プロファイル,ルール,詳細設定

MobiControl v14 Manual

2021年 3月 8日

A. 端末とMobiControlサーバとの間で送受されるオブジェクト

端末をMobiControlに登録したら、「構成プロファイル」「端末の詳細設定」及び「(端末登録ルール以外の)ルール」を設定し、指定の端末グループに適用します。 これらの適用をした後に、端末を登録した場合は、登録直後に自動的に適用されます。

(図1)
チェックインの時に、送受されるファイルやデータ

  • ほとんどのオブジェクトは、端末からの「チェックイン」の時に送受されます。 サーバ側から送るときは、端末に対し「チェックイン」を要求し、その「チェックイン」を受けてから送ります。
    • Apple端末以外の端末は、TCP443経由で、MobiControlサーバに接続していることが常態で、その「接続」をしているときに「チェックイン」が行われます
    • APNs(Apple Push Notification Service)を使い、Apple端末では、「接続」していなくても、「チェックイン」が行われます。 Apple端末では、「接続」と「チェックイン」は、異なる動きです。iPhone/iPadの「接続」は、端末ユーザの操作で実行されます。 端末の現在の地理的位置情報などの一部のステータス情報、及び、ファイル同期ルールによるファイルは、「接続」のときに送受されます。
      詳しくは、「チェックインと接続」を参照ください。
  • 端末の現在の位置を、コンソールの地図に表示するには、端末は、「接続」していなければなりません。 但し、端末がオフラインでも、端末の過去の立ち寄り先は地図表示できます。
  • コンソールにおいて、 端末の画面をリモート操作をする、または端末の画面表示をするには、端末は、「接続」していなければなりません。
  • MobiControl独自のスクリプトコマンドは、iPhone、 iPad 及び Windows Modern宛には送れません。macOSコンピュータ宛は送れます。
  • Apple端末に対しては、「パッケージを搭載したプロファイル」を送付することはできません。

B. 階層構造の端末グループに対応

(図2)
MobiControlの端末グループは、会社/団体の組織を反映して、階層構造で作成します。
そして、「構成プロファイル」、「パッケージを搭載したプロファイル」、「詳細設定」 及び「ルール」のどれでも、 上位の端末グループに割り当てることも、下位の端末グループに割り当てられることも可能です。
例えば、本部内の全ての端末の設定値を共通にしたい場合は、本部単位で設定します。
課単位で設定したい項目があれば、課単位で設定します。

1つの端末グループには、異なるOSの端末が登録されています。しかし、例えば、iPhone用のアプリカタログルールが Android端末にも適用されて、結果としてAndroid端末でインストール失敗エラー表示が生じるということはありません。 「構成プロファイル」、「パッケージを搭載したプロファイル」、「詳細設定」 及び「ルール」は、対象となる 端末のOSを指定してから作成されます。そして、これを展開するとき、MobiControlサーバは、指定したOSの端末のみにしか働きかけません。
更に正確に述べると、 「ルール」と「詳細設定」は、「端末ファミリ」別に作成し、「構成プロファイル」、「パッケージを搭載したプロファイル」は、 「端末種別(タイプ)」別に作成します。 (表1)は、「端末ファミリ」と、「端末種別(タイプ)」の名前とその関係を示しています。1つの端末グループに、複数の「端末ファミリ」の端末、または、複数の「端末種別」の端末が混在していても 対象外の端末に適用されることはありません。

(表1)

「ルール」「詳細設定」 「構成プロファイル」
「パッケージを搭載したプロファイル」
端末ファミリの名前端末種別(タイプ)の名前
Apple 注1 iOS(iPad)
macOS ユーザー
macOS 端末
Android Plus 注2 Android Enterprise
Android Plus
KNOX
WindowsPhone
(Windows Modern)
Windows デスクトップ
Windows Phone
Microsoft HoloLens
Windows デスクトップクラシック Windows デスクトップクラシック
Windows Mobile/CE Windows Mobile/CE
Linux Linux

  • 注1 Appストアアプリには、インストール対象を、「iPhone」「iPad」「macOSコンピュータ」のどれかを 指定しているアプリがあります。例えば、macOSコンピュータしか対象にしていないアプリを、アプリカタログルールにて、iPhoneに配布すると、インストール失敗事象が生じます。
  • 注2 1つの端末グループに、「Android Plus」端末と「Android Enterprise」端末が混在しているとします。Google Playには、「Android Plus」向けの通常の「Google Play」アプリと 「Android Enterprise」向け「管理対象Google Play」アプリの2種類があります。 しかし、アプリカタログルールを適用しても、これらアプリが、対象外に配布されることはありません。

    通常の「Google Play」のアプリ「管理対象Google Play」のアプリ
    Android Plus
    端末のアプリカタログに表示され、インストールされる 端末のアプリカタログに表示されない。当然、アプリはダウンロードされない。
    Android Enterprise
    端末のアプリカタログに表示されない。当然アプリはダウンロードされない。 端末のアプリカタログに表示され、インストールされる

C. 構成プロファイルの留意事項

「構成プロファイル」と「端末の詳細設定」は、端末の挙動を規定します。 「端末詳細設定」に比べ、「構成プロファイル」は、より多くの設定項目を持ちます。

C-1. 複数の構成プロファイルを、1つの端末グループに

1つの端末グループに、複数の構成プロファイルを、割り当てることができます。

(図3)

上位階層の端末グループに割り当てると
例えば、本部という名前の端末グループに、「プロファイルA」を割り当てたとします。 そうすると、その本部に属する端末群と、傘下の「第1部」と「第2部」に属する端末群にも、「プロファイルA」が 割り当てられます。
下位階層の端末グループに割り当てると
「第1部」だけに、「プロファイルB」を割り当てたとします。 そうすると、「第1部」には、「プロファイルA」と「プロファイルB」が共存して 端末の挙動を規定します。
相反する構成プロファイル群
複数の構成プロファイルを適用する場合は、相互が相反しないように気をつけてください。
例えば、ロック解除のパスワードの変更を禁じる構成プロファイルを適用していたとします。 その後に、ロック解除のパスワードに最低1文字のアルファベットを挿入し、それへの変更を強要する構成プロファイルを 配布したとします。そうなると、この2つの構成プロファイル間で、相反矛盾を生じます。
一般的には、挙動規制の強い方の設定が優先されます。しかし、いずれも強制力の強い構成プロファイルだと 端末の挙動が混乱することがあります。

C-2. 日時を指定して構成プロファイルをインストール

構成プロファイルを、端末グループに割り当てると、すぐに、割り当て対象の全端末に、MobiControlサーバへのチェックインを要求します。 チェックインを受けたMobiControlサーバは、構成プロファイルを端末にすぐに配布し、インストールさせます。 つまり、構成プロファイルは、デフォルトでは、自動的にインストールされます。
しかし、勤務時間帯には、構成プロファイルのインストールを避けたいことがあります。 その場合、構成プロファイルの送信開始日時と、インストール可能時間帯を設定します。 週末だけとか、深夜1時からとかの指定ができます。

C-3. 端末ユーザの手動でインストール

構成プロファイルは、前述したように、端末グループを割り当てたら、自動インストールされるのがデフォルトです。
しかし、適用を端末ユーザの操作に委ねるオプションもあります。
この場合、端末画面に、インストールを要請する旨のメッセージを表示しておくことが望まれます。

C-4. 端末プロパティを限定して、割り当てる

Apple端末では、 同じ端末グループでも、「監視モード端末」と「非監視モード端末」が混在している場合があります。 「監視モード」か否かは、端末プロパティの1つです。これに着目して、監視モード端末だけに構成プロファイルを送ることができます。
Android端末では、「スマホ」と「タブレット」には、異なる構成プロファイルを配布したいことがあります。 この場合は、端末モデルをフィルタリングして、割り当てます。
その他に、OSのバージョン、既に特定のアプリがインストール済か否か、携帯電話会社などにも着目して、 インストールする端末群を限定できます。

C-5. ADのグループなどを指定して、割り当てる

MobiControlの端末グループを割り当て対象とするのではなく、 ADなどのディレクトリサービスのユーザグループや、SSOを提供するIDプロバイダ(IdP)のユーザグループを対象に 割り当てることもできます。
1台の端末を、異なる部門のユーザで、切り替え使用する場合に便利です。サインオンするユーザが変われば、そのユーザが所属するユーザグループに 割り当てた構成プロファイルに切り替わります。

C-6. 端末を別の端末グループに移動したら

端末を別の端末グループに移動したら、前の端末グループに割り当てた構成プロファイルは適用されなくなります。 新しく所属する端末グループの構成プロファイルが適用されます。 「端末を他の端末グループへ移動」を参照ください。

コンソールで、ドラッグ&ドロップで移動てきます。

端末隔離用の端末グループを作成しておきます。この端末グループには、アプリカタログルールや、パッケージを乗せたプロファイルを適用しておきません。 構成プロファイルの「端末機能制限」で、端末機能を抑制的にしておきます。
もし、盗難などクリティカルなイベントが、アラートルールにより報知されたら、MobiControlサーバは、その端末を端末隔離用の端末グループに自動的に移動させ、端末を無害化します。

C-7. 仮想端末グループには、割り当てできない

構成プロファイルは、仮想端末グループに割り当てることができません。 その替わり、上記の「C-4. 端末プロパティを限定して、割り当てる」を利用すれば、仮想端末グループを生成するのと同じフィルタリングを行い、割当先を限定できます。

D. ルールの留意事項

「構成プロファイル」や「端末の詳細設定」が、端末そのものの挙動設定に関するのに反し、 「ルール」は、端末とMobiControlサーバとの連携プレイに対し設定をします。

D-1. 複数のルールを、1つの端末グループに

1つの端末グループに対しては、 「構成プロファイル」と同じく、複数の「ルール」を適用できます。
上位階層の端末グループに割り当てれば、下位階層の端末グループにも適用されます。
アプリカタログルールなどは、なるべく上位階層の端末グループに適用すれば、作成するルールの数を少なくすることができます。

但し、端末登録ルールだけは、例外です。 課員の端末に対しては、その課の端末グループ毎の端末登録ルールを作成します。
本部長席の端末は、 「本部」を対象グループとして作成した端末登録ルールを適用して登録するとします。 その端末は、「本部」には所属するが、その傘下のどの端末グループにも属しません。

端末登録ルール毎に、登録IDと登録用URLが生成されます。この登録IDをMobiControlエージェント画面に入力するか、ブラウザに登録用URLを入力することで、端末の登録セットアップを行います。 登録用URLに対応したQRコードを読み取らせることでも登録ができます。

D-2. 仮想端末グループに適用

上記B.項に記したように、通常、端末グループは、企業/団体の階層組織を反映して作成します。 これは、利用するアプリやセキュリティ対策の方針が、部門内端末では、共通になるからです。
しかし、1つの端末グループには、様々なOSや機種の端末が存在します。そこで、 アプリカタログルールの適用にあたって、例えば、次のような不都合が生じることがあります。
  1. VPPアプリのアプリカタログルールを、監視モードでないApple端末にも適用
    監視モードでない端末のアプリカタログに、VPPアプリ名が表示はされるが、「インストール」ボタンを押しても、「ダウンロードに失敗しました」のエラーとなる。
  2. タブレットでの利用を想定したアプリを、スマホに配布
  3. 同じ部門の従業員の端末だが、外勤の従業員だけに特定のアプリを配布したい

これらを解決するためには、アプリカタログルールの対象を「仮想端末グループ」にします。
a. の場合は、監視モードの端末だけの仮想端末グループを対象にします。
b. の場合は、タブレットの端末機種モデルを抽出キーとした仮想端末グループを対象にします。
c. の場合は、「外勤」という名前の仮想端末グループを作り、それを対象にします。

仮想端末グループには、「フィルタリング仮想端末グループ」と、「フィルタリング仮想端末グループ」の2種類があります。
  • フィルタリング仮想端末グループ
    通常の端末グループの中の端末のクローンを、コンソールでのドラッグ&ドロップ操作で、フィルタリング仮想端末グループにコピーします。 「端末を他の端末グループへ移動」を参照ください。
  • フィルタリング仮想端末グループ
    端末のプロパティの値、または追加的に付与した「付属情報」の値、を抽出キーとして、 端末クローンが、通常の端末グループからフィルタリング仮想端末グループに自動的に移ってきます。 端末のプロパティとは、端末のOS、端末モデル、登録方式など多くの種類があります。
    付属情報とは、 端末ユーザの役割などが考えられます。例えば、「外勤」か「内勤」かなど。

D-3. ルールは、今すぐには適用されない

「構成プロファイル」や、「端末の詳細設定」と異なり、ルールを作成したり、編集したりしても、すぐには適用されません。 デフォルトでは、次回のチェックインの際に適用されます。

これは、次のような理由が背景にあるからです。
AppストアやGoogle Playアプリを配布するアプリカタログルールを、WiFi専用端末に、今すぐ適用したとします。 そうすると、多くの端末が、一斉にストアにアクセスします。 WiFi網からのインターネット回線のトラフィックが増え、回線の帯域が輻輳します。
チェックインを待ってのルールの適用だと、これが時間分散されます。端末グループ毎に、チェックインの時刻が異なるからです。

それでも今すぐ適用したい場合があります。その場合は、コンソールで、該当端末または端末グループに向かって、 をクリックをし、チェックインを要求します。
端末一覧で個別端末を選択し、上部アクションバーで、「チェックイン」を選択。

または、端末グループの名前右端の「縦3点リーダー」を押し、「アクションを実行」-->「チェックイン」を選択。

D-4. ルールの適用開始日時を指定

上記のように、端末グループ毎のチェックインを待っての適用としても、アプリカタログルールの適用で、勤務時間帯に、アプリのインストールや アップデートなどがあると業務に影響があり困ることがあります。この場合、ルールの適用開始日時を夜間や週末に設定できます。
その時刻を過ぎたら、端末グループ毎のチェックインスケジュールで、ルールが適用されることになります。

D-5. アラートルールでは、なるべく多くのアラートイベントを適用する

MobiControlは、非常に多くのアラートイベントを検知できます。なるべく多くのアラートイベントにチェックマークを入れてください。
アラートは、一般的には、端末とサーバの活動履歴ログとも言えます。 そして、そのイベントが発生が検知されると、アラートログ一覧画面に表示されます。何かインシデントが発生したら、そのログを参照することで、 原因を推察できるようになります。

アラートの中でもクリティカルなイベントがあります。そのイベントが発生したとき場合に限り、関係者にメールを発信する仕組みがあります。

端末側のアラートで、セキュリティ上、重大なインシデントに関するアラートイベントがあります。
その場合は、当該端末に対する、「構成プロファイル」や「アプリカタログルール」などをアンインストールします。さらに、VPNやWiFi利用禁止や、Exchangeへのアクセス禁止など 様々な抑制的なアクションを自動的に加えることができます。 詳しくは、「アラートルール(全OS共通)」を参照ください。
このマニュアルで、Apple端末のアラート設定に関しては、3つのページがあります。その3つのページでチェックを入れてください。

E. 端末の詳細設定の留意事項

「端末の詳細設定」も「構成プロファイル」と同じく、端末の挙動を規定します。

E-1. 1つの端末グループには、1つの「端末の詳細設定」しか適用できない

(図4)

「端末の詳細設定」も、上位の端末グループ単位で設定すれば、下位の端末グループの端末に、 自動的に反映されます。
しかし、下位の端末グループ単位で、設定すると、上位で設定した詳細設定の値は、上書きされます。(図4)での 「詳細設定A」は「詳細設定B」で上書きされます。共存はできません。

E-2. 端末単体宛でも設定できる

端末グループに設定した「端末の詳細詳細」から独立して、端末単体に、独自の「端末の詳細設定」を適用できます。

E-3. 端末を他の端末グループに移動させたら

端末が所属する端末グループは、ドラッグ&ドロップで、移動できます。 この際、その端末の「端末の詳細設定」は、前の所属先の端末グループのそれにするか、新しい所属先の端末グループのそれにするかを選択できます。
移動先の端末グループに端末をドロップさせようとすると、(図5)のポップアップが現れます。

(図5)

(図5)のチェックボックスにチェックを入れると、前の所属先の端末グループの「端末の詳細設定」を保持したまま、移動します。

E-4.仮想端末グループには、「端末の詳細設定」は適用できない

仮想端末グループには、端末の詳細設定は適用できません。

F. 認証サービスによる認証

オプションとして、端末の登録時に、認証サービスによる認証を経るようにすることができます。 認証サービスには、ディレクトリサービスと、SAML2.0仕様のIDプロバイダがあります。
また、認証サービスによる認証をしないで、端末を登録した後で、追加的に、認証サービスの個人アカウントを端末に付与することもできます。 詳しくは、Active Directory UPNの登録を参照ください。 MobiControl機能と、利用できる認証サービスの関係を、次の(表2)に示します。

(表2)


ディレクトリサービスIDプロバイダ
(Azure IdP、Okta、OneLoginなど)
オンプレミスAzure AD
iPhone、iPad、Android、macOS
  • 端末登録時の認証
  • 端末の共用 注1
  • 構成プロファイルへの埋め込み 注2
Windows Modern

端末登録時の認証
構成プロファイルへの埋め込み 注2
セルフサービスポータル
コンソールへのログイン認証
  • 注1 端末の共用
    1台の端末を、異なる部門のユーザ間で共用する機能。認証サービスによる認証を得ることで、端末ユーザを変えることができる。端末ユーザが変わると、 端末の設定やアプリなどを、自動切換えできる。
  • 注2 構成プロファイルへの埋め込み
    メール、WiFi、VPNなどの構成プロファイルに端末ユーザのUPNやメールアドレスを自動的に埋め込んでから、端末に配布する機能。端末ユーザが、これらの設定操作をする必要がなくなる。

F-1. 認証サービスに認証させるメリット

  1. Exchangeメールアカウントの自動設定
    MobiControlに登録すると、すぐにExchangeメールの送受が可能になります。メールサーバに対するパスワード入力も不要です。
    メール、WiFi、VPNに関する構成プロファイルには、端末ユーザのAD_DSに対するパスワードを付して端末に配布し展開します。
    但し、MobiControlサーバが、そのパスワードを保存しているのは、端末登録後10分間だけです。 端末がMobiControlに登録する前に、構成プロファイルを、端末グループに割り当てておくことが望まれます。
  2. WiFiやVPNへの自動接続
    AD_DSによる認証を経て利用できるWiFiやVPNがあります。MobiControlに登録すると、端末ユーザは認証操作なくして、 これを利用できます。
    もし、WiFiやVPNが、IDプロバイダによるSAML認証に対応しておれば、SSOが働いて、ユーザの認証作業なくして、利用開始できます。
  3. 端末の共用
    会社支給端末を全従業員に配布できない場合に利用します。端末は、端末グループが異なると、インストールする業務アプリや 構成プロファイルが異なります。
    共用端末では、認証サービスによる認証を経て、各々の従業員の所属する端末グループ毎の 業務アプリや構成プロファイルで端末を利用できます。
  4. コンソールの端末一覧にユーザ名を表示
    コンソールの端末一覧には、端末毎のデバイスプロパティを表示できます。そのデバイスプロパティの1つとして、 認証サービスでのユーザ名を表示できます。
  5. 端末ユーザは、セルフサービスポータルにアクセスできます。
    端末を紛失した場合などに、端末ユーザは、PC、タブレット、スマホで、特定のURLにアクセスすると、 紛失した端末の地理的位置を地図表示できます。紛失した端末がロック状態でも、拾得者に読んでもらう メッセージを表示します。iOS端末の場合は、連絡してもらう電話番号への電話リンクも表示します。最悪の場合はリモートWipeができます
    コンソール管理者が出勤していない夜間や休日に有用です
  6. MobiControlコンソールへのアクセス認証
    MobiControlコンソールにアクセスする際に、認証サービスによる認証を要求することができます。認証サービスに依っては2段階認証を 要求する機能もあります。これを利用すると、Mobicontrolコンソールへのアクセスにも2段階認証を適用できます。
  7. iPhone、iPad、macOSコンピュータのアプリの中には、特定のアプリサーバに接続して動作するアプリがあります。 その際、アプリが起動したら、自動的にそのアプリサーバにサインオンします。そのアプリサーバに対する認証が、 SAML方式のIDプロバイダ認証なら、端末ユーザは、パスワード入力をせずに、SSO(シングルサインオン)できます。
  8. Appleデバイスは、下記をダウンロードができます。
    • CardDAVサーバから、電話番号帳を
    • CalDAVサーバから、社内の同僚、上司のスケジュールを

F-2. 構成プロファイルは、認証サービスのユーザグループを割当て対象にできる

構成プロファイルは、端末単位や端末グループ単位で、割り当てることができますが、認証サービスのユーザグループにも割り当てることが できます。
1つのユーザグループに、MobiControlの複数の端末グループをマッピング(紐づけ)させておくことができます。 その場合、1つのユーザグループに、割り当てられた構成プロファイルは、マッピングしてある全ての(MobiControlの)端末グループの端末に、 配布され、展開されます。

(図6)
「認証サービスのユーザーグループ」に割り当て

「認証サービスのユーザーグループ」に割り当てができる端末のOS及び設定モードは、次の通りです。
  • iOS、iPad、macOS
  • Android
  • Windows Modern
  • Windows Classic
  • Windows Embedded
Linuxデバイスに対しては、「認証サービスのユーザーグループ」への割り当てができません。