設定をする

MobiControl v14 Manual

iOS (7.0 以上)のiPhone及びiPad、並びに、macOS (10.12以降)をプラットフォームとするApple端末をMobiControlに登録し、管理するための 方法を説明します。

A. Apple端末の設定の前に決めておくこと

A-1. 監視モードか非監視モードか

構成プロファイル、ルール及び詳細設定の設定をしますが、「監視モード」でしか有効にならない機能が 多々あります。 そこで、端末の設定モードを、「監視モード」にするか「非監視モード」にするかを、最初に決めておきます。 設定の途中で、この設定方針を変更するとなると、作業工程にロスが生じます。
「監視モード」の方が、端末管理領域が広く、Appストアのアプリのサイレントインストールができるなど、業務の効率性が増します。 「監視モード」のメリットについては、「監視モード」を参照ください。
一方、「非監視モード」の端末では、端末側操作で、MobiControlからの脱出、つまり、登録解除ができます。 そういう意味で、私物端末は、「非監視モード」で設定することが妥当です。
勿論、会社支給端末を「非監視モード」に、私物端末を「監視モード」にセットアップするのも技術的には可能です。

(図1)

「監視モードで端末を設定する」と、方針決定した場合に、最初にやる仕事は、 Apple社に、ABM(Apple Business Manager)担当者アカウントの発給を申請することです。1週間程度かかります。 ABM担当者アカウントがないと、端末のセットアップができません。 ABM担当者アカウントの作成を参照ください。
監視モードの端末セットアップ方法には、下記2種類があります。その選択は、下表のように自動的に決まります。
対象端末 セットアップ方式
  • 携帯電話会社から直接購入する端末
  • Apple販売店IDを持つ販売店から購入する端末
ABM経由自動登録
  • Apple販売店IDを持たない販売店から購入した端末
  • 既に購入済の端末
  • 非監視モードで使用中の端末
ABM経由手動登録
「ABM経由自動登録」と「ABM経由手動登録」の設定の違いは、ABM経由手動登録を参照ください。「ABM経由手動登録」は、 アクティベーションを伴うので待機時間が長いですが、設定工程そのものは15秒間程度ですみます。 それも、Apple Configurator USB Hub を使い、10台以上を同時に、設定すると、作業がはかどります。 「ABM経由自動登録」でも、macOSコンピュータにUSBケーブルでつないで、アクティベーションをすると、作業がはかどります。
ABM(Apple Business Manager)は、DEP(Device Enrollment Program)とVPP(Volument Purchase Program)の2つのサービスを提供しています。

A-2. 登録時に認証サービスで認証させるか否か

これも、設定作業の前に、事前決定をしておきます。
AD_DS(Active Directory Domain Service)などの認証サービスで認証して、端末登録をすると、 端末ユーザのディレクトリサービスでの属性情報(メールアドレスなど)をMobiControlが把握できます。 そのことで、端末管理の有用性が増します。
登録時に認証サービスで認証して登録することのメリットについては、「認証サービスによる認証のメリット」 を参照ください。
認証サービスによる認証をすると方針決定した場合は、 ディレクトリサービスとの接続プロファイル、または、IDプロバイダとの接続プロファイルを作成をしておきます。

但し、認証サービスによる認証無しで、端末をMobiControlに登録しても、後で、端末に所属する認証サービスの属性(UPN、メールアドレス、姓名など)を付加することもできます。 詳しくは、「Apple製品:端末の詳細」のページの 「5.ユーザ情報」を参照ください。

B. Apple端末とMobiControlサーバとの間で送受されるオブジェクト

端末をMobiControlに登録したら、「構成プロファイル」「端末の詳細設定」及び「(端末登録ルール以外の)ルール」を設定し、指定の端末グループに適用します。 これらの適用をした後に、端末を登録したら、登録直後に自動的に適用されます。

(図2)

  • 全ての送受は、チェックインの時に実行されます。 但し、位置情報などの端末ステータス情報の一部は、「接続」の時に、送られてきます。
    詳しくは、「チェックインと接続」を参照ください。
  • スクリプトコマンドは、iPhone と iPad 宛には送れません。

構成を設定する方法については、下記のリンク先ページを参照ください。

端末は、企業/団体の組織を反映して、階層構造の端末グループに登録されています。
「本部」-->「部」-->「課」。
端末登録ルールを除くと、構成の設定は、なるべく上位階層の端末グループを適用対象とすると、管理が便利です。 勿論、下位階層の端末グループの特殊性に鑑みて、下位階層の端末グループを適用対象とすることもできます。

C. ルール

「構成プロファイル」や「端末の詳細設定」が、端末そのものの挙動設定に関するのに反し、 「ルール」は、端末とMobiControlサーバとの連携プレイに対し設定をします。

アラートルールでは、なるべく多くのアラートイベントを適用する

MobiControlは、非常に多くのアラートイベントを検知できます。 Apple端末に関するアラートルールの設定に当たっては、次の3つの設定領域があります。

なるべく多くのアラートイベントに、チェックマークを入れてください。

アラートイベントの発生が検知されると、アラートログ一覧画面に表示されます。

アラートイベントの中には、警報の意味でなく、単なる端末とサーバの活動履歴ログと言えるイベントも含まれます。それでも 何かインシデントが発生したら、それらのログを参照することで、原因を推察できるようになります。

アラートの中には、クリティカルなイベントもあります。そのイベントが発生したとき場合に限り、関係者にメールを発信するオプションがあります。

端末側のアラートで、セキュリティ上、重大なインシデントに関するアラートイベントがあります。
その場合は、当該端末に対する端末グループの移動を行って、「構成プロファイル」や「アプリカタログルール」などを、自動的にアンインストールします。さらに、VPNやWiFi利用禁止や、Exchangeへのアクセス禁止など 様々な抑制的なアクションを自動的に加えることができます。 詳しくは、「アラートルール(全OS共通)」を参照ください。

D. ご無沙汰の端末

MobiControlサーバから、APNs経由で、端末に対し、チェックインすることを要求しても、端末が無反応のことがあります。
電源オフが長く続いている場合や、WiFi専用端末を社外に持ち出された場合などが想定されます。
端末からのチェックインがなければ、Apple端末の管理ができなくなります。
「構成プロファイル」をバージョンアップしたり、「アプリカタログルール」の編集を行ってアプリの追加を試行しても、 それらは展開されません。
端末にセキュリティ上のアラートインシデントが発生しても、チェックインをしてこなければ、MobiControlサーバは、それを検知できません。

(図3)

Apple端末のチェックインは、他のOSの端末のチェックインとは、その仕組みが異なります。
端末ユーザの操作では、チェックインはできません。このチェックインがないことによる、ご無沙汰端末を早期に発見するには、アラートルールを設定します。詳しくは、 「チェックインと接続」を参照ください。

端末の位置情報をコンソールで地図表示したり、iPhoneの画面をコンソールに映したりするには、 端末からMobiControlサーバに、「接続」をさせる必要があります。 これに関しても、「チェックインと接続」を参照ください。

E. 端末の設定順序

MobiControl設定を、総覧的にご理解いただくためには「MobiControlの設定順序」 のページを、お読みください。
Apple製品の設定のためには、必ず、APNs証明書のインストールを実行してください。
端末OS共通の設定項目も、参照ください。