macOSユーザプロファイル

MobiControl v14 Manual


A. ユーザプロファイルとデバイスプロファイル

macOSコンピュータに適用する構成プロファイルには、2種類があります。
  1. ユーザプロファイル
  2. デバイスプロファイル
a.も、b.も、端末(macOSコンピュータ)または端末群(macOSコンピュータ群)に割り当て(適用)をします。
割り当てられた端末の挙動は、構成プロファイルの指定に従います。
同一の端末または端末群に、a.とb.の両方を割り当てることができます。
a.にも、b.にも、多くの設定項目(ペイロード)があります。
同一の設定項目が、a.の中にも、b.の中にもあります。右図の の部分に相当します。 同一の設定項目を、異なる値で設定した複数のプロファイルが適用された場合の結果は、予想がつきません。同一の設定項目を 複数のプロファイルで設定するのは避けるほうが良いでしょう。
a.はユーザレベルで適用され、b.はmacOSのシステムレベルで適用されます。
ユーザはログインアカウントが設定されていれば、異なる端末にもログインできます。同一のユーザプロファイルが異なる端末にも割り当てられていたら、 それは、共通に適用されます。
MobiControl設定を、総覧的にご理解いただくためには「MobiControlの設定順序」 のページを、お読みください。
端末OS共通の設定項目も、参照ください。

B. ネットワークアカウント

macOSコンピュータにログインできるアカウントには、「ローカルアカウント」と「ネットワークアカウント」の2種類があります。 「ローカルアカウント」は、ローカルマシンで、マシンのアドミン権限者が設定します。
「ネットワークアカウント」は、下記の手順で作成されます。
  1. ディレクトリサーバにユーザ登録
    MobiControlは、ディレクトリサーバとして、AD_DS(Active Directory Domain Service) 及び Apple OD(Open Directory)をサポートします。 MobiControlサーバとディレクトリサーバとの間のバインディング(紐づけ)として、LDAPプロファイルを作成しておきます。
  2. 端末(macOSコンピュータ)をディレクトリサーバとバインディング(紐づけ)
  3. ログイン画面でネットワークアカウントのIDとパスワードが入力できるように設定
2.項と3.項は、ローカルマシンのAdmin権限者が、個別に設定することもできますが、構成プロファイルを割り当てることで、多くの端末に対し、一斉設定をすることもできます。

ネットワークアカウントの場合、そのホームディレクトリを、サーバ側に持つことができます。ホームディレクトリとはユーザが作成したファイルの保存場所です。 メールの場合なら、発信済メール、受信済メールの格納場所でもあります。 この場合は、ネットワークアカウントで、どの端末にログインしても、ユーザの操作エキスペリアンスは同じになります。学校のコンピュータ教室などで、利用される利用シーンです。

ディレクトリサーバとしてAD_DSを使う場合は、ホームディレクトリをローカルマシン内のボリュームに設定することもできます。 この場合、端末(macBookなど)を、ディレクトリサーバと認証できない通信環境に持ち出しても、ユーザは端末にログインできるし、作業結果のファイルは、ローカルのホームディレクトリに 保存できます。

C. 設定のための基本メニュー

コンソール画面の左上の三本線アイコンをクリックすると、(図1)の基本メニュー画面が現れます。
(図1)
(図1)の「プロファイル」を選択すると、設定済みの構成プロファイルの一覧画面(図2A)又は(図2B)が現れます。
  • MobiControl v14.3以上の場合は、(図2A)が表示されます。
  • MobiControl v14.3未満の場合は、(図2B)が表示されます。

(図2A)
プロファイルの一覧 (MobiControl v14.3以上の場合)

右上の「新しいプロファイル」のアイコン(赤矢印)をクリックすると、端末のプラットフォームの一覧がプルダウンされます。 この中から「Apple」を選択すると、(図3)が現れます。

(図2B)
プロファイルの一覧 (MobiControl v14.3未満の場合)

(図2B)の上辺のタブで、「Apple」を選択し、更に「追加」(赤矢印)を押すと、(図3)が現れます。

D. 構成プロファイルに名前をつける

(図3)

名前欄に、構成プロファイルの名前を入力します。構成プロファイル内の構成や利用対象の組織名などを類推しやすい名前をつけるのがよいでしょう。
説明欄に、構成プロファイル内の構成や利用対象がより分かり易い記述を書き込みます。
構成プロファイルを更新した場合は、その履歴も記入しておくとよいでしょう。

E. 構成プロファイルのタイプを選択する

(図3)で、「タイプ」の右端をプルダウンすると、対象となるタイプの種類が現れます。 「macOS ユーザープロファイル」を選択します。
タイプの選択が終われば、「構成」タブを選択します。(図4)が現われます。

(図4)

F. macOS ユーザプロファイル・メニュー

(図4)で「追加」タブを選択すると、(図5)が現われます。

(図5)
macOS ユーザプロファイル・メニュー


(図5)で設定したい項目をクリックすると、各々の設定ダイアログがポップアップします。

G. 構成プロファイルの端末グループへの割り当て

各々の設定ダイアログでの設定が終わり、その「OK」ボタンを押すと、画面は(図6)に遷移します。
設定した設定項目のタイトルが挿入されました。

(図6)

(図6)で、再度「追加」ボタンを押すと、(図5)が再度ポップアップします。ここで他の項目を選択して、設定項目を追加することができます。
設定項目を追加する必要がない場合は、(図6)の下辺の「保存して割り当て」ボタンを押します。 (図7)がポップアップします。

(図7)

(図7)で、構成プロファイルの配布対象となる端末グループまたは端末を選択します。選択をするとチェックボタンが青くなります。 選択が終わると、下辺の「割り当て」ボタンを押します。これで、端末グループまたは端末の割り当てが完了します。
「割り当て」直後に、構成プロファイルは、端末(群)に送られ展開されます。端末は、この構成プロファイルに従って挙動するようになります。
Apple製品は、MobiControlサーバに常時は接続していません。それにも関わらず、構成プロファイルの「割り当て」後、すぐに、構成プロファイルが 端末に配布され適用されるのは、Apple APNSを利用するからです。詳しくは、iOS又はmacOSでのチェックインの仕組みを 参照ください。

H. 構成プロファイルの修正または項目の削除

(図6)の段階で、構成プロファイルの内容を修正したいときがあります。 その場合は、(図6)で、 設定した構成の項目を選択(背景色が変わる)してから、「アクション」をプルダウンすると、(図8)のように アクション項目が表示されます。 ここで、「編集」を選択すると、設定項目のダイアログが再度表示されるので、そこで、設定内容を修正します。

(図8)

「削除」は選んでいる設定項目のみを削除。「全てを削除」は、当該プロファイルの全ての設定項目を削除します。

I. 作成済の構成プロファイルへの働きかけ

(図2A)または(図2B)を参照ください。これは、作成済の構成プロファイルのリストです。
作成済の構成プロファイルに対し、各種の働きかけができます。

I-1. MobiControl v14.3以上の場合

(図2A)で、該当の構成プロファイルを選択すると、画面下辺に、(図9)のようなメニューが現れます。

(図9)

(図9)の右端の3点マークをクリックすると、(図10)のようにメニューが拡がります。
(図10)
働きかけの権限を持つコンソール管理者の変更または追加
適用を暫定停止した構成プロファイルの再インストール
割当をする端末グループを追加、又は削除
構成プロファイルの端末での削除
これから追加登録する端末に対しては、当該構成プロファイルを非適用
構成プロファイル適用の暫定的停止
構成プロファイルのコピー
プロファイル項目の内容の一部を修正して、 他の端末グループに割り当てる
構成プロファイルの設定内容の修正

I-2. MobiControl v14.3未満の場合

(図2B)で、該当の構成プロファイルにマウスを当てて、背景色をブルーにしてから、「アクション」タブをプルダウンします。 「アクション」タブをプルダウンすると、(図11)のようなプルダウンメニューが現われます。

(図11)

プロファイルの編集 構成プロファイルの設定内容の修正
プロファイルの割り当て 割当をする端末グループを追加、又は削除
プロファイルの複製 構成プロファイルのコピー
プロファイル項目の内容の一部を修正して、 他の端末グループに割り当てる
プロファイルを無効にする 構成プロファイル適用の暫定的停止
プロファイルの失効 これから追加登録する端末に対しては、当該構成プロファイルを非適用
プロファイルのインストールを再試行 適用を暫定停止した構成プロファイルの再インストール
プロファイルの削除 構成プロファイルの端末での削除
アクセス許可の編集 働きかけの権限を持つコンソール管理者の変更または追加
どの端末にも割り当ててない構成プロファイルは、「ドラフト」扱いです。「ドラフト」の構成プロファイルは、「名前」の後に、 ペンのマークがついています。

J. 高度な割り当て方法

(図7)の上部のタブで、「フィルター条件」、「ユーザグループターゲット」、「オプション」を選択すると、構成プロファイルを 高度な方法で割り当てることができます。

J-1. フィルター条件

構成プロファイルは、端末グループまたはAD_DS若しくはAD_FSのグループに割り当てますが、そのグループ内の特定のプロパティを持つ端末(群)には、適用したくないことがあります。
例えば、OSのバージョンが特定のバージョン番号以降の端末(群)のみに適用したい場合があります。 また、監視モードでない端末(群)のみに適用したい場合もあります。
次の「フィルタ条件の設定」をクリックしてください。

フィルター条件の設定

  • (図7)の上辺の「フィルター条件」のタブを選択すると、(図12)に画面遷移します。

    (図12)


    (図12)で「追加」ボタンを押すと、(図13)のように、「端末のプロパティ」か「付属情報」かの選択肢が現れます。

    (図13)


    「端末のプロパティ」または「付属情報」のどれでも、複数のフィルター条件を設定できます。 (図12)の赤矢印部分で、「全て」または「どれでも」の選択ができます。
    • 「全て」
      複数の条件があれば、その全ての条件に適合した場合にのみ、除外します。
    • 「どれでも」
      複数の条件のうち、一つだけでも適合したときに、除外します。

    (図13)で「端末のプロパティ」を選択すると、(図14)のように端末のプロパティの種類が列記されます。

    (図14)


    (図14)で除外したい端末のプロパティを選ぶと、その右に、「しきい値」を入力する欄が現れるので、適切な値を入力します。 (図14)のプルダウンメニューの「監視対象」とは、端末が 監視モード端末になっていることを指します。

    (図15)

    (図15)の例は、監視モードでない端末(監視対象がFALSEの端末)を除外する設定です。つまり、監視モードの端末のみに 適用することになります。

    (図14)の「付属情報」は、MobiControl管理者の任意で設定できる情報項目です。例えば、
    • 端末ユーザの役職名
    • 端末の購入日
    • 端末の資産台帳での資産番号
    • その他
    などです。これらの情報項目の値に基づいて、これに該当する端末を構成プロファイルを適用したり、逆に適用しないようにできます。

    フィルタ条件の設定が終わると、下辺の「割り当て」ボタンを押します。これで、端末グループまたは端末の割り当てが完了します。

J-2. ユーザーグループ ターゲット

AD_DS(Active Directory Domain Service)またはAD_FS(Active Directory Federation Service)のグループを、 構成プロファイルの配布対象として指定します。
その結果として、そのAD_DS(AD_FS)グループがマッピング(紐づけ)してある端末グループ(群)に、割り当てられます。
(図16)のように、端末グループの「マーケティング課」と「東京営業課」は、異なる部に属しているが、AD_DSまたはAD_FSでは、共通の「TOKYO」という グループにマッピングされているとします。
この場合、構成プロファイルをグループ名「TOKYO」に割り当てると、端末グループの「マーケティング課」と「東京営業課」の両方に割り当てることができます。
AD_DSのグループの端末グループへのマッピングは、端末登録ルールで設定しておきます。
(図16)
次の「ユーザーグループ ターゲットの設定」をクリックしてください。

ユーザーグループ ターゲットの設定

  • (図7)上辺の「ユーザーグループ ターゲット」タブを選択すると、画面は(図17)のように遷移します。

    (図17)

    ユーザグループを管理するサーバには、「ディレクトリサービス」と「識別サーバ」の2種類のカテゴリーがあります。

    「ディレクトリサービス」は、AD_DS(Active Directory Domain Service)や、Apple OD(Open Directory)などを指します。 予め、LDAP接続プロファイルを作成し、当該のディレクトリサーバとMobiControlサーバとの間をバインドしておきます。

    「識別サーバ」は、AD_FS(Active Directory Federation Service)などの識別サーバを指します。 予め、AD_FSとの接続プロファイルを作成し、当該の識別サーバとMobiControlサーバとの間をバインドしておきます。

    複数のサーバとバインドしてある場合は、の部分をプルダウンして、 対象となる「ディレクトリサービス」または「識別サーバ」を選択します。

    の部分に、構成プロファイルの配布先となるユーザグループ名を入力します。 グループ名の正確な文字列を知っておく必要はありません。(図17)の赤矢印部分に、文字列の最初の2文字を入力すると、 その文字列で始まるグループ名を表示してくれます。複数のADのグループに割り当てることができます。その場合は、そのグループ名を2行目以降に列記します。

    端末登録ルールで、選択したAD_DSのグループに対し、端末グループをマッピングしてなかった場合がありえます。その場合は、「このグループにマッピングする端末グループを 選択してください」とのポップアップがでて、画面は、(図7)に遷移します。そこで、マッピングするべき端末グループを選択します。 これで、AD_DSのグループ指定を経て、構成プロファイルの端末グループへの割り当てが完了します。

    (図18)
    AD_DSのグループに構成プロファイルを割り当てた例

     

    逆に、当該構成プロファイルを割り当てたくないADのグループがあるかもしれません。 例えば、端末をUSBポート経由でPCからデータを抜き取ることを不可能にする構成プロファイルを、ADの本社全体グループに割り当てたとします。 しかし、「情報システム部」に対応するADのグループには、例外として割り当てないことがあります。 その場合は、情報システム部に対応するADのグループを入力して、(図17)の下辺の「Excluded」をクリックします。
    割り当てが終わると、下辺の「割り当て」ボタンを押します。これで、端末グループまたは端末の割り当てが完了します。

J-3. オプション

構成プロファイルの取り扱いに関して、下記を指定できます。
  • 展開開始日時
    端末への展開を今すぐでなく、指定の日時に展開するとして、その日時を指定
  • 無効にする日時
    構成プロファイルの端末への展開後、いつかそれを無効にするとして、その無効になる日時を指定
  • 追加割り当て終了日時
    ある日時以降に登録する端末には、適用されないようにするとして、その日時を指定
  • 端末ユーザ操作で展開
    デフォルトでは自動インストールだが、端末ユーザの手動操作を経て展開するようにする
次の「オプションの設定」をクリックしてください。

オプションの設定

  • (図7)の上辺の「オプション」を選択すると、(図19)に画面遷移します。

    (図19)

    (図19)の設定項目説明
    インストール方法「自動」か「セルフサービス」を選択します。「自動」を選択した場合、下辺の「割り当て」ボタンを 押すと、構成プロファイルはすぐに端末に送られ、インストールされます。デフォルトは「自動」です。
    「セルフサービス」を選択すると、端末ユーザが操作しないと、インストールされません。 端末でアプリ利用中に、新しい構成プロファイルが適用されると、アプリ操作に支障がある場合に選択します。
    「セルフサービス」を選択した場合の 端末ユーザの操作方法は、「端末ユーザの任意の時刻にインストール」を参照ください。
    スケジュールされたアクション割り当て日時、無効日時、失効日時を予め設定しておきます。

    割り当て日 「自動」を選択すると、構成プロファイルはすぐに端末に送られ、インストールされますが、このオプションを選択すると、 今すぐでなく、後日に割り当てます。その日時を指定します。
    通信回線の輻輳(ふくそう)を避けて、夜間や週末に送信する場合に適用します。

    次のアップデートスケジュールにずらす 今すぐでなく、次の更新スケジュールの時に割り当てます。
    構成プロファイルを多くの端末に一斉に送ると、通信回線が輻輳し、他のオンライン業務に影響を与えると判断するときに適用します。 端末からのチェックインのときに送られるので、構成プロファイルの送信時刻が分散されます。

    無効日 ある日時以降に登録する端末には、適用されないようにするとして、その日時を指定します。 その日時までに適用した端末では、その後も有効に機能しつづけます。

    失効日 既に適用済の端末も含めて、構成プロファイルの機能が停止する日時を指定します。 但し、構成プロファイルが削除されるわけではありません。その後、再インストールすれば再度、構成プロファイルは有効になります。
    指定した時間フレームにアップデートスケジュールのプロファイル展開を制限する

    端末プロファイルが端末に届くと、デフォルトではすぐにインストールされます。 勤務時間帯に構成プロファイルのインストールが実行されると、端末操作に影響がある場合があります。
    そこで、端末に届いても、すぐにはインストールをせず、指定した曜日や日時にインストールするようにします。
    「追加」ボタンを押すと、(図20)がポップアップしますので、曜日と時間帯を指定します。

    (図20)

    時刻はUTC(協定世界時)で入力します。UTCは、日本時間より9時間遅れです。日本時間の22時は、UTCだと13時です。
    • 時間帯を指定した時刻になっても、「割り当て日」での指定時刻にまだ達していない場合があります。 その場合は、まだ、構成プロファイルは端末に届いていません。その場合は、端末は次のチェックインの時刻に、構成プロファイルをダウンロードして インストールします。
    • インストールの時間帯は、複数設定ができます。曜日別に時間帯を設定することができます。

K. 構成プロファイルが適用されているかどうかの確認

コンソールの端末一覧で、確認したい端末を選択し、上辺の「構成」タブを選択すると、当該端末に適用されている 構成プロファイルの一覧が表示されます。