端末登録ルール

MobiControl v14 Manual


A. 端末登録ルール作成の前に知っておくこと

A-1 階層構造の最下位の端末グループ毎に、端末登録ルールを作成

(図A-1)

MobiControlの端末グループは、企業/団体の組織構造を反映して、階層構造とすることができます。
そして、「構成プロファイル」、「ルール」そして「詳細設定」は、上位の端末グループ単位でも適用できます。
しかし、 端末登録ルールは、原則的に、階層構造の最下位の端末グループ毎に作成します。 その理由は、最下位グループ単位で設定した、「構成プロファイル」、「ルール」そして「詳細設定」をも適用できるようにするためです。

A-2 端末登録ルールを作成すると、登録用URLが生成される

端末登録ルールを作成すると、登録用URL が生成されます。
登録用URLは、貴社が使用するMobiControlサーバのアドレスとサブディレクトリ(パス)から構成されます。

登録用URL

1つの登録ルールに対応する登録用URLは、1つです。逆に、1つの登録用URLに対応する端末登録ルールも、1つだけです。
端末に、この登録用URLを読み取らせて、登録することによって、端末登録ルールが指定した端末グループに、端末は配属されます。

端末とMobiControlサーバが、社内ネットワークの中にあり、端末から見たMobiControlサーバのアドレスが、 内部(プライベート)IPアドレス または、社内DNSが生成するURLの場合があります。 この場合も、MobiControlサーバは、登録用URLを生成します。詳しくは、弊社にお問い合わせください。

A-3 Apple端末の登録方法と登録用URLの入力シーン

Apple端末のMobiControlへの登録には、大別して2種類、細別して4種類があります。各々に対する登録用URLの入力シーンは、下記の(表1)を参照ください。

(表1)

端末のセットアップと登録の方法登録用URLの入力シーン
a.ABM経由で登録。 端末は、監視モードとして登録される
a-1 ABM経由自動登録
販売店番号を持つApple端末取扱店から新規購入する端末が対象
登録用URLは使用しない。サーバアドレス部分のみをMDMアドレスとして登録。
デフォルトの端末登録ルールを適用。
a-2 ABM経由手動登録
販売店番号を持たない販売店から購入した端末が対象
Apple Configurator2 での「MDMサーバを定義」の画面で、登録用URLを入力
b.ABM経由で登録しない。 端末は、非監視モードとして登録される
b-1 デバイス登録
会社支給端末が対象
端末のSafariのURL欄に、登録用URLを入力。または登録用URLに相当するQRコードを読み取らせる。
b-2 ユーザー登録
私物端末が対象
macOSコンピュータの登録手段は、上記のa-1. b-1. だけです。
登録方法の詳細は、「Apple端末のセットアップと登録」を参照ください。

A-4 ABM経由自動登録のためのデフォルトの端末登録ルール

デフォルト(規定)の端末登録ルールを作ります。
デフォルトの端末登録ルールも、登録用URLを生成しますが、それだけでなく、サブディレクトリの指定をせず、サーバアドレス宛だけに アクセスしてきた端末の受け皿になる端末登録ルールにもなります。
(表1)の a-1. ABM経由自動登録 での端末には、デフォルト(規定)の端末登録ルールが、適用されます。

作成した端末登録ルールを、デフォルト(規定)の端末登録ルールとして、MobiControlに登録する方法は、 下記の「J. 端末のシリアル番号を端末登録ルールに再配置」を参照ください。

B. 端末グループ指定の事前ステップ

(図B1)
Apple端末のルールの一覧
(図B1)を表示します。
(図B1)のApple端末のルールの一覧を表示するには、Apple端末に対するルールの作成を参照ください。
(図B1)の「端末の登録」を右クリックすると、「端末登録ルールの作成」の文字列が表示されます。
この「端末登録ルールの作成」をクリックすると、(図B2)の設定ダイアログがポップアップします。

B-1. 端末登録ルール名の入力

端末登録ルール名の入力画面(図B2)が現れます。

(図B2)

赤い背景色の部分に、ルール内容を連想しやすい文字列を入力します。
企業/団体の組織は階層構造になっています。端末登録ルールは、末端グループ単位で設定するので、 端末登録ルールの名前は、組織の末端グループの名前とすると管理が便利です。(図B3)が、端末登録ルールの名前の入力例です。

(図B3)

名前の入力が終われば「次へ」のボタンを押すと(図B4)が現れます。

B-2. 「デバイス登録」か「ユーザー登録」かの選択

(図B4)

「デバイス登録」か「ユーザー登録」かの選択をします。
この画面は、MobiControl v14.4.3 以降で現れます。

「デバイス登録」を選択して、「次へ」を押すと、(図B7)に画面遷移します。
「ユーザー登録」を選択して、「次へ」を押すと、(図B5)に画面遷移します。

B-3. 「ユーザー登録」のApple ID

「ユーザー登録」のモードは、私物端末を登録することを想定しています。 従って、私用のApple ID以外に、会社のアプリやデータを取り扱うために業務用のApple IDを登録します。
次の「ユーザ登録のApple ID」をクリックしてください。

ユーザー登録のApple ID

  • (図B4)で、「ユーザー登録」を選択すると、(図B5)に画面遷移します。

    (図B5)

    赤い背景色の欄に、Azure AD IdPとの接続プロファイルの名前を入力します。 予め、Azure AD IdPとの接続プロファイルを作成しておくと、右端をプルダウンすると、その接続プロファイルの名前の一覧が表示されます。 それから選択します。Azure AD IdP との接続プロファイルの作成は、「IDプロバイダ接続プロファイル」を参照ください。

    (図B7)で、Azure AD IdPを選択指定した場合は、下記の 「C. 登録先端末グループの指定」のセクションでは、 「C-2 端末グループを直接指定。認証サービスによる認証をする」 または「C-3 端末グループに、認証サービスのグループをマッピングする」 を選択してください。そして、(図B7)で指定した「IdP接続プロファイル」と同じ名前の「IdP接続プロファイル」を指定してください。

    (図B6)

    ローカルアカウントは、端末ユーザがAppleに登録します。(図B6)で「追加」を 押すと、そのローカルアカウントを入力できます。ローカルアカウントの形式は、メールアドレスと同じ形式です。@ マークの右側は 会社のドメインになります。

    Apple IDの登録が終われば、「次へ」を押します。(図B5)に画面遷移します。
    • 「ユーザー登録」モードを適用するには、iOS13.1以上が必要です。
    • 「ユーザー登録」モードでは、端末のAPFS(Apple File System)ボリュームを業務領域と私用領域に、はっきり別けられます、業務用アプリが生成したデータを、私用アプリで取り扱うことができません。
    • 業務領域と私用領域は別々に暗号化保存されています。 端末をMobiControlサーバから登録解除すると、業務領域の暗号鍵が失われ、業務領域のアプリやデータを開くことができなくなります。 ユーザが会社を離職した場合は、完全に私用端末として使えることができます。
    • 業務領域では、(図B7)または(図B6)で設定した管理対象Apple IDでAppストアアプリを管理します。私用領域では 私用のApple IDで管理します。iCloudも私用と業務用は別々です。
    • MobiControlサーバは、私用にインストールされているアプリの一覧を取得できません。
    • ロック解除のためのパスコードの複雑性(桁数や英字を含むとか)を強制できません。
    • ポリシーに基づくパスコードの強制のために、事前に設定したパスコードのクリアができません。
    • コンソールからのリモートWipeはできません。
    • MobiControlサーバは、端末のUDID、端末シリアル番号、IMEI、MACアドレスを収集できません。
    • アプリ毎VPNでは、私用データを送ることができません。
    • 非管理対象(私用)アプリの管理対象アプリへの変換ができません。

B-4. 登録先端末グループの指定

(図B7)

(図B7)では、通常は、「手動」を選択し、下辺で「次へ」を押します。(図C1)が、現れます。

(図B7)で、「ユーザグループメンバーシップに基づく」を選択した場合は、 「M. 認証サービスのグループに、構成プロファイルを割り当てられるようにする」を参照ください。

C. 端末グループ指定 - 本人認証無し

C-1. 端末登録ルールを適用する端末グループを選択

(図B7)で、「手動」を選択すると、(図C1)が現われます。 「端末グループの登録」ダイアログで作成した端末グループが階層構造で表示されます。 現在作成中の端末登録ルールの対象グループを選択します。

(図C1)

A-1.項で、記したように、基本的には、最下位の端末グループを指定することが適切です。

ABM経由自動登録のためのデフォルトの端末登録ルールを作成するときは、 任意の端末グループを作成し、これを対象となる端末グループとします。 これを、後から、デフォルトの端末グループ として、MobiControlに登録します。 作成した端末登録ルールを、デフォルト(規定)の端末登録ルールとして、MobiControlに登録する方法は、 下記の「J. 端末のシリアル番号を端末登録ルールに再配置」を参照ください。

登録する端末が配置される端末グループを指定したら、「次へ」を押します。(図C2)が現われます。

C-2. 端末登録時の本人認証

(図C2)

(図C2) の、又は の選択肢の内、 IT部門で、端末のキッティングを集約的に行なう場合は、 を選択します。

に関するガイダンス 非監視モードとして設定する場合で、端末のキッティングを、端末ユーザにしてもらう場合、 、または を選択することも可能です。 登録用URLを知りえた部外者が、自らの端末を登録するのを防止するためです。

を選択した場合の、設定方法は、「L. 端末を登録する際に、認証サービスによる本人認証をさせる」を参照ください。

選択が終われば、「次へ」を押します。

D. 自動デバイス登録

ABM経由登録した場合の質問メッセージ

本人認証の方式を設定してから、「次へ」を押すと、(図D1)が現れます。
(図D1)の設定内容は、ABM経由での登録をする端末にのみ適用されます。 非監視モードとして設定する端末には適用されません

(図D1)の上部「全般」の4項目全てには、チェックを入れておきます。 これらは、監視モード端末の基本的な挙動を規定します。

(図D1)


「iOSおよびmacOS両方の
アシスタントオプションの設定」以下の 項目には、必要と思われる項目のみに、チェックを入れておきます

これらの項目は、設定アシスタント項目です。 設定アシスタントとは、アクティベーション(初期設定)の際に、端末に表示されるメッセージです。

(図D1)で、チェックを入れないでおくと、アクティベーション(初期設定)の際に、当該メッセージが表示されません。
例えば、(図D1)の「Apple Pay」にチェックを入れないでおくと、「Apple Payを設定するかどうか」の メッセージが表示されません。そして、Apple Payの設定をしないで、初期設定を終わらせます。

(図D1)は、iOS13.1以上の端末を想定しています。(図D-1)で、チェックを入れても、 iOS13未満の端末では、表示されない項目があります。

(図D1)の右下の「DEPの構成」をクリックすると、「公開キーとDEPトークンの交換」のダイアログが現れます。 詳しくは、「B. 公開キーとDEPトークンの交換」を参照ください。

(図D1)の説明は、下記の「ABM経由登録した場合の質問メッセージ」をクリックしてください。

ABM経由登録した場合の質問メッセージ

  • (図D1)の各項目に、チェックを入れた場合の、設定内容を、下の(表2)で説明します

    (表2)

    (図D1)の項目説  明
    全般原則的に4項目全てにチェックを入れておきます。チェックを入れた場合の端末の挙動を、以下、説明します。
    設定アシスタントで登録を必須にする チェックを入れておくと、端末の初期設定、又は再初期設定を行なうと、必ず、MobiControlへの登録を強制します
    デバイスが使用可能になる前に、MDMによってデバイスが設定されるまで待機します(iOS限定) 端末の登録の前に、構成プロファイル、端末登録ルール以外のルール(アプリ配布のためのアプリカタログルールを含む)、端末詳細設定を、 端末グループに割り当てておきます。端末が当該の端末グループに登録されたら、これらの構成をMobiControlからダウンロードします。 そして、これらの展開をします。
    チェックを入れると、この展開が終わるまで、端末を使用開始ができないようにします。
    デバイスの監視チェックを入れると、端末を監視モードにします。
    登録解除を禁止するチェックを入れると、端末ユーザによって、端末の「設定」-->「一般」で、 MobiControlの登録を端末ユーザによっては解除できないようになります。詳しくは、「端末操作での登録解除の禁止」を参照ください。
    iOSおよびmacOS両方の
    アシスタントオプションの設定
    チェックを入れた場合に、端末の初期設定時の画面に現れるメッセージ項目とその内容を以下説明します
    新規またはバックアップからの復元の設定 「新規設定」か、「iTunesまたはiCloudに保存済みのデータを読み取って復元を するかどうか」の質問画面を表示します。そして、iTunesまたは、iCloudからの復元ができます。
    下記の「Androidからの移行」を選択する場合も、 ここにチェックを入れておきます。
    Apple IDApple IDのアカウントを設定する画面が表示されます。監視モード端末では、Apple IDが無くても、 Apple Appストアからアプリのダウンロードができます。
    利用規約Apple社の利用規約文章が表示され、ユーザの同意を求めます
    診断クラッシュデータや使用状況の統計情報をApple社に送信できるようになります
    位置情報サービスMobiControlが端末の位置情報を取得することを許諾するか否かの画面を表示します
    SiriSiriを使用するかどうかの画面を表示します
    Apple Pay Apple Payの設定画面を表示します
    タッチID タッチID(指紋認証)の設定画面を表示します
    iOS限定の
    アシスタントオプションの設定
    チェックを入れると、端末の初期設定時に、関連する質問が画面に表示されます
    クィックスタート 他の端末からセットアップ中の端末へ設定情報(WiFi、言語、Apple IDなど)を引き継ぐか否かの画面を表示します。 他の端末を近接させると引き継がせることができます。
    推奨設定言語 文字入力時のExpress言語の設定画面を表示する
    優先する言語 文字入力時に使う言語の変更画面を表示する。日本で販売された端末の場合、チェックを入れないと日本語が優先する言語になる。
    ようこそ 「ようこそ iPhoneへ」画面を表示します
    パスコード パスコード設定画面を表示します
    プライバシー 追跡型広告を許可する画面を表示します
    iMessageとFaceTime iMessageとFaceTimeの設定画面を表示します
    スクリーン時間 スクリーンタイムの設定画面を表示します
    ソフトウェアアップデート 該当端末のOSバージョンより新しいバージョンがリリースされているときは、そのアップデートの画面を表示します
    表示形式 「外観モード」の画面を表示します。昼と夜で別の画面になります。
    音質を表示 True Toneの設定画面を表示します
    SIM設定 eSIMの「モバイル通信プランの追加」の画面を表示します。日本ではIIJが対応しています。
    ホームボタンの感度 ホームボタンの画面の感度の設定画面を表示します
    オンボーディング 「オンボーディング」画面を表示します。初回起動時の、利用法説明。
    移行を監視 他の端末から、該当端末への設定情報の移行のプロセスを表示します
    アンドロイドの移行 設定情報をAndroidデバイスから移行する画面を表示します
    ズーム ディスプレイ解像度を「標準」または「ズーム」のどちらかに設定する画面を表示します
    macOS限定の
    アシスタントオプションの設定
    チェックを入れると、端末の初期設定時に、関連する質問が画面に表示されます。
    iCloud診断 iCloudのデータを、Appleの診断のために送るか否かの画面を表示します
    ファイル金庫 FileVault(暗号化)の機能を使って、ファイルを暗号化するかどうかの画面を表示します
    登録 Appleに対し提出するデバイスの登録フォームを表示します

    「iOSおよびmacOS両方のアシスタントオプションの設定」以下の項目は、初期設定の後でも、端末操作で、「設定」アイコンをタップすることで、 設定変更ができます。例えば、入力する言語などは変更できます。

    但し、上の表で、緑色背景の設定項目は、 初期設定をした後の、設定変更はできません。

(図D1)での選択が終われば、下辺の「次へ」を押します。

E. 利用規約の設定

(図D1)の下辺の「次へ」を押すと、画面は。(図E1)に遷移します。

(図E1)

通常は、下辺の「次へ」を押します。
もし、端末ユーザに、端末の登録作業、又は端末のアクティベーションをして貰う場合は、(図E1)の 「端末登録時に利用規約への同意を求める」にチェックをいれてもよいかと思います。 その際の説明は、下記の「利用規約の設定」をクリックしてください。

利用規約の設定

  • 前述した「C-3 端末グループに、認証サービスのグループをマッピングする」を設定した場合、(図E1)は表示されません。
    「利用規約」は、端末ユーザがMobiControlを利用することに伴う権利義務と MobiControlが端末を管理する事柄を記述した文章です。 「会社支給端末を紛失したら、すぐに会社に届けること」とか 「私物端末でも、紛失したら、端末をリモートWIPE(初期設定にもどす)をし、プライベートデータも削除すること」 などの条項が記述しておきます。

    端末登録時に、この規約に端末ユーザが同意したかどうかは、MobiControl管理者に通知がきます。

    従業員に、利用規約への同意を求める場合は、(図E1)で、「端末登録時に利用規約への同意を求める」のチェックにチェックを入れます。

    (図E1)の「利用規約のタイトル」欄の右端をプルダウンすると、 作成済の「利用規約のタイトル」のリストが表示されるので、適切なタイトルを選択します。
    (図E1)で、「管理」を押すと(図E2)が現われます。

    (図E2)

    新規に利用規約を登録するには、「追加」を押します。(図E3)が現われます。

    (図E3)

    利用規約の名前を入力します。利用規約本文は、予め作成しておき、コンソールコンピュータ内に保存しておきます。 ソース欄の右の「参照」を押すと、コンソールコンピュータのExploreが開きますので、保存先フォルダを検索し、該当ファイルを クリックします。利用規約本文は、テキスト形式か、HTML形式で記述します。

F. コンソールに表示する端末の名前

(図E1)で、「次へ」を押すと、(図F1)に画面遷移します。(図F1)では、コンソールの端末一覧に表示される端末の名前の形式を設定します。

(図F1)

入力欄の右端の歯車アイコン(赤矢印)をクリックすると、端末名の構成要素のリストが表示されます。
各々の構成要素を選択すると、対応するマクロ文字列が入力欄に入力されます。

(表3)

端末名の構成要素名マクロ文字列
IMEI%IMEI%
国際移動体装置識別番号。15桁の数字
ICCID%ICCID%
加入者識別番号。SIMカード毎の識別番号
電話番号%PHONENUMBER%
連番の自動割り当て%AUTONUM%
端末の登録の順番に、MobiControlが、0001から順次附番する番号
端末のMACアドレス%MAC%
端末のシリアル番号%SERIALNUM%
メーカーが出荷するときに附番する番号。ABMでは端末の識別に利用される。
端末のOS%PLATFORM%
iOS、iPadOS、MacOSのどれかの文字列が表示される
端末のモデル%MODEL%
macOSコンピュータの場合、MacBook Pro等とモデル名が表示される
iPhoneとiPadでは、単にiPhone または iPadと表示
端末メーカー%MANUFACTURER%
Appleという文字列が表示される
登録時のユーザのユーザ名%EnrolledUser_Username%
登録時のユーザのドメイン%EnrolledUser_Domain%
登録時のユーザのメールアドレス%EnrolledUser_Email%
所有者が命名した端末名%PERSONALIZED_DEVICE_NAME%
端末で、「設定」 -->「一般」 -->「情報」 -->「名前」にある文字列。端末ユーザにより変更可能な文字列。 デフォルトでの、端末名形式です。
  • 複数の端末要素と追記することが可能です。
    例えば、%MODEL% %AUTONUM% と指定すると、iPhone321 のような端末名になります。
    (321番目に登録された端末として仮定)
  • マクロ文字列以外に、静的文字列の挿入も可能です。例えば、「大阪」とか「営業部」などの文字列です。
  • 上の表の    黄色のセル    の値は、AD_DSなどのディレクトリサービス、または、 Azure_ADなどのIDプロバイダのユーザの情報です。
    下記の 「L. 端末を登録する際に、認証サービスによる本人認証をさせる」または 「M. 認証サービスのグループに、構成プロファイルを割り当てられるようにする」を参照ください。
  • (図F1) の「これを反映するようにデバイス側の名前を更新する」にチェックを入れると、(図F1)で指定した名前が、 端末側の名前に上書きされます。端末の「設定」 -->「一般」 -->「情報」 -->「名前」にある文字列です。但し、端末が監視モードである必要があります。

G. 端末の壁紙の設定

監視モードのiPhone、iPadの壁紙を設定します
  • (図F1)で、「次へ」を押すと、(図G1)に画面遷移します。

    (図G1)

    端末のロック画面、またはホーム画面での壁紙(Wall Paper)の設定できます。 対象端末が、iPhoneかiPadかを(図G1)の上部タブで選択します。 画像の部分をクリックすると、コンソールパソコンのExploreが開きますから、 壁紙としたい画像ファイルを選択します。画像ファイルの形式は、PNGかJPEGであることが 必要です。

H. 端末登録ルールの内容確認

(図G1)で、「次へ」を押すと、(図H1)に画面遷移します。

(図H1)

設定した端末登録ルールの内容が表示されます。これでよければ、「終了」ボタンを押します。

H-1. 登録用URLの表示

(図H1)で「終了」ボタンを押すと、(図H2)のポップアップが表示されます。

(図H2)

(図H2)の端末登録サイトのURLが、「登録用URL」です。今まで作成してきた端末登録ルールに紐づけられたURLです。 「A-3 Apple端末の登録方法と登録用URLの入力シーン」を参照ください。
詳しくは、サーバの登録用URLによる端末の登録を参照ください。

H-2. 端末登録ルールの内容表示

(図H2)で「閉じる」ボタンを押すと、端末登録ルールの作成は終わりです
コンソール画面の左側ペインにある「端末の登録」という項目を左クリックすると、作成済みのルールの一覧が表示されます。 登録したルールにマウスを載せると、その内容が、(図H3)のように表示されます。

(図H3)


(図H3)に、登録IDと端末登録サイトのURLが表示されます。

I. 作成済の端末登録ルールの編集その他

コンソール画面の左側ペインにある「端末の登録」という項目を左クリックすると、作成済みのルールの一覧が表示されます。 作成した端末登録ルールの名前を右クリックすると、(図I1)のようなメニューが現われます。

(図I1)

  • 作成済の端末登録ルールの中身を修正する場合は、「ルールの編集」を選択します。 「ルールの対象グループ」、「登録時の認証方式」、「利用規約書」、「適用期間」などを修正することができます。
  • 「登録ID発行の停止」を選択すると、(図H3)の「登録ID」と「端末登録サイトのURL」の欄の文字列が空白になります。更にプルダウンメニューの 「登録ID発行の停止」の文字列が消え、「登録ID発行の開始」が現れます。(図I2)参照。

(図I2)

  • (図I2)で「登録ID発行の開始」を押すと、新しい登録IDと登録用URLが発行されます。今後は、この新しい登録IDまたは登録用URLを使わないと 新規に端末を登録できなくなります。
  • この登録IDと登録用URLの再発行は、セキュリティ対策上、次のような場合に役立ちます。 部外者が登録IDを知ると、Mobicontrolに自分の端末を登録できてしまうからです。登録IDと登録用URLを時々、変えると、このようなリスクを防げます。

(図I3)

  • 「ルールの適用中止」を選択すると、臨時的に、その登録IDまたは登録用URLでは登録できなくなります。 登録済の端末がMobiControlの管理外になるということではありません。また、端末登録ルールが削除された訳ではありません。
  • 「ルールの適用開始」を押すと、この端末登録ルールの適用が再開します。
  • 「ルールの削除」を選択すると、この端末登録ルールは削除されます。復活はできません。

J. 端末のシリアル番号を端末登録ルールに再配置

ABM経由自動登録の事前準備
  1. 特定の端末グループをデフォルトの端末登録ルールとしての登録
  2. デフォルトの端末グループから、所定の端末グループへ、移動登録されるように事前準備
  • ABM経由自動登録で、登録される端末は、登録用URLでなく、 MobiControlのサーバアドレスを指向して、MobiControlサーバにアクセスしてきます。

    登録用URL

    MobiControlのサーバアドレスを指向して、登録を指向してきた端末の受け皿となるのが、デフォルトの端末登録ルールです。
    (図J1)

    左の(図J1)の画面で、Apple の欄の右端をクリックすると、今まで作成した端末登録ルールのリストが現れます。 その中から、デフォルトの端末登録ルールとするルールの名前を選択します。
    (図J1)では、Apple_Default という名前の端末登録ルールを選んでいます。

    (図J1)の表示方法は、「ABM経由自動登録」のページの 「E. 端末登録ルールに、端末シリアル番号を配置」を参照ください。

    デフォルトの端末登録ルールが指定した端末グループに、暫定的に登録された端末は、本来の 端末グループに移動させなければなりません。それには、移動先の端末登録ルールに、端末のシリアル番号を 登録します。

    (図J2)

    移動先の端末登録ルールにシリアル番号が登録されていれば、端末は、その端末登録ルールが指定した端末グループに 自動的に移動します。
    移動先の端末登録ルールにシリアル番号が登録する方法は、「ABM経由自動登録」のページの 「E. 端末登録ルールに、端末シリアル番号を配置」を参照ください。

    ABM経由手動登録の場合は、この端末シリアル番号の再配置の作業をする必要はありません

K. ABM経由手動登録に必要なファイルをダウンロード

既に購入済のiPhoneやiPadを、ABM経由手動登録をして、監視モードにすることができます。
それには、予め必要なファイルをダウンロードしておく必要があります。
  • Automated Device Enrollment (旧:DEP)を適用して、iPhoneまたはiPadを手動登録する場合、それには、macOSコンピュータで動くApple Configuratorを使います。 その操作のプロセスで、MobiControlサーバからダウンロードしたファイルのインポートが必要です。

    (図K1)

    C-2. 端末登録時の本人認証」の(図C2)に、 「静的登録チャレンジを使用する(Apple Configuratorと共に使用)」にチェックを入れておきます。 このチェックを入れた端末登録ルールの名前を右クリックすると、(図K1)のようなメニューが表示されます。
    (図K1)の
    • 登録に関するファイルのダウンロード
    • MobiControlトラストプロファイルのダウンロード
    をクリックしてファイルをダウンロードします。

    ファイル名
    登録に関するファイル addDeviceRulexxxx.mobileconfig
    MobiControlトラストプロファイル rootCertProfile.mobileconfig
    ABM経由手動登録は、登録しようとする端末を、USBケーブルでmacOSコンピュータに接続して実行します。 上記の2つのファイルを、macOSコンピュータに保存しておきます。 macOSコンピュータで起動するApple Configurator2に、この2つのファイルをインポートします。
    初期設定された端末は、 2つのファイルの内、addDeviceRulexxxx.mobileconfigを参照して、適用される端末登録ルールを判別します。
    ABM経由手動登録の方法は、ABM経由手動登録を参照ください。

L 端末を登録する際に、認証サービスによる本人認証をさせる

Exchangeなど、認証サービスによる本人認証を要求する外部リソースへの自動ログインを可能にします。
  • これは、端末登録の際の、オプションの1つで、次の条件を前提とします。

    ABM経由手動登録として、登録する端末には適用しません。

    L-1. 認証サービスによる本人認証を要求する外部リソースへの自動ログインを可能にする

    AD_DS(Active Directory Domain Service)などのディレクトリサービス、又は、Azure IdP などのIDプロバイダによる本人認証を経ないと ログインできない外部リソースがあります。
    Exchangeなどのメールサーバ、一部機種のAPによるWiFiやVPP、社内連絡先サーバ(CardDavサーバ)、SharePoint2013、などがそれです。

    これらにアクセスするためには、別途、構成プロファイルを作成し、端末に配布しておきます。MobiControlは、 その構成プロファイルに、端末ユーザ別のログインユーザ名(UPN)を挿入しておくことができます。

    その為には、各端末ユーザの ディレクトリサービス、またはIDプロバイダでの「ユーザ情報」を、各端末に紐づけて、MobiControlサーバのDBに格納しておきます。

    L-2. 端末のMobiControlへの登録プロセスで、UPNの入力を求める

    (図L1)

    「ユーザ情報」を、端末に紐づけて、MobiControlのDBに格納する方法の1つとして、端末登録時に、 ディレクトリサービス、またはIDプロバイダによる認証を受けさせるような、端末登録ルールを作成することができます。
    その端末登録ルールの発行する登録URLを入力して、登録プロセスを始めると、(図L1) の画面が表示されます。

    (図L1)の「ユーザー名」の欄には、UPN(User Principal Name)を入力します。 (図L1)での入力を受けた、MobiControlサーバは、AD_DSサーバなどの認証サービスにアクセスし、そのUPNとパスワードの真正性を確かめます。 認証サービスから、真正性 = TRUEの判定を得てから、データベースにUPNなどのデータを登録します。

    (図L2)

    (図L2)ののトランザクションで、MobiControlサーバは、UPNとパスワードの組み合わせの真正性を確かめるだけでなく、 該当ユーザの姓名、メールアドレス、その他情報も、AD_DSから入手します。

    端末登録が完了した後に、各端末の「ユーザ情報」を、MobiControlのDBに格納する方法も、あります。 「Active Directory UPNの登録」を参照ください。

    L-3. 認証サービスのグループを、端末グループに紐づけ

    今作成している端末登録ルールに対応する端末グループを、(図C1)で指定しました。 これに、認証サービスのグループを、紐づけます。

    (図L3)

    (図L3)の例の場合なら、 認証サービスの「グループA」のメンバーであることを認証されたら、その端末は、MobiControlの端末グループ「営業1課」に登録されます。

    認証サービスの複数のグループを指定できます。「認証サービスのグループ」を複数指定した場合、ユーザが、それらの「認証サービスのグループ」 のどれかのメンバーであれば、その端末は(図C1)で指定した「MobiControlの端末グループ」に登録されます。
    (図L3)の例の場合なら、 認証サービスの「グループB」、「グループC」のどちらかのメンバーであることが認証されたら、その端末は、MobiControlの端末グループ「営業2課」に登録されます。

    下記の(図L4)は、(図C2)の再掲です。(図C1)で指定した端末グループに、認証サービスのグループを紐づける方法を説明します。

    (図L4) = (図C2)の再掲

    (図L4)で、「デバイスの登録時にユーザーグループを使用してください。」のラジオボタンに チェックを入れます。
    続けて、「ディレクトリサービス」か「IDプロバイダ」のどちらかにチェックを入れます。
    • 右端をプルダウンすると、接続プロファイルの名前が表示されます。 「ディレクトリサービス」を選択したら、ディレクトリサービス接続プロファイルの名前のリストが表示されます。
      「IDプロバイダ」を選択したら、IDプロバイダ接続プロファイルの名前のリストが表示されます。
      適用しようとする接続プロファイルの名前を選択します。(図L4)の「AD_Link」は、接続プロファイル名のサンプルです。
    • 認証サービスのグループの名前を入力してから、右端の「Add」を押します。
      グループの名前の文字列全てを入力する替わりに、最初の3文字を入力してから「Add」を押すと、候補となるグループ名が表示されます。
    • 認証サービスの入力したグループ名が表示されます。
      MobiControlサーバから認証サービスのサーバまで、問い合わせをしますから、表示されるまで、時間がかかります。
    もし、認証サービスの複数のグループのメンバーの端末を、(図C1)で指定したMobiControlの端末グループに登録したい場合は、 に、2番目のグループ名を入力します。

    (図L5)は、「Sales T2」と「Sales T3」という名前の認証サービスのグループを、登録した例です。 認証サービスの、ここに登録したグループのメンバーの端末が、(図C4)に指定したMobiControlの端末グループに登録されます。
    もし、どちらかのグループを削除する場合は、グループ名の右横のX印をクリックします。

    (図L5)

    (図L4)での、入力が終われば、「次へ」を押します。(図D1)に画面遷移します。

    L-4. サポートしている認証サービス

    認証サービスには、「ディレクトリサービス」と「IDプロバイダ」の2系統があります。 MobiControlは次の製品をサポートしています。
    • ディレクトリサービス
      AD_DS(Active Directry Domain Service)、Apple OD(Open Directory)
    • IDプロバイダ
      Azure IdP、Shibboleth、Okta、OneLogin

M. 認証サービスのグループに、構成プロファイルを割り当てられるようにする

構成プロファイルを認証サービスのユーザグループに割り当てることができるようにします
  • 構成プロファイルは、通常、端末グループに割り当てます。これを認証サービス のユーザグループに割り当てることができるようにします。 認証サービスとは、AD_DS(Active Directory Domain Service)などのディレクトリサービス、又は、Azure IdP などのIDプロバイダを指します。

    それを可能にするには、認証サービスのユーザグループを、MobiControlの端末グループにマッピングをします。

    M-1. 1つの端末登録ルールで、複数のユーザグループを各々に対応する端末グループにマッピング

    (図M1)

    端末ユーザが所属する認証サービスグループに対し、MobiControlの端末グループを 1 対 1 でマッピングします。
    (図M1)の例では、認証サービスの「グループA」のメンバーが、端末登録時にサインオンすれば、端末は、「営業1課」に登録されます。
    端末登録ルールでは、1つの登録用URLが生成されます。
    同じ登録用URLを入力しても、認証サービスの「グループB」のメンバーが、端末登録時にサインオンすれば、端末は、「営業2課」に登録されます。
    つまり、この場合は、1つの端末登録ルールで、複数の端末グループを、複数の端末グループへのマッピングを設定できます。

    M-2. 1つのユーザグループが、複数の端末グループに対応している場合

    (図M2)

    認証サービスのグループが、大ぐくりで、MobiControlの端末グループに、1対1で対応できない場合があります。 その場合は、(図M2)のように、MobiControlの端末グループ毎に、端末登録ルールを作成します。

    M-3. 「ユーザーグループメンバーズシップに基づく」を選択

    上記の(図B7)を再掲します。

    (図B7)

    (図B7)で、「ユーザーグループメンバーズシップに基づく」を選択すると、(図M3)に画面遷移します。

    M-4. ユーザーグループを選択

    (図M3)で、認証サービスのグループにマッピングするMobiControlの端末グループをマッピング(連携)させます。

    (図M3)

    (図M3)の上辺には、「ディレクトリサービス」と「IDプロバイダ」の2種類のラジオボタンがあります。 どちらかを選択します。
    • 右端をプルダウンすると、接続プロファイルの名前が表示されます。 「ディレクトリサービス」を選択したら、ディレクトリサービス接続プロファイルの名前のリストが表示されます。
      「IDプロバイダ」を選択したら、IDプロバイダ接続プロファイルの名前のリストが表示されます。
      適用しようとする接続プロファイルの名前を選択します。(図M3)の「AD_Link」は、接続プロファイル名のサンプルです。
    • 認証サービスのグループの名前を入力してから、右端の「Add」を押します。
      グループの名前の文字列全てを入力する替わりに、最初の3文字を入力してから「Add」を押すと、候補となるグループ名が表示されます。
      MobiControlサーバから認証サービスのサーバまで、問い合わせをしますから、表示されるまで、時間がかかります。
    認証サービスのグループは、(図M4)の欄に表示されます。 (図M4)のの「Sales T3」は、認証サービスのグループ名のサンプルです。

    M-5. ユーザーグループにマッピングする端末グループを選択

    (図M4)

    (図M4)で、認証サービスのグループにマッピングするMobiControlの端末グループを選択します。
    (図M4)の欄の右端をプルダウンすると、(図M5)のように MobiControlの端末グループが階層構造で表示されます。

    (図M5)

    (図M5)の欄で、MobiControlの端末グループを選択すると、(図M6)のような画面に遷移します。

    (図M6)

    (図M6)は、認証サービスの「Sales T2」という名前のグループが、MobiControlの端末グループである「営業第2部」にマッピングしていることを意味します。 認証サービスの「Sales T2」のメンバーの端末は、MobiControlの端末グループ「営業第2部」に登録されます。
    同時に、構成プロファイルが、認証サービスのグループ「Sales T2」に割り当てられたら、それは、MobiControlの端末グループ「営業第2部」の端末に 展開されます。

    追加的に、認証サービスの他のグループのマッピングを行います。(図M3)ので、再度、 認証サービスの他のグループの名前を入力してから、右端の「Add」を押します。
    以下、(図M4)と(図M5)と同じ作業をします。 これで、認証サービスの複数のグループを、MobiControlの端末グループへマッピングできます。

    複数のグループのマッピングをした後に、そのどれかを削除したいときがあります。 その際は、該当するグループを選択してから、(図M6)の左下の「削除」ボタンを押します。

    macOSの構成プロファイルには、「デバイス構成プロファイル」と 「ユーザ構成プロファイル」の2系統があります。 「ユーザ構成プロファイル」の系統を適用するためには、 (図M6)の「LDAPユーザーを登録ユーザーであると考慮し、すべてのプロファイルを指定します(macOS限定)」 にチェックを入れておきます。

    (図M6)での作業が終われば、「次へ」を押します。「次へ」を押すと、(図M7)に画面遷移します。

    M-6. SSL(TLS)通信に関する証明書

    (図M7)

    端末とMobiControlサーバとの間のSSL(TLS)通信に使う証明書を規定します。 MobiControl内部CAを使う場合は、「次へ」を押します。
    「次へ」を押すと、(図D1)に画面遷移します。

    M-7. 構成プロファイルを、認証サービスのユーザグループに割り当てる方法

    構成プロファイルを、認証サービスのユーザグループに割り当てる方法は、下記を参照ください。

N. 端末登録ルールのオプション

  1. 端末が所属する端末グループを移動後、端末の登録一時解除 --> 端末の再登録をした場合に、移動後の端末グループに再復帰させるか 否か
  2. 再登録の場合に、コンソールに表示する端末名も継承するか、新しくするか
  3. WiFiの特定のIPアドレス・レンジ内でしか、端末を登録できないようにする
  • (図H1)の右下の「詳細設定」を押すと、(図N1)が現われます。

    N-1. 適用期間の設定

    オプションとして、端末登録ルールの適用期間を設定します。例えば、
    • MobiControlの社内展開日がまだ先の場合は、開始日時を設定できます。
    • 端末の登録終了日を設定する場合、その日時を入力します。
      この終了日で登録は終ります。この日以降、この登録IDでの登録はできなくなります。
      しかし、登録済の端末によるMobiControlの利用は継続します。不法登録を防止します。

    (図N1)

    (図N1)の下段の項目を説明します。

    (表4)

    項目の文字列説  明
    ルールの適用 チェックを外すと、端末登録ルールは存在しても、対象の端末グループへの新規登録は拒否します
    再登録時に元の端末グループに所属させる 端末が所属する端末グループを移動させることがあります。 「端末を他の端末グループへ移動」を参照ください。

    その上で、端末側でMobiControl登録を一度解除し、登録時と同じ登録用URLで、再度、登録することがあります。
    • ここにチェックを入れておくと、端末は、登録解除直前の端末グループに復帰して、再登録されます。
    • チェックを入れておかないと、端末は、登録ルールで指定した端末グループ(図C1)、(図M6)で、 指定した端末グループに、再登録されます。
    SHA-1クライアント証明の配布を強制 MobiControl v14.x は、サーバと端末との間の暗号化通信プロトコルに、SHA-2 による TLS1.2 を採用しています。 端末がSHA-2をサポートしてない場合に、ここにチェックを入れます。
    Appleは、SHA-2での通信を推奨しており、iOS13、iPadOS13、macOS10.15 以上では、SHA-2が必須です。
    パスワードをキャッシュに入れる 上述した 「L. 端末を登録する際に、認証サービスによる本人認証をさせる」または 「M. 認証サービスのグループに、構成プロファイルを割り当てられるようにする」を 選択して、本人認証に AD_DS(Active Directory Domain Service)を適用したとします。
    その場合、登録作業中の10分間に限り、AD_DSに対するパスワードをMobiControlサーバにキャッシュ保存します。
    AD_DSの認証を必要とする、WiFi、VPN、またはEメールの登録に関する構成プロファイルが、すでに 当該端末グループに割り当てられているとします。その構成プロファイルには、パスワード入りで 端末に配布されます。従って、端末が、WiFi、VPN、またはEメールを利用とするときに、 AD_DSのパスワード入力画面がポップアップしません。自動ログインができるようになります
    登録ID発行の開始 チェックを外すと、(図H3)で、「登録ID」の行に 登録IDが表示されません。但し、(図I2)で、「登録ID発行の開始」を押すと、登録IDが表示されるようになります。
    再登録で端末名を保持 端末側でMobiControl登録を一度解除し、再度、登録することがあります。その場合、ここにチェックを入れておくと、 登録解除前の端末名で、再登録されます。
    端末側操作で、端末を、MobiControlから登録解除することを、禁止することに関しては、 「端末での登録解除の禁止」を参照ください

    N-2. IPアドレスフィルタ

    (図N1)の「ルールフィルタ」の新規ボタンをドロップダウンします。 この中のIPアドレスフィルタを選択します。(図N2)が現われます。

    (図N2)

    IPアドレスフィルタとは、 端末の登録時の端末のIPアドレスが、(図N2)で設定したIPアドレスの範囲内であるときでないと、MobiControlに登録できなく するようにすることです。
    例えば、社内の特定の場所を電波カバーする無線LANの提供するIPアドレスの範囲を指定します。 そうすると、端末は地理的に社内のその場所でないと、登録できなくなります。
    社外での登録を防ぐことでセキュリティ強度が増します
    。 特にそのIPアドレスがグローバルIPアドレスだと 一意性を持つので、益々、セキュリティが高まります。
    登録後、当該端末は、他のIPアドレスのWiFi には接続できます。

    N-3. 端末登録時に端末のOSのバージョンを指定

    (図N1)の「ルールフィルタ」の新規ボタンをドロップダウンします。 この中の「デバイスプロパティ・フィルタの追加」を選択します。

    (図N3)

    登録する端末のOSのバージョンを指定します。不等号記号を使って、指定のバージョンより上とか下を指定できます。