A. 端末登録ルール作成の前に知っておくこと
A-1 Apple製品を対象にする「端末登録ルール」作成の目的
Apple製品を対象にする「端末登録ルール」を作成する目的は、端末が所属する予定の端末グループを指定し、それに相応した登録用URLを生成することです。
登録用URLは、貴社が使用するMobiControlサーバのアドレスとサブディレクトリ(パス)から構成されます。
登録用URL
- 非監視モードとして端末を設定する場合は、アクティベーション済のiPhone、iPad、macOSコンピュータのSafariに、登録用URLを入力することで、
MobiControlへの登録作業が始まります。または登録用URLに対応するQRコードを読み取らせます。端末からの登録用URLの申告を受けて、MobiControlサーバは、端末が所属するべき端末グループへ端末を所属させます。
- ABM(Apple Business Manager)サーバ経由の手動登録の場合は、
登録前の事前準備として、登録用URLを含む情報のファイルを、Apple Configurator2を使って、ABMサーバにアップロードします。
このファイルは、端末登録ルールの作成で生成されます。
詳しくは、「K. ABM経由手動登録に必要なファイルをダウンロード」を参照ください。
- ABMサーバ経由の自動登録の場合は、MobiControlサーバ側で、各端末の製造シリアル番号毎に、適用予定の端末登録ルールの指定をしておきます。
これを、端末のセットアップの前に行います。詳しくは、「J. 端末のシリアル番号を端末登録ルールに再配置」を参照ください。
A-2 階層構造の端末グループの最下位の端末グループに
MobiControlの端末グループは、企業/団体の組織構造を反映して、階層構造とすることができます。
端末登録ルールは、原則的に、階層構造の最下位の端末グループ毎に作成します。
例えば「本部」「部」「課」の階層構造の場合だと、「課」単位の端末グループ毎の端末登録ルールを作成します。
「端末登録ルール以外のルール」「構成プロファイル」及び「端末の詳細設定」は、端末グループ別に適用します。これらは上位の端末グループ(本部など)に適用し
多くの端末に一括適用することもできますが、最下位グループ(課など)に適用し、最下位グループ別に細かく適用することもできます。
そのために、端末登録ルールは、最下位グループ別に作成しておく必要があります。
例外として、
「部」単位の端末登録ルールを作ることもできます。そして、部長席のユーザの端末は、その端末登録ルールに則って登録することもできます。「本部長席」のユーザの
端末に対しても同様に「本部」単位の端末登録ルールを作成することも考えられます。
以下に説明するように、端末登録ルールの作成には多くの選択肢があります。同じ端末グループを対象に、複数の端末登録ルールを作成できます。
A-3 Apple製品のセットアップと登録の方法は4種類
Apple製品のセットアップとMobiControlサーバへの登録の方法には4種類があります。
- 監視モードとしてセットアップ
購入直後の端末を登録対象にします。または、アクティベーション済みなら、端末を初期化します。
その後のアクティベーションのプロセスで、端末はApple Business Managerサーバ(旧名:DEPサーバ)に自動的にアクセスし、
このサーバから、登録してあるMDMサーバ(MobiControlサーバ)のURLを取得します。
続けて、端末は当該MDMサーバ(MobiControlサーバ)にリダイレクトされ、登録をします。
- 非監視モードとしてセットアップ
既にアクティベーション済みの端末を登録します。
「非監視モード」でも、MobiControlのコントロールを受けます。全く監視されないということではありません。
但し、「監視モード」に比べると、コントロールされる領域が少なくなります。
端末登録ルールが作成されると、「登録用URL」と「登録ID」が生成されます。
「登録用URL」と「登録ID」は、端末登録ルール毎に生成され、グローバルな唯一性を持ちます。
端末が所定の端末グループに登録される仕組みは下表の通りです。
登録方法の種類 | 端末グループに登録される仕組み |
1-a |
ABM経由自動登録 |
端末登録ルールの作成後、端末登録ルール毎に登録予定の端末のシリアル番号を割り当てておきます。
この割り当てに関しては、下記の「端末シリアル番号を再配置」のセクションを参照ください。
初期設定後、始めて、MobiControlサーバにアクセスした
端末は、自らのシリアル番号が割り当てられている端末登録ルールを探します。そして、その端末登録ルールが指定する端末グループに登録されます。
|
1-b |
ABM経由手動登録 |
端末登録ルール毎に生成される「登録に関するファイル」を、Apple Configuratorにインポート。Apple Configuratorは、これを
Apple Business Managerサーバ(旧:DEPサーバ)に登録します。 端末は、Apple Business Managerサーバに格納された「登録に関するファイル」を読み取って、登録先となるサーバURLと端末登録ルールを認識。
そして、その端末登録ルールが指定する端末グループに登録される。
「登録に関するファイル」については、「ABM経由手動登録をするのに必要なファイルをダウンロード」を参照ください。
|
2-a |
登録用URLをSafariに入力して登録 |
登録用URLが示すMobiControlサーバにアクセス。登録用URLのディレクトリ名により、端末登録ルールを判別。当該端末登録ルールが指定する端末グループに登録される。 |
2-b |
MobiControlエージェントのインストール後、登録IDを入力して登録 |
登録IDの入力を受けたエージェントは、最初、SOTIのサイトにアクセスし、登録IDに対応する登録用URLを取得。続けて、登録用URLが示すMobiControlサーバに
リダイレクトされる。。登録用URLのディレクトリ名により、端末登録ルールを判別。当該端末登録ルールが指定する端末グループに登録される。
(この方法は推奨されていません。MobiControlエージェントの自動更新が困難だからです。)
|
macOSコンピュータの場合は、1-a または 2-aの方法でセットアップします。
A-4 MobiControlエージェント・ソフト
iOS、iPadOS、macOS には、デフォルトで具備されているMDMプロトコルという名前のメカニズムがあります。
MDMプロトコルが、MobiControlサーバに
チェックインすることで、コマンドや構成プロファイルなどをサーバから受け取ります。
これだけでも、Apple製品のMDM管理は、ある程度は可能です。これをエージェントレス運用と言います。
しかし、更に、MobiControlエージェントをインストールし、端末ユーザがこれを起動すると、端末は、MobiControlサーバに
接続します。
チェックインと、
接続とでは、端末とMobiControlサーバ間で送受されるデータ内容は異なります。
管理領域を拡げるには、MobiControlエージェントソフトのインストールが望まれます。
詳しくは、「
iOS:チェックインと接続」を参照ください。
注 上の表での1-a、 1-b、 2-a の方法で登録した場合、登録が終わった段階では、端末にはMobiControlエージェントがインストールされていません。
1-a、 1-b、 2-a の方法で登録する端末に対しては、MobiControlエージェントを
アプリカタログ・ルールに搭載し、端末に配布します。そうすると、端末は、MobiControlに登録後、MobiControlエージェントをダウンロードし、インストールします。
A-5 3つの登録モード
iOSとiPadOSに関しては、3つの登録モードがあります。登録モードによって、登録後の端末の機能や、逆に禁止できる機能が異なります。
会社支給端末の場合は、原則的に、監視モードに設定します。
監視モードの端末には、Appストアのアプリをサイレント・インストールできます。情報漏洩対策などを目的に、端末の一部の振る舞い/機能を停止させることができます。
詳しくは、「
監視モード」を参照ください。
macOSコンピュータの登録モードは、上記の「1.監視モード」と「2.デバイス登録」だけです。
「3.ユーザー登録」の端末登録ルールを作成するには、MobiControl v14.4.3以上にアップグレードする必要があります。
A-6 登録時に、認証サービスで認証させるかどうか
端末ユーザが、認証サービスのグループのメンバーであるかどうかを確認するために、端末を登録するプロセスで、
認証サービスによる認証をさせることができます。
認証サービスには、「ディレクトリサービス」と「IDプロバイダ」の2系統があります。
MobiControlは次の製品をサポートしています。
- ディレクトリサービス
AD_DS(Active Directry Domain Service)、Apple OD(Open Directory)
- IDプロバイダ
Azure IdP、Shibboleth、Okta、OneLogin
- ディレクトリサービスによる認証をさせるには、端末登録ルールの作成の前に、
「ディレクトリサービス接続プロファイル」を作成しておきます。
- IDプロバイダによる認証をさせるには、端末登録ルールの作成の前に、
「IDプロバイダ接続プロファイル」を作成しておきます。
- 「ユーザー登録」方式で登録する際のIDプロバイダによる認証は、Azure IdPだけです。
- 認証サービスによる認証をすることによるメリットについては、
「認証サービスで認証させると、こんなメリットが」を参照ください。
- 端末登録時には、認証サービスによる認証操作をスキップし、後に、端末ユーザ自身で、認証操作をして貰うこともできます。
- キッティング時には、認証サービスによる認証を不要とする端末登録ルールで登録
- 認証サービスによる認証を必要とするように、該当の端末登録ルールを編集(修正)
- コンソールで、端末を一時的に登録解除
- 端末では、MobiControlへの登録画面が表示されるので、「登録」ボタンを押す
- 端末は認証サービスにリダイレクトし、
その認証画面を表示します。端末ユーザがユーザ名とパスワードを入力します。そして、MobiControlに再登録されます。
- 端末登録時には、認証サービスによる認証操作をスキップし、後で、MobiControlコンソールで、コンソール管理者により、
端末に、ユーザを紐づけることもできます。
- 端末一覧で、該当端末を選択
- 「端末の詳細」タブで、「ユーザ情報」で、
を押して、ユーザ名を入力。
A-5 登録する端末グループに、認証サービスのグループをマッピング
登録すると、端末は、MobiControlの端末グループのどれかに所属します。その端末グループを、認証サービスのグループのどれかに
マッピングさせておくことができます。マッピングとは、連携させておくことです。
次の表のように、4つのグループに対する
端末登録ルールを作成したとします。
MobiControlの端末グループ | マッピング | 認証サービスのグループ | 端末登録ルール の名前 |
営業1部 | 内勤課 |
|
| 営業1部)内勤課) |
外勤課 |  |
外勤グループ | 営業1部)外勤課) |
営業2部 | 外勤課 |
 | 外勤グループ |
営業2部)外勤課) |
内勤課 | |
| 営業2部)内勤課) |
構成プロファイルは、「MobiControlの端末グループ」に割り当てることも、「認証サービスのグループ」に割り当てることもできます。
上の表のように、「営業1部)外勤課)」と「営業2部)外勤課)」には、認証サービスの「外勤グループ」にマッピングしておいたとします。
そうすると、ある構成プロファイルを、認証サービスの「外勤グループ」に割り当てると、その構成プロファイルは、
営業1部外勤課と、営業2部内勤課の両方にまとめて適用することができます。
A-6 設定の選択肢
B. 端末登録ルールの作成 - 端末グループ指定の事前ステップ
(図B1) Apple製品のルールの一覧
| (図B1)を表示します。
(図B1)のApple製品のルールの一覧を表示するには、Apple製品に対するルールの作成を参照ください。
(図B1)の「端末の登録」を右クリックすると、「端末登録ルールの作成」の文字列が表示されます。
この「端末登録ルールの作成」をクリックすると、(図B2)の設定ダイアログがポップアップします。
|
B-1. 端末登録ルール名の入力
端末登録ルール名の入力画面(図B2)が現れます。
(図B2)

赤い背景色の部分に、ルール内容を連想しやすい文字列を入力します。
企業/団体の組織は階層構造になっています。端末登録ルールは、
末端グループ単位で設定するので、
端末登録ルールの名前は、組織の末端グループの名前とすると管理が便利です。(図B3)が、端末登録ルールの名前の入力例です。
(図B3)

名前の入力が終われば「次へ」のボタンを押すと(図B4)が現れます。
B-2. 「デバイス登録」か「ユーザー登録」かの選択
(図B4)

「デバイス登録」か「ユーザー登録」かの選択をします。「
A-5 3つの登録モード」のセクションを参照ください。
この画面は、MobiControl v14.4.3 以降で現れます。
「デバイス登録」を選択して、「次へ」を押すと、(図C1)に画面遷移します。
「ユーザー登録」を選択して、「次へ」を押すと、(図B5)に画面遷移します。
B-3. 「ユーザー登録」のApple ID
「ユーザー登録」のモードは、私物端末を登録することを想定しています。
従って、私用のApple ID以外に、会社のアプリやデータを取り扱うために業務用のApple IDを登録します。
次の「ユーザ登録のApple ID」をクリックしてください。
C. 登録先端末グループの指定
(図C1)

端末の登録先となる端末グループを指定する方法には、次の3種類があります。
(図C1)で、次の3つの選択肢のどれかを選択します。
- 端末登録ルールで、端末グループを直接指定
-
a-1 認証サービスによる認証をしない
-
a-2 認証サービスによる認証をする
-
認証サービスのグループを指定し、端末グループを間接的に指定
(認証サービスのグループを端末グループにマッピングしておく)
a-1 と a-2 の場合は、(図C1)で「手動」を選びます。
bの場合は、(図C1)で、「ユーザーグループメンバーシップに基づく」を選びます。
次のようなプランも考えられます。
- 当初、端末登録ルールをa-1. で設定し、端末のキッティングを簡易的に行う
- 次に、端末登録ルールを a-2またはb.に編集(修正)
- 端末を一時的に登録解除し、そして、再登録する。この場合は、認証サービスによる認証を受けます。
下記の をクリックください。
|
 | 説明を開いた状態 |
 | 説明を閉じた状態 |
|