ディレクトリ・サービスとの接続プロファイル

MobiControl v14 Manual


MobiControlサーバが、ディレクトリ・サービスのサーバにアクセス接続するための、接続プロファイルを作成します。 この接続を得て、MobiControlサーバは、ディレクトリ・サービスでの端末ユーザの属性情報を入手します。 属性情報とは、端末ユーザのUPN、メールアドレス、所属ドメイン、姓名などです。

A. MobiControlがサポートするディレクトリ・サービスの種類

MobiControlがサポートしているディレクトリ・サービスは、次の通りです。
  • AD_DS(Active Directory Domain Service)
    • オンプレミス
    • Azure AD
  • Apple OD(Open Directory)
  • HCL Domino(旧 Lotus/Domino または 旧IBM/Domino)
  • LDAP準拠サービス
MobiControlサーバとAD_DSサーバとの接続には、TCP389 とTCP636を開けておく必要があります。
但し、両方のサーバでの設定で、Port番号を変更することはできます。

B. オンプレミスのディレクトリ・サービスとの接続プロファイルの作成

オンプレミスのディレクトリ・サービスとの接続プロファイルのダイアログ(図1)を表示します。 (図1)の表示方法は、「H. ディレクトリ・サービスとの接続プロファイル設定画面の表示」を参照ください。

(図1)


(図1)の下辺の「新規」タブを押し下げると、「LDAP」か「AZURE」かの選択肢が現れます。 LDAPを選択します。
赤い背景色の欄に、文字列を入力します。
(図1)の項目説 明
名前接続するディレクトリサービスを特定する任意の文字列を入力します。端末登録ルールの作成、並びに、Exchange, WiFi及びVPNの構成プロファイルで、ここで入力した名前を選択することになります。
サーバーのタイプAD、OD、Domino、その他のLDAP準拠サービスかを選択
サーバアドレスMobiControlサーバからディレクトリサービスサーバにアクセスするときの、そのホスト名かそのIPアドレス
ポートサーバのポート番号。デフォルトは389。SSLを使う場合は636。両方のサーバが合致すれば変更は可能。
SSLを使用SSLを利用する場合にチェック
信頼できない証明書を許可自己署名証明書のサーバとSSLをする場合にチェックを入れる
認証タイプ
  • 匿名 
    MobiControlサーバからパスワード無しでディレクトリ・サービスのサーバにログイン
  • ベーシック 
    IDとパスワードで認証
  • 交渉 
    Microsoft Negotiate 手順での認証
ユーザMobiControlサーバがログインするときのログインユーザ名 
「ベーシック」か「交渉」を選択した場合に入力。 ディレクリーサービスにアクセスするときに、MobiControlサーバが、送信。
パスワードユーザ名に対応するパスワード
ベースDNログイン後、MobiControlサーバがどの配下のOU(Organization Unit)配下の情報を取得するかを、ベースDN(DN=Distinguished Name)といいます。 該当するou名を入力します。
紹介Referral機能を使うかどうかを指定します。 AD DS のReferrals
クラウドリンク・エージェント Cloud Link Agentを設定してない場合は、「なし」を選択
以上は、MobiControlサーバが、ディレクトリ・サービスのサーバにログインするための設定値です。

以下は、MobiControlサーバが、ディレクトリ・サービスから情報を収集する際の、定義を指定します。 通常は、デフォルトのままにしておきます。
グループ属性
IDグループのSID(セキュリティID)を取得するための検索フィルタを定義するためのキーワード
共通の名前共通の名前を取得するための検索フィルタを定義するためのキーワード
アカウント名アカウント名を取得するための検索フィルタを定義するためのキーワード
認証サーチパターングループ属性を取得するためのサーチ文字列
メンバーグループ属性のメンバーシップを取得するための検索フィルタを定義するためのキーワード
階層グループグループを検索するとき、検索フィルタの検索範囲を定義するためのキーワード
ユーザ属性
IDユーザのSID(セキュリティID)を取得するための検索フィルタを定義するためのキーワード
共通の名前共通の名前を取得するための検索フィルタを定義するためのキーワード
アカウント名アカウント名を取得するための検索フィルタを定義するためのキーワード
メールアドレスユーザのメールアドレス
認証サーチパターン
ユーザサーチパターンの登録ユーザ属性を取得するためのサーチ文字列
SSOユーザ検索パターンユーザのSSO(Sigle Sign On)情報を取得するためのキーワード
ユーザプリンシパル名ユーザプリンシパル名を取得するためのサーチ文字列
前に設定したパスワード前に設定したパスワード
名前
ミドルネームミドルネーム
電話番号ユーザの電話番号
付属情報1ユーザに関する情報1
付属情報2ユーザに関する情報2
付属情報3ユーザに関する情報3
全体の属性
オブジェクトクラスデフォルトは"objectClass" 代替は "objectCategory"  
オブジェクトクラス定義を表徴するID。オブジェクトクラスのID名
オブジェクトクラス グループ属性グループに関する検索のための検索フィルタを定義するキーワード
オブジェクトクラス ユーザ属性ユーザに関する検索のための検索フィルタを定義するキーワード
オブジェクト命名方式ルートDSE(Directory Server Entry)= 「ディレクトリサーバごとの公開情報」が含まれるエントリの属性を定義します。

MobiControlの端末一覧に、次の情報を端末プロパティとして表示できます。
「名」「ミドルネーム」「姓」「ID(objectSid)」「ドメイン名」「メールアドレス」 「付属情報1」「付属情報2」「付属情報3」
表示方法については、「端末一覧の端末プロパティの入れ替え」を参照ください。

C. AzureのAD_DSとの接続プロファイル

上記の(図1)または、(図2)のの左下の「新規」ボタンをプルダウンして「AZURE」を選択します。

(図2)

(図2)は、MobiControlサーバが、Azure ADにアクセスするときの接続プロファイルの作成画面です。
名前Azure ADとの接続プロファイルの名前。任意の名前を入力します。。端末登録ルールの作成、並びに、Exchange, WiFi及びVPNの構成プロファイルで、ここで入力した名前を選択することになります。
Azure GraphAPI アドレスAzure Graph API Addressを入力します。 デフォルトは、https://graph.windows.netです。
AzureテナントIDAzure ポータルの左インデックスで「プロパティ」を選ぶと、ディレクトリIDが表示されます。 これが、AzureテナントIDです。これを(図2)に転記。
アプリケーションIDAzureポータルで、「アプリの登録」のページに、Application ID欄が現れます。 これに現れる文字列をコピーして(図2)に貼り付けます。

C. ディレクトリ・サービスによる認証とMobiControlへの端末登録

次の種類の端末を、MobiControlに登録する際には、ディレクトリ・サービスによる認証を必要とするように、端末登録ルールを作成することができます。
  • iPhone、iPad、macOSコンピュータ
  • Android
  • Windows10
Windows10のMobiControlへの登録には、2種類があり、1つの登録方法では、ADによる認証が必要ですが、 もう1つの登録方法では、不要です。 2つの登録方法については、Windows Modern端末登録ルールの作成を参照ください。

端末登録ルールの作成プロセスで、(図3)のダイアログが現れます。

(図3)

(図3)の赤矢印部分をプルダウンすると、ディレクトリサービスのプロファイル名の一覧が表示されます。 その名前は、(図1)の冒頭の「名前」欄に入力した文字列です。

D. 認証サービスとMobiControlの機能

認証サービスには、ディレクトリサービス以外に、SAML2.0仕様のIDプロバイダがあります。 これらに対応するMobiControl機能との関係を、次表に示します。

ディレクトリサービスIDプロバイダ
(Azure IdP、Okta、PingFederateなど)
オンプレミスAzure AD
iPhone、iPad、Android、macOS
  • 端末登録時の認証
  • 端末の共用 注1
  • 構成プロファイルへの埋め込み 注2
Windows Modern

端末登録時の認証
構成プロファイルへの埋め込み 注2
セルフサービスポータル
コンソールへのログイン認証
  • 注1 端末の共用
    1台の端末を、異なる部門のユーザ間で共用する機能。認証サービスによる認証を得ることで、端末ユーザを変えることができる。端末ユーザが変わると、 端末の設定やアプリなどを、自動切換えできる。
  • 注2 構成プロファイルへの埋め込み
    メール、WiFi、VPNなどの構成プロファイルに端末ユーザのUPNやメールアドレスを自動的に埋め込んでから、端末に配布する機能。端末ユーザが、これらの設定操作をする必要がなくなる。
IDプロバイダによる認証を採用する場合には、IDプロバイダとの接続プロファイルを作成する必要があります。 詳しくは、「IDプロバイダの接続プロファイル」のページを参照ください。

E. ディレクトリ・サービスによる認証をするメリット

E-1. 端末の共用

上記の注1で述べましたが、MobiControl v14.4以上を利用する場合、会社支給端末の共用ができます。 この場合、MobiControlサーバが、端末ユーザを把握するために、認証サービスによる認証を行います。そして、端末のMobiControlへの登録を維持したままで、端末ユーザの変更を行います。
MobiControlサーバは、サインインしたユーザを把握して、 その人の所属部門(端末グループ)にバインドしている構成プロファイルやアプリを、切り替えます。

E-2. Active DirectoryのUPNやメールアドレスを構成プロファイルに埋め込んでから端末に配布

MobiControlサーバは、Exchangeメールの構成プロファイルを、端末に送ります。端末での設定作業を無くすためです。その 構成プロファイルには、端末ユーザのメールアドレスを埋め込んで送ります。 MobiControlサーバは、ディレクトリサービスであるActive Directoryから、各ユーザのメールアドレスを取得します。

Active Directoryによる認証を必要とする、WiFiやVPNがあります。MobiControlサーバは、各端末に向けて、WiFiやVPNの構成プロファイルを送り、端末ユーザの設定作業を軽減します。 その構成プロファイルには、各端末ユーザ毎のActive DirectoryのUPN(User Principal Name)を埋め込んで、端末に配布します。 MobiControlサーバは、Active Directoryから、UPNを取得します。UPNが、これらのWiFiやVPNにアクセスするときの、ログインIDになります。

Active Directoryへのパスワードも、構成プロファイルに埋め込んで配布します。但し、 パスワードの埋め込みは、端末登録後の10分以内に、構成プロファイルを配布することが前提になります。MobiControlサーバは、10分間しか、ディレクトリサービスでの 端末ユーザのActive Directoryパスワードを保存しないからです。

E-3. セルフサービスポータルにアクセス

端末を紛失した場合などでは、端末ユーザは、他のデバイスを使って、セルフサービスポータルにアクセスできます。 紛失した端末の地理的位置を把握できます。紛失端末の画面にメッセージ表示をし、コンタクト先の電話番号を表示できます。 リモートからの初期化(Wipe)も可能です。
夜間や週末に、MobiControl管理者を呼び出す必要がありません。詳しくは、セルフサービスポータル を参照ください。
セルフサービスポータルへのログインには、ディレクトリサービスまたはIDプロバイダによる認証を必要とします。 セルフサービスポータルへログインするのに使うデバイスが、ディレクトリサービスにアクセスできないネットワーク環境にある場合は、IDプロバイダによる認証を実施します。

E-4. MobiControlコンソールへのログイン認証を

MobiControlコンソールへのログインには、認証サービスによる認証を経るよう設定できます。「 E. ディレクトリサービスのユーザグループ、またはユーザを、コンソール管理者として登録」を 参照ください。IDとパスワードだけでのログインに比べて、セキュリティ強度を上げることができます。

F. ディレクトリ・サービス・サーバに接続できない端末でもMobiControlへの登録できる

(図4)

ディレクトリ・サービスによる認証を経て、端末をMobiControlに登録する際、端末は、ディレクトリ・サービスサーバにアクセスする必要はありません。 MobiControlサーバとディレクトリ・サービスサーバとの間の接続が可能であれば、登録できます。
端末からの登録申請アクセスがあれば、MobiControlサーバは、ディレクトリ・サービスサーバにアクセスして、端末から入力があった ログインIDとパスワードの真正性を問い合わせます。真正である旨のレスポンスがディレクトリ・サービスサーバからあれば、当該端末の 登録を許可します。MobiControlサーバは、ディレクトリ・サービスサーバにアクセスするときに、(図1)または(図2)で作成した、接続プロファイルを 使います。

従って、ディレクトリ・サービスサーバにアクセスできるネットワーク環境にない支店の端末でも、ディレクトリ・サービスによる認証を経て、 MobiControlに登録ができます。AD_DS(Active Directory Domain Service)では、ADのドメイン外の端末でも、MobiControlに登録できます

端末にプライマリーとセコンダリのアドレスを設定する方法
サーバ群へのiOSのアクセス順位
サーバ群へのAndroidのアクセス順位
DMZにあるMobiControlサーバは、イントラネット側からアクセスするためのプライベートアドレスと、インターネット側からアクセスするための パブリックアドレスを持ちます。また、MobiControl管理下の端末は、MobiControlのこの2つのアドレスを記憶させることができます。 端末が、イントラネット内にあればプライベートアドレスで、社外に持ち出した場合はパブリックアドレスで、MobiControlサーバにアクセスします。

ディレクトリサービスとして、AD_DSを使い、MobiControlサーバをDMZに設置する場合、(図5)のようにファイアウォールのポートを開通しておく必要があります。 SSL通信を行なう場合はTCP636.SSL通信を行わない場合はTCP389が必要です。

(図5)

G. 認証サービスでのユーザ名を、端末登録後に割り当て

端末をMobiControlに登録した後でも、認証サービスでのユーザ名を、端末に割り当てることができます。 端末一覧から該当端末を選ぶと、現れた端末の詳細パネルに、(図6)のようなセグメントが表示されます。

(図6)

(図6)の を押すと、ユーザ名の入力画面がポップアップします。これに入力します。
この際、MobiControlは、認証サービスにアクセスし、 該当のユーザ名が存在するかどうかの確認をします。従って、ユーザ名のプロファイル情報表示まで、やや時間がかかります。サーバのスペックにもよりますが、 60秒程度かかることもあります。
認証サービスに該当ユーザ名が見つかれば、(図6)に、ユーザのプロファイル情報が表示されます。

端末ユーザに、認証情報を入力して貰う方法もあります。
  1. 最初のキッティングの時は、認証サービスによる認証をスキップして、MobiControlに登録
  2. 端末ユーザに端末を手渡してから、認証サービスによる認証を必須とするように、端末登録ルールを修正
  3. コンソールで暫定的に、登録解除
  4. 端末で、再登録を要求するプロンプトメッセージが表示される
  5. 端末ユーザにより、再登録の操作をして貰う。その際に、認証サービスへのユーザ名とパスワード入力画面が 現れる
  6. 再登録が完了。MobiControlは、端末ユーザの認証サービスでの情報(UPN、メールアドレス、姓名など)を入手

H. ディレクトリ・サービスとの接続プロファイル設定画面の表示

コンソール画面の左上の三本線アイコンをクリックすると、(図7)のメニュー画面が現れます。
(図7)

 

(図7)の「システム中枢の設定」を選択すると、画面が遷移します。
その画面の左下は(図8)のように表示されます。

(図8)

(図8)で、「ディレクトリサービスの設定」の行の右端のレンチマーク をクリックすると、(図1)がポップアップします。


MobiControlのバージョンによっては、「ディレクトリサービスの設定」ではなく、「ディレクトリサービス接続」または「LDAP接続」と 表示されていることもあります。