危険な端末を探す

MobiControl v14 Manual


このページは、MobiControl v14.4での画面表示に基づいて、記述されています。

A. 構成プロファイルがインストールされてない端末を探す

構成プロファイルを端末グループに割り当てたのにかかわらず、それがインストールされてないことは、なんらかの問題があります。 そこで、構成プロファイルがインストールされてない端末を探します。

情報漏洩を防ぐために、構成プロファイルで、様々な機能制限を端末に課すことができます。 その情報漏洩を防ぐ機能制限項目は、多々ありますが、次はその例です。
対象設定項目防ごうとするリスク
iOS端末データをiCloudへバックアップさせない 会社支給端末内のドキュメントをiCloudにアップロードし、私物のPCなどでそれをダウンロードし、社外へ持ち出す。
macOS
コンピュータ
My Mac iCloudサービスに戻ることを無効にするiCloudの「どこでも My Mac」を利用し、会社のmacOSコンピュータと 自宅のコンピュータとの間でデータを共有できる。会社のコンピュータのデータを自宅のコンピュータにも取り込める。
Android PlusUSBストレージの機能停止端末をUSBストレージとして使う。 会社のPCにUSB接続し、会社のサーバやPCのデータを端末にコピーする。端末にコピーされたデータが社外に流出する可能性がある。
Android EnterpriseUSBファイル転送およびUSBストレージを無効にする
次の「構成プロファイルがインストールされてない端末を探す」をクリックしてください。

構成プロファイルがインストールされてない端末を探す

  • (図A1)
    赤矢印部分にマウスを載せ、クリックします
    (図A2)
    プルダウンメニューが現れるので、「プロファイル」を選択します。
    (図A3)
    「ステータス」を選択します。
    (図A4)
    不等号を選択します。
    (図A5)
    「インストール済み」を選択し、「完了」ボタンを押します。
    (図A6)
    端末フィルタ条件式ができました。
    右側の を押すと、 構成プロファイルがインストールされてない端末だけが、画面表示されます。
    当該端末の名前をクリックし、「構成」タブを開くと、インストールされてないプロファイル名と、それがなぜインストールされてないのかのステータス情報が 表示されます。

    右側は、のように変ります。 ディスケットマーク(赤矢印)をクリックすると、(図A6)の条件式を保存できます。条件式に対する任意の名前を入力します。
    (図A7)
    再度、同じ端末フィルタ条件式で端末を探したいときは、左の歯車マークをクリックします。 今まで保存した端末フィルタ条件式の名前一覧が表示されます。その中から選択すると、同じフィルタリングができます。
    頻度多く検索する端末フィルタ条件式は、保存しておくと便利です。
    構成プロファイルがインストールされてないことは、なんらかの問題がありますから、この端末検索を、頻度多く実行することをお勧めします。

B. チェックインをしてこない端末

デフォルトでは、2時間に1回は、端末は、MobiControlサーバにチェックインをします。そのチェックインがないことには、なんらかの原因があります。
  1. 電源オフ、バッテリ切れ
  2. WiFi専用端末なら、WiFiの電波が届かない位置に持ち出された
  3. SIMカードが抜かれた
  4. Android端末で、スリープ状態になると、MobiControlエージェントが停止する不具合

これらの端末は、運用上、問題があります。

多段階の対策で、これらの端末をコンソール上で見つけます。そして、当該端末のユーザにコンタクトします。
  1. 端末一覧のコラムに、デバイスプロパティの「MDMステータス更新」と「エージェントチェックイン時間」を掲示しておく。
    これで、定常的にチェックインの時刻を見張ることができます。
  2. アラートルール
    一定時間経っても、チェックイン又は接続してこない端末があると、アラートメールを関係者に送る。
  3. 検索機能を使って、一定時間経ってもチェックインをしてこない端末のみを、端末一覧に表示する。
    iOS端末及びmacOSコンピュータは、下記の C. 項を、その他のOSの端末は、下記のD.項を参照ください。

WiFi専用のAndroid端末が持ち出された場合、又は、盗難などで、SIMカードが抜きとられたAndroid端末は、長時間経っても、MobiControlサーバに接続をしません。 Android端末は、一定時間、MobiControlサーバに接続しない場合、自律的にスクリプトを実行します。例えば、WIPEスクリプトを実行し、 自らのファイルを削除します。

iPhone、iPad、macOSコンピュータのチェックインは、2種類あります。
チェックインをする主体端末プロパティ備考
MDMプロトコルMDMステータス更新 iPhone、iPad、macOSコンピュータにとってのチェックイン。端末とMobiControlサーバの間の殆どのトラフィックを送受
MobiControl
エージェント
エージェントチェックイン時間 特定のステータス情報、ファイル同期ルールによるファイル、端末の画面画素の送受

. と . の違いについては、「Apple端末:チェックインと接続」を参照ください。
. のチェックインスケジュールは、更新スケジュールの設定で変更できます。
参考情報として「Apple製品のチェックインの仕組み」を参照ください。

iPhone、iPad、macOSコンピュータ以外の端末やエンドポイントPCの交信時刻は、上の表の B. だけです。

C. 本日一度もチェックインしてないiOS端末及びmacOSコンピュータを探す

MDMステータス更新
  • (図C1)
    赤矢印部分にマウスを載せ、クリックします
    (図C2)
    プルダウンメニューが現れるので、「MDMステータス更新」を選択します。
    (図C3)
    「以下」を選択します。「以下」はここでは「以前」の意味です。
    (図C4)
    カレンダがポップアップするので、本日の日付をクリックし、「完了」ボタンを押します。
    (図C5)
    端末フィルタ条件式が定義できました。
    右側の を押すと、 本日、チェックしていないiOS端末及びmacOSコンピュータが一覧に表示されます。

D. MobiControlエージェントが、本日一度もチェックインしてないの端末やエンドポイントPCを探す

エージェントチェックイン時間
  • (図D1)


    赤矢印部分にマウスを載せ、クリックします。

    (図D2)


    プルダウンメニューが現れるので、「エージェントチェックイン時間」を選択します。

    (図D3)


    「以下」を選択します。「以下」はここでは「以前」の意味です。

    (図D4)


    カレンダがポップアップするので、本日の日付をクリックし、「完了」ボタンを押します。

    (図D5)


    端末フィルタ条件式が定義できました。

    右側の を押すと、 本日、チェックしていない端末のみが、一覧表示されます。

E. 端末一覧で、びっくりマーク が付く端末

端末一覧を見ると、端末の名前の左側に、びっくりマークがが 付いている端末があります。 これらの端末は、異常状態です。

(図E1)

(図E1)での異常の理由を、下表で説明します。
端末モードの値異常の理由
UnenrolledByAdminコンソールで登録解除を実行
の違いについては、 「びっくりマークと上向き矢印」を参照
UnenrolledPendingAdmin
UnenrolledByUser端末側操作で登録解除を実行
ActiveWindows Modern のデバイス正常性構成証明書の「全体的なデバイス正常性」の値が、「端末が準拠していません」になっている
ActiveAndroid端末でルート化、iPhone/iPadで脱獄された

端末一覧で、びっくりマークがが付いている 端末があれば、なんらかの対処が必要です。

(図E1)での UnenrolledByUser のステータスの端末のみを端末一覧に表示するには、 下記の「 F.端末での操作によりMobiControlによる管理から離脱した端末を探す」を参照ください。

(図E1)での のステータスのWindows PCのみを端末一覧に表示するには、 下記の「 G.デバイス正常性構成証明書で不合格のPCを探す」を参照ください。

(図E1)での のステータスの端末のみを端末一覧に表示するには、 下記の「 H.「脱獄」または「ルート化」をした端末を探す」を参照ください。

F. 端末での操作によりMobiControlによる管理から離脱した端末を探す

端末ユーザの操作により、端末やPCをMobiControlによる管理から離脱(登録解除)させることがあります。
これらは私用に使われているかもしれません。他人の手に渡っても、コンソール管理者は管理できません。
次の「端末での操作によりMobiControlによる管理から離脱した端末を探す」をクリックください。

端末での操作によりMobiControlによる管理から離脱した端末を探す

  • (図F1)
    赤矢印部分にマウスを載せ、クリックします
    (図F2)
    プルダウンメニューで、「端末モード」を選択します。
    (図F3)
    等号を選択します。
    (図F4)
    「ユーザーによる登録解除」を選択して、「完了」ボタンを押します。
    (図F5)
    端末フィルタ条件式が定義できました。
    右側の を押すと、 端末ユーザにより登録解除された端末やPCの一覧が表示されます。
  • iOS端末では、監視モードに設定してあれば、端末側操作では、MobiControlからの登録解除はできなくすることができます。
    詳しくは、「端末操作でのMobiControl登録の解除」を参照ください。
  • Android端末でも、端末側操作では、MobiControlから登録解除ができないようにすることができます。
    詳しくは、「端末登録解除の禁止」を参照ください。

G. デバイス正常性構成証明書で不合格のPCを探す

デバイス正常性構成証明書とは何かについては、「デバイス正常性構成証明書」を参照ください。

Windows ModernのPCは、ドライバなどを含めハードウェアの面で、セキュリティ対策に脆弱性があるか否かを、MicrosoftのDHA(Device Health Attestation) サーバに診断して貰います。OSを起動する毎に診断して貰います。
DHAサーバは、その結果をMobiControlサーバに通知します。 それが、デバイス正常性構成証明書です。15の脆弱性診断項目とその診断結果が記されています。詳しくは、「デバイス正常性構成証明の脆弱性チェック項目の説明」を参照ください。

表示された、デバイス正常性構成証明書の最初の第1行目には、「全体的なデバイス正常性」のラベルがあり、その判定結果が 表示されています。これが、総合評価です。

「全体的なデバイス正常性」の値は、デバイス正常性構成証明書での記述と、このフィルタ条件式の値で、その文言が異なります。 次表に、その関連性を列挙します。

デバイス正常性構成証明書での
「全体的なデバイス正常性」の値
フィルタ条件式
の値
説明
1.端末が準拠しています合格脆弱性診断項目全てで、脆弱性無しと診断された
2. 端末が準拠しています(警告あり)警告 複数の脆弱性診断項目の1つ以上で、脆弱性ありと診断された。 しかし、それは、貴社のセキュリティ基準としては、無視できる項目である。
3. 端末が準拠していません失敗 複数の脆弱性診断項目の1つ以上で、脆弱性ありと診断された。 且つ、それは、貴社のセキュリティ基準としては、重大である項目である。
4. なしデバイス正常性構成証明書をMobiControlサーバが受信できなかった

どの項目が重大で、どの項目を無視できるかは、「端末の詳細」で選別します。詳しくは、「正常性構成証明書の選別」を参照ください。

上の表の 3.項に相当するWindows PCのみを、端末一覧に表示する、フィルタ条件式を作ります。

次の「正常性構成証明で、不合格のWindows PCを探す」をクリックしてください。

正常性構成証明で、不合格のWindows PCを探す

  • (図G1)


    赤矢印部分にマウスを載せ、クリックします。

    (図G2)


    プルダウンメニューで、「ヘルス検証」を選択します。

    (図G3)



    プルダウンメニューで、「全体的なデバイス正常性」を選択します。

    (図G4)



    等号を選択します。

    (図G5)



    「失敗」を選択します。

    (図G6)



    右側の を押すと、 正常性構成証明書の「全体性なデバイス正常性」の値が、「端末が準拠していません」とされたWindows PCの一覧が表示されます。
    当該端末の名前をクリックすると、「端末の詳細構成」タブの右下に、Microsoft DHAサーバが送ってきた正常性構成証明書の内容が表示されています。

    右側は、のように変ります。 ディスケットマーク(赤矢印)をクリックすると、(図G6)の条件式を保存できます。条件式に対する任意の名前を入力します。

H. 「脱獄」または「ルート化」をした端末を探す

「脱獄(ジェイルブレーク)」をしたiOS端末と、「ルート化」をしたAndroid端末を探します。
どちらのインシデントも、アラートルールを設定しておけば、関係者に通報メールを送り、端末の無害化を実施できます。
次の「脱獄」または「ルート化」をした端末を探す」をクリックください。

「脱獄」または「ルート化」をした端末を探す

  • (図H1)
    赤矢印部分にマウスを載せ、クリックします
    (図H2)
    プルダウンメニューで、「OSセキュア」を選択します。
    (図H3)
    等号を選択します。
    (図H4)
    「FALSE」を選択して、「完了」ボタンを押します。
    (図H5)
    端末フィルタ条件式が定義できました。
    右側の を押すと、 脱獄したiOS端末とルート化したAndroid端末が表示されます。

以上、危険な端末を探すための、端末フィルタ条件の作り方を、幾つか紹介しました。
これ以外のリスクを持つ端末を探したい場合は、適宜、端末フィルタ条件を作成して検索を実施してください。
端末フィルタ条件は、端末プロパティに着目し、その値が一定の値だと、フィルタリングするようになっています。
(図A2)などを開いてみるとお分かりのように端末プロパティは、100種類以上あります。 端末プロパティに関しては、「端末一覧の端末プロパティの入れ替え」を、 参照ください。
適切な端末プロパティを端末一覧に常時表示することでも、危険な端末を把握することができます。
また、アラートルールを設定することにより、異常事態の発生に対し、関係者に報知メールを出し、端末を無害化することもできます。

I. 指定するアプリをインストールしている端末を列挙

端末グループの端末の中で、指定するアプリがインストールされている端末だけを列挙します。
F. 指定するアプリをインストールしている端末を列挙」を参照ください。