MobiControlの利点

MobiControl v14 Manual

MobiControlは20年の歴史を持ちます。
その製品機能には、170ヶ国のお客様から寄せられた要望が凝縮しています。 
業務アプリのサイレント・インストールやサイレント・アップデートを行い、業務に必要なデータ、ファイル、コンテンツを的確に配布し、貴社の仕事の効率アップに寄与いたします。

MobiControlを導入すると、こんなことができるようになります

1. 端末画面のリモート操作、またはリモート・ビューができる

リモート端末の画面をコンソールに表示し、コンソールの操作で端末を操作できます。または、端末の操作により変化する画面を視ることができます。
アプリの運用指導やアプリのデバッグなどに威力を発揮します。
エクスプロラ・ツールで、コンソールの外部装置感覚で端末内のフォルダを開けることができます。 コンソールと端末との間でファイルのコピー/貼り付けなどもできます。画面変化を録画し、デバッグに参照できます。
リモート操作ができる端末OS
リモートビューができる端末OS
  • Android Plusとして設定したAndroid端末
    (Android4.2以降)
  • Android Enterpriseとして設定した一部のAndroid端末
  • Windows PC (Windows8.1以降)
  • Windows Embedded端末
    (Windows CE4.2以降)
  • Linuxデバイス
    (Ubuntu16.04LTS以降、Raspbian8.0以降)
  • Android Enterpriseとして設定した全てのAndroid端末(Android5.1以降)
  • iOS端末 (iOS11以降)
  • macOSコンピュータ
    (macOS10.12以降)
 

2. アプリのサイレント・インストールとサイレントアップデート

業務アプリを端末やPCにプッシュ配付し、サイレント・インストールができます。端末ユーザの手を煩わせません。 初回インストールだけでなく、アプリのバージョンアップにも威力を発揮します。 
端末にアプリを配布するには、「アプリ・カタログ」と「アプリ・パッケージ」の2手段が用意されています。

アプリ・カタログアプリ・パッケージ
概要端末にインストールさせるアプリの一覧表を端末で表示。
原則的に、端末ユーザがタップすることでインストール
無償提供されるPackage Studioを使って、アプリをパッケージ化します。 このパッケージはMobiControlーバからプッシュ配付され、サイレント・インストールされます。
対象となる端末OSiOS、macOS、Android、Windows PC Android、Windows PC、
Windows Embedded、Linux
サイレントインストールが可能なケース
  • iOS、macOS
    • 自社開発アプリで「必須」指定
    • Appストアアプリを監視モードに設定した端末でインストール
  • Android端末全般
    自社開発アプリで「必須」指定
  • Android Enterprise
    managed Google Playストアアプリで、「必須」指定
上の欄に記したOSの端末には、例外なく、サイレントインストールができます。
パッケージ配布をしない通常のMDM/EMMソリューションでは、Android Enterprise端末に対しては、社外秘のアプリもGoogle Playで限定公開をせざるを得ません。また、インターネットから隔離した閉域ネットワークにある端末には、アプリを配布する手段がありません。
 

3. Android端末の機能強化とセキュリティ対策がトップクラス

Android端末は、メーカーによって、その仕様は様々です。MobiControlは、各メーカーと協業して、 MDM/EMMの機能を高めてきました。これらの機能を有する端末モデルは、 Android Plusと呼ばれています。 
前述の「リモート操作」や「サイレント・インストール」だけでなく、例えば次のような機能を Android端末に提供します。
  • 社内サーバにアクセスするVPNのパラメータや認証方式のリモート設定
  • 会社メール・アカウントのリモート設定
 
その他、業務の効率化と情報漏洩防止のために様々な機能を用意しています。
  • 社内PCにUSBやBluetooth経由で接続しても、社内ファイルを取り出せないようにする。 カメラ機能やマイク機能は、社内では停止させる。
  • セキュリティ強度の弱いWEP方式のWiFi接続を禁止したり、IT部門が認めたWiFiしか接続させない。
  • 会社が認めたアプリしかインストールさせない。
  • 端末内ファイル単位での暗号化
    • SDカードやUSB経由でファイルを抜き取っても、他の端末ではそれを開けない
    • メール添付で外部に送っても、外部のデバイスでは開けない
  • 一定時間経っても無接続の端末は、時限爆弾的に、内部ファイルを削除。
    盗まれた端末のSIMカードを抜くなどしてネットワーク接続を切断されると、リモートWipeが不可能。 その際、端末は自律的にファイル削除をする。
  • スマートロックの禁止
    (スマートロックは、一定の条件下の端末では、パスワード入力をしなくてもロック解除ができる機能)
  • その他
Androidセキュリティ対策一覧」を参照ください。
現時点で、日本国内で入手できるAndroid Plus端末のメーカーとモデルは次の通り:-
  • Casio IT-G400 VR100 VR700 VT500
  • Panasonic Toughpad
  • SONY Xperia
  • Sharp AQUOS SH-M02
  • 京セラ DignoU
  • Asus
  • HTC
  • Huawei
  • Lenovo
  • LG Electronics
  • Nexus
  • Samsung
  • Zebra
  • ZTE
アルファベット順。ただし古い機種は、Android Plusに対応していません。  

 
Android Plusに対応していない 機種でない場合では、Android Enterpriseで設定します。 
Android PlusとAndroid Enterpriseの比較概要は、Androidの設定モードを参照ください。
 

4. iOS端末とmacOSコンピュータの効果的な活用を支援

アクティベーション(初期設定)のプロセスで、Appleは、iOS端末やmacOSコンピュータをMDMサーバに自動登録するDEP(Device Enrollment Program)サービスを提供しています。 DEP経由でMobiControlに登録(Enrollment)したiOS端末は、監視モード(Supervised Mode)となります。 監視モードのiOS端末に対しては、コンソール管理者が、その機能の設定値を決定できます。例えば、起動できるアプリを限定できます。
監視モードの場合、端末毎のApple IDの管理は不要になります。Apple IDの登録がなくても、Appストアからのアプリをダウンロードし、サイレント・インストールします。「iPhoneを探す」と同様に、端末の地理的位置を コンソールや端末ユーザのPCに表示します。端末画面は「紛失モード」になります。
MobiControlは、監視モードと非監視モードの各々に対するリモート設定やリモート監視を行います。
端末ユーザの仕事を支援するために、例えば次のような機能を提供します。
  • アプリのサイレント・インストールとサイレント・アップデート
  • 端末画面のリモートビュー
    端末の操作画面をコンソール管理者に見てもらい、操作方法に対する疑問を説明できる
  • 業務アプリが参照するデータファイルを定期的にサーバから送る。 または、業務アプリが生成するデータをサーバに吸い上げる。(「SDK for iOS」を当該アプリにアドオンする必要)
  • AD_DSを参照して登録した端末に対し、Exchangeアカウントが自動設定される
  • アプリ毎に紐づいたVPNが自動起動
  • コンテンツライブラリ
    コンソールで用意したファイル(MS Office文書など)や、コンテンツ(静止画、動画)を、端末でピックアップできる
  • その他

「タッチIDとパスコード」を有効にしたら、iOS端末の中身は暗号化されます。業務アプリが生成するデータファイルを、他のアプリで開くこともできません。 これに加えて、MobiControlは、次のようなセキュリティ機能を提供します。
  • リモートWipe
    端末側操作でリセット(Wipe)するには、Apple IDのパスワード入力を必要とするが、 コンソールからは、端末側操作の介在なくして、リモートWipeができる
  • 紛失モードにすることができ、端末の地理的位置をコンソールや、ユーザのセルフサービスポータルに表示する
  • iCloudへのデータバックアップを禁止
    自宅のPCでiCloudにアクセスし、端末内の業務ファイルを自宅PCに保存する危険を防止
  • ホストペアリングを禁止
    USB接続をして会社のPCのデータを端末にコピーするのを防止。または、自宅のPCに端末のデータを移すのを防止。
  • WiFiの指定
    会社指定のWiFi/SSIDしか接続させない
  • Bluetooth接続の禁止
 

5. Windows 10 のセキュリティ対策をサポート

  • 標的型攻撃対策 
    各PCに対する正常性構成証明書をMicrosoft HAS(Health Attestation Service)から入手し、もし正常性に異常があれば、MobiControlは 該当PCの切り分けと関係者へのアラートメール発信をします。 
    Windows10 は標的型攻撃に備え、各種のエンドポイント・セキュリティ対策を用意しています。例えば、各種サーバへのパスワード保存領域の密閉化などです。
  • 情報漏洩対策== WIP(Windows 情報保護) 
    ファイルを作成すると企業IDに紐づけられて暗号化されます。MobiControl管理下のPCでなら、そのファイルを開くことができ、情報共有できます。 しかし、そのファイルを社外に持ち出しても、MobiControl管理外のPCでは復号化できず、開くことができません。
  • ゼロディ攻撃対策 ==Windows Defender ATP 
    MobiControlは、管理化のWindows 10 PROのPCに、Defender ATP(Advanced Threat Protection)を一斉配付し、 サイレント・インストールをします。PC内に挙動センサーを設置し、 不審な挙動をするプロセスを見つけたら、Microsoftのクラウドサービスに検体を送り、未知のマルウェアを 検知します。
  • 端末盗難対策 == BitLocker 
    ボリューム単位で暗号化します。MobiControlは、BitLockerによる暗号化をしてないPCを検知し、切り分けることができます。
 

6. 企業/団体の組織階層に沿った管理

会社/団体の組織階層に沿ったグループ別に端末を登録し所属させます。
端末の機能設定や機能制限、及びアプリやファイルの配付で組織階層に沿った管理ができます。 上位階層(会社全体、本部単位)で設定すると、下位階層にもその設定値が反映されます。従って、下位階層での設定項目は大幅に減らせられます。 

会社/団体の各組織に所属登録された端末は、更に、仮想グループにも登録できます。 仮想グループとは、例えば、「内勤者」と「外勤者」のグループが考えられます。付属情報の付与により、「会社支給端末グループ」と「私物端末グループ」を 作ることも考えられます。それにより、配布するアプリや端末設定を変えることができます。 また、「iOS11未満だけ」や、「Android Enterprise Profile Owner Modeの端末だけ」や「Windows10 PROだけ」の仮想グループなども設定できます。 これらの端末のプロパティ別のグループは、端末に対する設定管理を便利にします。
 

7. ジオフェンス

端末に何らかの異常や変化があったときに、MobiControlは端末の所属グループを自動的に変更します。 変更先のグループの構成プロファイルで、例えば「カメラ機能停止」と設定してあれば 当該端末では、カメラ撮影ができなくなります。  
 
Android端末のアラートのトリガーの1つとして、ジオフェンス(仮想的な地理上の囲い)があります。 会社の事業所をジオフェンスとして登録しておけば、端末を事業所に持ち込んだときの情報漏洩対策上の機能制限を当該端末に加えることができます。 例えば、社内PCからUSBケーブル経由での情報抜き取りなどを不能にします。
 

8. ランチャーの設定

会社指定のランチャーを作成するツールを用意しています。
会社指定のアプリ、ファイルタイトル、Webページ、VPNアプリを画面に指定配置します。 端末メーカーが用意したホーム画面は表示させません。業務遂行をスムーズにする一方、 業務に不要なアプリの表示を隠します。
Android端末とWindows Classicとして設定したPC、及びWindows Embedded端末が対象
 

9. アラート発生端末の機能制限

情報漏洩のリスクや不具合につながる異常事態が端末で発生すると、端末の機能制限などの 対処を自動的に行います。そして関係者にメールで通報します。 
異常事態ではなくとも、端末内の特定データの値やIPアドレスによって、所属端末グループを移動することができます。 端末グループによって、適用される構成プロファイル、ルール、詳細設定が異なるので、 端末は、移動先の端末グループの設定値に従います。
 

10. アプリのデータファイルの定期更新

アプリが生成するファイルを、MobiControlサーバの各端末別のフォルダに定期的に吸い上げます。 これを社内業務システムに取り込みます。 
逆に、各端末の所定のフォルダにデータファイルを 一斉に送付します。端末のアプリがこれを参照します。
iOS端末の場合、当該アプリに「SDK for iOS」を当該アプリにアドオンする必要があります。
 

11. Active Directoryによる端末管理

  • 利用される企業/団体のAD_DS(Active Directory Domain Service)または AD_FS(Active Directory Federation Service)による認証を条件として、 端末のMobiControlサーバへの登録を許可するようにできます。
  • AD_DSまたはAD_FSの認証を得た端末宛の構成プロファイルの作成では、 マクロ文字列 %ENROLLED_UPN% を使うことができるようになります。 メール並びにAD_DS認証を要求するVPN及びWiFiの構成プロファイルでは、 端末ユーザの実際のUPNに変更されてから、端末に配布されます。個別端末毎の 構成プロファイル作成が不要になります。
 

12. 社内のリポジトリ・サーバから出先でもダウンロード

社内の部門別リポジトリ・サーバ(ファイルサーバ)から文書およびコンテンツを 安全にダウンロードできます。 このための専用アプリ(SOTI Hub)と、リバースプロキシ・プログラムは無償で提供されます。 
リポジトリ・サーバのプラットフォームは、WebDAVまたはSharePointです。  
 
端末の専用アプリに目的サーバのURLなどを、 MobiControlコンソール管理者によって設定しないとアクセスできません。 (端末ユーザは設定できません)  
ダウンロードしたファイルを、他の端末に送ったり、SDカードにコピーしたり、印刷することはできません。  
社外に居ても社内ファイルを参照することができるようになります。
 
モバイルデバイスやPCの有効活用や管理のために、 MobiControlは、上記以外にも多くの機能を提供します。
 
対象デバイスのOSバージョンや機種モデルによっては、上記通りには作動しない場合があります。ご了承ください。
 
端末にデータ、ファイル、コンテンツを送る方法には、4種類があります。

説明対象となる端末OS
ファイル同期ルール端末の指定フォルダとサーバの指定フォルダとのファイル送受。スケジュールベースで送受する。
送受操作に端末ユーザの介在不要。
端末からサーバ方向への送信も可能。
アプリが参照するデータまたはアプリが生成するデータを送受するのに適する。
  • iOS (但し、「SDK for iOS」をアドオンしたアプリ傘下のフォルダのみ)
  • Android、Windows Modern、Windows Classic、Windows Embedded、Linux
パッケージ端末の指定フォルダにプッシュ配信する。端末ユーザの介在不要。 Android、Windows Modern、Windows Classic、Windows Embedded、Linux
コンテンツライブラリコンソール管理者が、端末向けとしてアップロードしたファイルやコンテンツ。ダウンロードは、端末ユーザの任意。 iOSとAndroid
社内のリポジトリサーバ社内の通常のファイルサーバのファイルを、端末ユーザの任意で、ダウンロード。 端末側アプリとして、SOTI Hub(無償)をインストールしておく。iOSとAndroid