端末の機能制限

MobiControl v14 Manual

セキュリティ対策のため、主に入出力機能を中心に、端末の機能を停止します。 
  • 私物端末を社内に持ち込んだときのみに、情報漏洩の可能性のある機能を停止させます。 
    (例:USBストレージ機能、カメラ機能)
  • 会社支給端末を社外に持ち出したときのみに、情報漏洩の可能性のある機能を停止させます。 
    (例:Bluetoothによる情報共有)
どちらも、ジオフェンス・アラートをトリガーとします。  
(図1)の「Android Plus 構成プロファイルのメニュー」の画面を表示します。  
表示方法は、「Android Plus 端末の 構成プロファイルの作成」を参照ください。 
 

(図1) 
Android Plus 構成プロファイルのメニュー 

 

1. 端末機能の一覧表

(図1)で端末機能制限を選択すると、(図2)が表示されます。この中から、機能の利用を禁止したい項目にチェックを入れます。

(図2)

偽のGPS位置情報を報知させない 
偽のGPS位置情報を報知するアプリがある。これを利用して端末ユーザが、居合わせてない位置に居るかのように 装うのを防止する。
セーフモードの無効化 
端末をセーフモードにできないようにします。セーフモードでは、端末購入時にインストール済のアプリのみしか起動しません。
管理したアプリのアンインストールを禁止 
京セラ、LG、Huawei、Samsungの端末でのみ有効です。(Android Enterpriseでは、全メーカーの端末で有効)
ドーズモードを無効にする 
チェックを入れると、端末がスリープ状態でもMobiControlサーバとの接続を維持する。 但し、接続時間帯の設定で、「常時接続」で設定しておいた場合のみ。 (ドーズモードは、端末メーカーにより表現が異なる。「スタミナモード」「電池最適化」などとも呼ばれる。)
常にサーバとの接続を維持」を参照ください。
ローミング時の同期機能を停止 
海外に居たとき、同期機能があるグループウェア・サーバとの同期やMobiControlのファイル同期を禁止する
データ伝送に携帯回線使用禁止 
無線LANでのデータ伝送のみとなる。例えば、当月のパケット伝送量が7GBに近づいた時などに、 通信費管理ルールの適用でこの禁止項目を実施開始とできる。
無線LANのプロファイルを変更させない 
新規のAPNやSSIDの設定を、端末ユーザにさせない。MobiControlで設定した構成プロファイルのみしか使わせない。
無線LANの認証情報の表示禁止 
SSIDの名前やパスワードなどを画面表示させない。
セキュリティ強度の面で、 最低許容レベルとした無線LAN暗号方式レベル以上しか使わせない
端末ユーザに無線LANの設定は許すが、強度の低いAPにはアクセスさせない。
右端をプルダウンすると、右図の選択肢が現れる。下に位置するほどセキュリティ強度が強くなる。
ここで選択した方式より強度の弱い方式では、端末ユーザは、WiFiを設定できない。「Open」の場合は、全ての方式での設定を許容する。
取り外し可能なSDカードアクセスを禁止する 
端末にSDカードを差しても書込み/読取りを不能にできる。USBインターフェイスで外付けSDカードとの読み書きを禁止するには、「USB On-the-Goの利用禁止」にチェックを付ける。
USBストレージの機能停止 
端末を会社のPCに接続し、会社情報を携帯に窃取するのを防止する。

 

構成プロファイルの作成が終わると、「OK」ボタンを押します。
構成プロファイルの作成が終わると、これを対象とする端末グループやAD(Active Directory)の グループに割り当てます。そして、それを当該グループの端末に配布し、インストールします。詳しくは、 「Android Plusの構成プロファイルの作成」 のページの「E. 構成項目の編集または削除」以下を参照ください。

2. 一部の機能制限ができない端末機種がある

機能制限に関する構成プロファイルを端末に送っても、一部の機能に関しては、その制限が有効にならない場合があります。 端末一覧で、該当端末の「構成」タブを開くと、(図3)のようになることがあります。

(図3)

(図3)で、「インストールの保留中」のステータスになっている端末が、その制限が有効にならなかった場合です。 (図2)では、多くの制限項目を設定したとします。その内の殆どは制限が有効になったが、1つだけ制限が有効にならない場合があります。 それでも、ステータスは「インストールの保留中」になります。
「インストールの保留中」になる理由は、「AndroidのOSが古いバージョン」「MobiControlエージェントが古いバージョン」「エージェントのプラグインを 装着してない。またはプラグインのバージョンが古い」が考えられます。
しかし、特定のメーカーの特定の機種のみで、制限が有効にならない場合もあります。

(図4)の端末フィルター条件式を入力すると、「インストールの保留中」になっている端末を一覧表示することができます。

(図4)

詳しくは、「 I. 構成プロファイルが適用されているかどうかの確認」を参照ください。

(図2)で、「未インストール」となっている構成プロファイルがあります。 これは、自動インストールでなく、端末ユーザが任意の時間に、手動でインストールして貰う設定をした構成プロファイルです。 そして、未だ、端末ユーザが、それをインストールしてない場合を示しています。

3. 端末が職域に入ったときだけに機能制限

  1. 端末グループの下にサブグループを作ります。(サブグループの名前の例:「営業2課のフェンス内」)
  2. 情報漏洩の観点から禁止したい機能を(図2)から選択し、当該サブグループのポリシーとします。
  3. 企業の事業所の周りにジオフェンス(地図上の仮想的な境域)を設定します。 ジオフェンスの中に端末が入れば、MobiControlは端末を当該サブグループへ自動移動させることができます。 詳しくは、「アラートルールの作成」の「5.ジオフェンス・イベント」を参照ください。 これで、職域に入った私物端末による情報取得(USB経由での社内ファイル取得やカメラ撮影など)ができなくなります。
  4. ジオフェンスの外に端末がでれば、端末の入出力機能制限は解除されます。 これも、「アラートルールの作成」の「5.ジオフェンス・イベント」で設定します。

4. 会社支給端末での通信費抑制

「パケット定額プラン」でも、7GB以上使うと2GB単位で追加額を払う料金プランなどがあります。 パケット伝送量に月間限度を設定しておき、それを越えると、携帯電話回線を使ってのデータ伝送機能を禁止することができます。
  1. 端末グループの下にサブグループを作ります。(サブグループの名前の例:「営業2課の通信費制限」)
  2. 通信費抑制の観点から禁止したい機能(例:データ伝送に携帯電話回線利用禁止)を選択し、 当該サブグループのポリシーとします。
  3. 通信費ルール」で、月間伝送量が限度以上(例:6GB以上) になった端末をMobiControlは当該サブグループへ自動移動させることができます。