端末登録ルール

A. 端末登録ルール作成の前に知っておくこと

A-1 Apple製品を対象にする「端末登録ルール」作成の目的

Apple製品を対象にする「端末登録ルール」を作成する目的は、端末が所属する予定の端末グループを指定し、それに相応した登録用URLを生成することです。
登録用URLは、貴社が使用するMobiControlサーバのアドレスとサブディレクトリ(パス)から構成されます。

登録用URL

非監視モードとして端末を設定する場合は、アクティベーション済のiPhone、iPad、macOSコンピュータのSafariに、登録用URLを入力することで、 MobiControlへの登録作業が始まります。または登録用URLに対応するQRコードを読み取らせます。端末からの登録用URLの申告を受けて、MobiControlサーバは、端末が所属するべき端末グループへ端末を所属させます。
ABM(Apple Business Manager)サーバ経由の手動登録の場合は、登録前の事前準備として、登録用URLを含む情報のファイルを、Apple Configurator2を使って、ABMサーバにアップロードします。このファイルは、端末登録ルールの作成で生成されます。
詳しくは、「K. ABM経由手動登録に必要なファイルをダウンロード」を参照ください。
ABMサーバ経由の自動登録の場合は、MobiControlサーバ側で、各端末の製造シリアル番号毎に、適用予定の端末登録ルールの指定をしておきます。これを、端末のセットアップの前に行います。詳しくは、「J. 端末のシリアル番号を端末登録ルールに再配置」を参照ください。

A-2 階層構造の端末グループの最下位の端末グループに

MobiControlの端末グループは、企業/団体の組織構造を反映して、階層構造とすることができます。端末登録ルールは、原則的に、階層構造の最下位の端末グループ毎に作成します。

例えば「本部」「部」「課」の階層構造の場合だと、「課」単位の端末グループ毎の端末登録ルールを作成します。
「端末登録ルール以外のルール」「構成プロファイル」及び「端末の詳細設定」は、端末グループ別に適用します。これらは上位の端末グループ(本部など)に適用し多くの端末に一括適用することもできますが、最下位グループ(課など)に適用し、最下位グループ別に細かく適用することもできます。
そのために、端末登録ルールは、最下位グループ別に作成しておく必要があります。

例外として、「部」単位の端末登録ルールを作ることもできます。そして、部長席のユーザの端末は、その端末登録ルールに則って登録することもできます。「本部長席」のユーザの端末に対しても同様に「本部」単位の端末登録ルールを作成することも考えられます。

以下に説明するように、端末登録ルールの作成には多くの選択肢があります。同じ端末グループを対象に、複数の端末登録ルールを作成できます。

A-3 Apple製品のセットアップと登録の方法は4種類

Apple製品のセットアップとMobiControlサーバへの登録の方法には4種類があります。

監視モードとしてセットアップ
購入直後の端末を登録対象にします。または、アクティベーション済みなら、端末を初期化します。その後のアクティベーションのプロセスで、端末はApple Business Managerサーバ(旧名：DEPサーバ)に自動的にアクセスし、このサーバから、登録してあるMDMサーバ(MobiControlサーバ)のURLを取得します。続けて、端末は当該MDMサーバ(MobiControlサーバ)にリダイレクトされ、登録をします。
- 1-a ABM(Apple Business Manager:旧DEP)経由自動登録
  Apple販売店IDを持つ販売店から購入する端末が対象
- 1-b ABM経由手動登録
  Apple販売店IDを持たない販売店から購入した端末、既に購入済みの端末、及び、非監視モードでMobiControlに登録済みだが監視モードに変更する端末が対象
非監視モードとしてセットアップ
既にアクティベーション済みの端末を登録します。
- 2-a 登録用URLをSafariに入力して登録
- 2-b MobiControlエージェント(アプリ)のインストール後、そのアプリに登録IDを入力して登録
  (この方法は、推奨されていません)

「非監視モード」でも、MobiControlのコントロールを受けます。全く監視されないということではありません。但し、「監視モード」に比べると、コントロールされる領域が少なくなります。

端末登録ルールが作成されると、「登録用URL」と「登録ID」が生成されます。「登録用URL」と「登録ID」は、端末登録ルール毎に生成され、グローバルな唯一性を持ちます。
端末が所定の端末グループに登録される仕組みは下表の通りです。

登録方法の種類		端末グループに登録される仕組み
1-a	ABM経由自動登録	端末登録ルールの作成後、端末登録ルール毎に登録予定の端末のシリアル番号を割り当てておきます。この割り当てに関しては、下記の「端末シリアル番号を再配置」のセクションを参照ください。初期設定後、始めて、MobiControlサーバにアクセスした端末は、自らのシリアル番号が割り当てられている端末登録ルールを探します。そして、その端末登録ルールが指定する端末グループに登録されます。
1-b	ABM経由手動登録	端末登録ルール毎に生成される「登録に関するファイル」を、Apple Configuratorにインポート。Apple Configuratorは、これを Apple Business Managerサーバ(旧：DEPサーバ)に登録します。端末は、Apple Business Managerサーバに格納された「登録に関するファイル」を読み取って、登録先となるサーバURLと端末登録ルールを認識。そして、その端末登録ルールが指定する端末グループに登録される。「登録に関するファイル」については、「ABM経由手動登録をするのに必要なファイルをダウンロード」を参照ください。
2-a	登録用URLをSafariに入力して登録	登録用URLが示すMobiControlサーバにアクセス。登録用URLのディレクトリ名により、端末登録ルールを判別。当該端末登録ルールが指定する端末グループに登録される。
2-b	MobiControlエージェントのインストール後、登録IDを入力して登録	登録IDの入力を受けたエージェントは、最初、SOTIのサイトにアクセスし、登録IDに対応する登録用URLを取得。続けて、登録用URLが示すMobiControlサーバにリダイレクトされる。。登録用URLのディレクトリ名により、端末登録ルールを判別。当該端末登録ルールが指定する端末グループに登録される。 (この方法は推奨されていません。MobiControlエージェントの自動更新が困難だからです。)

macOSコンピュータの場合は、1-a または 2-aの方法でセットアップします。

A-4 MobiControlエージェント・ソフト

iOS、iPadOS、macOS には、デフォルトで具備されているMDMプロトコルという名前のメカニズムがあります。 MDMプロトコルが、MobiControlサーバにチェックインすることで、コマンドや構成プロファイルなどをサーバから受け取ります。
これだけでも、Apple製品のMDM管理は、ある程度は可能です。これをエージェントレス運用と言います。

しかし、更に、MobiControlエージェントをインストールし、端末ユーザがこれを起動すると、端末は、MobiControlサーバに接続します。
チェックインと、接続とでは、端末とMobiControlサーバ間で送受されるデータ内容は異なります。管理領域を拡げるには、MobiControlエージェントソフトのインストールが望まれます。
詳しくは、「iOS:チェックインと接続」を参照ください。
注上の表での1-a、 1-b、 2-a の方法で登録した場合、登録が終わった段階では、端末にはMobiControlエージェントがインストールされていません。
1-a、 1-b、 2-a の方法で登録する端末に対しては、MobiControlエージェントをアプリカタログ・ルールに搭載し、端末に配布します。そうすると、端末は、MobiControlに登録後、MobiControlエージェントをダウンロードし、インストールします。

A-5 3つの登録モード

iOSとiPadOSに関しては、3つの登録モードがあります。登録モードによって、登録後の端末の機能や、逆に禁止できる機能が異なります。

1. 監視モード		ABM(Apple Business Manager)サーバ経由自動登録または、 ABMサーバ経由手動登録した端末
非監視モード	2. デバイス登録	3.「ユーザー登録」に比べて多くの、機能制限が可能。コンソールからのリモートWipeが可能。
非監視モード	3. ユーザー登録 v14.4.3以降	私物端末に適用します。私的にインストールしたアプリ名などはコンソールには表示されません。コンソールからのリモートWipeは不能。iOS13以上の端末に適用可能。

会社支給端末の場合は、原則的に、監視モードに設定します。
監視モードの端末には、Appストアのアプリをサイレント・インストールできます。情報漏洩対策などを目的に、端末の一部の振る舞い/機能を停止させることができます。詳しくは、「監視モード」を参照ください。

macOSコンピュータの登録モードは、上記の「1.監視モード」と「2.デバイス登録」だけです。

「3.ユーザー登録」の端末登録ルールを作成するには、MobiControl v14.4.3以上にアップグレードする必要があります。

A-6 登録時に、認証サービスで認証させるかどうか

端末ユーザが、認証サービスのグループのメンバーであるかどうかを確認するために、端末を登録するプロセスで、認証サービスによる認証をさせることができます。
認証サービスには、「ディレクトリサービス」と「IDプロバイダ」の2系統があります。

			監視モード	非監視モード
ディレクトリサービス	オンプレミス	AD_DS、Apple OD、Dominoなど
ディレクトリサービス	クラウド	Azure AD
IDプロバイダ	オンプレミス	AD_FS、AD_FS以外
	クラウド	Azure IdP
	クラウド	Azure IdP以外

AD_DS:Active Directory Domain Service
AD_FS:Active Directory Federation Service
AD_FS以外のIDプロバイダ:Okta、PingFederateなど

ディレクトリサービスによる認証をさせるには、端末登録ルールの作成の前に、「ディレクトリサービス接続プロファイル」を作成しておきます。
IDプロバイダによる認証をさせるには、端末登録ルールの作成の前に、「IDプロバイダ接続プロファイル」を作成しておきます。
監視モードとして登録する際のIDプロバイダによる認証は、ABMサーバの仕様に基づき、現時点では、Azure IdPだけです。
認証サービスによる認証をすることによるメリットについては、「認証サービスで認証させると、こんなメリットが」を参照ください。
端末登録時には、認証サービスによる認証操作をスキップし、後に、端末ユーザ自身で、認証操作をして貰うこともできます。
- キッティング時には、認証サービスによる認証を不要とする端末登録ルールで登録
- 認証サービスによる認証を必要とするように、該当の端末登録ルールを編集(修正)
- コンソールで、端末を一時的に登録解除
- 端末では、MobiControlへの登録画面が表示されるので、「登録」ボタンを押す
- 端末は認証サービスにリダイレクトし、その認証画面を表示します。端末ユーザがユーザ名とパスワードを入力します。そして、MobiControlに再登録されます。

A-5 登録する端末グループに、認証サービスのグループをマッピング

登録すると、端末は、MobiControlの端末グループのどれかに所属します。その端末グループを、認証サービスのグループのどれかにマッピングさせておくことができます。マッピングとは、連携させておくことです。
次の表のように、4つのグループに対する端末登録ルールを作成したとします。

MobiControlの端末グループ		マッピング	認証サービスのグループ	端末登録ルールの名前
営業1部	内勤課			営業1部)内勤課)
営業1部	外勤課		外勤グループ	営業1部)外勤課)
営業2部	外勤課		外勤グループ	営業2部)外勤課)
営業2部	内勤課			営業2部)内勤課)

構成プロファイルは、「MobiControlの端末グループ」に割り当てることも、「認証サービスのグループ」に割り当てることもできます。
上の表のように、「営業1部)外勤課)」と「営業2部)外勤課)」には、認証サービスの「外勤グループ」にマッピングしておいたとします。そうすると、ある構成プロファイルを、認証サービスの「外勤グループ」に割り当てると、その構成プロファイルは、営業1部外勤課と、営業2部内勤課の両方にまとめて適用することができます。

A-6 設定の選択肢

監視モードにするか否か、認証サービスによる認証をさせるか否かで、端末管理の領域が広がります。

		監視モード	非監視モード
		端末の設定モード
		監視モード	デバイス登録	ユーザー登録
認証サービスで認証	させる
認証サービスで認証	させない
の場合、 MobiControlの管理領域は最も広くなります。の場合、管理領域は最も狭くなります。

端末登録ルールの作成をスムーズに行うには、上の表の

から

のどの設定選択肢を採用するかを、端末登録ルールの作成の前に、決定しておく必要があります。

B. 端末登録ルールの作成 - 端末グループ指定の事前ステップ

(図B1)
Apple製品のルールの一覧

(図B1)を表示します。
(図B1)のApple製品のルールの一覧を表示するには、Apple製品に対するルールの作成を参照ください。
(図B1)の「端末の登録」を右クリックすると、「端末登録ルールの作成」の文字列が表示されます。
この「端末登録ルールの作成」をクリックすると、(図B2)の設定ダイアログがポップアップします。

B-1. 端末登録ルール名の入力

端末登録ルール名の入力画面(図B2)が現れます。

(図B2)

赤い背景色の部分に、ルール内容を連想しやすい文字列を入力します。
企業/団体の組織は階層構造になっています。端末登録ルールは、末端グループ単位で設定するので、端末登録ルールの名前は、組織の末端グループの名前とすると管理が便利です。(図B3)が、端末登録ルールの名前の入力例です。

(図B3)

名前の入力が終われば「次へ」のボタンを押すと(図B4)が現れます。

B-2. 「デバイス登録」か「ユーザー登録」かの選択

(図B4)

「デバイス登録」か「ユーザー登録」かの選択をします。「A-5 3つの登録モード」のセクションを参照ください。
この画面は、MobiControl v14.4.3 以降で現れます。

「デバイス登録」を選択して、「次へ」を押すと、(図C1)に画面遷移します。
「ユーザー登録」を選択して、「次へ」を押すと、(図B5)に画面遷移します。

B-3. 「ユーザー登録」のApple ID

「ユーザー登録」のモードは、私物端末を登録することを想定しています。従って、私用のApple ID以外に、会社のアプリやデータを取り扱うために業務用のApple IDを登録します。
次の「ユーザ登録のApple ID」をクリックしてください。

ユーザー登録ののApple ID

(図B4)で、「ユーザー登録」を選択すると、(図B5)に画面遷移します。
(図B5)

赤い背景色の欄に、Azure AD IdPとの接続プロファイルの名前を入力します。予め、Azure AD IdPとの接続プロファイルを作成しておくと、右端をプルダウンすると、その接続プロファイルの名前の一覧が表示されます。それから選択します。Azure AD IdP との接続プロファイルの作成は、「IDプロバイダ接続プロファイル」を参照ください。
(図B5)で、Azure AD IdPを選択指定した場合は、下記の「C. 登録先端末グループの指定」のセクションでは、「C-2 端末グループを直接指定。認証サービスによる認証をする」または「C-3 端末グループに、認証サービスのグループをマッピングする」を選択してください。そして、(図B5)で指定した「IdP接続プロファイル」と同じ名前の「IdP接続プロファイル」を指定してください。
(図B6)

ローカルアカウントは、端末ユーザがAppleに登録します。(図B6)で「追加」を押すと、そのローカルアカウントを入力できます。ローカルアカウントの形式は、メールアドレスと同じ形式です。@ マークの右側は会社のドメインになります。
Apple IDの登録が終われば、「次へ」を押します。(図C1)に画面遷移します。
- 「ユーザー登録」モードを適用するには、iOS13.1以上が必要です。
- 「ユーザー登録」モードでは、端末のAPFS(Apple File System)ボリュームを業務領域と私用領域に、はっきり別けられます、業務用アプリが生成したデータを、私用アプリで取り扱うことができません。
- 業務領域と私用領域は別々に暗号化保存されています。端末をMobiControlサーバから登録解除すると、業務領域の暗号鍵が失われ、業務領域のアプリやデータを開くことができなくなります。ユーザが会社を離職した場合は、完全に私用端末として使えることができます。
- 業務領域では、(図B5)または(図B6)で設定した管理対象Apple IDでAppストアアプリを管理します。私用領域では私用のApple IDで管理します。iCloudも私用と業務用は別々です。
- MobiControlサーバは、私用にインストールされているアプリの一覧を取得できません。
- ロック解除のためのパスコードの複雑性(桁数や英字を含むとか)を強制できません。
- ポリシーに基づくパスコードの強制のために、事前に設定したパスコードのクリアができません。
- コンソールからのリモートWipeはできません。
- MobiControlサーバは、端末のUDID、端末シリアル番号、IMEI、MACアドレスを収集できません。
- アプリ毎VPNでは、私用データを送ることができません。
- 非管理対象(私用)アプリの管理対象アプリへの変換ができません。

C. 登録先端末グループの指定

(図C1)

端末の登録先となる端末グループを指定する方法には、次の3種類があります。 (図C1)で、次の3つの選択肢のどれかを選択します。

端末登録ルールで、端末グループを直接指定
- a-1 認証サービスによる認証をしない
- a-2 認証サービスによる認証をする
認証サービスのグループを指定し、端末グループを間接的に指定
(認証サービスのグループを端末グループにマッピングしておく)

a-1 と a-2 の場合は、(図C1)で「手動」を選びます。
bの場合は、(図C1)で、「ユーザーグループメンバーシップに基づく」を選びます。

次のようなプランも考えられます。

当初、端末登録ルールをa-1. で設定し、端末のキッティングを簡易的に行う
次に、端末登録ルールを a-2またはb.に編集(修正)
端末を一時的に登録解除し、そして、再登録する。この場合は、認証サービスによる認証を受けます。

下記の

をクリックください。

	説明を開いた状態
	説明を閉じた状態

C-1. 端末グループを直接指定。認証サービスによる認証をしない

端末のMobiControlへの登録時(キッティング時)に認証サービスに対するユーザ名と
パスワード入力画面が、表示されません。

端末登録ルールを適用する端末グループを選択

(図C1)で、「手動」を選択すると、(図C2)が現われます。「端末グループの登録」ダイアログで作成した端末グループが階層構造で表示されます。現在作成中の端末登録ルールの対象グループを選択します。

(図C2)

前述したように、基本的には、最下位の端末グループを指定することが適切です。「次へ」を押すと、(図C3)が現われます。

端末登録時に、パスワード入力を要求するか否かの選択

(図C3)
(図C3)で、次のラジオボタンのどちらかにチェックを入れます。
1. 端末登録時に、ここで設定するパスワードの入力を要求する
2. 端末登録時にパスワードの入力を要求しない
- a.を選択した場合、パスワード欄にパスワードを入力します。このパスワードは端末の登録の際だけに入力要求がされます。端末を登録する人に、このパスワードを連絡しておきます。登録した後に、端末をMobiControlサーバに接続させるときには、入力の要求はされません。
- b.を選択すると、登録作業が簡単になる反面、「登録用URL」を知っている人間の端末なら誰でも登録されてしまう危険があります。もし、キッティング作業の関係でパスワードの入力の手間を避けたい場合は、後述するIPアドレスフィルタと併用するとよいでしょう。その場合、社内の特定のSSID/WiFiに接続し、指定のIPアドレスを割り当てられている端末のみが登録できます。 MobiControlサーバがSaaSの場合、グローバルIPアドレスである必要があります。
  詳しくは、端末登録ルールのオプションで、「IPアドレスフィルタ」を参照ください。
- 端末を「ABM経由自動登録」する場合は、(図C3)で「静的登録チャレンジを使用する」にチェックを入れます。
パスワードの入力または、選択が終わると、「次へ」ボタンを押します。(図D1)に画面遷移します。

C-2 端末グループを直接指定。認証サービスによる認証をする

端末のMobiControlへの登録時に、認証サービスに対するユーザ名と
パスワード入力画面が表示されます。

端末登録ルールを適用する端末グループを選択

(図C1)で、「手動」を選択すると、(図C4)が現われます。「端末グループの登録」ダイアログで作成した端末グループが階層構造で表示されます。現在作成中の端末登録ルールの対象グループを選択します。

(図C4)

前述したように、基本的には、最下位の端末グループを指定することが適切です。「次へ」を押すと、(図C6)が現われます。

認証サービスのグループを指定
(図C4)で指定した、「MobiControlの端末グループ」に登録できる「認証サービスのグループ」を、(図C6)で指定します。

(図C5)

(図C5)の例の場合なら、認証サービスの「グループA」のメンバーであることを認証されたら、その端末は、MobiControlの端末グループ「営業1課」に登録されます。
認証サービスの複数のグループを指定できます。「認証サービスのグループ」を複数指定した場合、ユーザが、当該の「認証サービスのグループ」のどのメンバーであっても、その端末は(図C4)で指定した「MobiControlの端末グループ」に登録されます。
(図C5)の例の場合なら、認証サービスの「グループB」、「グループC」のどちらかのメンバーであることが認証されたら、その端末は、MobiControlの端末グループ「営業2課」に登録されます。

認証サービスの種類については、「A-6 登録時に、認証サービスで認証させるかどうか」を参照ください。
- ディレクトリサービスによる認証をさせるには、端末登録ルールの作成の前に、「ディレクトリサービス接続プロファイル」を作成しておきます。
- IDプロバイダによる認証をさせるには、端末登録ルールの作成の前に、「IDプロバイダ接続プロファイル」を作成しておきます。
(図C6)
(図C6)で、「デバイスの登録時にユーザーグループを使用してください。」のラジオボタンにチェックを入れます。
続けて、「ディレクトリサービス」か「IDプロバイダ」のどちらかにチェックを入れます。
- 右端をプルダウンすると、接続プロファイルの名前が表示されます。「ディレクトリサービス」を選択したら、ディレクトリサービス接続プロファイルの名前のリストが表示されます。
  「IDプロバイダ」を選択したら、IDプロバイダ接続プロファイルの名前のリストが表示されます。
  適用しようとする接続プロファイルの名前を選択します。(図C6)の「AD_Link」は、接続プロファイル名のサンプルです。
- 認証サービスのグループの名前を入力してから、右端の「Add」を押します。
  グループの名前の文字列全てを入力する替わりに、最初の3文字を入力してから「Add」を押すと、候補となるグループ名が表示されます。
- 認証サービスの入力したグループ名が表示されます。
  MobiControlサーバから認証サービスのサーバまで、問い合わせをしますから、表示されるまで、時間がかかります。
もし、認証サービスの複数のグループのメンバーの端末を、(図C4)で指定したMobiControlの端末グループに登録したい場合は、に、2番目のグループ名を入力します。
(図C7)は、「Sales T2」と「Sales T3」という名前の認証サービスのグループを、登録した例です。認証サービスの、ここに登録したグループのメンバーの端末が、(図C4)に指定したMobiControlの端末グループに登録されます。
もし、どちらかのグループを削除する場合は、グループ名の右横のX印をクリックします。
(図C7)

(図C6)での、入力が終われば、「次へ」を押します。(図D1)に画面遷移します。

C-3 端末グループに、認証サービスのグループをマッピングする

端末のMobiControlへの登録時に、認証サービスに対するユーザ名と
パスワード入力画面が表示されます。
1つの端末登録ルールの適用で、複数の端末グループへの振り分け登録ができます。

(図C8)

(図C9)

端末ユーザが所属する認証サービスグループに対し、MobiControlの端末グループを 1 対 1 でマッピングします。
(図C8)の例では、認証サービスの「グループA」のメンバーが、端末登録時にサインオンすれば、端末は、「営業1課」に登録されます。
端末登録ルールでは、1つの登録用URLが生成されます。
同じ登録用URLを入力しても、認証サービスの「グループB」のメンバーが、端末登録時にサインオンすれば、端末は、「営業2課」に登録されます。
つまり、この場合は、1つの端末登録ルールで、複数の端末グループへの登録を設定できます。
認証サービスのグループが、大ぐくりで、MobiControlの端末グループに、1対1で対応できない場合があります。その場合は、(図C9)のように、MobiControlの端末グループ毎に、端末登録ルールを作成します。
認証サービスの種類については、「A-6 登録時に、認証サービスで認証させるかどうか」を参照ください。
- ディレクトリサービスによる認証をさせるには、端末登録ルールの作成の前に、「ディレクトリサービス接続プロファイル」を作成しておきます。
- IDプロバイダによる認証をさせるには、端末登録ルールの作成の前に、「IDプロバイダ接続プロファイル」を作成しておきます。
(図C1)で、「ユーザーグループメンバーズシップに基づく」を選択すると、(図C10)が現われます。
(図C10)で、認証サービスのグループにマッピングするMobiControlの端末グループをマッピング(連携)させます。
マッピングすることの意義は、「A-5 登録する端末グループに、認証サービスのグループをマッピング」を参照ください。
(図C10)
(図C10)の上辺には、「ディレクトリサービス」と「IDプロバイダ」の2種類のラジオボタンがあります。どちらかを選択します。
- 右端をプルダウンすると、接続プロファイルの名前が表示されます。「ディレクトリサービス」を選択したら、ディレクトリサービス接続プロファイルの名前のリストが表示されます。
  「IDプロバイダ」を選択したら、IDプロバイダ接続プロファイルの名前のリストが表示されます。
  適用しようとする接続プロファイルの名前を選択します。(図C10)の「AD_Link」は、接続プロファイル名のサンプルです。
- 認証サービスのグループの名前を入力してから、右端の「Add」を押します。
  グループの名前の文字列全てを入力する替わりに、最初の3文字を入力してから「Add」を押すと、候補となるグループ名が表示されます。
  MobiControlサーバから認証サービスのサーバまで、問い合わせをしますから、表示されるまで、時間がかかります。
認証サービスのグループは、(図C11)の欄に表示されます。 (図C11)のの「Sales T3」は、認証サービスのグループ名のサンプルです。
(図C11)

(図C11)で、認証サービスのグループにマッピングするMobiControlの端末グループを選択します。
(図C11)の欄の右端をプルダウンすると、(図C12)のように MobiControlの端末グループが階層構造で表示されます。

(図C12)

(図C12)の欄で、MobiControlの端末グループを選択すると、(図C13)のように画面が遷移します。

(図C13)

(図C13)は、認証サービスの「Sales T2」という名前のグループが、MobiControlの端末グループである「営業第2部」にマッピングしていることを意味します。認証サービスの「Sales T2」のメンバーの端末は、MobiControlの端末グループ「営業第2部」に登録されます。
同時に、構成プロファイルが、認証サービスのグループ「Sales T2」に割り当てられたら、それは、MobiControlの端末グループ「営業第2部」の端末に展開されます。
追加的に、認証サービスの他のグループのマッピングを行います。(図C10)ので、再度、認証サービスの他のグループの名前を入力してから、右端の「Add」を押します。
以下、(図C11)と(図C12)と同じ作業をします。これで、認証サービスの複数のグループを、MobiControlの端末グループへマッピングできます。
複数のグループのマッピングをした後に、そのどれかを削除したいときがあります。その際は、該当するグループを選択してから、(図C13)の左下の「削除」ボタンを押します。
macOSの構成プロファイルには、「デバイス構成プロファイル」と「ユーザ構成プロファイル」の2系統があります。「ユーザ構成プロファイル」の系統を適用するためには、 (図C13)の「LDAPユーザーを登録ユーザーであると考慮し、すべてのプロファイルを指定します(macOS限定)」にチェックを入れておきます。
(図C13)での作業が終われば、「次へ」を押します。「次へ」を押すと、(図C14)に画面遷移します。

SSL(TLS)通信に関する証明書

(図C14)

端末とMobiControlサーバとの間のSSL(TLS)通信に使う証明書を規定します。 MobiControl内部CAを使う場合は、「次へ」を押します。(図D1)に画面遷移します。

D. Apple Automated Device Enrollment(旧: DEP)での質問メッセージ

Apple Automated Device Enrollment(旧: DEP)で、端末を登録する場合は、端末の初期設定(アクティベーション)を行います。その初期設定のプロセスでは、画面に各種のメッセージが表示され、端末ユーザに、その対応を要求します。これらのメッセージを表示させず、初期設定のプロセスでの個別設定をスキップすることもできます。
非監視モードとして設定する場合は、ここでの設定は無視されます。スキップください。

(図D1)の上部「全般」の4項目は、アクティベーション時に現れるメッセージではなく端末の振る舞いや基本的機能を設定します。原則的に4項目全てにチェックを入れておきます。

(図D1)

(図D1)での設定アシスタントとは、初期設定のプロセスで、端末で表示されるメッセージを指します。そのメッセージは、個別項目の設定をするか否かの問いかけと、それに続く設定画面です。

(図D1)で、チェックを入れないでおくと、当該メッセージが表示されません。
例えば、(図D1)の「Apple Pay」にチェックを入れないでおくと、「Apple Payを設定するかどうか」のメッセージが表示されません。そして、Apple Payの設定をしないで、初期設定を終わらせます。

「アシスタントオプション設定」の全てにチェックを入れないでおくと、端末の初期設定時に、メッセージが全く現れません。そして、初期設定の完了直後の時点では、端末はこれらの機能を利用できません。

但し、殆どの設定項目は、初期設定の後での端末操作で、設定をすることができます。例えば、入力する言語などは変更できます。

チェックを入れた場合の、設定内容を、下表で説明します

下表で緑色背景の設定項目は、設定以後に、再度表示することはできません。例えば、

クィックスタート

の画面は、設定以後に表示させることはできません。

(図D1)は、iOS13.1以上の端末を想定しています。(図D-1)で、チェックを入れても、 iOS13未満の端末では、表示されない項目があります。

(図D1)の項目		説明
全般		原則的に4項目全てにチェックを入れておきます。チェックを入れた場合の端末の挙動を、以下、説明します。
	設定アシスタントで登録を必須にする	端末の初期設定を行なうと、必ず、MobiControlへの登録を強制します
	デバイスが使用可能になる前に、MDMによってデバイスが設定されるまで待機します(iOS限定)	端末の登録の前に、構成プロファイル、端末登録ルール以外のルール(アプリ配布のためのアプリカタログルールを含む)、端末詳細設定を、端末グループに割り当てておきます。端末が当該の端末グループに登録されたら、これらの構成をMobiControlからダウンロードします。そして、これらの展開をします。この展開が終わるまで、端末を使用することができなくなります。
	デバイスの監視	チェックを入れると、端末を監視モードにします。
	登録解除を禁止する	チェックを入れると、端末ユーザによって、端末の「設定」-->「一般」で、 MobiControlの登録を端末ユーザによっては解除できないようになります。詳しくは、「端末操作での登録解除の禁止」を参照ください。
iOSおよびmacOS両方のアシスタントオプションの設定		チェックを入れた場合に、端末の初期設定時の画面に現れるメッセージ項目とその内容を以下説明します
	新規またはバックアップからの復元の設定	「新規設定」か、「iTunesまたはiCloudに保存済みのデータを読み取って復元をするかどうか」の質問画面を表示します。そして、iTunesまたは、iCloudからの復元ができます。下記の「Androidからの移行」を選択する場合も、ここにチェックを入れておきます。
	Apple ID	Apple IDのアカウントを設定する画面が表示されます。監視モード端末では、Apple IDが無くても、 Apple Appストアからアプリのダウンロードができます。
	利用規約	Apple社の利用規約文章が表示され、ユーザの同意を求めます
	診断	クラッシュデータや使用状況の統計情報をApple社に送信できるようになります
	位置情報サービス	MobiControlが端末の位置情報を取得することを許諾するか否かの画面を表示します
	Siri	Siriを使用するかどうかの画面を表示します
	Apple Pay	Apple Payの設定画面を表示します
	タッチID	タッチID(指紋認証)の設定画面を表示します
iOS限定のアシスタントオプションの設定		チェックを入れると、端末の初期設定時に、関連する質問が画面に表示されます
	クィックスタート	他の端末からセットアップ中の端末へ設定情報(WiFi、言語、Apple IDなど)を引き継ぐか否かの画面を表示します。他の端末を近接させると引き継がせることができます。

	推奨設定言語	文字入力時のExpress言語の設定画面を表示する
	優先する言語	文字入力時に使う言語の変更画面を表示する。日本で販売された端末の場合、チェックを入れないと日本語が優先する言語になる。
	ようこそ	「ようこそ iPhoneへ」画面を表示します
	パスコード	パスコード設定画面を表示します
	プライバシー	追跡型広告を許可する画面を表示します
	iMessageとFaceTime	iMessageとFaceTimeの設定画面を表示します
	スクリーン時間	スクリーンタイムの設定画面を表示します
	ソフトウェアアップデート	該当端末のOSバージョンより新しいバージョンがリリースされているときは、そのアップデートの画面を表示します
	表示形式	「外観モード」の画面を表示します。昼と夜で別の画面になります。
	音質を表示	True Toneの設定画面を表示します
	SIM設定	eSIMの「モバイル通信プランの追加」の画面を表示します。日本ではIIJが対応しています。
	ホームボタンの感度	ホームボタンの画面の感度の設定画面を表示します
	オンボーディング	「オンボーディング」画面を表示します。初回起動時の、利用法説明。
	移行を監視	他の端末から、該当端末への設定情報の移行のプロセスを表示します
	アンドロイドの移行	設定情報をAndroidデバイスから移行する画面を表示します
	ズーム	ディスプレイ解像度を「標準」または「ズーム」のどちらかに設定する画面を表示します
macOS限定のアシスタントオプションの設定		チェックを入れると、端末の初期設定時に、関連する質問が画面に表示されます。
	iCloud診断	iCloudのデータを、Appleの診断のために送るか否かの画面を表示します
	ファイル金庫	FileVault(暗号化)の機能を使って、ファイルを暗号化するかどうかの画面を表示します
	登録	Appleに対し提出するデバイスの登録フォームを表示します

(図D1)での選択が終われば、「次へ」を押します。(図E1)に画面遷移します。

E. 利用規約の設定

端末の利用規約を制定し、端末を登録するプロセスで、端末にそれを表示します。そして、端末ユーザの同意を取得します。特に私物端末を登録する際に、端末データの取り扱いに関して、同意を得ておくことが望ましいと判断した場合、この利用規約を設定します。
利用規約を端末に表示させないこともできます。

前述した「C-3 端末グループに、認証サービスのグループをマッピングする」を設定した場合、(図E1)は表示されません。

「利用規約」は、端末ユーザがMobiControlを利用することに伴う権利義務と MobiControlが端末を管理する事柄を記述した文章です。「会社支給端末を紛失したら、すぐに会社に届けること」とか「私物端末でも、紛失したら、端末をリモートWIPE(初期設定にもどす)をし、プライベートデータも削除すること」などの条項が記述しておきます。
端末登録時に、この規約に端末ユーザが同意したかどうかは、MobiControl管理者に通知がきます。

端末が会社支給端末で、そのデータが従業員個人に属さない場合は、この利用規約は必ずしも必要ないかもしれません。キッティング時に、利用規約を端末に表示しない場合は、(図E1)で、「端末登録時に利用規約への同意を求める」のチェックを外します。

(図E1)

(図E1)の「利用規約のタイトル」欄の右端をプルダウンすると、作成済の「利用規約のタイトル」のリストが表示されるので、適切なタイトルを選択します。
(図E1)で、「管理」を押すと(図E2)が現われます。

(図E2)

新規に利用規約を登録するには、「追加」を押します。(図E3)が現われます。

(図E3)

利用規約の名前を入力します。利用規約本文は、予め作成しておき、コンソールコンピュータ内に保存しておきます。ソース欄の右の「参照」を押すと、コンソールコンピュータのExploreが開きますので、保存先フォルダを検索し、該当ファイルをクリックします。利用規約本文は、テキスト形式か、HTML形式で記述します。

F. コンソールに表示する端末の名前

コンソールには、端末一覧が表示されます。そこでの端末の名前を指定します。

(図E1)で、「次へ」を押すと、(図F1)に画面遷移します。(図F1)では、端末の名前の形式を設定します。

(図F1)

入力欄の右端の歯車アイコンをクリックすると、端末名の構成要素となるマクロのリストが表示されます。
各々の構成要素を選択すると、対応するマクロが入力欄に入力されます。

端末名の構成要素名	マクロ
IMEI Number 国際移動体装置識別番号。15桁の数字	%IMEI%
電話番号	%PHONENUMBER%
数字の順番を自動的に割り当て	%AUTONUM%
端末のMACアドレス	%MAC%
端末のOS	%PLATFORM%
端末のモデル	%MODEL%
端末メーカー	%MANUFACTURER%
登録時のユーザのユーザ名	%EnrolledUser_Username%
登録時のユーザのドメイン	%EnrolledUser_Domain%
登録時のユーザのメールアドレス	%EnrolledUser_Email%
所有者が命名した端末名	%PERSONALIZED_DEVICE_NAME%

注意：青文字の構成要素を選ぶときは、AD_DSまたはAD_FSによる認証をする端末登録ルールでなければなりません。AD_DSまたはAD_FSで認証することにより、MobiControlは AD_DSのユーザ属性を把握することができます。

複数の構成要素を選択することが可能です。例えば、
「端末のモデル」と「数字の順番を自動的に割り当て」を選ぶと、
この欄は、 %MODEL% %AUTONUM%
と表示されます。
実際の端末の定型端末名は、この場合、
iPhone 00001
のようになります。続いて、この定型端末名の形式で2番目に登録された定型端末名は
iPhone 00002 となります。
マクロだけでなく、固定の文字列も挿入できます。

(図F2)
(図F1)の再掲

(図F1)または(図F2)で、「これを反映するようにデバイス側の名前を更新する」にチェックを入れます。
これにチェックを入れると、端末側の端末名が(図F1)または(図F2)で規定した名前に変更されます。端末側の端末名とは、端末で「設定」--> 「一般」--> 「情報」に表示されている名前です。
端末側でMobiControlアプリ(エージェント)をアンインストールした後に、再インストールすると、端末側の端末名で、(図F1)または(図F2)で設定したMobiControl側の名前を上書きしてしまいます。
これを防止するために、端末側の端末名も(図F1)または(図F2)で設定した名前と同じにしておきます。
端末側の端末名を同一にする機能は監視モード端末であることが必要です。

G. 端末の壁紙の設定

iPhone、iPadの壁紙を設定します

(図F1)または(図F2)で、「次へ」を押すと、(図G1)に画面遷移します。

(図G1)

端末のロック画面、またはホーム画面での壁紙(Wall Paper)の設定できます。対象端末が、iPhoneかiPadかを(図G1)の上部タブで選択します。画像の部分をクリックすると、コンソールパソコンのExploreが開きますから、壁紙としたい画像ファイルを選択します。画像ファイルの形式は、PNGかJPEGであることが必要です。

H. 端末登録ルールの内容確認

(図G1)で、「次へ」を押すと、((図H1)に画面遷移します。

((図H1)

設定した端末登録ルールの内容が表示されます。これでよければ、「終了」ボタンを押します。

H-1. 登録用URLの表示

((図H1)で「終了」ボタンを押すと、(図H2)のポップアップが表示されます。

(図H2)

(図H2)の端末登録サイトのURLが、「登録用URL」です。今まで作成してきた端末登録ルールに紐づけられたURLです。端末のSafariに、このURLを入力すれば、端末をMobiControlに登録できます。
詳しくは、サーバの登録用URLによる端末の登録を参照ください。
(図H2)の「メールで登録IDの通知」のボタンを押すと、メーラーが起動し、登録用URLを通知するメール文案が表示されます。端末ユーザのメールアドレスが分かれば、そのメールアドレスを入力して発信します。端末でメールを開き、本文の中のURLをタップすれば、ブラウザが開き、MobiControlサイトへアクセスし、登録を始めることができます。

URLをQRコードに変換してくれる無料のサードパーティ製アプリが幾つかあります。このアプリをWindows PCで起動し、(図H2)のURLをコピー/貼り付けすると QRコードを生成できます。このQRコード画像を印刷しておき、キッティング対象の端末でスキャンすると、URLを読み取ることができます。続けてSafariが起動し、MobiControlサイトへアクセスし、登録を始めることができます。。

H-2. 端末登録ルールの内容表示

(図H2)で「閉じる」ボタンを押すと、端末登録ルールの作成は終わりです。
コンソール画面の左側ペインにある「端末の登録」という項目を左クリックすると、作成済みのルールの一覧が表示されます。登録したルールにマウスを載せると、その内容が、(図H3)のように表示されます。

(図H3)

(図H3)に、登録IDと端末登録サイトのURLが表示されます。

端末の登録方法の一つに、端末で登録IDを入力する方法があります。これは、端末で、MobiControlエージェントソフトを App Storeからダウンロードし、それをインストールする登録方法です。そのインストールのプロセスの途中で、登録IDの入力を要求されます。
詳しくは、登録IDによるセットアップと登録を参照ください。このセットアップ方法は、推奨されていません。MobiControlエージェントの自動アップデートが難しいからです。

I. 作成済の端末登録ルールの編集その他

コンソール画面の左側ペインにある「端末の登録」という項目を左クリックすると、作成済みのルールの一覧が表示されます。作成した端末登録ルールの名前を右クリックすると、(図I1)のようなメニューが現われます。

(図I1)

作成済の端末登録ルールの中身を修正する場合は、「ルールの編集」を選択します。「ルールの対象グループ」、「登録時の認証方式」、「利用規約書」、「適用期間」などを修正することができます。
「登録ID発行の停止」を選択すると、(図H3)の「登録ID」と「端末登録サイトのURL」の欄の文字列が空白になります。更にプルダウンメニューの「登録ID発行の停止」の文字列が消え、「登録ID発行の開始」が現れます。(図I2)参照。

(図I2)

(図I2)で「登録ID発行の開始」を押すと、新しい登録IDと登録用URLが発行されます。今後は、この新しい登録IDまたは登録用URLを使わないと新規に端末を登録できなくなります。
この登録IDと登録用URLの再発行は、セキュリティ対策上、次のような場合に役立ちます。部外者が登録IDを知ると、Mobicontrolに自分の端末を登録できてしまうからです。登録IDと登録用URLを時々、変えると、このようなリスクを防げます。

(図I3)

「ルールの適用中止」を選択すると、臨時的に、その登録IDまたは登録用URLでは登録できなくなります。登録済の端末がMobiControlの管理外になるということではありません。また、端末登録ルールが削除された訳ではありません。
「ルールの適用開始」を押すと、この端末登録ルールの適用が再開します。
「ルールの削除」を選択すると、この端末登録ルールは削除されます。復活はできません。

J. 端末のシリアル番号を端末登録ルールに再配置

Automated Device Enrollment (旧:DEP)を適用して、自動登録した場合、端末は、特定の端末グループ(デフォルトの端末グループ)に登録されます。そこで、特定の端末グループから、所定の端末グループに、登録されるように事前準備をしておきます。

Apple認定販売店IDを持つ販売店から購入するApple製品に限り、端末をABM(Apple Business Manager:旧DEP)経由で自動登録できます。
端末登録ルール内のリストに、これから登録する予定の端末のシリアル番号を標記しておきます。ABM経由自動登録してくる端末は、自らの端末シリアル番号が標記している端末登録ルールを探して、その端末登録ルールが指定した端末グループに登録されます。端末のシリアル番号とは、製造時にAppleが端末毎に附番した番号で、端末に固有の番号です。
複数の観光バスがあり、各々乗車予定者リストが決まっていたとします。バスに乗る人はリストに自分の名前が載っているバスに乗車します。これと同じ仕組みです。

(図J1)

(図J2)

販売店は、購入する端末の端末シリアル番号を、ABM(Apple Business Manager 旧:DEP)サーバに登録しておいてくれます。
端末を購入した企業/団体の、ABM(Apple Business Manager)担当者アカウントを持つ人が、ABMサーバから、DEPトークンをダウンロードし、それを、MobiControlサーバにアップロードします。
MobiControlには、「既定のデバイス端末登録ルール」というデフォルトの端末登録ルールがあります。
(図J2)の例では「DEP受付」がそれです。この端末ルールの文字列を右クリックして現われるメニューに「DEP指定の管理」があり、これを選ぶと、これから登録する予定の端末の端末シリアル番号が表示されます。これを他の端末登録ルールに再配置します。

詳しくは、ABM経由自動登録の「E. 端末登録ルールで、端末シリアル番号を再配置」を参照ください。

端末の登録後、コンソール画面のドラッグ&ドロップで、端末が所属する端末グループを変更することができます。詳しくは、「端末を他の端末グループへ移動」を参照ください。

ABM経由手動登録の場合は、この端末シリアル番号の再配置の作業をする必要はありません。

K. ABM経由手動登録に必要なファイルをダウンロード

既に購入済のiPhoneやiPadを、ABM経由手動登録をして、監視モードにすることができます。
それには、予め必要なファイルをダウンロードしておく必要があります。

Automated Device Enrollment (旧:DEP)を適用して、iPhoneまたはiPadを手動登録する場合、それには、macOSコンピュータで動くApple Configuratorを使います。その操作のプロセスで、MobiControlサーバからダウンロードしたファイルのインポートが必要です。

(図K1)

「C-1. 端末グループを直接指定。認証サービスによる認証をしない。」の(図C3)に、「静的登録チャレンジを使用する(Apple Configuratorと共に使用)」にチェックを入れておきます。このチェックを入れた端末登録ルールの名前を右クリックすると、(図K1)のようなメニューが表示されます。
(図K1)の
- 登録に関するファイルのダウンロード
- MobiControlトラストプロファイルのダウンロード
をクリックしてファイルをダウンロードします。

ファイル名

登録に関するファイル addDeviceRulexxxx.mobileconfig

MobiControlトラストプロファイル rootCertProfile.mobileconfig

ABM経由手動登録は、登録しようとする端末を、USBケーブルでmacOSコンピュータに接続して実行します。上記の2つのファイルを、macOSコンピュータに保存しておきます。 macOSコンピュータで起動するApple Configurator2に、この2つのファイルをインポートします。
初期設定された端末は、 2つのファイルの内、addDeviceRulexxxx.mobileconfigを参照して、適用される端末登録ルールを判別します。
ABM経由手動登録の方法は、ABM経由手動登録を参照ください。

	ファイル名
登録に関するファイル	addDeviceRulexxxx.mobileconfig
MobiControlトラストプロファイル	rootCertProfile.mobileconfig

L. 端末登録ルールのオプション

*端末が所属する端末グループを移動後、端末の登録一時解除 --> 端末の再登録をした場合に、移動後の端末グループに再復帰させるか否か
*上記の場合に、コンソールに表示する端末名も継承するか、新しくするか
*WiFiの特定のIPアドレス・レンジ内でしか、端末を登録できないようにする

((図H1)の右下の「詳細設定」を押すと、(図L1)が現われます。

L-1. 適用期間の設定

オプションとして、端末登録ルールの適用期間を設定します。例えば、

MobiControlの社内展開日がまだ先の場合は、開始日時を設定できます。
端末の登録終了日を設定する場合、その日時を入力します。
この終了日で登録は終ります。この日以降、この登録IDでの登録はできなくなります。
しかし、登録済の端末によるMobiControlの利用は継続します。

(図L1)

(図L1)の下段の項目を説明します。

項目の文字列	説明
ルールの適用	チェックを外すと、端末登録ルールは存在しても、対象の端末グループへの新規登録は拒否します
再登録時に元の端末グループに所属させる	端末が所属する端末グループを移動させることがあります。その上で、端末側でMobiControl登録を一度解除し、登録時と同じ登録ID(または登録用URL)で、再度、登録することがあります。ここにチェックを入れておくと、端末は、登録解除直前の端末グループに復帰して、再登録されます。チェックを入れておかないと、端末は、登録ルールで指定した端末グループ(図C2)、(図C4)、(図C13)に、再登録されます。端末の再登録に伴う復帰については、「端末での登録解除の禁止」を参照ください。端末は、コンソールにより、他の端末グループに移動させることができます。また、端末は、アラートルールの発動で端末グループを移動させられることもあります。
SHA-1クライアント証明の配布を強制	MobiControl v14.x は、サーバと端末との間の暗号化通信プロトコルに、SHA-2 による TLS1.2 を採用しています。端末がSHA-2をサポートしてない場合に、ここにチェックを入れます。
パスワードをキャッシュに入れる	AD_DS(Active Directory Domain Service)で本人認証をして、端末を登録するとします。その場合、登録作業中の10分間に限り、ADのパスワードをサーバにキャッシュ保存します。 AD_DSの認証を必要とする、WiFi、VPN、またはEメールの登録に関する構成プロファイルが、すでに当該端末グループに割り当てられているとします。その構成プロファイルには、パスワード入りで端末に配布されます。従って、端末が、WiFi、VPN、またはEメールを利用とするときに、 AD_DSのパスワード入力画面がポップアップしません。
登録ID発行の開始	チェックを外すと、(図H3)で、「登録ID」の行に登録IDが表示されません。但し、(図I2)で、「登録ID発行の開始」を押すと、登録IDが表示されるようになります。
再登録で端末名を保持	端末側でMobiControl登録を一度解除し、再度、登録することがあります。その場合、ここにチェックを入れておくと、登録解除前の端末名で、再登録されます。

L-2. IPアドレスフィルタ

(図L1)の「ルールフィルタ」の新規ボタンをドロップダウンします。この中のIPアドレスフィルタを選択します。(図L2)が現われます。

(図L2)

IPアドレスフィルタとは、端末の登録時の端末のIPアドレスが、(図L2)で設定したIPアドレスの範囲内であるときでないと、MobiControlに登録できなくするようにすることです。
例えば、社内の特定の場所を電波カバーする無線LANの提供するIPアドレスの範囲を指定します。そうすると、端末は地理的に社内のその場所でないと、登録できなくなります。
社外での登録を防ぐことでセキュリティ強度が増します。特にそのIPアドレスがグローバルIPアドレスだと一意性を持つので、益々、セキュリティが高まります。
登録後、当該端末を社外で使っても、なんら問題なくMobiControlサーバに接続でき、MobiControlの管理対象とできます。

L-3. 端末登録時に端末のOSのバージョンを指定

(図L1)の「ルールフィルタ」の新規ボタンをドロップダウンします。この中の「デバイスプロパティ・フィルタの追加」を選択します。

(図L3)

登録する端末のOSのバージョンを指定します。不等号記号を使って、指定のバージョンより上とか下を指定できます。