閉域網Firewallのポート番号とURL

MobiControl v14 Manual


Firewallで保護された 社内WiFiのみに接続している端末や、事業所内LANに接続しているPCを、MobiControlを利用して運用管理する場合があります。 閉域SIMサービスに加入しているスマホもあります。それらの閉域網のFirewallで許可しておくべきポート番号や宛先URL等を説明します。

A. Android端末とFirewall

Android端末を閉域網に置いて運用する場合の、Firewallで許可するポート番号を(図1)に示します。
許可することが必須のポートとオプションのポートがあります。
もし、MobiControlサーバを、貴社のDMZに設置し、オプションサービスとの接続を断念するならば、 Android端末は、完全閉域網に置いて運用をすることができます。許可するポートを (図1)での、 の443と5494に限定できるからです。
MobiControlによる完全閉域網内のAndroid端末の管理運用は、国内でも多くの実績があります。 数万台規模のAndroid Plus と Android Enterprise での運用事例が、数多くあります。
但し、Android Enterpriseは、それをセットアップする時だけ、Port443(Outbound) 経由でIPアドレス 173.194.* へ アクセスできるネットワーク環境に置いておくのが簡易なセットアップ方法です。IPアドレス 173.194.* の宛先は、Googleのサービスサイトです。

(図1)

説明を開いた状態
説明を閉じた状態

(図1)の からの詳細は、 下記のをクリックください。

端末とMobiControlサーバとの交信

  • Portsトランスポート層
    プロトコル
    アプリケーション層
    プロトコル
    方向宛先
    443TCPhttps端末から見て
    Outbound
    MobiControlサーバの
    URLまたはIPアドレス
    (プロキシ不可)
    5494TCPBinary
    MobiControl独自プロトコル
    Windows EmbeddedとWindows Classic
    の場合は、プロキシ可能
    端末のMobiControlエージェントは、端末登録時に、MobiControlサーバのURLを記憶しておきます。そして、端末起動時にMobiControlサーバに接続にいきます。
    その上で、チェックインのトリガーが働くと、MobiControlサーバと端末との間で ファイル、データ、コマンドを送受します。
    • URL または IPアドレス
      SaaSの場合は、弊社からURLをご連絡します。
      オンプレミスの場合は、貴社のDNSが名前解決できるURLとします。 オンプレミスの場合は、FQDNのURLでなく、IPアドレスのみによる接続も 可能ですが、サーバのIPアドレスが、将来変更になった場合、全ての端末を 登録しなおす面倒が生じます。Private DNSによるFQDN形式のURLを お勧めします。
    • Port5494
      MobiControlサーバは、接続している端末に、テストメッセージを、Port5494経由で送っています。 デフォルトでは60秒間隔です。
      ブラウザブラグインを使っての、端末画面のリモート操作(リモートビュー)では、 端末は、Port5494経由で、画面情報をサーバ/コンソールに送ります。
    • 端末が、どのようなトリガーで、MobiControlサーバに接続するかは、 「4. Apple端末以外の端末は、どのようなトリガーで、MobiControlサーバに接続するか」を参照ください。
    • 端末が、どのようなトリガーで、MobiControlサーバにチェックインをするかは、 「 5. Apple端末以外の端末は、どのようなトリガーで、MobiControlサーバにチェックインするか」を参照ください。

MobiControlサーバからSOTI Servicesへ

  • Portsプロトコル方向宛先
    443TCPOutbound(表1) または (表2)並びに(表3)参照
    MobiControlサーバから、SOTI Servicesへアクセスすることを許可しておきます。 SOTI Servicesは、(表1)で示すように4種類の Serviceから構成されます。 URLベースで許可する場合は、(表1)のURLをFirewallで許可ください。

    (表1)

    サービス名対応するURL
    Activation Serviceactivate2.soti.net
    MobiControlサーバのライセンスコードを更新したときに、Activation Serviceから、そのライセンスコードの 真正性を認証してもらいます。登録した端末台数の増減情報を、MobiControlサーバからActivation Serviceに送ります

    Agent Builder Serviceactivate2.soti.net
    Windows Embedded端末、及び、Windows Classic PCの端末登録ルール作成の都度、MobiControlサーバは、 Agent Builder Serviceに、エージェントの生成を依頼し、それを受け取ります。 コンソールは、これをMobiControlサーバからダウンロードし、登録しようとする 端末やPCにてインストールします。

    Enrollment Servicemc-enroll.soti.net
    端末登録ルールを作成したら、MobiControlサーバは、Enrollment Serviceに通告します。 Enrollment Serviceは、その端末登録ルールに紐づけられる登録IDをサーバに送り返してきます。

    Location Servicemobicontrolservices.soti.net
    端末から送られてきた緯度経度情報(テキスト情報)を、MobiControlサーバは、SOTIのLocation Serviceサーバに送ります。
    Location Serviceは、緯度経度情報をもとに、Bing Mapサイトへの問い合わせデータを生成し、MobiControlサーバに送ります。
    MobiControlサーバは、それを、Bing Mapサイトに送ります。そしてBing Mapサイトから位置に関するポインティング情報を、受け取ります。
    コンソールは、Bing Mapから地図(画像)ダウンロードし、これにMobiControlサーバから受領した位置に関するポイント情報を描画します。
    IPアドレスベースで許可する場合は、(表2)のIPアドレスをFirewallで許可ください。

    (表2)

    54.208.149.103
    54.208.194.169
    54.209.62.205
    54.209.186.178
    54.209.186.251
    54.209.207.237
    13.248.157.19上記の6つのアドレスに追加されて、これら4つのアドレスは、2020年9月9日以降に使われます。
    2020年9月9日までには許可しておいてください。
    76.223.23.230
    75.2.25.8
    99.83.149.241
    (表2)の全てのIPアドレスを許可してください。ロードバランシングの目的で、(表2)のどれかのIPアドレスで、接続をします。 (表1)と(表2)以外に、(表3)のURLもFirewallで許可しておいてください。

    (表3)

    activate2.soti.net(表1)と重複
    agentdservice.s3.amazonaws.com
    (表3)は、MobiControlサーバが、Android Plusの最新エージェント、並びに、Android Enterprise及びAndroid Plusの 最新プラグインを、取り込むためのサイトです。
    (図2)は、(表3)のサイトから得た情報に基づく、エージェント管理画面です。

    (図2)

    「ローカルバージョン」の列の値が、MobiControlサーバに 格納しているエージェントのバージョン、「最新のバージョン」の列の値が、(表3)のサイトから得たSOTI側で格納しているエージェントのバージョン情報です。「更新」を押すと、 MobiControlサーバに最新エージェントを取り込めます。
    詳しくは、下記を参照ください。

端末からSOTI Servicesへ

  • Portsプロトコル方向宛先
    443TCPOutboundmc-enroll.soti.net または (表2)
    端末のMobiControlエージェントに、登録用URLでなく、登録IDを入力して、SaaSのMobiControlサーバに登録するようにしたい場合に限り、 mc-enroll.soti.netへのアクセスを許容しておきます。 これは、(表4)で、黄色の場合です。

    (表4)


    MobiControlサーバの設置場所
    SaaS貴社DMZ
    登録用URL入力で登録
    登録ID入力で登録
    黄色の場合、端末からSOTIのEnrollment Service(url: mc-enroll.soti.net)にアクセスし、登録IDに照応する登録用URLを取得してから登録します。
    その仕組みについては、 「B-3. 登録IDから登録用URLを取得」 を参照ください。
    (表4)で、水色の場合は、端末からSOTIのEnrollment Serviceにアクセスする必要はありません。

    IPアドレスベースで許可する場合は、(表2)のIPアドレスをFirewallで許可ください。

    (表2)(再掲)

    54.208.149.103
    54.208.194.169
    54.209.62.205
    54.209.186.178
    54.209.186.251
    54.209.207.237
    13.248.157.19上記の6つのアドレスに追加されて、これら4つのアドレスは、2020年9月9日以降に使われます。
    2020年9月9日までには許可しておいてください。
    76.223.23.230
    75.2.25.8
    99.83.149.241
    (表2)の全てのIPアドレスを許可してください。ロードバランシングの目的で、(表2)のどれかのIPアドレスで、接続をします。

Bing Map

  • Portsプロトコル方向宛先
    443TCPOutbound www.bing.com/maps
    コンソールに、端末の地理的位置を地図表示するようにしたい場合には、MobiControlサーバからBing Mapサイトへのアクセスを許可しておきます。
    Android端末の過去の移動位置履歴や、現在の位置を、コンソールで地図表示する仕組みは、 「端末の位置表示の仕組み」を参照ください。

Play ストア

  • Portsプロトコル方向宛先
    443TCPOutbound (表5)参照
    5228
    5229
    5230
    TCP
    UDP
    Playストアからアプリを直接ダウンロードすることを、端末に許可する場合には、Google宛URL、またはIPアドレスレンジを、 Firewallで許可しておきます。端末側とMobiControlサーバ側の両方のFirewallで、(表5)のURLまたはIPアドレスを許可しておきます。

    (表5)

    URL play.google.com
    android.com
    google-analytics.com
    googleusercontent.com
    *gstatic.com
    *gvt1.com
    *.ggpht.com
    dl.google.com
    dl-ssl.google.com
    android.clients.google.com
    *gvt2.com
    *gvt3.com
    *.googleapis.com
    IPアドレス Googleに依って管理されているAS番号15169に、割り当てられたIPアドレスリストをFirewallのホワイトリストとします。 下記リンクは、Hurricane Electronic社のAS番号15169でのIPアドレスリストです。
    AS15169 Google LLC

    MobiControlサーバ側から、Google Playサーバにアクセスするのは、アプリカタログを作成するのが目的です。

    Android Enterprise端末に対して、Playストアからダウンロードできるアプリは管理者用Googleアカウント保有者によって、指定制限できます

    (表5)のURLに関しては、 「 Android-Enterprise-Migration-Bluebook_2019.pdf」の37ページ目の「Devices」の項を参照ください。
    5228/5229/5230にUDPトラフィックが流れることも記述されています。

    完全閉域網の中の端末に、Playストアのアプリを、配布するには、 まず、コンソールで、該当アプリ(APKファイル)をダウンロードします。そして、次の 2つの方法のどれかを使って、端末(群)にアプリインストーラを配布します。 アプリのサイレントインストールができます。

Googleプッシュ通信サービス

  • Portsプロトコル方向宛先
    443、5228、5229、5230TCPOutbound (表6)参照
    Android端末は、MobiControlサーバに、原則的に常時接続しています。
    しかし、なんらかの理由で切断している場合があります。その場合は、 Googleプッシュ通信サービス(FCM = Firebase Cloud Messaging)を利用します。 Googleプッシュ通信サービスを利用する場合には、 Google宛URLを、Firewallで許可しておきます。端末側とMobiControlサーバ側の両方のFirewallで、(表6)のURLまたはIPアドレスを許可しておきます。

    (表6)

    URLベースで制限する場合 fcm.googleapis.com
    fcm-xmpp.googleapis.com
    Android-Enterprise-Migration-Bluebook_2019.pdf」の38ページ目を参照ください。
    IPアドレスベースで
    アクセス制限をする場合
    下記の2つのどちらかを選択します。
    1. IPアドレスによる制限なし
    2. Google の ASN 15169 に記載の IP ブロックに含まれているすべての IP アドレス
    Googleは、a.を推奨しています。
    b.のIPアドレスは、数が多く、頻繁に変更するので、少なくとも月に1回は、貴社Firewallでの 設定変更が必要になります。
    詳しくは、Googleのドキュメント「 FCM ポートとファイアウォール」を参照ください。
    端末とMobiControlサーバから見て、TCP5228/5229/5230が、Outbound Only でよい典拠は、 「 Android-Enterprise-Migration-Bluebook_2019.pdf」の37ページ目の「Firewall」の項を参照ください。

    Android端末とMobiControlサーバとの接続には、端末側からの接続アクションが必要です。 「4. Apple端末以外の端末は、どのようなトリガーで、MobiControlサーバに接続するか」を参照ください。
    もし、切断している場合に、コンソール側から次のアクションを起こすには、Googleプッシュ通信サービスを利用します。
    1. 端末側からMobiControlサーバに接続させる
      「E. オフラインの端末をサーバに接続させる」を参照ください。
    2. 切断している端末に、スクリプトコマンドを送る
    3. 切断している端末に、メッセージを送る

ウィルス検疫サービス

  • Portsプロトコル方向宛先
    443 TCPOutbound
    • URLベースで許可する場合は、下記のドメインを許可します。 *.bitdefender.net
    • IPアドレスベースで許可する場合は、下記リンクのページに記述されているIPアドレスを許可します。
      Amazon AWS のIPレンジ
      Firefoxで開いた場合は、「生データ」のタブを開くと表示されます。

    MobiControlエージェントは、ウィルススキャンのスケジュール時刻になったら、端末内のファイルの拇印(Finger Print)を Bitdefenerのサーバに送ります。
    Bitdefenderクラウドサービスは、常にアップデートしたマルウェアファイルの拇印をデータベースに格納してあります。
    そのデータベースと、端末から送った拇印群を照合します。
    もし、一致しているファイルがあれば、Bitdefenderは、MobiControlエージェントにその旨を通知します。
    通知を受けたMobiControlエージェントは、当該ファイルを隔離します。

    尚、2020年3月31日までは、下記の2つのURLををFirewallで許可していましたが、これらは不要になりました。
    • mobicontrolservices.soti.net/BitDefenderAntivirus
    • mobicontrolservices.soti.net/BDM/

    ウィルス検疫の構成プロファイルの作成については、下記ページを参照ください。

B. Apple端末とFirewall

Apple端末(iPhone、iPad、MacOSコンピュータ)を閉域網に置いて運用する場合に、Firewallで許可するポート番号を(図5)に示します。
Apple端末は、 (図5)ののポート5223(Outbound)のみを許可した閉域網で、MobiControlによる運用管理ができます。
更に、Appストアのアプリを端末に配布またはアップデートする場合は、(図5)ののTCP443(Outbound)を許可しておきます。
但し、Apple端末をMobiControlサーバに登録する時だけ、 及び が許可されているネットワーク環境で、それを実行します。

(図5)

*.apple.com をFirewallに登録しておくと、全てのAppleサイトへのアクセスを許可できます。
IPアドレスベースで、Firewallに登録する場合は、17.0.0.0/8 アドレスブロック全体を許可しておきます。
これで、(図1)の を、まとめて登録できます。
しかし、個別サービス毎に、細密に限定登録したい場合は、 下記の をクリックください。

説明を開いた状態
説明を閉じた状態

端末とMobiControlサーバとの交信

  • Portsトランスポート層
    プロトコル
    アプリケーション層
    プロトコル
    方向宛先
    443TCPhttps端末から見て
    Outbound
    MobiControlサーバの
    URLまたはIPアドレス
    (プロキシ不可)
    5494TCPBinary
    MobiControl独自プロトコル
    • URL または IPアドレス
      SaaSの場合は、弊社からURLをご連絡します。
      オンプレミスの場合は、貴社のDNSが名前解決できるURLとします。 オンプレミスの場合は、FQDNのURLでなく、IPアドレスのみによる接続も 可能ですが、サーバのIPアドレスが、将来変更になった場合、全ての端末を 登録しなおす面倒が生じます。Private DNSによるFQDN形式のURLを お勧めします。
    • MDMプロトコルによるチェックイン
      Apple端末が内蔵するMDMプロトコルは、Port443経由で、MobiControlサーバにチェックインします。チェックインをすることで、 MobiControlサーバから、「構成プロファイル」、「端末の詳細設定」、「ルール」を取得します。
      また、WIPEなどの端末への働きかけは、端末からのチェックインがあったときに、MobiControlサーバから 端末へ送られます。
      MDMプロトコルが、どのようなトリガーで、MobiControlサーバにチェックインをするかは、 「6. Apple端末端末は、どのようなトリガーで、MobiControlサーバにチェックインするか」を参照ください。
    • MobiControlエージェントによる接続
      端末ユーザが、 MobiControlのアイコンをタップ すると、MobiControlエージェントが起動します。MobiControlエージェントは、Port443と5494の両方で、MobiControlサーバに接続にいきます。
      MobiControlサーバは、接続している端末に、テストメッセージを、Port5494経由で送っています。 デフォルトでは60秒間隔です。
      ブラウザブラグインを使っての、iOS端末画面のリモートビューや、macOSコンピュータのリモート画面操作では、 端末は、Port5494経由で、画面情報をサーバ/コンソールに送ります。

MobiControlサーバからAPNS経由で端末にチェックインを要求

  • サーババージョンPortsプロトコル方向Appleの全てのクラウドサービス宛先
    v14.5.1以上 443、2197 TCP Outbound *.apple.com
    または
    17.0.0.0/8 アドレスブロック全体
    Appleの全てのサービスでなくAPNsにそのアクセスを限定したい場合は、
    で説明したチェックインを端末からさせるには、MobiControlサーバから APNs(Apple Push Notification service)経由で、Apple端末に、チェックインをするように要求を出します。
    TCP443経由で、APNSに中継を依頼します。TCP443経由で接続できない場合は、TCP2197経由で中継を依頼します。プロキシ設定は不能です。

端末がAPNS経由でチェックイン要求を受領

  • Portsプロトコル方向Appleの全てのクラウドサービス宛先
    5223TCPOutbound*.apple.com
    または
    17.0.0.0/8 アドレスブロック全体
    Appleの全てのサービスでなくAPNsにそのアクセスを限定したい場合は、
    で説明したチェックイン要求を、端末が受領するために、端末はTCP5223(Outbound)経由で、 APNs(Apple Push Notification service)への接続を維持しています。

    Apple端末に内蔵するMDMプロトコルは、APNs経由で受領したMobiControlサーバからのチェックイン要求に応えて、MobiControlサーバにチェックインをします。

    コンソールからメッセージを送り、Apple端末の画面に、それを表示することができます。 その送り方に2種類があります。
    1. 端末からのチェックインをさせ、TCP443経由でメッセージを送る。
    2. APNs経由でのみメッセージを送る。端末がロック中でもメッセージは表示されるが、そのメッセージは端末に保存されない。
    詳しくは、「Apple端末へメッセージを送る」を参照ください。

    尚、端末がTCP5223経由でのAPNsへの接続を、1週間以上しないと、APNsは、その旨をMobiControlサーバに通知します。そして、MobiControlサーバは、該当端末を 管理端末群から削除します。

    MobiControlに限らず、LINEなどのSNSやメールの着信通知を受領するためにも、Apple端末は、TCP5223経由で、APNsへの接続を維持しています。
    のPort5223が、端末から見てOutbound Only である典拠
    SOTI Network Diagramで、APNSを選択。

Bing Map

  • Portsプロトコル方向宛先
    443TCPOutbound www.bing.com/maps
    コンソールに、端末の地理的位置を地図表示するようにしたい場合には、MobiControlサーバからBing Mapサイトへのアクセスを許可しておきます。
    iPhoneとiPadの過去の移動位置履歴や、現在の位置を、コンソールで地図表示する仕組みは、 「iPhone、iPadの位置表示スキーム」を参照ください。

MobiControlサーバからSOTI Servicesへ

  • Portsプロトコル方向宛先
    443TCPOutbound(表7) または (表8)
    MobiControlサーバから、SOTI Servicesへアクセスすることを許可しておきます。 SOTI Servicesは、(表7)で示すように4種類の Serviceから構成されます。 URLベースで許可する場合は、(表7)のURLをFirewallで許可ください。

    (表7)

    サービス名対応するURL
    Activation Serviceactivate2.soti.net
    MobiControlサーバのライセンスコードを更新したときに、Activation Serviceから、そのライセンスコードの 真正性を認証してもらいます。MobiControlに登録した端末台数の増減情報を、MobiControlサーバからActivation Serviceに送ります

    Agent Builder Serviceactivate2.soti.net
    Windows Embedded端末、及び、Windows Classic PCの端末登録ルール作成の都度、MobiControlサーバは、 Agent Builder Serviceに、エージェントの生成を依頼し、それを受け取ります。 コンソールは、これをMobiControlサーバからダウンロードし、登録しようとする 端末やPCにてインストールします。

    Enrollment Servicemc-enroll.soti.net
    端末登録ルールを作成したら、MobiControlサーバは、Enrollment Serviceに通告します。 Enrollment Serviceは、その端末登録ルールに紐づけられる登録IDをサーバに送り返してきます。

    Location Servicemobicontrolservices.soti.net
    端末から送られてきた緯度経度情報(テキスト情報)を、MobiControlサーバは、SOTIのLocation Serviceサーバに送ります。
    Location Serviceは、緯度経度情報をもとに、Bing Mapサイトへの問い合わせデータを生成し、MobiControlサーバに送ります。
    MobiControlサーバは、それを、Bing Mapサイトに送ります。そしてBing Mapサイトから位置に関するポインティング情報を、受け取ります。
    コンソールは、Bing Mapから地図(画像)ダウンロードし、これにMobiControlサーバから受領した位置に関するポイント情報を描画します。
    IPアドレスベースで許可する場合は、(表8)のIPアドレスをFirewallで許可ください。

    (表8)

    54.208.149.103
    54.208.194.169
    54.209.62.205
    54.209.186.178
    54.209.186.251
    54.209.207.237
    13.248.157.19上記の6つのアドレスに追加されて、これら4つのアドレスは、2020年9月9日以降に使われます。
    2020年9月9日までには許可しておいてください。
    76.223.23.230
    75.2.25.8
    99.83.149.241
    (表8)の全てのIPアドレスををFirewallで許可してください。ロードバランシングの目的で、(表8)のどれかのIPアドレスで、接続をします。

端末からSOTI Servicesへ

  • Portsプロトコル方向宛先
    443TCPOutboundmc-enroll.soti.net または (表10)
    端末のMobiControlエージェントに、登録用URLでなく、登録IDを入力して、SaaSのMobiControlサーバに登録するようにしたい場合に限り、 mc-enroll.soti.netへのアクセスを許容しておきます。これは、 (表9)の「非推奨」のケースです。

    (表9)


    MobiControlサーバの設置場所
    SaaS貴社DMZ
    監視モードとして設定
    非監視モード
    として設定
    Safariに
    登録用URL入力で登録
    推奨
    MobiControlエージェントに
    登録ID入力で登録
    非推奨
    登録用URLは、登録IDより文字数が多く、手入力は大変です。
    しかし、登録用URLをQRコード化しておき、それを端末で読み取ることで、作業は軽減できます。
    (表9)での水色の部分に相当するケースでは、mc-enroll.soti.netへのアクセスを許容する必要はありません。

    IPアドレスベースで許可する場合は、(表10)のIPアドレスをFirewallで許可しておきます。

    (表10)

    54.208.149.103
    54.208.194.169
    54.209.62.205
    54.209.186.178
    54.209.186.251
    54.209.207.237
    13.248.157.19上記の6つのアドレスに追加されて、これら4つのアドレスは、2020年9月9日以降に使われます。
    2020年9月9日までには許可しておいてください。
    76.223.23.230
    75.2.25.8
    99.83.149.241
    (表10)の全てのIPアドレスを登録してください。ロードバランシングの目的で、(表10)のどれかのIPアドレスで、接続をします。

Appleデバイス管理

  • Portsプロトコル方向Appleの全てのクラウドサービス宛先
    443TCPOutbound*.apple.com
    または
    17.0.0.0/8 アドレスブロック全体
    Appleの全てへのクラウドサービスでなく、Appleの「デバイス管理」サービスのみに、 アクセスを許容しておきたい場合は、(表11)のURLを許可しておきます。
    MobiControlサーバからAppleの「デバイス管理」サービスへアクセスできるようにしておきます。
    端末をMobiControlに登録する際も、Appleの「デバイス管理」サービスへアクセスできるネットワーク環境に、端末を移動しておきます。

    (表11)

    deviceenrollment.apple.comDEPの暫定登録
    deviceservices-external.apple.com
    identity.apple.comAPNs 証明書リクエストポータル
    iprofiles.apple.comApple School Manager や Apple Business Manager に Device Enrollment 経由でデバイスを登録する際に使われるホスト登録プロファイル
    mdmenrollment.apple.comMDM サーバが、Apple School Manager や Apple Business Manager に Device Enrollment で 登録されるクライアントで使われる登録プロファイルをアップロードし、デバイスとアカウントを検索
    setup.icloud.com共有 iPad で管理対象 Apple ID を使ってログインするために必要
    詳しくは、Appleの下記のドキュメント
    エンタープライズネットワークで Apple 製品を使う」 の「デバイス管理」の項を参照ください。

    端末のMobiControlへの 登録が終われば、アクセスができないネットワーク環境内へ端末を移動し、運用管理を開始することもできます

Appストア

  • Portsプロトコル方向Appleの全てのクラウドサービス宛先
    443TCPOutbound*.apple.com
    または
    17.0.0.0/8 アドレスブロック全体
    Appleの全てのサービスでなく、Appストアのみに、アクセスを許容しておきたい場合は、次のURLを許可しておきます。
    • *.itunes.apple.com
    • *.apps.apple.com
    • *.mzstatic.com
    • itunes.apple.com
    • vpp.itunes.apple.com
    詳しくは、Appleの下記のドキュメント 「エンタープライズネットワークで Apple 製品を使う」 の「App Store」の項を参照ください。

    端末ユーザがAppストアからダウンロードできるアプリを指定制限することができます。
    端末が監視モードの場合は、Apple Business Manager担当者が指定したアプリのみをダウンロードでき、 且つそのアプリは、サイレントインストールされます。

Apple デバイスの設定

  • Portsプロトコル方向Appleの全てのクラウドサービス宛先
    443TCPOutbound*.apple.com
    または
    17.0.0.0/8 アドレスブロック全体
    Appleの全てのサービスでなく、「デバイスの設定」サービスのみに、アクセスを許容しておきたい場合は、Appleのドキュメント
    エンタープライズネットワークで Apple製品を使う」 の「デバイスの設定」の項で示されているURLをFirewallで許可しておきます。
    端末をMobiControlに登録する際やOSのアップデートの際は、Appleの「デバイス管理」サービスへアクセスできるネットワーク環境に、端末を移動しておきます。

    端末のMobiControlへの 登録が終われば、アクセスができないネットワーク環境内へ端末を移動し、運用管理を開始することもできます

ソフトウェアアップデート

  • Portsプロトコル方向Appleの全てのクラウドサービス宛先
    443TCPOutbound*.apple.com
    または
    17.0.0.0/8 アドレスブロック全体
    Appleの全てのサービスでなく、「ソフトウェアアップデートサービスのみに、アクセスを許容しておきたい場合は、Appleのドキュメント
    エンタープライズネットワークで Apple製品を使う」 の「ソフトウェアアップデート」の項で示されているURLをFirewallで許可しておきます。
    iOS、iPadOS、macOSをアップデートする場合は、Appleの「ソフトウェアアップデート」サービスに接続できるネットワーク環境に端末を移動させます。

    端末OSのアップデートが終われば、アクセスができないネットワーク環境内へ端末を移動し、運用管理を開始することもできます

    端末をAppleの「ソフトウェアアップデート」サービスに接続できるネットワーク環境に置いておくと、自動的に、OSがアップデートされることがあります。 これをコントロールすることができます。詳しくは、「Apple製品デバイスに働きかける」のページの「6. OSをアップデート」の項を参照ください。

C. Windows Modern とFirewall

閉域網に設置したPCをWindows Modernとして設定した場合のFirewallで許可するポート番号を(図7)に示します。 許可することが必須のポートとオプションのポートがあります。
をDMZに設置すると、 及び に対する アクセスを不要にできます。

(図7)

(図1)の からの詳細は、 下記のをクリックください。
説明を開いた状態
説明を閉じた状態

エンドポイントとMobiControlサーバとの交信

  • Portsトランスポート層
    プロトコル
    アプリケーション層
    プロトコル
    方向宛先
    443TCPhttps端末から見て
    Outbound
    MobiControlサーバの
    URLまたはIPアドレス
    (プロキシ不可)
    5494TCPBinary
    MobiControl独自プロトコル
    Windows EmbeddedとWindows Classic
    の場合は、プロキシ可能
    エンドポイントPCは、起動すると、Port443と5494経由で、MobiControlサーバに接続にいきます。 接続をしていれば、エンドポイントPCが内蔵する更新スケジュールの時刻になると、エンドポイントはチェックインを 行ないます。
    チェックインの結果、MobiControlサーバから「構成プロファイル」「ルール」「パッケージ・アプリ」及び「端末の詳細設定」の設定オブジェクトを 受領します。エンドポイントも、その各種ステータスをサーバに送ります。
    更新スケジュールの時間間隔は可変です。 最頻は、2分間隔です。デフォルトは2時間間隔です。
    • URL または IPアドレス
      端末登録ルールで、MobiControlサーバのアドレスを指定します。
      SaaSの場合は、弊社からURLをご連絡します。
      オンプレミスの場合は、貴社のDNSが名前解決できるURLとします。 オンプレミスの場合は、FQDNのURLでなく、IPアドレスのみによる接続も 可能ですが、サーバのIPアドレスが、将来変更になった場合、全てのエンドポイントを 登録しなおす面倒が生じます。Private DNSによるFQDN形式のURLを お勧めします。
    • Port5494
      MobiControlサーバは、接続しているエンドポイントに、テストメッセージを、Port5494経由で送っています。 デフォルトでは60秒間隔です。
      ブラウザブラグインを使っての、エンドポイント画面のリモート操作では、 エンドポイントは、Port5494経由で、画面情報をサーバ/コンソールに送ります。
    • エンドポイントが、どのようなトリガーで、MobiControlサーバに接続するかは、 「4. Apple端末以外の端末は、どのようなトリガーで、MobiControlサーバに接続するか」を参照ください。
    • エンドポイントが、どのようなトリガーで、MobiControlサーバにチェックインをするかは、 「 5. Apple端末以外の端末は、どのようなトリガーで、MobiControlサーバにチェックインするか」を参照ください。

Windowsプッシュ通知サービス(WNS)

  • Portsプロトコル方向宛先
    443TCP OutboundWNSとの接続」のページの「WNSのURLとIPアドレス」の項を開いてください。
    で、説明したように、エンドポイントは、内蔵している更新スケジュールのスケジュール時刻になれば、 MobiControlサーバにチェックインをします。チェックインの結果、エンドポイントは、 MobiControlサーバから「構成プロファイル」「ルール」「パッケージ・アプリ」及び「端末の詳細設定」の設定オブジェクトを受領します。
    コンソール管理者は、それら設定オブジェクトを新規作成または編集をします。しかし、それらのエンドポイントへの配布は、 更新スケジュールの時刻になるまで、待たなければなりません。 待たずに送るためには、WNS(Windows プッシュ通知サービス)の設定をしておきます。
    • a. 「構成プロファイル」「端末の詳細設定」の設定オブジェクトや「パッケージ・アプリ」のエンドポイント群への割り当てが終わると、 MobiControlサーバは、WNS経由で、エンドポイントに対しチェックインを要求をします。エンドポイントはチェックインを実行し、これらを受領します。
    • b. コンソールから、エンドポイントへの働きかけをした後に、 チェックインボタン を押します。 そうすると、MobiControlサーバは、WNS経由でエンドポイントにチェックインを要求します。エンドポイントはチェックインを実行し、それらの働きかけを受領します。
    • c. エンドポイントの画面にメッセージを表示したいことがあります。その場合も、コンソールで、 チェックインボタン を押します。

    上述したWNSによるアドホックなチェックイン要求をせず、更新スケジュールの時刻のみに、設定オブジェクトを 送る場合は、WNSの設定は不要です。

SOTI Services

  • Portsプロトコル方向宛先
    443TCPOutbound(表12) または (表13)
    MobiControlサーバから、SOTI ServicesへアクセスするためのURLを Firewallで、許可しておきます。 SOTI Servicesは、(表12)で示すように4種類の Serviceから構成されます。 URLベースで許可する場合は、(表12)のURLををFirewallで許可しておきます。

    (表12)

    サービス名対応するURL
    Activation Serviceactivate2.soti.net
    MobiControlサーバのライセンスコードを更新したときに、Activation Serviceから、そのライセンスコードの 真正性を認証してもらいます。MobiControlに登録した端末台数の増減情報を、MobiControlサーバからActivation Serviceに送ります

    Agent Builder Serviceactivate2.soti.net
    Windows Embedded端末、及び、Windows Classic PCの端末登録ルール作成の都度、MobiControlサーバは、 Agent Builder Serviceに、エージェントの生成を依頼し、それを受け取ります。 コンソールは、これをMobiControlサーバからダウンロードし、登録しようとする端末やPCにてインストールします。

    Enrollment Servicemc-enroll.soti.net
    端末登録ルールを作成したら、MobiControlサーバは、Enrollment Serviceに通告します。

    Location Servicemobicontrolservices.soti.net
    IPアドレスベースで許可する場合は、(表13)のIPアドレスをFirewallで許可ください。

    (表13)

    54.208.149.103
    54.208.194.169
    54.209.62.205
    54.209.186.178
    54.209.186.251
    54.209.207.237
    13.248.157.19上記の6つのアドレスに追加されて、これら4つのアドレスは、2020年9月9日以降に使われます。
    2020年9月9日までには許可しておいてください。
    76.223.23.230
    75.2.25.8
    99.83.149.241
    (表13)の全てのIPアドレスををFirewallで許可してください。ロードバランシングの目的で、(表13)のどれかのIPアドレスで、接続をします。

Bing Map

  • Portsプロトコル方向宛先
    443TCPOutbound www.bing.com/maps
    コンソールに、Windows PCの位置表示 する場合には、 MobiControlサーバからBing Mapサイトへのアクセスを許可しておきます。
    オンラインのWindows Modernエンドポイントから、その緯度経度情報(テキスト情報)を取得し、 MobiControlサーバは、Bing Mapにアクセスします。そして、Bing Mapに緯度経度情報を入力することで、 現在位置の地図表示を行ないます。

オンプレミスのWSUSサーバ

  • Portsプロトコル方向宛先
    443TCPOutbound貴社WSUSサーバのアドレス
    MobiControlは、構成プロファイルを配布することで、エンドポイントPCが、オンプレミスのWSUS(Windows Server Update Services)から Windowsの更新ファイルを受信するように設定できます。
    WSUSサーバの設定方法は、Microsoftのドキュメント「 WSUS(Windows Server Update Services)サーバ」を参照ください。

    MobiControlは、Windows Defenderによるウィルスの検疫の設定を行います。 WSUSから、ウィルス定義ファイルを、エンドポイントPCに配布する方法は、Microsoftの文書を参照ください。 「WSUSを使用して、Windows Defender を実行しているコンピュータに定義ファイルの更新版を適用する方法

    オンプレミスのWSUSサーバを設置した場合、FirewallのTCP443(Outbound)に、WSUSサーバに対するアドレスを、許可しておきます。

オンプレミスのDHA(Device Health Attestation)サーバ

  • Portsプロトコル方向宛先
    443TCPOutbound貴社DHAサーバのアドレス
    DHAサーバは、エンドポイントのデバイス正常性構成を検査します。その結果として、各エンドポイントPC毎のデバイス正常性構成証明書を MobiControlサーバに送ります。これに異常があれば、MobiControlはアラートを発します。

Windows Defender サービス

  • Portsプロトコル方向宛先
    443 TCP Outbound Windows Defenderを使用する上での Firewall設定」のページを参照ください。
    Windows Defender サービスは、Microsoftによるシグネチャベースでのウィルス検疫サービスです。 この検疫サービスによりマルウェアとして判定されたファイルを、MobiControlは、隔離します。
    詳しくは、「Windows PCの機能制限」を参照ください。

    の オンプレミスのWSUSサーバを利用する場合、このURLを許可する必要はありません。

Microsoft Defender ATP サービス

Windows 更新サービス

  • Portsプロトコル方向宛先
    443 TCP Outbound Windows Update / Microsoft Update の接続先 URL について」のページ」を参照ください
    Windowsの更新を行なうために、MicrosoftのWindows Update サービスへのアクセスを許可しておきます。

    の オンプレミスのWSUSサーバを利用する場合、このURLを許可する必要はありません。

デバイス正常性構成証明サービス

  • Portsプロトコル方向宛先
    443 TCP Outboundhas.spserv.microsoft.com
    エンドポイントPCが起動すると、MicrosoftのDHA(Device Health Attestatation)サービスに、そのハードウェアステータスに関する情報を送ります。 HDDなどストレージ内のファイルは送りません。DHAサービスは、エンドポイントのセキュリティに対する脆弱性を診断します。その診断結果が、デバイス正常性構成証明書です。 MobiControlサーバは、該当のエンドポイントがチェックインする毎に、Microsoft DHAから、デバイス正常性構成証明書を取得します。 コンソールで、エンドポイント毎の「端末の詳細」タブに、デバイス正常性構成証明書が表示されます。

    の オンプレミスのDHAサーバを利用する場合、このURLを許可する必要はありません。

D. Windows Classic、Windows Embedded、LinuxとFirewall

Windows Classicとして設定したPC、Windows Embedded端末、Linuxデバイスを閉域網に置いて運用する場合の、Firewallで許可するポート番号を(図8)に示します。

(図8)

説明を開いた状態
説明を閉じた状態

(図8)のの詳細は、 下記のをクリックください。

端末とMobiControlサーバとの交信

  • Portsトランスポート層
    プロトコル
    アプリケーション層
    プロトコル
    方向宛先
    443TCPhttps端末から見て
    Outbound
    MobiControlサーバの
    URLまたはIPアドレス
    5494TCPBinary
    MobiControl独自プロトコル
    端末が、Windows Classic または Windows Embeddedの場合は、プロキシ設定が可能です
    端末のMobiControlエージェントは、端末登録時に、MobiControlサーバのURLを記憶しておきます。そして、端末起動時にMobiControlサーバに接続にいきます。
    原則的に、常時接続しています。
    その上で、チェックインのトリガーが働くと、MobiControlサーバと端末との間で ファイル、データ、コマンドを送受します。
    • URL または IPアドレス
      SaaSの場合は、弊社からURLをご連絡します。
      オンプレミスの場合は、貴社のDNSが名前解決できるURLとします。 オンプレミスの場合は、FQDNのURLでなく、IPアドレスのみによる接続も 可能ですが、サーバのIPアドレスが、将来変更になった場合、全ての端末を 登録しなおす面倒が生じます。Private DNSによるFQDN形式のURLを お勧めします。
    • Port5494
      MobiControlサーバは、接続している端末に、テストメッセージを、Port5494経由で送っています。 デフォルトでは60秒間隔です。
      ブラウザブラグインを使っての、端末画面のリモート操作(リモートビュー)では、 端末は、Port5494経由で、画面情報をサーバ/コンソールに送ります。
    • 端末が、どのようなトリガーで、MobiControlサーバに接続するかは、 「4. Apple端末以外の端末は、どのようなトリガーで、MobiControlサーバに接続するか」を参照ください。
    • 端末が、どのようなトリガーで、MobiControlサーバにチェックインをするかは、 「 5. Apple端末以外の端末は、どのようなトリガーで、MobiControlサーバにチェックインするか」を参照ください。

MobiControlサーバからSOTI Servicesへ

  • Portsプロトコル方向宛先
    443TCPOutbound(表14) または (表15)参照
    MobiControlサーバから、SOTI Servicesへアクセスすることを許可しておきます。 SOTI Servicesは、(表14)で示すように4種類の Serviceから構成されます。 URLベースで許可する場合は、(表15)のURLをFirewallで許可ください。

    (表14)

    サービス名対応するURL
    Activation Serviceactivate2.soti.net
    MobiControlサーバのライセンスコードを更新したときに、Activation Serviceから、そのライセンスコードの 真正性を認証してもらいます。登録した端末台数の増減情報を、MobiControlサーバからActivation Serviceに送ります

    Agent Builder Serviceactivate2.soti.net
    Windows Embedded端末、及び、Windows Classic PCの端末登録ルール作成の都度、MobiControlサーバは、 Agent Builder Serviceに、エージェントの生成を依頼し、それを受け取ります。 コンソールは、これをMobiControlサーバからダウンロードし、登録しようとする 端末やPCにてインストールします。

    Enrollment Servicemc-enroll.soti.net
    端末登録ルールを作成したら、MobiControlサーバは、Enrollment Serviceに通告します。 Enrollment Serviceは、その端末登録ルールに紐づけられる登録IDをサーバに送り返してきます。

    Location Servicemobicontrolservices.soti.net
    端末から送られてきた緯度経度情報(テキスト情報)を、MobiControlサーバは、SOTIのLocation Serviceサーバに送ります。
    Location Serviceは、緯度経度情報をもとに、Bing Mapサイトへの問い合わせデータを生成し、MobiControlサーバに送ります。
    MobiControlサーバは、それを、Bing Mapサイトに送ります。そしてBing Mapサイトから位置に関するポインティング情報を、受け取ります。
    コンソールは、Bing Mapから地図(画像)ダウンロードし、これにMobiControlサーバから受領した位置に関するポイント情報を描画します。
    IPアドレスベースで許可する場合は、(表15)のIPアドレスをFirewallで許可ください。

    (表15)

    54.208.149.103
    54.208.194.169
    54.209.62.205
    54.209.186.178
    54.209.186.251
    54.209.207.237
    13.248.157.19上記の6つのアドレスに追加されて、これら4つのアドレスは、2020年9月9日以降に使われます。
    2020年9月9日までには許可しておいてください。
    76.223.23.230
    75.2.25.8
    99.83.149.241
    (表15)の全てのIPアドレスを許可してください。ロードバランシングの目的で、(表2)のどれかのIPアドレスで、接続をします。

Bing Map

  • Portsプロトコル方向宛先
    443TCPOutbound www.bing.com/maps
    コンソールに、端末の地理的位置を地図表示するようにしたい場合には、MobiControlサーバからBing Mapサイトへのアクセスを許可しておきます。
    端末の過去の移動位置履歴や、現在の位置は、次の仕組みで、コンソールで表示されます。
    1. データ収集ルールで、収集するデータの種類として「位置情報」を指定。
    2. データ収集ルールで、指定したスケジュール(頻度)で、MobiControl エージェントは 位置情報(緯度経度情報。テキスト形式)を収集し、端末内に保存する。
    3. チェックインのときに、端末が保存してあった位置情報(緯度経度情報。テキスト形式)をMobiControlサーバに送る。
    4. コンソールで、端末の位置を地図表示するアクションを選択すると、MobiControlサーバは Bing Mapサイトにアクセスし、緯度経度情報を送り、それに対応する、Bing Map上のポインティング情報を取得する。それをコンソールに送る。
    5. コンソールは、Bing Mapサイトから地図(画像)をダウンロードし、その画像に、MobiControlサーバから送られてきた ポインティング情報を乗せる。
      端末がMobiControlサーバに接続中なら、現在位置を表示する。オフラインの場合は、過去の位置履歴を表示する。

E. MobiControlサーバ・コンポーネント間のPort

MobiControlサーバは、次のサーバコンポーネントから構成されています。
  • MobiControlデプロイメントサーバ
  • MobiControlマネージメントサーバ
  • MobiControl Search Server
  • Microsoft SQLサーバ
これらのサーバ間は、(図9)で示されるポート経由で情報共有をします。
(図9)は、端末台数が3万台以上のシステムを想定しています。 端末台数が1000台以下と少ない場合、これら4つのサーバコンポーネントを1台のサーバハードウエァに同居させることが可能です。

(図9)の矢印線は、どちらのコンポーネントから接続コールを、イニシエーションするかを図示しています。 トラフィックは、双方向です。各コンポーネント間の通信プロトコルは、TCPです。

端末と接続するサーバは、MobiControlデプロイメントサーバです。上記で、単にMobiControlサーバと記述したのは、 正確には、MobiControlデプロイメントサーバです。

(図9)

端末台数が多い場合は、デプロイメント・サーバを並列複数台数とします。国内でも数万台の端末を管理しているユーザもあります。 端末とサーバとの交信頻度を多く設定している場合、端末台数が500台程度でも、2台のデプロイメントサーバで運営しているユーザもいます。

コンソールで、端末フィルタ条件式を入力して、表示する端末群を限定するときは、 MobiControl Search Serverが、SQLステートメントを作成し、マネージメントサーバ経由で、Microsoft SQLサーバに、サブミットします。

F. コンソールとの接続

(図10)

コンソールは、TCP443経由で、マネージメントサーバにアクセスします。
典拠は、SOTIのドキュメント
Network Ports
Management Server Connectionsの項
MobiControlシステムを管理し、モニターするためにコンソールで使うアプリは、ブラウザです。 次のブラウザをサポートします。
  • Google Chrome
  • Internet Explorer 11
  • Mozilla Firefox
典拠は、SOTIのドキュメント
System Requirementの Browsersの項
コンソールの権限アカウントは、複数作成できます。 アカウント別に、管理権限の範囲と、管理できる端末グループを制限できます。

コンソールからは、多くのインターネットサイトにTCP443経由でアクセスします。

E. AD_DSとの接続

端末やPCをMobiControlに登録する際に、AD_DS(Active Directory Domain Service)との認証を必要とするように、 端末登録ルールを作成することができます。 その際は、端末やPCの登録の前に、MobiControlサーバとAD_DSサーバとの間に、ディレクトリサービスとの接続プロファイルを作成しておきます。
端末の登録の毎に、MobiControlサーバは、AD_DSサーバと通信をします。 その場合は、TCP389と636をFirewallに開けておく必要があります。TCP389と636のプロトコルはLDAPです。

(図11)

端末は、AD_DSサーバにアクセスできるネットワーク環境になくても、MobiControlサーバにさえアクセスできれば、端末は、 AD_DSとの認証を受けてMobiControlに登録できます。

MobiControlサーバとAzure AD若しくはIDプロバイダとの接続は、TCP443経由となります。

Azure ADで認証 ID プロバイダで認証
(図12)
(図13)
AzureのAD_DSとの接続プロファイルの作成方法は、 AzureのAD_DSとの接続プロファイルを参照ください。 IDプロバイダとの接続プロファイルの作成方法は、IDプロバイダとの接続プロファイルを参照ください。

認証サービスは、「ディレクトリサービス」と「IDプロバイダ」の2つに大別されます。認証サービスによる認証を得て、MobiControlに登録できる端末のOSまたは設定モードには 制限があります。 詳しくは、「認証サービスによる認証」を参照ください。

F. オプション・サーバとの接続

SOTIは、MobiControl以外に、幾つかのオプションサーバを提供しています。
サーバのサービス名概 要
ERG(Enterprise Resource Gateway)
無償
Firewallの外部にある端末が、内部にあるリポジトリ・サーバから文書、画像、動画を 安全に入手するための逆プロキシサーバ
SOTI Assist Server
有償
システム運用に伴うインシデントを管理します。インシデント発生に伴い、これの解決に 向かっての工程管理をします。
Exchange ActiveSync Filter
無償
MS ExchangeサーバのフロントサーバであるActiveSyncサーバにアドオンするソフトウェアです。 MS Exchangeサーバへの不法アクセスを防止します。

G. ネットワーク・ポートに関するSOTIの情報

MobiControlに限定したネットワーク・ポートに関する情報は、下記のSOTIのリンクにアクセスください。
  • Network Configuration Diagram
    https://www.soti.net/mc/help/v15.3/en/network_config_diagram/network_config_diagram.html
    このページでは、システムの構成の仕方によって、構成図とポート番号がダイナミックに変化して表示されます。
    ここでいうシステムの構成とは、下記の a.と、b.の選択項目で、どの選択肢を選ぶかを指します。 これらの選択肢によって構成図が変化します。
    • a.MobiControlサーバの設置場所
      • Cloud (SaaS)
      • DMZ
        貴社のDMZに設置(Firewallの外にある端末からのアクセスを想定)
      • Internal
        貴社の内部ネットワークに設置(Firewallの中にある端末からのアクセスを想定)
    • b. 複数のサーバコンポーネントのインストール
      • デプロイメントサーバとマネージメントサーバを、別々のハードウエアにインストール
      • 1つのハードウェアに同居
  • Network Ports
    https://soti.net/mc/help/v15.3/en/setup/installing/system_requirements.html#installing_network_ports
    MobiControl Deployment Server 及び MobiControl Management Serverから見てのポート番号を記してあります。 あわせて、 上記F.項で示したオプションサーバのポートも記してあります。