Android Enterpriseプロファイル

MobiControl v14 Manual


端末の定常的な挙動を設定するために、「構成プロファイル」、「パッケージを搭載したプロファイル」、「詳細設定」 及び「ルール」を作成して端末に送ります。


このページでは、「構成プロファイル」の作成と、その端末への展開方法について、概説します。
端末に対する非定常的な働きかけは、コンソールでアクション項目を選択したり、スクリプトコマンドを送信して実施します。 リモートWipeやリモート画面操作などが非定常的な働きかけです。

A. 設定のための基本メニュー

コンソール画面の左上の三本線アイコンをクリックすると、(図1)の基本メニュー画面が現れます。
(図1)
(図1)の「プロファイル」を選択すると、設定済みの構成プロファイルの一覧画面(図2A)又は(図2B)が現れます。
  • MobiControl v14.3以上の場合は、(図2A)が表示されます。
  • MobiControl v14.3未満の場合は、(図2B)が表示されます。

(図2A)
プロファイルの一覧 (MobiControl v14.3以上の場合)

右上の「新しいプロファイル」のアイコン(赤矢印)をクリックすると、端末のプラットフォームの一覧がプルダウンされます。 この中から「Android Plus」を選択すると、(図3)が現れます。

(図2B)
プロファイルの一覧 (MobiControl v14.3未満の場合)

(図2B)の上辺のタブで、「Android PLus」を選択し、更に「追加」(赤矢印)を押すと、(図3)が現れます。

B. 構成プロファイルに名前をつける

(図3)

名前欄に、構成プロファイルの名前を入力します。構成プロファイル内の構成や利用対象の組織名などを類推しやすい名前をつけるのがよいでしょう。
説明欄に、構成プロファイル内の構成や利用対象がより分かり易い記述を書き込みます。
構成プロファイルを更新した場合は、その履歴も記入しておくとよいでしょう。

C. 構成プロファイルのタイプを選択する

(図3)で、「タイプ」の右端をプルダウンすると、Androidの3種類の設定モードのメニューが現れるので、選択します。
  • Android Enterprise
  • Samsung KNOX
  • Android Plus
端末を、「Android Enterprise」モードで設定したい場合は、「Android Enterprise」を選択します。
タイプの選択が終われば、「構成」タブを選択します。(図4)が現われます。

(図4)

D. Android Enterpriseの構成プロファイル・メニュー

(図4)で「追加」タブを選択すると、(図5)が現われます。

(図5)
Android Enterpriseの構成プロファイル・メニュー


(図5)で設定したい項目をクリックすると、各々の設定ダイアログがポップアップします。

E. 構成プロファイルの端末グループへの割り当て

各々の設定ダイアログでの設定が終わり、その「OK」ボタンを押すと、画面は(図6)に遷移します。
設定した設定項目のタイトルが挿入されました。

(図6)

(図6)で、再度「追加」ボタンを押すと、(図5)が再度ポップアップします。ここで他の項目を選択して、設定項目を追加することができます。
設定項目を追加する必要がない場合は、(図6)の下辺の「保存して割り当て」ボタンを押します。 (図7)がポップアップします。

(図7)

(図7)で、構成プロファイルの配布対象となる端末グループまたは端末を選択します。選択をするとチェックボタンが青くなります。 選択が終わると、下辺の「割り当て」ボタンを押します。これで、端末グループまたは端末の割り当てが完了します。
「割り当て」直後に、構成プロファイルは、端末(群)に送られ展開されます。端末は、この構成プロファイルに従って挙動するようになります。

「割り当て」直後に、構成プロファイルが、端末(群)に送られるためには、端末は、MobiControlサーバとオンラインでなければなりません。 オンラインの場合は、(図7)のように、端末アイコンがと、ブルーになっていなければなりません。
オフラインの場合は、アイコンが、 と表示されます。
Android端末は、接続時間帯の設定により、非接続時間帯の時刻でない限り、オンラインであるのが常態です。
オフラインの端末に対しては、その端末がオンラインになったときに、構成プロファイルが展開されます。
Android OSのバージョンが、6.x、7.xの場合、 スリープ化すると、オフラインになることがあります。 「常にサーバとの接続を維持」を参照し、スリープ状態になってもオンラインを維持するようにしてください。

F. 構成プロファイルの修正または項目の削除

(図6)の段階で、構成プロファイルの内容を修正したいときがあります。 その場合は、(図6)で、 設定した構成の項目を選択(背景色が変わる)してから、「アクション」をプルダウンすると、(図8)のように アクション項目が表示されます。 ここで、「編集」を選択すると、設定項目のダイアログが再度表示されるので、そこで、設定内容を修正します。

(図8)

「削除」は選んでいる設定項目のみを削除。「全てを削除」は、当該プロファイルの全ての設定項目を削除します。

G. 作成済の構成プロファイルへの働きかけ

(図2A)または(図2B)を参照ください。これは、作成済の構成プロファイルのリストです。
作成済の構成プロファイルに対し、各種の働きかけができます。

G-1. MobiControl v14.3以上の場合

(図2A)で、該当の構成プロファイルを選択すると、画面下辺に、(図9)のようなメニューが現れます。

(図9)

(図9)の右端の3点マークをクリックすると、(図10)のようにメニューが拡がります。
(図10)
働きかけの権限を持つコンソール管理者の変更または追加
構成プロファイルを削除した端末に再インストール
割当をする端末グループを追加、又は削除。
フィルター条件と適用日時の指定
構成プロファイルの端末とサーバでの削除
これから追加登録する端末に対しては、当該構成プロファイルを非適用
構成プロファイルの端末での削除
構成プロファイルのコピー
プロファイル項目の内容の一部を修正して、 他の端末グループに割り当てる
構成プロファイルの設定内容の修正

G-2. MobiControl v14.3未満の場合

(図2B)で、該当の構成プロファイルにマウスを当てて、背景色をブルーにしてから、「アクション」タブをプルダウンします。 「アクション」タブをプルダウンすると、(図11)のようなプルダウンメニューが現われます。

(図11)

プロファイルの編集 構成プロファイルの設定内容の修正
プロファイルの割り当て 割当をする端末グループを追加、又は削除。
フィルター条件と適用日時の指定
プロファイルの複製 構成プロファイルのコピー
プロファイル項目の内容の一部を修正して、 他の端末グループに割り当てる
プロファイルを無効にする 構成プロファイルの端末での削除
プロファイルの失効 これから追加登録する端末に対しては、当該構成プロファイルを非適用
プロファイルのインストールを再試行 構成プロファイルを削除した端末に再インストール
プロファイルの削除 構成プロファイルの端末とサーバでの削除
アクセス許可の編集 働きかけの権限を持つコンソール管理者の変更または追加
どの端末にも割り当ててない構成プロファイルは、「ドラフト」扱いです。「ドラフト」の構成プロファイルは、「名前」の後に、 ペンのマークがついています。

H. 高度な割り当て方法

(図7)の下辺で「割り当て」を押さずに、上部のタブで、「フィルター条件」、「ユーザグループターゲット」、または「オプション」を選択すると、構成プロファイルを 高度な方法で割り当てることができます。

H-1. フィルター条件

例えば、特定のメーカー製の端末のみに構成プロファイルを適用したい場合があります。 または、特定のモデルの端末のみに適用したい場合があります。
または、「付属情報」として「外勤」という値を入力した端末のみに、適用したい場合もあります。
端末が装着する「端末プロパティ」や「付属情報の」の値にフォーカスし、その値により、構成プロファイルを適用する端末を選抜(フィルタ)します。
次の「フィルタ条件の設定」をクリックしてください。

フィルター条件の設定

  • (図7)の上辺の「フィルター条件」のタブを選択すると、(図12)に画面遷移します。

    (図12)


    (図12)で「追加」ボタンを押すと、(図13)のように、「端末のプロパティ」などの選択肢が現れます。

    (図13)

    (図13)の監視データとは、Android端末の場合、端末内の次の2種類のデータ値を指します。
    • 端末のアプリが作成/更新するINIファイルの特定のパラメータの値
    • 端末内のXMLファイルの特定の要素ノードの値 
      (端末ユーザがブラウザで当該ノードに値を入力する)
    詳しくは、「監視データの指定」を参照ください。

    (図13)の「付属情報」は、コンソールで、端末毎、又は端末グループ単位で入力する情報項目です。
    例えば、
    • 端末ユーザの役職名
    • 端末の購入日
    • 端末の資産台帳での資産番号
    • その他
    などです。これらの情報項目の値に基づいて、これに該当する端末を構成プロファイルを適用したり、逆に適用しないようにできます。
    (図13)で「端末のプロパティ」を選択すると、(図14)のように端末のプロパティの種類が列記されます。

    (図14)


    (図14)で適用したい端末のプロパティを選ぶと、その右に、「しきい値」を入力する欄が現れるので、適切な値を入力します。

    (図15)

    (図15)は、端末メーカーの文字列にSONYが含まれている端末(群)には、構成プロファイルを適用するようにしている例です。結果的に、 SONY製の端末(群)のみに適用されるようになります。

    (図15)には、更に、多くのフィルター条件を追加できます。その場合、(図12)の赤矢印部分で、「全て」または「どれでも」の選択をします。
    • 「全て」
      複数の条件があれば、その全ての条件に適合した場合にのみ、構成プロファイルが適用されます。
    • 「どれでも」
      複数の条件のうち、一つだけでも適合したときに、構成プロファイルが適用されます。

    フィルタ条件の設定が終わると、下辺の「割り当て」ボタンを押します。フィルタ条件で選抜した端末のみに、構成プロファイルが送られます。

H-2. ユーザーグループ ターゲット

認証サービスのユーザーグループを、構成プロファイルの配布対象として指定できます。 認証サービスには、「ディレクトリ・サービス」と「IDプロバイダ」に2大別されます。「ディレクトリ・サービス」には AD_DS(Active Directory Domain Service)などがあります。「IDプロバイダ」には、Azure IdP、Okta、PingFederate などがあります。
(図16)のように、端末グループの「マーケティング課」と「東京営業課」は、異なる部に属しているが、認証サービスでは、共通の「TOKYO」という グループにマッピングされているとします。
この場合、構成プロファイルをグループ名「TOKYO」に割り当てると、端末グループの「マーケティング課」と「東京営業課」の両方に割り当てることができます。
「認証サービスのグループ」を、「MobiControlの端末グループ」へマッピングする作業は、端末登録ルールで設定しておきます。
(図16)
次の「ユーザーグループ ターゲットの設定」をクリックしてください。

ユーザーグループ ターゲットの設定

  • (図7)上辺の「ユーザーグループ ターゲット」タブを選択すると、画面は(図17)のように遷移します。

    (図17)

    認証サービスには、「ディレクトリサービス」と「IDプロバイダ」の2種類のカテゴリーがあります。 (図7)で、どちらかを選択します。

    「ディレクトリサービス」を選択する場合は、予め、 「ディレクトリサービスへの接続プロファイル」を作成しておきます。
    「IDプロバイダ」を選択する場合は、予め、「IDプロバイダとの接続プロファイル」を作成しておきます。

    (図17)のの部分をプルダウンすると、 「ディレクトリサービスへの接続プロファイル」の名前リスト、または、 「IDプロバイダとの接続プロファイル」の名前リストが表示されます。

    の部分に、構成プロファイルの配布先となるユーザグループ名を入力します。 グループ名の文字列全てを入力する必要はありません。(図17)の赤矢印部分に、文字列の最初の4文字を入力すると、 その文字列で始まるグループ名リストを表示してくれます。その中から選択します。
    複数のユーザグループに割り当てることができます。その場合は、そのグループ名を2行目以降に列記します。

    指定したユーザグループが、端末登録ルールで、MobiControlの端末グループに、マッピングしてなかった場合がありえます。 その場合は、「このグループにマッピングする端末グループを選択してください」とのポップアップがでて、画面は、(図7)に遷移します。そこで、マッピングするべき端末グループを選択します。 これで、構成プロファイルは、ユーザグループ指定を経て、端末グループへの割り当てられます。

    (図18)
    「東日本地区」という名前のディレクトリサービスプロファイルで、
    ディレクトリサービスの「新橋1号店」「赤羽店」というグループを選択した例

    逆に、当該構成プロファイルを割り当てたくないユーザグループがあるかもしれません。 例えば、端末をUSBポート経由でPCからデータを抜き取ることを不可能にする構成プロファイルを、認証サービスの本社全体グループに割り当てたとします。 しかし、「情報システム部」に対応するユーザグループには、例外として割り当てないことがあります。 その場合は、情報システム部に対応するユーザグループを入力して、(図17)の下辺の「Excluded」をクリックします。
    割り当てが終わると、下辺の「割り当て」ボタンを押します。これで、端末グループまたは端末の割り当てが完了します。

H-3. オプション

(図7)の 下辺の「割り当て」ボタンを押すと、構成プロファイルは、 端末群にすぐに送られ、サイレント・インストールされます。

今すぐインストールすると差支えがある場合は、(図7)で、「割り当て」を押さずに、上辺の「オプション」タブを押します。 次のような場合に、今すぐのインストールを控えることがあります。
  • 通信回線の輻輳
    端末台数が数万台あり、一斉に送ると、通信回線が輻輳し、他のオンライン業務に影響を与えることを懸念
  • 端末操作中のインストールを避ける
    従業員が端末を操作している最中に、端末の構成に変化があると、操作に支障があることを懸念
次の「オプションの設定」をクリックしてください。

オプションの設定

  • (図7)の上辺の「オプション」を選択すると、(図19)に画面遷移します。

    (図19)

    (図19)の設定項目説明
    インストール方法「自動」か「セルフサービス」を選択します。「自動」を選択した場合、下辺の「割り当て」ボタンを 押すと、構成プロファイルはすぐに端末に送られ、インストールされます。デフォルトは「自動」です。
    「セルフサービス」を選択すると、端末ユーザが操作しないと、インストールされません。 端末でアプリ利用中に、新しい構成プロファイルが適用されると、アプリ操作に支障がある場合に選択します。
    「セルフサービス」を選択した場合の 端末ユーザの操作方法は、「端末ユーザの任意の時刻にインストール」を参照ください。
    通信回線の限定 構成プロファイルを端末に送る際の通信回線を限定します。「携帯電話回線」や「ローミング中の携帯電話回線」経由では 送りたくないときは、チェックを外しておきます。
    最小のバッテリレベル構成プロファイルを端末に送る端末のバッテリレベルの最低値を指定します。 単位は、パーセントです。これより低いと送られません。
    スケジュールされたアクション割り当て日時、無効日時、失効日時を予め設定しておきます。

    割り当て日 「自動」を選択すると、構成プロファイルはすぐに端末に送られ、インストールされますが、このオプションを選択すると、 今すぐでなく、後日に割り当てます。その日時を指定します。

    次のアップデートスケジュールにずらす 今すぐでなく、次の更新スケジュールの時に割り当てます。
    上位の端末グループに割り当てるときに適用すると、通信回線の輻輳を緩和します。 下位の端末グループは、別々の更新スケジュール時刻に更新するからです。

    無効日 ある日時以降に登録する端末には、適用されないようにするとして、その日時を指定します。 その日時までに適用した端末では、その後も有効に機能しつづけます。

    失効日 既に適用済の端末も含めて、端末での構成プロファイルを削除します。 但し、サーバの構成プロファイルが削除されるわけではありません。その後、再インストールすれば再度、構成プロファイルを送り再インストールできます。
    指定した時間フレームにアップデートスケジュールのプロファイル展開を制限する

    端末プロファイルが端末に届くと、デフォルトではすぐにインストールされます。 勤務時間帯に構成プロファイルのインストールが実行されると、端末操作に影響がある場合があります。
    そこで、端末に届いても、すぐにはインストールをせず、指定した曜日や日時にインストールするようにします。
    「追加」ボタンを押すと、(図20)がポップアップしますので、曜日と時間帯を指定します。

    (図20)

    時刻はUTC(協定世界時)で入力します。UTCは、日本時間より9時間遅れです。日本時間の22時は、UTCだと13時です。
    • 時間帯を指定した時刻になっても、「割り当て日」での指定時刻にまだ達していない場合があります。 その場合は、まだ、構成プロファイルは端末に届いていません。その場合は、端末は次のチェックインの時刻に、構成プロファイルをダウンロードして インストールします。
    • インストールの時間帯は、複数設定ができます。曜日別に時間帯を設定することができます。

I. アラートルールを作成する

構成プロファイルのインストールに、成功したか、又は失敗したかなどの結果を、ログに記録するためにアラートルールを作成しておきます。 アラートルールの対象とする端末グループは、原則として、ルートグループまたは上位端末グループに設定しておきます。
本来は、構成プロファイルの作成の前に、アラートルールの作成を終わらせておきます。

構成プロファイルに関するアラートには、「端末側で認識するアラートイベント」と、「サーバ側で認識するアラートイベント」があります。

I-1 端末側で認識するアラートイベント

Android:アラートルールの作成 」を参照して、端末が認識するアラートイベントに基づくアラートルールを作成します。 次のようなアラートイベントと、ログに表示されるアラート文(編集可能)があります。
イベント名編集後のアラート文例
すべてのペイロードをインストールできないため、プロファイルのインストールに失敗しました。 プロファイル "{0}" バージョン {1} のインストールに失敗した。一部のペイロードのインストールに失敗。
アラート文の表示では、"{0}"には、プロファイルの名前が、{1}には、そのバージョン番号が表示されます。
構成プロファイルには複数のペイロードを搭載できる。
デバイスのプロファイルは、管理者のアクションによって失効しました 管理者が、デバイス "{1}" からプロファイル "{0}" の削除を要求した
アラート文の表示では、"{1}"は端末名で、 "{0}"は、デバイス名で代替表示される
プロファイルがインストールされました構成プロファイル "{0}" がインストールされた
アラート文の表示では、"{0}"には、プロファイルの名前が代替表示される。
プロファイルが削除されました構成プロファイル "{0}" が削除された
アラート文の表示では、"{0}"には、プロファイルの名前が代替表示される。
プロファイルが削除に失敗しました構成プロファイル "{0}" の削除に失敗しました
アラート文の表示では、"{0}"には、プロファイルの名前が代替表示される。
管理者のアクションによってプロファイルがインストールされました管理者はデバイス "{1}" のプロファイル "{0}" のインストールを要求した
アラート文の表示では、 "{1}" は、デバイス名で代替表示される。"{0}"は、プロファイル名で代替表示される。

I-2 サーバ側で認識するアラートイベント

システムアラートルール」の設定で、構成プロファイルに関するアラート・イベントにチェックを入れておきます。

システムアラートルール」で、構成プロファイルに関するアラート・イベントには、 の印をつけてあります。合計21件あります。 これの全てにチェックを入れてください。
項番種類
71-722件
94-996件
122-13514件
2431件
合計21件

J. 構成プロファイルが適用されているかどうかの確認

構成プロファイルが、端末に届いたのに拘わらず、インストールに失敗した端末の一覧を表示することができます。

(図21)

赤矢印部分にマウスを載せ、クリックします。

(図22)

プルダウンメニューが現れるので、「プロファイル」を選択します。

(図23)

プロファイルプロパティで、「ステータス」を選択します。

(図24)

「インストール失敗」を選択してから、右下の「完了」ボタンを押します。

赤矢印部分をクリックします。

赤矢印部分をクリックします。

これで、プロファイルのインストールに失敗した端末が一覧表示されます
(図24)で、「インストールの保留中」も念のため、一覧表示します。
構成プロファイルの割り当てを実行した後には、念のため、その構成プロファイルが端末にインストールされたかどうかを確認をします
端末フィルタリングの「構成プロファイルがインストールされてない端末を探す」を実行します。 (図25)は、構成プロファイルのステータスが「インストールの保留中」の端末を一覧表示する端末フィルタ条件式です。

(図25)

一覧表示された端末の名前をクリックし、その「構成」タブを開くと(図26)のような表示がされます。

(図26)

(図26)では、「インストールの保留中」の構成プロファイルの名前が、「端末の機能制限」であることを表示しています。

次の場合に、構成プロファイルのステータスが「インストールの保留中」になる可能性があります。
  1. インストールの失敗
    インストールの失敗は、次のような原因が考えられます。
    • 端末のMobiControlエージェントが古く、それが理由でインストールされない場合があります。 「Android端末エージェントのアップデート」を参照し、 最新のバージョンにアップデートしてください。
    • 端末のMobiControlエージェント・プラグインが適用されてない、又はプラグインのバージョンが古く、それが理由でインストールされない場合があります。 「Android端末へのプラグインのインストール」を参照し、最新のバージョンのプラグインをインストールしてください。
    • 該当端末の機種(モデル)が適応してない。
      他の機種(モデル)ではインストールできるのに、当該機種のみにインストールできない場合は、この理由が疑われます。
      特に、端末機能制限を課した場合に、「インストールの保留中」になる機種があります。 端末機能制限には、多くの制限項目があり、その複数項目を選択して制限する場合があります。 その場合、殆どの制限項目は適用されているが、1項目だけ、制限を適用できない端末機種があります。それでも「インストールの保留中」が表示されます。
  2. インストールを遅らせる設定をした
    前述の「H-3. オプション」で、「指定した時間フレームにアップデートスケジュールのプロファイル展開を制限する」を設定し、 インストール時刻を「今すぐ」とは設定しなかった場合です。
    この場合、時間経過すると、「インストール済み」にステータスが変わるはずです。

構成プロファイルの割り当てをした時に、端末がMobiControlサーバと切断中で、且つ切断が現在まで継続中の場合は、 構成プロファイルは、端末に届いていません。(図25)の端末フィルタリングの「インストールの保留中」の対象端末になりません。

端末がMobiControlサーバから切断し、その切断が長期間に及んでいる端末は、端末一覧で確認できます。(図27)で切断時刻に赤下線を引いた端末がその例です。

(図27)