端末の機能制限

セキュリティ対策のため、主に入出力機能を中心に、端末の機能を停止します。 



 

(図1)の「Android Plus 構成プロファイルのメニュー」の画面を表示します。
 
表示方法は、「Android Plus 端末の
構成プロファイルの作成」を参照ください。 


 

(図1) 

Android Plus 構成プロファイルのメニュー 


 


1. 端末機能の一覧表

(図1)で端末機能制限を選択すると、(図2)が表示されます。この中から、機能の利用を禁止したい項目にチェックを入れます。


(図2)



スクリーンキャプチャを禁止 

スクリーンショットを撮るのを禁止します。機種によりますが、これを禁止すると、リモートコントロールで、コンソールで真っ黒、又は真っ白の画面しか映らなくなります。

偽のGPS位置情報を報知させない 

偽のGPS位置情報を報知するアプリがある。これを利用して端末ユーザが、居合わせてない位置に居るかのように
装うのを防止する。


セーフモードの無効化 

端末をセーフモードにできないようにします。端末にランチャーを適用していても、セーフモードでは、ランチャーが解除された画面になります。



バッテリ設定への変更を無効にする 

京セラ Digno F でのみ可能です。ステータスバーのバッテリアイコンをタップすることで変更ができます。



管理したアプリのアンインストールを禁止 

京セラ、LG、Huawei、Samsungの端末でのみ有効です。管理したアプリとは、コンソール操作で配布したアプリです。
(Android Enterpriseでは、全メーカーの端末で有効)



バックグラウンド・アプリによるデータ取り込み禁止 

バックグラウンドで動いているアプリが、携帯電話回線にアクセスすることを禁止します。
MobiControlエージェントは、通常、バックグラウンドで動いています。
従って、ここにチェックを入れると、WiFi接続していない端末は、MobiControlサーバと切断します。





ドーズモードを無効にする 

チェックを入れると、端末がスリープ状態でもMobiControlサーバとの接続を維持する。
但し、接続時間帯の設定で、「常時接続」で設定しておいた場合のみ。 
(ドーズモードは、端末メーカーにより表現が異なる。「スタミナモード」「電池最適化」などとも呼ばれる。)

「常にサーバとの接続を維持」を参照ください。



ローミング時にはWAPプッシュメールの受信拒否 

現在のAndroid端末は、WAPプッシュメールをサポートしていません。



ローミング時の同期機能を停止 

海外に居たとき、同期機能があるグループウェア・サーバとの同期やMobiControlのファイル同期を禁止する


データ伝送に携帯回線使用禁止 

携帯電話回線を使ってのデータ伝送はできなくなります。ここにチェックを入れると、WiFi接続していない端末は、MobiControlサーバと切断します












無線LANのプロファイルを変更させない 

新規のSSIDの設定を、端末ユーザにさせない。無線LANの設定で設定したWiFiしか使わせない。

無線LANの認証情報の表示禁止 

SSIDの名前やパスワードなどを画面表示させない。



セキュリティ強度の面で、
最低許容レベルとした無線LAN暗号方式レベル以上しか使わせない


端末ユーザに無線LANの設定は許すが、強度の低いAPにはアクセスさせない。


右端をプルダウンすると、右図の選択肢が現れる。下に位置するほどセキュリティ強度が強くなる。

ここで選択した方式より強度の弱い方式では、端末ユーザは、WiFiを設定できない。「Open」の場合は、全ての方式での設定を許容する。





ポータブル・ホットスポットの利用禁止 

テザリングを可能にしている携帯電話端末をポータブル・ホットスポットといいます。
WiFi経由でこの端末にアクセスし、この端末を踏み台にして携帯電話回線経由でインターネット接続することを禁止します。





取り外し可能なSDカードアクセスを禁止する 

端末にSDカードを差しても書込み/読取りを不能にします。





USB On-the-Goの利用禁止 

USBメモリとの読み書きを禁止します。



USBストレージの機能停止 

端末をPCに接続し、PCのデータを携帯に窃取するのを防止します。




Samsung Kiesの利用禁止 

Samgung端末のデータをPCにコピーする機能を禁止します。




クリップボード機能の停止 

端末でのコピペを禁止します。業務データを他のアプリ(例えば、SNS)に貼り付けての情報漏洩を防止します。







構成プロファイルの作成が終わると、「OK」ボタンを押します。

構成プロファイルの作成が終わると、これを対象とする端末グループやAD(Active Directory)の
グループに割り当てます。そして、それを当該グループの端末に配布し、インストールします。詳しくは、

「Android Plusの構成プロファイルの作成」
のページの「E. 構成項目の編集または削除」以下を参照ください。




2. 一部の機能制限ができない端末機種がある

端末機種に依っては、一部の機能制限が有効にならない場合があります。
端末一覧で、該当端末の「構成」タブを開くと、(図3)のようになることがあります。

(図3)




(図3)で、「インストールの保留中」のステータスになっている端末が、その制限が有効にならなかった場合です。
(図2)では、多くの制限項目を設定したとします。その内の殆どは制限が有効になったが、1つだけ制限が有効にならない場合があります。
それでも、ステータスは「インストールの保留中」になります。


「インストールの保留中」になる理由は、「機種が対応していない」の他に、
「AndroidのOSが古いバージョン」「MobiControlエージェントが古いバージョン」「エージェントのプラグインを
装着してない。またはプラグインのバージョンが古い」が考えられます。


(図4)の端末フィルター条件式を入力すると、「インストールの保留中」になっている端末を一覧表示することができます。

(図4)




詳しくは、「 J. 「インストールの保留中」になったときの対処」を参照ください。


(図2)で、「未インストール」となっている構成プロファイルがあります。
これは、自動インストールでなく、端末ユーザが任意の時間に、手動でインストールして貰う設定をした構成プロファイルです。
そして、未だ、端末ユーザが、それをインストールしてない場合を示しています。



3. 端末が職域に入ったときだけに機能制限


端末グループの下にサブグループを作ります。(サブグループの名前の例：「営業2課のフェンス内」)
情報漏洩の観点から禁止したい機能を(図2)から選択し、当該サブグループのポリシーとします。
企業の事業所の周りにジオフェンス(地図上の仮想的な境域)を設定します。
ジオフェンスの中に端末が入れば、MobiControlは端末を当該サブグループへ自動移動させることができます。
詳しくは、「アラートルールの作成」の「5.ジオフェンス・イベント」を参照ください。
これで、職域に入った私物端末による情報取得(USB経由での社内ファイル取得やカメラ撮影など)ができなくなります。
ジオフェンスの外に端末がでれば、端末の入出力機能制限は解除されます。
これも、「アラートルールの作成」の「5.ジオフェンス・イベント」で設定します。




4. 会社支給端末での通信費抑制

「パケット定額プラン」でも、7GB以上使うと2GB単位で追加額を払う料金プランなどがあります。 
パケット伝送量に月間限度を設定しておき、それを越えると、携帯電話回線を使ってのデータ伝送機能を禁止することができます。

端末グループの下にサブグループを作ります。(サブグループの名前の例：「営業2課の通信費制限」)
通信費抑制の観点から禁止したい機能(例:データ伝送に携帯電話回線利用禁止)を選択し、
当該サブグループのポリシーとします。

「通信費ルール」で、月間伝送量が限度以上(例:6GB以上)
になった端末をMobiControlは当該サブグループへ自動移動させることができます。