端末の機能制限

MobiControl v14 Manual

セキュリティ対策のため、主に入出力機能を中心に、端末の機能を停止します。 
 
(図1)の「Android Plus 構成プロファイルのメニュー」の画面を表示します。  
表示方法は、「Android Plus 端末の 構成プロファイルの作成」を参照ください。 
 

(図1) 
Android Plus 構成プロファイルのメニュー 

 

1. 端末機能の一覧表

(図1)で端末機能制限を選択すると、(図2)が表示されます。この中から、機能の利用を禁止したい項目にチェックを入れます。

(図2)

スクリーンキャプチャを禁止 
スクリーンショットを撮るのを禁止します。機種によりますが、これを禁止すると、リモートコントロールで、コンソールで真っ黒、又は真っ白の画面しか映らなくなります。
偽のGPS位置情報を報知させない 
偽のGPS位置情報を報知するアプリがある。これを利用して端末ユーザが、居合わせてない位置に居るかのように 装うのを防止する。
セーフモードの無効化 
端末をセーフモードにできないようにします。端末にランチャーを適用していても、セーフモードでは、ランチャーが解除された画面になります。
バッテリ設定への変更を無効にする 
京セラ Digno F でのみ可能です。ステータスバーのバッテリアイコンをタップすることで変更ができます。
管理したアプリのアンインストールを禁止 
京セラ、LG、Huawei、Samsungの端末でのみ有効です。管理したアプリとは、コンソール操作で配布したアプリです。 (Android Enterpriseでは、全メーカーの端末で有効)
バックグラウンド・アプリによるデータ取り込み禁止 
バックグラウンドで動いているアプリが、携帯電話回線にアクセスすることを禁止します。 MobiControlエージェントは、通常、バックグラウンドで動いています。 従って、ここにチェックを入れると、WiFi接続していない端末は、MobiControlサーバと切断します
ドーズモードを無効にする 
チェックを入れると、端末がスリープ状態でもMobiControlサーバとの接続を維持する。 但し、接続時間帯の設定で、「常時接続」で設定しておいた場合のみ。 (ドーズモードは、端末メーカーにより表現が異なる。「スタミナモード」「電池最適化」などとも呼ばれる。)
常にサーバとの接続を維持」を参照ください。
ローミング時にはWAPプッシュメールの受信拒否 
現在のAndroid端末は、WAPプッシュメールをサポートしていません。
ローミング時の同期機能を停止 
海外に居たとき、同期機能があるグループウェア・サーバとの同期やMobiControlのファイル同期を禁止する
データ伝送に携帯回線使用禁止 
携帯電話回線を使ってのデータ伝送はできなくなります。ここにチェックを入れると、WiFi接続していない端末は、MobiControlサーバと切断します
無線LANのプロファイルを変更させない 
新規のSSIDの設定を、端末ユーザにさせない。無線LANの設定で設定したWiFiしか使わせない。
無線LANの認証情報の表示禁止 
SSIDの名前やパスワードなどを画面表示させない。
セキュリティ強度の面で、 最低許容レベルとした無線LAN暗号方式レベル以上しか使わせない
端末ユーザに無線LANの設定は許すが、強度の低いAPにはアクセスさせない。
右端をプルダウンすると、右図の選択肢が現れる。下に位置するほどセキュリティ強度が強くなる。
ここで選択した方式より強度の弱い方式では、端末ユーザは、WiFiを設定できない。「Open」の場合は、全ての方式での設定を許容する。
ポータブル・ホットスポットの利用禁止 
テザリングを可能にしている携帯電話端末をポータブル・ホットスポットといいます。 WiFi経由でこの端末にアクセスし、この端末を踏み台にして携帯電話回線経由でインターネット接続することを禁止します。
取り外し可能なSDカードアクセスを禁止する 
端末にSDカードを差しても書込み/読取りを不能にします。
USB On-the-Goの利用禁止 
USBメモリとの読み書きを禁止します。
USBストレージの機能停止 
端末をPCに接続し、PCのデータを携帯に窃取するのを防止します。
Samsung Kiesの利用禁止 
Samgung端末のデータをPCにコピーする機能を禁止します。
クリップボード機能の停止 
端末でのコピペを禁止します。業務データを他のアプリ(例えば、SNS)に貼り付けての情報漏洩を防止します。
構成プロファイルの作成が終わると、「OK」ボタンを押します。
構成プロファイルの作成が終わると、これを対象とする端末グループやAD(Active Directory)の グループに割り当てます。そして、それを当該グループの端末に配布し、インストールします。詳しくは、 「Android Plusの構成プロファイルの作成」 のページの「E. 構成項目の編集または削除」以下を参照ください。

2. 一部の機能制限ができない端末機種がある

端末機種に依っては、一部の機能制限が有効にならない場合があります。 端末一覧で、該当端末の「構成」タブを開くと、(図3)のようになることがあります。

(図3)

(図3)で、「インストールの保留中」のステータスになっている端末が、その制限が有効にならなかった場合です。 (図2)では、多くの制限項目を設定したとします。その内の殆どは制限が有効になったが、1つだけ制限が有効にならない場合があります。 それでも、ステータスは「インストールの保留中」になります。
「インストールの保留中」になる理由は、「機種が対応していない」の他に、 「AndroidのOSが古いバージョン」「MobiControlエージェントが古いバージョン」「エージェントのプラグインを 装着してない。またはプラグインのバージョンが古い」が考えられます。

(図4)の端末フィルター条件式を入力すると、「インストールの保留中」になっている端末を一覧表示することができます。

(図4)

詳しくは、「 J. 「インストールの保留中」になったときの対処」を参照ください。

(図2)で、「未インストール」となっている構成プロファイルがあります。 これは、自動インストールでなく、端末ユーザが任意の時間に、手動でインストールして貰う設定をした構成プロファイルです。 そして、未だ、端末ユーザが、それをインストールしてない場合を示しています。

3. 端末が職域に入ったときだけに機能制限

  1. 端末グループの下にサブグループを作ります。(サブグループの名前の例:「営業2課のフェンス内」)
  2. 情報漏洩の観点から禁止したい機能を(図2)から選択し、当該サブグループのポリシーとします。
  3. 企業の事業所の周りにジオフェンス(地図上の仮想的な境域)を設定します。 ジオフェンスの中に端末が入れば、MobiControlは端末を当該サブグループへ自動移動させることができます。 詳しくは、「アラートルールの作成」の「5.ジオフェンス・イベント」を参照ください。 これで、職域に入った私物端末による情報取得(USB経由での社内ファイル取得やカメラ撮影など)ができなくなります。
  4. ジオフェンスの外に端末がでれば、端末の入出力機能制限は解除されます。 これも、「アラートルールの作成」の「5.ジオフェンス・イベント」で設定します。

4. 会社支給端末での通信費抑制

「パケット定額プラン」でも、7GB以上使うと2GB単位で追加額を払う料金プランなどがあります。 パケット伝送量に月間限度を設定しておき、それを越えると、携帯電話回線を使ってのデータ伝送機能を禁止することができます。
  1. 端末グループの下にサブグループを作ります。(サブグループの名前の例:「営業2課の通信費制限」)
  2. 通信費抑制の観点から禁止したい機能(例:データ伝送に携帯電話回線利用禁止)を選択し、 当該サブグループのポリシーとします。
  3. 通信費ルール」で、月間伝送量が限度以上(例:6GB以上) になった端末をMobiControlは当該サブグループへ自動移動させることができます。