びっくりマークと上向き矢印
コンソールの表示アイテム
コンソールには、端末群のアイコン、端末の名前、その他の端末プロパティの値が表示されています。
その内、左側のびっくりマーク、上向き矢印、端末アイコンについて説明します。A. びっくりマーク
端末アイコンの左側に、びっくりマーク(エクスクラメーション・マーク) が付いている場合があります。 (図1)をご覧ください。端末プロパティで、「コンプライアンス・ステータス」の値が、「いいえ」の端末には、全て、びっくりマークが付いています。 これらの端末は問題がある端末です。
一方、「端末モード」が、「Active」でない端末は、端末とMobiControlサーバとの間で交信できなくなっています。(図1)
(図1)のコラムタイトルには、には、端末プロパティとして、「端末モード」、「OSセキュア」、「エージェント適合性」及び「コンプライアンスステータス」が並んでいます。
これらの端末プロパティを並べる方法は、「端末一覧の端末プロパティの入れ替え」を参照ください。びっくりマーク が付く理由は、次の4つに大別されます。(表1)
理由または原因 (図1) 対策 1 登録解除 端末側、またはコンソールで、登録を解除した。「削除」をしてないので、下記のステータスのまま。
- 登録解除前の端末データは、サーバに保存されている
- 端末ライセンスを費消している
① ② ③ ④ 次のどちらかを実施
- 端末を正常に戻したいときは、端末操作で、再登録をする
- 端末を管理から完全に外すときは、コンソールで、「削除」を選択
2 無効化 コンソールで、MobiControlサーバと端末との間の交信を停止させた ⑤ 交信再開には、コンソールで「有効化」を実施 3 脱獄
または
ルート化端末ユーザが、iPhone/iPadを脱獄、Android端末をルート化 ⑥ 端末をメーカーに持ち込み、OSの再インストール 4 正常性構成証明書に異常 Windows Modern PCに異常があれば、 が付くように、 コンソールで設定した ⑦ 正常性構成証明書で指摘されたセキュリティ脆弱ポイントを解決
- ⑧は、 上向き矢印が付いていて、 MobiControlエージェントのアップデートを促されているが、その他の運用は、正常
- ⑨は、全くの正常
A-1. 登録解除
「登録解除」とは、端末をMobiControlへの登録から解除することです。これを正常に戻すには、端末側での再登録の作業が必要です。(図2)
(図2)は、端末への働きかけメニューの1部分です。
これの「登録解除」を選択すると、(図3)がポップアップします。
- 働きかけメニューの表示方法
(図3)
(図3)のチェックボックスにチェックを入れずに「登録解除」ボタンを押すと、(図1)の、 ① のように、「UnenrollPendingAdmin」のステータスになります。
(図3)のチェックボックスにチェックを入れて「登録解除」ボタンを押すと、 (図1)の② のように、「UnenrolledByAdmin」のステータスになります。
端末ユーザが、端末の「設定」を操作したり、MobiControlエージェントをアンインストールしたりすると、端末操作で、登録解除ができます。
「Android端末での登録解除」
端末操作で、登録解除をすると、(図1)の③ ④ のように、「UnenrolledByUser」のステータスになります。
端末ユーザにコンタクトして、なぜ、登録解除をしたのかを、お問い合わせください。
Apple端末またはAndroid端末のMobiControlサーバへの登録を、端末側操作では、解除させないようにする方法があります。端末を電源オフにすると、MobiControlサーバにチェックインできなくなります。 iPhone/iPadが、7日間チェックインをしてこないと、端末が脱獄されたと、MobiControlサーバが、見なすことがあります。そして、 当該端末を、UnenrolledByUserのステータスにして、登録解除します。 端末を「登録解除」しても、当該端末から、今まで収集したデータやイベントログなどは、MobiControlサーバに残っています。
- 端末側から登録解除をさせない方法
端末を再登録すると、そのデータを継承することができます。
「登録解除」をしても、端末側でもMobiControlエージェントはインストールされたままの可能性があります。 端末で、 アイコンをタップすると、再登録の画面が ポップアップします。 「登録解除」をしても、MobiControlの端末ライセンスは、費消されたままです。当該端末を、MobiControlで管理する必要がなくなれば、「削除」を実施します。(図4)の「削除」を押します。 「削除」の実施で、端末ライセンスは1本空きます。当該端末に関するデータは、MobiControlサーバから削除されます。端末一覧で、当該端末の表示が消えます。 Windows Modern、Windows Classic、Windows Embeddedのモードで設定した端末での(図2)のメニュー画面には、 「登録解除」項目は表示されません。これらの端末に対しては、「削除」か、次項で説明する「無効化」を選択ください。A-2. 無効化
(図4)
登録解除はされてないが、コンソール管理者の操作により、端末からのチェックイン受付を拒否している状態です。 (図1)の ⑤ の端末です。 (図4)は、端末への働きかけメニューの1部分です。
(図4)の「無効化」を選択すると、この状態になります。
当該端末とMobiControlサーバとの交信は中止している状態になっています。 「無効化」をすると、(図1)の ⑤ のように、「端末モード」の値は、「Disabled」 になっています。 このステータスの端末は、コンソールのアクション項目で、「有効化」を選択すると、再び、「Active」のステータスに戻ります。端末側の操作は不要です。
(MobiControlのバージョンに依っては、「無効化」は、「利用禁止機能」または「暫定停止」と表示されています)A-3. 「脱獄」または「ルート化」
(図1)の ⑥ では、端末プロパティの「OSセキュア」が、「いいえ」になっています。 これは、iPhone/iPadでは、端末ユーザにより「脱獄(JailBreak)」された端末です。Android端末では、「ルート化」されています。
- Android端末がルート化されても、MobiControlエージェントがアンインストールされなかったとします。
その場合、MobiControlエージェントは、「ルート化」されたことを、MobiControlサーバに告発します。 MobiControlサーバは、コンソールの「OSセキュア」を「いいえ」の表示にします。- iOS/iPadOSが、脱獄化されても、MobiControlエージェントがアンインストールされなかったとします。 且つ、端末ユーザが、MobiControlエージェントのアイコンをタップしてくれたとします。
その場合、MobiControlエージェントは、「脱獄」されたことを、MobiControlサーバに告発します。 MobiControlサーバは、コンソールの「OSセキュア」を「いいえ」の表示にします。- 「ルート化」や「脱獄」が原因で、MobiControlエージェントがアンインストールされると、 MobiControlエージェントは、「ルート化」や「脱獄」されたことを、MobiControlサーバに告発できません。 コンソールの「OSセキュア」は、「はい」の表示のままです。しかし、その場合、当該端末は長期のオフラインだったり、 長期のチェックインしてこない状態になります。 従って、長期のオフラインや長期のチェックインしてこない端末は、「脱獄」または「ルート化」された可能性があるとして その検出に努めなければなりません。
「危険な端末を探す」を参照ください。A-4. 正常性構成証明書に異常
Windows ModernのPCは、起動する毎に、そのセキュリティ対策に脆弱性があるか否かを、MicrosoftのDHA(Device Health Attestation) サーバに診断して貰っています。 DHAサーバは、その診断結果を、正常性構成証明書として作成します。 エンドポイントPCが、MobiControlサーバにチェックインすると、それをトリガーとして、MobiControlサーバは、DHAサーバにアクセスし、正常性構成証明書をダウンロードします。 その内容は、該当のエンドポイントの「端末の詳細」パネルの右下に表示されます。「デバイス正常性構成証明書」の(図1)が そのサンプルです。 しかし、「デバイス正常性構成証明書」の(図4)のどの項目にも、チェックを入れておかないと、上記の(図1)に、 びっくりマーク が付きません。 (図1)の ⑧ が、その例です。 「デバイス正常性構成証明書」の(図4)のどれかの項目に、チェックを入れ、その項目が、 正常性構成証明書で異常と指摘されたら、MobiControlサーバは、上記の(図1)に、 びっくりマーク を付けます。 (図1)の ⑦ が、その例です。 正常性構成証明書のどの項目で異常と指摘されたら、びっくりマーク が付くか否かは、「デバイス正常性構成証明書」の(図4)に、チェックを入れてあるか否かに、連動します。 貴社にとって、セキュリティ対策上、無視できないと判断した項目には、チェックを入れてください。 異常を指摘されたら、該当のWindows PCエンドポイントのセキュリティに関する脆弱ポイントの改善を、実施してください。これの実施により、 びっくりマーク が、表示されなくなります。 正常性構成証明書に異常があっても、該当のWindows PCからMobiControlサーバへのチェックインは、継続しますし、MobiControlによる管理も継続されます。 正常性構成証明書の詳細に関しては、「デバイス正常性構成証明書」を参照ください。B. 上向き矢印
(図1)の ① ⑦ ⑧ には、 上向き矢印が 付いています。そして、この端末プロパティの「エージェント適合性」の値は、「いいえ」になっています。 は、該当 端末用の、MobiControlエージェントの新しいバージョンのインストーラが、MobiControlサーバに格納されていることを意味します。 次の端末のOSまたは設定モードに対しては、MobiControlサーバが、エージェントインストーラを格納して、端末への配布を待っています。
- Android Plus
- Windows Modern
- Windows Classic
- Windows Embedded
- Linux
(図5)
が付いている端末を選択してから、 (図5)の「エージェントのアップデート」を押すと、MobiControlサーバから、新しいバージョンのエージェント・インストーラが端末に送られ、 サイレント・インストールがされます。
- 働きかけメニューの表示方法
(図6)
(図6)のように、 端末グループを選択し、「アクションの実行」を選択し、「エージェントのアップデート」を押すことでも、 新しいバージョンのエージェント・インストーラが端末に送ることができます。B-1. MobiControlサーバに格納するエージェントインストーラのバージョンアップ
MobiControlサーバのバージョンアップをすると、MobiControlサーバが格納する エージェントのインストーラも、同時にバージョンアップされます。 従って、MobiControlサーバのバージョンアップをした後には、多くの端末に、上向き矢印が 付きます。B-2. Android Plusのエージェントインストーラのサーバへの受け渡し
MobiControlサーバのバージョンアップをすると、MobiControlサーバが格納するAndroid Plusのエージェントのインストーラも、 同時にバージョンアップされます。 しかし、サーバのバージョンアップをしなくても、MobiControlサーバに格納するエージェントのインストーラを、バージョンアップすることができます。 (図7)に図示しているように、SOTIのサイトから、MobiControlサーバに、新しいエージェントの受け渡しをすることができます。 その方法は、「Android Plus端末エージェントのアップデート」のページを 参照ください。(但し、MobiControlサーバのバージョンが、v14.3以上が必要) Android Plusのエージェントは、平均して毎月に1回は、バージョンアップされます。 従って、MobiControlサーバが格納しているエージェントも、古くなりがちです。 (図7)の受け渡し作業を怠っていると、コンソールの端末一覧には、上向き矢印が付いてないのに その端末のエージェントは、SOTIのサイトのそれに比べると、古いままとなっていることがあります。(図7)
エージェントの受け渡し
B-3. Apple端末とAndroid Enterpriseの場合
Android Enterprise、iOS、iPadOS、macOSの端末には、上向き矢印が 付きません。MobiControlサーバには、これらのエージェントインストーラが格納されないからです。従って、端末のエージェントとそのバージョンの比較ができません。
- Android Enterpriseのエージェントインストーラは、Google Playにあります。
Google Playで、新しいエージェントインストーラ(APKファイル)が掲示された後、次のチェックインのときに、Android Enterpriseは、自動的に、それをダウンロードし、 サイレントインストールします。詳しくは、「Android Enterpriseのエージェントは、自動的にアップデートされる」のページを、参照ください。- iOS、iPadOS、macOS端末の、MobiControlエージェントインストーラは、App Storeにあります。
これらを、アプリカタログルールに追加しておきます。
コンソール管理者は、Appストアで、バージョンアップがあったことを検知したら、アプリカタログルールの編集を行います。 その方法は、「アプリのバージョンアップの制御」を参照ください。更に (図8)のように、 アプリカタログの詳細設定で、「少なくともこのバージョンに端末のアプリを自動的に更新」にチェックを入れておくと、 端末ユーザに操作をしてもらわなくても、エージェントは、自動更新されます。(図8)
B-4. エージェントアップデートの抑制
端末グループを選んで、「エージェントの更新を無効にする」を選択することができます。(図9)
そうすると、端末一覧で、端末アイコンの左側に 上向き矢印が 付いていても、そのエージェントのアップデートをさせないようにできます。 上向き矢印が付いていない 端末を(図9)の方法で、アップデートをさせないようにはできません。
Android Enterprise、iOS、iPadOS、macOSの場合は、 上向き矢印が付きません。 これらのアップデートをさせないようにするには、managed Google Play 又は、App Storeからの自動更新を受けないようにしておきます。C. 端末アイコン
下表で、端末アイコンが表象している端末の状態を説明します。(表2)
iOS
iPadOS接続
端末に「接続」させるにはを参照ください。切断状態
端末がMobiControlサーバと切断している状態です。
この切断状態でも、端末は、サーバにチェックインをします。Android 接続
端末がMobiControlサーバに接続している状態です。切断状態
端末がMobiControlサーバと切断している状態です。Windows
PC接続
エンドポイントPCがMobiControlサーバに接続している状態です。切断状態
エンドポイントPCがMobiControlサーバと切断している状態です。macOS
コンピュータ接続
macOSコンピュータでは、OSが起動すると、MobiControlエージェントも起動し、MobiControlサーバに接続し、それを維持します。切断状態
macOSコンピュータがMobiControlサーバと切断している状態です。
Windows
Embedded接続
端末がMobiControlサーバに接続している状態です。切断状態
端末がMobiControlサーバと切断している状態です。Linux 接続
LinuxデバイスがMobiControlサーバに接続している状態です。切断状態
LinuxデバイスがMobiControlサーバと切断している状態です。