設定をする

MobiControl v14 Manual


A. 設定モードを決める

お手持ちの端末モデルをMobiControlに登録できるかどうかの検証のためには、 「とりあえずの簡単セットアップ」をクリック
「Android Plus」と「Android Enterprise」のどちらの設定モードで、MobiControlへ登録するかは、展開しようとする端末モデル次第です。 「どの設定モードを選択するか」を参照して、ご検証の上、「Android Plus」と「Android Enterprise」のどちらに するかを決めてください。

「Android Enterprise」で、設定する場合は、管理者用Googleアカウントの取得が必要です。 「managed Google Play アカウント」を参照して、取得してください。 Android Enterprise端末のための 端末登録ルールを作成するには、管理者用Googleアカウントが必要です。

「Android Plus」と「Android Enterprise」で、「構成プロファイル」の設定メニューが異なります。

B. 端末とMobiControlサーバとの間で送受されるオブジェクト

端末をMobiControlに登録したら、「構成プロファイル」「端末の詳細設定」 及び「(端末登録ルール以外の)ルール」を設定し、指定の端末グループに適用します。 これらの適用をした後に、端末を登録したら、登録直後に自動的に適用されます。

(図1)

これらのオブジェクトは、端末がオンラインの時しか送受されません。
MobiControlサーバから端末にアクセスし、オンラインになることはありません。
端末側からMobiControlサーバにアクセスし、オンラインを常時維持させることが、 運用の最重要タスクです。

構成を設定する方法については、下記のリンク先ページを参照ください。

端末は、企業/団体の組織を反映して、階層構造の端末グループに登録されています。
「本部」-->「部」-->「課」。
端末登録ルールを除くと、構成の設定は、なるべく上位階層の端末グループを適用対象とすると、管理が便利です。 勿論、下位階層の端末グループの特殊性に鑑みて、下位階層の端末グループを適用対象とすることもできます。
詳しくは、「構成プロファイルとルールと詳細設定」を、参照ください。

C. オフライン端末対策

「特定の端末に、どうしても構成プロファイルが適用されない」、「アプリカタログルールを適用したのに、特定の端末にだけは、アプリがインストールされない」等の 不都合が、生じることがあります。更には、「端末の位置を地図表示しようとしても表示されない」、「リモートWIPEができない」などの問題が生じます。
これらは、端末がオフラインであったことが原因の1つとして考えられます。

C-1. 端末一覧のコラムに、「エージェント切断時間」を掲げる

(図2)は、Android端末の一覧表示のサンプルです。端末の名前の右側に、「エージェント切断時間」の列を表示してあります。 「エージェント切断時間」とは、「端末がMobiControlサーバから、直近に、切断した時刻」です。
Android端末は、MobiControlサーバに、デフォルトでは、常時接続しています。 接続中の端末は、コンソールでは、 と緑色の アイコンで表示されます。これが、正常です。

(図2)
Android Enterpriseの端末だけの一覧

しかし、 とグレイの アイコンの端末は、切断中であることを示しています。この際、端末の名前の右に、「エージェント切断時間」を表示しておくと、切断してから永く時間経過している端末に気が付くことができます。 の端末などが、その例です。切断してからは、当然、チェックインはしてないことになります。

のコラムには、頻繁に参照する端末プロパティを選抜して掲げておくと よいでしょう。「エージェント切断時間」や「エージェントバージョン」などは、常に掲げておくことを、お勧めします。 コラムへの端末プロパティの選抜掲示方法については、「端末一覧の端末プロパティの入れ替え」を参照ください。

尚、で、「端末種別 = Android Enterprise 」と、端末フィルター条件を選択すると、 Android Enterpriseの端末だけが表示されます。端末フィルタ条件式については、「コンソールでの端末フィルタ」を参照ください。
端末フィルタ式を、

端末ファミリー = Android Plus

とすると、Android Plus と Android Enterprise の両方を一覧表示できます。 端末フィルタ式は保存できます。

C-2. 端末が長期間オフラインだと、アラートメール通報

(図3)は、Android端末に関するアラートルールの設定の一部分です。 (図3)は、MobiControlサーバとの間で、360分間(=6時間)以上、オフラインであった端末をアラート対象として摘出する設定です。 アラートは、アラートログに記録し、更には、オプションで関係者に自動的にメール通報します。

(図3)

(図3)の360(分間)というしきい値は、任意に設定できます。

C-3. 端末が接続をするトリガー

MobiControlサーバ側から端末に対し、接続を試行しません。
端末は、次の4つのどれかのトリガーで、MobiControlサーバへの接続を試行します。
接続とは、https セッションを開始し、それを維持することです。
  1. 端末に電源を入れた。OSを再起動した
    MobiControlエージェントが、バックグラウンドで起動し、MobiControlサーバに接続します。
  2. 接続時間帯で設定した 接続開始時刻になった
  3. Googleプッシュ通信サービス経由で、コンソールから端末へ、"connect -f"のスクリプトを送付
    E. オフラインの端末をサーバに接続させる」を参照ください。 スクリプトを送ると、(図4)で図示するように、Googleのプッシュ通信サービス経由で送られます。 送信から20秒間から40秒間程度で端末で受信されます。 端末のMobiControlエージェントが作動中なら、端末がスリープ中でも、"connect -f"のスクリプトを受信し、MobiControlサーバに接続します。

    (図4)

  4. 端末ユーザが、マニュアルで接続
    をタップして、端末のステータスを開くと(図5)が 現れます。
    (図5)の「エージェントステータス」赤矢印部分を長押しします。(図6)のように変ります。 「未接続」が「接続済」に変わりました。これで端末はMobiControlサーバに接続しました。
    (図5)(図6)

バッテリ節約のために、接続時間帯を設定し、それ以外の時間帯では MobiControlサーバと接続させないこともできます。その接続時間帯以外の時間帯でも、 上記の c.項、又は、 d.項 を実行すると、端末はMobiControlサーバに接続します。

接続時間帯の時間なら、iPhoneとiPad以外の端末は、常時接続しているのが仕様です。しかし、一部のAndroid端末では、 接続時間帯にもかからず、オフになる場合があります。「常にサーバとの接続を維持」を参照して、常時接続を維持してください。

C-4. 端末がオフラインになる原因

端末が接続しても、しばらくすると、オフラインになってしまうことがあります。
そのオフラインになる原因は、色々考えられます。
  • DOZEモード
    Android 7.x、8.xでは、DOZEモードに設定してある場合があります。これは、 端末がスリープになると、MobiControlエージェントがオフラインになるような設定です。
  • 「バックグラウンドアプリのネットワーク利用を禁止」 Android 9.x では、「バックグラウンドアプリのネットワーク利用を禁止」の設定になっている場合があります。
対応方法は、「常にサーバとの接続を維持」を参照ください。

端末の内的問題ではなく、次のような外的環境でオフラインになる場合も考えられます。
  1. 盗難に遭い、SIMカードが抜かれた
  2. WiFi専用端末が、事業所外に持ち出された
    (端末が接続できるWiFiを、事業所内SSIDに強制限定できます)
  3. 携帯電話電波の圏外の場所に存在
  4. 機内モードになっている
  5. 端末の機能制限に関する構成プロファイルで、ローミング無効の設定をしてあるのに、端末が海外にある
  6. バッテリ容量がなくなった

a. b. に備え、一定時間オフラインが続くと、端末が自律的に、Wipe(初期化)する機能もあります。

D.チェックイン

(図1)で図示した、端末とサーバ間のオブジェクトは、オンラインであれば、いつでも送受される訳ではありません。 接続をしていることを前提に、端末からチェックインをすることで、送受されます。
端末は、次のいずれかのトリガーで、チェックインを行います。
  1. 端末が、MobiControlサーバに接続した瞬間
    上述した「C-3. 端末が接続をするトリガー」を参照ください。
    但し、(図7)の「更新スケジュールの設定」で、「端末が接続した時に常に更新」にチェック(赤矢印)を入れておくことが前提です。 チェックをいれておかないと、接続をしても、その時点ではチェックインをしません。デフォルトでチェックが入っています。

    (図7)更新スケジュールの設定

  2. 端末が保存している更新スケジュール(図7)の時刻になった

    (図8)

    端末がアラート状態になると、アラートルールに従って、そのアラートステータスをサーバに送ります。これはチェックインの時を待って送ります。 更新スケジュールの頻度を多くすると、MobiControl管理者が、アラートステータスを早く知ることができます。
    通信回線の輻輳とのトレードオフになります。
  3. MobiControlサーバ側が、端末にチェックインすることを要求した
    次の場合に要求をします。
    • c-1. 構成プロファイルの割り当てを行った
    • c-2. 端末詳細設定を設定した
    • c-3. コンソールで、 をクリックした
    「ルール」を設定しただけでは、サーバは、端末にチェックインの要求をしません。ルールを今すぐ展開したい場合は、 をクリックする必要があります。

尚、ファイル同期ルールによるファイルの送受タイミングには、上述の「チェックイン」の際に同時に行う場合と、「ファイル同期ルール独自のスケジュール」の時刻に送受をする場合の 2つの選択肢があります。

E. 異なる端末グループのユーザ間で、1台の端末を共用

(図9)

端末は、所属する端末グループが異なると、構成プロファイル、ルール、詳細設定、アプリなどが異なります。 端末を共用端末として設定すると、端末ユーザが所属するグループの構成に自動的に従います。 例えば、あるユーザが使うと、設定してあるVPN接続が可能になるが、他のユーザではそれが不可能になります。
あるユーザが使うと、指定のアプリが自動インストールされますが、同じ端末を他のグループのユーザが使い始めると、そのアプリが 自動的にアンインストールされます。そして、新しいユーザに許可されているアプリが、自動インストールされます。
  • 前のユーザの受信済メールは、自動的に削除されます。
  • 端末ユーザは、認証サービス(ディレクトリサービスまたはIDプロバイダ)で、認証を受ける必要があります。
従業員全員に会社支給端末を配布できない場合でも、従業員は、会社支給の共用端末を持ち出して、外出先で使えるようになります。 その共用端末に、今、誰がサインオンしているかは、コンソールで把握できます。

F. 登録時に認証サービスによる本人認証をさせるか否か

端末登録時に、認証サービスによる本人認証をさせるかどうかを、端末登録ルールで規定できます。 認証サービスには、「ディレクトリサービス」と「IDプロバイダ」の2系統があります。
  • ディレクトリサービス
    AD_DS(Active Directory Domain Service)、Apple Open Directory、
    HCL Domino(旧Lotus/Domino、旧IBM/Domino)
  • ID プロバイダ
    Azure IdP、Shibboleth、Okta、OneLogin

認証サービスに認証させるメリット」を参照ください。