Apple製品

MobiControl v14 Manual


iOS端末の業務アプリの管理

MobiControlは、業務アプリの管理に最適のソリューションをiOS端末に提供します。
  1. 端末ユーザの操作がなくても、アプリのサイレント・インストールとサイレント・バージョンアップを実現。
    端末ユーザの操作を待つ必要がないので、短かい時間で数千台の端末にアプリの配布やバージョンアップができます。業務改善のスピードを速めます。
  2. 社内開発し、Appストアに公開したくないアプリも端末に配布し、インストール
  3. アプリのホワイトリストを作成し、業務に関係ないアプリの起動を禁止
社内のWiFiやVPN等も、リモート設定ができます。

iOS端末の画面をリモートビュー

リモートのiOS端末の画面を、コンソールに表示できます。端末ユーザがアプリ操作に戸惑ったときやアプリに不具合があったときに、 コンソールに画面表示して対応できます。v14.1までは、SDK for iOSをアドオンしたアプリしかリモートビューは 実現できませんでした。v14.2からは、どのアプリでもリモートビューが可能になりました。

macOSコンピュータの「システム環境設定」を一括設定

  1. 業務アプリをサイレント・インストールします。
  2. 「システム環境設定」をコンソールで一括設定できます。
    • ログイン画面設計、FileVault、Dock、Finder、プリンタ、Xsan、 機能拡張などの面倒な設定をコンソールで一括設定できます。
    • Active Directoryや Open Directoryの「ネットワークアカウント」も、コンソールからリモート 設定できます。
    • ユーザのホームフォルダや、Time Machineによるファイルバックアップ先をサーバ内にすることをリモート設定できます。
  3. 情報漏洩対策
    macOSコンピュータの機能とコンテンツの制限を参照ください。 例えば、「どこでも My Mac」を禁止することで、職場のコンピュータから自宅のコンピュータへの情報流出を防げます。
  4. ネットワーク・インフラに対するアカウントの自動設定
    社内WiFiやVPNなどを、一斉設定できます。

iOS端末の情報漏洩対策の充実

利用中の対策

iOS端末には、様々な情報漏洩対策が用意されています。しかし、それは、適切な設定をしていることが前提です。 MobiControlは、適正な設定を強制的に適用します。例えば:-
  • パスコードの設定強制。複雑性や無効パスコード入力の許容回数制限。
  • ロック中のSiriの禁止
    (禁止にしてないと、ロック中でもSiriで連絡先の電話番号を知ることができます)
  • iCloudのドキュメントの同期の禁止
    (私物のPCやデバイスからiCloudにアクセスし、会社のドキュメントをダウンロード。その私物PCやデバイスが情報漏洩元になりうる。)
  • Cookieの制限(過去に訪問したサイトからのCookieのみに制限)
  • 端末証明書のインストール
    (メールサーバやVPNの利用に際する認証に使います)
  • 会社が定めたWiFi以外には、アクセスさせない。(この機能は、MobiControl v14で追加された新機能です)
  • 別途、無償提供しているブラウザ(SOTI Surf)を利用し、Webサイトのフィルタリングをする。 併せてSafariの利用を禁止できます。

紛失時の対策

  1. アクティベーションロック
    仮に、端末のアクティベーションロックを無効にしておくと、 パスコードやApple IDのパスワードを知らなくても、拾得者は、端末をiTunesを起動したPCに接続し、リカバリーモードを使って初期化して、自分の物として使うことができます。 通常は、端末のアクティベーションロックは有効にしてあり、その場合、 拾得者は上記の方法を適用できません。
  2. リモートWipe
    コンソールから端末を工場出荷状態に戻せます。
  3. 端末画面にメッセージ
    端末に連絡先などを記したメッセージを送り、端末画面に表示します。
  4. 端末を紛失したユーザ自身が、PCやタブレットを使い、セルフサービスポータルにアクセスすると、上記のb項とc項を実施できます。

監視モード

会社支給端末の場合は、監視モードでセットアップすることをお勧めします。 監視モードでセットアップするには、AppleのDEP(Device Enrollment Program)サーバ経由での、初期設定が必要です。
iOS端末を監視モードにすることで、次のようなメリットが得られます。
  • 情報漏洩対策及びその他を目的として、端末の設定を強制できる。
    詳しくは、下記の「監視モードでの機能」を参照。
  • Appストアアプリをサイレント・インストールできる
    詳しくは、アプリカタログルールを参照。 また、AppストアのVPP(Volume Purchase Planing)アプリをユーザのApple IDではなく、端末に紐づけることができる。 端末ユーザが変わっても、同じアプリを継承できる(=有償アプリでも新規購入不要)。
  • Apple IDの管理が不要
    端末を 監視モードでアクティベーション(初期設定)するときは、AppleへのApple IDの登録をしない。 そして、監視モードの端末は、Apple IDの登録をせずとも使用できる。 その際、Appストアのアプリは、デバイスベースのVPPアプリを アプリカタログに掲載することで配布できる。 「iCloud」にアクセスできなくても、「紛失モード」で同等の操作ができる。 これで、煩雑な端末毎のApple IDの管理を回避できる。
    (端末操作により端末ユーザのApple IDを登録することはできます。続けて、iCloudへのアクセスもできます。)
  • Apple IDとパスワードが不明でも、紛失モードにできる。端末の地理的位置の表示など、「iPhoneを探す」と同等の 機能を使える。
  • アクティベーションロックの強制
    端末ユーザによるアクティベーションロックの無効化を禁止できる。
    アクティベーションロックとそのバイパスを参照
  • アクティベーションロックのバイパス
    盗難/紛失されてない端末のWipeの後の再アクティベーションでは、Apple IDとそのパスワード等を入力をしなくてMobiControlに再登録することができる。 端末設定のリセットの時などに便利。
    逆に、盗難/紛失の可能性がある端末に対しては、バイパスを端末に要求しない。これで、アクティベーションプロセスでは、 Apple IDとそのパスワード 又は アクティベーションロックのバイパスコードの入力を必須とすることができる。
    アクティベーションロックとそのバイパスを参照。
  • 端末側操作での、MobiControlへの登録解除を禁止
    端末操作での登録解除の禁止を参照。
    但し、手動DEP登録しての端末は、アクティベーション後30日間は、登録解除が可能。

APNs

端末は、通常、MobiControlサーバには接続していません。また、MobiControlサーバから端末にアクセスして通信セッションを張ることはありません。
iOS端末には、出荷時に「MDMプロトコル」という名前のプログラムが標準搭載されています。
この「MDMプロトコル」は、APNs(Apple Push Notification service)から通知Noticeを、常時受けるように設定されています。 端末に「リモートロック」「紛失モード」または「Wipe(初期化)」などのコマンドを送るには、 まず、APNs経由でチェックイン要求を送ります。
(図2)
端末はチェックイン要求に応えて、MobiControlサーバに「チェックイン」をし、コマンドを受け取ります。
端末に対し、構成プロファイルを送ったり、ルールを展開するのにも、端末にチェックイン要求を送ることで実現します。 端末から、MobiControlサーバへの「チェックイン」は、通常のhttps(TCP443)のコールです。
ルールの中には、アプリカタログルールがあり、インストールするべきアプリに関する情報を送ります。 送るべきオブジェクトを送り終わると、端末はすぐにチェックアウトします。

MobiControlエージェント

アプリの一つとしてMobiControlエージェントを追加的にインストールすると、端末には付加的な機能を追加できます。 端末ユーザがMobiControlエージェントを起動すると、MobiControlサーバに「接続」します。 端末から、MobiControlサーバへの「接続」は、通常のhttps(TCP443)のコールです。 (図3)
  • 端末の画像イメージを送り、コンソールに表示します。画像の変化をリアルタイムで表示します。
  • 端末の地理的位置を送り、コンソールの地図に表示します。
  • MDMプロトコルでは送れない端末ステータス情報を送ります。
  • 長文のメッセージを端末に送れます。
「MDMプロトコル」によるチェックインと、「MobiControlエージェント」による接続では、送受するオブジェクトが異なります。 詳しくは、「iOS:チェックインと接続」を参照ください。

アプリカタログとVPP

アプリカタログルールを適用したiOS端末には、「App Catalog」という名前のアイコンが、ホーム画面に表示されます。 これにはアプリの名前とアイコンが表示されています。これにはアプリのダウンロード元へのURLが埋め込まれています。 端末ユーザは、これをタップして業務アプリのダウンロードとインストールをします。
アプリには、Appストアのアプリもあれば、社内限りで社内サーバをダウンロード元とするアプリ(=エンタープライズ・アプリ)もありえます。
Appストアのアプリは、企業/団体としてVPP(Volume Purchase Planning = まとめ買い)契約をすることができます。 VPP契約で購入したアプリは、個別端末ユーザが費用負担するのではなく、企業/団体がまとめて費用負担をします。
VPPアプリの帰属先を、「端末(デバイス)」にするか「ユーザ」にするかの選択肢があります。 デバイスベースだと、その端末のユーザが変わっても( = 端末のApple IDが変わっても)、当該アプリを使い続けることができます。
ユーザベースだと、ユーザが端末を変えても、当該アプリを使い続けることができます。有償アプリでも新規購入は不要です。
Appストアのアプリのダウンロードに当たっては、端末のポップアップに、次のような違いがあります。
監視モード端末非監視モード端末
VPP契約アプリポップアップ無し。
サイレント・インストール可能
インストールを促すメッセージのポップアップ
VPP契約でないアプリApple IDとパスワード入力のポップアップ 下記の2つのポップアップ
  • インストールを促すメッセージ
  • Apple IDとパスワード入力
ユーザベースのアプリでは、ユーザのApple IDをVPP契約に紐づけるポップアップが現れる。但し、初回だけ。
詳しくは、アプリカタログルールを参照ください

DEP(Device Enrollment Program)とは

DEP(Device Enrollment Program)は、iOS端末を監視モードにする仕組みです。
監視モードにするのは、端末を初期設定(アクティベーション)するときです。 端末には工場出荷時に固有のシリアル番号が付番されています。そのシリアル番号は、Appleのアクティベーションサーバに登録されています。
通常の初期設定では、シリアル番号にMDMサーバのURLが紐づけられてないので、Apple IDを登録することで、初期設定が終わります。
シリアル番号に、MDMサーバのURLが紐づけられている場合、その端末は、MDMサーバに自動的にアクセス(リダイレクト)します。 そして、MDMサーバに登録されます。続けて、その端末用に用意されている構成プロファイル等がダウンロードされます。
(図1)
DEPを実現するには、当該端末のシリアル番号が、DEP対象であることを、Apple アクティベーションサーバに登録する必要があります。 この登録を誰がするかによって、DEP登録方法には2種類があります。

ABMは、Apple Business Managerの略


自動DEP登録手動DEP登録
対象となる端末
  • 携帯電話会社から直接購入する端末
  • DEP販売店IDを持っている販売店から購入する端末
  • DEP販売店IDを持っていない販売店から購入する端末
  • 購入済の端末
  • 非監視モードだが、これを監視モードに変更する端末
端末シリアル番号をDEPサーバに登録する人 販売店(購入元) 利用する企業/団体のABM担当アカウント保有者
端末シリアル番号の端末登録ルールへの再配置 MobiControlコンソールへのアクセス権限者が実行 不要
DEPサーバで、登録予定端末の端末シリアル番号とMobiControlサーバのURLとの紐付け 利用する企業/団体のABM担当アカウント保有者
通常、端末の初期化や再アクティベーションの場合は、Appleのアクティベーションサーバに対しApple IDとパスワードの入力が要求されます。 監視モードの端末では、Apple IDでの管理を不要にするオプションがあります。
その場合、当該端末のリモートWipe(初期化)や、再アクティベーションの際は、MobiControlサーバから、アクティベーションバイパスコードを 端末に送り、端末がそれを、Appleのアクティベーションサーバに送ることで、Apple IDとそのパスワードの入力の代替とします。

SDK for iOS

OS端末にインストールするアプリに、SDK for iOSをアドオンすると、 iOS端末の業務での活用度が高まります。
  • アプリ操作で動く端末の画面を、コンソールPCの画面にリモート表示できます。アプリ操作の指導や不具合の発見につながります。
  • アプリ配下のサブフォルダのデータファイルをファイルサーバに吸い上げたり、逆にファイルサーバから端末に必要なデータを送ることができます。 アプリ作成において、サーバとのファイル同期の手配が簡単になります。 サーバ側に端末毎のサブフォルダを自動的に作ります。
  • コンソールPCのエクスプロラ・ツールに、端末のアプリ配下のサブフォルダが表示されます。 コンソールPCとの間でファイル送受や更新ができ、アプリのデバッグなどに 役立ちます。
SDK for iOSは無償です。

AD(Active Directory)との連携

iOS端末をMobiControlサーバに登録するときの本人認証として、 端末ユーザのAD_DS(Active Directory Domain Service)のユーザ名とパスワードの 入力を要求することができます。
AD_DSで認証をしての端末登録のメリット
  • AD_DSの認証を得た端末宛の構成プロファイルの作成では、 マクロ文字列 %ENROLLED_UPN% を使うことができるようになります。 メール並びにAD_DS認証を要求するVPN及びWiFiの構成プロファイルは、 端末ユーザの実際のUPNに変更されてから、端末に配布されます。 このマクロ文字列 %ENROLLED_UPN% を使えることにより、 個別端末毎の 構成プロファイル作成が不要になります。
  • 端末ユーザは、端末紛失時に、他のデバイス(スマホ、タブレット、PC)から、 セルフサービスポータルにアクセスし、 「iPhoneを探す」と同じ操作が できます。紛失モードにしたり、リモートからのWipe(iPhoneを探す)を実行できます。
MobiControl v14では, 端末登録時に、AD_DSで認証をしなくても、端末登録後に、端末に AD_DSのユーザ属性を埋め込むことができます。
端末のモード
監視モード非監視モード
AD認証などでユーザ属性を把握する
しない
の場合、 MobiControlの管理領域は最も広くなります。
の場合、 管理領域は最も少なくなります。
AD_FSによる認証
非監視モードとして設定する場合は、AD_DSだけでなく、AD_FS(Active Directory Federation service)での本人認証も可能です。 AD_FSでは、SSO(Single Sign On)が適用されるので、端末登録時に、ユーザIDとパスワードの入力を要求されません。
監視モードで設定する際は、AD_FSでの認証はできません。なぜなら、初期化された端末は、 DEPサーバにアクセス直後に、MobiControlサーバへの登録プロセスに進む仕組みなので、AD_FSによる認証はできません。

監視モードでの機能

上記の「監視モード」でのメリット説明以外に、セキュリティ対策や業務の効率化のために、下記の機能を提供できます。 赤文字の項目は、MobiControl v14に追加された機能です
  • アプリの管理
    • アプリのサイレント・インストール 及び サイレント・バージョンアップ
    • アプリのホワイトリストを作り、リスト以外のアプリの起動を禁止
    • アプリのブラックリストを作り、リストされたアプリの機能を禁止
    • Appストアからのアプリの追加ダウンロード禁止
    • Appストア以外のアプリの追加ダウンロード禁止
    • シングルアプリモード(基本的に1つのアプリのみ)
    • アプリの削除禁止
  • AirPlayのリモート設定
  • AirPrintのリモート設定

更には、次のように機能を制限できます。
  • 端末側操作でのMobiControlの登録解除を禁止
  • ホスト・ペアリングの許可/禁止
    iTunesを起動して、パソコンのデータをiOS端末に移動またはその逆の禁止
  • WiFi専用端末では、プロキシサーバを経由しないと、インターネットに接続できないようにする
  • 指定したURL以外には、ブラウザからアクセスできないようにする
  • 会社で定めたWiFi以外にアクセスさせない
  • Bluetoothの禁止
  • Apple Musicを禁止
  • iMessageの利用禁止
  • SIRIでユーザの生成したコンテンツを非表示
  • SIRIの悪口誹謗フィルタ
  • iBook Storeの利用禁止
  • Eroticaコンテンツの禁止
  • AirDropの利用禁止
  • AirPrintでTLS通信を要求
  • AirPrintの利用禁止
  • ロック画面で通知センターを非表示
  • ロック画面で「今日」ビューを非表示
  • Exchangeアカウント変更の禁止
  • 携帯電話回線でのパケット使用量記録の変更の禁止
  • iCloud Keychain Syncの禁止
  • データ共有の管理対象から管理対象外への変更を無効にする
  • データ共有の管理対象外から管理対象への変更を無効にする
  • OTAによるPKIの更新禁止
  • 端末内のすべてのコンテンツと設定の削除を禁止
  • 構成プロファイルを手動でインストールさせない
  • パスコードの変更を禁止
  • Apple Watchとのペアリングを禁止
  • Spotlightの検索を無効にする
  • 予測キーボードを無効にする
    文字入力時に、予想単語を表示する機能を無効にする
  • スペルチェックを無効にする
  • 定義の辞書検索を無効にする
  • 「友達を探す」アプリの変更禁止
  • ゲームセンターへのアクセス禁止
    (ホーム画面からゲームセンターのアイコン削除)
  • ゲームセンターに友達を登録することを禁止
  • PodCastの禁止
また、iOSのバージョンアップを遅らせる日数を指定できる機能が、MobiControl v14で追加されました。