開始するスクリプトコマンドを付記できます。 その場合は、サイレント・インストールがされます。
- MobiControlパッケージとは、 MobiControlパッケージスタジオを使って、アプリを挿入し作成したファイル(拡張子 .pcg)です。 構成プロファイルにパッケージを積み込んで、端末に配布します。 デフォルトでは、サイレント・インストールをします。
- サイレント・インストールが適切でないアプリがあります。
インストールの途中で、エンドポイントにて、ライセンス番号など、何らかの入力を要求するアプリがそれです。この場合、サイレント・インストールを指定すると、インストール途中で画面が 止まってしまいます。このようなアプリの場合は、端末ユーザが「インストール」ボタンをタップすることで、 インストールを開始するようにします。
- アプリカタログ・ルールでは、エンドポイントでアプリカタログから、インストールするべきアプリを選択してインストールを開始するのが仕様です。
- ファイル同期ルールでは、インストールファイルが保存されているフォルダを探して、それをクリックすることでインストールを開始できます。
- MobiControlパッケージは、デフォルトでは、サイレント・インストールを試行します。
しかし、 構成プロファイルを積み込んだプロファイルの割り当てオプションで、インストール方法を「セルフサービス」に 設定変更することができます。「端末ユーザの任意の時刻にインストール」を参照ください。
エンドポイントで、MobiControlエージェントを開き、プロファイルメニューから、インストールするプロファイルを選択することで、アプリのインストールを開始できます。C-3. 構成プロファイル
構成プロファイルは、エンドポイントの機能制限やその挙動(WiFiやVPNなど)を規定します。 (図2)は、Windows Modernに対して用意している構成プロファイルのメニューです。(図2)
Windows Modernの構成プロファイルのメニュー
(図3)は、Windows Classicに対して用意している構成プロファイルのメニューです。(図3)
Windows Classicの構成プロファイルのメニュー
ランチャーとは、指定のアプリ群のみを表示したデスクトップ画面を提供する機能です。
Windows Modernが、一般的なPCの使われ方に適しているのに対し、Windows Classicは、専用業務を用途としています。C-4. チェックインとWNS
エンドポイントは、更新スケジュールを内蔵しています。(このスケジュールは設定変更ができます。)(図4)更新スケジュール
(図1)で示したオブジェクトは、エンドポイントからチェックインをしたときのみに実施されます。 チェックインは、次の3つのトリガーのどれかで実行されます。
但し、MobiControlサーバは、c.項のチェックインの直接要求を、Windows Modernを対象にしてはできません。
- (図4)の更新スケジュールの時刻になった時
(図5)
但し、この時点で、エンドポイントが、MobiControlサーバとオンラインになっていなければなりません。
- MobiControlエージェントが起動した時
エンドポイントのOSが起動すると、同時に、MobiControlエージェントが起動します。 MobiControlエージェントが起動すると、MobiControlサーバに接続します。但し、(図4)の「端末が接続したときに常に更新」にチェックを入れておく必要があります。- MobiControlサーバから、エンドポイントに対しチェックインを要求したとき
次の場合に、MobiControlサーバは、エンドポイントに対しチェックインをするように要求をします。
- コンソールで、をクリックした
- コンソールで、「構成プロファイル」を配布する端末グループを割り当てた
- コンソールで、「詳細設定」を変更した
- コンソールで、エンドポイントへの働きかけ(紛失の場合の「初期化」など)を実施した
この場合は、エンドポイントへの働きかけや、構成変更をするには、エンドポイントからの、a.項 又は b.項をトリガーとするチェックインまで待つしかありません。
しかし、MicrosoftのWNS(Windows Notification Service)を利用すると、Windows Modernでも、c.項のチェックインの要求が可能になります。(図6)
WNSについては、「WNSから認証を得る」を参照ください。 端末がアラート状態になると、アラートルールに従って、そのアラートステータスをサーバに送ります。これはチェックインの時を待って送ります。 更新スケジュールの頻度を多くすると、MobiControl管理者が、アラートステータスを早く知ることができます。
通信回線の輻輳とのトレードオフになります。 尚、ファイル同期ルールによるファイルの送受タイミングには、上述の「チェックイン」の際に同時に行う場合と、「ファイル同期ルール独自のスケジュール」の時刻に送受をする場合の 2つの選択肢があります。C-5. Windows エンドポイントとFirewall
イントラネット内部のWindows エンドポイントと、これに対応するFirewallのポートと許可するURLに関しては、下記のページを参照ください。C-6. AD_DS認証によるメリット
Windows ModernのPCが、AD_DSの認証を得てMobiControlに登録されていれば、次のようなメリットが得られます。
AD_DS = Active Directory Domain Service上記を実現するには、MobiControlサーバが、エンドポイント・ユーザのAD_DS情報を把握しておく必要があります。
- WIP(Windows情報保護)では、ドメインに属しているエンドポイントでのみ、共用ファイルを開けるようになります。
- Exchangeをメールサーバとする場合に、メールプロファイルをリモート設定できます。
メールサーバのURLやメールアカウントを設定した構成プロファイルを、複数のエンドポイントに一斉送付することで、リモート設定します。 ユーザ名、UPN、メールアドレスなどをマクロ文字列で定義しておけば、各ユーザ毎のパラメータ値に変換して、個別のエンドポイントに送ります。
例えば、構成プロファイルでの設定では、%ENROLLEDUSER_EMAIL%と入力しておけば、各エンドポイントには、そのユーザのメールアドレスに変換して構成プロファイルが送られます。- AD_DSの認証をすることで、利用ができる、WiFiやVPNがあります。
コンソールで作成するWiFiやVPNの構成プロファイルには、AD_DSによる認証情報を付加して、エンドポイントに送ることができます。 エンドポイントでは、WiFiやVPNに自動アクセスできるようになります。但し最初のアクセスだけは、AD_DSのパスワード入力が必要です。- セルフサービスポータル
他のコンピュータから、該当エンドポイントPCに直接操作できるようになります。画面のリモート操作、リモートロック、初期化、ができます。 該当PCが閉域網の中にあってもリモート操作ができます。但し、リモート操作する側のコンピュータが、AD_DSの認証を得られることと、MobiControlサーバに アクセスできるネットワーク環境にあることが前提です。C-7. Windows コンピュータのMobiControlへの登録方式
Windows Modernでは、2種類の登録方式があります。
Windows Modern Windows Classic AD_DSによる認証を
伴わない方式証明書ベースの登録
プロビジョニング・パッケージを起動することで登録MobiControlエージェントのインストールによる登録 AD_DSによる認証を
伴なう方式
注「設定」の「アカウント」での登録 無し 注「証明書ベースの登録」の後に、上記の「C-6. AD_DS認証によるメリット」を実現するためには、各エンドポイントPCとそのユーザのAD_DS情報を紐づけることが必要です。 MobiControlコンソールで、エンドポイントPC毎に、AD_DSのユーザを後付けアサインをすることが可能です。
- MobiControlサーバが、AD_DSサーバと接続できていれば、AD_DSサーバと接続できないネットワーク環境のエンドポイントでも、登録は可能。
- Azure ADによる認証でも、登録は可能。
C-8. Windows Modernをサポートする Windows10 エディション
Windows 10 の次のEditionをサポートします。32bitCPU、64bitCPUの両方をサポートします。
- Windows 10 Home
但し、管理できる機能に制限があります。- Windows 10 Pro
- Windows 10 Pro in S Mode
- Windows 10 Enterprise
- Windows 10 Enterprise LTSB
- Windows 10 Education
- Windows 10 Holographic
- Windows 10 Holographic for Business
- Windows 10 Hyper-V
- Windows 10 IoT Enterprise
- Windows 10 IoT Enterprise LTSB(LISC)