管理者の認証条件

MobiControl v14 Manual

MobiControlコンソールを閲覧したり、操作する管理者の本人認証条件を設定します。
本人認証条件の設定が終われば、「コンソール管理者の登録」をします。
このページでの、「ユーザ」とは、コンソール管理者を指します

コンソール・セキュリティ設定のダイアログ

コンソール管理者の本人認証条件を設定するためには、コンソール・セキュリティ設定のダイアログ(図2)を開きます。 このダイアログを開くためには、(図1)の「システム中枢の設定」の画面を開きます。 (図1)を表示します。表示方法は、MobiControlサーバのプロパティと証明書等設定を参照ください。

(図1)

(図1)の、「コンソールセキュリティの設定」の スパナをクリックすると、(図2)が現れます。

(図2)
コンソール・セキュリティ設定のダイアログ

コンソール管理者の認証条件設定

コンソール管理者の認証手段には、3種類があります。
  1. MobiControlで、ユーザ名とパスワードを作成し、管理する
  2. ADなどのディレクトリサービスで本人認証をする
  3. Azure IdPなどのIDプロバイダにより本人認証をする。

a. の手段を採用する場合は、(図2)の上辺タブで、「コンソール管理者の認証条件設定」を選択します。
b. の手段を採用する場合は、(図2)の上辺タブで、「LDAPの統合」を選択します。
c. の手段を採用する場合は、(図2)の上辺タブで、「SAML SSO」を選択します。

(図2)の上辺タブで「コンソール管理者の認証条件設定」を選択して現れるダイアログを説明します。
(図2)の項目説  明
ログイン失敗許容回数誤ったパスワード入力を許容する回数。
ここで指定した 回数を超えて誤ったパスワードを入力すると、それ以降はログインの試みはできなくなります。
アカウントパスワードの期限切れパスワードの有効期間を日数で指定します。 パスワードの失効2週間前に、パスワード変更のプロンプトメッセージがポップアップします。 パスワード失効以後は、パスワード変更の手続きをしない限り、コンソールにアクセスできなくなります。
ユーザにアカウントのパスワード変更を許可するコンソール管理者はいつでもパスワードを変更できるようになります。
ユーザーを単一のコンカレントセッションに制限 これにチェックを入れると、同じユーザ名でログインできるコンソールPCの台数を1台に限定します。 既に、1台のコンソールPCでログインしていると、同じユーザ名では他のコンソールPCでログインできなくなります。コンソール管理者のパスワードの使いまわしを 防ぎます。
ユーザのパスワードは、次の複雑性を満たす必要がありますこれにチェックを入れると、管理者のコンソールに対するパスワードの複雑性を設定できます。
Android端末管理者パスワードに複雑な要件を設定しますここにチェックを入れると、 Android端末を管理者としてロック解除できるパスワードの複雑性を設定できます。
Android端末のロック解除のための構成プロファイルでは、端末ユーザのパスワードと、管理者のパスワードの両方を設定します。 端末に対しランチャーを設定した場合、端末ユーザのパスワードでロック解除すると、ランチャー画面が表示されます。
管理者のパスワードでロック解除すると、通常のホーム画面が表示されます。
Android Plusのパスワード設定」と 「Android Enterpriseのパスワード設定」を参照ください。

LDAPの統合

(図2)の上辺タブで「LDAPの統合」を開くと、画面は(図3)のように遷移します。
AD_DSなどのディレクトリ・サービスで、コンソール管理者の本人認証をするときの、「ディレクトリサービスへの接続プロファイル」 を選択します。(図3)には、MobiControlに既に登録した「ディレクトリサービスへの接続プロファイル」のリストが、表示されます。 コンソール管理者となり得るユーザグループ、またはユーザが登録されているディレクトリサービスに対する「接続プロファイル」を指定します。

続けて、ディレクトリ・サービスの、どのユーザグループ、またはどのユーザを、コンソールへのアクセスを許容するかを指定します。それには、 「コンソール管理者グループ」のページの 「E. ディレクトリサービスのユーザグループ、またはユーザを、コンソール管理者として登録」 を参照ください。
その許容プロセスの設定では、(図3)で選択した、「ディレクトリサービスへの接続プロファイル」を参照します。

(図3)

(図3)で、「管理」ボタンを押すと、「ディレクトリサービスへの接続プロファイル」の作成ダイアログが現れます。

SAML SSO

(図2)の上辺タブで「SAML SSO」を開くと、画面は(図4)のように遷移します。
(図4)の赤矢印をプルダウンすると、MobiControlサーバに登録済の「IDプロバイダへの接続プロファイル」の リストが表示されます。IDプロバイダとは、SAML2.0規格の Azure IdP やOktaなどを指します。

(図4)

このリストの中から、1つを選択します。「IDプロバイダへの接続プロファイル」は、MobiControlサーバが IDプロバイダに接続するための諸条件が設定されています。詳しくは、「IDプロバイダへの接続プロファイル」を 参照ください。
コンソール管理者となり得るユーザグループ、またはユーザが登録されているIDプロバイダに対する「接続プロファイル」を指定します。

続けて、IDプロバイダの、どのユーザグループ、またはどのユーザに、コンソールへのアクセスを許容するかを指定します。それには、 「コンソール管理者グループ」のページの 「F. IDプロバイダのユーザグループ、またはユーザを、コンソール管理者グループとして登録」を参照ください。
その許容プロセスの設定では、(図4)で選択した、「IDプロバイダへの接続プロファイル」を参照します。 (図4)で、「管理」ボタンを押すと、「IDプロバイダへの接続プロファイル」の作成ダイアログが現れます。

IDプロバイダによる認証の場合は、次のようなメリットがあります。
  • IDプロバイダによる認証は、SSO(シングルサインオン)なので、ログインIDやパスワードの入力などが不要になります
  • IDプロバイダによっては、2段階認証の機能を持っています。これを利用すれば、MobiControlコンソールへのアクセスには、 2段階認証を 経たデバイスのみに限定できます。

エンドポイント認証

セルフサービスポータルとiOSプロファイルカタログに、アクセスする人を、どの認証ソースで認証するかを 設定します。
(図2)の上辺タブで「エンドポイント認証」を開くと、画面は、(図5)のように遷移します。

(図5)


(図5)の「認証ソース」の右端(赤矢印部分)をクリックすると、 認証ソースのリストがプルダウンします。
既に作成済の「ディレクトリサービスへの接続プロファイル」と 「IDプロバイダへの接続プロファイル」がリスト表示されます。
  • ディレクトリサービスへの接続プロファイル」を選択すると、 そのディレクトリサービスで指定されているユーザグループのメンバーでないと、 セルフサービスポータルとiOSプロファイルカタログに、アクセスできなくなります。
  • IDプロバイダへの接続プロファイル」を選択すると、 そのIDプロバイダで指定されているユーザグループのメンバーでないと、 セルフサービスポータルとiOSプロファイルカタログに、アクセスできなくなります。
  • 「Webコンソールと同じ」を選択すると、MobiControlコンソールへ、パスワードベースでアクセスされているユーザは、 「セルフサービスポータル」へアクセスできるようになります。
    パスワードベースでMobiControlコンソールへアクセスできる権限者は、「コンソール管理者の追加」 で、指定します。
  • 「登録と同じ」を選択すると、iOS端末を登録したときに認証されたユーザであれば、iOS端末の画面に表示される、iOSプロファイルカタログの アイコンを開けることができます。iOSプロファイルカタログには、該当のiOS端末に割り当てられている構成プロファイルの一覧と、各々の ステータスが表示されています。