プロファイル,ルール,詳細設定

MobiControl v14 Manual

2020年 7月 29日

A. 端末とMobiControlサーバとの間で送受されるオブジェクト

端末をMobiControlに登録したら、「構成プロファイル」「端末の詳細設定」及び「(端末登録ルール以外の)ルール」を設定し、指定の端末グループに適用します。 これらの適用をした後に、端末を登録した場合は、登録直後に自動的に適用されます。

(図1)
チェックインの時に、送受されるファイルやデータ

  • Apple端末に対しては、「パッケージを搭載したプロファイル」を送付することはできません。
  • スクリプトコマンドは、iPhone、 iPad 及び Windows Modern宛には送れません。macOSコンピュータ宛は送れます。
  • 全ての送受は、チェックインの時に実行されます。 但し、iPhone、iPadの位置情報などの端末ステータス情報の一部は、「接続」の時に、送られてきます。
    詳しくは、「チェックインと接続」を参照ください。

B. 階層構造の端末グループに対応

MobiControlの端末グループは、会社/団体の組織を反映して、階層構造で作成します。
そして、「構成プロファイル」、「パッケージを搭載したプロファイル」、「詳細設定」 又は「ルール」のどれでも、 上位の端末グループに割り当てることも、下位の端末グループに割り当てられることも可能です。
例えば、本部内の全ての端末の設定値を共通にしたい場合は、本部単位で設定します。
課単位で設定したい項目があれば、課単位で設定します。
(図2)

C. 構成プロファイルの留意事項

「構成プロファイル」と「端末の詳細設定」は、端末の挙動を規定します。 「端末詳細設定」に比べ、「構成プロファイル」は、より多くの設定項目を持ちます。

C-1. 複数の構成プロファイルを、一つの端末グループに

一つの端末グループに、複数の構成プロファイルを、割り当てることができます。

(図3)

上位階層の端末グループに割り当てると
例えば、本部という名前の端末グループに、「プロファイルA」を割り当てたとします。 そうすると、その本部に属する端末群と、傘下の「第1部」と「第2部」に属する端末群にも、「プロファイルA」が 割り当てられます。
下位階層の端末グループに割り当てると
「第1部」だけに、「プロファイルB」を割り当てたとします。 そうすると、「第1部」には、「プロファイルA」と「プロファイルB」が共存して 端末の挙動を規定します。
相反する構成プロファイル群
例えば、端末操作で、Appストアから任意のアプリをダウンロードすることを、 「プロファイルA」では禁止してあるが、「プロファイルB」では許可しているとします。 「第1部」に所属する端末群は、両方の構成プロファイルがインストールされます。 そうなると、端末の挙動は混乱します。
構成プロファイルには、多くの設定メニュー項目がありますが、同じ設定項目を別々の 構成プロファイルで設定することは、なるべく避けてください。 一般的には、挙動規制の強い方の設定が優先されますが、そうでないときもありますから。

C-2. 日時を指定して構成プロファイルをインストール

構成プロファイルを、端末グループに割り当てると、すぐに、割り当て対象の全端末に、MobiControlサーバへのチェックインを要求します。 チェックインを受けたMobiControlサーバは、構成プロファイルを端末にすぐに配布し、インストールさせます。 つまり、構成プロファイルは、デフォルトでは、自動的にインストールされます。
しかし、勤務時間帯には、構成プロファイルのインストールを避けたいことがあります。 その場合、構成プロファイルの送信開始日時と、インストール可能時間帯を設定します。 週末だけとか、深夜1時からとかの指定ができます。

C-3. 端末ユーザの手動でインストール

構成プロファイルは、前述したように、端末グループを割り当てたら、自動インストールされるのがデフォルトです。
しかし、適用を端末ユーザの操作に委ねるオプションもあります。
この場合、端末画面に、インストールを要請する旨のメッセージを表示しておくことが望まれます。

C-4. 端末プロパティを限定して、割り当てる

Apple端末では、 同じ端末グループでも、「監視モード端末」と「非監視モード端末」が混在している場合があります。 「監視モード」か否かは、端末プロパティの一つです。これに着目して、監視モード端末だけに構成プロファイルを送ることができます。
Android端末では、「スマホ」と「タブレット」には、異なる構成プロファイルを配布したいことがあります。 この場合は、端末モデルをフィルタリングして、割り当てます。
その他に、OSのバージョン、既に特定のアプリがインストール済か否か、携帯電話会社などにも着目して、 インストールする端末群を限定できます。

C-5. ADのグループなどを指定して、割り当てる

MobiControlの端末グループを割り当て対象とするのではなく、 ADなどのディレクトリサービスのユーザグループや、SSOを提供するIDプロバイダ(IdP)のユーザグループを対象に 割り当てることもできます。
1台の端末を、異なる部門のユーザで、切り替え使用する場合に便利です。サインオンするユーザが変われば、そのユーザが所属するユーザグループに 割り当てた構成プロファイルに切り替わります。

C-6. 端末を別の端末グループに移動したら

端末を別の端末グループに移動したら、前の端末グループに割り当てた構成プロファイルは適用されなくなります。 新しく所属する端末グループの構成プロファイルが適用されます。 「端末を他の端末グループへ移動」を参照ください。

コンソールで、ドラッグ&ドロップで移動てきます。

端末隔離用の端末グループを作成しておきます。この端末グループには、アプリカタログルールや、パッケージを乗せたプロファイルを適用しておきません。 構成プロファイルの「端末機能制限」で、端末機能を抑制的にしておきます。
もし、盗難などクリティカルなイベントが、アラートルールにより報知されたら、MobiControlサーバは、その端末を端末隔離用の端末グループに自動的に移動させ、端末を無害化します。

C-7. 仮想端末グループには、割り当てできない

構成プロファイルは、仮想端末グループに割り当てることができません。 その替わり、上記の「C-4. 端末プロパティを限定して、割り当てる」を利用すれば、仮想端末グループを生成するのと同じフィルタリングを行い、割当先を限定できます。

D. ルールの留意事項

「構成プロファイル」や「端末の詳細設定」が、端末そのものの挙動設定に関するのに反し、 「ルール」は、端末とMobiControlサーバとの連携プレイに対し設定をします。

D-1. 複数のルールを、一つの端末グループに

一つの端末グループに対しては、 「構成プロファイル」と同じく、複数の「ルール」を適用できます。
上位階層の端末グループに割り当てれば、下位階層の端末グループにも適用されます。
アプリカタログルールなどは、なるべく上位階層の端末グループに適用すれば、作成するルールの数を少なくすることができます。

但し、端末登録ルールだけは、例外です。個別の端末グループ毎の端末登録ルールを作成します。
階層構造の端末グループで、「本部」を対象グループとして作成した端末登録ルールを適用して登録するとします。 その端末は、「本部」には所属するが、その傘下のどの端末グループにも属しません。本部長や本部長席の従業員を端末ユーザとする場合には、適合していますが。
端末登録ルール毎に、登録用URLが生成されます。このURLを端末に入力することで、端末の登録セットアップを行います。

D-2. 仮想端末グループに適用

端末登録ルール以外のルールは、仮想端末グループに適用できます。

  • スマホとタブレット
    例えば、同じAndroid端末でも、アプリの特質から、スマホでなくタブレットのみに、アプリをインストールしたいとします。 そして、それを、アプリカタログ・ルールを使ってインストーラを配布したいとします。
    その場合は、タブレットのモデル名をフィルタリングして、仮想端末グループを作成します。 そして、その仮想端末グループに、アプリカタログを適用します。これで、当該アプリのインストーラは、タブレットのみ送られます。
  • iPhoneとmacOSコンピュータ
    例えば、iPhoneにはインストールできるが、macOSコンピュータにはインストールできないアプリがあったとします。
    しかし、同じ端末グループに、iPhoneとmacOSコンピュータが混在して登録されているとします。 その場合は、iPhoneのみの仮想端末グループを作成しておきます。そして、その仮想端末グループに、当該アプリを指定したアプリカタログルールを適用します。 そうすれば、当該アプリのインストーラーは、iPhoneのみに送られます。
  • 監視モード端末と非監視モード端末
    Appストアの特定のアプリを、 監視モード端末のみにインストールしたいとします。 監視モード端末宛なら、Apple IDの入力を必要とせず、サイレントインストールができます。 監視モード端末なら、アプリ管理に管理機能が増えます。
    しかし、同じ端末グループに、監視モード端末と、非監視モード端末を、混在して登録されているとします。 その場合は、監視モードだけの仮想端末グループを作成し、これに、アプリカタログルールを適用します。

D-3. ルールは、今すぐには適用されない

「構成プロファイル」や、「端末の詳細設定」と異なり、ルールを作成したり、編集したりしても、すぐには適用されません。 デフォルトでは、次回のチェックインの際に適用されます。

これは、次のような理由が背景にあるからです。
AppストアやGoogle Playアプリを配布するアプリカタログルールを、WiFi専用端末に、今すぐ適用したとします。 そうすると、多くの端末が、一斉にストアにアクセスします。 WiFi網からのインターネット回線のトラフィックが増え、回線の帯域が輻輳します。
チェックインを待ってのルールの適用だと、これが時間分散されます。端末グループ毎に、チェックインの時刻が異なるからです。

それでも今すぐ適用したい場合があります。その場合は、コンソールで、該当端末または端末グループに向かって、 をクリックをし、チェックインを要求します。
端末一覧で個別端末を選択し、上部アクションバーで、「チェックイン」を選択。

または、端末グループの名前右端の「縦3点リーダー」を押し、「アクションを実行」-->「チェックイン」を選択。

D-4. ルールの適用開始日時を指定

上記のように、端末グループ毎のチェックインを待っての適用としても、アプリカタログルールの適用で、勤務時間帯に、アプリのインストールや アップデートなどがあると業務に影響があり困ることがあります。この場合、ルールの適用開始日時を夜間や週末に設定できます。
その時刻を過ぎたら、端末グループ毎のチェックインスケジュールで、ルールが適用されることになります。

D-5. アラートルールでは、なるべく多くのアラートイベントを適用する

MobiControlは、非常に多くのアラートイベントを検知できます。なるべく多くのアラートイベントにチェックマークを入れてください。
アラートは、一般的には、端末とサーバの活動履歴ログとも言えます。 そして、そのイベントが発生が検知されると、アラートログ一覧画面に表示されます。何かインシデントが発生したら、そのログを参照することで、 原因を推察できるようになります。

アラートの中でもクリティカルなイベントがあります。そのイベントが発生したとき場合に限り、関係者にメールを発信する仕組みがあります。

端末側のアラートで、セキュリティ上、重大なインシデントに関するアラートイベントがあります。
その場合は、当該端末に対する、「構成プロファイル」や「アプリカタログルール」などをアンインストールします。さらに、VPNやWiFi利用禁止や、Exchangeへのアクセス禁止など 様々な抑制的なアクションを自動的に加えることができます。 詳しくは、「アラートルール(全OS共通)」を参照ください。
このマニュアルで、Apple端末のアラート設定に関しては、3つのページがあります。その3つのページでチェックを入れてください。

E. 端末の詳細設定の留意事項

「端末の詳細設定」も「構成プロファイル」と同じく、端末の挙動を規定します。

E-1. 1つの端末グループには、1つの「端末の詳細設定」しか適用できない

(図4)

「端末の詳細設定」も、上位の端末グループ単位で設定すれば、下位の端末グループの端末に、 自動的に反映されます。
しかし、下位の端末グループ単位で、設定すると、上位で設定した詳細設定の値は、上書きされます。(図4)での 「詳細設定A」は「詳細設定B」で上書きされます。共存はできません。

E-2. 端末単体宛でも設定できる

端末グループに設定した「端末の詳細詳細」から独立して、端末単体に、独自の「端末の詳細設定」を適用できます。

E-3. 端末を他の端末グループに移動させたら

端末が所属する端末グループは、ドラッグ&ドロップで、移動できます。 この際、その端末の「端末の詳細設定」は、前の所属先の端末グループのそれにするか、新しい所属先の端末グループのそれにするかを選択できます。
移動先の端末グループに端末をドロップさせようとすると、(図5)のポップアップが現れます。

(図5)

(図5)のチェックボックスにチェックを入れると、前の所属先の端末グループの「端末の詳細設定」を保持したまま、移動します。

E-4.仮想端末グループには、「端末の詳細設定」は適用できない

仮想端末グループには、端末の詳細設定は適用できません。

F. 認証サービスによる認証

オプションとして、端末の登録時に、認証サービスによる認証を経るようにすることができます。 認証サービスには、ディレクトリサービスと、SAML2.0仕様のIDプロバイダがあります。 これらに対応するMobiControl機能との関係を、次表に示します。

ディレクトリサービスIDプロバイダ
(Azure IdP、Okta、OneLoginなど)
オンプレミスAzure AD
iPhone、iPad、Android、macOS
  • 端末登録時の認証
  • 端末の共用 注1
  • 構成プロファイルへの埋め込み 注2
Windows Modern

端末登録時の認証
構成プロファイルへの埋め込み 注2
セルフサービスポータル
コンソールへのログイン認証
  • 注1 端末の共用
    1台の端末を、異なる部門のユーザ間で共用する機能。認証サービスによる認証を得ることで、端末ユーザを変えることができる。端末ユーザが変わると、 端末の設定やアプリなどを、自動切換えできる。
  • 注2 構成プロファイルへの埋め込み
    メール、WiFi、VPNなどの構成プロファイルに端末ユーザのUPNやメールアドレスを自動的に埋め込んでから、端末に配布する機能。端末ユーザが、これらの設定操作をする必要がなくなる。

F-1. 認証サービスに認証させるメリット

  1. Exchangeメールアカウントの自動設定
    MobiControlに登録すると、すぐにExchangeメールの送受が可能になります。メールサーバに対するパスワード入力も不要です。
    メール、WiFi、VPNに関する構成プロファイルには、端末ユーザのAD_DSに対するパスワードを付して端末に配布し展開します。
    但し、MobiControlサーバが、そのパスワードを保存しているのは、端末登録後10分間だけです。 端末がMobiControlに登録する前に、構成プロファイルを、端末グループに割り当てておくことが望まれます。
  2. WiFiやVPNへの自動接続
    AD_DSによる認証を経て利用できるWiFiやVPNがあります。MobiControlに登録すると、端末ユーザは認証操作なくして、 これを利用できます。
    もし、WiFiやVPNが、IDプロバイダによるSAML認証に対応しておれば、SSOが働いて、ユーザの認証作業なくして、利用開始できます。
  3. 端末の共用
    会社支給端末を全従業員に配布できない場合に利用します。端末は、端末グループが異なると、インストールする業務アプリや 構成プロファイルが異なります。
    共用端末では、認証サービスによる認証を経て、各々の従業員の所属する端末グループ毎の 業務アプリや構成プロファイルで端末を利用できます。
  4. コンソールの端末一覧にユーザ名を表示
    コンソールの端末一覧には、端末毎のデバイスプロパティを表示できます。そのデバイスプロパティの1つとして、 認証サービスでのユーザ名を表示できます。
  5. 端末ユーザは、セルフサービスポータルにアクセスできます。
    端末を紛失した場合などに、端末ユーザは、PC、タブレット、スマホで、特定のURLにアクセスすると、 紛失した端末の地理的位置を地図表示できます。紛失した端末がロック状態でも、拾得者に読んでもらう メッセージを表示します。iOS端末の場合は、連絡してもらう電話番号への電話リンクも表示します。最悪の場合はリモートWipeができます
    コンソール管理者が出勤していない夜間や休日に有用です
  6. MobiControlコンソールへのアクセス認証
    MobiControlコンソールにアクセスする際に、認証サービスによる認証を要求することができます。認証サービスに依っては2段階認証を 要求する機能もあります。これを利用すると、Mobicontrolコンソールへのアクセスにも2段階認証を適用できます。
  7. iPhone、iPad、macOSコンピュータのアプリの中には、特定のアプリサーバに接続して動作するアプリがあります。 その際、アプリが起動したら、自動的にそのアプリサーバにサインオンします。そのアプリサーバに対する認証が、 SAML方式のIDプロバイダ認証なら、端末ユーザは、パスワード入力をせずに、SSO(シングルサインオン)できます。
  8. Appleデバイスは、下記をダウンロードができます。
    • CardDAVサーバから、電話番号帳を
    • CalDAVサーバから、社内の同僚、上司のスケジュールを

F-2. 構成プロファイルは、認証サービスのユーザグループを割当て対象にできる

構成プロファイルは、端末単位や端末グループ単位で、割り当てることができますが、認証サービスのユーザグループにも割り当てることが できます。
1つのユーザグループに、MobiControlの複数の端末グループをマッピング(紐づけ)させておくことができます。 その場合、1つのユーザグループに、割り当てられた構成プロファイルは、マッピングしてある全ての(MobiControlの)端末グループの端末に、 配布され、展開されます。

(図6)
「認証サービスのユーザーグループ」に割り当て

「認証サービスのユーザーグループ」に割り当てができる端末のOS及び設定モードは、次の通りです。
  • iOS、iPad、macOS
  • Android
  • Windows Modern
  • Windows Classic
  • Windows Embedded
Linuxデバイスに対しては、「認証サービスのユーザーグループ」への割り当てができません。