このページは、MobiControl v14.4での画面表示に基づいて、記述されています。
A. 構成プロファイルがインストールされてない端末を探す
構成プロファイルを端末グループに割り当てたのにかかわらず、それがインストールされてないことは、なんらかの問題があります。
そこで、構成プロファイルがインストールされてない端末を探します。
情報漏洩を防ぐために、構成プロファイルで、様々な機能制限を端末に課すことができます。
その情報漏洩を防ぐ機能制限項目は、多々ありますが、次はその例です。
| 対象 | 設定項目 | 防ごうとするリスク |
|---|
| iOS | 端末データをiCloudへバックアップさせない |
会社支給端末内のドキュメントをiCloudにアップロードし、私物のPCなどでそれをダウンロードし、社外へ持ち出す。 |
|---|
macOS
コンピュータ | My Mac iCloudサービスに戻ることを無効にする | iCloudの「どこでも My Mac」を利用し、会社のmacOSコンピュータと
自宅のコンピュータとの間でデータを共有できる。会社のコンピュータのデータを自宅のコンピュータにも取り込める。 |
|---|
| Android Plus | USBストレージの機能停止 | 端末をUSBストレージとして使う。
会社のPCにUSB接続し、会社のサーバやPCのデータを端末にコピーする。端末にコピーされたデータが社外に流出する可能性がある。
|
|---|
| Android Enterprise | USBファイル転送およびUSBストレージを無効にする |
|---|
次の「構成プロファイルがインストールされてない端末を探す」をクリックしてください。
B. チェックインをしてこない端末
デフォルトでは、2時間に1回は、端末は、MobiControlサーバにチェックインをします。そのチェックインがないことには、なんらかの原因があります。
-
電源オフ、バッテリ切れ
-
WiFi専用端末なら、WiFiの電波が届かない位置に持ち出された
-
SIMカードが抜かれた
-
Android端末で、スリープ状態になると、MobiControlエージェントが停止する不具合
これらの端末は、運用上、問題があります。
多段階の対策で、これらの端末をコンソール上で見つけます。そして、当該端末のユーザにコンタクトします。
-
端末一覧のコラムに、デバイスプロパティの「MDMステータス更新」と「エージェントチェックイン時間」を掲示しておく。
これで、定常的にチェックインの時刻を見張ることができます。
- アラートルール
一定時間経っても、チェックイン又は接続してこない端末があると、アラートメールを関係者に送る。
- 検索機能を使って、一定時間経ってもチェックインをしてこない端末のみを、端末一覧に表示する。
iOS端末及びmacOSコンピュータは、下記の C. 項を、その他のOSの端末は、下記のD.項を参照ください。
WiFi専用のAndroid端末が持ち出された場合、又は、盗難などで、SIMカードが抜きとられたAndroid端末は、長時間経っても、MobiControlサーバに接続をしません。
Android端末は、一定時間、MobiControlサーバに接続しない場合、自律的にスクリプトを実行します。例えば、WIPEスクリプトを実行し、
自らのファイルを削除します。
iPhone、iPad、macOSコンピュータのチェックインは、2種類あります。
| チェックインをする主体 | 端末プロパティ | 備考 |
|---|
.png) |
MDMプロトコル | MDMステータス更新 |
iPhone、iPad、macOSコンピュータにとってのチェックイン。端末とMobiControlサーバの間の殆どのトラフィックを送受 |
.png) | MobiControl
エージェント | エージェントチェックイン時間 |
特定のステータス情報、ファイル同期ルールによるファイル、端末の画面画素の送受 |
. と
. の違いについては、「
Apple端末:チェックインと接続」を参照ください。
. のチェックインスケジュールは、
更新スケジュールの設定で変更できます。
参考情報として「
Apple製品のチェックインの仕組み」を参照ください。
iPhone、iPad、macOSコンピュータ以外の端末やエンドポイントPCの交信時刻は、上の表の B. だけです。
E. 端末一覧で、びっくりマーク
が付く端末
端末一覧を見ると、端末の名前の左側に、びっくりマークが
が
付いている端末があります。
これらの端末は、異常状態です。
(図E1)
(図E1)での異常の理由を、下表で説明します。
| 端末モードの値 | 異常の理由 |
|---|
|
UnenrolledByAdmin | コンソールで登録解除を実行
と
の違いについては、
「びっくりマークと上向き矢印」を参照 |
|
UnenrolledPendingAdmin |
.png) |
UnenrolledByUser | 端末側操作で登録解除を実行 |
.png) |
Active | Windows Modern のデバイス正常性構成証明書の「全体的なデバイス正常性」の値が、「端末が準拠していません」になっている |
.png) |
Active | Android端末でルート化、iPhone/iPadで脱獄された |
端末一覧で、びっくりマークが
が付いている
端末があれば、なんらかの対処が必要です。
(図E1)での
UnenrolledByUser のステータスの端末のみを端末一覧に表示するには、
下記の「 F.端末での操作によりMobiControlによる管理から離脱した端末を探す」を参照ください。
(図E1)での
のステータスのWindows PCのみを端末一覧に表示するには、
下記の「 G.デバイス正常性構成証明書で不合格のPCを探す」を参照ください。
(図E1)での
のステータスの端末のみを端末一覧に表示するには、
下記の「 H.「脱獄」または「ルート化」をした端末を探す」を参照ください。
F. 端末での操作によりMobiControlによる管理から離脱した端末を探す
端末ユーザの操作により、端末やPCをMobiControlによる管理から離脱(登録解除)させることがあります。
これらは私用に使われているかもしれません。他人の手に渡っても、コンソール管理者は管理できません。
次の「端末での操作によりMobiControlによる管理から離脱した端末を探す」をクリックください。
- iOS端末では、監視モードに設定してあれば、端末側操作では、MobiControlからの登録解除はできなくすることができます。
詳しくは、「端末操作でのMobiControl登録の解除」を参照ください。
- Android端末でも、端末側操作では、MobiControlから登録解除ができないようにすることができます。
詳しくは、「端末登録解除の禁止」を参照ください。
G. デバイス正常性構成証明書で不合格のPCを探す
デバイス正常性構成証明書とは何かについては、「
デバイス正常性構成証明書」を参照ください。
Windows ModernのPCは、ドライバなどを含めハードウェアの面で、セキュリティ対策に脆弱性があるか否かを、MicrosoftのDHA(Device Health Attestation) サーバに診断して貰います。OSを起動する毎に診断して貰います。
DHAサーバは、その結果をMobiControlサーバに通知します。
それが、デバイス正常性構成証明書です。15の脆弱性診断項目とその診断結果が記されています。詳しくは、「
デバイス正常性構成証明の脆弱性チェック項目の説明」を参照ください。
表示された、デバイス正常性構成証明書の最初の第1行目には、「全体的なデバイス正常性」のラベルがあり、その判定結果が
表示されています。これが、総合評価です。
「全体的なデバイス正常性」の値は、デバイス正常性構成証明書での記述と、このフィルタ条件式の値で、その文言が異なります。
次表に、その関連性を列挙します。
|
デバイス正常性構成証明書での
「全体的なデバイス正常性」の値 | フィルタ条件式
の値 | 説明 |
|---|
| 1. | 端末が準拠しています | 合格 | 脆弱性診断項目全てで、脆弱性無しと診断された |
| 2. |
端末が準拠しています(警告あり) | 警告 |
複数の脆弱性診断項目の1つ以上で、脆弱性ありと診断された。
しかし、それは、貴社のセキュリティ基準としては、無視できる項目である。
|
| 3. |
端末が準拠していません | 失敗 |
複数の脆弱性診断項目の1つ以上で、脆弱性ありと診断された。
且つ、それは、貴社のセキュリティ基準としては、重大である項目である。
|
| 4. | |
なし | デバイス正常性構成証明書をMobiControlサーバが受信できなかった |
どの項目が重大で、どの項目を無視できるかは、「端末の詳細」で選別します。詳しくは、「
正常性構成証明書の選別」を参照ください。
上の表の 3.項に相当するWindows PCのみを、端末一覧に表示する、フィルタ条件式を作ります。
次の「正常性構成証明で、不合格のWindows PCを探す」をクリックしてください。
H. 「脱獄」または「ルート化」をした端末を探す
「脱獄(ジェイルブレーク)」をしたiOS端末と、「ルート化」をしたAndroid端末を探します。
どちらのインシデントも、アラートルールを設定しておけば、関係者に通報メールを送り、端末の無害化を実施できます。
次の「脱獄」または「ルート化」をした端末を探す」をクリックください。
以上、危険な端末を探すための、端末フィルタ条件の作り方を、幾つか紹介しました。
これ以外のリスクを持つ端末を探したい場合は、適宜、端末フィルタ条件を作成して検索を実施してください。
端末フィルタ条件は、端末プロパティに着目し、その値が一定の値だと、フィルタリングするようになっています。
(図A2)などを開いてみるとお分かりのように端末プロパティは、100種類以上あります。
端末プロパティに関しては、「
端末一覧の端末プロパティの入れ替え」を、
参照ください。
適切な端末プロパティを端末一覧に常時表示することでも、危険な端末を把握することができます。
また、アラートルールを設定することにより、異常事態の発生に対し、関係者に報知メールを出し、端末を無害化することもできます。
I. 指定するアプリをインストールしている端末を列挙
を押すと、 構成プロファイルがインストールされてない端末だけが、画面表示されます。
のように変ります。 ディスケットマーク(赤矢印)をクリックすると、(図A6)の条件式を保存できます。条件式に対する任意の名前を入力します。
