びっくりマークと上向き矢印

MobiControl v14 Manual


コンソールの表示アイテム

コンソールには、端末群のアイコン、端末の名前、その他の端末プロパティの値が表示されています。
その内、左側のびっくりマーク、上向き矢印、端末アイコンについて説明します。

A. びっくりマーク

端末アイコンの左側に、びっくりマーク(エクスクラメーション・マーク) が付いている場合があります。 (図1)をご覧ください。端末プロパティで、「コンプライアンス・ステータス」の値が、「いいえ」の端末には、全て、びっくりマークが付いています。 これらの端末は問題がある端末です。
一方、「端末モード」が、「Active」でない端末は、端末とMobiControlサーバとの間で交信できなくなっています。

(図1)

(図1)のコラムタイトルには、には、端末プロパティとして、「端末モード」、「OSセキュア」、「エージェント適合性」及び「コンプライアンスステータス」が並んでいます。
これらの端末プロパティを並べる方法は、「端末一覧の端末プロパティの入れ替え」を参照ください。
びっくりマーク が付く理由は、次の4つに大別されます。

(表1)

理由または原因(図1)対策
1登録解除 端末側、またはコンソールで、登録を解除した。「削除」をしてないので、下記のステータスのまま。
  • 登録解除前の端末データは、サーバに保存されている
  • 端末ライセンスを費消している
① ② ③ ④ 次のどちらかを実施
  • 端末を正常に戻したいときは、端末操作で、再登録をする
  • 端末を管理から完全に外すときは、コンソールで、「削除」を選択
2無効化 コンソールで、MobiControlサーバと端末との間の交信を停止させた 交信再開には、コンソールで「有効化」を実施
3脱獄
または
ルート化
端末ユーザが、iPhone/iPadを脱獄、Android端末をルート化 端末をメーカーに持ち込み、OSの再インストール
4正常性構成証明書に異常 Windows Modern PCに異常があれば、 が付くように、 コンソールで設定した 正常性構成証明書で指摘されたセキュリティ脆弱ポイントを解決
  • は、 上向き矢印が付いていて、 MobiControlエージェントのアップデートを促されているが、その他の運用は、正常
  • は、全くの正常

A-1. 登録解除

「登録解除」とは、端末をMobiControlへの登録から解除することです。これを正常に戻すには、端末側での再登録の作業が必要です。

(図2)


(図2)は、端末への働きかけメニューの1部分です。
これの「登録解除」を選択すると、(図3)がポップアップします。

(図3)


(図3)のチェックボックスにチェックを入れずに「登録解除」ボタンを押すと、(図1)の、 のように、「UnenrollPendingAdmin」のステータスになります。
(図3)のチェックボックスにチェックを入れて「登録解除」ボタンを押すと、 (図1)の のように、「UnenrolledByAdmin」のステータスになります。

端末ユーザが、端末の「設定」を操作したり、MobiControlエージェントをアンインストールしたりすると、端末操作で、登録解除ができます。
Android端末での登録解除
端末操作で、登録解除をすると、(図1)の③ ④ のように、「UnenrolledByUser」のステータスになります。
端末ユーザにコンタクトして、なぜ、登録解除をしたのかを、お問い合わせください。
Apple端末またはAndroid端末のMobiControlサーバへの登録を、端末側操作では、解除させないようにする方法があります。

端末を電源オフにすると、MobiControlサーバにチェックインできなくなります。 iPhone/iPadが、7日間チェックインをしてこないと、端末が脱獄されたと、MobiControlサーバが、見なすことがあります。そして、 当該端末を、UnenrolledByUserのステータスにして、登録解除します。

端末を「登録解除」しても、当該端末から、今まで収集したデータやイベントログなどは、MobiControlサーバに残っています。
端末を再登録すると、そのデータを継承することができます。
「登録解除」をしても、端末側でもMobiControlエージェントはインストールされたままの可能性があります。 端末で、 アイコンをタップすると、再登録の画面が ポップアップします。

「登録解除」をしても、MobiControlの端末ライセンスは、費消されたままです。当該端末を、MobiControlで管理する必要がなくなれば、「削除」を実施します。(図4)の「削除」を押します。 「削除」の実施で、端末ライセンスは1本空きます。当該端末に関するデータは、MobiControlサーバから削除されます。端末一覧で、当該端末の表示が消えます。

Windows Modern、Windows Classic、Windows Embeddedのモードで設定した端末での(図2)のメニュー画面には、 「登録解除」項目は表示されません。これらの端末に対しては、「削除」か、次項で説明する「無効化」を選択ください。

A-2. 無効化

(図4)


登録解除はされてないが、コンソール管理者の操作により、端末からのチェックイン受付を拒否している状態です。 (図1)の の端末です。

(図4)は、端末への働きかけメニューの1部分です。
(図4)の「無効化」を選択すると、この状態になります。
当該端末とMobiControlサーバとの交信は中止している状態になっています。

「無効化」をすると、(図1)の のように、「端末モード」の値は、「Disabled」 になっています。

このステータスの端末は、コンソールのアクション項目で、「有効化」を選択すると、再び、「Active」のステータスに戻ります。端末側の操作は不要です。
(MobiControlのバージョンに依っては、「無効化」は、「利用禁止機能」または「暫定停止」と表示されています)

A-3. 「脱獄」または「ルート化」

(図1)の では、端末プロパティの「OSセキュア」が、「いいえ」になっています。 これは、iPhone/iPadでは、端末ユーザにより「脱獄(JailBreak)」された端末です。Android端末では、「ルート化」されています。
  • Android端末がルート化されても、MobiControlエージェントがアンインストールされなかったとします。
    その場合、MobiControlエージェントは、「ルート化」されたことを、MobiControlサーバに告発します。 MobiControlサーバは、コンソールの「OSセキュア」を「いいえ」の表示にします。
  • iOS/iPadOSが、脱獄化されても、MobiControlエージェントがアンインストールされなかったとします。 且つ、端末ユーザが、MobiControlエージェントのアイコンをタップしてくれたとします。
    その場合、MobiControlエージェントは、「脱獄」されたことを、MobiControlサーバに告発します。 MobiControlサーバは、コンソールの「OSセキュア」を「いいえ」の表示にします。
  • 「ルート化」や「脱獄」が原因で、MobiControlエージェントがアンインストールされると、 MobiControlエージェントは、「ルート化」や「脱獄」されたことを、MobiControlサーバに告発できません。 コンソールの「OSセキュア」は、「はい」の表示のままです。しかし、その場合、当該端末は長期のオフラインだったり、 長期のチェックインしてこない状態になります。 従って、長期のオフラインや長期のチェックインしてこない端末は、「脱獄」または「ルート化」された可能性があるとして その検出に努めなければなりません。
    危険な端末を探す」を参照ください。

A-4. 正常性構成証明書に異常

Windows ModernのPCは、起動する毎に、そのセキュリティ対策に脆弱性があるか否かを、MicrosoftのDHA(Device Health Attestation) サーバに診断して貰っています。 DHAサーバは、その診断結果を、正常性構成証明書として作成します。 エンドポイントPCが、MobiControlサーバにチェックインすると、それをトリガーとして、MobiControlサーバは、DHAサーバにアクセスし、正常性構成証明書をダウンロードします。 その内容は、該当のエンドポイントの「端末の詳細」パネルの右下に表示されます。「デバイス正常性構成証明書」の(図1)が そのサンプルです。

しかし、「デバイス正常性構成証明書」の(図4)のどの項目にも、チェックを入れておかないと、上記の(図1)に、 びっくりマーク が付きません。 (図1)の が、その例です。

デバイス正常性構成証明書」の(図4)のどれかの項目に、チェックを入れ、その項目が、 正常性構成証明書で異常と指摘されたら、MobiControlサーバは、上記の(図1)に、 びっくりマーク を付けます。 (図1)の が、その例です。

正常性構成証明書のどの項目で異常と指摘されたら、びっくりマーク が付くか否かは、「デバイス正常性構成証明書」の(図4)に、チェックを入れてあるか否かに、連動します。 貴社にとって、セキュリティ対策上、無視できないと判断した項目には、チェックを入れてください。

異常を指摘されたら、該当のWindows PCエンドポイントのセキュリティに関する脆弱ポイントの改善を、実施してください。これの実施により、 びっくりマーク が、表示されなくなります。

正常性構成証明書に異常があっても、該当のWindows PCからMobiControlサーバへのチェックインは、継続しますし、MobiControlによる管理も継続されます。

正常性構成証明書の詳細に関しては、「デバイス正常性構成証明書」を参照ください。

B. 上向き矢印

(図1)の ① ⑦ ⑧ には、 上向き矢印が 付いています。そして、この端末プロパティの「エージェント適合性」の値は、「いいえ」になっています。

は、該当 端末用の、MobiControlエージェントの新しいバージョンのインストーラが、MobiControlサーバに格納されていることを意味します。

次の端末のOSまたは設定モードに対しては、MobiControlサーバが、エージェントインストーラを格納して、端末への配布を待っています。
  • Android Plus
  • Windows Modern
  • Windows Classic
  • Windows Embedded
  • Linux

(図5)


が付いている端末を選択してから、 (図5)の「エージェントのアップデート」を押すと、MobiControlサーバから、新しいバージョンのエージェント・インストーラが端末に送られ、 サイレント・インストールがされます。

(図6)


(図6)のように、 端末グループを選択し、「アクションの実行」を選択し、「エージェントのアップデート」を押すことでも、 新しいバージョンのエージェント・インストーラが端末に送ることができます。

B-1. MobiControlサーバに格納するエージェントインストーラのバージョンアップ

MobiControlサーバのバージョンアップをすると、MobiControlサーバが格納する エージェントのインストーラも、同時にバージョンアップされます。 従って、MobiControlサーバのバージョンアップをした後には、多くの端末に、上向き矢印が 付きます。

B-2. Android Plusのエージェントインストーラのサーバへの受け渡し

(図7)
エージェントの受け渡し

MobiControlサーバのバージョンアップをすると、MobiControlサーバが格納するAndroid Plusのエージェントのインストーラも、 同時にバージョンアップされます。

しかし、サーバのバージョンアップをしなくても、MobiControlサーバに格納するエージェントのインストーラを、バージョンアップすることができます。 (図7)に図示しているように、SOTIのサイトから、MobiControlサーバに、新しいエージェントの受け渡しをすることができます。 その方法は、「Android Plus端末エージェントのアップデート」のページを 参照ください。(但し、MobiControlサーバのバージョンが、v14.3以上が必要)

Android Plusのエージェントは、平均して毎月に1回は、バージョンアップされます。 従って、MobiControlサーバが格納しているエージェントも、古くなりがちです。

(図7)の受け渡し作業を怠っていると、コンソールの端末一覧には、上向き矢印が付いてないのに その端末のエージェントは、SOTIのサイトのそれに比べると、古いままとなっていることがあります。

B-3. Apple端末とAndroid Enterpriseの場合

Android Enterprise、iOS、iPadOS、macOSの端末には、上向き矢印が 付きません。MobiControlサーバには、これらのエージェントインストーラが格納されないからです。従って、端末のエージェントとそのバージョンの比較ができません。
  1. Android Enterpriseのエージェントインストーラは、Google Playにあります。
    Google Playで、新しいエージェントインストーラ(APKファイル)が掲示された後、次のチェックインのときに、Android Enterpriseは、自動的に、それをダウンロードし、 サイレントインストールします。詳しくは、「Android Enterpriseのエージェントは、自動的にアップデートされる」のページを、参照ください。
  2. iOS、iPadOS、macOS端末の、MobiControlエージェントインストーラは、App Storeにあります。
    これらを、アプリカタログルールに追加しておきます。
    コンソール管理者は、Appストアで、バージョンアップがあったことを検知したら、アプリカタログルールの編集を行います。 その方法は、「アプリのバージョンアップの制御」を参照ください。更に (図8)のように、 アプリカタログの詳細設定で、「少なくともこのバージョンに端末のアプリを自動的に更新」にチェックを入れておくと、 端末ユーザに操作をしてもらわなくても、エージェントは、自動更新されます。

    (図8)

B-4. エージェントアップデートの抑制

端末グループを選んで、「エージェントの更新を無効にする」を選択することができます。

(図9)

そうすると、端末一覧で、端末アイコンの左側に 上向き矢印が 付いていても、そのエージェントのアップデートをさせないようにできます。

上向き矢印が付いていない 端末を(図9)の方法で、アップデートをさせないようにはできません。
Android Enterprise、iOS、iPadOS、macOSの場合は、 上向き矢印が付きません。 これらのアップデートをさせないようにするには、managed Google Play 又は、App Storeからの自動更新を受けないようにしておきます。

C. 端末アイコン

下表で、端末アイコンが表象している端末の状態を説明します。

(表2)

iOS
iPadOS
接続
端末に「接続」させるにはを参照ください。
切断状態
端末がMobiControlサーバと切断している状態です。
この切断状態でも、端末は、サーバにチェックインをします。
「接続」と「チェックイン」の違いは、「iOS:チェックインと接続」を参照ください
Android 接続
端末がMobiControlサーバに接続している状態です。
切断状態
端末がMobiControlサーバと切断している状態です。
Android端末は、接続しているのが常態です
切断状態になっている端末は、正常ではありません。「常にサーバとの接続を維持」のページを参照して、接続を維持するように努めてください。
但し、接続時間帯の設定で、接続をしない時間帯は例外です。バッテリ節約のためです。
Windows
PC
接続
エンドポイントPCがMobiControlサーバに接続している状態です。
切断状態
エンドポイントPCがMobiControlサーバと切断している状態です。
Windows PCは、接続しているのが常態です
切断状態になっているWindows PCは、正常ではありません。
但し、電源をオフにしている場合と、接続時間帯の設定で、接続をしない時間帯は例外です。
macOS
コンピュータ
接続
macOSコンピュータでは、OSが起動すると、MobiControlエージェントも起動し、MobiControlサーバに接続し、それを維持します。
切断状態
macOSコンピュータがMobiControlサーバと切断している状態です。
macOSコンピュータは、接続状態が通常です。
Windows
Embedded
接続
端末がMobiControlサーバに接続している状態です。
切断状態
端末がMobiControlサーバと切断している状態です。
Windows Embedded端末は、接続しているのが常態です
切断状態になっているWindows Embedded端末は、正常ではありません。
但し、電源をオフにしている場合と、接続時間帯の設定で、接続をしない時間帯は例外です。
Linux 接続
LinuxデバイスがMobiControlサーバに接続している状態です。
切断状態
LinuxデバイスがMobiControlサーバと切断している状態です。
Linux デバイスは、接続しているのが常態です
切断状態になっているLinuxデバイスは、正常ではありません。
但し、電源をオフにしている場合と、接続時間帯の設定で、接続をしない時間帯は例外です。