端末登録ルール

2021年 12月 2日

A. 端末登録ルール作成の前に知っておくこと

A-1 「端末登録ルール」作成の目的

「端末登録ルール」を作成する主な目的は、端末が所属する予定の端末グループを指定する一方、「端末登録ルール」の識別情報となる「登録ID」と「登録用サーバアドレス(URL)」を生成することです。

(図A1)

端末には、MobiControlエージェントというアプリをインストールします。このアプリをインストールすると、(図A1)の右側のような画面が現れます。これに、登録ID(8桁)または、登録用サーバアドレスを入力します。

MobiControlエージェントに、直接入力しない場合もあります。これは、Programmer端末(親端末)に、これらを入力しておき、その情報を、NFC経由または QRコード読み取りによるWiFi経由で、該当端末に渡す方法です。これも、間接的とは言え、MobiControlエージェントに、登録IDまたは登録用サーバアドレスを入力することには、変わりありません。

登録IDと登録用サーバアドレスのどちらを入力するかは、端末のセットアップ方法により異なります。端末が閉域網にあり、インターネット経由で、SOTI Enrollment Service サーバにアクセスできない場合には、登録用サーバアドレスの入力でセットアップすることになります。詳しくは、端末のセットアップと操作を参照ください。

登録IDまたは登録用サーバアドレスの入力を得た、MobiControlエージェントは、MobiControlサーバにアクセスします。そして、登録用サーバアドレスのサブディレクトリ部分をサーバに提示します。 MobiControlサーバは、提示された登録用サーバアドレスのサブディレクトリから、それにに紐づけられた端末登録ルールを認識します。そして、その端末登録ルールが指定した端末グループに、端末を登録します。

A-2. 端末登録ルールと端末グループの関係

MobiControlの端末グループは、企業/団体の組織構造を反映して、階層構造とすることができます。

MobiControl設定を、総覧的にご理解いただくために「MobiControlの設定順序」のページを、お読みください。
端末の設定分野には「構成プロファイル」と「ルール」と「詳細設定」があります。詳しくは、構成プロファイルとルールと詳細設定を参照ください。

例えば「本部」「部」「課」の階層構造の場合だと、「課」単位の端末グループ毎の端末登録ルールを作成します。「端末登録ルール以外のルール」「構成プロファイル」及び「端末の詳細設定」は、端末グループ別に適用します。これらは上位の端末グループ(本部など)に適用し、多くの端末に一括適用することもできますが、最下位グループ(課など)に適用し、最下位グループ別に細かく適用することもできます。
そのために、端末登録ルールは、最下位グループ別に作成しておく必要があります。

例外として、「部」単位の端末登録ルールを作ることもできます。そして、部長席のユーザの端末は、「部」単位の端末登録ルールに則って登録することもできます。「本部長席」のユーザの端末に対しても同様に「本部」単位の端末登録ルールを作成します。

同じ端末グループを対象に、複数の端末登録ルールを作成し、端末に適用させることができます。例えば、同じ端末グループに登録することを目的としながらも、「Android Plus」のモードで登録する端末宛の端末登録ルールと、「Android Enterprise」のモードで登録する端末宛の登録ルールを、別々に作成できます。

A-3. 端末IDから登録用URLを取得

登録用URLは、貴社が使用するMobiControlサーバのアドレスとサブディレクトリ(パス)から構成されます。

登録用URL

端末のアクセスを受けたMobiControlサーバは、このサブディレクトリで、紐づけられた端末登録ルールを認識します。そして、端末登録ルールが指定した端末グループに、端末を登録します。
(図A1)の登録画面に、登録IDを入力を受けた端末は、SOTIのEnrollment Serviceにアクセスし、それから登録用URLを取得します。これで、アクセスするべきMobiControlサーバのアドレスを取得します。詳しくは、「端末IDから登録用URLを取得」を参照ください。

A-4. Android端末の設定モードは、2種類に大別

Android端末の設定モードは、2種類に大別されます。その内、Android Enterpriseは、更に2種類の設定モードに分けられます。

Android Plus
Android Enterprise
- b-1. Device Owner Mode
- b-2. Profile Owner Mode

左の設定モードの違いについては、
「Android Plus」と「Android Enterprise」
を参照ください。

A-5. 端末セットアップ時のMobiControlエージェントのダウンロード元

端末のセットアップは、MobiControlエージェント(APKファイル)のダウンロードとそのインストールから始まります。適用できるダウンロード元を、(表1)に示します。

(表1)
端末セットアップ時のエージェントのダウンロード元

設定モード	ダウンロード元		インターネットに接続可能
設定モード	ダウンロード元		端末のネットワーク環境
Android Plus	a	SOTIのダウンロードサイト
Android Plus	b	MobiControlサーバ
Android Enterprise	c	Google Play
Android Enterprise	d	MobiControlサーバまたはイントラネットのファイルサーバ

(図A2)

(表1)の a b c dについて、説明します。

端末のセットアップ時点では、最新のバージョンのエージェントをインストールできます。「Android Plus: エージェントのインストールと登録」の「方法1. エージェントのダウンロード元が、SOTIのサイト」を参照ください。
「Android Plus: エージェントのインストールと登録」の「方法2. エージェントのダウンロード元が、MobiControlサーバ」を参照ください。
この場合は、最新のエージェントをSOTIのサイトからMobiControlサーバに、事前に取り込んでおきます。 MobiControl v14.3以上の場合は、簡単に取り込めます。「F. Android Plusのエージェントの取り込み」を参照ください。
MobiControl v14.3未満の場合は、aの方法を採用ください。端末が、インターネットに接続できない環境の場合は、MobiControl v14.3以上へのアップグレードを検討ください。どうしても、閉域環境で、MobiControl v14.3未満で利用したい場合は、当社にお問い合わせください。
端末のセットアップ時点では、最新のバージョンのエージェントをインストールできます。「Android Enterprise Device Owner Modeセットアップ」を参照ください。
この場合のセットアップ方式は、当社にお問い合わせください。

端末を登録してから、しばらくすると、新しいバージョンのエージェントがリリースされます。
これのアップデート方法については、「Android端末エージェントのアップデート」を参照ください。

A-6. プラグインの配布、インストール、バージョンアップ

Android Plusでは、リモート画面操作ができますが、Android Enterpriseでは、リモート画面ビューしかできません。
しかし、多くの端末メーカーが、プラグインを提供しており、それをインストールすると、Android Enterpriseでもリモート画面操作ができます。
Android Plusに対しても、プラグインが提供されています。
プラグインを適用すると、端末の機能制限項目が増えたり、適用できるスクリプトコマンドが増えます。
プラグインのインストールやバージョンアップも、端末側操作は不要です。
詳しくは、「Android端末へのプラグインのインストール」を参照ください。

A-7. 管理者用Googleアカウント

Android Enterprise端末から、managed Google Playストアへのアクセスを許可するためには、管理者Googleアカウントを、予め取得しておきます。管理者用Googleアカウントには、次の3種類があります。

Google Workspace 管理者アカウント (旧: G Suiteアカウント)
Cloud Identity アカウント
managed Google Play アカウント

通常は、c. managed Google Play アカウントを取得しておきます。
上記の a. b. c. の違いについては、「C-3. managed Google Playストアと管理者用Googleアカウント」を参照ください。

A-8 登録時に、認証サービスで認証させるかどうか

認証サービスによるユーザ認証を必要とするWiFiやVPNがあります。その他にも、メールサーバ、ファイル共有サーバでも、ログインの際に、認証サービスによるユーザ認証をする社内リソースがあります。認証サービスに対するログインID を端末側に、埋め込んでおくと、これらのリソースに、自動ログインができるようになります。
端末をMobiControlに登録する際に、認証サービスによるユーザ認証をさせるように、端末登録ルールを作成しておきます。その端末登録ルールを適用してセットアップした端末には、認証サービスに対するログインID が埋め込まれます。

認証サービスには、「ディレクトリサービス」と「IDプロバイダ」の2系統があります。 MobiControlは次の製品をサポートしています。

ディレクトリサービス
AD_DS(Active Directry Domain Service)、Apple OD(Open Directory)
IDプロバイダ
Azure IdP、Google Workspace、Okta、Shibboleth、OneLogin

ディレクトリサービスによる認証をさせるには、端末登録ルールの作成の前に、「ディレクトリサービス接続プロファイル」を作成しておきます。
IDプロバイダによる認証をさせるには、端末登録ルールの作成の前に、「IDプロバイダ接続プロファイル」を作成しておきます。
端末登録時には、認証サービスによる認証を必要としない端末登録ルールを適用し、後から、端末に、ディレクトリサービスのログインID(UPN)などを、取り込ませる方法もあります。
詳しくは、「Active Directory UPNの登録」を参照ください。

下記の「C-2 端末グループを直接指定、認証サービスによる認証をする」を参照ください。

A-9 構成プロファイルは、認証サービスのユーザグループを割当て対象にできる

構成プロファイルは、端末単位や端末グループ単位で、割り当てることができますが、認証サービスのユーザグループにも割り当てることができます。
1つのユーザグループに、MobiControlの複数の端末グループをマッピング(紐づけ)させておくことができます。その場合、1つのユーザグループに、割り当てられた構成プロファイルは、マッピングしてある全ての(MobiControlの)端末グループの端末に、配布され、展開されます。

(図A3)
「認証サービスのユーザーグループ」に割り当て

下記の「C-3 端末グループに、認証サービスのグループをマッピングする」を参照ください。

B. 端末登録ルール名の入力

(図B1)
	(図B1)のAndroid端末のルールの一覧を表示するには、 Android端末のルールの設定を参照ください。 (図B1)で、「端末の登録」を右クリックすると、「端末登録ルールの作成」の文字列が現れます。これをクリックすると、(図B2)の設定ダイアログがポップアップします。

端末登録ルール名の入力画面(図B2)が現れます。

(図B2)

赤い背景色の部分に、ルール内容を連想しやすい文字列を入力します。
(図B3)は、そのサンプルです。

(図B3)

名前の入力が終われば「次へ」のボタンを押すと(図C1)が現れます。

C. 登録先端末グループの指定

(図C1)

ここで、次の3つの選択肢のどれかを選択します。

端末登録ルールで、端末グループを直接指定
- a-1 認証サービスによる認証をしない
- a-2 認証サービスによる認証をする
認証サービスのグループを指定し、端末グループを間接的に指定
(認証サービスのグループを端末グループにマッピングしておく)

下記の

をクリックください。

	説明を開いた状態
	説明を閉じた状態

C-1. 端末グループを直接指定。認証サービスによる認証をしない

端末のMobiControlへの登録時(キッティング時)に認証サービスに対するユーザ名と
パスワード入力画面が、表示されません。

端末登録ルールを適用する端末グループを選択

(図C1)で、「手動」を選択すると、(図C2)が現われます。「端末グループの登録」ダイアログで作成した端末グループが階層構造で表示されます。現在作成中の端末登録ルールの対象グループを選択します。

(図C2)

前述したように、基本的には、最下位の端末グループを指定することが適切です。「次へ」を押すと、(図C3)が現われます。

端末登録時に、パスワード入力を要求するか否かの選択

(図C3)
(図C3)で、次のラジオボタンのどちらかにチェックを入れます。
1. 端末登録時に、ここで設定するパスワードの入力を要求する
2. 端末登録時にパスワードの入力を要求しない
- a.を選択した場合、パスワード欄にパスワードを入力します。このパスワードは端末の登録の際だけに入力要求がされます。端末を登録する人に、このパスワードを連絡しておきます。登録した後に、端末をMobiControlサーバに接続させるときには、入力の要求はされません。
- b.を選択すると、登録作業が簡単になる反面、「登録用URL」を知っている人間の端末なら誰でも登録されてしまう危険があります。もし、キッティング作業の関係でパスワードの入力の手間を避けたい場合は、後述するIPアドレスフィルタと併用するとよいでしょう。その場合、社内の特定のSSID/WiFiに接続し、指定のIPアドレスを割り当てられている端末のみが登録できます。 MobiControlサーバがSaaSの場合、グローバルIPアドレスである必要があります。
  詳しくは、IPアドレスフィルタを参照ください。
パスワードの入力または、選択が終わると、「次へ」ボタンを押します。(図D1)に画面遷移します。

C-2 端末グループを直接指定。認証サービスによる認証をする

端末のMobiControlへの登録時に、認証サービスに対するユーザ名と
パスワード入力画面が表示されます。

端末登録ルールを適用する端末グループを選択

(図C1)で、「手動」を選択すると、(図C4)が現われます。
「端末グループの登録」ダイアログで作成した端末グループが階層構造で表示されます。現在作成中の端末登録ルールの対象グループを選択します。

(図C4)

前述したように、基本的には、最下位の端末グループを指定することが適切です。「次へ」を押すと、(図C6)が現われます。

認証サービスのグループを指定
(図C4)で指定した、「MobiControlの端末グループ」に登録できる「認証サービスのグループ」を、(図C6)で指定します。

(図C5)

(図C5)の例の場合なら、認証サービスの「グループA」のメンバーであることを認証されたら、その端末は、MobiControlの端末グループ「営業1課」に登録されます。
認証サービスの複数のグループを指定できます。「認証サービスのグループ」を複数指定した場合、ユーザが、当該の「認証サービスのグループ」のどのメンバーであっても、その端末は(図C4)で指定した「MobiControlの端末グループ」に登録されます。
(図C5)の例の場合なら、認証サービスの「グループB」、「グループC」のどちらかのメンバーであることが認証されたら、その端末は、MobiControlの端末グループ「営業2課」に登録されます。

認証サービスの種類については、「A-8 登録時に、認証サービスで認証させるかどうか」を参照ください。
- ディレクトリサービスによる認証をさせるには、端末登録ルールの作成の前に、「ディレクトリサービス接続プロファイル」を作成しておきます。
- IDプロバイダによる認証をさせるには、端末登録ルールの作成の前に、「IDプロバイダ接続プロファイル」を作成しておきます。
(図C6)
(図C6)で、「デバイスの登録時にユーザーグループを使用してください。」のラジオボタンにチェックを入れます。
続けて、「ディレクトリサービス」か「IDプロバイダ」のどちらかにチェックを入れます。
- 右端をプルダウンすると、接続プロファイルの名前が表示されます。「ディレクトリサービス」を選択したら、ディレクトリサービス接続プロファイルの名前のリストが表示されます。
  「IDプロバイダ」を選択したら、IDプロバイダ接続プロファイルの名前のリストが表示されます。
  適用しようとする接続プロファイルの名前を選択します。(図C6)の「AD_Link」は、接続プロファイル名のサンプルです。
- 認証サービスのグループの名前を入力してから、右端の「Add」を押します。
  グループの名前の文字列全てを入力する替わりに、最初の4文字を入力してから「Add」を押すと、候補となるグループ名が表示されます。
- 認証サービスの入力したグループ名が表示されます。
  MobiControlサーバから認証サービスのサーバまで、問い合わせをしますから、表示されるまで、時間がかかります。
もし、認証サービスの複数のグループのメンバーの端末を、(図C4)で指定したMobiControlの端末グループに登録したい場合は、に、2番目のグループ名を入力します。
(図C7)は、「Sales T2」と「Sales T3」という名前の認証サービスのグループを、登録した例です。認証サービスの、ここに登録したグループのメンバーの端末が、(図C4)に指定したMobiControlの端末グループに登録されます。
もし、どちらかのグループを削除する場合は、グループ名の右横のX印をクリックします。
(図C7)

(図C6)での、入力が終われば、「次へ」を押します。(図D1)に画面遷移します。

C-3 端末グループに、認証サービスのグループをマッピングする

端末のMobiControlへの登録時に、認証サービスに対するユーザ名と
パスワード入力画面が表示されます。
1つの端末登録ルールの適用で、複数の端末グループへの振り分け登録ができます。

(図C8)

(図C9)

端末ユーザが所属する認証サービスグループに対し、MobiControlの端末グループを 1 対 1 でマッピングします。
(図C8)の例では、認証サービスの「グループA」のメンバーが、端末登録時にサインオンすれば、端末は、「営業1課」に登録されます。
端末登録ルールでは、1つの登録用URLが生成されます。
同じ登録用URLを入力しても、認証サービスの「グループB」のメンバーが、端末登録時にサインオンすれば、端末は、「営業2課」に登録されます。
つまり、この場合は、1つの端末登録ルールで、複数の端末グループへの登録を設定できます。
認証サービスのグループが、大ぐくりで、MobiControlの端末グループに、1対1で対応できない場合があります。その場合は、(図C9)のように、MobiControlの端末グループ毎に、端末登録ルールを作成します。
認証サービスの種類については、「A-8 登録時に、認証サービスで認証させるかどうか」を参照ください。
- ディレクトリサービスによる認証をさせるには、端末登録ルールの作成の前に、「ディレクトリサービス接続プロファイル」を作成しておきます。
- IDプロバイダによる認証をさせるには、端末登録ルールの作成の前に、「IDプロバイダ接続プロファイル」を作成しておきます。
(図C1)で、「ユーザーグループメンバーズシップに基づく」を選択すると、(図C10)が現われます。
(図C10)で、認証サービスのグループにマッピングするMobiControlの端末グループをマッピング(連携)させます。
マッピングすることの意義は、「A-9 構成プロファイルは、認証サービスのユーザグループを割当て対象にできる」を参照ください。
(図C10)
(図C10)の上辺には、「ディレクトリサービス」と「IDプロバイダ」の2種類のラジオボタンがあります。どちらかを選択します。
- 右端をプルダウンすると、接続プロファイルの名前が表示されます。「ディレクトリサービス」を選択したら、ディレクトリサービス接続プロファイルの名前のリストが表示されます。
  「IDプロバイダ」を選択したら、IDプロバイダ接続プロファイルの名前のリストが表示されます。
  適用しようとする接続プロファイルの名前を選択します。(図C10)の「AD_Link」は、接続プロファイル名のサンプルです。
- 認証サービスのグループの名前を入力してから、右端の「Add」を押します。
  グループの名前の文字列全てを入力する替わりに、最初の4文字を入力してから「Add」を押すと、候補となるグループ名が表示されます。
  MobiControlサーバから認証サービスのサーバまで、問い合わせをしますから、表示されるまで、時間がかかります。
欄で入力した認証サービスのグループの名前は、(図C11)の欄に表示されます。 (図C11)のの「Sales T3」は、認証サービスのグループ名のサンプルです。
(図C11)

(図C11)で、認証サービスのグループにマッピングするMobiControlの端末グループを選択します。
(図C11)の欄の右端をプルダウンすると、(図C12)のように MobiControlの端末グループが階層構造で表示されます。

(図C12)

(図C12)の欄で、MobiControlの端末グループを選択すると、(図C13)のように画面が遷移します。

(図C13)

(図C13)は、認証サービスの「Sales T2」という名前のグループが、MobiControlの端末グループである「営業第2部」にマッピングしていることを意味します。認証サービスの「Sales T2」のメンバーの端末は、MobiControlの端末グループ「営業第2部」に登録されます。
同時に、構成プロファイルが、認証サービスのグループ「Sales T2」に割り当てられたら、それは、MobiControlの端末グループ「営業第2部」の端末に展開されます。
追加的に、認証サービスの他のグループのマッピングを行います。(図C10)ので、再度、認証サービスの他のグループの名前を入力してから、右端の「Add」を押します。
以下、(図C11)と(図C12)と同じ作業をします。これで、認証サービスの複数のグループを、MobiControlの端末グループへマッピングできます。これで1つの端末登録ルールの登録IDを、MobiControlに提示するのに拘らず、登録する端末は、認証サービスのグループに基づき、各々のマッピングされた端末グループに振り分け登録されます。
複数のグループのマッピングをした後に、そのどれかを削除したいときがあります。その際は、該当するグループを選択してから、(図C13)の左下の「削除」ボタンを押します。
(図C13)での作業が終われば、「次へ」を押します。「次へ」を押すと、(図C14)に画面遷移します。

SSL(TLS)通信に関する証明書

(図C14)

端末とMobiControlサーバとの間のSSL(TLS)通信に使う証明書を規定します。 MobiControl内部CAを使う場合は、「次へ」を押します。「次へ」を押すと、(図E1)に画面遷移します。

D. 利用規約の入力

端末を登録するプロセスで、端末に「利用規約」を表示するか否かを選択します。
表示する場合は、「利用規約」の文章ファイルをインポートします。

(図c3) または (図c6) で「次へ」を押すと、(図D1)が現れます。

利用規約を表示するか否かの選択

(図D1)

(図D1)の上辺に、「端末登録時に利用規約への同意を求める」のチェックボックスがあります。

端末で	(図d1)での作業
「利用規約」を表示させない	チェックボックスにチェックを入れずに、下辺の「次へ」を押します。(図E1)に画面遷移します。
「利用規約」を表示させる	チェックボックスにチェックを入れ、「管理」ボタンを押します。(図D2)が現れます。

利用規約とは

「利用規約」は、端末ユーザがMobiControlを利用することに伴う権利義務と MobiControlが端末を管理する事柄を記述した文章です。「会社支給端末を紛失したら、すぐに会社に届けること」とか「私物端末でも、紛失したら、端末をリモートWIPE(初期設定にもどす)をし、プライベートデータも削除すること」などの条項を記述しておきます。

端末を登録するプロセスで、端末に「利用規約」を表示します。そして、端末ユーザの同意を取得します。特に私物端末を登録する際に、端末データの取り扱いに関して、同意を得ておくことが望ましいと判断した場合、この利用規約を設定します。

「利用規約」を表示するためには、まず、その文章を作成しておきます。文字のエンコーディングは、Unicodeとします。また、文章は、HTMLまたはText形式で記述します。利用規約本文は、予め作成しておき、コンソールコンピュータ内に保存しておきます。

利用規約本文のファイルをインポート

(図D2)

新規に利用規約を登録するには、(図D2)で「追加」を押します。(図D3)が現われます。

(図D3)

利用規約の名前を入力します。利用規約本文は、予め作成しておき、コンソールコンピュータ内に保存しておきます。ソース欄の右の「参照」を押すと、コンソールコンピュータのExploreが開くので、保存先フォルダを検索し、該当ファイルをクリックします。利用規約本文のファイルがインポートされます。「プレビュー」を押すと、どのように表示されるかがポップアップします。

ファイルのインポートが終わると「OK」を押します。 (図D2)に、利用規約の名前が表示されます。
(図D2)の「閉じる」を押すと、(図D1)に戻ります。
(図D1)の「利用規約を選択」欄の右端をプルダウンすると、利用規約の名前のリストが表示されます。適用しようとする利用規約の名前を選択します。

これで、「利用規約」を登録しようとする端末の画面に表示する準備ができました。
(図D1)で、「次へ」を押します。「次へ」を押すと、(図E1)が現れます。

E. 管理者用Googleアカウントの選択

端末を「Android Enterprise」モードとして設定する場合の、管理者用Googleアカウントを選択。
「Android Plus」モードとして設定する場合は、スキップ。

(図D1)で、「次へ」を押すと、(図E1)に画面遷移します。
(図E1)は、 Android Enterprise端末から、managed Google Play ストアにアクセスするためのGoogleアカウントを、誰が付与するかの選択肢です。端末をAndroid Enterpriseモードとして設定するときのみの選択肢です。
Android Plus端末からは、managed Google Playには、アクセスできないので、(図E1)のどの選択肢を選んでも、影響はありません。もし、今、作成中の端末登録ルールを適用する端末が、Android Enterpriseモードになる予定がない場合は、(図E1)下辺の「次へ」を押します。

(図E1)

Android Enterprise端末に対しGoogleアカウントを付与するのは、貴社の管理者用Googleアカウント保有者です。
管理者用Googleアカウントには、次の3種類があります。

Google Workspace 管理者アカウント (旧: G Suiteアカウント)
Cloud Identity アカウント
managed Google Play アカウント

これらのアカウントの名称に関しては、Googleの下記のページをご参照ください。 Google アカウントの種類

a. と b. の管理者用Googleアカウント保有者が生成した端末用Googleアカウントを入力することで、端末をMobiControlに登録する場合は、 (図E1)で、にチェックを入れます。

管理者用Googleアカウント保有者として、 c. managed Google Play アカウントを選択した場合は、 (図E1)で、

にチェックを入れます。

下表を参考にして、

、

のどれかを選択します。


管理者用GoogleアカウントのGoogleの名称	Google Workspace 管理者アカウント Cloud Identity アカウント	managed Google Play アカウント	管理者用Google アカウントを使わない
端末のGoogleアカウントは、いつ作成/生成されるか	管理者用Googleアカウント保有者が、Google管理ポータルで作成注	端末をMobiControlに登録する際に生成され、端末に埋め込まれる	作成しない
端末登録時に、端末のGoogleアカウント IDとパスワードの入力は必要か	必要	不要
端末がインターネットに接続できることが必須か	必須		必須でない
端末がGoogle Workspace または Cloud Identityのサービスを利用できるか	できる	できない
管理者用Googleアカウントの作成方法	「管理者用Googleアカウントの作成とバインド」を参照	「managed Google Playアカウントの作成」を参照	作成しない

注 AD_DS (Active Directory Domain Service)のユーザ名を、端末のGoogleアカウントとすることができます。その場合は、 AD_DSのデータベースを、GCDS(Google Cloud Directory Sync)ツールを使って、Googleのアカウントデータベースと連動させておきます。

管理者用のGoogleアカウント保有者は、通常のGoogle Play ストアの中からアプリを選抜し、managed Google Playストアにそれを格納できる権利を持ちます。そして、そのアプリが、端末によってダウンロードされ、使用されることを「承認」します。
Android Enterprise Device Owner Modeの端末は、通常のGoogle Playストアにはアクセスできません。managed Google Playストアにしかアクセスできません。従って、管理者用Googleアカウント保有者が、「承認」したアプリしかダウンロードできません。
個人的なGoogleアカウントでは、managed Google Play ストアには、アクセスできせん。
を選択した場合は、 (図E1)の赤矢印部分をプルダウンして、managed Google Play アカウントを代替する認識IDである、企業/組織名を選択します。企業/組織名は、managed Google Play アカウント作成を Googleに申請したときに、入力した企業/組織名です。それは、 managed Google Playアカウントの作成」のページの(図8)で入力した文字列です。
現在作成中の端末登録ルールを適用して、MobiControlに登録する端末に対し、アプリカタログルールを適用することがあります。そのアプリカタログルールで選択する「バインディング」文字列は、端末登録ルール (図E1) ののそれと、同一でなければなりません。詳しくは、「端末登録ルール」と「アプリカタログルール」で、「企業/組織名」を共有を参照ください。
Android Enterprise Profile Owner モードでは、業務領域で、managed Google Play にアクセスできます。
個人的なGoogleアカウントで、一般のGoogle Playにもアクセスできます。
を選択しての端末登録ルールで登録した端末には、 managed Google Playストアやアプリカタログを使ってのアプリの配布ができません。替わりに、アプリをパッケージ化して配布します。
インターネットから遮断された閉域網にある端末の場合に適用します。

(図E1)での選択が終われば、「次へ」を押します。(図F1)が現れます。

F. Android Plusのエージェントの取り込み

「Android Plus」用のMobiControlエージェントアプリを、SOTIのサイトからMobiControlサーバに取り込みます。
端末を「Android Enterprise」モードとして設定する場合は、スキップ。

(図E1)で、「次へ」を押すと、(図F1)に画面遷移します。下表で、緑色のセルの部分に該当しない場合は、(図F1)で「次へ」を押します。

エージェントのダウンロード元
設定モード	MobiControlサーバのバージョン
設定モード	v14.3以上	v14.3未満
Android Plus		SOTIのサイトから直接ダウンロード
Android Enterprise	Google Playからダウンロード

MobiControlサーバのバージョンが v14.3未満の場合は、(図F1)では、下辺の「次へ」を押します。
もし、今、作成中の端末登録ルールを適用する端末が、Android Plusモードになる予定がない場合も、(図F1)下辺の「次へ」を押します。

(図F1)

Android Plusの最新バージョンのエージェントのインストーラ(APKファイル)は、SOTIのサイトに格納されています。

MobiControlサーバのバージョンが v14.3未満の場合は、下記の(図F4)の画面を表示できません。従って、最新のエージェントのインストーラを入手するには、端末側で(図F2)のC の作業を実施します。「Android Plus: エージェントのインストールと登録」の「方法1. SOTIのサイトからエージェントをダウンロード元」を参照ください。

(図F2)

MobiControl v14.3以上で、Android Plusとしてセットアップする場合は、(図F2)のA の作業を実施します。
そのためには、 (図F1)で、「サーバーから直接ダウンロードする」にチェックを入れます。(図F3)に遷移します。
この「サーバーから直接ダウンロードする」とは、「Android Plusのエージェントを、端末がMobiControlサーバからダウンロードできるように準備をする」ことを指します。

MobiControlサーバへのエージェントのインストーラの取り込みが終われば、端末は、Bのように、MobiControlサーバからエージェントのインストーラをダウンロードします。
詳しくは、「Android Plus: エージェントのインストールと登録」のページの「方法2. MobiControlサーバからエージェントをダウンロード」を参照ください。

端末セットアップを、Cのように、SOTIのサイトからエージェントのインストーラをダウンロードした際でも、その後のエージェントのバージョンアップには、A を実施します。
MobiControl v14.3以上の場合は、「Android Plus端末エージェントのアップデート」を参照ください。簡単です。
MobiControl v14.3未満でのAの作業は、MobiControlのマネージメントサーバ(SQLサーバ)への働きかけを必要とします。その方法は、当社にお問い合わせください。オンプレミスサーバに対し、当社でこの作業を実施する場合は、有償となります。

新しいバージョンをAで取り込めば、端末群に向けて、一斉にプッシュ配布できます。簡単です。
プッシュ・アップデートの方法は、「Android Plusのエージェントのアップデート方法」を参照ください。

(図F3)

(図F3)の下辺の「エージェントの管理」ボタンを押します。(図F4)がポップアップします。

(図F4)

(図F4)には、SOTIサイトに格納してある、Android Plusの全ての端末メーカー及びその端末モデルが表示されます。これから端末に展開する、端末メーカーと端末モデルを選択します。端末メーカーの横向き三角をクリックすると、端末モデルのリストが現れます。

例えば、(図F4)で、Epson Moverio BT-350 という端末モデル名に、

のマークがついています。これは、MobiControlサーバ側には、Epson Moverio BT-350対応のエージェントのインストーラが無いことを示しています。
この場合、「追加」のボタンを押すと、MobiControlサーバは、SOTIのサイトから、そのエージェントのインストーラを取り込みます。
これが、(図F2)でのAの作業に相当します。

取り込みが終わると、(図F3)の該当の端末モデル名に対応するエージェントのバージョン番号が、最新バージョンのものに変わります。端末メーカーの横向き三角をクリックすると、端末モデルのリストが現れます。もし、そのエージェントのインストーラを端末に展開するのなら、(図F3)でチェックを入れます。

(図F3)に表示されている端末メーカーとその端末モデルのリストは、貴社のMobiControlサーバに格納してあるエージェントインストーラの端末メーカーとその端末モデルのリストになります。
そして、(図F3)でチェックを入れた端末モデルの名前が、端末画面にメニュー表示されます。端末セットアップ時には、そのメニューから、端末メーカーと端末モデルを選びます。そして、MobiControlサーバから端末に該当するエージェントインストーラ(APKファイル)がダウンロードされます。
貴社で展開しない端末メーカーにチェックを入れておくと、端末側でのメニュー選択肢が多くなり、煩雑になります。
(図F3)では、今、作成中の端末登録ルールで、登録する予定の端末のメーカーとその端末モデルに限定してチェックを入れます。
なるべく端末モデル数を少なくしておいた方が、端末側での選択肢が少なくなり、スクロール操作が少なくなり、インストールがラクになります。

(図F3)での、チェックが終われば、下辺の「次へ」を押します。「次へ」を押すと、(図G1)が現れます。

Android端末へのプラグインのインストールを、参考にしてください。

G. 端末の名前の表示形式

コンソール画面に表示する端末の名前の表示形式を指定します。

(図G1)

端末の名前は、固定文字列と、端末毎に異なるパラメータ文字列の組み合わせとします。
(図G1)の例では、Android が固定文字列です。任意の文字列に変更しても結構です。
入力欄の右端の歯車アイコンをクリックすると、端末名のパラメータに対応するマクロ文字列のリストが表示されます。
どれかを選択すると、入力欄に反映されます。 (図G1)の例では、「連番の自動割り当て」を選択しています。
下表がマクロ文字列の説明です。複数のマクロ文字列を選択することも可能です。

	選択肢	マクロ
1	電話番号	%PHONENUMBER%
2	連番の自動割り当て	%AUTONUM%
2	端末の登録の順番に、MobiControlが、1から順次附番する番号。 1番目に登録した端末では1、10番目に登録した端末では10、100番目に登録した端末では100と表示します。
3	連番の自動割り当て	%AUTONUM:X%
3	端末の登録の順番に、MobiControlが、順次附番する番号。 Xは数字の桁数。例えば、%AUTONUM:4% と指定すると、1番目に登録した端末では0001、10番目に登録した端末では0010、100番目に登録した端末では0100と表示します。
4	端末のOS	%PLATFORM%
5	端末のモデル	%MODEL%
6	端末メーカー	%MANUFACTURER%
7	端末のMACアドレス (WiFiモデムのMACアドレス)	%MAC%
8	端末のシリアル番号メーカーが出荷時に附番する番号	%SERIALNUM%
9	端末ID	%DeviceID%
9	端末IDは、MobiControlが付与する番号(16進法表示)。唯一性を持つ番号です。
10	端末のIPアドレス	%IP%
11	IMSI	%IMSI%
11	回線契約ごとの管理番号。SIMカードに記録されている
12	ESN	％ESN%
12	第2世代携帯電話端末毎の識別番号
13	IMEI	％IMEI%
13	携帯電話端末毎の識別番号
14	ICCID	％ICCID%
14	SIMカードの識別番号
15	登録時のユーザのユーザ名	%EnrolledUser_Username%
16	登録時のユーザのドメイン	%EnrolledUser_Domain%
17	登録時のユーザのプリンシパルネーム	%ENROLLEDUSER_UPN%
18	登録時のユーザのメールアドレス	%EnrolledUser_Email%
19	所有者が命名した端末名	%PERSONALIZED_DEVICE_NAME%
19	デフォルトでは端末モデルの文字列。端末ユーザがGoogle Playにアクセスし、Google Playでの「設定」ボタンを押すと同じGoogleアカウントの端末一覧が表示されます。その一覧の端末毎の「編集」を押すと、端末の名前(ニックネーム)を変更できます。それが「所有者が命名した端末名」です
20	ロック画面メッセージ	%LOCKSCREEN_MESSAGE%
20	端末ユーザが、「設定」-->「セキュリティ」-->「ロック画面メッセージ」で、端末ユーザが入力した文字列

11から14までは、携帯電話会社での開通をした端末で有効。いわゆるWiFi専用モデルでは、無効。
15から18は、端末登録時に、認証サービスによる認証を受けた端末にのみ有効です

複数のマクロ文字列を選択することが可能です。例えば、
「端末のモデル」と「数字の順番を自動的に割り当て」を選ぶと、
この欄は、 %MODEL% %AUTONUM%
と表示されます。この% %で囲まれた文字列が、マクロです。
実際の端末の定型端末名は、例えば、
SC-04E 00001
のようになります。続いて、この定型端末名の形式で2番目に登録された定型端末名は
SC-04E 00002 となります。

MobiControlへの端末登録後に、端末の名前を変更できます。変更したい端末を選んでから、「Android端末に働きかける」の「名前変更」を選択してください。その際、上記のマクロ文字列も、端末の新しい名前の一部として利用できます。
「名前変更」は、端末一台ごとに実行することになります。

(図G1)の下辺で、「次へ」を押すと、(図H1)に画面遷移します。

H. 設定内容の確認

今までの設定内容が表示されます。この内容で良ければ、「終了」を押します。修正をする場合は、「戻る」を押します。

(図H1)

I. 登録IDの生成

(図H1)で「終了」を押すと、(図I1)が表示されます。この時点で、端末登録ルールの作成は終了しました。

(図I1)

端末をキッティングする人に、(図I1)の登録IDと登録用URLを連絡します。 (図I1)で、「メールで登録IDの通知」ボタンを押すと、コンソールでメーラーが起動します。本文に、登録IDと登録用URLが記されています。(図C3)で登録時のパスワードを設定した場合は、そのパスワードも連絡します。
キッティングをする人のメールアドレスを入力して、送信します。

(図I2)

(図I2)は、登録IDの発行と、それを端末がMobiControlサーバに提示するまでのプロセスを示しています。
(図H1)で「終了」を押すと、(図I2)の

から

までが実行され、(図I1)が表示されました。
続けて、(図I1)で、「メールで登録IDの通知」ボタンを押すことは、

を実行することです。

J. 登録IDと登録用サーバアドレス

作成した端末登録ルールの名前にマウスを載せると、その端末登録ルールの内容が(図J1)のように表示されます。 MobiControlサーバが閉域ネットワークにあるときは、(図J1)では、登録IDは表示されません。しかし、「端末登録サイトのURL(登録用サーバアドレス)」は、イントラネットのDNSサーバのURL、または、プライベートIPアドレスに、サブディレクトリが付与された型式となります。

(図J1)

K. 作成済の端末登録ルールの編集その他

(図K1)

(図K1)で、対象となる端末登録ルールを右クリックすると、(図K1)のようなメニューが現れます。

作成済の端末登録ルールの中身を修正する場合は、「ルールの編集」を選択します。「ルールの対象グループ」、「登録時の認証方式」、「利用規約書」、「適用期間」などを修正することができます。
「登録ID発行の停止」を選択すると、中央ペインの登録IDの部分が空白になります。更にプルダウンメニューの「登録ID発行の停止」が「登録ID発行の開始」に変ります。(図K2)参照

(図K2)

(図K2)で「登録ID発行の開始」を押すと、新しい登録IDが発行されます。今後は、この新しい登録IDを使わないと新規に端末を登録できなくなります。
この登録IDの再発行は、セキュリティ対策上、次のような場合に役立ちます。部外者が登録IDを知ると、Mobicontrolに自分の端末を登録できてしまうからです。登録IDを時々、変えると、このようなリスクを防げます。

(図K3)

「ルールの適用中止」を選択すると、臨時的に、その登録IDでは登録できなくなります。登録済の端末がMobiControlの管理外になるということではありません。また、端末登録ルールが削除された訳ではありません。
「ルールの適用中止」を選択すると、この文字列が「ルールの適用開始」に変わります。これを押すと、当該ルールの適用が再開します。
「ルールの削除」を選択すると、当該ルールは削除されます。復活はできません。

L. プラグインをMobiControlサーバに取り込み

MobiControl v14.4.以上の場合、エージェントのプラグインを簡単にMobiControlサーバに取り込めます。そして、端末群に対し、一斉配布し、サイレントインストールします。 v14.4未満の場合は、スキップ。

上述した(図F4)の画面の上辺の「デバイスプラグイン」を開くと、(図L1)が表示されます。(図L1)は、SOTIのサイトでの最新バージョンのプラグインの一覧です。

(図L1)
SOTIサイトでのプラグインの一覧

(図L1)で「ローカルバージョン」とは、SOTIのサイトから過去に取り込んだプラグインで、MobiControlサーバに格納されている古いバージョン番号です。
「最新のバージョン」は、SOTIのサイトに格納されているプラグインのバージョンです。 (図L1)での赤枠の端末モデルのローカルバージョンは、「最新のバージョン」より古いことが分かります。
このような端末モデルの右端には「更新」ボタンが付いています。この「更新」ボタンを押すと、 MobiControlサーバは、新しいバージョンを、SOTIのサイトから取り込みます。これで、下の(図L2)のの作業は終わりです。
端末登録ルールを作成してしまった後なら、(図K1)の「ルールの編集」を選択し、「エージェントのダウンロード」のタブを選び、画面下段の「エージェントの管理」ボタンを押すことでも(図L1)を表示できます。
プラグインを端末に新規に配布したり、または、バージョンアップする作業は、コンソールで、対象端末群を選んで、をクリックするだけです。
MobiControl v14.4以降は、プラグインのバージョンアップの際も、をクリックします。

(図L2)
プラグインの取り込み

(図L1)は、MobiControl v14.4未満では表示できません。MobiControl v14.4未満の場合は、 (図L2)のの方法で、プラグインをMobiControlサーバ経由でプッシュ配布し、サイレントインストールをします。詳しくは、「Android端末へのプラグインのインストール」の「H. MobiControl v14.4.4.未満の場合」を参照ください。
エージェントのプラグインについての詳細は、 Android端末へのプラグインのインストールを参照ください。

M. 端末登録ルールの詳細設定

SafetyNetによる登録失敗防止
端末が所属する端末グループを移動後、端末の登録一時解除 --> 端末の再登録をした場合に、移動後の端末グループに再復帰させるか否か
上記の場合に、コンソールに表示する端末名も継承するか、新しくするか
WiFiの特定のIPアドレス・レンジ内でしか、端末を登録できないようにする

(図H1)の右下の「詳細設定」を押すと、(図M1)が現われます

M-1. 適用期間の設定

オプションとして、端末登録ルールの適用期間を設定します。例えば、

MobiControlの社内展開日がまだ先の場合は、開始日時を設定できます。
端末の登録終了日を設定する場合、その日時を入力します。
この終了日で登録は終ります。この日以降、この登録IDでの登録はできなくなります。
しかし、登録済の端末によるMobiControlの利用は継続します。
セキュリティ上の観点から、キッティング完了予定日を「適用終了日時」にします。

(図M1)

M-2. 登録のオプション

(図M1)の下段の項目を説明します。

項目の文字列	説明
ルールの適用	チェックを外すと、端末登録ルールは存在しても、対象の端末グループへの新規登録は拒否します
再登録時に元の端末グループに所属させる	端末が所属する端末グループを移動させることがあります。その後に、、端末側操作またはコンソール操作で、MobiControl登録を一度解除し、登録時と同じ登録ID(または登録用URL)で、再度、登録させることがあります。ここにチェックを入れておくと、端末は、登録解除直前の端末グループに復帰して、再登録されます。チェックを入れておかないと、端末は、登録ルールで指定した端末グループ(図C2)、(図C4)、(図C13)に、再登録されます。軍隊用語での、原隊復帰です。端末の再登録に伴う復帰については、「端末での登録解除の禁止」を参照ください。端末は、コンソールにより、他の端末グループに移動させることができます。また、端末は、アラートルールの発動で端末グループを移動させられることもあります。
SHA-1クライアント証明の配布を強制	MobiControl v14.x は、サーバと端末との間の暗号化通信プロトコルに、SHA-2 による TLS1.2 を採用しています。端末がSHA-2をサポートしてない場合に、ここにチェックを入れます。
SafetyNet認証失敗でも登録	Androidにデフォルトで搭載されているセキュリティ対策メカニズムであるSafetyNetにより、MobiControlエージェントが認証されない場合があります。しかし、ここにチェックをいれると、それでも登録が実行されます。
パスワードをキャッシュに入れる	AD_DS(Active Directory Domain Service)で本人認証をして、端末を登録するとします。その場合、登録作業中の10分間に限り、ADのパスワードをサーバにキャッシュ保存します。 AD_DSの認証を必要とする、WiFi、VPN、またはEメールの登録に関する構成プロファイルが、すでに当該端末グループに割り当てられているとします。その構成プロファイルには、パスワード入りで端末に配布されます。従って、端末が、WiFi、VPN、またはEメールを利用とするときに、 AD_DSのパスワード入力画面がポップアップしません。
登録ID発行の開始	チェックを外すと、(図30)の「登録IDの発行開始」を選択しても、登録IDの発行はできなくなります。
再登録で端末名を保持	端末側またはコンソール側操作でMobiControl登録を一度解除し、再度、登録することがあります。その場合、ここにチェックを入れておくと、登録解除前の端末名で、再登録されます。

M-3. IPアドレスフィルタ

(図M1)の「ルールフィルタ」の新規ボタンをドロップダウンします。この中のIPアドレスフィルタを選択します。(図M2)がポップアップします。

(図M2)

IPアドレスフィルタとは、端末の登録時の端末のIPアドレスが、(図34)で設定したIPアドレスの範囲内であるときでないと、MobiControlに登録できなくするようにすることです。
例えば、社内の特定の場所を電波カバーする無線LANの提供するIPアドレスの範囲を指定します。そうすると、端末は地理的に社内のその場所でないと、登録できなくなります。
社外での登録を防ぐことでセキュリティ強度が増します。特にそのIPアドレスがグローバルIPアドレスだと一意性を持つので、益々、セキュリティ強度が高まります。
登録後、当該端末を社外で使っても、なんら問題なくMobiControlサーバに接続でき、MobiControlの管理対象とできます。

M-4. 端末登録時に端末のOSのバージョンを指定

(図M1)の「ルールフィルタ」の新規ボタンをドロップダウンします。この中の「デバイスプロパティ・フィルタの追加」を選択します。(図M3)がポップアップします。

(図M3)

登録する端末のAndroid OSバージョンを指定できます。不等号記号を使って、指定のバージョンより上とか下を指定できます。