チェックインと接続

MobiControl v14 Manual



1. 2種類のアクセス動作

(図1)

iPhone、iPad、macOSコンピュータ(以下、Apple端末)が、MobiControlサーバにアクセスする動作には、チェックイン接続の2種類があります。

「チェックイン」と「接続」とでは、アクセスを実行する主体が異なります。 「チェックイン」と「接続」では、送受する情報の種類が異なります。「接続」していなくても「チェックイン」は実行されます。

MDMサーバへのチェックインをするMDMプロトコルは、OSの一部分です。工場出荷時から搭載されています。
Apple端末以外の端末では、「チェックイン」も「接続」もMobiControlエージェントが、実行主体です。また、「接続」をしていないと、「チェックイン」はできません。

2. Apple端末とMobiControlサーバとの間で送受されるオブジェクト

位置情報などの端末のステータス情報の一部を除き、 オブジェクトの殆どは、チェックインの時に、送受されます。

(図2)

「構成プロファイル」「端末の詳細設定」「ルール」の設定をご一読ください。
スクリプトコマンドは、macOSコンピュータ宛です。iPhone と iPad 宛には送れません。

3. チェックインの仕組み

チェックインは、 MobiControlサーバが、APNs(Apple Push Notification service)経由で、端末のMDMプロトコルに、それを要求することで実施されます。 端末ユーザの操作で、チェックインをすることはできません。

(図3)

APNs経由で「チェックイン要求」を受信した端末は、たとえスリープ中やロック中でも、MobiControlサーバにチェックインをします。 アプリ実行中でもチェックインをします。
MDMプロトコルは、チェックインの時だけ、httpsセッションを確立し、 チェックインに伴う送受が終われば、httpsセッションを切断します。
チェックインでの伝送途中でも、コンソールでの端末一覧での、端末アイコンは、オフライン のままです。になるのは チェックインでなく「接続」のときです。

4. どのようなトリガーで、サーバはチェックインを要求するか

MobiControlサーバは、次のいずれかのトリガーで、APNs経由で、Apple端末にチェックインを要求します。
  1. コンソールで、「構成プロファイル」を作成、または更新した後、割り当てする端末グループを指定した時。 割り当てが終われば、MobiControlサーバは、チェックインの要求をします。
    (但し、「構成プロファイル」の適用日時を遅らせたり、 適用を端末ユーザの操作に委ねるオプションもあります)
  2. コンソールで、端末グループを選び、 「端末の詳細設定」の編集を完了した時。
    完了すれば、MobiControlサーバは、チェックインの要求をします。
  3. コンソールでの働きかけメニューから項目を選択した時。
    例えば、リモートWIPEの働き項目を選んだ場合が該当します。まずは、サーバからチェックインを要求し、チェックインをしてきた端末にWIPEのコマンドを送ります。
  4. コンソールで、スクリプトコマンドを作成し、「スクリプトを送信」ボタンを押した時
  5. 「チェックイン」を押した時。
    端末一覧で個別端末を選択し、上部アクションバーで、「チェックイン」を選択。

    または、端末グループの名前右端の「縦3点リーダー」を押し、「アクションを実行」-->「チェックイン」を選択。
  6. 更新スケジュールの時刻。
    a.項からe.項のチェックイントリガーは、コンソールでの何らかの操作の結果で、実行されます。これらとは異なり自動的にチェックイン要求をすることもあります。
    MobiControlサーバは、更新スケジュールを内蔵していて、時刻になれば、自動的にチェックイン要求をAPNs経由で、端末に送ります。 これは、コンソールでの操作がなくても、実行されます。

    端末のアラートイベントは、コンソールでの操作結果としてのチェックインの時にも送られてきますが、この更新スケジュールの時にも 送られてきます。クリティカルなアラートをMobiControl管理者が早く認識するには、小刻みな更新スケジュールが望ましいでしょう。 但し、これはトラフィック増大とのトレードオフです。

    更新スケジュールは、端末の詳細設定で、スケジュール変更ができます。
「ルール」を設定しただけでは、サーバは、端末にチェックインの要求をしません。ルールを今すぐ展開したい場合は、 をクリックする必要があります。

5. 端末がチェックインをしてこない原因

端末の挙動を設定したり、アプリをリモートインストールしたりを含め、Apple端末を管理するには、端末からのチェックインが不可欠です。
しかし、このチェックインを長時間に渡り、してこない端末が、見られます。 をクリックしても、 「イベントタブ」で、反応ログが表示されないことがあります。
このチェックインをしてこない端末を、見つけることが、Apple端末の管理運営の重要作業です。

チェックインをしてこない原因としては、次のような事象が考えられます。
  • 長時間、電源がオフ。バッテリ消耗。
    (OSが起動していれば、チェックインは、ロック中でも実行されます)
  • WiFi専用端末が、長時間、WiFiと切断
  • WiFi専用端末が、事業所外に持ち出された
    (端末が接続できるWiFiを、事業所内SSIDに強制限定できます)
  • WiFi専用端末に対するFirewallで、ポート5223(Outbound TCP)が閉鎖された。(図3)参照。
  • 携帯電話電波の圏外の場所に存在
  • 機内モードになっている
  • 詳細設定で、ローミング制限の設定をしてあるのに、端末が海外にある
  • APNs証明書の有効期間が切れた。有効期間は1年間。 「APNs証明書の更新」を参照ください。

6. 「MDMステータス更新」の列

(図4)は、iPhoneとiPadの一覧表示のサンプルです。端末フィルタリングで、 iOS端末のみを表示してあります。
端末の名前の右側に、「MDMステータス更新」の列を表示してあります。 「MDMステータス更新」とは、チェックインした時刻です。

(図4)
「MDMステータス更新」の列を表示

「MDMステータス更新」の右端をクリックすると、チェックインが早い順又は遅い順で、端末の行を並べ替えることができます。

「MDMステータス更新」を端末の名前の右横に掲げる方法については、「端末一覧の端末プロパティの入れ替え」を参照ください。

チェックインは、2時間間隔がデフォルトです。従って、「MDMステータス更新」の時刻が、2時間より前であるiPhoneとiPadは、異常です。 の端末などが、その異常な例です。

MobiControl管理者は、端末一覧を(図4)のように設定しておけば、チェックイン状況を把握できます。

7. チェックインに関するアラート設定

(図5)は、Apple製品のアラートルールの設定の一部分です。 (図5)は、MobiControlサーバへの前回のチェックインから、360分間(=6時間)、経ったのにかかわらず、チェックインしてこないApple製品をアラート対象として摘出する設定です。 アラートは、アラートログに記録され、更には、オプションでアラートメールを関係者宛に自動発信します。

(図5)

長時間、チェックインがないことは、異常です。 Apple製品(iPhone、iPad、macOSコンピュータ)を管理対象としている場合は、 このアラートルールを、必ず、設定しておいてください。アラートのしきい値を、何分間とするかは、任意です。
アラートのしきい値は、分単位で設定します。アラート文には、%HOURS%時間、%DAYS%日間、のマクロ文字列を 挿入しておきます。%HOURS%は、経過分数を60で除した値、%DAYS%日間では、経過分数を1440で除した値を表示します。

8. チェックインでは、送られてこない端末ステータス情報

(図2)では、端末のステータス情報も、チェックインの時に送られてくるとしていますが、 例外的に、次の情報は、送ってきません。これは、AppleのMDMプロトコルが、これらの情報を送る機能を持たないからです。
  1. 端末の地理的位置情報
  2. 端末の画面
  3. IPアドレス
  4. バッテリ空き容量
  5. 総メモリと書込可能なメモリ容量
  6. 脱獄(JailBreak)しているかどうか
  7. 通信費管理ルールに基づく使用データ量

これらの情報は、MobiControlサーバに「接続」したときに、MobiControl エージェントが送ります。

「端末の詳細」タブを開くと、該当端末に関する多くのステータス情報が記されています。 上記の a項からg項を除くステータス情報は、チェックインのときに、MDMプロトコルが送ってきます。

MobiControlエージェントは、フォアグラウンドで起動していなくても端末が移動するたびに、バックグラウンドで、 a.項の端末の地理的位置情報を収集し、端末内に保存しています。 そして、端末が「接続」をすると、MobiControlサーバにまとめて送信します。
端末の過去の位置は、次のスキームで、コンソールで地図表示されます。

(図6)

また、日時を指定して、Google Mapにその時刻の端末の位置を表示できます。「あの日、あの時」に、どこに居たかがわかります。 「接続」が、最近に行われていると、より最近の位置を地図表示できます。その為には、頻繁に「接続」させる工夫が必要です。

端末が「接続」していれば、勿論、現在位置を地図表示できます。
オフラインの端末の最近の位置を地図表示するには、「Apple 端末の位置表示」を参照ください。

9. 端末に「接続」させるには

iPhoneとiPadでの MobiControlエージェントによる接続は、端末ユーザの操作が必要です。次のいずれかを実行して貰います。
  • コンソールから送ったメッセージを開く。 コンソールからメッセージを送信すると、端末画面にポップアップ表示されます。メッセージを開くと、MobiControlエージェントが起動します。
  • SOTI Surfを起動する。SOTI Surfは、ブラウザです。
  • SOTI Hubを起動する。SOTI Hubは、リポジトリサーバへアクセスするためのアプリです。
  • SDK for iOSを組み込んだアプリを起動する。
  • をタップ して、MobiControlエージェントを起動する。

端末が、「接続」中なら、端末画面を、コンソールに表示できます。端末ユーザの画面操作を見ることができます。 詳しくは、「iOS 端末をリモート表示、端末とのファイル移動」を参照ください。

MobiControlエージェントをインストールしてあるmacOSコンピュータは、OSを起動すると、自動的に、MobiControlサーバに接続します。そして、その接続を維持します。 接続中のmacOSコンピュータの画面を、コンソールに表示し、コンソールからリモート操作ができます。

端末が接続状態だと、コンソールでの端末一覧で、端末アイコンは になります。

10. エージェントレス端末

iPhoneやiPadをMobiControlに登録するのに、MobiControlエージェントのインストールは必須ではありません。
アプリカタログに、MobiControleエージェントを加えてなければ、MobiControlエージェントは、インストールされません。 MobiControlエージェントをインストールしてない端末を、エージェントレス端末といいます。

エージェントレス端末は、MobiControlサーバに「接続」ができません。エージェントレス端末は、次の制限を受けます。
  1. 端末の地理的位置履歴が取得できません。
  2. SOTI Surfなどを起動したときに、リモートビューができません。
  3. ファイル同期ルールを使って、端末とサーバの間でのファイルの送受ができません。
  4. 上記の、8項での a.~g.のステータス情報を、コンソールで表示できません。これらの情報を基にするアラートルールも作動しません。

(図7)


コンソールの「端末の詳細」タブを開くと、(図7)のような表示があります。
「エージェントなし」の値が、「はい」となっている端末は、エージェントレス端末です。

11. ログの表示

コンソールで、対象とする端末の名前をクリックすと、(図8)のような画面が上部に現われます。

(図8)

(図8)で、「イベントログ」のタブを開くと、(図9)のようなログが表示されます。

(図9)

  • APNs経由で、MobiControlサーバからのチェックイン要求を端末に送ることに成功
  • 端末からのチェックインのアクセスがあった
  • チェックインに伴う、オブジェクトの送受が終了し、チェックインを終わる。 通常は、数秒で終わります。
  • 端末からの接続開始
  • 接続の終了
    端末がスリープ状態になると、接続は終了します。