閉域網でのFirewall/Proxyへの配慮

MobiControl v14 Manual



A. 端末とMobiControlサーバの間のTCPポート

端末とMobiControlデプロイメントサーバの間には、TCP443とTCP5494経由にて通信を行います。

(図1)

TCP443のセッションは、常に端末側からセッションを開始し接続をします。 MobiControlサーバ側から端末に向けてセッションを開始して接続を求めることはありません。
MobiControlサーバと端末との間のほとんどのトラフィックは、TCP443を経由して送受されます。 TCP443での MobiControl v14.3以降の暗号化アルゴリズムは、TLS1.2 SHA-2 ブロック長1056bitです。

TCP5494では、リモートコントロールやその他の目的で通信をします。
コンソールのブラウザのプラグインソフトを起動して、端末画面のリモートコントロールまたはリモートビューを実施するときが あります。その際は、TCP5494経由で送受されます。TCP5494では、MobiControl独自プロトコルのトラフィックが送受されます。

コンソールの実体はブラウザです。サーバ側のIIS経由で、MobiControlサーバと交信します。

B. Apple製品を閉域網に置く

B-1. TCP443以外のポート

iPhone、iPad、及び、macOSコンピュータが閉域網にある場合、TCP5223を、インターネット方向に開けておく必要があります。 TCP5223はOutboundだけ開けておけばよく、Inboundは閉じておいて結構です
iPhone、iPad、及び、macOSコンピュータには、MDMプロトコルという名前のメカニズムがOSにビルトインしています。 端末のMDMプロトコルからTCP5223経由で、APNsに対しコネクションを要求し、コネクションを維持し、APNsからのチェックイン要求コマンドを待ち受けています。
APNs側から、端末に対しコネクションを要求することはありません。
APNsは、Apple Push Notification Serviceの略です。クラウドサービスです。

(図2)

TCP5223経由で、チェックイン要求コマンドを受けたMDMプロトコルは、TCP443経由で、MobiControlサーバにチェックインをします。
チェックインを受けることにより、MobiControlサーバは、端末に向けて、次のような端末設定のオブジェクトを送ります。
  1. リモートWipeなどの各種の働きかけコマンド
  2. 構成プロファイル
  3. 端末詳細設定
  4. ルール
詳しくは、「構成プロファイルとルールと詳細設定」を参照ください。

チェックインの時には、逆に、端末からも、各種ステータス情報を、サーバに送られます。 詳しくは、「Apple製品:チェックインと接続」を、参照ください。
チェックインによる送受が終われば、MDMプロトコルは、TCP443のコネクションを、すぐに切断します。 常時接続をしません。

iPhone、iPad、及び、macOSコンピュータが閉域網にある場合に、MobiControlと交信するために開放しておくべきTCPポートは、TCP443、TCP5223、TCP5494の3つです。 もし、MobiControlサーバが、DMZに設置された場合、閉域網からインターネットに向けて開けるポートは、TCP443とTCP5223だけです。 TCP443に登録するURLは、次の「B-2. TCP443経由のアクセス先」を参照ください。 (図1)と(図2)を参照ください。

MobiControlによるiPhone、iPad、及び、macOSコンピュータの管理の殆どは、上述の通り、APNsとMDMプロトコルによるチェックインに基づく通信で行います。
しかし、MDMプロトコルが送受しないデータがあります。これを補完するために、デバイス側に、MobiControlエージェントをインストールします。 MobiControleエージェントは、デバイスユーザの操作により起動します。 詳しくは、「Apple製品:チェックインと接続」を、参照ください。 MobiControlエージェントは、TCP443経由で、MobiControlサーバに接続します。

B-2. TCP443経由のアクセス先

TCP443経由で、次の宛先にアクセスすることを、プロキシで許容しておきます。
  1. MobiControlデプロイメントサーバ
    1つのMobiControlデプロイメント・サーバに対して、端末は2つのアドレスを設定できます。もし、MobiControlデプロイメント・サーバを、 DMZに設置した場合、イントラネットでのアドレスと、インターネットでのアドレスを設定しておきます。端末がイントラネットとインターネットのどちらにあっても アクセスできるようにするためです。
    冗長性を維持するために、複数のMobiControlデプロイメントサーバ宛のアドレスを、端末は格納できます。 「サーバ群へのアクセス順位」を参照してください。この複数のサーバのアドレスをプロキシに許容しておきます。
  2. App ストア
    URL *.itunes.apple.com へのアクセスを許容しておく必要があります。
  3. Apple アクティベーションサービス
    iOS端末またはmacOSコンピュータをアクティベーション(初期設定)するために、Apple アクティベーションサービスにアクセスできるようにします。 監視モードとして設定する場合は、ABM(Apple Business Manager:旧DEP)サーバにもアクセスできるようにします。

C. Android端末を閉域網に置く

C-1. 原則的に完全閉域網で管理できる

MobiControlサーバがDMZにある場合、Android Enterpriseを含めて、Android端末は、完全閉域網で登録ができ、管理ができます。 完全閉域網で、MobiControlサーバから「構成プロファイル」「ルール」「パッケージ・アプリ」「端末の詳細設定」を 端末に向けて送ることができます。端末も、その各種ステータスをサーバに送ることができます。 「構成プロファイルとルールと詳細設定」を参照ください。

Android端末に電源が入ると、MobiControlエージェントが起動し、MobiControlサーバにTCP443経由で接続をし、そのコネクションを常時維持します。 端末がロック状態(スリープ状態)でも、エージェントは起動しています。サーバとのコネクションが切断された状態は、異常状態です。 「常にサーバとの接続を維持」を参照ください。

(図3)

MobiControlサーバが、MobiControlエージェントとそのプラグインを、SOTIサービスから直接取り込めるのは、v14.4.からです。 エージェントとプラグインの更新が容易になります。

C-2. TCP5228/5229/5230の開放が望ましい

バッテリ消費節減のために、サーバとの間の接続時間帯を制限することができます。 「Android:接続時間帯とログの設定」を参照ください。夜間、週末などには、接続中断とすることができます。
その他でも何らかの理由で、コネクションが切断される場合があります。 しかし、その接続中断の時間帯でも、MobiControlサーバ側から、送らなければならないペイロードが生じることがあります。例えば、端末紛失時の 位置情報送信を端末に要求する場合などです。この場合は、Googleのプッシュ通信サービス(FCM)を利用します。

多種類のスクリプトが用意されていますが、その中の1つである "connect -f"を送ると、 端末は、MobiControlサーバに対しTCP443経由で接続をします。
Googleのプッシュ通信サービス(FCM)経由のスクリプトを受信するためには、TCP5228/5229/5230を開放しておきます。

FCM = Firebase Cloud Messaging

(図4)
端末から接続をするように、FCM経由で働きかけ

端末からのMobiControlサーバへの接続が常時維持されている環境では、TCP5228/5229/5230の開放は、必須ではありません
Android端末は、通常TCP5228経由でGoogle FCMに、自らのIPアドレスを通知しています。
  • 携帯電話回線経由の場合は、28分に1回、端末は、HeartBeatパケット(端末自らのIPアドレスを含む)を送ります。
  • WiFi接続で、インターネットに接続している場合は、15分に1回、端末は、HeartBeatパケットを送ります。
  • もし、端末側のネットワークステータスが変わると、その都度、端末はHeartBeatパケットを送ります。 ネットワークステータスが変わるとは、イントラネットアドレスを含めて、アドレスが変わることです。
  • これにより、FCMは端末のアドレスなどを把握しています。

C-3. TCP443経由のアクセス先

TCP443経由で、次の宛先にアクセスすることを、プロキシで許容しておきます。
  1. MobiControlデプロイメントサーバ
    もし、MobiControlサーバが、SaaSの場合は、インターネットとのプロキシに、MobiControlデプロイメントサーバのURLをプロキシで許容します。
    もし、MobiControlサーバがDMZにあれば、イントラネットとDMZの間のプロキシに登録します。この場合は、トラフィックがインターネットに 流れることはなくなります

    1つのMobiControlデプロイメント・サーバに対して、端末は2つのアドレスを設定できます。もし、MobiControlデプロイメント・サーバを、 DMZに設置した場合、イントラネットでのアドレスと、インターネットでのアドレスを設定しておきます。端末がイントラネットとインターネットのどちらにあっても アクセスできるようにするためです。

    冗長性を維持するために、複数のMobiControlデプロイメントサーバ宛のアドレスを、端末は格納できます。 「サーバ群へのアクセス順位」を参照してください。この複数のサーバのアドレスをプロキシに許容しておきます。
  2. ウィルス検疫サーバ(BitDefenderのミラーサイト)
    エージェントのバージョンがv14.1以上の場合、端末内ファイルの関連情報を、計算し、BitDefenderのミラーサイトに送ります。汚染しているかどうかの検査は、サーバ側で行います。
    エージェントのバージョンが、v14.1未満の場合、BitDefenderのミラーサイトから、ウィルス定義ファイルをダウンロードし、端末側でウィルススキャンをします。
    BitDefenderのミラーサイトのURLは、次の通りです。
    • https://mobicontrolservices.soti.net/BitDefenderAntivirus
      (プライマリー・サーバ)
    • https://mobicontrolservices.soti.net/BDM/
      (セコンダリ・サーバ)
    BitDefenderのミラーサイトと接続しての ウィルス検疫を断念する場合は、このURLをプロキシに設定する必要はありません
    オンプレミスサーバによりウィルス検疫をするサードパーティの製品があります。これをDMZに設置する方策も考えられます。
  3. Google Play
    Google Playからアプリをダウンロードすることを想定する場合は、端末からGoogle Playにアクセスするための URLを許容しておく必要があります。Android Enterpriseの場合は、 managed Google PlayストアへのURLを許容しておきます。

    アプリをパッケージ化して、MobiControlサーバからプッシュ配信する場合は、Google PlayへのURLもプロキシに登録する必要はありません
  4. SOTI Enrollment Serviceに対するURL
    SaaSのMobiControlサーバを利用する場合は、下記の、D.項を参照ください。

D. SOTI Enrollment Serviceに対するURL

SaaSのMobiControlに、イントラネット内のAndroid端末を登録する場合について、説明します。 この場合、イントラネットとMobiControlサーバとの間は、(図1)のように、443ポートと5494ポートが開いている必要があります。
結論から述べますと、
  • 端末登録時に、登録用URL(またはIPアドレス)を端末に入力する場合は、
    SOTI Enrollment Serviceに対するURLを、Firewall/Proxyで、許容する必要はありません
  • 端末登録時に、登録IDを端末に入力する場合は、
    SOTI Enrollment Serviceに対するURLを、Firewall/Proxyで、許容する必要があります

登録用URLは、貴社が使用するMobiControlサーバのアドレスとサブディレクトリ(パス)から構成されます。

登録用URL

(図5)

端末を登録する際には、(図5)のような画面が現れます。 (図5)の白い欄には、登録用URLを入力します。
この登録用URLを以って、端末は、MobiControlサーバにアクセスします。 端末のアクセスを受けたMobiControlサーバは、このサブディレクトリ部分から、紐づけられた端末登録ルールを認識します。 そして、端末登録ルールが指定した端末グループに、端末を登録します。

登録用URLは、文字数が長いので、手入力に工数がかかります。そこで、 QRコード読み取りで、登録用URLを入力します。 MobiControl Stage Barcode Generatorを使って、登録用URLに対応するQRコードを作成しておきます。 (図5)の下段のバーコードマークをタップすると、バーコード読み取りアプリが起動するので、そのQRコードを読み取ることで、 登録用URLの入力が完了します。

(図5)では、登録用URLの替わりに、 登録IDを入力することもできます。登録IDは、8桁なので、登録用URLよりは手入力に手間がかかりません。

(図6)

(図5)で、登録IDの入力をすると、端末は、次の手順で、登録用URLを取得し、それをMobiControlサーバに申告します。
  • 最初に、クラウドにあるSOTI Enrollment Serviceにアクセスし、登録IDを申告します。
  • 端末は、SOTI Enrollment Serviceから、登録IDに連関する登録URLを取得します。
  • 端末は、取得したURLに基づき、MobiControlサーバにアクセスします。

(図5)で、登録用URLを入力した場合は、上記の をスキップし、 から登録手順を始めます。 この場合、Firewall/Proxyでは、SOTI Enrollment Serviceに対するURLを許容する必要はありません。

Windows Modern、Windows Classic、Windows Embedded 及びLinuxの登録では、(図5)の画面は現れません。 他の方法で、登録用URLをエンドポイントに入力します。
iPhone、iPad、macOSコンピュータでも、登録IDを使っての登録は原則的には行いません。

SOTI Enrollment ServiceのURLとIPアドレスは、(表1)の通りです。 登録IDを利用して、MobiControlサーバに登録する場合は、(表1)のURLとIPアドレスを プロキシサーバに登録しておいてください。

(表1)

URLIP アドレス
mc-enroll.soti.net54.208.149.103
54.208.194.169
54.209.62.205
54.209.186.178
54.209.186.251
54.209.207.237
(表1)の全てのIPアドレスを登録してください。ロードバランシングの目的で、mc-enroll.soti.netは、(表1)の全ての IPアドレスを使用します。

(図7)

完全閉域網内の端末から、DMZにあるMobiControlサーバに登録する場合は、登録IDの入力による登録は行いません。 登録用URLの入力で登録します。その登録用URLは、イントラネットのDNSサーバが発行したサーバURLと、MobiControlサーバが作成するサブディレクトリ部分で構成されます。
イントラネットのDNSサーバが無い場合は、イントラネット空間でのMobiControlサーバのPrivate IPアドレスがサーバアドレスになります。

E. Windows Modern PCを閉域網に置く

Windows PCをMobiControlで管理するに当たり、TCP443以外のポートを、ファイアウォールに開ける必要はありません。

E-1. WNSサーバに対するURL

MobiControlに登録されたWindows PCは、更新スケジュールを内蔵しています。 そしてスケジュール時刻になれば、MobiControlサーバに チェックインをします。 MobiControlサーバから「構成プロファイル」「ルール」「パッケージ・アプリ」及び「端末の詳細設定」の設定オブジェクトを 受領します。端末も、その各種ステータスをサーバに送ります。更新スケジュールの時間間隔は可変です。 最頻は、2分間隔です。デフォルトは2時間間隔です。
コンソール管理者は、設定オブジェクトを新規作成または編集をします。更新スケジュールの時刻になれば、 それらは、エンドポイントに配布され展開されます。

(図8)

  • しかし、コンソール管理者としては、これらの設定オブジェクトを、今すぐエンドポイントに送り、展開したいときがあります。 また、これらの設定オブジェクトを送る以外に、端末に働きかけをしたいことがあります。例えば、エンドポイントPCの画面に、 メッセージを表示をするなどの働きかけです。
  • MobiControlサーバは、エンドポイントへの要求を 中継送信することを、WNS(Windows Notification Service)に依頼します。「エンドポイント側からMobiControlサーバにチェックインせよ」との要求です。 エンドポイントPCでは、「Windowsプッシュ通知システム」というサービスが常時起動し、WNSとのコネクションを維持しています。 WNS経由の要求を受け取ります。
  • エンドポイントは、 更新スケジュールの時刻でないのにかかわらず、MobiControlサーバにチェックインをします。 そして、エンドポイントPCは、設定オブジェクトを受領し、展開します。

上述したWNSによるアドホックなチェックインをせず、更新スケジュールの時刻のみに、設定オブジェクトを 送る場合は、WNSの設定は不要です。

WNSのURLとIPアドレスの範囲については、 「WNSとの接続」を参照ください。

E-2. Microsoft Defender ATPに対するURL

Microsoft Defender ATPをサポートするMicrosoft のクラウドサービスへのアクセスをプロキシに許可しておきます。 これを許可しておくことで、ウィルス対策定義ファイルをすり抜けてきた攻撃に対する Microsoft Defender ATP による検知と、疑いのあるPCの隔離ができるようになります。

E-3. オンプレミスのWSUSサーバの設置

MobiControlは、構成プロファイルを配布することで、エンドポイントPCが、オンプレミスのWSUS(Windows Server Update Services)から Windowsの更新ファイルを受信するように設定できます。
WSUSサーバの設定方法は、Microsoftのドキュメント「 WSUS(Windows Server Update Services)サーバ」を参照ください。

MobiControlは、Windows Defenderによるウィルスの検疫の設定を行います。 WSUSから、ウィルス定義ファイルを、エンドポイントPCに配布する方法は、Microsoftの文書を参照ください。 「WSUSを使用して、Windows Defender を実行しているコンピュータに定義ファイルの更新版を適用する方法

E-4. オンプレミスのDHA(Device Health Attestation)サーバ

DHAサーバは、エンドポイントのデバイス正常性構成を検査します。その結果として、各エンドポイントPC毎のデバイス正常性構成証明書を MobiControlサーバに送ります。これに異常があれば、MobiControlはアラートを発します。

F. Windows Classic、Windows Embedded、Linuxを閉域網に置く

  • PCをWindows Classicとして設定する場合
    MobiControlサーバをDMZに設置しておけば、Windows Classicとして設定したPCを、完全閉域網で管理できます。
    MobiControlは、Windows Classicに対しては、Windows Defenderによるウィルス検疫をサポートしません。
  • Windows Embedded端末、Linux デバイス
    MobiControlサーバをDMZに設置しておけば、Windows Embedded端末、Linux デバイスを完全閉域網で管理できます。
MobiControlサーバをDMZに設置する理由は、MobiControlサーバをSOTI Serviceに接続させるためです。 SOTI Serviceに接続させる理由は、下記の 「G-3.SOTIのサイトとの交信」を参照ください。
端末登録後も、エージェントは、バージョンアップされます。バージョンアップされたエージェントは、 MobiControlサーバから端末に配布するためにも、「Agent Builder Service」は、必要です。

G. オンプレミスのMobiControlサーバのインターネットとの接続

G-1. APNsサーバに対するTCPポート

(図9)
(図2)で示したように、iOS端末とmacOSコンピュータに、Apple APNs経由で「チェックイン 要求」コマンドを送ります。 この場合、MobiControlデプロイメントサーバからの送信にTCP2195を使います。
2195からの送信に対し、APNsは、そのフォーマットの適合性に関して、2196経由で応答を送り返します。

G-2. FCMサーバに対するTCPポート

(図10)
(図4)で示したように、Android端末に向けて、スクリプトをFCM経由で送る場合があります。 それに備えて、5228/5229/5230ポートを開けて置きます。 通常は、TCP5228経由ですが、Google FCMは5229/5230経由で応答することもあります。

G-3. SOTIのサイトとの交信

MobiControlサーバは、TCP443経由で、SOTIのサーバにアクセスします。(表2)のURLとIPアドレスを、貴社のプロキシに 登録してください。

(表2)

URLIP アドレス
activate2.soti.net
mc-enroll.soti.net
location2.soti.net
54.208.149.103
54.208.194.169
54.209.62.205
54.209.186.178
54.209.186.251
54.209.207.237
SOTIのサーバは、次のサービスを提供します。
  1. Activation Service
    MobiControlサーバをアクティベーションする際にアクセスします。またライセンス番号の照合をします。ライセンス終了期限が近づくとNoticeを MobiControlサーバ経由でコンソールに表示します。また、ライセンスの更新の際も、MobiControlサーバは、 SOTIのActivation Serviceと通信をします。
  2. Enrollment Service
    端末登録ルールを作成するときに、MobiControlサーバは アクセスします。そして、登録用サーバアドレスに対応する登録IDを、SOTIのこのサーバから取得します。
    「B. 端末を登録する際に、端末がアクセスするSOTIのサーバアドレス」を参照ください。
  3. Agent Builder Service
    次のオブジェクトを、MobiControlサーバは受領します。 Android Plusのエージェントを受領するために、MobiControlサーバは、次のURLにもアクセスします。
    agentdservice.s3.amazonaws.com
  4. Location Service
    端末から送られてきた緯度経度情報をコンソールの地図に展開するサービス。Microsoft Bing Mapと連動します。 端末の地理的位置とその住所が地図に表示されます。
  5. Remote Control Skins Service
    端末画面のリモートコントロール、又はリモートビューをする際に、該当端末の外枠フレーム画像(スキン)を提供します。 「ホームボタン」や「音量スライド」をリモート操作するために必要です。
    画像ファイルそのものは、このサーバから、コンソールに直接送られます。

H. AD_DSとの接続

端末やPCをMobiControlに登録する際に、AD_DS(Active Directory Domain Service)との認証を必要とするように、 端末登録ルールを作成することができます。 その際は、端末やPCの登録の前に、MobiControlサーバとAD_DSサーバとの間に、ディレクトリサービスとの接続プロファイルを作成しておきます。
端末の登録の毎に、MobiControlサーバは、AD_DSサーバと通信をします。 その場合は、TCP389と636をFirewallに開けておく必要があります。TCP389と636のプロトコルはLDAPです。

(図11)

AD_DSとの認証を受ける場合、端末やエンドポイントPCは、AD_DSサーバとMobiControlサーバの両方に、接続できる環境にある必要があります。 (図11)の場合では、イントラネットの中に、端末がある場合です。

MobiControlサーバとAzure AD若しくはIDプロバイダとの接続は、TCP443経由となります。

Azure ADで認証 ID プロバイダで認証
(図12)
(図13)
AzureのAD_DSとの接続プロファイルの作成方法は、 AzureのAD_DSとの接続プロファイルを参照ください。 IDプロバイダとの接続プロファイルの作成方法は、IDプロバイダとの接続プロファイルを参照ください。
1台のiOS端末又はAndroid端末を、複数の従業員で共用することができます。その際は、AD_DS(Active Directory Domain Service)または、Azure IdPなどのIDプロバイダで、 ユーザの認証をします。そして、ユーザが所属するグループに割り当てた「構成プロファイル」「アプリ」「ルール」「端末詳細設定」 に従って、端末が挙動します。
Android: 端末の共用」と「iOS: 端末の共用」を参照ください。

認証サービスは、「ディレクトリサービス」と「IDプロバイダ」の2つに大別されます。認証サービスによる認証を得て、MobiControlに登録できる端末のOSまたは設定モードには 制限があります。次表を参照ください。

ディレクトリサービスIDプロバイダ
(Azure IdP、Okta、PingFederateなど)
オンプレミスAzure AD
iPhone、iPad、Android、macOS
  • 端末登録時の認証
  • 端末の共用 注1
  • 構成プロファイルへの埋め込み 注2
Windows Modern

端末登録時の認証
構成プロファイルへの埋め込み 注2
セルフサービスポータル
コンソールへのログイン認証
  • 注1 端末の共用
    1台の端末を、異なる部門のユーザ間で共用する機能。認証サービスによる認証を得ることで、端末ユーザを変えることができる。端末ユーザが変わると、 端末の設定やアプリなどを、自動切換えできる。
  • 注2 構成プロファイルへの埋め込み
    メール、WiFi、VPNなどの構成プロファイルに端末ユーザのUPNやメールアドレスを自動的に埋め込んでから、端末に配布する機能。端末ユーザが、これらの設定操作をする必要がなくなる。

I. MobiControlサーバ・コンポーネント間の接続

MobiControlサーバは、次のサーバコンポーネントから構成されています。
  • MobiControlデプロイメントサーバ
  • MobiControlマネージメントサーバ
  • MobiControl Search Server
  • Microsoft SQLサーバ
これらのサーバ間は、(図14)で示されるポートで情報共有をします。
端末台数が少ない場合、これら4つのサーバコンポーネントを1台のサーバハードウエァに同居させることが可能です。
端末台数が多い場合は、デプロイメント・サーバを並列複数台数とします。国内でも数万台の端末を管理しているMobiControlシステムがあります。
コンソールで、端末フィルタ条件式を入力して、表示する端末群を限定するときは、 MobiControl Search Serverが、SQLステートメントを作成し、マネージメントサーバ経由で、Microsoft SQLサーバに、サブミットします。
(図14)

J. オプション・サーバとの接続

SOTIは、MobiControl以外に、幾つかのオプションサーバを提供しています。
サーバのサービス名概 要
ERG(Enterprise Resource Gateway)
無償
Firewallの外部にある端末が、内部にあるリポジトリ・サーバから文書、画像、動画を 安全に入手するための逆プロキシサーバ
SOTI Assist Server
有償
システム運用に伴うインシデントを管理します。インシデント発生に伴い、これの解決に 向かっての工程管理をします。
Exchange ActiveSync Filter
無償
MS ExchangeサーバのフロントサーバであるActiveSyncサーバにアドオンするソフトウェアです。 MS Exchangeサーバへの不法アクセスを防止します。

K. ネットワーク・ポートに関するSOTIの情報

ネットワーク・ポートに関する、より詳しい情報は、下記のSOTIのリンクにアクセスください。
  • Network Configuration Diagram
    https://www.soti.net/mc/help/v14.4/en/network_config_diagram/network_config_diagram.html
    このページでは、システムの構成の仕方によって、構成図とポート番号がダイナミックに変化して表示されます。
    ここでいうシステムの構成とは、下記のの選択項目で、どの選択肢を選ぶかを指します。 これらの選択肢によって構成図が変化します。
    • MobiControlサーバの設置場所
      • Cloud (SaaS)
      • DMZ
        貴社のDMZに設置(Firewallの外にある端末からのアクセスを想定)
      • Internal
        貴社の内部ネットワークに設置(Firewallの中にある端末からのアクセスを想定)
    • 複数のサーバコンポーネントのインストール
      • デプロイメントサーバとマネージメントサーバを、別々のハードウエアにインストール
      • 1つのハードウェアに同居
  • Network Ports
    https://www.soti.net/mc/help/v14.1/en/setup/installing/network_ports.html
    上記J.項で示したオプションサーバを含む 関連する全てのシステムコンポーネントとのTCPポートを記述してあります。
  • Network Diagram
    https://www.soti.net/mc/help/v13/en/Content/Setup/MCSetup.htm#network_diagram
    MobiControl v13をDMZに設置した場合の情報ですが、ページの下辺に構成図が表示されており、参考になります。