端末の機能制限

MobiControl v14 Manual

2021年 3月 2日
iPhoneおよびiPadの機能に制限を加えることができます。情報漏洩を防止したり、業務時間中としては不適切な端末利用を防止するのが目的です。

(図1)の「プロファイルのメニュー」の画面を表示します。
表示方法は、「iOS端末の構成プロファイルの作成」を参照ください。

(図1)


(図1)の中から、「端末機能制限」を選択します。 v 14.5.4. では、単に「制限」と表示されています。
(図2)が現れます。

(図2)の上辺には、「端末の機能」「アプリ」「メディアコンテンツ」のタブがあります。
「アプリ」では、iPhone/iPadにプリインストールされているSafariなどのアプリの利用方法に対する 制限を指定します。
「メディアコンテンツ」では、Appleが提供するビデオとTV番組の暴力/性描写に関する等級、並びにAppストアアプリを利用できる年齢制限を指定します。

「端末の機能」と「アプリ」に関しては、監視モードの端末でないと実現できない制限項目があります。
3種類に類別されます。
  • で始まる項目は、監視モード、非監視モードのどちらの端末に対しても、制限ができます。
  • で始まる項目は、端末が監視モードでないと制限ができません。
  • で始まる項目は、OSバージョンによって対応が異なります。
    • iOS13未満の端末なら、監視モード、非監視モードのどちらの端末に対しても、制限ができます。
    • iOS13以降の端末なら、監視モードの端末でないと制限ができません。
このページは、MobiControlサーバ のバージョンがv14.5.4.でのダイアログを表示しています。v14.5.4未満だと、表示されない項目があります。

端末の機能制限

  • カメラ機能の停止
    カメラ撮影を不能にする。
  • FaceTimeの利用禁止
    FaceTimeの利用を不能にする。
  • スクリーンキャプチャを禁止
    スクリーンキャプチャを不能にする
  • フォトストリームを利用させない
    「マイフォトストリーム」内の写真が端末内から削除される。 写真がiCloud「マイフォトストリーム」に送信されなくなる。
  • 共用フォトストリームは無効
    iCloudの共有フォトストリームに送信されなくなる
  • ロック中にPassbook通報を非表示
    Passbook/Walletからの通知を表示させない
  • Apple Musicを禁止
    Apple Musicサービスの利用を禁止。
  • Apple Music Radioを禁止
    Apple Musicを開き、下辺のRadioをタップすると ラジオを聞ける。これを禁止。
  • iMessageの利用禁止
    Appleデバイス間のiMessageは不能になるが、SIMカードが有効ならば、SMSは可能。
  • 音声による電話ダイヤルを禁止
    電話番号を音声入力して発呼することを禁止
  • SIRIの停止
  • SIRIでユーザの生成したコンテンツを表示
    ユーザ生成コンテンツを許可するWebサイトに、SIRIで、アクセスさせません。
  • ロック中はSIRIの停止
  • SIRIの悪口誹謗フィルタを適用
  • iBookstoreを利用停止
    iBookstoreは、Appleの電子書籍サービス

(図2)

  • Eroticaコンテンツを禁止
    Eroticaとは、電子書籍の中で、性愛をテーマにしたコンテンツの閲覧禁止
  • アプリのインストールを禁止
    ホーム画面からApp Storeアイコンを消去。App Store以外のアプリの新規インストールや更新も禁止。
  • App Storeからのアプリのインストールを禁止
    ホーム画面からApp Storeアイコンを消去。FinderまたはiTunesを起動した macOSコンピュータに接続しての、App Storeアプリのインストールも禁止。但し、iPhone/iPadのネイティブシステムアプリが削除された場合、 それをAppストアからダウンロードしインストールは可能。
    インハウスエンタープライズアプリのインストールは可能。
  • アプリの自動ダウンロードを禁止
    他の端末で同じApple IDで購入したApp Storeアプリをダウンロードさせない。この端末でのアプリの新規購入やその更新は可能。
  • 新しいエンタープライズアプリ作成者の信頼を禁止
    今後、インストールするインハウス・エンタープライズ・アプリの起動を禁止。App Storeのアプリのインストールは可能。
  • アプリの購入(アプリ内コンテンツの購入)を禁止
    アプリ内課金のコンテンツの購入を禁止
  • AirDropを停止
    AirDropは、近くのiPhoneユーザ間で、WiFi またはBluetoothでデータ交換できる機能
  • AirPrintを無効にする
  • AirPrint証明書のキーチェーン保存を無効
    AirPrintの資格情報をキーチェーンに保存させない
  • AirPrintでTLSを要求
    TLSでの暗号化通信ができない場合は、プリンタへの伝送拒否
  • AirPrintのiBeacon検出を無効にする
    iBeaconを使ってのAirPrint対応プリンタの検出ができないようにする



  • ロック画面でコントロールセンターを非表示
    上にスワイプしても、コントロールセンターを表示できなくなる
  • ロック画面で通知センターを非表示
    ロックされているときに通知の履歴を見ることはできない。但し、通知が表示されたときの通知は見ることができる。
  • ロック画面で「今日」ビューを非表示
    下にスワイプしても、ロック画面では、「今日」ビューを見ることはできない。
  • アプリの削除禁止
    端末ユーザによるアプリのアンインストール禁止
  • System app削除を無効にする
    ネイティブシステムアプリの削除の禁止
  • アカウントの変更禁止
    アカウントの作成、またはアカウントの変更を禁止。 Apple ID(iCloud、iTunes)やExchange(メール、連絡先、予定表)のアカウントなどを指す。
  • 携帯電話回線でのパケット使用量の変更禁止。
    アプリが携帯電話回線を使うか否かの設定を変更することを禁止。
    「設定」-->「モバイルデータ通信」での対象アプリの設定を変更することを禁止。
  • ホスト・ペアリングの許可
    パソコンとのペアリングを許可する。チェックを外すと、iTunesやFinderを使ってパソコンとiOS端末との間のデータ送受が不能になる。
  • 管理対象アプリから非管理対象アプリへのデータ共有を無効にする
    管理対象アプリが生成またはダウンロードしたドキュメントは、非管理対象アプリでは開くことができないようにする。情報漏洩の防止のため。
    例えば、管理対象アプリのデータを開くときの「次の方法で開く」をタップしてのアプリメニューに非管理対象アプリの名前を表示させない。
    管理対象アプリは、アプリカタログ経由、又はApple Configurator2を使ってインストールしたアプリ。
    非管理対象アプリは、端末ユーザがAppストアからダウンロードしたアプリ、及びネーティブのシステムアプリ。
  • 管理から非管理への連絡先の書き込みを無効にする。
    管理対象アプリが、その連絡先を、非管理対象アプリのアカウントの連絡先に書き込むことを禁止する。 例えば、 管理対象アプリ(例:Outlook Mail)の連絡先を、非管理対象アプリ(例:iOSデフォルトの「連絡先」)へ同期することを禁止。 (iOS12以上が必要)
  • 非管理が管理の連絡先を読み取ることを禁止する。
    非管理対象アプリが、管理対象アプリの連絡先アカウントから、連絡先を読み取ることを禁止する。
  • 非管理対象アプリから管理対象アプリへのデータ共有を無効にする
    非管理対象アプリが生成またはダウンロードしたドキュメントは、管理対象アプリでは開くことができないようにする。
    例えば、非管理対象アプリのデータを開くときの「次の方法で開く」をタップしてのアプリメニューに管理対象アプリの名前を表示させない。
  • OTA(Over-the-air)PKIの更新を無効にする。
    リモートからのPKI(公開鍵基盤)の更新禁止
  • 追跡型広告を制限
    追跡型広告とは、ユーザの関心に沿った広告を表示する機能
  • すべてのコンテンツと設定消去を禁止
    端末を消去して工場出荷時のデフォルトにリセットさせない
  • iTunesストアでの購入時にiTunesのパスワードを要求
  • iCloud キーチェイン同期を停止
    端末とiCloudアカウントの間でログイン情報の同期を停止する
  • 管理対象アプリのiCloudのデータ保存を禁止
    管理対象アプリは、MobiControl管理者がインストールさせたアプリ。これが作成またはダウンロードしたデータをiCloudに保存すると、端末ユーザが私物端末で、iCloudからデータを剽窃する可能性がある。
  • iCloudとのドキュメント同期を禁止
  • 端末データをiCloudへバックアップさせない
  • iCloudフォトライブラリを禁止
  • ローミング時にはサーバとのファイルの自動同期を禁止
    海外などでローミング状態での社内メールシステムなどとの自動同期を無効にする。但し、端末ユーザがメールアプリの「受信」ボタンを押すことで、メール受信ができる。 メール以外に「連絡先」「予定表」に関しても同様な対応をする。
  • バックアップに暗号化を強制
    FinderまたはiTunesを起動したmacOSにバックアップする時は、暗号化されたデータのみをバックアップする(常に選択される)
  • 信頼できないTLS証明書を自動的に拒否
    信頼できないTLS証明書を持つサイトとの接続時に、これを信頼するか否かのメッセージを非表示。そして接続拒否。
  • 対話方式では構成プロファイルのインストールをしない。
    Apple Configuratorで作成した構成プロファイルを端末で手動でインストールさせない。
  • 診断結果と利用記録のAppleへの提出停止
  • 診断および使用データ設定の変更を禁止
    診断結果と利用記録のAppleへ送信するオプション選択の変更を禁止

  • タッチIDを無効にする
    指紋照合によるロック解除ができないようにする
  • パスコードの変更を禁止
    (iOS端末ユーザの本人認証」で、パスコードなどの変更を強要する場合は、 その変更を端末ユーザが実行後に、この制限を適用ください。)
  • タッチID指紋の変更を禁止
  • Apple Watchのペアリングを禁止
    Apple Watchと端末との間のペアリング禁止。
  • Apple Watchの手首検出を強制
    Apple Watchを手首から外すと、それは、自動的にロックされる。 の手首検出を強制。
  • AirDropを管理対象外とする
    管理対象のアプリでAirDropの利用を不能にする。 同時に「データ共有の管理対象から管理対象外への変更を無効にする」を有効にしなければなりません。
  • Handoffを禁止
  • Spotlightの検索を無効にする
    文章の文字列にあてたスポットライトでのインターネット検索禁止。
  • VPN設定の作成を無効にする
  • Bluetooth設定の変更を禁止
  • 通知設定の変更を禁止
  • 制限の変更を禁止
    端末で「設定」-->「一般」-->「機能制限」のメニューでの可能/不能の変更を不能にする
  • デバイス名の変更を禁止
    端末で「設定」-->「一般」-->「情報」-->「名前」での変更を不能にする
  • デバイスの壁紙変更を禁止
  • 最初のAirPlayペアリングでパスコードを強制
    AirPlayの接続要求送信時にペアリングパスワードの入力を強制。

  • 音声入力を無効にする
  • なぞり入力を無効にする
    入力したい文字キーの上を指を滑らせるだけで入力。英語などシングルバイト言語で有効。 (iOS13以上での機能)
  • 予測キーボードを無効にする
    文字入力時に、 ユーザが続けて入力するであろうと予測される単語を3候補表示する。この機能を無効にする。
  • キーボードショートカットを無効にする
    外付けキーボードを使う時のショートカット用法の利用禁止
  • 自動修正を無効にする
    文字入力時、applr -->apple などと修正する。この機能を無効にする。
  • スペルチェックを無効にする
    文字入力時のスペルチェックを無効にする。
  • 定義の辞書検索を無効にする
    文字列をタップして、当該文字列に関する辞書内容を表示する。この機能を無効にする。
  • Classroomアプリによるリモート表示を禁止
  • WiFiネットワークへの参加を制限
    構成プロファイルで指定したSSID以外とのWiFi接続を禁止。iOS13以上が必要。
  • WiFiの変更を無効にする
    「設定」「コントロールセンター」で、WiFiをオフにできないようにする。機内モードにするとオフにできる。WiFiネットワークの選択はできる。
  • USB 制限モードを無効にする
    ロック状態になってから1時間以上経過して、端末をPCなどにUSB接続すると、データ伝送ができないようにすることをUSB制限モードと言う。
  • 日付&時間を自動的に強制設定する
    (iOS12以上での機能)
  • パスワード近接要求を無効にする
    これを有効にしておくと、近くのApple端末に近づけると、「WiFiパスワードを共有しますか?」 のポップアップがでる。「パスワードを共有」ボタンを押すと、 近くのApple端末のWiFiパスワード欄に、パスワードが自動入力される。(iOS12以上での機能)
  • パスワード共有を無効にする。
    AirDropを使って、該当端末に保存された全てのパスワードを他のデバイスに送る機能を無効にする (iOS12以上での機能)
  • パスワードの AutoFill を無効にする。
    パスワードの自動入力を禁止。iCloudキーチェインに保存済みのパスワードを取り出すこともできなくなる。 (iOS12以上での機能)
  • eSIM セルラー プランの変更を無効にする。
    eSIMに保存されている携帯電話会社のモバイル通信プランの変更を禁止する。 (iOS12以上での機能)

上記の制限項目の内、次の3項目に対しては、iOS/iPadOSの将来バージョンでは、監視モードの端末でないと、 制限を加えられなくなります。
  • カメラ機能の停止
  • iCloud キーチェイン同期を停止
  • 端末データをiCloudへバックアップさせない
出典は、Appleのドキュメント MDMでのiPhoneおよびiPadデバイスの制限 を参照ください。

アプリの制限

(図2)で、「アプリ」タブを選択します。(図3)に変ります。プリインストールアプリの利用に関して制限を課します。
  • YouTubeの利用禁止
    iOS5での YouTube Appを使ってのYouTubeコンテンツ表示を禁止。ブラウザを使っての www.youtube.comへのアクセスは禁止できない。
  • iTunes Music Storeの禁止
    iTunes Storeからの購入を禁止
  • マイデバイス検索を無効にする
    iOS13以降の「探す」アプリが使えなくなる。
    これを有効にしておくと、 同じApple IDで登録したデバイスを紛失した場合、「探す」アプリから 紛失したデバイスの地理的位置を表示できる。紛失したデバイスがオフラインでも探せる。 iOS13以降の機能。
  • 「友達を探す」を無効にする
    iOS13以降の「探す」アプリの中の「友達を探す」機能が使用できなくなる。iOS13以降の機能。
  • 「友達を探す」アプリの変更禁止
    • iOS13以上では、「探す」アプリの中の「友達を探す」機能の設定変更禁止
    • iOS13未満では、「友達を探す」アプリの設定変更禁止
  • ゲームセンターへのアクセス禁止
  • ゲームセンターに友達を登録することを禁止
  • 他の端末と連携してプレイするゲームの禁止
    いわゆるマルチユーザプレイゲームの利用を不能にする
  • Safariの利用禁止
    Soti Surfをデフォルトブラウザとする場合に、Safariの利用を禁止

(図3)

  • キャッシュからの自動入力禁止
    Safariでの入力欄で、キャッシュに残っている(パスワードなどの)値をそのまま表示したり、入力することを無効にする。 手入力を必要とする。
  • 詐欺サイト警告を必ず表示
  • JavaScriptを無効にする
    SafariでのJavaScriptの機能を停止
  • ポップアップの停止
  • 全てのCookiesを受容
  • 訪問したサイトからのみのCookiesを受容
    過去に訪問したサイトから受信したCoockiesのみを受容
  • ニュースの禁止
    iOSの標準アプリとしての「ニュース」を開けないようにする。端末の言語に日本語を選ぶと、 iOS標準アプリとしての「ニュース」アイコンは表示されない。
  • PodCastの禁止
  • iOSの更新を遅らせる日数。ここに0から90までの数字を入力する。 「OSのアップデートをコントロール」を参照。
  • シングルアプリモードでのアプリの指定
(図3)で、「リスト」ボタンを押すと、(図4)がポップアップします。
(図4)で「追加」を押し、アプリのバンドル識別子を入力します。 バンドル識別子を知るには、「バンドル識別子を知る」を参照ください。
端末をシングルアプリモードにするには、iOSシングルアプリモードを参照ください。
(図4)
もし、アプリが、Webベース(HTML/JS/CSSで作成)であれば、(図4)に複数のアプリを登録できます。端末ユーザは複数のアプリから1つを選べるようになります。 1つのアプリを終了させると、他のアプリを起動できます。(図4)で指定したアプリ以外は、端末では起動できません。

メディアコンテンツの制限

(図2)または(図3)で、「メディアコンテンツ」タブを選択します。(図5)に画面遷移します。
  • ムービー
    再生できるApple提供のビデオの等級を指定します。
    暴力や性表現に関する等級です。
    ムービーの等級は、Motion Picture Association of America分類に基づいています。

    (図6)

  • TV番組
    視聴できるTV番組の等級を指定します。
    TV番組の等級は、TV Parental Guidelinesに基づいています。

    (図7)

(図5)

  • アプリ
    Appストアのアプリの年齢制限を指定します。 アプリの右端をドロップダウンして選択します。
    +12は12歳以上。+17は17歳以上。この判定は、Apple社が行います。 詳しくは、Appleの等級付けを参照ください。

    (図8)

社内で開発し、社内端末にしか配布しないアプリを、 iOSのアプリカタログルールでは、エンタープライズ・アプリといいます。

Appストアのアプリを禁止し、 端末購入時のプレインストールされているアプリとエンタープライズ・アプリのみで、運用することがあります。
その場合は、(図8)で、「アプリを許可しない」を選択します。 Appストアからアプリをダウンロードできなくなります。過去にダウンロードしていたら削除されます。

構成プロファイルの作成が終わると、「OK」ボタンを押します。

構成プロファイルの作成が終わると、これを対象とする端末グループやAD(Active Directory)の グループに割り当てます。そして、それを当該グループの端末に配布し、インストールします。詳しくは、 「Apple製品の構成プロファイルの作成」 のページの「E. 構成プロファイルの端末グループへの割り当て」以下を参照ください。