端末ユーザの本人認証

MobiControl v14 Manual

 
端末をロック状態(サイレント状態)から解除するときに、パスワード(パスコード)入力を必要とするかどうか、 必要とすれば、そのパスワードの条件を設定します。  
(図1)の「Windows Embedded 構成プロファイルのメニュー」の画面を表示します。 
表示方法は、「Windows Embedded 端末の構成プロファイルの作成」を参照ください。
 

(図1) 
Windows Embedded 端末の構成プロファイルのメニュー 

1. 管理者パスワードの設定

(図1)で、「ユーザ認証」を選択すると、(図2)が現れます。

(図2) 

MobiControl管理下の端末でのパスワードには、2つあります。
「管理者パスワード」と「端末ユーザのパスワード」です。 例えば、ランチャーの設定をすると、 端末ユーザパスワードで、ロック解除すると、画面はランチャーの指定どおりとなります。 
管理者パスワードでロック解除すると、通常のホーム画面を表示できます。

(図2)上段の「端末の管理者パスワード」の欄の 「端末設定」のボタンを押します。(図3)のポップアップが表示されます。

(図3) 

(図3)で、任意のパスワードを入力します。
コンソールの該当端末名をクリックすると、(図4)が現れます。(図3)のパスワードを、ここにメモっておきます。 パスワードを忘れたときの備えと、他のコンソール管理者が このパスワードを使うときに参照するためです。

(図4) 

 
(図3)の「詳細設定」タブを開くと、正しいパスワードを一定回数入力できない場合の 対応アクションを設定できます。例えば、「アラームメールを管理者に送る」 または「端末を初期化」などのアクションです。

(図3)へのパスワード入力が終わると、(図2)は(図5)のように遷移します。「端末設定」ボタンのアイコンの色が赤から緑に変わります。

(図5) 

(図5)の下段「端末ユーザの認証方式」の
  1. パスワードによる端末ユーザ認証
  2. Windowsのユーザディレクトリの認証
のどちらかにチェックを入れると、右に端末設定のボタンが現れます。  

2. 端末ユーザのパスワードの条件設定

(図5)下段で、「パスワードによる端末ユーザ認証」にチェックを入れてから、 「端末設定」のボタンを押すと、(図6)が現れます。

2-1. 端末ユーザのパスワードの複雑性設定

(図6)で端末ユーザのパスワードの複雑性を設定します。  

(図6) 

2-2. 正しいパスワード入力がない場合のアクション

(図6)の上部の「アクション」タブを選択すると、画面は(図7)に変わります。

(図7) 

 
(図7)で「追加」ボタンを押すと、(図8)が現れます。

(図8) 

 
MobiControlのエージェントソフトは、スクリプト・コマンドで、指定のアクションを端末が 実行するように要求します。 例えば、
  • 端末をMobiControlサーバに接続し、アラートを伝え、サーバにアラートメールを管理者に送信する
  • 端末のユーザデータを削除する
などです。 (図8)の「スクリプト」ボタンを押すと、既存のスクリプト文のタイトル一覧が表示されます。 また、ここで、スクリプト文を編集することもできます。  
(図8)で、「成功したログイン」を選択してから、スクリプトを規定すると、 端末に正しくログインするたびに、そのスクリプトを実行します。 
(8)で、「ログインに失敗しました」を選択し、その後に、整数を入力すると、 その整数回数の失敗で、スクリプトが実行されます。 
指定が終わったら「OK」ボタンを押します。

2-3. 画面にバナー画像を表示させる

(図6)の上部の「バナー」タブを選択すると、画面は(図9)に変わります。

(図9) 

 
端末がロック状態の画面とログイン画面の上部に表示する画像を設定します。 あらかじめ、画像を用意し、コンソール・コンピュータに保存しておきます。 (図9)で、「参照」ボタンを押すと、エクスプロラーがポップアップするので、画像を保存してあるフォルダを 選び、画像ファイルを選択します。

2-4. OSのユーザ認証機能との統合

(図6)の上部の「OSの認証機能との統合」タブを選択すると、画面は(図10)に変わります。

(図10) 

 
OS (Windows Embedded)そのものも、ロック解除の際にパスワードチェックの機能があります。 その機能を利用する場合は、「Windowsモバイル端末の 認証サブシステムとの統合」にチェックを入れます。 (図6)または(図10)の設定が終わると、(図5)は(図11)のように変わります。 上段と下段の両方の「端末設定」のアイコンが赤から緑に変わります。

(図11) 

これで、端末ユーザの認証のためのパスワードの条件設定は終りです。

3. ディレクトリサービスで認証する

AD_DS(Active Directory Domain Servce)のような、ディレクトリサービスで認証することもできます。

3.1 ディレクトリサービスとの接続プロファイルの指定

(図5)で、「Windowsのユーザディレクトリの認証」にチェックしてから、 「端末設定」ボタンを押すと、(図12)が現れます。

(図12) 

 
(図12)の項目説 明
ディレクトリサービスとの接続プロファイル (図12)で"なし"と記述されている欄の右端をドロップダウンすると、既に作成済の ディレクトリサービスとの接続プロファイルを選択します。 
ディレクトリサービスとの接続プロファイルが作成されてない場合は、「管理」ボタンを押して、 ディレクトリサービスとの接続プロファイルを作成します。ディレクトリサービスとの接続プロファイル を参照ください。
このドメインのユーザを制限する 対象端末のユーザが所属するAD_DSのドメイン名を入力します。
ここに入力するAD_DSのドメイン以外のドメインに所属する 端末ユーザはログインできなくなります。
パスワードの有効期間が切れるときをユーザに警告 パスワードの有効期間が切れる何日前から、その旨を端末に表示するかを入力します
パスワード変更をユーザに強制 パスワードの有効期間が切れる何日前から、パスワードの変更を強制するかを入力します

3.2 同時ユーザ数と簡略パスワード

(図12)で「ユーザ」タブを選択すると、画面は(図13)に変わります。

(図13) 

 
ユーザ
端末とユーザを紐づけするか否かを規定します。
  • 単独ユーザのみ許可 
    この端末で最初にAD_DSにログインしたユーザしか端末を使えないようにします。 他のAD_DSアカウントでは、端末のロック解除はできなくなります。
  • 全てのドメインユーザがこの端末でログインするのを許可する 
    AD_DSの正当なアカウントを持つユーザなら、誰でもこの端末のロック解除ができるようになります。
 
シンプル認証
パソコンから入力することもあるので、 AD_DSのパスワードは、アルファベット部分が多く、桁数も長くなっています。 ハンディ端末では、入力に手間取ることがあります。そのために、 簡略なパスワードで代替入力できるようにします。  
「ユーザは認証のための簡略パスワードを設定することができます」に チェックを入れてから「ポリシー」ボタンを押します。 簡略パスワードを設定する画面が現れます。
 
(図12)、(図13)で、「OK」を押すと、(図11)に戻ります。 ここで、「OK」を押すと、構成プロファイルが、MobiControlに保存され、構成プロファイルの作成は終わりです。
構成プロファイルの作成が終わると、これを対象とする端末グループやAD(Active Directory)の グループに割り当てます。そして、それを当該グループの端末に配布し、インストールします。詳しくは、 「Windows Embeddedの構成プロファイルの作成」 のページの「D. 構成項目の編集または削除」以下を参照ください。