端末操作での登録解除の禁止

MobiControl v14 Manual

登録解除禁止のための3つの対策

MobiControlに登録したiOS端末を、端末側操作で登録解除できないようにするための3つの対策を説明します。 この3つの対策全てを実施する必要があります。

解除方法の概要対策の概要禁止するために端末が
監視モードであるべきか
A MobiControlアイコンを長押しして、MobiControlエージェントをアンインストール 「構成プロファイル」
-->「端末の機能制限」
-->「アプリの削除禁止」
監視モードであることが必要
BMobiControlエージェントを開き、「登録に関するステータス」を長押し 端末の詳細設定で禁止可能監視モードでなくても禁止可能
C端末の「設定」
-->「一般」
-->「プロファイルとデバイス管理」でプロファイル削除
端末登録ルールの作成プロセスの「DEP登録プロファイル」のダイアログで、「登録解除を禁止する」にチェックを入れる 監視モードであることが必要

対策A. エージェントアプリのアンインストール禁止

(図1)

端末の機能制限」に関する構成プロファイルで、「アプリの削除禁止」にチェックを入れます。

(図1)の表示方法は、「端末機能とコンテンツの制限」を参照ください。

対象端末は、監視モードとして設定しておく必要があります。
(図1)でのアプリとは、アプリカタログ・ルールで配布したアプリを指します。

MobiControlエージェントもアプリであり、アプリカタログ・ルールで配布します。

対策B. 端末詳細設定の「エージェントの設定」

iOS端末の詳細設定メニューから、「エージェントの設定」を選択します。 (図2)が現れます。(図2)の表示方法は、 Apple製品:詳細設定の設定を参照ください。

(図2)

(図2)で、「デバイスエージェントからの登録解除を禁止する」にチェックを入れます。 上位の端末グループで、(図2)のチェックを入れると、下位の端末グループでは、デフォルトで、 この設定で上書きされます。

対策C. 端末登録ルールの作成のダイアログで禁止

(図3)は、端末登録ルールの「5. DEP登録プロファイル」の設定画面です。

(図3)

(図3)で、「登録解除を禁止する」にチェックを入れてから、端末を初期設定(=DEP経由のMobiControlへの登録) を実施します。
対策C.を実施できる対象は、監視モードに設定する端末だけです。
但し、手動DEP登録で、監視モードにした端末の場合、端末アクティベーションの実施後、30日間は端末側操作で、登録解除が可能です。 これは、Appleの仕様です。

1. エージェントのアンインストールを、もし実行したら

対策A. の実施をしない場合は、端末画面で、 を長押しすると、 MobiControlエージェントをアンインストールできます。対策A. を実施をしてあると、 を長押ししてもアンインストールできません。

しかしながら、MobiControlエージェントをアンインストールしても、端末は、MobiControlから解除されていません。 (図4)でのによる交信は停止しましたが、 による交信は、継続しているからです。
「MDMプロトコル」は、iOSに組み込まれているメカニズムで、MDMサーバとのチェックインの実行主体です。
(図4)
iOS端末とMobiControlサーバとは、2つのセッションでデータ交信をします。
  • 端末側のMobiControlエージェントのアイコンをタップすることで、接続します。端末画面のリモートビューなどの場合に、 端末ユーザの操作で、接続して貰います。
  • iOS固有のMDMプロトコルでチェックインします。
    チェックインは、端末側からのトリガーでは実施されません。 サーバ(またはコンソール)からAPNs経由で、チェックインを端末に要求するのがトリガーです。そのトリガーに応じて、端末側からチェックインをし、 滞留しているデータやファイルを交換更新します。
では 送受するデータ内容が異なります。 詳しくは、「iOS:チェックインと接続」を参照ください。

コンソールの端末一覧で、該当端末を見ると、(図5)の赤枠の端末のように、端末モードは、「Active」と表示されています。 これは、当該端末が登録されていることを示します。しかし「エージェントなし」は「はい」と表示されています。 これはエージェントがインストールされてないままで、MobiControlとの運用を続けていることを示します。 (図4)のによる交信だけで運用を続けています。

(図5)

コンソールで、チェックインの働きかけをするか、チェックインのスケジュールになれば、非監視モードの端末には、(図6)のようなポップアップが現れます。 エージェントのインストールのプロンプトです。

(図6)

端末ユーザにより「インストール」ボタンを押して貰い、インストールを実施して貰うことになります。「戻る」を押しても、次回のチェックインの時に、 又(図6)が表示されます。
監視モードの場合は、この時点で、MobiControlエージェントがサイレント・インストールされます。

2. エージェント画面での登録解除を、もししたら

端末画面で、 をタップすると、(図7)のように MobiControl エージェントのメニュー画面が開きます。
(図7)(図8)
「端末設定」を選択します。赤の楕円部分を長押しします。(図9)がポップアップします。

(図9)

(図9)で、「はい」を押すと、当該端末は、登録解除されます。コンソールでの端末一覧でも(図10)の赤枠の端末のように表示されます。

(図10)

端末モードの値が「UnenrolledByUser」となっています。この場合、MobiControlエージェントもアンインストールされています。
従って、エージェントは無いのですが、「エージェントなし」の値が「いいえ」と表示されています。 紛らわしいのですが、これは、こういうことです。「エージェントなし」は、「エージェント無しのモードで登録されているか」を 表示します。この場合、登録解除され、エージェント無しのモードででも運用されてないので、「いいえ」と表示されます。

対策A. と、対策B.の実施をした場合は、 (図8)の赤の楕円部分を長押ししても、(図9)はポップアップしません。つまり、この方法では登録解除はできなくなります

3.「設定」からプロファイルを、もし削除したら

次の方法でも、端末側操作で、端末の登録を解除できます。
(図11)(図12)(図13)
「設定」-->「一般」を選択。「プロファイルとモバイルデバイス管理」をタップ。 「MobiControl Management」をタップ 「削除」をタップ

(図14)(図15)
「MobiControl信頼プロファイル」をタップ 「プロファイルを削除」をタップ 続いて、端末OSを再起動します。 これで、端末のMobiControl登録は、解除されました。
この場合、コンソールでは、(図10)と同じように、端末モードの値が UnenrolledByUserとして、登録解除された端末が表示されます。

但し、対策C.の実施をした場合は、(図13)と(図15)で、「削除」がグレイアウトして 削除できません。つまり、この方法でも、登録解除はできなくなります

同じ端末を、再度、MobiControlに登録すると、(図10)の赤枠の端末以外に、端末が登録表示されることはありません。 (図10)の赤枠の端末に上書き表示されます。但し、端末モードの値が UnenrolledByUser から、Activeに復帰します。