Apple端末に働きかける

MobiControl v14 Manual

2020年 10月 20日

A. Apple端末に対する働きかけ

iPhone、iPad、macOSコンピュータの定常的な挙動を設定するには、「構成プロファイル」、「詳細設定」、 及び「ルール」の設定、追加、または変更を行います。

定常的な挙動設定をした前提の上で、端末に非定常的な働きかけをすることがあります。例えば、端末を紛失モードにしたり、端末画面をコンソールに映したりなどです。
端末に対し、非定常的な働きかけを行うには、以下説明するアクション項目を選択します。

B. 対象となる端末を選択

端末一覧画面の端末フィルター条件式を、(図1)ののように、 端末種別 = iOS とすると、iPhone と iPadだけが、一覧表示されます。
端末一覧での端末フィルタ条件式の設定と保存に関しては、コンソールでの端末フィルタを参照ください。

(図1)

働きかけをする端末の左側の〇にチェックを入れます。複数の端末を選択できます。
の〇にチェックを入れると、画面の全ての端末を選択できます。

端末フィルター条件式を、端末種別 = macOS とすると、macOSコンピュータだけが表示されます。
端末フィルタ条件式を、監視下 = TRUE とすると、監視モードのiPhone、iPadのみが表示されます。
macOSコンピュータ
のみを表示
監視モードの iPhone、iPad
のみを表示
非監視モードの iPhone、iPad
のみを表示

C. iPhone、iPadに対するアクションメニューを表示

対象とする端末群を選択すると、(図2)のようなアクションバーが下辺に現れます。
これの中からアクション項目を選択すると、端末に働きかけができます。
(図2)の右端の「その他」を選ぶと、更に多くのアクション項目がプルダウン表示されます。
(図2)
  1. Exchangeへのアクセスを許可
    下記 2. でアクセスを阻止した端末に、アクセス再開の許可を与えるコマンドを、MS Exchange Serverのフロントサーバに送ります。 MS Exchangeサーバへの不法アクセス防止を参照ください。
  2. Exchangeへのアクセスを阻止
    MS Exchange Serverの フロントサーバ(SOTIからの無償提供)に、選択した端末からのアクセスを阻止するコマンドを 送ります。
    MS Exchangeサーバへの不法アクセス防止を参照ください。
  3. MDMプロファイルを更新
    MDMプロファイルの失効日が近づいたときに、実行します。 端末で、「設定」-->「一般」-->「プロファイルとデバイス管理」-->「MobiControl Device Management」-->「詳細」を選択すると、 「デバイスID証明書」と「署名用証明書」の各々の有効期限が示されています。 これの有効期限の失効が近づいたら、このアクションを実行します。
  4. OSアップデートステータスをリフレッシュ
    端末の現在のOSのバージョンをチェックします。その結果を、 「端末の詳細」タブの「ソフトウェアアップデート」セグメントの「OSアップデートを入手できます」欄に表示します。 最新バージョンなら、「なし」と表示されます。
  5. OSアップデートのスキャニング
    MobiControlサーバは、24時間に1回は、Appleサーバにアクセスして、OSの最新のバージョンがリリースされているかどうかを チェックしています。しかし、このアクションを実行すると、今すぐチェックを再実行します。
  6. OSをアップデート
    OSのアップデートを実行します。
    Appleサーバから、各コンピュータにアップデートファイルがダウンロードされ、インストールされます。
  7. SMSを送信
    日本国内ではMobiControlサーバから端末へのSMS送信はサポートされていません。
  1. SOTI Hubアクセスをブロック
    選択した端末でのアプリ「SOTI Hub」からのアクセスを拒否するように、SOTIから無償提供の イントラネットゲートウェイにコマンドを送ります。
  2. SOTI Hubアクセスを許可
    上記 8.で拒否された端末に対し、アクセスを再許可するように イントラネットゲートウェイにコマンドを送ります。
  3. SOTI Hubキャッシュをクリア
    端末の「SOTI Hub」が、社内のレポジトリサーバから取得したコンテンツを削除します。
  4. SOTI Surfアクセスをブロック
    選択した端末でのブラウザ「SOTI Surf」からのアクセスを拒否するように イントラネットゲートウェイにコマンドを送ります。
  5. SOTI Surfアクセスを許可
    上記 10.で拒否された端末に対し、アクセスを再許可するように イントラネットゲートウェイにコマンドを送ります。
  6. SOTI Surfキャッシュをクリア
    端末の「SOTI Surf」が、社内のレポジトリサーバから取得したコンテンツを削除します。
  7. アクティベーションロックをバイパス
    端末が盗難/紛失でない場合に、端末のリセットの目的でコンソールからWipeをすることがあります。
    そのWipeの前に、このアクティベーションロックのバイパスを端末に要求します。 そうすると、Wipeの後のアクティベーション(初期設定)の作業が軽減されます。具体的には、Apple IDとパスワード または、バイパスコードの入力をしなくてすみます。 詳しくは、アクティベーションロックとそのバイパスを参照ください。 対象端末が、監視モードであることが必要
  1. インシデントを報告
    ヘルプデスクソリューション・サーバである、SOTI Assistに、端末のインシデントを報告します。 IT関連インシデントに関する貴社のヘルプデスクツールとして、SOTI Assist(有償)の導入をお勧めします。
  2. ソフトリセット
    起動中のアプリを終了させ、メモリー内にある当該アプリが生成し、未保存のキャッシュデータを削除します。
  3. チェックイン
    MobiControlサーバにチェックインするように、端末に対する要求をAPNs経由で送信します。
    (図8)を参照。 詳しくは、iOS チェックインと接続を参照ください。
  4. デバイス名の設定
    端末での「設定」--> 「一般」--> 「情報」名前の変更。35. 項を参照。 対象端末が、監視モードであることが必要
  5. パスコードロック解除
    無条件でロック解除ができるようにします。というか、スリープにしてもロック状態にならなくなります。「パスワード」、「パスコード」、「パターン」、「生体認証」のいずれも、端末ユーザが 忘れてしまったときに適用します。
    但し、「ユーザ認証」のプロファイルを適用している場合は、新しいパスワードを強制入力させる画面が端末に現れます。
    正当な端末ユーザが操作していることを確認してから、実行してください。
  6. ファイルを今すぐ同期
    ファイル同期ルールで規定したファイルを端末とMobiControlサーバとの間で 送受する。
  7. メッセージを送信
    端末の画面に メッセージを表示する。
  8. リモート表示
    端末が、SOTI Surf または SOTI Hubを起動すると、その画面変化を、コンソールで表示開始します。 端末からMobiControlへ「接続」をしていないと表示はできません。「接続」と「チェックイン」を参照。
  9. ロック
    端末の画面をロック画面に変えます。
  10. 共有デバイスのトラブルシューティング
    端末を共用していた場合、前のユーザのアプリのアンインストールができなかったなどのエラー表示がされるときがあります。 この場合、このエラー表示を消します。
  11. 共有デバイスをログアウト
    端末を共用していた場合、ログアウトします。 Azure AD(Active Directory)、ID プロバイダ、または AD_DS(Active Directory Domain Service)のIDとパスワードの 再度の入力画面が現れます。
  12. 強制適用機能
    27項で、端末とMobiControlサーバとの交信を停止していた場合に、実行すると、交信を再開します。
  13. 再生音
    端末で音を鳴らします。対象端末が、監視モードであることが必要
  14. 削除
    端末のMobiControlへの登録を解除。コンソールでの当該端末の表示は終了。 MobiControlの端末ライセンスは開放されます。 下記の(表1)を参照。
  1. 暫定停止
    端末とサーバとの交信を中止します。「構成プロファイル」「ルール」及び「詳細設定」を変更しても、端末には反映されなくなります。 26項を実施すると、交信を再開します。
  2. 初期化(Wipe)
    端末を工場出荷時点の状態への初期化(WIPE)をします。端末購入後インストールしたアプリや 端末内のユーザデータは削除されます。
    • 端末のアクティベーションロックが有効になっていることを確認してWipeを実行してください。 アクティベーションロックが無効のときに、Wipeをすると、端末は拾得者が使えるようになります。
    • 端末が盗難/紛失でなく、単なるリセットをしたい場合は、Wipeの前に、「14.アクティベーションロックをバイパス」を 端末に要求しておくことをお勧めします。Wipeの後のアクティベーション作業が軽減されます。
  3. 制限のクリア
    端末で、「設定」--> 「一般」--> 「機能制限を設定」で設定した機能制限を解除します。 対象端末が、監視モードであることが必要
  4. 切断/中断
    電源をオフにします。
  5. 登録解除
    端末のMobiControlへの登録を解除。下記の(表1)を参照。
  6. 紛失モードを無効
    端末を紛失モードから通常モードにもどす。端末が見つかった場合に実施。33.項を参照。 対象端末が、監視モードであることが必要
  7. 紛失モードを有効
    端末を紛失モードにする。対象端末が、監視モードであることが必要
  8. 壁紙を設定
    端末の壁紙を変更します。壁紙ファイルを選択するダイアログが表示されます。ロック中とロック解除状態の2種類の状態での 壁紙をコンソールで選択設定できます。対象端末が、監視モードであることが必要
  9. 名前変更
    コンソールでの端末の名前を変更。端末側での端末名変更は、18.項を参照。

(表1)
「削除」と「登録解除」の違い


28.削除31.登録解除
MobiControlサーバへの登録解除解除
配布したプロファイルやアプリ削除削除
位置履歴など端末からの収集データ抹消保存したまま
端末一覧での表示非表示表示継続。従い、収集データを閲覧可能。
端末ライセンス解放保持したまま
再登録初回登録と同じ手順 Safariが起動し、登録プロファイルのインストールの画面が表示されます。以下、画面に従って、タップをすれば、再登録されます。サーバに保存されているレコードを継承します。

D. macOSコンピュータに対するアクションメニューを表示

  1. MDMプロファイルを更新
    MDMプロファイルの失効日が近づいたときに、実行します。 端末で、「設定」-->「一般」-->「プロファイルとデバイス管理」-->「MobiControl Device Management」-->「詳細」を選択すると、 「デバイスID証明書」と「署名用証明書」の各々の有効期限が示されています。 これの有効期限の失効が近づいたら、このアクションを実行します。
  2. OSアップデートのスキャニング
    MobiControlサーバは、24時間に1回は、Appleサーバにアクセスして、OSの最新のバージョンがリリースされているかどうかを チェックしています。しかし、このアクションを実行すると、今すぐチェックを再実行します。
  3. OSをアップデート
    OSのアップデートを実行します。
    Appleサーバから、各コンピュータにアップデートファイルがダウンロードされ、インストールされます。
  4. スクリプトを送信
    端末に対しスクリプトを送ります。使える言語は、BASH Shell、JavaScript、Perl、Pythonの4種類です。 記述仕様のサンプルは、次のURLのページを参照ください。

    macOS Scripts(SOTI Site)

  5. ソフトリセット
    起動中のアプリを終了させ、メモリー内にある当該アプリが生成したキャッシュデータを削除します。
  6. チェックイン
    MobiControlサーバにチェックインするように、端末に対する要求をAPNs経由で送信します。
    下記の(図7)を参照。 詳しくは、iOS チェックインと接続を参照ください。
  7. メッセージを送信
    端末の画面に メッセージを表示する。
  8. リモート操作
    コンソールにリモートのmacOSコンピュータの画面を表示します。端末側操作のリモートビューができます。 macOSコンピュータからMobiControlサーバへ「接続」をしているときに行いますが、macOSコンピュータは、デフォルトで、接続を継続しています。
    MobiControlサーバを、v15.2以上にアップグレードすると、macOSコンピュータの画面をリモート操作できます。
(図3)
  1. ロック
    端末の画面をロック画面に変えます。
  2. 強制適用機能
    16項で、端末とMobiControlサーバとの交信を停止していた場合に、交信を再開する場合に適用します。 「構成プロファイル」「ルール」及び「詳細設定」の変更を端末が再度受け付けられるようにします。 また、「ルール」が規定するデータやファイルの送受も実施できるようにもどします。
  3. 削除
    端末のMobiControlへの登録を解除。コンソールでの当該端末の表示は終了。 MobiControlの端末ライセンスは開放されます。14項の登録解除の場合は、コンソールでの端末表示は維持。
  4. 暫定停止
    端末とサーバとの交信を中止します。「構成プロファイル」「ルール」及び「詳細設定」を変更しても、端末には反映されなくなります。 10項を実施すると、交信を再開します。
  5. 初期化(Wipe)
    端末を工場出荷時点の状態への初期化(WIPE)をします。端末購入後インストールしたアプリや 端末内のユーザデータは削除されます。
  6. 切断/中断
    電源をオフにします。
  7. 登録解除
    端末のMobiControlへの登録を解除。但し、コンソールでの当該端末の表示は継続。 端末のMobiControlアイコンをタップし、登録IDを入力すれば、再登録可能。 MobiControlの端末ライセンスは、保持したままです。11.項の「削除」は、コンソールの端末一覧でも表示が消えます。
  8. 名前変更
    コンソールでの端末の名前を変更。

E. アクションバーの項目を取換える

上の(図2)や(図3)を、見直してください。アクション項目が横に並んでいます。
項目によっては、あまり頻繁に使わない項目があるかもしれません。

これを、頻繁に使う項目に取り換えることができます。

(図4)
「その他」を開き、アクションバーに昇格表示したい項目を選びます。
(図4)のように、右側に、黒い星のマークが表示されます。
この黒い星を、マウスで長押しします。
(図5)

黒い星が、金色の星に変わります。アクションバーに昇格表示したい項目を7つ選び、金色の星に変えます。
(図6)

端末一覧から端末を選ぶと、アクションバーの項目が(図6)のように変わります。金色の星を付けたアクション項目が、アクションバーに並びました

上の(図2)や(図3)と比較してください。

このアクションバーから項目を選ぶことで、対応するアクションを端末に適用できるようになります。

「その他」を、押すと、金色の星のアクション項目が、最上部に表示されます。

金色の星の項目を、元に戻すには、金色の星の部分を長押しします。黒色の星に戻ります。

F. 働きかけの始動は、APNs経由で

iPhone、iPad、macOSコンピュータへの働きかけは、APNs経由で、端末に対しチェックインを要求し、そのチェックインがMobiControlサーバに 到着したら、MobiControlサーバから端末に向けて、直接コマンドを送ります。 詳しくは、チェックインの仕組みを参照ください。

(図7)

端末はネットワークに接続してなかったり、電源オフの場合があります。その場合、APNsサーバは、端末に向けて チェックイン要求を送れません。そして、そのチェックイン要求を破棄します。また、その破棄したことを、APNsサーバは MobiControlサーバに通知しません。
従って、コンソール画面では、端末への働きかけに成功したように見えて、実際は、成功してないことがあります。 これを、確認するには、コンソールでの端末のイベントログをチェックします。

G. 端末グループ単位での働きかけ

左側ペインの端末グループの右端の3点マーク(緑丸)をクリックし、現れるメニューから「アクションを実行」を選択することでも、(図8)のように、 アクションメニューが現れます。
このメニューでのアクションは、端末グループの全ての端末宛に適用されます。 同一端末グループ内の異なるOSの端末(Android端末やWindows PCなど)にも適用されます。
逆に、iPhoneやmacOSコンピュータには、適用できないアクション項目も、含まれています。

(図8)

H. OSのアップデートをコントロール

アップデートを延長し、それから、強制的にアップデートを実行します。

  1. 監視モードのiPhoneとiPad、並びにmacOSコンピュータのOSアップデートを無期限に、伸ばすことはできません。
    デフォルトでの延長期間は、Appleがリリースをしてから、30日間です。それに対し、 構成プロファイルを割り当てることで、90日間まで延長できます。
    (図9)は、構成プロファイル「iOS端末の機能制限」で、「アプリ」タブを選択した画面です。
    ここで、90と入力すると、90日間の延長ができます。

    (図9)

    この延長の間に、検証用端末で、アップデートしたOSの基でも、業務アプリが正常に作動するかどうかを検証願います。 もし、正常に作動しない場合は、業務アプリの改造をすることになります。
  2. OSのアップデートをしても、業務アプリに影響がないことが、判明すれば、上記 a.項の延長期間にかかわらず、全端末のOSを強制アップデートします。
    (図2)の、「6.OSをアップデート」または、 (図3)の「3. OSをアップデート」を選択すると、OSを強制アップデートできます。

    「OSをアップデート」の選択に至るまでのスキームを説明します。
    1. 端末は、1日に、数多くチェックインを行っています。 それらの多くのチェックインがある中で、24時間に1回のチェックイン時には、MobiControlサーバは、Appleのサーバにアクセスし、Apple OSの新しいバージョンがリリースされたかどうかをチェックします。 これを、「OSアップデートのスキャニング」と言います。
    2. 1.項の「OSアップデートのスキャニング」の結果、端末のOSバージョンが最新のバージョンと一致していると、 「端末の詳細」タブの「ソフトウェアアップデート」セグメントの「OSアップデートを入手できます」欄の値を、「なし」として表示されます。
    3. 1.項の「OSアップデートのスキャニング」の結果、端末のOSバージョンが、リリースされた最新のバージョンより古いことが判明すると、 「端末の詳細」タブの「ソフトウェアアップデート」セグメントの「OSアップデートを入手できます」欄の値が、最新のバージョン番号に変わります。
    4. 3.項にかかわらず、アップデート延長期間内であれば、そのままでは、OSのアップデートはされません。 しかし、延長期間が過ぎると、全端末に対し、一斉にアップデートのダウンロードが実施されます。これは、通信回線の帯域圧迫をもたらすかもしれません。
    5. 延長期間の終了まで待たずに、(図2)の、「6.OSをアップデート」または、 (図3)の「3. OSをアップデート」を実施します。端末グループ単位で実施すると、 通信回線の帯域圧迫を緩和できます。夜間や週末に実施することで、勤務中の端末操作への影響を減らせます。
    6. 「OSアップデートのスキャニング」を実行すると、1.項の24時間に1回に自動的に行う「OSアップデートのスキャニング」を 待たずに、新しいバージョンがリリースされたかどうかをチェックします。
    7. 上記の 6.項を実施後、「OSアップデートステータスをリフレッシュ」を実行すると、 「端末の詳細」タブの「ソフトウェアアップデート」セグメントの「OSアップデートを入手できます」欄の値を更新します。
    8. 以上が可能な端末は、iOSでは、v11.3以上で且つ監視モードであること、macOSコンピュータなら、v10.43以上が必要です。
    9. 非監視モードの iOS端末は、Appleによって、アップデートを強制させられることはありません。 また、コンソールで、「OSをアップデート」を押しても、強制アップデートはできません。
    10. Apple OSは、一度アップデートすると、古いバージョンにもどすことはできません。

I. アラートルールを作成

端末への働きかけの結果が、「成功」の場合もあれば、「失敗」の場合もあります。 これらの結果をログとして取得するために、アラートルールを作成します。

アラートルールは、原則として、ルートとなる端末グループ、または、上位の端末グループに、適用しておきます。 従って、1回設定しておけば、新たに登録する端末にも、自動的に適用されます。

アラートイベントには、「端末側で認識するアラートイベント」と、「サーバ側で認識するアラートイベント」があります。

以上のアラートルールを設定ください。
アラートイベントに対するMobiControlの対応は、その警戒度に応じて3つのレベルがあります。
  1. ログに記録しておくだけ
  2. 関係者へのメールを自動送信
  3. 該当端末の隔離
従って、同じ端末グループを対象にして、3種類のアラートルールを作成しておきます。