MobiControlの利点

MobiControl v14 Manual

2020年 7月 10日

MobiControlの前身となるPockControlは、2001年に出荷されました。MobiControlは2004年に出荷され、15年の歴史を持ちます。
その製品機能には、170ヶ国のお客様から寄せられた要望が凝縮しています。 
業務アプリのサイレント・インストールやサイレント・アップデートを行い、業務に必要なデータ、ファイル、コンテンツを的確に配布し、貴社の仕事の効率アップに寄与いたします。

MobiControlを導入すると、こんなことができるようになります

1. 端末画面のリモート操作、またはリモート・ビューができます

リモート端末の画面をコンソールに表示し、コンソールの操作で端末を操作できます。または、端末の操作により変化する画面を視ることができます。
アプリの運用指導やアプリのデバッグなどに威力を発揮します。
エクスプロラ・ツールで、コンソールの外部装置感覚で端末内のフォルダを開けることができます。 コンソールと端末との間でファイルのコピー/貼り付けなどもできます。画面変化を録画し、デバッグに参照できます。
リモート操作ができる端末OS
リモートビューができる端末OS
  • Android Plusとして設定したAndroid端末
  • Android Enterpriseとして設定した多くのAndroid端末
    但し、MobiControlエージェントに対するプラグインをメーカーが用意している端末
  • Windows PC (Windows8.1以降)
  • Windows Embedded端末
    (Windows CE4.2以降)
  • macOSコンピュータ
    (macOS10.12以降)
  • Linuxデバイス
  • Android Enterpriseとして設定した全ての端末
  • iOS端末 (iOS11以降)

2. アプリのサイレント・インストールとサイレントアップデート

業務アプリを端末やPCにプッシュ配付し、サイレント・インストールができます。端末ユーザの手を煩わせません。 初回インストールだけでなく、アプリのバージョンアップにも威力を発揮します。 
端末にアプリを配布するには、「アプリ・カタログ」と「ファイル同期ルール」及び「MobiControlパッケージ」の3手段が用意されています。
詳しくは、「MobiControlの設定順序 - アプリのサイレント・インストール」を参照ください。
  • App Storeアプリを除き、完全閉域網内の端末にもアプリを配布できます。
  • 公開アプリがアップデートされた場合は、自動アップデート、又はアップデートを促すポップアップを表示します。
  • 社内で開発したアプリは、Google Playに掲載することなく、MobiControlサーバから端末へ直接配布します。

3. Android端末の機能強化とセキュリティ対策がトップクラス

Android端末は、メーカーによって、その仕様は様々です。MobiControlは、各メーカーと協業して、 MDM/EMMの機能を高めてきました。これらの機能を有する端末設定モードは、 Android Plusと呼ばれています。 Android Plusとして設定した端末では、「リモート画面操作」が可能です。

Android Plus用のMobiControlエージェントが用意されてないメーカーの製品や端末モデルは、 Android Enterpriseとして設定します。Android Enterpriseのエージェントは、原則的に全てのメーカーの端末に適用できます。 殆どのAndroid Enterpriseモードの端末では、リモート画面ビューは可能ですが、リモート画面操作はできません。 しかし、多くの端末メーカーが、エージェントに対するプラグインを用意しています。 プラグインを付加すると、Android Enterpriseでも、リモート画面操作が可能になります。

Android PlusとAndroid Enterpriseの比較概要は、Androidの設定モードを参照ください。

MobiControlは、業務の効率化と情報漏洩防止のために様々な機能をAndroid端末に対して用意しています。
  • Bitlocker社のウィルス検疫サービス
  • 社内サーバにアクセスするVPNのパラメータや認証方式のリモート設定
  • 会社メール・アカウントのリモート設定
  • 社内PCにUSBやBluetooth経由で接続しても、社内ファイルを取り出せないようにする。 カメラ機能やマイク機能は、社内では停止させる。
  • セキュリティ強度の弱いWEP方式のWiFi接続を禁止したり、IT部門が認めたWiFiしか接続させない。
  • 会社が認めたアプリしかインストールさせない。
  • 端末内ファイル単位での暗号化
    • SDカードやUSB経由でファイルを抜き取っても、他の端末ではそれを開けない
    • メール添付で外部に送っても、外部のデバイスでは開けない
  • 一定時間経っても無接続の端末は、時限爆弾的に、内部ファイルを削除。
    盗まれた端末のSIMカードを抜くなどしてネットワーク接続を切断されると、リモートWipeが不可能。 その際、端末は自律的にファイル削除をする。
  • Android Plusの電話規制
    ブラックリスト/ホワイトリストを設定し、発呼/着呼を制限
  • Android Enterpriseの電話規制
    発呼の全面禁止
  • スマートロックの禁止
    (スマートロックは、一定の条件下の端末では、パスワード入力をしなくてもロック解除ができる機能)
  • その他
Androidセキュリティ対策一覧」を参照ください。
Android Plus の端末エージェントが用意されているどうかのチェック
Android Enterprise のプラグインが用意されているかどうかのチェック
を参照ください。

4. iPhone、iPad、macOSコンピュータの効果的な活用を支援

アクティベーション(初期設定)のプロセスで、Appleは、iPhone、iPad、macOSコンピュータをMDMサーバに自動登録する ABM(Apple Business Manager)サービスを提供しています。ABMは、旧DEPの後継サービスです。

ABM経由でMobiControlに登録(Enrollment)したApple製品デバイスは、監視モードとなります。 監視モードにするメリットについては、監視モード(Supervised Mode)を参照ください。

監視モードのデバイスに対しては、コンソール管理者が、その機能の設定値を決定できます。例えば、起動できるアプリを限定できます。

監視モードの場合、端末毎のApple IDの管理は不要になります。Apple IDの登録がなくても、Appストアからのアプリをダウンロードし、サイレント・インストールします。「iPhoneを探す」と同様に、端末の地理的位置を コンソールや端末ユーザのPCに表示します。端末画面は「紛失モード」になります。

MobiControlは、監視モードと非監視モードの各々に対するリモート設定やリモート監視を行います。

端末ユーザの仕事を支援するために、例えば次のような機能を提供します。
  • アプリのサイレント・インストールとサイレント・アップデート
  • 端末画面のリモートビュー
    端末の操作画面をコンソール管理者に見てもらい、操作方法に対する疑問を説明できる
  • 業務アプリが参照するデータファイルを定期的にサーバから送る。 または、業務アプリが生成するデータをサーバに吸い上げる。(「SDK for iOS」を当該アプリにアドオンする必要)
  • AD_DSまたは Azure IdPなどのIDサービスによる認証を得て登録した端末に対し、Exchangeアカウントが自動設定される
  • アプリ毎に紐づいたVPNが自動起動
  • コンテンツライブラリ
    コンソールで用意したファイル(MS Office文書など)や、コンテンツ(静止画、動画)を、端末でピックアップできる
  • その他

iOS端末の中身は暗号化されています。業務アプリが生成するデータファイルを、他のアプリで開くこともできません。 これに加えて、MobiControlは、次のようなセキュリティ機能を提供します。
  • リモートWipe
    端末側操作でリセット(Wipe)するには、Apple IDのパスワード入力を必要とするが、 コンソールからは、端末側操作の介在なくして、リモートWipeができる
  • 紛失モードにすることができ、端末の地理的位置をコンソールや、ユーザのセルフサービスポータルに表示する
  • iCloudへのデータバックアップを禁止
    自宅のPCでiCloudにアクセスし、端末内の業務ファイルを自宅PCに保存する危険を防止
  • ホストペアリングを禁止
    USB接続をして会社のPCのデータを端末にコピーするのを防止。または、自宅のPCに端末のデータを移すのを防止。
  • WiFiの指定
    会社指定のWiFi/SSIDしか接続させない
  • Bluetooth接続の禁止

5. Windows 10 のセキュリティ対策をサポート

  • 標的型攻撃対策 
    Windows10 は標的型攻撃に備え、各種のエンドポイント・セキュリティ対策を用意しています。
    例えば、 「仮想セキュアモード」です。これは、社内サーバへのアクセス資格情報(IDとパスワード)を、OSとしての Windowsとは、別の領域に格納します。攻撃者が、エンドポイントPCに侵入しても、この領域にはアクセスできません。そして、社内サーバへの侵入を阻止することができます。

    MicrosoftのDHA(デバイス正常性構成証明サービス)は、エンドポイントPCが、攻撃に備えて、正常に構成されているかどうかをチェックします。 そして、DHAは、MobiControlに対し、正常性構成証明書を送ってきます。 MobiControlは、各PC毎の正常性構成証明書を、コンソールに表示します。
    前述の「仮想セキュアモード」になっているか否かも、正常性構成証明書の チェック項目の1つです。
    MobiControlは、正常性構成証明書に異常があれば、アラートメールを送ることができます。
  • 情報漏洩対策== WIP(Windows 情報保護) 
    ファイルを作成すると企業IDに紐づけられて暗号化されます。MobiControl管理下のPCでなら、そのファイルを開くことができ、情報共有できます。 しかし、そのファイルを社外に持ち出しても、MobiControl管理外のPCでは復号化できず、開くことができません。
  • ゼロディ攻撃対策 ==Microsoft Defender ATP 
    Microsoft Defender ATPは、MicrosoftのEDR(Endpoint Detection & Response)ソリューションです。 Microsoft Defender ATPは、PC内での振る舞い(挙動)に着目して、マルウェアを検知します。 シグネチャベースのマルウェア対策ソフトを、すり抜けてきたマルウェアを検出します。又、攻撃の予兆も検出します。

    MobiControlは、パッケージを送り、エンドポイントのPCを、Microsoft Defender ATPに、自動オンボーディングすることができます。

    また、Microsoft Defender ATPにて、不審なエンドポイントだと判定されたエンドポイントを隔離し、アラートメールをCSIRT関係者に発信します。
  • 端末盗難対策 == BitLocker 
    ボリューム単位で暗号化します。MobiControlは、BitLockerによる暗号化をしてないPCを検知し、切り分けることができます。

6. 企業/団体の組織階層に沿った管理

会社/団体の組織階層に沿ったグループ別に端末を登録し所属させます。
端末の機能設定や機能制限、及びアプリやファイルの配付で組織階層に沿った管理ができます。 上位階層(会社全体、本部単位)で設定すると、下位階層にもその設定値が反映されます。従って、下位階層での設定項目は大幅に減らせられます。 
逆に、特定の下位階層(課単位、チーム単位)のみに設定したい設定項目もありえます。その場合は、下位階層の端末グループに設定します。

会社/団体の各組織に所属登録された端末は、更に、仮想グループにもコピー登録できます。 仮想グループとは、

リアルな端末グループとは別に、仮想端末グループを作成できます。
端末は、様々な端末プロパティを持ちます。Apple端末なら「監視モード」か「非監視モード」か、Android端末なら、端末機種が異なります。 スマホかタブレットの違いもあります。
リアルな端末グループは、会社/団体の組織階層に沿って作成しますが、 これらの端末プロパティに着目して、仮想端末グループを作成することもできます。

端末は、リアルな端末グループに属する一方、設定された仮想端末グループに、自動的にコピー登録されます。

そして、仮想端末グループ別に、アプリカタログルールなどのルールを適用します。
そうすると、端末プロパティに適合したアプリを配布できるようになります。

7. ランチャーの設定

会社指定のランチャーを作成するツールを用意しています。
会社指定のアプリ、端末内ファイルへのショートカット、Webクリップ、VPNアプリを画面に指定配置します。 端末メーカーが用意したホーム画面は表示させません。業務遂行をスムーズにする一方、 業務に不要なアプリの表示を隠します。
Android端末、Windows Classicとして設定したPC、及びWindows Embedded端末が対象です。

8. 閉域網でも、端末を管理

インターネットから隔離された閉域網にある端末に対し、MobiControlサーバからアプリの配布を行い、様々な機能設定ができます。端末ステータス情報やアラート情報を入手できます。
プラットフォームセットアップのときセットアップ後の運用管理
(アプリやファイルの配布、
端末ステータス収集など)
Apple端末 次の例外ポートを許容する閉域網
  • *.apple.com に対する
    TCP443Outbound
  • APNsに対する
    TCP5223 Outbound
次の例外ポートを許容する閉域網
  • APNsに対する
    TCP5223 Outbound
  • App ストアに対する
    TCP443 Outbound(オプション)
Android Plus 完全閉域網 完全閉域網
但し、ウィルス検疫は断念
Android Enterprise完全閉域網でのセットアップが可能だが、 Google サービスに対するOutboundポートを 許容するネットワークでのセットアップが簡便
Windows Modern 完全閉域網でのセットアップと運用が可能だが、
TCP443 OutboundポートでのWNSアクセスを許容する閉域網が望ましい。
DMZに、オンプレミスのWSUSサーバ、DHAサーバ設置が望ましい。
Windows Classic
Windows Embedded
Linux
完全閉域網 完全閉域網

オンプレミスのMobiControlサーバは、次の外部サーバとの交信のために、DMZに設置することを推奨します。
  • Apple APNS(必須)
  • SOTI Serviceサーバ
  • Google PlayとGoogle FCM
  • WNS
  • Bing Map

詳しくは、「閉域網Firewallのポート番号とURL」を参照ください。

9. セキュアなブラウザ

セキュアなブラウザ、SOTI Surfが使えます。 SOTI Surfを使うと、次のメリットがあります。
  • アクセス先の限定
    次の a. か b. を選択します。
    1. フィルタリング会社の分類により、アクセスできるコンテンツを限定する。
      Android端末の場合、更に、日付順のアクセス履歴を、コンソールで取得できます。
      いつどこにアクセスしたかを把握できます。
    2. URL入力欄を非表示にして、SOTI Surfのホーム画面に表示したWebクリップに限定。または、アクセス可能先をMobiControl管理者が指定したブックマークのみに限定。
  • ADやIdPによるユーザ認証を経て、社内共用のリポジトリサーバにアクセス。
  • iOS端末の場合、SOTI Surfの起動中は、MobiControlサーバへの接続を維持します。
    接続中はコンソールでの端末画面シェアができます。
    接続頻度が多くなるので、コンソールに地図表示できるiOS端末の位置が、より直近の位置になります。
SOTI Surfを、デフォルトブラウザとして、設定することを、お勧めします。

10. ジオフェンス

端末に何らかの異常や変化があったときに、MobiControlは端末の所属グループを自動的に変更します。 変更先のグループの構成プロファイルで、例えば「カメラ機能停止」と設定してあれば 当該端末では、カメラ撮影ができなくなります。

Android端末のアラートのトリガーの1つとして、ジオフェンス(仮想的な地理上の囲い)があります。 会社の事業所をジオフェンスとして登録しておけば、端末を事業所に持ち込んだときの情報漏洩対策上の機能制限を当該端末に加えることができます。 例えば、社内PCからUSBケーブル経由での情報抜き取りなどを不能にします。

11. アラート発生端末の機能制限

情報漏洩のリスクや不具合につながる異常事態が端末で発生すると、端末の機能制限などの 対処を自動的に行います。そして関係者にメールで通報します。 
異常事態ではなくとも、端末内の特定データの値やIPアドレスによって、所属端末グループを移動することができます。 端末グループによって、適用される構成プロファイル、ルール、詳細設定が異なるので、 端末は、移動先の端末グループの設定値に従います。

12. アプリのデータファイルの定期更新

アプリが生成するファイルを、MobiControlサーバの各端末別のフォルダに定期的に吸い上げます。 これを社内業務システムに取り込みます。 
逆に、各端末の所定のフォルダにデータファイルを 一斉に送付します。端末のアプリがこれを参照します。
iOS端末の場合は、当該アプリに「SDK for iOS」を当該アプリにアドオンする必要があります。

13. 端末の共用 (ユーザが変わると、端末設定が自動変化)

従業員全員に、会社支給端末を配布することが困難な場合があります。 この場合、1台の端末を、複数の従業員によって共用することができます。

「6. 企業/団体の組織階層に沿った管理」にて記したように、端末は、所属する端末グループによって、 その「構成プロファイル」、「ルール」、「端末の詳細設定」、「アプリ」が異なります。

共用端末では、端末ユーザが変わると、その端末ユーザが所属する端末グループの設定に、 端末の設定が自動変更されます。例えば、前のユーザでは、VPNが設定されていたが、次のユーザではそれが使えなくなり、 替わりに、ランチャーが起動するというようなことができます。

ユーザの切り替えは、AD_DS(Active Directory Domain Service)などのディレクトリサービス、または、 Azure IdPなどのIDプロバイダで、本人認証することで、MobiControlサーバに認識させます。

14. リポジトリ・サーバから出先でもダウンロード

リポジトリ・サーバ(ファイルサーバ)から文書およびコンテンツを 安全にダウンロードできます。 このための専用アプリ(SOTI Hub)と、リバースプロキシ・プログラムは無償で提供されます。

オンプレミスのリポジトリ・サーバとして、WebDAVまたはSharePointをサポートしています。

端末の専用アプリに目的サーバのURLなどを、 MobiControlコンソール管理者によって設定しないとアクセスできません。 (端末ユーザは設定できません)  
ダウンロードしたファイルを、他の端末に送ったり、SDカードにコピーしたり、印刷することはできません。  
社外に居ても社内ファイルを参照することができるようになります。

MobiControl v14.4では、次のリポジトリサービスをサポートしています。
  • NTFS ファイルサーバ (IIS WebDAV サーバ経由)
  • SharePoint 2013 (オンプレミス)
  • SharePoint Online
  • OneDrive
  • OneDrive for Business
  • Box
  • Nextcloud

モバイルデバイスやPCの有効活用や管理のために、 MobiControlは、上記以外にも多くの機能を提供します。
 
対象デバイスのOSバージョンや機種モデルによっては、上記通りには作動しない場合があります。ご了承ください。
 
端末にデータ、ファイル、コンテンツを送る方法には、4種類があります。

説明対象となる端末OSまたは設定モード
ファイル同期ルール端末の指定フォルダとサーバの指定フォルダとのファイル送受。スケジュールベースで送受する。
送受操作に端末ユーザの介在不要。
端末からサーバ方向への送信も可能。
アプリが参照するデータまたはアプリが生成するデータを送受するのに適する。
Android、Windows Modern、Windows Classic、Windows Embedded、Linux
iPhoneとiPadの場合は、「SDK for iOS」をアドオンしたアプリ傘下のフォルダのみが可能です。
パッケージ端末の指定フォルダにプッシュ配信する。インストールに関しては、端末ユーザの操作不要。 Android、Windows Modern、Windows Classic、Windows Embedded、Linux
コンテンツライブラリコンソール管理者が、端末向けとしてアップロードしたファイルやコンテンツ。ダウンロードは、端末ユーザの任意。 iPhone、iPad、Android
リポジトリサーバ社内の通常のファイルサーバのファイルを、端末ユーザの任意で、ダウンロード。 端末側アプリとして、SOTI Hub(無償)をインストールしておく。iPhone、iPad、Android