iPhone/iPadに働きかける

MobiControl v14 Manual

2021年 12月 13日

A. Apple端末に対する働きかけ

iPhone、iPad、macOSコンピュータの定常的な挙動を設定するには、「構成プロファイル」、「詳細設定」、 及び「ルール」の設定、追加、または変更を行います。

定常的な挙動設定をした前提の上で、端末に非定常的な働きかけをすることがあります。例えば、端末を紛失モードにしたり、端末画面をコンソールに映したりなどです。
端末に対し、非定常的な働きかけを行うには、以下説明するアクション項目を選択します。

B. 対象となる端末を選択

端末一覧画面の端末フィルター条件式を、(図1)ののように、 端末種別 = iOS とすると、iPhone と iPadだけが、一覧表示されます。
端末一覧での端末フィルタ条件式の設定と保存に関しては、コンソールでの端末フィルタを参照ください。

(図1)

働きかけをする端末の左側の〇にチェックを入れます。複数の端末を選択できます。
の〇にチェックを入れると、画面の全ての端末を選択できます。

端末フィルター条件式を、端末種別 = macOS とすると、macOSコンピュータだけが表示されます。
端末フィルタ条件式を、監視下 = TRUE とすると、監視モードのiPhone、iPadのみが表示されます。
macOSコンピュータ
のみを表示
監視モードの iPhone、iPad、macOSコンピュータのみを表示 非監視モードの iPhone、iPad、macOSコンピュータのみを表示

C. iPhone、iPadに対するアクションメニューを表示

対象とする端末群を選択すると、(図2)のようなアクションバーが下辺に現れます。
これの中からアクション項目を選択すると、端末に働きかけができます。
(図2)の右端の「その他」を選ぶと、更に多くのアクション項目がプルダウン表示されます。
(図2)のアクションバーのアイコンは、他のアクション項目と入れ替えができます。「D. アクションバーの項目を頻繁項目に取換える
(図2)
  1. Exchangeへのアクセスを許可
    下記 2. でアクセスを阻止した端末に、アクセス再開の許可を与えるコマンドを、MS Exchange Serverのフロントサーバに送ります。 MS Exchangeサーバへの不法アクセス防止を参照ください。
  2. Exchangeへのアクセスを阻止
    MS Exchange Serverの フロントサーバ(SOTIからの無償提供)に、選択した端末からのアクセスを阻止するコマンドを 送ります。
    MS Exchangeサーバへの不法アクセス防止を参照ください。
  3. MDMプロファイルを更新
    MDMプロファイルの失効日が近づいたときに、実行します。 端末で、「設定」-->「一般」-->「プロファイルとデバイス管理」-->「MobiControl Device Management」-->「詳細」を選択すると、 「デバイスID証明書」と「署名用証明書」の各々の有効期限が示されています。 これの有効期限の失効が近づいたら、このアクションを実行します。
  4. OSアップデートステータスをリフレッシュ
    「端末の詳細」タブの「ソフトウェアアップデート」セグメントの情報を最新の値にします。
    下記の「5. OSアップデートのスキャニング」を押す前と、「6. OSをアップデート」を押した後に、選択します。
  5. OSアップデートのスキャニング
    MobiControlは、チェックインしてくるApple端末に対し、24時間に1回は、Appleサーバにアクセスして OSの最新のバージョンがリリースされているかどうかをチェックさせます。 このアクションを実行すると、対象のApple端末に、今すぐ、このチェックをさせます。
  6. OSをアップデート
    OSのアップデートを実行します。
    Appleサーバから、各コンピュータにアップデートファイルがダウンロードされ、インストールされます。
  7. SMSを送信
    日本国内ではMobiControlサーバから端末へのSMS送信はサポートされていません。
  1. SOTI Hubアクセスをブロック
    選択した端末でのアプリ「SOTI Hub」からのアクセスを拒否するように、SOTIから無償提供の イントラネットゲートウェイにコマンドを送ります。
  2. SOTI Hubアクセスを許可
    上記 8.で拒否された端末に対し、アクセスを再許可するように イントラネットゲートウェイにコマンドを送ります。
  3. SOTI Hubキャッシュをクリア
    端末の「SOTI Hub」が、社内のレポジトリサーバから取得したコンテンツを削除します。
  4. SOTI Surfアクセスをブロック
    選択した端末でのブラウザ「SOTI Surf」からのアクセスを拒否するように イントラネットゲートウェイにコマンドを送ります。
  5. SOTI Surfアクセスを許可
    上記 10.で拒否された端末に対し、アクセスを再許可するように イントラネットゲートウェイにコマンドを送ります。
  6. SOTI Surfキャッシュをクリア
    端末の「SOTI Surf」が、社内のレポジトリサーバから取得したコンテンツを削除します。
  7. アクティベーションロックをバイパス
    端末が盗難/紛失でない場合に、端末のリセットの目的でコンソールからWipeをすることがあります。
    そのWipeの前に、このアクティベーションロックのバイパスを端末に要求します。 そうすると、Wipeの後のアクティベーション(初期設定)の作業が軽減されます。具体的には、Apple IDとパスワード または、バイパスコードの入力をしなくてすみます。 詳しくは、アクティベーションロックとそのバイパスを参照ください。 対象端末が、監視モードであることが必要
  8. インシデントを報告
    ヘルプデスクソリューション・サーバである、SOTI Assistに、端末のインシデントを報告します。 IT関連インシデントに関する貴社のヘルプデスクツールとして、SOTI Assist(有償)の導入をお勧めします。
  9. ソフトリセット
    再起動をします。監視モード端末にのみ有効です。
  1. チェックイン
    MobiControlサーバにチェックインするように、端末に対する要求をAPNs経由で送信します。
    (図8)を参照。 詳しくは、iOS チェックインと接続を参照ください。
  2. デバイス名の設定
    端末での「設定」--> 「一般」--> 「情報」名前の変更。36. 項を参照。 対象端末が、監視モードであることが必要
  3. パスコードロック解除
    無条件でロック解除ができるようにします。というか、スリープにしてもロック状態にならなくなります。「パスワード」、「パスコード」、「パターン」、「生体認証」のいずれも、端末ユーザが 忘れてしまったときに適用します。
    但し、「ユーザ認証」のプロファイルを適用している場合は、新しいパスワードを強制入力させる画面が端末に現れます。
    正当な端末ユーザが操作していることを確認してから、実行してください。
  4. ファイルを今すぐ同期
    ファイル同期ルールで規定したファイルを端末とMobiControlサーバとの間で 送受する。端末がMobiControlサーバに「接続」している状態のときのみに、有効です。
  5. メッセージを送信
    端末の画面に メッセージを表示する。
  6. リモート表示
    端末が、SOTI Surf または SOTI Hubを起動すると、その画面変化を、コンソールで表示開始します。 端末からMobiControlへ「接続」をしていないと表示はできません。「接続」と「チェックイン」を参照。
  7. ロック
    端末の画面をロック画面に変えます。
  1. 音を鳴らす
    端末で音を鳴らします。対象端末が、監視モードであり、且つ33項「紛失モードを有効」にした場合に 鳴らすことができます
  2. 共用デバイスのトラブルシューティング
    端末を共用していた場合、前のユーザのアプリのアンインストールができなかったなどのエラー表示がされるときがあります。 この場合、このエラー表示を消します。
  3. 共用デバイスをログアウト
    端末を共用していた場合、ログアウトします。 Azure AD(Active Directory)、ID プロバイダ、または AD_DS(Active Directory Domain Service)のIDとパスワードの 再度の入力画面が現れます。
  4. 削除
    端末のMobiControlへの登録を解除。コンソールでの当該端末の表示は終了。 MobiControlの端末ライセンスは開放されます。 下記の(表1)を参照。
  5. 初期化(Wipe)
    端末を工場出荷時点の状態への初期化(WIPE)をします。端末購入後インストールしたアプリや 端末内のユーザデータは削除されます。
    • 端末のアクティベーションロックが有効になっていることを確認してWipeを実行してください。 アクティベーションロックが無効のときに、Wipeをすると、端末は拾得者が使えるようになります。
    • 端末が盗難/紛失でなく、単なるリセットをしたい場合は、Wipeの前に、「14.アクティベーションロックをバイパス」を 端末に要求しておくことをお勧めします。Wipeの後のアクティベーション作業が軽減されます。
  6. 制限のクリア
    端末で、「設定」--> 「一般」--> 「機能制限を設定」で設定した機能制限を解除します。 対象端末が、監視モードであることが必要
  7. 切断/中断
    電源をオフにします。
  1. 登録解除
    端末のMobiControlへの登録を解除。下記の(表1)を参照。
  2. 紛失モードを無効
    端末を紛失モードから通常モードにもどす。端末が見つかった場合に実施。33.項を参照。 対象端末が、監視モードであることが必要
  3. 紛失モードを有効
    端末を紛失モードにする。対象端末が、監視モードであることが必要
  4. 壁紙を設定
    端末の壁紙を変更します。壁紙ファイルを選択するダイアログが表示されます。ロック中とロック解除状態の2種類の状態での 壁紙をコンソールで選択設定できます。対象端末が、監視モードであることが必要
  5. 無効化
    端末とサーバとの交信を中止します。「構成プロファイル」「ルール」及び「詳細設定」を変更しても、端末には反映されなくなります。 37項を実施すると、交信を再開します。(バージョンによっては「暫定停止」と記しています)
  6. 名前変更
    コンソールでの端末の名前を変更。 新しい名前には、マクロ文字列を使えます。マクロ文字列に関しては、 「F. コンソールに表示する端末の名前」を参照ください。
    端末側での端末名変更は、18.項を参照。
  7. 有効化
    35項で、端末とMobiControlサーバとの交信を停止していた場合に、実行すると、交信を再開します。 (バージョンによっては「強制適用機能」と記しています)

(表1)
「削除」と「登録解除」の違い


27.削除31.登録解除
MobiControlサーバへの登録解除解除
配布したプロファイルやアプリ削除削除
位置履歴など端末からの収集データ抹消保存したまま
端末一覧での表示非表示表示継続。従い、収集データを閲覧可能。
端末ライセンス解放保持したまま
再登録初回登録と同じ手順 Safariが起動し、登録プロファイルのインストールの画面が表示されます。以下、画面に従って、タップをすれば、再登録されます。サーバに保存されているレコードを継承します。

D. アクションバーの項目を取換える

上の(図2)には、アクション項目が横に並んでいます。これをアクションバーといいます
項目によっては、あまり頻繁に使わない項目があるかもしれません。

これを、頻繁に使う項目に取り換えることができます。

(図4)
「その他」を開き、アクションバーに昇格表示したい項目を選びます。
(図4)のように、右側に、黒い星のマークが表示されます。
この黒い星を、マウスで長押しします。
(図5)

黒い星が、金色の星に変わります。アクションバーに昇格表示したい項目を7つ選び、金色の星に変えます。
(図6)

端末一覧から端末を選ぶと、アクションバーの項目が(図6)のように変わります。金色の星を付けたアクション項目が、アクションバーに並びました

上の(図2)と比較してください。

このアクションバーから項目を選ぶことで、対応するアクションを端末に適用できるようになります。

「その他」を、押すと、金色の星のアクション項目が、最上部に表示されます。

金色の星の項目を、元に戻すには、金色の星の部分を長押しします。黒色の星に戻ります。

E. 働きかけの始動は、APNs経由で

iPhone、iPad、macOSコンピュータへの働きかけは、APNs経由で、端末に対しチェックインを要求し、そのチェックインがMobiControlサーバに 到着したら、MobiControlサーバから端末に向けて、直接コマンドを送ります。 詳しくは、チェックインの仕組みを参照ください。

(図7)

端末はネットワークに接続してなかったり、電源オフの場合があります。その場合、APNsサーバは、端末に向けて チェックイン要求を送れません。そして、そのチェックイン要求を破棄します。また、その破棄したことを、APNsサーバは MobiControlサーバに通知しません。
従って、コンソール画面では、端末への働きかけに成功したように見えて、実際は、成功してないことがあります。 これを、確認するには、コンソールでの端末のイベントログをチェックします。

F. 端末グループ単位での働きかけ

左側ペインの端末グループの右端の3点マーク(緑丸)をクリックし、現れるメニューから「アクションを実行」を選択することでも、(図8)のように、 アクションメニューが現れます。
このメニューでのアクションは、端末グループの全ての端末宛に適用されます。 同一端末グループ内の異なるOSの端末(Android端末やWindows PCなど)にも適用されます。
逆に、iPhoneやmacOSコンピュータには、適用できないアクション項目も、含まれています。

(図8)

G. OSのアップデートをコントロール

  • OSアップデートは、無期限に延長できない
    監視モードのiOS端末のOSアップデートを無期限に、延ばすことはできません。
    デフォルトでの延長期間は、Appleがリリースをしてから、0日間です。それに対し、 構成プロファイルを割り当てることで、最長90日間まで延長できます。
    但し、iOSのバージョンは、iOS11.3以上が必要です。
    この延長の間に、アップデートしたOSの基でも、業務アプリが正常に作動するかどうかを、検証用端末で、検証願います。 もし、正常に作動しない場合は、業務アプリの改造をすることになります。
  • 強制アップデートができる
    業務アプリに影響がないことが判明したら、コンソールの操作で強制アップデートができます。
    但し、端末は監視モードであり、且つiOSのバージョンは、次の要件であることが必要です
    • ABM経由登録の場合 iOS9以上
    • ABM経由でない登録の場合は、iOS10.3以上

非監視モードのiOS端末は、OSのアップデートを強制されません。 コンソール操作での、非監視モードのiOS端末に対しての強制アップデートもできません。 端末操作でアップデートをします。

  1. OSアップデートの延長方法
    (図9)は、構成プロファイル「iOS端末の機能制限」で、「アプリ」タブを選択した画面です。
    ここで、90と入力すると、最長90日間の延長ができます。

    (図9)

  2. いつ自動的にアップデートされるか?
    (図9)の90日の意味は、
    • 現在のバージョンより新しいバージョンがリリースされたら、その日から90日目まで延長されるという意味です。現在が最新バージョンの場合、 次の新しいバージョンのリリースまで待つ日数が加算されるので、実際は、90日間以上延長となります。
    または、
    • (図9)の設定時点で、現在より新しいバージョンがリリース済なら、 そのバージョンのリリース日から90日目まで延長されるという意味です。 既に、次の新しいバージョンがリリースされているので、実際は、90日間より短い日数の延長となります。

    ソース 「Appleドキュメント:ソフトウェア・アップデートを延期する」を参照ください。
    延長最終日の翌日になると、自動バージョンアップがされます。

    (図10)
    アップデートタイミングのサンプル

    (図10)をご覧ください。横軸が、時間軸です。 今のバージョンが、iOS14.5だとします。そして、A の日に、(図9)の構成プロファイルを有効化したとします。 その時点の最新バージョンは、iOS14.6 ですから、延長は、B の日までとなります。それまで、iOS14.5のままです。
  3. どのバージョンにアップデートされるか?
    バージョンアップ実行日での最新バージョンにアップデートされます
    そして、 B の日になったとします。その時点での最新バージョンは、iOS14.8 です。 従って、iOS14.5 から、一足飛びに、iOS14.8 にアップデートされます。1つ上のバージョンiOS14.6へのアップデートにはなりません。

    延長設定をしていたのにかかわらず、途中で強制アップデートができます。
    今のバージョンが、iOS14.5だとします。そして、A の日に、強制アップデートをしたとします。 その時点での最新バージョンは、iOS14.6 ですから、端末は、iOS14.6にアップデートされます。
    そこで、(図9)の設定が適用されます。延長の後の自動アップデートの日は、c の日になります。 c の日の最新バージョンは、iOS14.8です。c の日に、 iOS14.6からiOS14.8にアップデートされます。途中で強制アップデートした方が、iOS14.8にアップデートする日を遅らせることができます。
  4. 端末の上述のような振る舞いは、端末が、Appleのアップデートサーバに、毎日アクセスし、新しいiOSバージョンがリリースされたか否かを、 スキャンしていることが前提です。端末は、一定周期で、MobiControlにチェックインします。 端末は毎回のチェックインの中で、1日に1回は、ついでに、Appleのアップデートサーバに アクセスし、スキャンをします。 端末が、スキャンをした最終日時は、「端末の詳細」タブの中に表示されています。
    このスキャンを長い日数の間、怠っている端末は、新しいiOSバージョンがリリースされたことを知らずに経過します。
    強制的にスキャンをさせるには、該当端末に対し、(図3)の 「5. OSアップデートのスキャニング」を押します。

    iOSとiPadOSのリリース日と90日後の日付を下表に示します。(日付は、カリフォルニア州の日付です)
    iOS iPadOSのバージョン入手可能になった日リリースから90日目
    iOS14.7.1 iPadOS14.7.12021年7月29日2021年10月27日
    iOS14.8 iPadOS14.82021年9月13日2021年12月12日
    iOS14.8.1 iPadOS14.8.12021年10月26日2022年1月24日
    iOS15 iPadOS152021年9月20日2021年12月19日
    iOS15.0.1 iPadOS15.0.12021年10月1日2021年12月30日
    iOS15.0.2 iPadOS15.0.22021年10月11日2022年1月9日
    iOS15.1 iPadOS15.12021年10月25日2022年1月23日
    iOS15.1.1 2021年11月17日2022年2月15日
    iOS12.5.4 iPadOS12.5.42021年6月14日 2021年9月12日
    iOS12.5.5 iPadOS12.5.52021年9月23日2021年12月22日
    詳しくは、Appleのドキュメント 「Apple セキュリティアップデート」を参照ください。

  5. OSの強制アップデート方法
    OSのアップデートをしても、業務アプリに影響がないことが、判明すれば、上記 (図9)による延長指定にかかわらず、対象とする端末のOSを強制アップデートできます。
    Appleが、OSのアップデートをリリースしたのに、まだアップデートを実行していないiOS端末のステータスには、次の (表2)が、示す通り、2種類あります。Aのステータスの端末は、Bのステータスに移行させる必要があります。 Bのステータスに移行させてから、アップデートを働きかけます。

(表2)

ステータスA B
Appleがアップデートをリリースしたことを認識しているか否か 認識していない 認識している
「端末の詳細」画面の「OS アップデートを入手できます」の項目の値 「なし」の2文字 入手できるOSの
新しいバージョン番号
アップデートの方法 (図3)の「6. OSをアップデート」を押しても、端末は、それを無視します
(図3)の 「5. OSアップデートのスキャニング」を押して、端末を、Appleサーバにアクセスさせ、 新しいバージョンがリリースしたことを、端末に認識させます。認識をした端末は、Bのステータスに移行します。
(図3)の「6. OSをアップデート」を押します。(図11)がポップアップします。

Bのステータスの端末に対して、(図3)の「6. OSをアップデート」を押すと、(図11)がポップアップします。

(図11)

(図11)の「OS更新バージョン」の右端にプルダウンの下向き矢印がありますが、常に最新のiOSバージョンしか選択できません。

(図11)の「OSアップデート方法」欄の右端をプルダウンすると、(図12)のように、3つの選択肢が現れます。

(図12)

3つの選択肢の中から1つを選び、「OSをアップデート」ボタンを押します。
  • ソフトウェアアップデートのダウンロード後、インストールを行う
  • ソフトウェアアップデートのダウンロードをするが、インストールをしない
  • すでにダウンロード済のソフトウェアアップデートをインストールする

3つの選択肢の実行結果により、端末のステータスは、幾つか異なったものになります。
(図12)の「OSをアップデート」を押して、しばらくしてから(図3)の「5. OSアップデートステータスをリフレッシュ」を押してください。

「端末の詳細」画面の「OS アップデートを入手できます」の項目の値が、「なし」になれば、端末のOSが最新バージョンにアップデートしたことを意味します。

iOS または iPadOSのアップデートにあたっては、ロック解除を要求されます。

iOS端末のOSのダウングレードはできません。

H. アラートルールを作成

端末への働きかけの結果が、「成功」の場合もあれば、「失敗」の場合もあります。 これらの結果をログとして取得するために、アラートルールを作成します。

アラートルールは、原則として、ルートとなる端末グループ、または、上位の端末グループに、適用しておきます。 従って、1回設定しておけば、新たに登録する端末にも、自動的に適用されます。

アラートイベントには、「端末側で認識するアラートイベント」と、「サーバ側で認識するアラートイベント」があります。

以上のアラートルールを設定ください。
アラートイベントに対するMobiControlの対応は、その警戒度に応じて3つのレベルがあります。
  1. ログに記録しておくだけ
  2. 関係者へのメールを自動送信
  3. 該当端末の隔離
従って、同じ端末グループを対象にして、3種類のアラートルールを作成しておきます。