Apple端末に働きかける

MobiControl v14 Manual

2021年 1月 23日

A. Apple端末に対する働きかけ

iPhone、iPad、macOSコンピュータの定常的な挙動を設定するには、「構成プロファイル」、「詳細設定」、 及び「ルール」の設定、追加、または変更を行います。

定常的な挙動設定をした前提の上で、端末に非定常的な働きかけをすることがあります。例えば、端末を紛失モードにしたり、端末画面をコンソールに映したりなどです。
端末に対し、非定常的な働きかけを行うには、以下説明するアクション項目を選択します。

B. 対象となる端末を選択

端末一覧画面の端末フィルター条件式を、(図1)ののように、 端末種別 = iOS とすると、iPhone と iPadだけが、一覧表示されます。
端末一覧での端末フィルタ条件式の設定と保存に関しては、コンソールでの端末フィルタを参照ください。

(図1)

働きかけをする端末の左側の〇にチェックを入れます。複数の端末を選択できます。
の〇にチェックを入れると、画面の全ての端末を選択できます。

端末フィルター条件式を、端末種別 = macOS とすると、macOSコンピュータだけが表示されます。
端末フィルタ条件式を、監視下 = TRUE とすると、監視モードのiPhone、iPadのみが表示されます。
macOSコンピュータ
のみを表示
監視モードの iPhone、iPad
のみを表示
非監視モードの iPhone、iPad
のみを表示

C. iPhone、iPadに対するアクションメニューを表示

対象とする端末群を選択すると、(図2)のようなアクションバーが下辺に現れます。
これの中からアクション項目を選択すると、端末に働きかけができます。
(図2)の右端の「その他」を選ぶと、更に多くのアクション項目がプルダウン表示されます。
(図2)のアクションバーのアイコンは、他のアクション項目と入れ替えができます。「D. アクションバーの項目を頻繁項目に取換える
(図2)
  1. Exchangeへのアクセスを許可
    下記 2. でアクセスを阻止した端末に、アクセス再開の許可を与えるコマンドを、MS Exchange Serverのフロントサーバに送ります。 MS Exchangeサーバへの不法アクセス防止を参照ください。
  2. Exchangeへのアクセスを阻止
    MS Exchange Serverの フロントサーバ(SOTIからの無償提供)に、選択した端末からのアクセスを阻止するコマンドを 送ります。
    MS Exchangeサーバへの不法アクセス防止を参照ください。
  3. MDMプロファイルを更新
    MDMプロファイルの失効日が近づいたときに、実行します。 端末で、「設定」-->「一般」-->「プロファイルとデバイス管理」-->「MobiControl Device Management」-->「詳細」を選択すると、 「デバイスID証明書」と「署名用証明書」の各々の有効期限が示されています。 これの有効期限の失効が近づいたら、このアクションを実行します。
  4. OSアップデートステータスをリフレッシュ
    、 「端末の詳細」タブの「ソフトウェアアップデート」セグメントの情報を最新の値にします。
    下記の「5. OSアップデートのスキャニング」を押す前と、「6. OSをアップデート」を押した後に、選択します。
  5. OSアップデートのスキャニング
    MobiControlは、チェックインしてくるApple端末に対し、24時間に1回は、Appleサーバにアクセスして OSの最新のバージョンがリリースされているかどうかをチェックさせます。 このアクションを実行すると、対象のApple端末に、今すぐ、このチェックをさせます。
  6. OSをアップデート
    OSのアップデートを実行します。
    Appleサーバから、各コンピュータにアップデートファイルがダウンロードされ、インストールされます。
  7. SMSを送信
    日本国内ではMobiControlサーバから端末へのSMS送信はサポートされていません。
  1. SOTI Hubアクセスをブロック
    選択した端末でのアプリ「SOTI Hub」からのアクセスを拒否するように、SOTIから無償提供の イントラネットゲートウェイにコマンドを送ります。
  2. SOTI Hubアクセスを許可
    上記 8.で拒否された端末に対し、アクセスを再許可するように イントラネットゲートウェイにコマンドを送ります。
  3. SOTI Hubキャッシュをクリア
    端末の「SOTI Hub」が、社内のレポジトリサーバから取得したコンテンツを削除します。
  4. SOTI Surfアクセスをブロック
    選択した端末でのブラウザ「SOTI Surf」からのアクセスを拒否するように イントラネットゲートウェイにコマンドを送ります。
  5. SOTI Surfアクセスを許可
    上記 10.で拒否された端末に対し、アクセスを再許可するように イントラネットゲートウェイにコマンドを送ります。
  6. SOTI Surfキャッシュをクリア
    端末の「SOTI Surf」が、社内のレポジトリサーバから取得したコンテンツを削除します。
  7. アクティベーションロックをバイパス
    端末が盗難/紛失でない場合に、端末のリセットの目的でコンソールからWipeをすることがあります。
    そのWipeの前に、このアクティベーションロックのバイパスを端末に要求します。 そうすると、Wipeの後のアクティベーション(初期設定)の作業が軽減されます。具体的には、Apple IDとパスワード または、バイパスコードの入力をしなくてすみます。 詳しくは、アクティベーションロックとそのバイパスを参照ください。 対象端末が、監視モードであることが必要
  1. インシデントを報告
    ヘルプデスクソリューション・サーバである、SOTI Assistに、端末のインシデントを報告します。 IT関連インシデントに関する貴社のヘルプデスクツールとして、SOTI Assist(有償)の導入をお勧めします。
  2. ソフトリセット
    起動中のアプリを終了させ、メモリー内にある当該アプリが生成し、未保存のキャッシュデータを削除します。
  3. チェックイン
    MobiControlサーバにチェックインするように、端末に対する要求をAPNs経由で送信します。
    (図8)を参照。 詳しくは、iOS チェックインと接続を参照ください。
  4. デバイス名の設定
    端末での「設定」--> 「一般」--> 「情報」名前の変更。35. 項を参照。 対象端末が、監視モードであることが必要
  5. パスコードロック解除
    無条件でロック解除ができるようにします。というか、スリープにしてもロック状態にならなくなります。「パスワード」、「パスコード」、「パターン」、「生体認証」のいずれも、端末ユーザが 忘れてしまったときに適用します。
    但し、「ユーザ認証」のプロファイルを適用している場合は、新しいパスワードを強制入力させる画面が端末に現れます。
    正当な端末ユーザが操作していることを確認してから、実行してください。
  6. ファイルを今すぐ同期
    ファイル同期ルールで規定したファイルを端末とMobiControlサーバとの間で 送受する。端末がMobiControlサーバに「接続」している状態のときのみに、有効です。
  7. メッセージを送信
    端末の画面に メッセージを表示する。
  8. リモート表示
    端末が、SOTI Surf または SOTI Hubを起動すると、その画面変化を、コンソールで表示開始します。 端末からMobiControlへ「接続」をしていないと表示はできません。「接続」と「チェックイン」を参照。
  9. ロック
    端末の画面をロック画面に変えます。
  10. 共有デバイスのトラブルシューティング
    端末を共用していた場合、前のユーザのアプリのアンインストールができなかったなどのエラー表示がされるときがあります。 この場合、このエラー表示を消します。
  11. 共有デバイスをログアウト
    端末を共用していた場合、ログアウトします。 Azure AD(Active Directory)、ID プロバイダ、または AD_DS(Active Directory Domain Service)のIDとパスワードの 再度の入力画面が現れます。
  12. 強制適用機能
    27項で、端末とMobiControlサーバとの交信を停止していた場合に、実行すると、交信を再開します。
  13. 再生音
    端末で音を鳴らします。対象端末が、監視モードであることが必要
  14. 削除
    端末のMobiControlへの登録を解除。コンソールでの当該端末の表示は終了。 MobiControlの端末ライセンスは開放されます。 下記の(表1)を参照。
  1. 暫定停止
    端末とサーバとの交信を中止します。「構成プロファイル」「ルール」及び「詳細設定」を変更しても、端末には反映されなくなります。 26項を実施すると、交信を再開します。
  2. 初期化(Wipe)
    端末を工場出荷時点の状態への初期化(WIPE)をします。端末購入後インストールしたアプリや 端末内のユーザデータは削除されます。
    • 端末のアクティベーションロックが有効になっていることを確認してWipeを実行してください。 アクティベーションロックが無効のときに、Wipeをすると、端末は拾得者が使えるようになります。
    • 端末が盗難/紛失でなく、単なるリセットをしたい場合は、Wipeの前に、「14.アクティベーションロックをバイパス」を 端末に要求しておくことをお勧めします。Wipeの後のアクティベーション作業が軽減されます。
  3. 制限のクリア
    端末で、「設定」--> 「一般」--> 「機能制限を設定」で設定した機能制限を解除します。 対象端末が、監視モードであることが必要
  4. 切断/中断
    電源をオフにします。
  5. 登録解除
    端末のMobiControlへの登録を解除。下記の(表1)を参照。
  6. 紛失モードを無効
    端末を紛失モードから通常モードにもどす。端末が見つかった場合に実施。33.項を参照。 対象端末が、監視モードであることが必要
  7. 紛失モードを有効
    端末を紛失モードにする。対象端末が、監視モードであることが必要
  8. 壁紙を設定
    端末の壁紙を変更します。壁紙ファイルを選択するダイアログが表示されます。ロック中とロック解除状態の2種類の状態での 壁紙をコンソールで選択設定できます。対象端末が、監視モードであることが必要
  9. 名前変更
    コンソールでの端末の名前を変更。端末側での端末名変更は、18.項を参照。

(表1)
「削除」と「登録解除」の違い


28.削除31.登録解除
MobiControlサーバへの登録解除解除
配布したプロファイルやアプリ削除削除
位置履歴など端末からの収集データ抹消保存したまま
端末一覧での表示非表示表示継続。従い、収集データを閲覧可能。
端末ライセンス解放保持したまま
再登録初回登録と同じ手順 Safariが起動し、登録プロファイルのインストールの画面が表示されます。以下、画面に従って、タップをすれば、再登録されます。サーバに保存されているレコードを継承します。

D. アクションバーの項目を取換える

上の(図2)には、アクション項目が横に並んでいます。これをアクションバーといいます
項目によっては、あまり頻繁に使わない項目があるかもしれません。

これを、頻繁に使う項目に取り換えることができます。

(図4)
「その他」を開き、アクションバーに昇格表示したい項目を選びます。
(図4)のように、右側に、黒い星のマークが表示されます。
この黒い星を、マウスで長押しします。
(図5)

黒い星が、金色の星に変わります。アクションバーに昇格表示したい項目を7つ選び、金色の星に変えます。
(図6)

端末一覧から端末を選ぶと、アクションバーの項目が(図6)のように変わります。金色の星を付けたアクション項目が、アクションバーに並びました

上の(図2)と比較してください。

このアクションバーから項目を選ぶことで、対応するアクションを端末に適用できるようになります。

「その他」を、押すと、金色の星のアクション項目が、最上部に表示されます。

金色の星の項目を、元に戻すには、金色の星の部分を長押しします。黒色の星に戻ります。

E. 働きかけの始動は、APNs経由で

iPhone、iPad、macOSコンピュータへの働きかけは、APNs経由で、端末に対しチェックインを要求し、そのチェックインがMobiControlサーバに 到着したら、MobiControlサーバから端末に向けて、直接コマンドを送ります。 詳しくは、チェックインの仕組みを参照ください。

(図7)

端末はネットワークに接続してなかったり、電源オフの場合があります。その場合、APNsサーバは、端末に向けて チェックイン要求を送れません。そして、そのチェックイン要求を破棄します。また、その破棄したことを、APNsサーバは MobiControlサーバに通知しません。
従って、コンソール画面では、端末への働きかけに成功したように見えて、実際は、成功してないことがあります。 これを、確認するには、コンソールでの端末のイベントログをチェックします。

F. 端末グループ単位での働きかけ

左側ペインの端末グループの右端の3点マーク(緑丸)をクリックし、現れるメニューから「アクションを実行」を選択することでも、(図8)のように、 アクションメニューが現れます。
このメニューでのアクションは、端末グループの全ての端末宛に適用されます。 同一端末グループ内の異なるOSの端末(Android端末やWindows PCなど)にも適用されます。
逆に、iPhoneやmacOSコンピュータには、適用できないアクション項目も、含まれています。

(図8)

G. OSのアップデートをコントロール

  • OSアップデートは、無期限に延長できない
    監視モードのiOS端末のOSアップデートを無期限に、延ばすことはできません。
    デフォルトでの延長期間は、Appleがリリースをしてから、0日間です。それに対し、 構成プロファイルを割り当てることで、90日間まで延長できます。
    この延長の間に、アップデートしたOSの基でも、業務アプリが正常に作動するかどうかを、検証用端末で、検証願います。 もし、正常に作動しない場合は、業務アプリの改造をすることになります。
  • 強制アップデートができる
    業務アプリに影響がないことが判明したら、コンソールの操作で強制アップデートができます。

非監視モードのiOS端末は、OSのアップデートを強制されません。MobiControlによる強制アップデートもできません。

  1. OSアップデートの延長方法
    (図9)は、構成プロファイル「iOS端末の機能制限」で、「アプリ」タブを選択した画面です。
    ここで、90と入力すると、90日間の延長ができます。この90の意味は、現在から90日間ではなく、Appleがアップデートが入手可能になってからの90日間です。

    (図9)

    90日間延長の設定をしたと仮定した場合の、各バージョン毎の延長最終日を下記に示します。
    iOS iPadOSの
    バージョン
    入手可能になった日延長最終日
    14.12020年10月20日2021年1月18日
    14.22020年11月5日2021年2月3日
    14.2.1(iOSのみ)2020年11月19日2021年2月17日
    14.32020年12月14日2021年3月14日
    詳しくは、Appleのドキュメント 「Appleデバイスのソフトウェア・アップデートを管理する」を参照ください。
  2. OSの強制アップデート方法
    OSのアップデートをしても、業務アプリに影響がないことが、判明すれば、上記 a.項の延長期間にかかわらず、対象とする端末のOSを強制アップデートできます。
    Appleが、OSのアップデートをリリースしたのに、まだアップデートを実行していないiOS端末のステータスには、次の (表2)が、示す通り、2種類あります。Aのステータスの端末は、Bのステータスに移行させる必要があります。 Bのステータスに移行させてから、アップデートを働きかけます。

(表2)

ステータスA B
Appleがアップデートをリリースしたことを認識しているか否か 認識していない 認識している
「端末の詳細」画面の「OS アップデートを入手できます」の項目の値 「なし」の2文字 入手できるOSの
新しいバージョン番号
アップデートの方法 (図3)の「6. OSをアップデート」を押しても、端末は、それを無視します
(図3)の 「5. OSアップデートのスキャニング」を押して、端末を、Appleサーバにアクセスさせ、 新しいバージョンがリリースしたことを、端末に認識させます。認識をした端末は、Bのステータスに移行します。
(図3)の「6. OSをアップデート」を押します。(図10)がポップアップします。

Bのステータスの端末に対して、(図3)の「6. OSをアップデート」を押すと、(図10)がポップアップします。

(図10)

(図10)の「OS更新バージョン」の右端をプルダウンすると、アップデートできるOSバージョンのリストが現れます。 最新のバージョンより手前のバージョンにアップデートしたいときは、それを選択します。

(図10)の「OSアップデート方法」欄の右端をプルダウンすると、(図11)のように、3つの選択肢が現れます。

(図11)

3つの選択肢の中から1つを選び、「OSをアップデート」ボタンを押します。
  • ソフトウェアアップデートのダウンロード後、インストールを行う
  • ソフトウェアアップデートのダウンロードをするが、インストールをしない
  • すでにダウンロード済のソフトウェアアップデートをインストールする

3つの選択肢の実行結果により、端末のステータスは、幾つか異なったものになります。
(図11)の「OSをアップデート」を押して、しばらくしてから(図3)の「5. OSアップデートステータスをリフレッシュ」を押してください。

「端末の詳細」画面の「OS アップデートを入手できます」の項目の値が、「なし」になれば、端末のOSが最新バージョンにアップデートしたことを意味します。

インストールは、勤務時間帯以外にするのがよいでしょう。

iOS端末のOSのダウングレードはできません。

H. アラートルールを作成

端末への働きかけの結果が、「成功」の場合もあれば、「失敗」の場合もあります。 これらの結果をログとして取得するために、アラートルールを作成します。

アラートルールは、原則として、ルートとなる端末グループ、または、上位の端末グループに、適用しておきます。 従って、1回設定しておけば、新たに登録する端末にも、自動的に適用されます。

アラートイベントには、「端末側で認識するアラートイベント」と、「サーバ側で認識するアラートイベント」があります。

以上のアラートルールを設定ください。
アラートイベントに対するMobiControlの対応は、その警戒度に応じて3つのレベルがあります。
  1. ログに記録しておくだけ
  2. 関係者へのメールを自動送信
  3. 該当端末の隔離
従って、同じ端末グループを対象にして、3種類のアラートルールを作成しておきます。