閉域網Firewallのポート番号とURL

MobiControl v14 Manual






Firewallで保護された
社内WiFiのみに接続している端末や、事業所内LANに接続しているPCを、MobiControlを利用して運用管理する場合があります。
閉域SIMサービスに加入しているスマホもあります。それらの閉域網のFirewallで許可しておくべきポート番号や宛先URL等を説明します。






A. Android端末とFirewall




Android端末を閉域網に置いて運用する場合の、Firewallで許可するポート番号を(図1)に示します。


許可することが必須のポートとオプションのポートがあります。

もし、MobiControlサーバを、貴社のDMZに設置し、オプションサービスとの接続を断念するならば、
Android端末は、完全閉域網に置いて運用をすることができます。許可するポートを
(図1)での、 の443と5494に限定できるからです。

MobiControlによる完全閉域網内のAndroid端末の管理運用は、国内でも多くの実績があります。
数万台規模のAndroid Plus と Android Enterprise での運用事例が、数多くあります。

但し、Android Enterpriseは、それをセットアップする時だけ、Port443(Outbound) 経由でIPアドレス 173.194.* へ
アクセスできるネットワーク環境に置いておくのが簡易なセットアップ方法です。IPアドレス 173.194.* の宛先は、Googleのサービスサイトです。


(図1)








 説明を開いた状態

 説明を閉じた状態





(図1)の からの詳細は、
下記のをクリックください。









 

 端末とMobiControlサーバとの交信




  • 

    


    


    Portsトランスポート層
    プロトコル    		アプリケーション層
    プロトコル    		
方向宛先
    

    443TCPhttps端末から見て
    Outbound    		
MobiControlサーバの
    URLまたはIPアドレス
    (プロキシ不可)
    

    5494TCPBinary
    MobiControl独自プロトコル
    

    

      
Windows EmbeddedとWindows Classic
    の場合は、プロキシ可能

    
端末のMobiControlエージェントは、端末登録時に、MobiControlサーバのURLを記憶しておきます。そして、端末起動時にMobiControlサーバに接続にいきます。
    
その上で、チェックインのトリガーが働くと、MobiControlサーバと端末との間で
ファイル、データ、コマンドを送受します。

    

      

    • URL または IPアドレス
      
SaaSの場合は、弊社からURLをご連絡します。
      
オンプレミスの場合は、貴社のDNSが名前解決できるURLとします。
オンプレミスの場合は、FQDNのURLでなく、IPアドレスのみによる接続も
可能ですが、サーバのIPアドレスが、将来変更になった場合、全ての端末を
登録しなおす面倒が生じます。Private DNSによるFQDN形式のURLを
お勧めします。

    • Port5494
      
MobiControlサーバは、接続している端末に、テストメッセージを、Port5494経由で送っています。
デフォルトでは60秒間隔です。
      

ブラウザブラグインを使っての、端末画面のリモート操作(リモートビュー)では、
端末は、Port5494経由で、画面情報をサーバ/コンソールに送ります。

    • 
端末は、MobiControlサーバに常時接続しているのが、デフォルトです。
オフラインの場合は、それをオンラインにするようにしてください。「端末のオフライン対策」
を参照ください。


    • 
端末が、どのようなトリガーで、MobiControlサーバにチェックインをするかは、
「チェックイン。3種類のトリガー」を参照ください。

    


    


    

    


    








 

 MobiControlサーバからSOTI Servicesへ




  • 

    


    


    Portsプロトコル方向宛先
    

    443TCPOutbound(表1) または (表2)並びに(表3)参照
    

    

MobiControlサーバから、SOTI Servicesへアクセスすることを許可しておきます。
SOTI Servicesは、(表1)で示すように4種類の Serviceから構成されます。
URLベースで許可する場合は、(表1)のURLをFirewallで許可ください。


    (表1)
    

    


    サービス名対応するURL

    Activation Serviceactivate2.soti.net
    

    
MobiControlサーバのライセンスコードを更新したときに、Activation Serviceから、そのライセンスコードの
真正性を認証してもらいます。登録した端末台数の増減情報を、MobiControlサーバからActivation Serviceに送ります

    

    

    Agent Builder Serviceactivate2.soti.net
    

    
Windows Embedded端末、及び、Windows Classic PCの端末登録ルール作成の都度、MobiControlサーバは、
Agent Builder Serviceに、エージェントの生成を依頼し、それを受け取ります。
コンソールは、これをMobiControlサーバからダウンロードし、登録しようとする
端末やPCにてインストールします。

    

    Enrollment Servicemc-enroll.soti.net
    

    
端末登録ルールを作成したら、MobiControlサーバは、Enrollment Serviceに通告します。
Enrollment Serviceは、その端末登録ルールに紐づけられる登録IDをサーバに送り返してきます。

    

    


    Location Servicemobicontrolservices.soti.net
    

    
端末から送られてきた緯度経度情報(テキスト情報)を、MobiControlサーバは、SOTIのLocation Serviceサーバに送ります。
    
Location Serviceは、緯度経度情報をもとに、Bing Mapサイトへの問い合わせデータを生成し、MobiControlサーバに送ります。
    
MobiControlサーバは、それを、Bing Mapサイトに送ります。そしてBing Mapサイトから位置に関するポインティング情報を、受け取ります。

    
コンソールは、Bing Mapから地図(画像)ダウンロードし、これにMobiControlサーバから受領した位置に関するポイント情報を描画します。

    


    Download Serviceactivate2.soti.net
    agentdservice.s3.amazonaws.com
    

    
MobiControlサーバが、Android Plus 並びに、Android Enterprise及びAndroid Plusの
最新プラグインを、取り込むためのサイトです。 取り込むためには、コンソールオペレータが、
下記の(図2)を開いて、SOTI からMobiControlサーバへ取り込みます


    

    

IPアドレスベースで許可する場合は、(表2) 及び (表3)のIPアドレスをFirewallで許可ください。


    (表2)
    

    


    13.248.157.19 (表1)で記述した *.soti.net のURLのどれかへのコールをMobiControlサーバが指向すると、左欄のどれかのIPアドレスが割り当てられます。
    
ロードバランシングをしています。
    URLとIPアドレスが、固定的にはバンドルされていません。
    


    54.208.149.103
    

    54.208.194.169
    

    54.209.62.205
    

    54.209.186.178
    

    54.209.186.251
    

    54.209.207.237
    

    76.223.23.230
    

    75.2.25.8
    

    99.83.149.241
    


    
(表1)の「Download Service」のために、MobiControlサーバは、(表3)のURLのどれかにアクセスします。


    (表3)
    

    


    IPアドレス
    

    activate2.soti.net(表2)を参照
    

    agentdservice.s3.amazonaws.com52.216.0.0/15  
    (subnet mask 255.254.0.0)
    

    

(図2)は、Android Plus 並びに、Android Enterprise及びAndroid Plusの最新プラグインを、SOTI Download ServiceからMobiControlサーバへ、取り込むための画面です。


    (図2)
    


    
「ローカルバージョン」の列の値が、MobiControlサーバに
格納しているエージェントのバージョン、「最新のバージョン」の列の値が、(表3)のサイトから得たSOTI側で格納しているエージェントのバージョン情報です。「更新」を押すと、
MobiControlサーバに最新エージェントを取り込めます。
    
詳しくは、下記を参照ください。








 

 端末からSOTI Servicesへ




  • 

    

    


    Portsプロトコル方向宛先
    

    443TCPOutboundmc-enroll.soti.net または (表2)
    

    

端末のMobiControlエージェントに、登録用URLでなく、登録IDを入力して、MobiControlサーバに登録するようにしたい場合に限り、
mc-enroll.soti.netへのアクセスをFirewallで許容しておきます。
これは、(表4)で、黄色の場合です。
    


    (表4)
    

    



    		端末からmc-enroll.soti.netへのアクセスを
    

    許容禁止
    

    登録用URL入力で登録
    

    登録ID入力で登録
    

    
黄色の場合、端末からSOTIのEnrollment Service(url: mc-enroll.soti.net)にアクセスし、登録IDに照応する登録用URLを取得してから、そのURLでMobiControlサーバに
アクセスし、登録を申請します。
    
その仕組みについては、
「B-3. 登録IDから登録用URLを取得」
を参照ください。
    
(表4)で、水色の場合は、端末からSOTIのEnrollment Serviceにアクセスする必要はありません。その登録用URLを以って、直接、MobiControlサーバに
アクセスし、登録を申請します。
    


    
mc-enroll.soti.netへのアクセスを、
IPアドレスベースで許可する場合は、(表2)のIPアドレスをFirewallで許可ください。


    (表2)再掲
    

    


    13.248.157.19 
端末から、mc-enroll.soti.net へのアクセスを指向すると、
左欄のどれかのIPアドレスが割り当てられます。
    
ロードバランシングをしています。
    URLとIPアドレスが、固定的にはバンドルされていません。
    


    54.208.149.103
    

    54.208.194.169
    

    54.209.62.205
    

    54.209.186.178
    

    54.209.186.251
    

    54.209.207.237
    

    76.223.23.230
    

    75.2.25.8
    

    99.83.149.241
    

    

(表2)の全てのIPアドレスを許可してください。ロードバランシングの目的で、(表2)のどれかのIPアドレスで、接続をします。


    









 

 Bing Map




  • 

    

    


    Portsプロトコル方向宛先
    

    443TCPOutbound www.bing.com/maps
    

    

コンソールに、端末の地理的位置を地図表示するようにしたい場合には、MobiControlサーバからBing Mapサイトへのアクセスを許可しておきます。
    
Android端末の過去の移動位置履歴や、現在の位置を、コンソールで地図表示する仕組みは、
「端末の位置表示の仕組み」を参照ください。


    









 

 Google Play ストア




  • 

    

    


    Portsプロトコル方向宛先
    

    443TCPOutbound (表5)参照
    

    5228
    5229
    5230    		TCP
    UDP
    

    

Playストアからアプリを直接ダウンロードすることを、端末に許可する場合には、Google宛URL、またはIPアドレスレンジを、
Firewallで許可しておきます。端末側とMobiControlサーバ側の両方のFirewallで、(表5)のURLまたはIPアドレスを許可しておきます。
    


    

    (表5)
    

    


    URL
play.google.com 
    
android.com 
    
google-analytics.com 
    
googleusercontent.com
    
*gstatic.com
    
*gvt1.com 
    
*.ggpht.com 
    
dl.google.com 
    
dl-ssl.google.com
    
android.clients.google.com
    
*gvt2.com
    
*gvt3.com
    
*.googleapis.com

    

    IPアドレス
Googleに依って管理されているAS番号15169に、割り当てられたIPアドレスリストをFirewallのホワイトリストとします。
下記リンクは、Hurricane Electronic社のAS番号15169でのIPアドレスリストです。
    
AS15169 Google LLC
    
これら、IPアドレスは、数が多く、頻繁に変更するので、少なくとも月に1回は、貴社Firewallでの
設定変更が必要になります。

    

    

    

    
MobiControlサーバ側から、Google Playサーバにアクセスするのは、アプリカタログを作成するのが目的です。

    

Android Enterprise端末に対して、Playストアからダウンロードできるアプリは管理者用Googleアカウント保有者によって、指定制限できます
    
(表5)のURLに関しての典拠は、Googleのドキュメント
「 Android Enterprise Network Requirements」

の「Devices」の項を参照ください。
    

    

    









 

 Googleプッシュ通信サービス




  • 

    


    


    Portsプロトコル方向宛先
    

    443、5228、5229、5230TCPOutbound (表6)参照
    

    
Android端末は、MobiControlサーバに、原則的に常時接続しています。
    
しかし、なんらかの理由で切断している場合があります。その場合は、
Googleプッシュ通信サービス(FCM = Firebase Cloud Messaging)を利用します。
Googleプッシュ通信サービスを利用する場合には、
Google宛URLを、Firewallで許可しておきます。端末側とMobiControlサーバ側の両方のFirewallで、(表6)のURLまたはIPアドレスを許可しておきます。


    (表6)
    

    


    URLベースで制限する場合
fcm.googleapis.com
    
fcm-xmpp.googleapis.com
    
Googleのドキュメント
「 Android Enterprise Network Requirements」
の「Devices」の項を参照ください。


    

    IPアドレスベースで
    
アクセス制限をする場合    		

下記の2つのどちらかを選択します。

      

    1. IPアドレスによる制限なし

    2. Google の ASN 15169
 に記載の IP ブロックに含まれているすべての IP アドレス

    
Googleは、a.を推奨しています。
    b.のIPアドレスは、数が多く、頻繁に変更するので、少なくとも月に1回は、貴社Firewallでの
設定変更が必要になります。

    

    


    

    

端末は、MobiControlサーバに常時接続しているのが、デフォルトです。
オフラインの場合は、それをオンラインにするようにしてください。「端末のオフライン対策」
を参照ください。

    









 

 Googleアカウント認証、その他




  • 

    
下記の目的で、TCP443ポートを、Outboundで許可しておきます。許可するURLは、(表7)(表8)のとおりです。

      

    1. Googleの端末認証サービス、及び、セットアップに必要なURL
      
Android Enterpriseとしてセットアップする場合に必須。MobiControlに登録完了後のアクセスは、必須ではない。

      (表7)
      

      


      URL目的

      accounts.google.com 
      accounts.google.jp
      		
初期化した端末のセットアップ開始で、Googleアカウント入力画面が現れます。Google Enterpriseの場合、
端末ユーザのGoogleアカウントの入力の替わりに、EMMの端末になることと、EMMとしてMobiControlを使うことを、Googleの認証サイトに
通告します。

      

      
pki.google.com 
      
clients1.google.com
      		Googleが発行した証明書の中で、
既に失効している証明書を端末が保有していないか否かの問い合わせを受け付けるサービス。
Certificate Revocation list checks for Google-issued certificates

      

      
android.clients.google.com
MobiControlエージェントが、NFCを使うときに、ダウンロードするURL
      

      
connectivitycheck.android.com 
      
connectivitycheck.gstatic.com
      
www.google.com
      		
Used by Android OS for connectivity check whenever the device connects to any WiFi / Mobile network.
      
Android connectivity check, starting with N MR1, requires 
      
https://www.google.com/generate_204 
      to be reachable, or for the given Wi-Fi network to point to a reachable PAC file.

      


      


    2. Googleの各種サービス
      必須ではない


      (表8)
      

      


      URL目的

      clients2.google.com 
      
clients3.google.com 
      
clients4.google.com 
      
clients5.google.com 
      
clients6.google.com

      		

        

      • 時刻同期(tlsdate)

      • Chromeのブックマーク陶器

      • OSクラッシュ時のGoogleへの報告

      • その他


      

      
omahaproxy.appspot.com

Chromeのアップデートの掲示。アップデートがあれば、端末はそれをダウンロードし、端末でアップデート
      

      
ota.googlezip.net
      
ota-cache1.googlezip.net
      
ota-cache2.googlezip.net      		
端末モデルが、Pixelの場合、そのOS、またはパッチの
アップデートを掲示。アップデートがあれば、それをダウンロードし、端末でアップデート

      

      

      
IPアドレスベースで管理する場合は、
Google の ASN 15169
 に記載の IP ブロックに含まれているすべての IP アドレスを許可しておいてください。
 これらのIPアドレスは、数が多く、頻繁に変更するので、少なくとも月に1回は、貴社Firewallでの
設定変更が必要になります。

      
(表7)と(表8)の典拠は、Googleのドキュメント
「 Android Enterprise Network Requirements」
の「Devices」の項を参照ください。


      









 

 ウィルス検疫サービス




  • 

    
MobiControlのAndroid端末は、Bitdefender社のウィルス定義ファイルと照合して、ウィルスの検疫を行ないます。
    
SOTIは、Bitdefender社のサイトからウィルス定義ファイルをダウンロードし、SOTI Serviceの中のミラーサーバに保存しています。
このウィルス定義ファイルに更新があれば、SOTIのミラーサーバから端末に連絡があり、端末はそれをダウンロードします。
2、3日に1回、遅くても1週間に1回には、この更新が実行されます。
    
次の表は、SOTIのミラーサーバのアドレスです。端末から、これらにアクセスできるように、許可しておきます。


    SOTIのミラーサーバのアドレス
    

    


    Portsプロトコル方向宛先
    

    443
TCPOutbound

      

    • URLベースで管理する場合は、下記の2つのURLを許可しておきます。

        

      • mobicontrolservices.soti.net/BitDefenderAntivirus

      • mobicontrolservices.soti.net/BDM/

      


    • IPアドレスベースで管理する場合は、次のIPアドレスを許可しておきます。

      
54.208.149.103
      
54.208.194.169
      
54.209.62.205
      
54.209.186.178
      
これらのアドレス群は、「 端末からSOTI Servicesへ」で示したアドレス群に含まれています。

    

    

    

ソース: 
Retrieving BitDefender Definitions


    
端末がウィルス検疫をする時間間隔は、次の構成プロファイルで指定しておきます。


    
もし、汚染されたファイルが見つかると、そのファイルを削除するか、隔離フォルダに移動させます。

    
また、アラートルールを設定してあれば、汚染されたファイルが見つかったことを、関係者にアラートメールを
送ることができます。


    













B. Apple端末とFirewall




Apple端末(iPhone、iPad、MacOSコンピュータ)を閉域網に置いて運用する場合に、Firewallで許可するポート番号を(図5)に示します。


Apple端末は、
(図5)ののポート5223(Outbound)のみを許可した閉域網で、MobiControlによる運用管理ができます。


更に、Appストアのアプリを端末に配布またはアップデートする場合は、(図5)ののTCP443(Outbound)を許可しておきます。


但し、Apple端末をMobiControlサーバに登録する時だけ、
 及び が許可されているネットワーク環境で、それを実行します。

(図5)





*.apple.com をFirewallに登録しておくと、全てのAppleサイトへのアクセスを許可できます。

IPアドレスベースで、Firewallに登録する場合は、17.0.0.0/8 アドレスブロック全体を許可しておきます。


これで、(図1)の
を、まとめて登録できます。

しかし、個別サービス毎に、細密に限定登録したい場合は、
下記の
をクリックください。





 説明を開いた状態

 説明を閉じた状態










 

 端末とMobiControlサーバとの交信




  • 

    


    


    Portsトランスポート層
    プロトコル    		アプリケーション層
    プロトコル    		
方向宛先
    

    443TCPhttps端末から見て
    Outbound    		
MobiControlサーバの
    URLまたはIPアドレス
    (プロキシ不可)
    

    5494TCPBinary
    MobiControl独自プロトコル
    

    


      

    • URL または IPアドレス
      
SaaSの場合は、弊社からURLをご連絡します。
      
オンプレミスの場合は、貴社のDNSが名前解決できるURLとします。
オンプレミスの場合は、FQDNのURLでなく、IPアドレスのみによる接続も
可能ですが、サーバのIPアドレスが、将来変更になった場合、全ての端末を
登録しなおす面倒が生じます。Private DNSによるFQDN形式のURLを
お勧めします。

    • MDMプロトコルによるチェックイン
      
Apple端末が内蔵するMDMプロトコルは、Port443経由で、MobiControlサーバにチェックインします。チェックインをすることで、
MobiControlサーバから、「構成プロファイル」、「端末の詳細設定」、「ルール」を取得します。

      また、WIPEなどの端末への働きかけは、端末からのチェックインがあったときに、MobiControlサーバから
端末へ送られます。

      
MDMプロトコルが、どのようなトリガーで、MobiControlサーバにチェックインをするかは、
「APNsとチェックインの仕組み」を参照ください。


    • MobiControlエージェントによる接続
      
端末ユーザが、
MobiControlのアイコンをタップ
すると、MobiControlエージェントが起動します。MobiControlエージェントは、Port443と5494の両方で、MobiControlサーバに「接続」にいきます。
      
MobiControlサーバは、接続している端末に、テストメッセージを、Port5494経由で送っています。
デフォルトでは60秒間隔です。
      

ブラウザブラグインを使っての、iOS端末画面のリモートビューや、macOSコンピュータのリモート画面操作では、
端末は、Port5494経由で、画面情報をサーバ/コンソールに送ります。

      
MobiControlエージェントが、どのようなトリガーで、MobiControlサーバに「接続」するかは、
「端末からサーバに「接続」させる」を参照ください。


    


    


    

    


    









 

 MobiControlサーバからAPNS経由で端末にチェックインを要求




  • 

    


    


    サーババージョンPortsプロトコル方向Appleの全てのクラウドサービス宛先 
    

    v14.5.1以上
443、2197
TCP
Outbound
*.apple.com
    または
    17.0.0.0/8 アドレスブロック全体
    


    


    

Appleの全てのサービスでなくAPNsにそのアクセスを限定したい場合は、


    

で説明したチェックインを端末からさせるには、MobiControlサーバから
APNs(Apple Push Notification service)経由で、Apple端末に、チェックインをするように要求を出します。
    
TCP443経由で、APNSに中継を依頼します。TCP443経由で接続できない場合は、TCP2197経由で中継を依頼します。プロキシ設定は不能です。


    









 

 端末がAPNS経由でチェックイン要求を受領




  • 

    


    


    Portsプロトコル方向Appleの全てのクラウドサービス宛先 
    

    5223TCPOutbound*.apple.com
    または
    17.0.0.0/8 アドレスブロック全体
    

    


    

Appleの全てのサービスでなくAPNsにそのアクセスを限定したい場合は、


    

で説明したチェックイン要求を、端末が受領するために、端末はTCP5223(Outbound)経由で、
APNs(Apple Push Notification service)への接続を維持しています。


    

Apple端末に内蔵するMDMプロトコルは、APNs経由で受領したMobiControlサーバからのチェックイン要求に応えて、MobiControlサーバにチェックインをします。

    
コンソールからメッセージを送り、Apple端末の画面に、それを表示することができます。
その送り方に2種類があります。

      

    1. 端末からのチェックインをさせ、TCP443経由でメッセージを送る。

    2. APNs経由でのみメッセージを送る。端末がロック中でもメッセージは表示されるが、そのメッセージは端末に保存されない。

    
詳しくは、「Apple端末へメッセージを送る」を参照ください。


    尚、端末がTCP5223経由でのAPNsへの接続を、1週間以上しないと、APNsは、その旨をMobiControlサーバに通知します。そして、MobiControlサーバは、該当端末を
管理端末群から登録解除することがあります。


    
MobiControlに限らず、LINEなどのSNSやメールの着信通知を受領するためにも、Apple端末は、TCP5223経由で、APNsへの接続を維持しています。


    

のPort5223が、端末から見てOutbound Only である典拠
    
SOTI Network Diagramで、APNSを選択。


    

    


    









 

 Bing Map




  • 

    

    


    Portsプロトコル方向宛先
    

    443TCPOutbound www.bing.com/maps
    

    

コンソールに、端末の地理的位置を地図表示するようにしたい場合には、MobiControlサーバからBing Mapサイトへのアクセスを許可しておきます。
    
iPhoneとiPadの過去の移動位置履歴や、現在の位置を、コンソールで地図表示する仕組みは、
「iPhone、iPadの位置表示スキーム」を参照ください。


    









 

 MobiControlサーバからSOTI Servicesへ




  • 

    


    


    Portsプロトコル方向宛先
    

    443TCPOutbound(表7) または (表8)
    

    

MobiControlサーバから、SOTI Servicesへアクセスすることを許可しておきます。
SOTI Servicesは、(表7)で示すように4種類の Serviceから構成されます。
URLベースで許可する場合は、(表7)のURLをFirewallで許可ください。


    (表7)
    

    


    サービス名対応するURL

    Activation Serviceactivate2.soti.net
    

    
MobiControlサーバのライセンスコードを更新したときに、Activation Serviceから、そのライセンスコードの
真正性を認証してもらいます。MobiControlに登録した端末台数の増減情報を、MobiControlサーバからActivation Serviceに送ります

    

    

    Agent Builder Serviceactivate2.soti.net
    

    
Windows Embedded端末、及び、Windows Classic PCの端末登録ルール作成の都度、MobiControlサーバは、
Agent Builder Serviceに、エージェントの生成を依頼し、それを受け取ります。
コンソールは、これをMobiControlサーバからダウンロードし、登録しようとする
端末やPCにてインストールします。

    

    Enrollment Servicemc-enroll.soti.net
    

    
端末登録ルールを作成したら、MobiControlサーバは、Enrollment Serviceに通告します。
Enrollment Serviceは、その端末登録ルールに紐づけられる登録IDをサーバに送り返してきます。

    

    


    Location Servicemobicontrolservices.soti.net
    

    
端末から送られてきた緯度経度情報(テキスト情報)を、MobiControlサーバは、SOTIのLocation Serviceサーバに送ります。
    
Location Serviceは、緯度経度情報をもとに、Bing Mapサイトへの問い合わせデータを生成し、MobiControlサーバに送ります。
    
MobiControlサーバは、それを、Bing Mapサイトに送ります。そしてBing Mapサイトから位置に関するポインティング情報を、受け取ります。

    
コンソールは、Bing Mapから地図(画像)ダウンロードし、これにMobiControlサーバから受領した位置に関するポイント情報を描画します。

    


    

IPアドレスベースで管理する場合は、(表8)のIPアドレスをFirewallで許可ください。


    (表8)
    

    


    54.208.149.103
    

    54.208.194.169
    

    54.209.62.205
    

    54.209.186.178
    

    54.209.186.251
    

    54.209.207.237
    


    13.248.157.19
    

    76.223.23.230
    

    75.2.25.8
    

    99.83.149.241
    


    

(表8)の全てのIPアドレスををFirewallで許可してください。ロードバランシングの目的で、(表8)のどれかのIPアドレスで、接続をします。

    
Bitdefender社のウィルス定義ファイルを保存してあるミラーサーバのアドレスも、上記に含まれています。
詳しくは、


    









 

 端末からSOTI Servicesへ




  • 

    


    


    Portsプロトコル方向宛先
    

    443TCPOutboundmc-enroll.soti.net または (表10)
    

    

端末のMobiControlエージェントに、登録用URLでなく、登録IDを入力して、SaaSのMobiControlサーバに登録するようにしたい場合に限り、
mc-enroll.soti.netへのアクセスを許容しておきます。これは、

(表9)の「非推奨」のケースです。


    (表9)
    

    



    		MobiControlサーバの設置場所
    

    SaaS貴社DMZ
    

    監視モードとして設定

    

    非監視モード
    として設定    		Safariに
    登録用URL入力で登録    		推奨
    

    MobiControlエージェントに
    登録ID入力で登録    		非推奨

    

    

登録用URLは、登録IDより文字数が多く、手入力は大変です。
    
しかし、登録用URLをQRコード化しておき、それを端末で読み取ることで、作業は軽減できます。

    
(表9)での水色の部分に相当するケースでは、mc-enroll.soti.netへのアクセスを許容する必要はありません。


    
IPアドレスベースで許可する場合は、(表10)のIPアドレスをFirewallで許可しておきます。


    (表10)
    

    


    13.248.157.19 mc-enroll.soti.netへのコールを端末が指向すると、左欄のどれかのIPアドレスが割り当てられます。
    
ロードバランシングをしています。
    URLとIPアドレスが、固定的にはバンドルされていません。
    


    54.208.149.103
    

    54.208.194.169
    

    54.209.62.205
    

    54.209.186.178
    

    54.209.186.251
    

    54.209.207.237
    

    76.223.23.230
    

    75.2.25.8
    

    99.83.149.241
    


    

(表10)の全てのIPアドレスを登録してください。ロードバランシングの目的で、(表10)のどれかのIPアドレスで、接続をします。

    









 

 Appleデバイス管理




  • 

    


    


    Portsプロトコル方向Appleの全てのクラウドサービス宛先 
    

    443TCPOutbound*.apple.com
    または
    17.0.0.0/8 アドレスブロック全体
    

    


    

Appleの全てへのクラウドサービスでなく、Appleの「デバイス管理」サービスのみに、
アクセスを許容しておきたい場合は、(表11)のURLを許可しておきます。

    
MobiControlサーバからAppleの「デバイス管理」サービスへアクセスできるようにしておきます。
    
端末をMobiControlに登録する際も、Appleの「デバイス管理」サービスへアクセスできるネットワーク環境に、端末を移動しておきます。


    (表11)
    

    


    deviceenrollment.apple.comDEPの暫定登録
    

    deviceservices-external.apple.com
    

    identity.apple.comAPNs 証明書リクエストポータル
    

    iprofiles.apple.comApple School Manager や Apple Business Manager に Device Enrollment 経由でデバイスを登録する際に使われるホスト登録プロファイル
    

    mdmenrollment.apple.comMDM サーバが、Apple School Manager や Apple Business Manager に Device Enrollment で
登録されるクライアントで使われる登録プロファイルをアップロードし、デバイスとアカウントを検索
    

    setup.icloud.com共有 iPad で管理対象 Apple ID を使ってログインするために必要
    

    
詳しくは、Appleの下記のドキュメント

    エンタープライズネットワークで Apple 製品を使う」
の「デバイス管理」の項を参照ください。


    

端末のMobiControlへの
登録が終われば、アクセスができないネットワーク環境内へ端末を移動し、運用管理を開始することもできます
    









 

 Appストア




  • 

    


    


    Portsプロトコル方向Appleの全てのクラウドサービス宛先 
    

    443TCPOutbound*.apple.com
    または
    17.0.0.0/8 アドレスブロック全体
    

    


    

Appleの全てのサービスでなく、Appストアのみに、アクセスを許容しておきたい場合は、次のURLを許可しておきます。


      

    • *.itunes.apple.com	

    • *.apps.apple.com

    • *.mzstatic.com	

    • itunes.apple.com

    • vpp.itunes.apple.com

    
詳しくは、Appleの下記のドキュメント
「エンタープライズネットワークで Apple 製品を使う」
の「App Store」の項を参照ください。

    


    
端末ユーザがAppストアからダウンロードできるアプリを指定制限することができます。

    
端末が監視モードの場合は、Apple Business Manager担当者が指定したアプリのみをダウンロードでき、
且つそのアプリは、サイレントインストールされます。

    










 

 Apple デバイスの設定




  • 

    


    


    Portsプロトコル方向Appleの全てのクラウドサービス宛先 
    

    443TCPOutbound*.apple.com
    または
    17.0.0.0/8 アドレスブロック全体
    

    


    

Appleの全てのサービスでなく、「デバイスの設定」サービスのみに、アクセスを許容しておきたい場合は、Appleのドキュメント
    エンタープライズネットワークで Apple製品を使う」
の「デバイスの設定」の項で示されているURLをFirewallで許可しておきます。

    

端末をMobiControlに登録する際やOSのアップデートの際は、Appleの「デバイス管理」サービスへアクセスできるネットワーク環境に、端末を移動しておきます。


    

端末のMobiControlへの
登録が終われば、アクセスができないネットワーク環境内へ端末を移動し、運用管理を開始することもできます
    









 

 ソフトウェアアップデート




  • 

    

    


    Portsプロトコル方向Appleの全てのクラウドサービス宛先 
    

    443TCPOutbound*.apple.com
    または
    17.0.0.0/8 アドレスブロック全体
    

    


    

Appleの全てのサービスでなく、「ソフトウェアアップデートサービスのみに、アクセスを許容しておきたい場合は、Appleのドキュメント
    エンタープライズネットワークで Apple製品を使う」
の「ソフトウェアアップデート」の項で示されているURLをFirewallで許可しておきます。

    

iOS、iPadOS、macOSをアップデートする場合は、Appleの「ソフトウェアアップデート」サービスに接続できるネットワーク環境に端末を移動させます。


    
端末OSのアップデートが終われば、アクセスができないネットワーク環境内へ端末を移動し、運用管理を開始することもできます
    
端末をAppleの「ソフトウェアアップデート」サービスに接続できるネットワーク環境に置いておくと、自動的に、OSがアップデートされることがあります。
これをコントロールすることができます。詳しくは、「Apple製品デバイスに働きかける」のページの「6. OSをアップデート」の項を参照ください。


    













C. Windows Modern とFirewall




閉域網に設置したPCをWindows Modernとして設定した場合のFirewallで許可するポート番号を(図7)に示します。
許可することが必須のポートとオプションのポートがあります。


 をDMZに設置すると、
及び  に対する
アクセスを不要にできます。


(図7)







(図1)の からの詳細は、
下記のをクリックください。


 説明を開いた状態

 説明を閉じた状態










 

 エンドポイントとMobiControlサーバとの交信




  • 

    


    


    Portsトランスポート層
    プロトコル    		アプリケーション層
    プロトコル    		
方向宛先
    

    443TCPhttps端末から見て
    Outbound    		
MobiControlサーバの
    URLまたはIPアドレス
    (プロキシ不可)
    

    5494TCPBinary
    MobiControl独自プロトコル
    

    

      
Windows EmbeddedとWindows Classic
    の場合は、プロキシ可能

    

エンドポイントPCは、起動すると、Port443と5494経由で、MobiControlサーバに接続にいきます。 
接続をしていれば、エンドポイントPCが内蔵する更新スケジュールの時刻になると、エンドポイントはチェックインを
行ないます。
    
チェックインの結果、MobiControlサーバから「構成プロファイル」「ルール」「パッケージ・アプリ」及び「端末の詳細設定」の設定オブジェクトを
受領します。エンドポイントも、その各種ステータスをサーバに送ります。
    
更新スケジュールの時間間隔は可変です。
最頻は、2分間隔です。デフォルトは2時間間隔です。
    


      

    • URL または IPアドレス
      
端末登録ルールで、MobiControlサーバのアドレスを指定します。
      
SaaSの場合は、弊社からURLをご連絡します。
      
オンプレミスの場合は、貴社のDNSが名前解決できるURLとします。
オンプレミスの場合は、FQDNのURLでなく、IPアドレスのみによる接続も
可能ですが、サーバのIPアドレスが、将来変更になった場合、全てのエンドポイントを
登録しなおす面倒が生じます。Private DNSによるFQDN形式のURLを
お勧めします。

    • Port5494
      
MobiControlサーバは、接続しているエンドポイントに、テストメッセージを、Port5494経由で送っています。
デフォルトでは60秒間隔です。
      
ブラウザブラグインを使っての、エンドポイント画面のリモート操作では、
エンドポイントは、Port5494経由で、画面情報をサーバ/コンソールに送ります。

    • 

エンドポイントが、どのようなトリガーで、MobiControlサーバに接続するかは、
「4. Apple端末以外の端末は、どのようなトリガーで、MobiControlサーバに接続するか」を参照ください。

    • 
エンドポイントが、どのようなトリガーで、MobiControlサーバにチェックインをするかは、
「
5. Apple端末以外の端末は、どのようなトリガーで、MobiControlサーバにチェックインするか」を参照ください。

    


    


    

    


    








 

 Windowsプッシュ通知サービス(WNS)




  • 

    

    


    Portsプロトコル方向宛先
    

    443TCP
OutboundWNSとの接続」のページの「WNSのURLとIPアドレス」の項を開いてください。
    

    

で、説明したように、エンドポイントは、内蔵している更新スケジュールのスケジュール時刻になれば、
MobiControlサーバにチェックインをします。チェックインの結果、エンドポイントは、
MobiControlサーバから「構成プロファイル」「ルール」「パッケージ・アプリ」及び「端末の詳細設定」の設定オブジェクトを受領します。
    
コンソール管理者は、それら設定オブジェクトを新規作成または編集をします。しかし、それらのエンドポイントへの配布は、
更新スケジュールの時刻になるまで、待たなければなりません。
待たずに送るためには、WNS(Windows プッシュ通知サービス)の設定をしておきます。


      

    • a.
「構成プロファイル」「端末の詳細設定」の設定オブジェクトや「パッケージ・アプリ」のエンドポイント群への割り当てが終わると、
MobiControlサーバは、WNS経由で、エンドポイントに対しチェックインを要求をします。エンドポイントはチェックインを実行し、これらを受領します。

    • b.
コンソールから、エンドポイントへの働きかけをした後に、
チェックインボタン を押します。
そうすると、MobiControlサーバは、WNS経由でエンドポイントにチェックインを要求します。エンドポイントはチェックインを実行し、それらの働きかけを受領します。

    • c.
エンドポイントの画面にメッセージを表示したいことがあります。その場合も、コンソールで、
チェックインボタン を押します。

    

    

上述したWNSによるアドホックなチェックイン要求をせず、更新スケジュールの時刻のみに、設定オブジェクトを
送る場合は、WNSの設定は不要です。

    








 

 SOTI Services




  • 

    


    


    Portsプロトコル方向宛先
    

    443TCPOutbound(表12) または (表13)
    

    
MobiControlサーバから、SOTI ServicesへアクセスするためのURLを 
Firewallで、許可しておきます。
SOTI Servicesは、(表12)で示すように4種類の Serviceから構成されます。
URLベースで許可する場合は、(表12)のURLををFirewallで許可しておきます。


    (表12)
    

    


    サービス名対応するURL

    Activation Serviceactivate2.soti.net
    

    
MobiControlサーバのライセンスコードを更新したときに、Activation Serviceから、そのライセンスコードの
真正性を認証してもらいます。MobiControlに登録した端末台数の増減情報を、MobiControlサーバからActivation Serviceに送ります

    

    

    Agent Builder Serviceactivate2.soti.net
    

    
Windows Embedded端末、及び、Windows Classic PCの端末登録ルール作成の都度、MobiControlサーバは、
Agent Builder Serviceに、エージェントの生成を依頼し、それを受け取ります。
コンソールは、これをMobiControlサーバからダウンロードし、登録しようとする端末やPCにてインストールします。

    

    Enrollment Servicemc-enroll.soti.net
    

    
端末登録ルールを作成したら、MobiControlサーバは、Enrollment Serviceに通告します。

    

    


    Location Servicemobicontrolservices.soti.net
    

    


    


    

IPアドレスベースで管理する場合は、(表13)のIPアドレスをFirewallで許可ください。


    (表13)
    

    


    13.248.157.19 mc-enroll.soti.netへのコールを端末が指向すると、左欄のどれかのIPアドレスが割り当てられます。
    
ロードバランシングをしています。
    URLとIPアドレスが、固定的にはバンドルされていません。
    


    54.208.149.103
    

    54.208.194.169
    

    54.209.62.205
    

    54.209.186.178
    

    54.209.186.251
    

    54.209.207.237
    

    76.223.23.230
    

    75.2.25.8
    

    99.83.149.241
    


    
(表13)の全てのIPアドレスををFirewallで許可してください。ロードバランシングの目的で、(表13)のどれかのIPアドレスで、接続をします。

    











 

 Bing Map




  • 

    

    


    Portsプロトコル方向宛先
    

    443TCPOutbound www.bing.com/maps
    

    

コンソールに、Windows PCの位置表示 する場合には、
MobiControlサーバからBing Mapサイトへのアクセスを許可しておきます。
    
オンラインのWindows Modernエンドポイントから、その緯度経度情報(テキスト情報)を取得し、
MobiControlサーバは、Bing Mapにアクセスします。そして、Bing Mapに緯度経度情報を入力することで、
現在位置の地図表示を行ないます。

    









 

 オンプレミスのWSUSサーバ




  • 

    

    


    Portsプロトコル方向宛先
    

    443TCPOutbound貴社WSUSサーバのアドレス
    

    
MobiControlは、構成プロファイルを配布することで、エンドポイントPCが、オンプレミスのWSUS(Windows Server Update Services)から
Windowsの更新ファイルを受信するように設定できます。
    
WSUSサーバの設定方法は、Microsoftのドキュメント「

WSUS(Windows Server Update Services)サーバ」を参照ください。

    
MobiControlは、Windows Defenderによるウィルスの検疫の設定を行います。
WSUSから、ウィルス定義ファイルを、エンドポイントPCに配布する方法は、Microsoftの文書を参照ください。
「WSUSを使用して、Windows Defender を実行しているコンピュータに定義ファイルの更新版を適用する方法
    
オンプレミスのWSUSサーバを設置した場合、FirewallのTCP443(Outbound)に、WSUSサーバに対するアドレスを、許可しておきます。


    









 

 オンプレミスのDHA(Device Health Attestation)サーバ




  • 

    

    


    Portsプロトコル方向宛先
    

    443TCPOutbound貴社DHAサーバのアドレス
    

    

DHAサーバは、エンドポイントのデバイス正常性構成を検査します。その結果として、各エンドポイントPC毎のデバイス正常性構成証明書を
MobiControlサーバに送ります。これに異常があれば、MobiControlはアラートを発します。


    








 

 Windows Defender サービス




  • 

    

    


    Portsプロトコル方向宛先
    

    443
TCP
Outbound
Windows Defenderを使用する上での
Firewall設定」のページを参照ください。
    

    

Windows Defender サービスは、Microsoftによるシグネチャベースでのウィルス検疫サービスです。
この検疫サービスによりマルウェアとして判定されたファイルを、MobiControlは、隔離します。
    
詳しくは、「Windows PCの機能制限」を参照ください。
    


    

 の
オンプレミスのWSUSサーバを利用する場合、このURLを許可する必要はありません。

    









 

 Microsoft Defender ATP サービス











 

 Windows 更新サービス




  • 

    


    


    Portsプロトコル方向宛先
    

    443
TCP
Outbound
Windows Update / Microsoft Update の接続先 URL について」のページ」を参照ください

    

    
Windowsの更新を行なうために、MicrosoftのWindows Update サービスへのアクセスを許可しておきます。

    
 の
オンプレミスのWSUSサーバを利用する場合、このURLを許可する必要はありません。


    








 

 デバイス正常性構成証明サービス




  • 

    

    


    Portsプロトコル方向宛先
    

    443
TCP
Outboundhas.spserv.microsoft.com
    

    
エンドポイントPCが起動すると、MicrosoftのDHA(Device Health Attestatation)サービスに、そのハードウェアステータスに関する情報を送ります。
HDDなどストレージ内のファイルは送りません。DHAサービスは、エンドポイントのセキュリティに対する脆弱性を診断します。その診断結果が、デバイス正常性構成証明書です。
MobiControlサーバは、該当のエンドポイントがチェックインする毎に、Microsoft DHAから、デバイス正常性構成証明書を取得します。
コンソールで、エンドポイント毎の「端末の詳細」タブに、デバイス正常性構成証明書が表示されます。



    
 の
オンプレミスのDHAサーバを利用する場合、このURLを許可する必要はありません。


    












D. Windows Classic、Windows Embedded、LinuxとFirewall




Windows Classicとして設定したPC、Windows Embedded端末、Linuxデバイスを閉域網に置いて運用する場合の、Firewallで許可するポート番号を(図8)に示します。

(図8)






 説明を開いた状態

 説明を閉じた状態





(図8)のの詳細は、
下記のをクリックください。








 

 端末とMobiControlサーバとの交信




  • 

    


    


    Portsトランスポート層
    プロトコル    		アプリケーション層
    プロトコル    		
方向宛先
    

    443TCPhttps端末から見て
    Outbound    		
MobiControlサーバの
    URLまたはIPアドレス
    

    5494TCPBinary
    MobiControl独自プロトコル
    

    

端末が、Windows Classic または Windows Embeddedの場合は、プロキシ設定が可能です
    

端末のMobiControlエージェントは、端末登録時に、MobiControlサーバのURLを記憶しておきます。そして、端末起動時にMobiControlサーバに接続にいきます。
    
原則的に、常時接続しています。
    
その上で、チェックインのトリガーが働くと、MobiControlサーバと端末との間で
ファイル、データ、コマンドを送受します。

    

      

    • URL または IPアドレス
      
SaaSの場合は、弊社からURLをご連絡します。
      
オンプレミスの場合は、貴社のDNSが名前解決できるURLとします。
オンプレミスの場合は、FQDNのURLでなく、IPアドレスのみによる接続も
可能ですが、サーバのIPアドレスが、将来変更になった場合、全ての端末を
登録しなおす面倒が生じます。Private DNSによるFQDN形式のURLを
お勧めします。

    • Port5494
      
MobiControlサーバは、接続している端末に、テストメッセージを、Port5494経由で送っています。
デフォルトでは60秒間隔です。
      

ブラウザブラグインを使っての、端末画面のリモート操作(リモートビュー)では、
端末は、Port5494経由で、画面情報をサーバ/コンソールに送ります。

    • 

端末が、どのようなトリガーで、MobiControlサーバに接続するかは、
「4. Apple端末以外の端末は、どのようなトリガーで、MobiControlサーバに接続するか」を参照ください。

    • 
端末が、どのようなトリガーで、MobiControlサーバにチェックインをするかは、
「
5. Apple端末以外の端末は、どのようなトリガーで、MobiControlサーバにチェックインするか」を参照ください。

    


    


    

    


    









 

 MobiControlサーバからSOTI Servicesへ




  • 

    


    


    Portsプロトコル方向宛先
    

    443TCPOutbound(表14) または (表15)参照
    

    

MobiControlサーバから、SOTI Servicesへアクセスすることを許可しておきます。
SOTI Servicesは、(表14)で示すように4種類の Serviceから構成されます。
URLベースで許可する場合は、(表15)のURLをFirewallで許可ください。


    (表14)
    

    


    サービス名対応するURL

    Activation Serviceactivate2.soti.net
    

    
MobiControlサーバのライセンスコードを更新したときに、Activation Serviceから、そのライセンスコードの
真正性を認証してもらいます。登録した端末台数の増減情報を、MobiControlサーバからActivation Serviceに送ります

    

    

    Agent Builder Serviceactivate2.soti.net
    

    
Windows Embedded端末、及び、Windows Classic PCの端末登録ルール作成の都度、MobiControlサーバは、
Agent Builder Serviceに、エージェントの生成を依頼し、それを受け取ります。
コンソールは、これをMobiControlサーバからダウンロードし、登録しようとする
端末やPCにてインストールします。

    

    Enrollment Servicemc-enroll.soti.net
    

    
端末登録ルールを作成したら、MobiControlサーバは、Enrollment Serviceに通告します。
Enrollment Serviceは、その端末登録ルールに紐づけられる登録IDをサーバに送り返してきます。

    

    


    Location Servicemobicontrolservices.soti.net
    

    
端末から送られてきた緯度経度情報(テキスト情報)を、MobiControlサーバは、SOTIのLocation Serviceサーバに送ります。
    
Location Serviceは、緯度経度情報をもとに、Bing Mapサイトへの問い合わせデータを生成し、MobiControlサーバに送ります。
    
MobiControlサーバは、それを、Bing Mapサイトに送ります。そしてBing Mapサイトから位置に関するポインティング情報を、受け取ります。

    
コンソールは、Bing Mapから地図(画像)ダウンロードし、これにMobiControlサーバから受領した位置に関するポイント情報を描画します。

    

    

IPアドレスベースで許可する場合は、(表15)のIPアドレスをFirewallで許可ください。


    (表15)
    

    


    13.248.157.19 (表14)で記述した *.soti.net のURLのどれかへのコールをMobiControlサーバが指向すると、左欄のどれかのIPアドレスが割り当てられます。
    
ロードバランシングをしています。
    URLとIPアドレスが、固定的にはバンドルされていません。
    


    54.208.149.103
    

    54.208.194.169
    

    54.209.62.205
    

    54.209.186.178
    

    54.209.186.251
    

    54.209.207.237
    

    76.223.23.230
    

    75.2.25.8
    

    99.83.149.241
    


    
(表15)の全てのIPアドレスを許可してください。ロードバランシングの目的で、(表2)のどれかのIPアドレスで、接続をします。


    









 

 Bing Map




  • 

    

    


    Portsプロトコル方向宛先
    

    443TCPOutbound www.bing.com/maps
    

    

コンソールに、端末の地理的位置を地図表示するようにしたい場合には、MobiControlサーバからBing Mapサイトへのアクセスを許可しておきます。
    
端末の過去の移動位置履歴や、現在の位置は、次の仕組みで、コンソールで表示されます。

      

    1. データ収集ルールで、収集するデータの種類として「位置情報」を指定。

    2. データ収集ルールで、指定したスケジュール(頻度)で、MobiControl エージェントは
位置情報(緯度経度情報。テキスト形式)を収集し、端末内に保存する。

    3. チェックインのときに、端末が保存してあった位置情報(緯度経度情報。テキスト形式)をMobiControlサーバに送る。

    4. コンソールで、端末の位置を地図表示するアクションを選択すると、MobiControlサーバは
Bing Mapサイトにアクセスし、緯度経度情報を送り、それに対応する、Bing Map上のポインティング情報を取得する。それをコンソールに送る。


    5. コンソールは、Bing Mapサイトから地図(画像)をダウンロードし、その画像に、MobiControlサーバから送られてきた
ポインティング情報を乗せる。
      端末がMobiControlサーバに接続中なら、現在位置を表示する。オフラインの場合は、過去の位置履歴を表示する。

    


    






E. MobiControlサーバ・コンポーネント間のPort








MobiControlサーバは、次のサーバコンポーネントから構成されています。

    

  • MobiControlデプロイメントサーバ

  • MobiControlマネージメントサーバ

  • MobiControl Search Server

  • Microsoft SQLサーバ



これらのサーバ間は、(図9)で示されるポート経由で情報共有をします。

(図9)は、端末台数が3万台以上のシステムを想定しています。
端末台数が1000台以下と少ない場合、これら4つのサーバコンポーネントを1台のサーバハードウエァに同居させることが可能です。


(図9)の矢印線は、どちらのコンポーネントから接続コールを、イニシエーションするかを図示しています。
トラフィックは、双方向です。各コンポーネント間の通信プロトコルは、TCPです。


端末と接続するサーバは、MobiControlデプロイメントサーバです。上記で、単にMobiControlサーバと記述したのは、
正確には、MobiControlデプロイメントサーバです。




(図9)






端末台数が多い場合は、デプロイメント・サーバを並列複数台数とします。国内でも数万台の端末を管理しているユーザもあります。
端末とサーバとの交信頻度を多く設定している場合、端末台数が500台程度でも、2台のデプロイメントサーバで運営しているユーザもいます。



コンソールで、端末フィルタ条件式を入力して、表示する端末群を限定するときは、
MobiControl Search Serverが、SQLステートメントを作成し、マネージメントサーバ経由で、Microsoft SQLサーバに、サブミットします。









F. コンソールとの接続









(図10)




コンソールは、TCP443経由で、マネージメントサーバにアクセスします。


典拠は、SOTIのドキュメント

Network Ports

Management Server Connectionsの項


MobiControlシステムを管理し、モニターするためにコンソールで使うアプリは、ブラウザです。
次のブラウザをサポートします。

    

  • Google Chrome

  • Internet Explorer 11

  • Mozilla Firefox




典拠は、SOTIのドキュメント

System Requirementの
Browsersの項





コンソールの権限アカウントは、複数作成できます。
アカウント別に、管理権限の範囲と、管理できる端末グループを制限できます。





コンソールからは、多くのインターネットサイトにTCP443経由でアクセスします。




コンソールからは、Googleの各種サービスにアクセスできるようにしておかなければなりません。

Googleのドキュメント
「 Android Enterprise Network Requirements」
の「Consoles」の項を参照ください





E. AD_DSとの接続




端末やPCをMobiControlに登録する際に、AD_DS(Active Directory Domain Service)との認証を必要とするように、
端末登録ルールを作成することができます。
その際は、端末やPCの登録の前に、MobiControlサーバとAD_DSサーバとの間に、ディレクトリサービスとの接続プロファイルを作成しておきます。

端末の登録の毎に、MobiControlサーバは、AD_DSサーバと通信をします。

その場合は、TCP389と636をFirewallに開けておく必要があります。TCP389と636のプロトコルはLDAPです。



(図11)






端末は、AD_DSサーバにアクセスできるネットワーク環境になくても、MobiControlサーバにさえアクセスできれば、端末は、
AD_DSとの認証を受けてMobiControlに登録できます。



MobiControlサーバとAzure AD若しくはIDプロバイダとの接続は、TCP443経由となります。








Azure ADで認証
ID プロバイダで認証



(図12)




(図13)







AzureのAD_DSとの接続プロファイルの作成方法は、
AzureのAD_DSとの接続プロファイルを参照ください。

IDプロバイダとの接続プロファイルの作成方法は、IDプロバイダとの接続プロファイルを参照ください。





認証サービスは、「ディレクトリサービス」と「IDプロバイダ」の2つに大別されます。認証サービスによる認証を得て、MobiControlに登録できる端末のOSまたは設定モードには
制限があります。
詳しくは、「認証サービスとMobiControlの機能」を参照ください。




F. オプション・サーバとの接続




SOTIは、MobiControl以外に、幾つかのオプションサーバを提供しています。





サーバのサービス名概 要


ERG(Enterprise Resource Gateway)
無償		Firewallの外部にある端末が、内部にあるリポジトリ・サーバから文書、画像、動画を
安全に入手するための逆プロキシサーバ


SOTI Assist Server
有償		システム運用に伴うインシデントを管理します。インシデント発生に伴い、これの解決に
向かっての工程管理をします。



Exchange ActiveSync Filter
無償		MS ExchangeサーバのフロントサーバであるActiveSyncサーバにアドオンするソフトウェアです。
MS Exchangeサーバへの不法アクセスを防止します。














G. ネットワーク・ポートに関するSOTIの情報





MobiControlに限定したネットワーク・ポートに関する情報は、下記のSOTIのリンクにアクセスください。

©  2024年 MobiControl v14 Manual. WordPress と Mesmerize Theme で構築