プロファイル,ルール,詳細設定

MobiControl v14 Manual


1. 端末の定常的な挙動を設定

エンドポイントの端末やPCの定常的な挙動を設定するために、「構成プロファイル」、「パッケージを搭載したプロファイル」、「詳細設定」 及び「ルール」を作成して端末に送ります。

(図1)

  • 業務用アプリは、アプリカタログ・ルールまたは、パッケージで、端末に配布します。
    パッケージは、MobiControl Studioで作成されます。
    端末側のOSまたは設定モードに依っては、アプリカタログ・ルールまたはパッケージを適用できない場合があります。 詳しくは、「アプリの配布」を参照ください。
  • 端末に対する非定常的な働きかけは、コンソールでアクション項目を選択したり、スクリプトコマンドを送信して実施します。 リモートWipeやリモート画面操作などが非定常的な働きかけです。

2. 配布のタイミング

  • 「構成プロファイル」及び「パッケージを搭載したプロファイル」は、
    配布対象となる「端末」、「端末グループ」又は「認証サービスのユーザーグループ」を、コンソールで 指定(割り当て)したら、すぐに端末に送られ展開されます。しかし、これを次の方法で遅らせることもできます。
    1. サーバから端末へ送る日時を指定 (ネットワークの輻輳対策)
    2. 端末に到着後、すぐにはインストールせず、指定時間帯にインストール (勤務時間帯を避け、夜間や週末)
    3. 端末ユーザの操作でダウンロードとインストール
  • 「詳細設定」は、
    「端末」単位、又は、「端末グループ」単位で設定します。設定後すぐに、端末に反映されます。
  • 「ルール」は、
    端末からMobiControlサーバへのチェックイン(更新)の際に、端末に送られ展開されます。
    チェックインとは、サーバ側の待ち行列に溜まっているファイルやデータがあるかないかを端末側から問い合わせ、あればそれを受信することです。同時に端末側にも サーバに対し送るべきファイルやデータがあれば、それを送ります。
    チェックインは、「更新スケジュール」の時刻、又はコンソールでのチェックイン要求操作に基づき実施されます。

3. チェックインの仕組み

3-1. Appleデバイス以外の端末の場合

(図2)

Appleデバイス以外の端末では、MobiControlエージェントという常駐ソフトがバックグラウンドで作動し続け、常にMobiControlサーバとの接続を 維持しています。端末がスリープ状態の時でも接続を維持します。
接続をしていない端末は異常です

このMobiControlエージェントは、チェックインのスケジュール表を内蔵しています。
端末がMobiControlサーバに接続していれば、 チェックインの時刻になると、サーバに対し、チェックインをします。接続していない端末は、チェックインができません。 チェックインができなければ、「構成プロファイル」、「詳細設定」や「ルール」が、端末に反映されなくなります。 このスケジュールの間隔はデフォルトで2時間ですが、「詳細設定」の「更新スケジュールの設定」にて、これを変更することができます。

スケジュールの時刻とは別に、コンソール管理者は、いつでも端末にチェックインを要求することができます。 これも、端末がサーバに接続していることが前提です。「ルール」を今すぐ端末に反映したいときは、コンソール管理者側からチェックインを要求します。

Android端末の常時接続を維持するためには、「常にサーバとの接続を維持」を参照ください。

3-2. 端末が、Appleデバイスの場合

(図3)

iPhone、iPad 又はmacOSコンピュータにMobiControlエージェントをインストールすることは、推奨されますが、必須ではありません。
替わりに、MDMプロトコルというメカニズムがOSに組み込まれていて、これがMobiControlサーバとのチェックインの主役となります。 MDMプロトコルは端末がスリープ中でも作動し続けています。
Appleデバイスは、端末とMobiControlサーバとは常時接続をしていません
チェックインのスケジュール表は、MobiControlサーバが保持しています。
チェックインの時刻になれば、MobiControlサーバは、APNs(Apple Push Notification service)経由で、端末に、チェックインすることを 要求します。APNsは、Appleが提供するプッシュ通信サービスです。MobiControlにとってAPNsの使用目的は、端末にチェックインを要求するだけです。 APNs経由で、Wipeなどのコマンドやメッセージを送ることはしません。
APNS経由でチェックイン要求を受信した端末は、MobiControlサーバにチェックインをします。
  • 「構成プロファイル」及び「詳細設定」を割り当てると、 MobiControlサーバは自動的に、APNs経由でチェックイン要求を端末(群)に送ります。
  • 「ルール」を設定しても、すぐには、端末には反映されません。 チェックインのスケジュール表で、次のスケジュール時刻まで待ち、その時刻になったらMobiControlサーバはAPNs経由でチェックイン要求を端末(群)に送ります。 それまで待てないときは、コンソール管理者は、APNs経由で端末にチェックインを要求します。
  • このスケジュールの間隔はデフォルトで2時間ですが、「詳細設定」の「更新スケジュールの設定」にて、これを変更することができます。
  • Appleデバイスでは、チェックインに伴いファイルやデータの送受が終わると、 端末とMobiControlサーバとの間の接続は切断されます。
  • Appleデバイスを閉域網で運用する場合でも、APNsに対するTCPポートを開けておく必要があります。 詳しくは、「Firewall/Proxyのポート番号など」を参照ください。
  • Appleデバイスにも、MobiControlエージェントを追加的にインストールします。
    MobiControlエージェントは、チェックインの主役ではありません。
    端末ユーザが、MobiControlアイコンをタップすることで、起動し、 MobiControlサーバに接続します。MobiControlサーバに接続している時間は、MobiControlエージェントが、フォアグラウンドで起動している状態の時だけです。
    Apple MDMプロトコルと、MobiControlエージェントでは、送受するデータの種類が異なります。 詳しくは、「iOS: チェックインと接続」を参照ください。

3-3. Googleのプッシュ通信サービス

Android端末でのGoogleプッシュ通信サービスは、必須ではありません。なぜなら、Androidのエージェントは、MobiControlサーバとの接続を常時維持しているからです。 従って、いつでも、MobiControlサーバ側からチェックインを要求できます。

(図4)

常時接続をせず、スケジュールを設定し接続時間帯を制限することもできます。例えば夜間や週末は接続を停止しておくことができます。バッテリ節約が目的です。 接続を停止している時間帯には、チェックインができません。しかし、非接続時間帯でも、Googleのプッシュ通信サービス経由で、Android端末に 接続を要求するコマンドを送ることができます。そして、チェックインを実行し、「プロファイル」「詳細設定」及び「ルール」の展開ができます。 リモートWipeのような非定常的な働きかけも可能になります。 詳しくは、「設定を今すぐ更新する。オンラインにする。」を参照ください。

3-4. 閉域網でのAndroid端末

Android端末で、 接続時間帯を制限せず常時接続(デフォルト)を維持できるている場合は、Googleプッシュ通信サービスは、原則的に使いません。
結果として、Android端末は、閉域網での運用が可能になります。閉域網とはインターネットから隔離されたネットワークです。閉域網の端末とは、 携帯電話会社が提供する閉域SIMカードを搭載した端末や、構内WiFiにしか接続できないようにした端末です。この場合、業務アプリは、 「パッケージを搭載したプロファイル」をMobiControlサーバから端末に直接配布することで、サイレント・インストールされます。
完全閉域網では、ウィルス検疫サービスが受けられません。ウィルスパターンの更新受信ができないからです。 これを可能にするには、SOTIのウィルスパターン送信サーバのURLへのアクセスを許容しておきます。
  • https://mobicontrolservices.soti.net/BitDefenderAntivirus 
    (メインサーバ)
  • https://mobicontrolservices.soti.net/BDM/ 
    (ミラーサーバ)

4. 「構成プロファイル」と「詳細設定」は、端末の定常的な挙動規定

「構成プロファイル」と「詳細設定」は、コンソールのダイアログに入力や選択をすることで、MobiControlサーバ内に 作成されます。
例えば、端末はSSIDに対応するパスワードを要求されたら、構成プロファイルの設定値を参照して送ります。

(図5) 
構成プロファイルの展開

5. 「ルール」は、端末とサーバの両方の挙動を規定

(図6)
端末のMobiControlサーバへの登録、アプリの配布、ファイルの同期、アラートの検知など、端末からのアクションに対し、サーバ側が対応する仕組みがルールです。
幾つかのルールがあり、これを作成し、端末に展開します。

6. 配布対象の端末グループ

6-1 階層構造の端末グループに対応

MobiControlの端末グループは、会社/団体の組織を反映して、階層構造で作成します。
そして、「構成プロファイル」、「パッケージを搭載したプロファイル」、「詳細設定」 又は「ルール」のどれでも、 上位の端末グループに割り当てることも、下位の端末グループに割り当てられることも可能です。
例えば、本部内の全ての端末の設定値を共通にしたい場合は、本部単位で設定します。
課単位で設定したい項目があれば、課単位で設定します。
(図7)

6-2. 複数の「構成プロファイル」と「ルール」を、1つの端末グループに割当てが可能

例えば、本部という名前の端末グループに、構成プロファイルAを割り当てたとします。 そうすると、その本部の傘下の「第1部」と「第2部」にも、当該構成プロファイルが 割り当てられます。
更に、「第1部」だけに、「構成プロファイルB」を割り当てたとします。 そうすると、「第1部」には、「構成プロファイルA」と「構成プロファイルB」が共存して 端末の挙動を規定します。
これは、「ルール」の場合も、同じです。一つの端末グループに複数のルールが共存できます。
(図8)
例えば、2つのアプリカタログ・ルールが適用されると、端末の アプリカタログには、両方のアプリ群が表示されます。

6-3. 「詳細設定」は、1つの端末グループの1つの端末ファミリに対して、1つしか設定できない

「詳細設定」の場合も、上位の端末グループ単位で設定すれば、下位の端末グループの端末に、 自動的に反映されます。
しかし、下位の端末グループ単位で、設定すると、上位で設定した詳細設定の値は、上書きされます。(図9)での 「詳細設定A」は「詳細設定B」で上書きされます。共存はできません。
(図9)
「詳細設定」は、次の7つの端末ファミリのいづれかを指定して設定します。
  • Apple
  • Android (Android Plus)
  • Linux
  • プリンタ
  • Windows Modern
  • Windows Classic(Windows デスクトップ)
  • Windows Embedded(WindowsCE)
1つの端末ファミリに対し、1つしか「詳細設定」は設定できません。、

7. 非定常的な働きかけ

「プロファイル」、「詳細設定」及び 「ルール」は、端末の定常的な挙動を設定します。 これら以外に、コンソール管理者は、非定常的に端末に働きかけることができます。 「端末画面をリモート操作する」、「端末にロックをかける」「端末を紛失モードにする」「Wipe(初期化)する」などです。
コンソールでの「働きかけ」操作には2種類があります。
  1. アクション項目(又はアクションアイコン)を選択
  2. スクリプトコマンドを送信
a.の操作は、全ての端末OSに対し実施できます。
b.の操作は、Android、Windows Classic、Windows Embedded、Linux 宛のみに適用できます。
a.の操作に比べると、b.のスクリプトコマンドの送信は、 より多彩な働きかけができます。

8. 認証サービスによる認証

端末をMobiControlに登録する際のオプションとして、認証サービスによるユーザ認証を強制することができます。
また、共用端末を利用開始する際は、認証サービスによるユーザ認証を行います。
共用端末に関しては、「G. 異なる端末グループのユーザ間で、1台の端末を共用」 を参照ください。
認証サービスには、「ディレクトリサービス」と「IDプロバイダ」の2系統があります。 MobiControl v14でサポートしている「認証サービス」は、次表の通りです。
Apple製品
監視モード
Androidと
Apple非監視モード
Windows
Modern
ディレクトリ
サービス
オンプレミスAD_DS、Apple OD、Dominoなど
クラウドAzure AD
IDプロバイダ オンプレミスAD_FS、AD_FS以外
クラウドAzure IdP
Azure IdP以外
AD_DS:Active Directory Domain Service
AD_FS:Active Directory Federation Service
AD_FS以外のIDプロバイダ:Okta、PingFederateなど

8-1. 認証サービスに認証させるメリット

  1. Exchangeメールアカウントの自動設定
    MobiControlに登録すると、すぐにExchangeメールの送受が可能になります。メールサーバに対するパスワード入力も不要です。
    メール、WiFi、VPNに関する構成プロファイルには、端末ユーザのAD_DSに対するパスワードを付して端末に配布し展開します。
    但し、MobiControlサーバが、そのパスワードを保存しているのは、端末登録後10分間だけです。 端末がMobiControlに登録する前に、構成プロファイルを、端末グループに割り当てておくことが望まれます。
  2. WiFiやVPNへの自動接続
    AD_DSによる認証を経て利用できるWiFiやVPNがあります。MobiControlに登録すると、端末ユーザは認証操作なくして、 これを利用できます。
    もし、WiFiやVPNが、IDプロバイダによるSAML認証に対応しておれば、SSOが働いて、ユーザの認証作業なくして、利用開始できます。
  3. 端末の共用
    会社支給端末を全従業員に配布できない場合に利用します。端末は、端末グループが異なると、インストールする業務アプリや 構成プロファイルが異なります。
    共用端末では、認証サービスによる認証を経て、各々の従業員の所属する端末グループ毎の 業務アプリや構成プロファイルで端末を利用できます。
  4. コンソールの端末一覧にユーザ名を表示
    コンソールの端末一覧には、端末毎のデバイスプロパティを表示できます。そのデバイスプロパティの1つとして、 認証サービスでのユーザ名を表示できます。
  5. 端末ユーザは、セルフサービスポータルにアクセスできます。
    端末を紛失した場合などに、端末ユーザは、PC、タブレット、スマホで、特定のURLにアクセスすると、 紛失した端末の地理的位置を地図表示できます。紛失した端末がロック状態でも、拾得者に読んでもらう メッセージを表示します。iOS端末の場合は、連絡してもらう電話番号への電話リンクも表示します。最悪の場合はリモートWipeができます
    コンソール管理者が出勤していない夜間や休日に有用です
  6. MobiControlコンソールへのアクセス認証
    MobiControlコンソールにアクセスする際に、認証サービスによる認証を要求することができます。認証サービスに依っては2段階認証を 要求する機能もあります。これを利用すると、Mobicontrolコンソールへのアクセスにも2段階認証を適用できます。
  7. iPhone、iPad、macOSコンピュータのアプリの中には、特定のアプリサーバに接続して動作するアプリがあります。 その際、アプリが起動したら、自動的にそのアプリサーバにサインオンします。そのアプリサーバに対する認証が、 SAML方式のIDプロバイダ認証なら、端末ユーザは、パスワード入力をせずに、SSO(シングルサインオン)できます。
  8. Appleデバイスは、下記をダウンロードができます。
    • CardDAVサーバから、電話番号帳を
    • CalDAVサーバから、社内の同僚、上司のスケジュールを

8-2. 構成プロファイルは、認証サービスのユーザグループを割当て対象にできる

構成プロファイルは、端末単位や端末グループ単位で、割り当てることができますが、認証サービスのユーザグループにも割り当てることが できます。
1つのユーザグループに、MobiControlの複数の端末グループをマッピング(紐づけ)させておくことができます。 その場合、1つのユーザグループに、割り当てられた構成プロファイルは、マッピングしてある全ての(MobiControlの)端末グループの端末に、 配布され、展開されます。

(図10)
「認証サービスのユーザーグループ」に割り当て

「認証サービスのユーザーグループ」に割り当てができる端末のOS及び設定モードは、次の通りです。
  • iOS、iPad、macOS
  • Android
  • Windows Modern
  • Windows Classic
  • Windows Embedded
Linuxデバイスに対しては、「認証サービスのユーザーグループ」への割り当てができません。