閉域網Firewallのポート番号とURL

MobiControl v14 Manual


Firewallで保護された 社内WiFiのみに接続している端末や、事業所内LANに接続しているPCを、MobiControlを利用して運用管理する場合があります。 閉域SIMサービスに加入しているスマホもあります。それらの閉域網のFirewallで許可しておくべきポート番号や宛先URL等を説明します。

A. Android端末とFirewall

Android端末を閉域網に置いて運用する場合の、Firewallで許可するポート番号を(図1)に示します。
許可することが必須のポートとオプションのポートがあります。
もし、MobiControlサーバを、貴社のDMZに設置し、オプションサービスとの接続を断念するならば、 Android端末は、完全閉域網に置いて運用をすることができます。許可するポートを (図1)での、 の443と5494に限定できるからです。
MobiControlによる完全閉域網内のAndroid端末の管理運用は、国内でも多くの実績があります。 数万台規模のAndroid Plus と Android Enterprise での運用事例が、数多くあります。
但し、Android Enterpriseは、それをセットアップする時だけ、Port443(Outbound) 経由でIPアドレス 173.194.* へ アクセスできるネットワーク環境に置いておくのが簡易なセットアップ方法です。IPアドレス 173.194.* の宛先は、Googleのサービスサイトです。

(図1)

説明を開いた状態
説明を閉じた状態

(図1)の からの詳細は、 下記のをクリックください。

端末とMobiControlサーバとの交信

  • Portsトランスポート層
    プロトコル
    アプリケーション層
    プロトコル
    方向宛先
    443TCPhttps端末から見て
    Outbound
    MobiControlサーバの
    URLまたはIPアドレス
    (プロキシ不可)
    5494TCP & UDPBinary
    MobiControl独自プロトコル
    Windows EmbeddedとWindows Classic
    の場合は、プロキシ可能
    端末のMobiControlエージェントは、端末登録時に、MobiControlサーバのURLを記憶しておきます。そして、端末起動時にMobiControlサーバに接続にいきます。
    その上で、チェックインのトリガーが働くと、MobiControlサーバと端末との間で ファイル、データ、コマンドを送受します。
    • URL または IPアドレス
      SaaSの場合は、弊社からURLをご連絡します。
      オンプレミスの場合は、貴社のDNSが名前解決できるURLとします。 オンプレミスの場合は、FQDNのURLでなく、IPアドレスのみによる接続も 可能ですが、サーバのIPアドレスが、将来変更になった場合、全ての端末を 登録しなおす面倒が生じます。Private DNSによるFQDN形式のURLを お勧めします。
    • Port5494
      MobiControlサーバは、接続している端末に、テストメッセージを、Port5494経由で送っています。 デフォルトでは60秒間隔です。
      ブラウザブラグインを使っての、端末画面のリモート操作(リモートビュー)では、 端末は、Port5494経由で、画面情報をサーバ/コンソールに送ります。
    • 端末が、どのようなトリガーで、MobiControlサーバに接続するかは、 「4. Apple端末以外の端末は、どのようなトリガーで、MobiControlサーバに接続するか」を参照ください。
    • 端末が、どのようなトリガーで、MobiControlサーバにチェックインをするかは、 「 5. Apple端末以外の端末は、どのようなトリガーで、MobiControlサーバにチェックインするか」を参照ください。

MobiControlサーバからSOTI Servicesへ

  • Portsプロトコル方向宛先
    443TCPOutbound(表1) または (表2)並びに(表3)参照
    MobiControlサーバから、SOTI Servicesへアクセスすることを許可しておきます。 SOTI Servicesは、(表1)で示すように4種類の Serviceから構成されます。 URLベースで許可する場合は、(表1)のURLをFirewallで許可ください。

    (表1)

    サービス名対応するURL
    Activation Serviceactivate2.soti.net
    MobiControlサーバのライセンスコードを更新したときに、Activation Serviceから、そのライセンスコードの 真正性を認証してもらいます。登録した端末台数の増減情報を、MobiControlサーバからActivation Serviceに送ります

    Agent Builder Serviceactivate2.soti.net
    Windows Embedded端末、及び、Windows Classic PCの端末登録ルール作成の都度、MobiControlサーバは、 Agent Builder Serviceに、エージェントの生成を依頼し、それを受け取ります。 コンソールは、これをMobiControlサーバからダウンロードし、登録しようとする 端末やPCにてインストールします。

    Enrollment Servicemc-enroll.soti.net
    端末登録ルールを作成したら、MobiControlサーバは、Enrollment Serviceに通告します。 Enrollment Serviceは、その端末登録ルールに紐づけられる登録IDをサーバに送り返してきます。

    Location Servicemobicontrolservices.soti.net
    端末から送られてきた緯度経度情報(テキスト情報)を、MobiControlサーバは、SOTIのLocation Serviceサーバに送ります。
    Location Serviceは、緯度経度情報をもとに、Bing Mapサイトへの問い合わせデータを生成し、MobiControlサーバに送ります。
    MobiControlサーバは、それを、Bing Mapサイトに送ります。そしてBing Mapサイトから位置に関するポインティング情報を、受け取ります。
    コンソールは、Bing Mapから地図(画像)ダウンロードし、これにMobiControlサーバから受領した位置に関するポイント情報を描画します。
    IPアドレスベースで許可する場合は、(表2)のIPアドレスをFirewallで許可ください。

    (表2)

    54.208.149.103
    54.208.194.169
    54.209.62.205
    54.209.186.178
    54.209.186.251
    54.209.207.237
    13.248.157.19上記の6つのアドレスに追加されて、これら4つのアドレスは、2020年9月9日以降に使われます。
    2020年9月9日までには許可しておいてください。
    76.223.23.230
    75.2.25.8
    99.83.149.241
    (表2)の全てのIPアドレスを許可してください。ロードバランシングの目的で、(表2)のどれかのIPアドレスで、接続をします。 (表1)と(表2)以外に、(表3)のURLもFirewallで許可しておいてください。

    (表3)

    activate2.soti.net(表1)と重複
    agentdservice.s3.amazonaws.com
    (表3)は、MobiControlサーバが、Android Plusの最新エージェント、並びに、Android Enterprise及びAndroid Plusの 最新プラグインを、取り込むためのサイトです。
    (図2)は、(表3)のサイトから得た情報に基づく、エージェント管理画面です。

    (図2)

    「ローカルバージョン」の列の値が、MobiControlサーバに 格納しているエージェントのバージョン、「最新のバージョン」の列の値が、(表3)のサイトから得たSOTI側で格納しているエージェントのバージョン情報です。「更新」を押すと、 MobiControlサーバに最新エージェントを取り込めます。
    詳しくは、下記を参照ください。

端末からSOTI Servicesへ

  • Portsプロトコル方向宛先
    443TCPOutboundmc-enroll.soti.net または (表2)
    この設定が必要なのは、(表4)で、黄色の場合だけです。これは、 端末をSaaSのMobiControlサーバに登録する場合で、且つ、端末のMobiControlエージェントに 登録IDを入力する方式を採用する場合です。 この場合、端末からSOTIのEnrollment Serviceにアクセスし、登録IDに照応する登録用URLを取得してから登録します。

    (表4)


    MobiControlサーバの設置場所
    SaaS貴社DMZ
    登録用URL入力で登録
    登録ID入力で登録
    端末のMobiControlへの登録が終われば、SOTIのEnrollment Serviceにアクセスができないネットワーク環境内へ端末を移動し、運用管理を開始することもできます
    (表4)で、水色の場合は、端末からSOTIのEnrollment Serviceにアクセスする必要はありません。

    登録用URLは、MobiControlサーバのアドレスとサブディレクトリ(パス)から構成されます。

    登録用URL

    (図3)

    端末を登録する際には、(図3)のような画面が現れます。 (図3)の白い欄には、登録用URLを入力します。
    この登録用URLを以って、(図4)のように、端末は、MobiControlサーバにアクセスします。 端末のアクセスを受けたMobiControlサーバは、このサブディレクトリ部分から、紐づけられた端末登録ルールを認識します。 そして、端末登録ルールが指定した端末グループに、端末を登録します。

    登録用URLは、文字数が長いので、手入力に工数がかかります。そこで、 QRコード読み取りで、登録用URLを入力します。 MobiControl Stage Barcode Generatorを使って、登録用URLに対応するQRコードを作成しておきます。 (図3)の下段のバーコードマークをタップすると、バーコード読み取りアプリが起動するので、そのQRコードを読み取ることで、 登録用URLの入力が完了します。

    (図3)では、登録用URLの替わりに、 登録IDを入力することもできます。登録IDは、8桁なので、登録用URLよりは手入力に手間がかかりません。

    (図4)

    (図3)で、登録IDの入力をすると、端末は、次の手順で、登録用URLを取得し、それをMobiControlサーバに申告します。
    • a. 最初に、クラウドにあるSOTI Enrollment Serviceにアクセスし、登録IDを申告します。
    • b. 端末は、SOTI Enrollment Serviceから、登録IDに連関する登録URLを取得します。
    • c. 端末は、取得したURLに基づき、MobiControlサーバにアクセスします。

    (図3)で、登録用URLを入力した場合は、上記の a.b.をスキップし、 c.から登録手順を始めます。 この場合、端末の閉域網のFirewallに、SOTI Enrollment Serviceに対するURLを許可する必要はありません。

Bing Map

  • Portsプロトコル方向宛先
    443TCPOutbound www.bing.com/maps
    コンソールに、端末の地理的位置を地図表示するようにしたい場合には、MobiControlサーバからBing Mapサイトへのアクセスを許可しておきます。
    Android端末の過去の移動位置履歴や、現在の位置を、コンソールで地図表示する仕組みは、 「端末の位置表示の仕組み」を参照ください。

Play ストア

  • Portsプロトコル方向宛先
    443TCPOutbound (表5)参照
    5228
    5229
    5230
    TCP
    UDP
    Playストアからアプリを直接ダウンロードすることを、端末に許可する場合には、Google宛URL、またはIPアドレスレンジを、 Firewallで許可しておきます。端末側とMobiControlサーバ側の両方のFirewallで、(表5)のURLまたはIPアドレスを許可しておきます。

    (表5)

    URL play.google.com
    android.com
    google-analytics.com
    googleusercontent.com
    *gstatic.com
    *gvt1.com
    *.ggpht.com
    dl.google.com
    dl-ssl.google.com
    android.clients.google.com
    *gvt2.com
    *gvt3.com
    *.googleapis.com
    IPアドレス 173.194.*

    MobiControlサーバ側から、Google Playサーバにアクセスするのは、アプリカタログを作成するのが目的です。

    Android Enterprise端末に対して、Playストアからダウンロードできるアプリは管理者用Googleアカウント保有者によって、指定制限できます

    (表5)のURLに関しては、 「 Android-Enterprise-Migration-Bluebook_2019.pdf」の37ページ目の「Devices」の項を参照ください。
    5228/5229/5230にUDPトラフィックが流れることも記述されています。

    完全閉域網の中の端末に、Playストアのアプリを、配布するには、 まず、コンソールで、該当アプリ(APKファイル)をダウンロードします。そして、次の 2つの方法のどれかを使って、端末(群)にアプリインストーラを配布します。 アプリのサイレントインストールができます。

Googleプッシュ通信サービス

  • Portsプロトコル方向宛先
    443、5228、5229、5230TCPOutbound (表6)参照
    Android端末は、MobiControlサーバに、原則的に常時接続しています。
    しかし、なんらかの理由で切断している場合があります。その場合は、 Googleプッシュ通信サービス(FCM = Firebase Cloud Messaging)を利用します。 Googleプッシュ通信サービスを利用する場合には、 Google宛URLを、Firewallで許可しておきます。端末側とMobiControlサーバ側の両方のFirewallで、(表6)のURLまたはIPアドレスを許可しておきます。

    (表6)

    URLベースで制限する場合 fcm.googleapis.com
    fcm-xmpp.googleapis.com
    Android-Enterprise-Migration-Bluebook_2019.pdf」の38ページ目を参照ください。
    IPアドレスベースで
    アクセス制限をする場合
    下記の2つのどちらかを選択します。
    1. IPアドレスによる制限なし
    2. Google の ASN 15169 に記載の IP ブロックに含まれているすべての IP アドレス
    Googleは、a.を推奨しています。
    b.のIPアドレスは、数が多く、頻繁に変更するので、少なくとも月に1回は、貴社Firewallでの 設定変更が必要になります。
    詳しくは、Googleのドキュメント「 FCM ポートとファイアウォール」を参照ください。
    端末とMobiControlサーバから見て、TCP5228/5229/5230が、Outbound Only でよい典拠は、 「 Android-Enterprise-Migration-Bluebook_2019.pdf」の37ページ目の「Firewall」の項を参照ください。

    Android端末とMobiControlサーバとの接続には、端末側からの接続アクションが必要です。 「4. Apple端末以外の端末は、どのようなトリガーで、MobiControlサーバに接続するか」を参照ください。
    もし、切断している場合に、コンソール側から次のアクションを起こすには、Googleプッシュ通信サービスを利用します。
    1. 端末側からMobiControlサーバに接続させる
      「E. オフラインの端末をサーバに接続させる」を参照ください。
    2. 切断している端末に、スクリプトコマンドを送る
    3. 切断している端末に、メッセージを送る

ウィルス検疫サービス

  • Portsプロトコル方向宛先
    443TCPOutbound下記リンクのページに記述されています。
    Amazon AWS のIPレンジ
    Firefoxで開いた場合は、「生データ」のタブを開くと表示されます。
    ウィルス検疫サービスを受けるには、AWS宛のIPアドレス群をFirewallで許可しておきます。

    MobiControlエージェントは、ウィルススキャンのスケジュール時刻になったら、端末内のファイルの拇印(Finger Print)を Bitdefenerのサーバに送ります。
    Bitdefenderは、常にアップデートしたマルウェアファイルの拇印をデータベースに格納してあります。
    そのデータベースと、端末から送った拇印群を照合します。
    もし、一致しているファイルがあれば、Bitdefenderは、MobiControlエージェントにその旨を通知します。
    通知を受けたMobiControlエージェントは、当該ファイルを隔離します。

    尚、2020年3月31日までは、下記の2つのURLををFirewallで許可していましたが、これらは不要になりました。
    • mobicontrolservices.soti.net/BitDefenderAntivirus
    • mobicontrolservices.soti.net/BDM/

    ウィルス検疫の構成プロファイルの作成については、下記ページを参照ください。

B. Apple端末とFirewall

Apple端末(iPhone、iPad、MacOSコンピュータ)を閉域網に置いて運用する場合に、Firewallで許可するポート番号を(図5)に示します。
Apple端末は、 (図5)ののポート5223(Outbound)のみを許可した閉域網で、MobiControlによる運用管理ができます。
更に、Appストアのアプリを端末に配布またはアップデートする場合は、(図5)ののTCP443(Outbound)を許可しておきます。
但し、Apple端末をMobiControlサーバに登録する時だけ、 及び が許可されているネットワーク環境で、それを実行します。

(図5)

(図6)

(図5)は、MobiControlサーバのバージョンが、v14.5.1 以上の場合です

MobiControlサーバのバージョンが、v14.4.9.以前の場合は、で、Port2195と2196経由で、Apple APNsにアクセスしています。

2020年11月1日以降、Apple APNsは、Port2195と2196経由のアクセスを拒否します。

2020年10月31日までに、MobiControlサーバのバージョンを、v14.5.1 以上にアップグレードください。
*.apple.com をFirewallに登録しておくと、全てのAppleサイトへのアクセスを許可できます。
IPアドレスベースで、Firewallに登録する場合は、17.0.0.0/8 アドレスブロック全体を許可しておきます。
これで、(図1)の を、まとめて登録できます。
しかし、個別サービス毎に、細密に限定登録したい場合は、 下記の をクリックください。

説明を開いた状態
説明を閉じた状態

端末とMobiControlサーバとの交信

  • Portsトランスポート層
    プロトコル
    アプリケーション層
    プロトコル
    方向宛先
    443TCPhttps端末から見て
    Outbound
    MobiControlサーバの
    URLまたはIPアドレス
    (プロキシ不可)
    5494TCP & UDPBinary
    MobiControl独自プロトコル
    • URL または IPアドレス
      SaaSの場合は、弊社からURLをご連絡します。
      オンプレミスの場合は、貴社のDNSが名前解決できるURLとします。 オンプレミスの場合は、FQDNのURLでなく、IPアドレスのみによる接続も 可能ですが、サーバのIPアドレスが、将来変更になった場合、全ての端末を 登録しなおす面倒が生じます。Private DNSによるFQDN形式のURLを お勧めします。
    • MDMプロトコルによるチェックイン
      Apple端末が内蔵するMDMプロトコルは、Port443経由で、MobiControlサーバにチェックインします。チェックインをすることで、 MobiControlサーバから、「構成プロファイル」、「端末の詳細設定」、「ルール」を取得します。
      また、WIPEなどの端末への働きかけは、端末からのチェックインがあったときに、MobiControlサーバから 端末へ送られます。
      MDMプロトコルが、どのようなトリガーで、MobiControlサーバにチェックインをするかは、 「6. Apple端末端末は、どのようなトリガーで、MobiControlサーバにチェックインするか」を参照ください。
    • MobiControlエージェントによる接続
      端末ユーザが、 MobiControlのアイコンをタップ すると、MobiControlエージェントが起動します。MobiControlエージェントは、Port443と5494の両方で、MobiControlサーバに接続にいきます。
      MobiControlサーバは、接続している端末に、テストメッセージを、Port5494経由で送っています。 デフォルトでは60秒間隔です。
      ブラウザブラグインを使っての、iOS端末画面のリモートビューや、macOSコンピュータのリモート画面操作では、 端末は、Port5494経由で、画面情報をサーバ/コンソールに送ります。

MobiControlサーバからAPNS経由で端末にチェックインを要求

  • サーババージョンPortsプロトコル方向Appleの全てのクラウドサービス宛先
    v14.5.1未満2195、2196TCPOutbound*.apple.com
    または
    17.0.0.0/8 アドレスブロック全体
    v14.5.1以上443、2197
    Appleの全てのサービスでなくAPNsにそのアクセスを限定したい場合は、
    で説明したチェックインを端末からさせるには、MobiControlサーバから APNs(Apple Push Notification service)経由で、Apple端末に、チェックインをするように要求を出します。
    • MobiControlサーバのバージョンが、v14.5.1未満の場合
      TCP2195からの送信に対し、APNsは、そのメッセージフォーマットの適合性に関して、TCP2196経由で応答を、MobiControlサーバに送り返します。TCP2195/2196 の アプリケーションプロトコルは、Binaryです。プロキシ設定は不能です。
      TCP2195 及び TCP2196がOutbound Onlyである典拠は、
      SOTI Network Diagramで、APNSにチェックを入れる。
    • MobiControlサーバのバージョンが、v14.5.1以上の場合
      TCP443経由で、APNSに中継を依頼します。TCP443経由で接続できない場合は、TCP2197経由で中継を依頼します。プロキシ設定は不能です。
    Apple端末を、MobiControl v12以下、v13 及び v14.5.1未満で管理されている場合、2020年10月末までに、v14.5.1以上にアップグレードする必要があります。
    AppleのAPNSの仕様に伴なう変更です。
    v14.5.1未満 v14.5.1以上
    TCP2195
    TCP2196
    TCP443
    TCP2197

端末がAPNS経由でチェックイン要求を受領

  • Portsプロトコル方向Appleの全てのクラウドサービス宛先
    5223TCPOutbound*.apple.com
    または
    17.0.0.0/8 アドレスブロック全体
    Appleの全てのサービスでなくAPNsにそのアクセスを限定したい場合は、
    で説明したチェックイン要求を、端末が受領するために、端末はTCP5223(Outbound)経由で、 APNs(Apple Push Notification service)への接続を維持しています。

    Apple端末に内蔵するMDMプロトコルは、APNs経由で受領したMobiControlサーバからのチェックイン要求に応えて、MobiControlサーバにチェックインをします。

    コンソールからメッセージを送り、Apple端末の画面に、それを表示することができます。 その送り方に2種類があります。
    1. 端末からのチェックインをさせ、TCP443経由でメッセージを送る。
    2. APNs経由でのみメッセージを送る。端末がロック中でもメッセージは表示されるが、そのメッセージは端末に保存されない。
    詳しくは、「Apple端末へメッセージを送る」を参照ください。

    尚、端末がTCP5223経由でのAPNsへの接続を、1週間以上しないと、APNsは、その旨をMobiControlサーバに通知します。そして、MobiControlサーバは、該当端末を 管理端末群から削除します。

    MobiControlに限らず、LINEなどのSNSやメールの着信通知を受領するためにも、Apple端末は、TCP5223経由で、APNsへの接続を維持しています。
    のPort5223が、端末から見てOutbound Only である典拠
    SOTI Network Diagramで、APNSを選択。

Bing Map

  • Portsプロトコル方向宛先
    443TCPOutbound www.bing.com/maps
    コンソールに、端末の地理的位置を地図表示するようにしたい場合には、MobiControlサーバからBing Mapサイトへのアクセスを許可しておきます。
    iPhoneとiPadの過去の移動位置履歴や、現在の位置を、コンソールで地図表示する仕組みは、 「iPhone、iPadの位置表示スキーム」を参照ください。

MobiControlサーバからSOTI Servicesへ

  • Portsプロトコル方向宛先
    443TCPOutbound(表7) または (表8)
    MobiControlサーバから、SOTI Servicesへアクセスすることを許可しておきます。 SOTI Servicesは、(表7)で示すように4種類の Serviceから構成されます。 URLベースで許可する場合は、(表7)のURLをFirewallで許可ください。

    (表7)

    サービス名対応するURL
    Activation Serviceactivate2.soti.net
    MobiControlサーバのライセンスコードを更新したときに、Activation Serviceから、そのライセンスコードの 真正性を認証してもらいます。MobiControlに登録した端末台数の増減情報を、MobiControlサーバからActivation Serviceに送ります

    Agent Builder Serviceactivate2.soti.net
    Windows Embedded端末、及び、Windows Classic PCの端末登録ルール作成の都度、MobiControlサーバは、 Agent Builder Serviceに、エージェントの生成を依頼し、それを受け取ります。 コンソールは、これをMobiControlサーバからダウンロードし、登録しようとする 端末やPCにてインストールします。

    Enrollment Servicemc-enroll.soti.net
    端末登録ルールを作成したら、MobiControlサーバは、Enrollment Serviceに通告します。 Enrollment Serviceは、その端末登録ルールに紐づけられる登録IDをサーバに送り返してきます。

    Location Servicemobicontrolservices.soti.net
    端末から送られてきた緯度経度情報(テキスト情報)を、MobiControlサーバは、SOTIのLocation Serviceサーバに送ります。
    Location Serviceは、緯度経度情報をもとに、Bing Mapサイトへの問い合わせデータを生成し、MobiControlサーバに送ります。
    MobiControlサーバは、それを、Bing Mapサイトに送ります。そしてBing Mapサイトから位置に関するポインティング情報を、受け取ります。
    コンソールは、Bing Mapから地図(画像)ダウンロードし、これにMobiControlサーバから受領した位置に関するポイント情報を描画します。
    IPアドレスベースで許可する場合は、(表8)のIPアドレスをFirewallで許可ください。

    (表8)

    54.208.149.103
    54.208.194.169
    54.209.62.205
    54.209.186.178
    54.209.186.251
    54.209.207.237
    13.248.157.19上記の6つのアドレスに追加されて、これら4つのアドレスは、2020年9月9日以降に使われます。
    2020年9月9日までには許可しておいてください。
    76.223.23.230
    75.2.25.8
    99.83.149.241
    (表8)の全てのIPアドレスををFirewallで許可してください。ロードバランシングの目的で、(表8)のどれかのIPアドレスで、接続をします。

端末からSOTI Servicesへ

  • Portsプロトコル方向宛先
    443TCPOutboundmc-enroll.soti.net または (表10)
    (表9)の「非推奨」のケースで、Apple端末をMobiControlサーバに登録する場合には、SOTI Servicesの1つである、Enrollment Serviceへアクセスできるネットワーク環境に 端末を移動させます。
    (表9)での水色の部分に相当するケースでは、不要です。

    (表9)


    MobiControlサーバの設置場所
    SaaS貴社DMZ
    監視モードとして設定
    非監視モード
    として設定
    Safariに
    登録用URL入力で登録
    推奨
    MobiControlエージェントに
    登録ID入力で登録
    非推奨
    「非推奨」で登録する瞬間だけ、 SOTI Servicesにアクセスできるネットワーク環境に、端末を置き、登録が終わったら、SOTI Serviceへのアクセスを封じたネットワーク環境で運用することも可能です。

    IPアドレスベースで許可する場合は、(表10)のIPアドレスをFirewallで許可しておきます。

    (表10)

    54.208.149.103
    54.208.194.169
    54.209.62.205
    54.209.186.178
    54.209.186.251
    54.209.207.237
    (表10)の全てのIPアドレスを登録してください。ロードバランシングの目的で、(表10)のどれかのIPアドレスで、接続をします。

Appleデバイス管理

  • Portsプロトコル方向Appleの全てのクラウドサービス宛先
    443TCPOutbound*.apple.com
    または
    17.0.0.0/8 アドレスブロック全体
    Appleの全てへのクラウドサービスでなく、Appleの「デバイス管理」サービスのみに、 アクセスを許容しておきたい場合は、(表11)のURLを許可しておきます。
    MobiControlサーバからAppleの「デバイス管理」サービスへアクセスできるようにしておきます。
    端末をMobiControlに登録する際も、Appleの「デバイス管理」サービスへアクセスできるネットワーク環境に、端末を移動しておきます。

    (表11)

    deviceenrollment.apple.comDEPの暫定登録
    deviceservices-external.apple.com
    identity.apple.comAPNs 証明書リクエストポータル
    iprofiles.apple.comApple School Manager や Apple Business Manager に Device Enrollment 経由でデバイスを登録する際に使われるホスト登録プロファイル
    mdmenrollment.apple.comMDM サーバが、Apple School Manager や Apple Business Manager に Device Enrollment で 登録されるクライアントで使われる登録プロファイルをアップロードし、デバイスとアカウントを検索
    setup.icloud.com共有 iPad で管理対象 Apple ID を使ってログインするために必要
    詳しくは、Appleの下記のドキュメント
    エンタープライズネットワークで Apple 製品を使う」 の「デバイス管理」の項を参照ください。

    端末のMobiControlへの 登録が終われば、アクセスができないネットワーク環境内へ端末を移動し、運用管理を開始することもできます

Appストア

  • Portsプロトコル方向Appleの全てのクラウドサービス宛先
    443TCPOutbound*.apple.com
    または
    17.0.0.0/8 アドレスブロック全体
    Appleの全てのサービスでなく、Appストアのみに、アクセスを許容しておきたい場合は、次のURLを許可しておきます。
    • *.itunes.apple.com
    • *.apps.apple.com
    • *.mzstatic.com
    • itunes.apple.com
    • vpp.itunes.apple.com
    詳しくは、Appleの下記のドキュメント 「エンタープライズネットワークで Apple 製品を使う」 の「App Store」の項を参照ください。

    端末ユーザがAppストアからダウンロードできるアプリを指定制限することができます。
    端末が監視モードの場合は、Apple Business Manager担当者が指定したアプリのみをダウンロードでき、 且つそのアプリは、サイレントインストールされます。

Apple デバイスの設定

  • Portsプロトコル方向Appleの全てのクラウドサービス宛先
    443TCPOutbound*.apple.com
    または
    17.0.0.0/8 アドレスブロック全体
    Appleの全てのサービスでなく、「デバイスの設定」サービスのみに、アクセスを許容しておきたい場合は、Appleのドキュメント
    エンタープライズネットワークで Apple製品を使う」 の「デバイスの設定」の項で示されているURLをFirewallで許可しておきます。
    端末をMobiControlに登録する際やOSのアップデートの際は、Appleの「デバイス管理」サービスへアクセスできるネットワーク環境に、端末を移動しておきます。

    端末のMobiControlへの 登録が終われば、アクセスができないネットワーク環境内へ端末を移動し、運用管理を開始することもできます

ソフトウェアアップデート

  • Portsプロトコル方向Appleの全てのクラウドサービス宛先
    443TCPOutbound*.apple.com
    または
    17.0.0.0/8 アドレスブロック全体
    Appleの全てのサービスでなく、「ソフトウェアアップデートサービスのみに、アクセスを許容しておきたい場合は、Appleのドキュメント
    エンタープライズネットワークで Apple製品を使う」 の「ソフトウェアアップデート」の項で示されているURLをFirewallで許可しておきます。
    iOS、iPadOS、macOSをアップデートする場合は、Appleの「ソフトウェアアップデート」サービスに接続できるネットワーク環境に端末を移動させます。

    端末OSのアップデートが終われば、アクセスができないネットワーク環境内へ端末を移動し、運用管理を開始することもできます

    端末をAppleの「ソフトウェアアップデート」サービスに接続できるネットワーク環境に置いておくと、自動的に、OSがアップデートされることがあります。 これをコントロールすることができます。詳しくは、「Apple製品デバイスに働きかける」のページの「6. OSをアップデート」の項を参照ください。

C. Windows Modern とFirewall

閉域網に設置したPCをWindows Modernとして設定した場合のFirewallで許可するポート番号を(図7)に示します。 許可することが必須のポートとオプションのポートがあります。
をDMZに設置すると、 及び に対する アクセスを不要にできます。

(図7)

(図1)の からの詳細は、 下記のをクリックください。
説明を開いた状態
説明を閉じた状態

エンドポイントとMobiControlサーバとの交信

  • Portsトランスポート層
    プロトコル
    アプリケーション層
    プロトコル
    方向宛先
    443TCPhttps端末から見て
    Outbound
    MobiControlサーバの
    URLまたはIPアドレス
    (プロキシ不可)
    5494TCP & UDPBinary
    MobiControl独自プロトコル
    Windows EmbeddedとWindows Classic
    の場合は、プロキシ可能
    エンドポイントPCは、起動すると、Port443と5494経由で、MobiControlサーバに接続にいきます。 接続をしていれば、エンドポイントPCが内蔵する更新スケジュールの時刻になると、エンドポイントはチェックインを 行ないます。
    チェックインの結果、MobiControlサーバから「構成プロファイル」「ルール」「パッケージ・アプリ」及び「端末の詳細設定」の設定オブジェクトを 受領します。エンドポイントも、その各種ステータスをサーバに送ります。
    更新スケジュールの時間間隔は可変です。 最頻は、2分間隔です。デフォルトは2時間間隔です。
    • URL または IPアドレス
      端末登録ルールで、MobiControlサーバのアドレスを指定します。
      SaaSの場合は、弊社からURLをご連絡します。
      オンプレミスの場合は、貴社のDNSが名前解決できるURLとします。 オンプレミスの場合は、FQDNのURLでなく、IPアドレスのみによる接続も 可能ですが、サーバのIPアドレスが、将来変更になった場合、全てのエンドポイントを 登録しなおす面倒が生じます。Private DNSによるFQDN形式のURLを お勧めします。
    • Port5494
      MobiControlサーバは、接続しているエンドポイントに、テストメッセージを、Port5494経由で送っています。 デフォルトでは60秒間隔です。
      ブラウザブラグインを使っての、エンドポイント画面のリモート操作では、 エンドポイントは、Port5494経由で、画面情報をサーバ/コンソールに送ります。
    • エンドポイントが、どのようなトリガーで、MobiControlサーバに接続するかは、 「4. Apple端末以外の端末は、どのようなトリガーで、MobiControlサーバに接続するか」を参照ください。
    • エンドポイントが、どのようなトリガーで、MobiControlサーバにチェックインをするかは、 「 5. Apple端末以外の端末は、どのようなトリガーで、MobiControlサーバにチェックインするか」を参照ください。

Windowsプッシュ通知サービス(WNS)

  • Portsプロトコル方向宛先
    443TCP OutboundWNSとの接続」のページの「WNSのURLとIPアドレス」の項を開いてください。
    で、説明したように、エンドポイントは、内蔵している更新スケジュールのスケジュール時刻になれば、 MobiControlサーバにチェックインをします。チェックインの結果、エンドポイントは、 MobiControlサーバから「構成プロファイル」「ルール」「パッケージ・アプリ」及び「端末の詳細設定」の設定オブジェクトを受領します。
    コンソール管理者は、それら設定オブジェクトを新規作成または編集をします。しかし、それらのエンドポイントへの配布は、 更新スケジュールの時刻になるまで、待たなければなりません。 待たずに送るためには、WNS(Windows プッシュ通知サービス)の設定をしておきます。
    • a. 「構成プロファイル」「端末の詳細設定」の設定オブジェクトや「パッケージ・アプリ」のエンドポイント群への割り当てが終わると、 MobiControlサーバは、WNS経由で、エンドポイントに対しチェックインを要求をします。エンドポイントはチェックインを実行し、これらを受領します。
    • b. コンソールから、エンドポイントへの働きかけをした後に、 チェックインボタン を押します。 そうすると、MobiControlサーバは、WNS経由でエンドポイントにチェックインを要求します。エンドポイントはチェックインを実行し、それらの働きかけを受領します。
    • c. エンドポイントの画面にメッセージを表示したいことがあります。その場合も、コンソールで、 チェックインボタン を押します。

    上述したWNSによるアドホックなチェックイン要求をせず、更新スケジュールの時刻のみに、設定オブジェクトを 送る場合は、WNSの設定は不要です。

SOTI Services

  • Portsプロトコル方向宛先
    443TCPOutbound(表12) または (表13)
    MobiControlサーバから、SOTI ServicesへアクセスするためのURLを Firewallで、許可しておきます。 SOTI Servicesは、(表12)で示すように4種類の Serviceから構成されます。 URLベースで許可する場合は、(表12)のURLををFirewallで許可しておきます。

    (表12)

    サービス名対応するURL
    Activation Serviceactivate2.soti.net
    MobiControlサーバのライセンスコードを更新したときに、Activation Serviceから、そのライセンスコードの 真正性を認証してもらいます。MobiControlに登録した端末台数の増減情報を、MobiControlサーバからActivation Serviceに送ります

    Agent Builder Serviceactivate2.soti.net
    Windows Embedded端末、及び、Windows Classic PCの端末登録ルール作成の都度、MobiControlサーバは、 Agent Builder Serviceに、エージェントの生成を依頼し、それを受け取ります。 コンソールは、これをMobiControlサーバからダウンロードし、登録しようとする端末やPCにてインストールします。

    Enrollment Servicemc-enroll.soti.net
    端末登録ルールを作成したら、MobiControlサーバは、Enrollment Serviceに通告します。

    Location Servicemobicontrolservices.soti.net
    MobiControlサーバは、Windows Modern として設定したPCからは、位置情報を取集できません。
    IPアドレスベースで許可する場合は、(表13)のIPアドレスをFirewallで許可ください。

    (表13)

    54.208.149.103
    54.208.194.169
    54.209.62.205
    54.209.186.178
    54.209.186.251
    54.209.207.237
    13.248.157.19上記の6つのアドレスに追加されて、これら4つのアドレスは、2020年9月9日以降に使われます。
    2020年9月9日までには許可しておいてください。
    76.223.23.230
    75.2.25.8
    99.83.149.241
    (表13)の全てのIPアドレスををFirewallで許可してください。ロードバランシングの目的で、(表13)のどれかのIPアドレスで、接続をします。

オンプレミスのWSUSサーバ

  • Portsプロトコル方向宛先
    443TCPOutbound貴社WSUSサーバのアドレス
    MobiControlは、構成プロファイルを配布することで、エンドポイントPCが、オンプレミスのWSUS(Windows Server Update Services)から Windowsの更新ファイルを受信するように設定できます。
    WSUSサーバの設定方法は、Microsoftのドキュメント「 WSUS(Windows Server Update Services)サーバ」を参照ください。

    MobiControlは、Windows Defenderによるウィルスの検疫の設定を行います。 WSUSから、ウィルス定義ファイルを、エンドポイントPCに配布する方法は、Microsoftの文書を参照ください。 「WSUSを使用して、Windows Defender を実行しているコンピュータに定義ファイルの更新版を適用する方法

    オンプレミスのWSUSサーバを設置した場合、FirewallのTCP443(Outbound)に、WSUSサーバに対するアドレスを、許可しておきます。

オンプレミスのDHA(Device Health Attestation)サーバ

  • Portsプロトコル方向宛先
    443TCPOutbound貴社DHAサーバのアドレス
    DHAサーバは、エンドポイントのデバイス正常性構成を検査します。その結果として、各エンドポイントPC毎のデバイス正常性構成証明書を MobiControlサーバに送ります。これに異常があれば、MobiControlはアラートを発します。

Windows Defender サービス

  • Portsプロトコル方向宛先
    443 TCP Outbound Windows Defenderを使用する上での Firewall設定」のページを参照ください。
    Windows Defender サービスは、Microsoftによるシグネチャベースでのウィルス検疫サービスです。 この検疫サービスによりマルウェアとして判定されたファイルを、MobiControlは、隔離します。
    詳しくは、「Windows PCの機能制限」を参照ください。

    の オンプレミスのWSUSサーバを利用する場合、このURLを許可する必要はありません。

Microsoft Defender ATP サービス

Windows 更新サービス

  • Portsプロトコル方向宛先
    443 TCP Outbound Windows Update / Microsoft Update の接続先 URL について」のページ」を参照ください
    Windowsの更新を行なうために、MicrosoftのWindows Update サービスへのアクセスを許可しておきます。

    の オンプレミスのWSUSサーバを利用する場合、このURLを許可する必要はありません。

デバイス正常性構成証明サービス

  • Portsプロトコル方向宛先
    443 TCP Outboundhas.spserv.microsoft.com
    Microsoftのデバイス正常性構成証明サービスは、エンドポイントのデバイス正常性構成を検査します。無償です。その結果として、各エンドポイントPC毎のデバイス正常性構成証明書を MobiControlサーバに送ります。これに異常があれば、MobiControlはアラートを発します。

    の オンプレミスのDHAサーバを利用する場合、このURLを許可する必要はありません。

D. Windows Classic、Windows Embedded、LinuxとFirewall

Windows Classicとして設定したPC、Windows Embedded端末、Linuxデバイスを閉域網に置いて運用する場合の、Firewallで許可するポート番号を(図8)に示します。

(図8)

説明を開いた状態
説明を閉じた状態

(図8)のの詳細は、 下記のをクリックください。

端末とMobiControlサーバとの交信

  • Portsトランスポート層
    プロトコル
    アプリケーション層
    プロトコル
    方向宛先
    443TCPhttps端末から見て
    Outbound
    MobiControlサーバの
    URLまたはIPアドレス
    5494TCP & UDPBinary
    MobiControl独自プロトコル
    端末が、Windows Classic または Windows Embeddedの場合は、プロキシ設定が可能です
    端末のMobiControlエージェントは、端末登録時に、MobiControlサーバのURLを記憶しておきます。そして、端末起動時にMobiControlサーバに接続にいきます。
    原則的に、常時接続しています。
    その上で、チェックインのトリガーが働くと、MobiControlサーバと端末との間で ファイル、データ、コマンドを送受します。
    • URL または IPアドレス
      SaaSの場合は、弊社からURLをご連絡します。
      オンプレミスの場合は、貴社のDNSが名前解決できるURLとします。 オンプレミスの場合は、FQDNのURLでなく、IPアドレスのみによる接続も 可能ですが、サーバのIPアドレスが、将来変更になった場合、全ての端末を 登録しなおす面倒が生じます。Private DNSによるFQDN形式のURLを お勧めします。
    • Port5494
      MobiControlサーバは、接続している端末に、テストメッセージを、Port5494経由で送っています。 デフォルトでは60秒間隔です。
      ブラウザブラグインを使っての、端末画面のリモート操作(リモートビュー)では、 端末は、Port5494経由で、画面情報をサーバ/コンソールに送ります。
    • 端末が、どのようなトリガーで、MobiControlサーバに接続するかは、 「4. Apple端末以外の端末は、どのようなトリガーで、MobiControlサーバに接続するか」を参照ください。
    • 端末が、どのようなトリガーで、MobiControlサーバにチェックインをするかは、 「 5. Apple端末以外の端末は、どのようなトリガーで、MobiControlサーバにチェックインするか」を参照ください。

MobiControlサーバからSOTI Servicesへ

  • Portsプロトコル方向宛先
    443TCPOutbound(表14) または (表15)参照
    MobiControlサーバから、SOTI Servicesへアクセスすることを許可しておきます。 SOTI Servicesは、(表14)で示すように4種類の Serviceから構成されます。 URLベースで許可する場合は、(表15)のURLをFirewallで許可ください。

    (表14)

    サービス名対応するURL
    Activation Serviceactivate2.soti.net
    MobiControlサーバのライセンスコードを更新したときに、Activation Serviceから、そのライセンスコードの 真正性を認証してもらいます。登録した端末台数の増減情報を、MobiControlサーバからActivation Serviceに送ります

    Agent Builder Serviceactivate2.soti.net
    Windows Embedded端末、及び、Windows Classic PCの端末登録ルール作成の都度、MobiControlサーバは、 Agent Builder Serviceに、エージェントの生成を依頼し、それを受け取ります。 コンソールは、これをMobiControlサーバからダウンロードし、登録しようとする 端末やPCにてインストールします。

    Enrollment Servicemc-enroll.soti.net
    端末登録ルールを作成したら、MobiControlサーバは、Enrollment Serviceに通告します。 Enrollment Serviceは、その端末登録ルールに紐づけられる登録IDをサーバに送り返してきます。

    Location Servicemobicontrolservices.soti.net
    端末から送られてきた緯度経度情報(テキスト情報)を、MobiControlサーバは、SOTIのLocation Serviceサーバに送ります。
    Location Serviceは、緯度経度情報をもとに、Bing Mapサイトへの問い合わせデータを生成し、MobiControlサーバに送ります。
    MobiControlサーバは、それを、Bing Mapサイトに送ります。そしてBing Mapサイトから位置に関するポインティング情報を、受け取ります。
    コンソールは、Bing Mapから地図(画像)ダウンロードし、これにMobiControlサーバから受領した位置に関するポイント情報を描画します。
    IPアドレスベースで許可する場合は、(表15)のIPアドレスをFirewallで許可ください。

    (表15)

    54.208.149.103
    54.208.194.169
    54.209.62.205
    54.209.186.178
    54.209.186.251
    54.209.207.237
    13.248.157.19上記の6つのアドレスに追加されて、これら4つのアドレスは、2020年9月9日以降に使われます。
    2020年9月9日までには許可しておいてください。
    76.223.23.230
    75.2.25.8
    99.83.149.241
    (表15)の全てのIPアドレスを許可してください。ロードバランシングの目的で、(表2)のどれかのIPアドレスで、接続をします。

Bing Map

  • Portsプロトコル方向宛先
    443TCPOutbound www.bing.com/maps
    コンソールに、端末の地理的位置を地図表示するようにしたい場合には、MobiControlサーバからBing Mapサイトへのアクセスを許可しておきます。
    端末の過去の移動位置履歴や、現在の位置は、次の仕組みで、コンソールで表示されます。
    1. データ収集ルールで、収集するデータの種類として「位置情報」を指定。
    2. データ収集ルールで、指定したスケジュール(頻度)で、MobiControl エージェントは 位置情報(緯度経度情報。テキスト形式)を収集し、端末内に保存する。
    3. チェックインのときに、端末が保存してあった位置情報(緯度経度情報。テキスト形式)をMobiControlサーバに送る。
    4. コンソールで、端末の位置を地図表示するアクションを選択すると、MobiControlサーバは Bing Mapサイトにアクセスし、緯度経度情報を送り、それに対応する、Bing Map上のポインティング情報を取得する。それをコンソールに送る。
    5. コンソールは、Bing Mapサイトから地図(画像)をダウンロードし、その画像に、MobiControlサーバから送られてきた ポインティング情報を乗せる。
      端末がMobiControlサーバに接続中なら、現在位置を表示する。オフラインの場合は、過去の位置履歴を表示する。

E. MobiControlサーバ・コンポーネント間のPort

(図9)

MobiControlサーバは、次のサーバコンポーネントから構成されています。
  • MobiControlデプロイメントサーバ
  • MobiControlマネージメントサーバ
  • MobiControl Search Server
  • Microsoft SQLサーバ
これらのサーバ間は、(図9)で示されるポートで情報共有をします。
端末台数が1000台以下と少ない場合、これら4つのサーバコンポーネントを1台のサーバハードウエァに同居させることが可能です。

端末と接続するサーバは、MobiControlデプロイメントサーバです。上記で、単にMobiControlサーバと記述したのは、 正確には、MobiControlデプロイメントサーバです。

端末台数が多い場合は、デプロイメント・サーバを並列複数台数とします。 端末とサーバとの交信頻度を多く設定している場合、端末台数が500台程度でも、2台のデプロイメントサーバで運営しているユーザもいます。 国内でも数万台の端末を管理しているユーザもあります。

コンソールで、端末フィルタ条件式を入力して、表示する端末群を限定するときは、 MobiControl Search Serverが、SQLステートメントを作成し、マネージメントサーバ経由で、Microsoft SQLサーバに、サブミットします。

サポートしているサーバのOSは、「Windows Server 2012 R2」または「Windows Server 2016」です。
MobiControlのインストーラには、 Microsoft SQL Server 2014 R2 Express Editionが同梱しています。 Microsoft SQL Server 2014 R2 Express Editionが管理できるデータベース上限は、10GBです。

F. コンソールとの接続

(図10)

コンソールは、TCP443経由で、マネージメントサーバにアクセスします。
典拠は、SOTIのドキュメント
Network Ports
Management Server Connectionsの項
MobiControlシステムを管理し、モニターするためにコンソールで使うアプリは、ブラウザです。 次のブラウザをサポートします。
  • Google Chrome
  • Internet Explorer 11
  • Mozilla Firefox
典拠は、SOTIのドキュメント
System Requirementの Browsersの項
コンソールの権限アカウントは、複数作成できます。 アカウント別に、管理権限の範囲と、管理できる端末グループを制限できます。
MobiControlシステム以外に、コンソールからは、多くのインターネットサイトにTCP443経由でアクセスします。

E. AD_DSとの接続

端末やPCをMobiControlに登録する際に、AD_DS(Active Directory Domain Service)との認証を必要とするように、 端末登録ルールを作成することができます。 その際は、端末やPCの登録の前に、MobiControlサーバとAD_DSサーバとの間に、ディレクトリサービスとの接続プロファイルを作成しておきます。
端末の登録の毎に、MobiControlサーバは、AD_DSサーバと通信をします。 その場合は、TCP389と636をFirewallに開けておく必要があります。TCP389と636のプロトコルはLDAPです。

(図11)

端末は、AD_DSサーバにアクセスできるネットワーク環境になくても、MobiControlサーバにさえアクセスできれば、端末は、 AD_DSとの認証を受けてMobiControlに登録できます。

MobiControlサーバとAzure AD若しくはIDプロバイダとの接続は、TCP443経由となります。

Azure ADで認証 ID プロバイダで認証
(図12)
(図13)
AzureのAD_DSとの接続プロファイルの作成方法は、 AzureのAD_DSとの接続プロファイルを参照ください。 IDプロバイダとの接続プロファイルの作成方法は、IDプロバイダとの接続プロファイルを参照ください。

認証サービスは、「ディレクトリサービス」と「IDプロバイダ」の2つに大別されます。認証サービスによる認証を得て、MobiControlに登録できる端末のOSまたは設定モードには 制限があります。 詳しくは、「認証サービスによる認証」を参照ください。

F. オプション・サーバとの接続

SOTIは、MobiControl以外に、幾つかのオプションサーバを提供しています。
サーバのサービス名概 要
ERG(Enterprise Resource Gateway)
無償
Firewallの外部にある端末が、内部にあるリポジトリ・サーバから文書、画像、動画を 安全に入手するための逆プロキシサーバ
SOTI Assist Server
有償
システム運用に伴うインシデントを管理します。インシデント発生に伴い、これの解決に 向かっての工程管理をします。
Exchange ActiveSync Filter
無償
MS ExchangeサーバのフロントサーバであるActiveSyncサーバにアドオンするソフトウェアです。 MS Exchangeサーバへの不法アクセスを防止します。

G. ネットワーク・ポートに関するSOTIの情報

MobiControlに限定したネットワーク・ポートに関する情報は、下記のSOTIのリンクにアクセスください。
  • Network Configuration Diagram
    https://www.soti.net/mc/help/v14.4/en/network_config_diagram/network_config_diagram.html
    このページでは、システムの構成の仕方によって、構成図とポート番号がダイナミックに変化して表示されます。
    ここでいうシステムの構成とは、下記の a.と、b.の選択項目で、どの選択肢を選ぶかを指します。 これらの選択肢によって構成図が変化します。
    • a.MobiControlサーバの設置場所
      • Cloud (SaaS)
      • DMZ
        貴社のDMZに設置(Firewallの外にある端末からのアクセスを想定)
      • Internal
        貴社の内部ネットワークに設置(Firewallの中にある端末からのアクセスを想定)
    • b. 複数のサーバコンポーネントのインストール
      • デプロイメントサーバとマネージメントサーバを、別々のハードウエアにインストール
      • 1つのハードウェアに同居
  • Network Ports
    https://www.soti.net/mc/help/v14.4/en/setup/installing/network_ports.html
    上記F.項で示したオプションサーバを含む 関連する全てのシステムコンポーネントとのTCPポートを記述してあります。
  • Network Diagram
    https://www.soti.net/mc/help/v13/en/Content/Setup/MCSetup.htm#network_diagram
    MobiControl v13をDMZに設置した場合の情報ですが、ページの下辺に構成図が表示されており、参考になります。