コンソール管理者の本人認証条件
MobiControlコンソールを閲覧したり、操作する管理者の本人認証条件を設定します。
本人認証条件の設定が終われば、「コンソール管理者の登録」をします。
このページでの、「ユーザ」とは、コンソール管理者を指します。
コンソール・セキュリティ設定のダイアログ
コンソール管理者の本人認証条件を設定するためには、コンソール・セキュリティ設定のダイアログ(図2)を開きます。 このダイアログを開くためには、(図1)の「システム中枢の設定」の画面を開きます。 (図1)を表示します。表示方法は、MobiControlサーバのプロパティと証明書等設定を参照ください。(図1)
(図1)の、「コンソールセキュリティの設定」の
スパナをクリックすると、(図2)が現れます。
(図2)
コンソール・セキュリティ設定のダイアログ
コンソール管理者の認証条件設定
コンソール管理者の認証手段には、3種類があります。
- MobiControlで、ユーザ名とパスワードを作成し、管理する
- ADなどのディレクトリサービスで本人認証をする
- Azure IdPなどのIDプロバイダにより本人認証をする。
a. の手段を採用する場合は、(図2)の上辺タブで、「コンソール管理者の認証条件設定」を選択します。
b. の手段を採用する場合は、(図2)の上辺タブで、「LDAPの統合」を選択します。
c. の手段を採用する場合は、(図2)の上辺タブで、「SAML SSO」を選択します。 (図2)の上辺タブで「コンソール管理者の認証条件設定」を選択して現れるダイアログを説明します。
(図2)の項目 説 明 ログイン失敗許容回数 誤ったパスワード入力を許容する回数。
ここで指定した 回数を超えて誤ったパスワードを入力すると、それ以降はログインの試みはできなくなります。アカウントパスワードの期限切れ パスワードの有効期間を日数で指定します。 パスワードの失効2週間前に、パスワード変更のプロンプトメッセージがポップアップします。 パスワード失効以後は、パスワード変更の手続きをしない限り、コンソールにアクセスできなくなります。 ユーザにアカウントのパスワード変更を許可する コンソール管理者はいつでもパスワードを変更できるようになります。 ユーザーを単一のコンカレントセッションに制限 これにチェックを入れると、同じユーザ名でログインできるコンソールPCの台数を1台に限定します。 既に、1台のコンソールPCでログインしていると、同じユーザ名では他のコンソールPCでログインできなくなります。コンソール管理者のパスワードの使いまわしを 防ぎます。 ユーザのパスワードは、次の複雑性を満たす必要があります これにチェックを入れると、管理者のコンソールに対するパスワードの複雑性を設定できます。 Android端末管理者パスワードに複雑な要件を設定します ここにチェックを入れると、 Android端末を管理者としてロック解除できるパスワードの複雑性を設定できます。
Android端末のロック解除のための構成プロファイルでは、端末ユーザのパスワードと、管理者のパスワードの両方を設定します。 端末に対しランチャーを設定した場合、端末ユーザのパスワードでロック解除すると、ランチャー画面が表示されます。
管理者のパスワードでロック解除すると、通常のホーム画面が表示されます。
「Android Plusのパスワード設定」と 「Android Enterpriseのパスワード設定」を参照ください。LDAPの統合
(図2)の上辺タブで「LDAPの統合」を開くと、画面は(図3)のように遷移します。
AD_DSなどのディレクトリ・サービスで、コンソール管理者の本人認証をするときの、「ディレクトリサービスへの接続プロファイル」 を選択します。(図3)には、MobiControlに既に登録した「ディレクトリサービスへの接続プロファイル」のリストが、表示されます。 コンソール管理者となり得るユーザグループ、またはユーザが登録されているディレクトリサービスに対する「接続プロファイル」を指定します。 続けて、ディレクトリ・サービスの、どのユーザグループ、またはどのユーザを、コンソールへのアクセスを許容するかを指定します。それには、 「コンソール管理者グループ」のページの 「E. ディレクトリサービスのユーザグループ、またはユーザを、コンソール管理者として登録」 を参照ください。
その許容プロセスの設定では、(図3)で選択した、「ディレクトリサービスへの接続プロファイル」を参照します。(図3)
(図3)で、「管理」ボタンを押すと、「ディレクトリサービスへの接続プロファイル」の作成ダイアログが現れます。
SAML SSO
(図2)の上辺タブで「SAML SSO」を開くと、画面は(図4)のように遷移します。
(図4)の赤矢印をプルダウンすると、MobiControlサーバに登録済の「IDプロバイダへの接続プロファイル」の リストが表示されます。IDプロバイダとは、SAML2.0規格の Azure IdP やOktaなどを指します。(図4)
このリストの中から、1つを選択します。「IDプロバイダへの接続プロファイル」は、MobiControlサーバが IDプロバイダに接続するための諸条件が設定されています。詳しくは、「IDプロバイダへの接続プロファイル」を 参照ください。
コンソール管理者となり得るユーザグループ、またはユーザが登録されているIDプロバイダに対する「接続プロファイル」を指定します。 続けて、IDプロバイダの、どのユーザグループ、またはどのユーザに、コンソールへのアクセスを許容するかを指定します。それには、 「コンソール管理者グループ」のページの 「F. IDプロバイダのユーザグループ、またはユーザを、コンソール管理者グループとして登録」を参照ください。
その許容プロセスの設定では、(図4)で選択した、「IDプロバイダへの接続プロファイル」を参照します。 (図4)で、「管理」ボタンを押すと、「IDプロバイダへの接続プロファイル」の作成ダイアログが現れます。 IDプロバイダによる認証の場合は、次のようなメリットがあります。
- IDプロバイダによる認証は、SSO(シングルサインオン)なので、ログインIDやパスワードの入力などが不要になります
- IDプロバイダによっては、2段階認証の機能を持っています。これを利用すれば、MobiControlコンソールへのアクセスには、 2段階認証を 経たデバイスのみに限定できます。
エンドポイント認証
セルフサービスポータルとiOSプロファイルカタログに、アクセスする人を、どの認証ソースで認証するかを 設定します。
(図2)の上辺タブで「エンドポイント認証」を開くと、画面は、(図5)のように遷移します。(図5)
(図5)の「認証ソース」の右端(赤矢印部分)をクリックすると、 認証ソースのリストがプルダウンします。
既に作成済の「ディレクトリサービスへの接続プロファイル」と 「IDプロバイダへの接続プロファイル」がリスト表示されます。
- 「ディレクトリサービスへの接続プロファイル」を選択すると、 そのディレクトリサービスで指定されているユーザグループのメンバーでないと、 セルフサービスポータルとiOSプロファイルカタログに、アクセスできなくなります。
- 「IDプロバイダへの接続プロファイル」を選択すると、 そのIDプロバイダで指定されているユーザグループのメンバーでないと、 セルフサービスポータルとiOSプロファイルカタログに、アクセスできなくなります。
- 「Webコンソールと同じ」を選択すると、MobiControlコンソールへ、パスワードベースでアクセスされているユーザは、 「セルフサービスポータル」へアクセスできるようになります。
パスワードベースでMobiControlコンソールへアクセスできる権限者は、「コンソール管理者の追加」 で、指定します。- 「登録と同じ」を選択すると、iOS端末を登録したときに認証されたユーザであれば、iOS端末の画面に表示される、iOSプロファイルカタログの アイコンを開けることができます。iOSプロファイルカタログには、該当のiOS端末に割り当てられている構成プロファイルの一覧と、各々の ステータスが表示されています。
