Windows PCの構成プロファイルの作成
2021年 1月 29日
エンドポイントPCの定常的な挙動を設定するためには、「構成プロファイル」、「パッケージを搭載したプロファイル」、「詳細設定」 及び「ルール」を作成して端末に送ります。 このページでは、「構成プロファイル」のメニューの表示方法、及び、「構成プロファイル」と「パッケージを搭載したプロファイル」のエンドポイントPCへの展開方法について、説明します。 「構成プロファイルの留意事項」のページもご一読ください。
エンドポイントPCに対する非定常的な働きかけは、次の方法で行います。
- アクション項目を選択して、複数のPCへ働きかけ
- スクリプトコマンドを送信。但し、対象は、Windows Classicのみ。
- リモート画面操作で、「設定」ボタンを押す、または 画面の左下の「ここに入力して検索」に、cmdと入力し、Windows シェルコマンドを入力
A. 設定のための基本メニュー
コンソール画面の左上の三本線アイコンをクリックすると、(図1)の基本メニュー画面が現れます。
(図1) (図1)の「プロファイル」を選択すると、設定済みの構成プロファイルの一覧画面(図2A)又は(図2B)が現れます。
- MobiControl v14.3以上の場合は、(図2A)が表示されます。
- MobiControl v14.3未満の場合は、(図2B)が表示されます。
(図2A)
プロファイルの一覧 (MobiControl v14.3以上の場合)
右上の「新しいプロファイル」のアイコン(赤矢印)をクリックすると、 端末のプラットフォームの一覧がプルダウンされます。
Windows PC の場合、次の2つのどちらかを選択します。(図3)が現れます。
- Windows Modern
PCの一般的な利用の場合は、Windows Modernを選択します。- Windows クラシック
PCを専用業務端末(KIOSKモード)として利用する場合は、Windows Classicを選択します。
デスクトップ画面に表示される画面は、指定のアプリ群のみとすることができます。(図2B)
プロファイルの一覧 (MobiControl v14.3未満の場合)
(図2B)の上辺のタブで、「Windowsクラシック」か「Windows Modern」を選択します。 (図3)が現れます。B. 構成プロファイルに名前をつける
(図3)
Windows Modernを選択した場合は、3種類のタイプの選択肢
名前欄に、構成プロファイルの名前を入力します。構成プロファイル内の設定項目や利用対象の組織名などを類推しやすい名前をつけるのがよいでしょう。
説明欄に、構成プロファイル内の設定項目や利用対象がより分かり易い記述を書き込みます。
構成プロファイルを更新した場合は、その履歴も記入しておくとよいでしょう。 (図2)で、「Windows Modern」のタブを選んでおくと、(図3)に「タイプ」欄が表示されます。デフォルトで、「Windows デスクトップ」が選択されています。 ノートPCの場合でも「Windowsデスクトップ」のままとします。
右端をドロップダウンすると、「Windows Phone」を選択できます。
VR(Vertial Reality)のWindows Hololensを設定する場合は、Microsoft Hololensを選択します。 タイプを選択すれば、「構成」タブを選択します。(図4)が現われます。(図4)
C. 構成プロファイル・メニュー
(図2A)または(図2B)で、「Windows Modern」を選択し、更に(図4)で「追加」タブを選択すると、(図5)が現われます。(図5)
(図5)で設定したい項目をクリックすると、各々の設定ダイアログがポップアップします。 (図2A)または(図2B)で、「Windows Classic」を選択し、更に(図4)で「追加」タブを選択すると、(図6)が現われます。
Windows Modern PCの構成プロファイルメニュー
(図6)
Windows Classic では、構成プロファイルを使って、ランチャーをエンドポイントPCに展開します。
Windows Classicの構成プロファイルメニュー
D. 構成プロファイルの端末グループへの割り当て
各々の設定ダイアログでの設定が終わり、その「OK」ボタンを押すと、画面は(図7)に遷移します。
設定した設定項目のタイトルが挿入されました。(図7)
(図7)で、再度「追加」ボタンを押すと、(図5)が再度ポップアップします。ここで他の項目を選択して、設定項目を追加することができます。
設定項目を追加する必要がない場合は、(図7)の下辺の「保存して割り当て」ボタンを押します。 (図8)がポップアップします。(図8)
(図8)で、構成プロファイルの配布対象となる端末グループまたはエンドポイントPCを選択します。選択をするとチェックボタンが青くなります。 選択が終わると、下辺の「割り当て」ボタンを押します。これで、端末グループまたはエンドポイントPCの割り当てが完了します。
「割り当て」直後に、構成プロファイルは、エンドポイントPC(群)に送られ展開されます。エンドポイントPCは、この構成プロファイルに従って挙動するようになります。
「割り当て」直後に、構成プロファイルが、エンドポイントPC(群)に送られるためには、エンドポイントPCは、MobiControlサーバとオンラインでなければなりません。 オンラインの場合は、(図8)のように、端末アイコンがと、ブルーになっていなければなりません。
オフラインの場合は、アイコンが、と表示されます。
Windows エンドポイントは、接続時間帯の設定により、非接続時間帯の時刻でない限り、オンラインであるのが常態です。
オフラインのWindows エンドポイントに対しては、そのエンドポイントがオンラインになったときに、構成プロファイルが展開されます。E. 構成プロファイルの修正または項目の削除
(図7)の段階で、構成プロファイルの内容を修正したいときがあります。 その場合は、(図7)で、 設定した構成の項目を選択(背景色が変わる)してから、「アクション」をプルダウンすると、(図9)のように アクション項目が表示されます。 ここで、「編集」を選択すると、設定項目のダイアログが再度表示されるので、そこで、設定内容を修正します。(図9)
「削除」は選んでいる設定項目のみを削除。「全てを削除」は、当該プロファイルの全ての設定項目を削除します。F. 作成済の構成プロファイルへの働きかけ
(図2A)または(図2B)を参照ください。これは、作成済の構成プロファイルのリストです。
作成済の構成プロファイルに対し、各種の働きかけができます。F-1. MobiControl v14.3以上の場合
(図2A)で、該当の構成プロファイルを選択すると、画面下辺に、(図10)のようなメニューが現れます。(図10)
(図10)の右端の3点リーダーをクリックすると、(図11)のようにメニューが拡がります。
(図11)
当該の構成プロファイルへの働きかけの権限を持つコンソール管理者の変更または追加をします 
「失効」実施により、構成プロファイルが削除されたエンドポイントPCに再割当(=再インストール)をします 
割当をする端末グループを追加、又は削除をします。割当てられるエンドポイントPCの選別条件と適用日時の指定や変更もできます。 
エンドポイントPCとサーバで、構成プロファイルを削除します 
割当した端末グループに、これから追加するエンドポイントPCに対しては、当該構成プロファイルを適用しないようにします
(「追加割当てをしない」は、MobiControlのバージョンに依っては、「暫定停止」又は「無効化」と表示されることがあります)
エンドポイントPCで、構成プロファイルを削除します。サーバでの保存は継続します。 
構成プロファイルのコピーをします。
プロファイル項目の内容の一部を修正して、 他の端末グループに割り当てる際に利用します。
構成プロファイルの設定内容の修正及び追加ができます F-2. MobiControl v14.3未満の場合
(図2B)で、該当の構成プロファイルにマウスを当てて、背景色をブルーにしてから、「アクション」タブをプルダウンします。 「アクション」タブをプルダウンすると、(図12)のようなプルダウンメニューが現われます。(図12)
どのエンドポイントPCにも割り当ててない構成プロファイルは、「ドラフト」扱いです。「ドラフト」の構成プロファイルは、「名前」の後に、 ペンのマーク
プロファイルの編集 構成プロファイルの設定内容の修正 プロファイルの割り当て 割当をする端末グループを追加、又は削除。
フィルター条件と適用日時の指定プロファイルの複製 構成プロファイルのコピー
プロファイル項目の内容の一部を修正して、 他の端末グループに割り当てるプロファイルを無効にする これから追加登録するエンドポイントPCに対しては、当該構成プロファイルを非適用 プロファイルの失効 構成プロファイルのエンドポイントPCでの削除 プロファイルのインストールを再試行 構成プロファイルを削除したエンドポイントPCに再インストール プロファイルの削除 エンドポイントPCとサーバの両方での構成プロファイルの削除 アクセス許可の編集 働きかけの権限を持つコンソール管理者の変更または追加 がついています。
G. 高度な割り当て方法
(図8)の下辺で「割り当て」を押さずに、上部のタブで、「フィルター条件」、「LDAP対象」、「オプション」を選択すると、構成プロファイルを 高度な方法で割り当てることができます。G-1. フィルター条件
例えば、特定のアプリがインストールされているPC(群)のみに適用したい場合があります。
次の「フィルター条件の設定」をクリックしてください。
- (図8)の上辺の「フィルター条件」のタブを選択すると、(図13)に画面遷移します。
(図13)
(図13)で「追加」ボタンを押すと、(図14)のように、「端末のプロパティ」などの選択肢が現れます。(図14)
「端末のプロパティ」、「監視データ」、「付属情報」のどれかを選択して、そのフィルター条件を設定できます。
(図14)の監視データとは、エンドポイント内の特定のファイルの特定のデータを指します。(図14)で「端末のプロパティ」を選択すると、(図15)のように端末のプロパティの種類が列記されます。詳しくは、「Windows PCの監視データ」を参照ください。 (図14)の「付属情報」は、コンソールで、エンドポイントPC毎、又は端末グループ単位で入力する情報項目です。
- 指定のフォルダの指定のテキストファイルの指定行の文字列
- 指定したINIファイルの指定セクションの値
- 指定したレジストリの値
- 指定したプログラムの標準出力(STDOUT)
- 指定したEXEプログラムが終了時に返す終了コード
- MobiControl管理者が入力しておいた文字列
例えば、などです。これらの情報項目の値に基づいて、これに該当するエンドポイントPCを構成プロファイルを適用したり、逆に適用しないようにできます。
- 端末ユーザの役職名
- 端末の購入日
- 端末の資産台帳での資産番号
- その他
(図15)
(図15)の「端末のプロパティ」の種類の中から1つを選ぶと、その右に、「しきい値」を入力する欄が現れるので、適切な値を入力します。(図16)
(図16)は、アプリ名として、Skype の文字列を持つアプリをインストール済のPC群のみに、「構成プロファイル」を 適用しようとしている例です。 (図16)には、更に、多くのフィルター条件を追加できます。その場合、(図13)の赤矢印部分で、「全て」または「どれでも」の選択をします。
フィルタ条件の設定が終わると、下辺の「割り当て」ボタンを押します。フィルタ条件で選抜したエンドポイントPCのみに、構成プロファイルが送られます。
- 「全て」
複数の条件があれば、その全ての条件に適合した場合にのみ、構成プロファイルが適用されます。- 「どれでも」
複数の条件のうち、一つだけでも適合したときに、構成プロファイルが適用されます。G-2. LDAP対象
AD_DS(Active Directory Domain Service)のグループを、 構成プロファイルの配布対象として指定します。
その結果として、そのAD_DSグループがマッピング(紐づけ)してある端末グループ(群)に、割り当てられます。
AD_DSのグループに構成プロファイルを割り当てるには、 予め、ディレクトリサービスとの接続プロファイルを作成し、当該のディレクトリサーバとMobiControlサーバとの間をバインドしておきます。 次の「LDAP対象の設定」をクリックしてください。
(図17)のように、端末グループの「マーケティング課」と「東京営業課」は、異なる部に属しているが、AD_DSでは、共通の「TOKYO」という グループにマッピングされているとします。
この場合、構成プロファイルをグループ名「TOKYO」に割り当てると、端末グループの「マーケティング課」と「東京営業課」の両方に割り当てることができます。
Active Directoryのグループの端末グループへのマッピングは、端末登録ルールで設定しておきます。(図17)
- (図8)上辺の「LDAP対象」タブを選択すると、画面は(図18)のように遷移します。
(図18)
複数のAD_DSサーバとバインドしてある場合は、
の部分をプルダウンして、 対象となるディレクトリサービス接続プロファイルの名前を選択します。
の部分に、構成プロファイルの配布先となるユーザグループ名を入力します。 グループ名の正確な文字列を入力する必要はありません。文字列の最初の4文字を入力すると、 その文字列で始まるグループ名を表示してくれます。 MobiControlサーバが、ディレクトリサービスにアクセスし、検索します。
サーバの性能と通信回線の帯域により、表示まで時間がかかることがあります。
表示されたグループを選択すると、「このグループにマッピングする端末グループを選択してください」とのメッセージがポップアップ することがあります。そして、画面は、(図8)に遷移します。そこで、マッピングするべき端末グループを選択します。 これで、ディレクトリサービスのグループ指定を経て、構成プロファイルの端末グループへの割り当てが完了します。 (図18)で、続けて、複数のユーザグループに割り当てることができます。 その場合は、他のユーザーグループをMobiControlの端末グループにマッピングします。
追加のグループ名は、2行目以降に列記されます。(図19)
逆に、当該構成プロファイルを割り当てたくないADのグループがあるかもしれません。 例えば、SDカードの挿入を禁止する構成プロファイルを、AD_DSの本社全体グループのエンドポイントPCに割り当てたとします。 しかし、「情報システム部」に対応するAD_DSのグループには、例外として割り当てないことがあります。 その場合は、情報システム部に対応するAD_DSのグループを入力して、(図19)の下辺の「Excluded」をクリックします。 割り当てが終わると、下辺の「割り当て」ボタンを押します。これで、端末グループまたはエンドポイントPCの割り当てが完了します。
ADの2つのユーザグループに構成プロファイルを割り当てた例
G-3. オプション
(図8)の 下辺の「割り当て」ボタンを押すと、構成プロファイルは、 端末群にすぐに送られ、サイレント・インストールされます。 今すぐインストールすると差支えがある場合は、(図8)で、「割り当て」を押さずに、上辺の「オプション」タブを押します。 次のような場合に、今すぐのインストールを控えることがあります。次の「オプションの設定」をクリックしてください。
- 通信回線の輻輳
端末台数が数万台あり、一斉に送ると、通信回線が輻輳し、他のオンライン業務に影響を与えることを懸念- エンドポイントPC操作中のインストールを避ける
従業員がエンドポイントPCを操作している最中に、エンドポイントPCの構成に変化があると、操作に支障があることを懸念
- (図8)の下辺の「割り当て」ボタンを押さず、上辺の「オプション」を選択すると、(図20)に画面遷移します。
(図20)
(図20)の設定項目 説明 インストール方法 「自動」か「セルフサービス」を選択します。「自動」を選択した場合、下辺の「割り当て」ボタンを 押すと、構成プロファイルはすぐにエンドポイントPCに送られ、インストールされます。デフォルトは「自動」です。
「セルフサービス」を選択すると、エンドポイントPCユーザが操作しないと、インストールされません。 エンドポイントPCでアプリ利用中に、新しい構成プロファイルが適用されると、アプリ操作に支障がある場合に選択します。
「セルフサービス」を選択した場合の エンドポイントPCユーザの操作方法は、「エンドポイントPCユーザの任意の時刻にインストール」を参照ください。通信回線の限定
(Windows Classicのみ)構成プロファイルをエンドポイントPCに送る際の通信回線を限定します。「携帯電話回線」や「ローミング中の携帯電話回線」経由では 送りたくないときは、チェックを外しておきます。
(Windows Modernの場合、この項目は表示されません。Windows Classicの場合には、表示されます。)最少のバッテリレベル
(Windows Classicのみ)構成プロファイルおよびパッケージをエンドポイントPCに送るときの、 エンドポイントPCのバッテリーレベルを1から100%で指定します。デフォルトは0になっています。0のときは、バッテリレベルをチェックせずに、配布を試行します。
(Windows Modernの場合、この項目は表示されません。Windows Classicの場合には、表示されます。)スケジュールされたアクション 割り当て日時、無効日時、失効日時を予め設定しておきます。 割り当て日 「自動」を選択すると、構成プロファイルはすぐにエンドポイントPCに送られ、インストールされますが、このオプションを選択すると、 今すぐでなく、後日に送られます。その日時を指定します。
通信回線の輻輳(ふくそう)を避けて、夜間や週末に送信する場合に適用します。次のアップデートスケジュールにずらす 今すぐでなく、次の更新スケジュールの時に割り当てます。
構成プロファイルを多くのエンドポイントPCに一斉に送ると、通信回線が輻輳し、他のオンライン業務に影響を与えると判断するときに適用します。
上位の端末グループに割り当てるときに適用すると、通信回線の輻輳を緩和します。 下位の端末グループは、別々の更新スケジュール時刻に更新するからです。無効日 指定日時以降に登録するエンドポイントPCには、適用されないようにするとして、その日時を指定します。 その指定日時までに適用したエンドポイントPCでは、その後も有効に機能しつづけます。 失効日 既に適用済のエンドポイントPCも含めて、構成プロファイルの機能が停止する日時を指定します。 但し、構成プロファイルが削除されるわけではありません。その後、再インストールすれば再度、構成プロファイルは有効になります。 H. コンソールでのバージョン表示をリフレッシュ
(図2A)で、1つの構成プロファイルを選択し、クリックすると、(図22)のように、その構成プロファイルの管理画面が表示されます。 ここでは、仮にバージョン表示は、1.0 となっているとします。この表示をしたままで、構成プロファイルを編集(修正)したとします。バージョン番号1.0から2.0へ繰り上がり、それが端末に 割り当てられます。(図22)
それでも、(図22)でのバージョン番号表示は、古いバージョン番号の1.0のままです。編集は、 (図8)の「編集」、若しくは(図9)、(図10)または(図22)でを押すだけでは、 バージョン番号表示が、新しくなりません。 そのバージョン番号表示を新しくする方法を説明します。 次の「バージョン表示をリフレッシュ」をクリックしてください。
- (図22)の、
(図23)の(図23)
(図24)の(図24)
の部分をプルダウンすると、バージョンのリストが表示されます。 このリストで、緑色のアイコンが付いているバージョンを選択します。(図24)の場合は、2.0 を選択。2.0を選択すると、(図25)に画面遷移します。
(図25)の(図25)
は、緑色ですから、現在割り当てられている構成プロファイルのバージョンのステータスを示しています。 これで、構成プロファイルの管理画面でのバージョン番号表示がリフレッシュされました。
(図25)の場合は、現在割り当てられているバージョンの構成プロファイルが、インストールに成功したことを意味しています。
再度、構成プロファイルの編集(修正)をする場合は、(図25)のI. アラートルールを作成する
構成プロファイルのインストールに、成功したか、又は失敗したかなどの結果を、ログに記録するためにアラートルールを作成しておきます。 アラートルールの対象とする端末グループは、原則として、ルートグループまたは上位端末グループに設定しておきます。
本来は、構成プロファイルの作成の前に、アラートルールの作成を終わらせておきます。 構成プロファイルに関するアラートには、「端末側で認識するアラートイベント」と、「サーバ側で認識するアラートイベント」があります。I-1 端末側で認識するアラートイベント
「Windows Modern:アラートルールの作成 」 及び 「Windows Classic:アラートルールの作成 」 を参照して、エンドポイントPCが認識するアラートイベントに基づくアラートルールを作成します。 次のようなアラートイベントと、ログに表示されるアラート文(編集可能)があります。 ●「Windows Modern」と「Windows Classic」共通
●Windows Classic」のみ
イベント名 編集後のアラート文例 すべてのペイロードをインストールできないため、プロファイルのインストールに失敗しました。 プロファイル "{0}" バージョン {1} のインストールに失敗した。一部のペイロードのインストールに失敗。 デバイスのプロファイルは、管理者のアクションによって失効しました 管理者が、デバイス "{1}" からプロファイル "{0}" の削除を要求した プロファイルがインストールされました 構成プロファイル "{0}" がインストールされた プロファイルが削除されました 構成プロファイル "{0}" が削除された プロファイルの削除に失敗しました 構成プロファイル "{0}" の削除に失敗しました 管理者のアクションによってプロファイルがインストールされました 管理者はデバイス "{1}" のプロファイル "{0}" のインストールを要求した
イベント名 編集後のアラート文例 デバイス ユーザーがプロファイルのインストールを要求しました デバイス ユーザーがプロファイル "{0}" のインストールを要求した デバイス ユーザーがプロファイルの削除を要求しました デバイス ユーザーがプロファイル "{0}" の削除を要求した I-2 サーバ側で認識するアラートイベント
「システムアラートルール」の設定で、構成プロファイルに関するアラート・イベントにチェックを入れておきます。 「システムアラートルール」で、構成プロファイルに関するアラート・イベントには、 ●の印をつけてあります。合計21件あります。 これの全てにチェックを入れてください。
項番 種類 71-72 2件 94-99 6件 122-135 14件 243 1件 合計 21件 J. 構成プロファイルがインストールされない原因
上記の(図21)を参照ください。個別構成プロファイルの管理画面です。J-1. インストールの保留中
その(図21)の替わりに、(図26)のように表示されることがあります。 これは、2台のエンドポイントPCに構成プロファイルを展開したのだが、2台の内の1台で、「インストールの保留中」になった例です。
次の場合に、構成プロファイルのステータスが「インストールの保留中」になる可能性があります。(図26)
- 構成プロファイルがエンドポイントPCに届いてない
エンドポイントPCに届かない理由には、次の様な原因が考えられます。
- エンドポイントPCの電源がオフになっている。
- エンドポイントPCがMobiControlサーバに接続していない。オフラインになっている。
- エンドポイントPC側の条件が整っていない
- 該当のエンドポイントPCのエディションが適応してない。
Windows PCの機能制限では、 Windows10 「Home」 若しくは、「Home」及び「Pro」には適用できない設定アイテムがあります。 これらの設定をしたプロファイルを、対応していないエディションのエンドポイントに送付した場合に、「インストールの保留中」になります。- エンドポイントユーザが設定したロック解除のパスワード桁数が、 「端末ユーザの本人認証」で指定した通りの桁数以上でない。 パスワード桁数変更のメッセージが、エンドポイント画面で表示されます。パスワードを指定桁数以上に変更すれば、インストールが完了します。
J-2. インストールの失敗
構成プロファイル別の管理画面が、(図27)のように表示されることがあります。(図27)
K. 構成プロファイルが適用されてない端末の一覧
原因はともあれ、構成プロファイルの「インストールの保留中」または「インストール失敗」になった端末の一覧を表示することができます。
赤矢印部分にマウスを載せ、クリックします。(図28)
プルダウンメニューが現れるので、「プロファイル」を選択します。(図29)
プロファイルプロパティで、「ステータス」を選択します。(図30)
「インストールの保留中」または 「インストール失敗」を選択してから、右下の「完了」ボタンを押します。(図31)
赤矢印部分をクリックします。
赤矢印部分をクリックします。 これで、プロファイルのインストールに失敗した端末が一覧表示されます。
(図31)で、「インストールの保留中」も念のため、一覧表示します。構成プロファイルの割り当てを実行した後には、念のため、その構成プロファイルがエンドポイントPCにインストールされたかどうかを確認をします。
端末フィルタリングの「構成プロファイルがインストールされてない端末を探す」を実行します。 (図32)は、構成プロファイルのステータスが「インストールの保留中」のエンドポイントPCを一覧表示する端末フィルタ条件式です。(図32)
一覧表示されたエンドポイントPCの名前をクリックし、その「構成」タブを開くと(図33)のような表示がされます。(図33)
(図33)では、「インストールの保留中」の構成プロファイルの名前が、「端末の機能制限」であることを表示しています。 (図33)では、ステータスが「未インストール」になっている構成プロファイルもあります。これは、構成プロファイルのインストール方法が「セルフサービス」に なっていることに起因します。上記の(図19)のインストール方法は、デフォルトでは、「自動」ですが、これを「セルフサービス」に変更して展開した例です。 インストールのタイミングをエンドポイントPCユーザに委ねた例です。「エンドポイントPCユーザの任意の時刻にインストール」を参照ください。
