構成プロファイルの設定

MobiControl v14 Manual

エンドポイントPCの定常的な挙動を設定するために、「構成プロファイル」、「パッケージを搭載したプロファイル」、「詳細設定」 及び「ルール」を作成して端末に送ります。


このページでは、「構成プロファイル」の作成と、その端末への展開方法について、概説します。
エンドポイントPCに対する非定常的な働きかけは、次の方法で行います。

A. 設定のための基本メニュー

コンソール画面の左上の三本線アイコンをクリックすると、(図1)の基本メニュー画面が現れます。
(図1)
(図1)の「プロファイル」を選択すると、設定済みの構成プロファイルの一覧画面(図2A)又は(図2B)が現れます。
  • MobiControl v14.3以上の場合は、(図2A)が表示されます。
  • MobiControl v14.3未満の場合は、(図2B)が表示されます。

(図2A)
プロファイルの一覧 (MobiControl v14.3以上の場合)

右上の「新しいプロファイル」のアイコン(赤矢印)をクリックすると、 端末のプラットフォームの一覧がプルダウンされます。
Windows PC の場合、次の2つのどちらかを選択します。
  • Windows Modern
    PCの一般的な利用の場合は、Windows Modernを選択します。
  • Windows クラシック
    PCを専用業務端末(KIOSKモード)として利用する場合は、Windows Classicを選択します。
    デスクトップ画面に表示される画面は、指定のアプリ群のみとすることができます。
(図3)が現れます。

(図2B)
プロファイルの一覧 (MobiControl v14.3未満の場合)

(図2B)の上辺のタブで、「Windowsクラシック」か「Windows Modern」を選択します。 (図3)が現れます。

B. 構成プロファイルに名前をつける

(図3)
Windows Modernを選択した場合は、3種類のタイプの選択肢


名前欄に、構成プロファイルの名前を入力します。構成プロファイル内の設定項目や利用対象の組織名などを類推しやすい名前をつけるのがよいでしょう。
説明欄に、構成プロファイル内の設定項目や利用対象がより分かり易い記述を書き込みます。
構成プロファイルを更新した場合は、その履歴も記入しておくとよいでしょう。

(図2)で、「Windows Modern」のタブを選んでおくと、(図3)に「タイプ」欄が表示されます。デフォルトで、「Windows デスクトップ」が選択されています。 ノートPCの場合でも「Windowsデスクトップ」のままとします。
右端をドロップダウンすると、「Windows Phone」を選択できます。
VR(Vertial Reality)のWindows Hololensを設定する場合は、Microsoft Hololensを選択します。

タイプを選択すれば、「構成」タブを選択します。(図4)が現われます。

(図4)

C. 構成プロファイル・メニュー

(図2A)または(図2B)で、「Windows Modern」を選択し、更に(図4)で「追加」タブを選択すると、(図5)が現われます。

(図5)
Windows Modern PCの構成プロファイルメニュー 

(図5)で設定したい項目をクリックすると、各々の設定ダイアログがポップアップします。

(図2A)または(図2B)で、「Windows Classic」を選択し、更に(図4)で「追加」タブを選択すると、(図6)が現われます。

(図6)
Windows Classicの構成プロファイルメニュー 

Windows Classic では、構成プロファイルを使って、ランチャーをエンドポイントPCに展開します。

D. 構成プロファイルの端末グループへの割り当て

各々の設定ダイアログでの設定が終わり、その「OK」ボタンを押すと、画面は(図7)に遷移します。
設定した設定項目のタイトルが挿入されました。

(図7)

(図7)で、再度「追加」ボタンを押すと、(図5)が再度ポップアップします。ここで他の項目を選択して、設定項目を追加することができます。
設定項目を追加する必要がない場合は、(図7)の下辺の「保存して割り当て」ボタンを押します。 (図8)がポップアップします。

(図8)

(図8)で、構成プロファイルの配布対象となる端末グループまたはエンドポイントPCを選択します。選択をするとチェックボタンが青くなります。 選択が終わると、下辺の「割り当て」ボタンを押します。これで、端末グループまたはエンドポイントPCの割り当てが完了します。
「割り当て」直後に、構成プロファイルは、エンドポイントPC(群)に送られ展開されます。エンドポイントPCは、この構成プロファイルに従って挙動するようになります。

「割り当て」直後に、構成プロファイルが、エンドポイントPC(群)に送られるためには、端末は、MobiControlサーバとオンラインでなければなりません。 オンラインの場合は、(図8)のように、端末アイコンがと、ブルーになっていなければなりません。
オフラインの場合は、アイコンが、 と表示されます。
Windows エンドポイントは、接続時間帯の設定により、非接続時間帯の時刻でない限り、オンラインであるのが常態です。
オフラインのWindows エンドポイントに対しては、そのエンドポイントがオンラインになったときに、構成プロファイルが展開されます。

E. 構成プロファイルの修正または項目の削除

(図7)の段階で、構成プロファイルの内容を修正したいときがあります。 その場合は、(図7)で、 設定した構成の項目を選択(背景色が変わる)してから、「アクション」をプルダウンすると、(図9)のように アクション項目が表示されます。 ここで、「編集」を選択すると、設定項目のダイアログが再度表示されるので、そこで、設定内容を修正します。

(図9)

「削除」は選んでいる設定項目のみを削除。「全てを削除」は、当該プロファイルの全ての設定項目を削除します。

F. 作成済の構成プロファイルへの働きかけ

(図2A)または(図2B)を参照ください。これは、作成済の構成プロファイルのリストです。
作成済の構成プロファイルに対し、各種の働きかけができます。

F-1. MobiControl v14.3以上の場合

(図2A)で、該当の構成プロファイルを選択すると、画面下辺に、(図10)のようなメニューが現れます。

(図10)

(図10)の右端の3点マークをクリックすると、(図11)のようにメニューが拡がります。
(図11)
働きかけの権限を持つコンソール管理者の変更または追加
構成プロファイルを削除した端末に再インストール
割当をする端末グループを追加、又は削除。
フィルター条件と適用日時の指定
構成プロファイルの端末とサーバでの削除
これから追加登録する端末に対しては、当該構成プロファイルを非適用
構成プロファイルの端末での削除
構成プロファイルのコピー
プロファイル項目の内容の一部を修正して、 他の端末グループに割り当てる
構成プロファイルの設定内容の修正

F-2. MobiControl v14.3未満の場合

(図2B)で、該当の構成プロファイルにマウスを当てて、背景色をブルーにしてから、「アクション」タブをプルダウンします。 「アクション」タブをプルダウンすると、(図12)のようなプルダウンメニューが現われます。

(図12)

プロファイルの編集 構成プロファイルの設定内容の修正
プロファイルの割り当て 割当をする端末グループを追加、又は削除。
フィルター条件と適用日時の指定
プロファイルの複製 構成プロファイルのコピー
プロファイル項目の内容の一部を修正して、 他の端末グループに割り当てる
プロファイルを無効にする 構成プロファイルの端末での削除
プロファイルの失効 これから追加登録する端末に対しては、当該構成プロファイルを非適用
プロファイルのインストールを再試行 構成プロファイルを削除した端末に再インストール
プロファイルの削除 構成プロファイルの端末とサーバでの削除
アクセス許可の編集 働きかけの権限を持つコンソール管理者の変更または追加
どの端末にも割り当ててない構成プロファイルは、「ドラフト」扱いです。「ドラフト」の構成プロファイルは、「名前」の後に、 ペンのマークがついています。

G. 高度な割り当て方法

(図8)の下辺で「割り当て」を押さずに、上部のタブで、「フィルター条件」、「LDAP対象」、「オプション」を選択すると、構成プロファイルを 高度な方法で割り当てることができます。

G-1. フィルター条件

例えば、特定のアプリがインストールされているPC(群)のみに適用したい場合があります。
次の「フィルター条件の設定」をクリックしてください。

フィルター条件の設定

  • (図8)の上辺の「フィルター条件」のタブを選択すると、(図13)に画面遷移します。

    (図13)


    (図13)で「追加」ボタンを押すと、(図14)のように、「端末のプロパティ」などの選択肢が現れます。

    (図14)

    「端末のプロパティ」、「監視データ」、「付属情報」のどれかを選択して、そのフィルター条件を設定できます。
    (図14)の監視データとは、エンドポイント内の特定のファイルの特定のデータを指します。
    • 指定のフォルダの指定のテキストファイルの指定行の文字列
    • 指定したINIファイルの指定セクションの値
    • 指定したレジストリの値
    • 指定したプログラムの標準出力(STDOUT)
    • 指定したEXEプログラムが終了時に返す終了コード
    • MobiControl管理者が入力しておいた文字列
    詳しくは、「Windows PCの監視データ」を参照ください。

    (図14)の「付属情報」は、コンソールで、端末毎、又は端末グループ単位で入力する情報項目です。
    例えば、
    • 端末ユーザの役職名
    • 端末の購入日
    • 端末の資産台帳での資産番号
    • その他
    などです。これらの情報項目の値に基づいて、これに該当する端末を構成プロファイルを適用したり、逆に適用しないようにできます。
    (図14)で「端末のプロパティ」を選択すると、(図15)のように端末のプロパティの種類が列記されます。

    (図15)


    (図15)の「端末のプロパティ」の種類の中から1つを選ぶと、その右に、「しきい値」を入力する欄が現れるので、適切な値を入力します。

    (図16)

    (図16)は、アプリ名として、Skype の文字列を持つアプリをインストール済のPC群のみに、「構成プロファイル」を 適用しようとしている例です。

    (図16)には、更に、多くのフィルター条件を追加できます。その場合、(図13)の赤矢印部分で、「全て」または「どれでも」の選択をします。
    • 「全て」
      複数の条件があれば、その全ての条件に適合した場合にのみ、構成プロファイルが適用されます。
    • 「どれでも」
      複数の条件のうち、一つだけでも適合したときに、構成プロファイルが適用されます。

    フィルタ条件の設定が終わると、下辺の「割り当て」ボタンを押します。フィルタ条件で選抜した端末のみに、構成プロファイルが送られます。

G-2. LDAP対象

AD_DS(Active Directory Domain Service)のグループを、 構成プロファイルの配布対象として指定します。
その結果として、そのAD_DSグループがマッピング(紐づけ)してある端末グループ(群)に、割り当てられます。
(図17)のように、端末グループの「マーケティング課」と「東京営業課」は、異なる部に属しているが、AD_DSでは、共通の「TOKYO」という グループにマッピングされているとします。
この場合、構成プロファイルをグループ名「TOKYO」に割り当てると、端末グループの「マーケティング課」と「東京営業課」の両方に割り当てることができます。
Active Directoryのグループの端末グループへのマッピングは、端末登録ルールで設定しておきます。
(図17)
AD_DSのグループに構成プロファイルを割り当てるには、 予め、ディレクトリサービスとの接続プロファイルを作成し、当該のディレクトリサーバとMobiControlサーバとの間をバインドしておきます。

次の「LDAP対象の設定」をクリックしてください。

LDAP対象の設定

  • (図8)上辺の「LDAP対象」タブを選択すると、画面は(図18)のように遷移します。

    (図18)

    複数のAD_DSサーバとバインドしてある場合は、の部分をプルダウンして、 対象となるディレクトリサービス接続プロファイルの名前を選択します。

    の部分に、構成プロファイルの配布先となるユーザグループ名を入力します。 グループ名の正確な文字列を入力する必要はありません。文字列の最初の4文字を入力すると、 その文字列で始まるグループ名を表示してくれます。 MobiControlサーバが、ディレクトリサービスにアクセスし、検索します。
    サーバの性能と通信回線の帯域により、表示まで時間がかかることがあります。

    表示されたグループを選択すると、「このグループにマッピングする端末グループを選択してください」とのメッセージがポップアップ することがあります。そして、画面は、(図8)に遷移します。そこで、マッピングするべき端末グループを選択します。 これで、ディレクトリサービスのグループ指定を経て、構成プロファイルの端末グループへの割り当てが完了します。

    (図18)で、続けて、複数のユーザグループに割り当てることができます。 その場合は、他のユーザーグループをMobiControlの端末グループにマッピングします。
    追加のグループ名は、2行目以降に列記されます。

    (図19)
    ADの2つのユーザグループに構成プロファイルを割り当てた例

    逆に、当該構成プロファイルを割り当てたくないADのグループがあるかもしれません。 例えば、SDカードの挿入を禁止する構成プロファイルを、AD_DSの本社全体グループのエンドポイントPCに割り当てたとします。 しかし、「情報システム部」に対応するAD_DSのグループには、例外として割り当てないことがあります。 その場合は、情報システム部に対応するAD_DSのグループを入力して、(図19)の下辺の「Excluded」をクリックします。

    割り当てが終わると、下辺の「割り当て」ボタンを押します。これで、端末グループまたはエンドポイントPCの割り当てが完了します。

G-3. オプション

(図8)の 下辺の「割り当て」ボタンを押すと、構成プロファイルは、 端末群にすぐに送られ、サイレント・インストールされます。

今すぐインストールすると差支えがある場合は、(図8)で、「割り当て」を押さずに、上辺の「オプション」タブを押します。 次のような場合に、今すぐのインストールを控えることがあります。
  • 通信回線の輻輳
    端末台数が数万台あり、一斉に送ると、通信回線が輻輳し、他のオンライン業務に影響を与えることを懸念
  • 端末操作中のインストールを避ける
    従業員が端末を操作している最中に、端末の構成に変化があると、操作に支障があることを懸念
次の「オプションの設定」をクリックしてください。

オプションの設定

  • (図8)の下辺の「割り当て」ボタンを押さず、上辺の「オプション」を選択すると、(図20)に画面遷移します。

    (図20)

    (図20)の設定項目説明
    インストール方法「自動」か「セルフサービス」を選択します。「自動」を選択した場合、下辺の「割り当て」ボタンを 押すと、構成プロファイルはすぐにエンドポイントPCに送られ、インストールされます。デフォルトは「自動」です。
    「セルフサービス」を選択すると、エンドポイントPCユーザが操作しないと、インストールされません。 エンドポイントPCでアプリ利用中に、新しい構成プロファイルが適用されると、アプリ操作に支障がある場合に選択します。
    「セルフサービス」を選択した場合の エンドポイントPCユーザの操作方法は、「エンドポイントPCユーザの任意の時刻にインストール」を参照ください。
    通信回線の限定
    (Windows Classicのみ)
    構成プロファイルをエンドポイントPCに送る際の通信回線を限定します。「携帯電話回線」や「ローミング中の携帯電話回線」経由では 送りたくないときは、チェックを外しておきます。
    (Windows Modernの場合、この項目は表示されません。Windows Classicの場合には、表示されます。)
    最少のバッテリレベル
    (Windows Classicのみ)
    構成プロファイルおよびパッケージを端末に送るときの、 端末のバッテリーレベルを1から100%で指定します。デフォルトは0になっています。0のときは、バッテリレベルをチェックせずに、配布を試行します。
    (Windows Modernの場合、この項目は表示されません。Windows Classicの場合には、表示されます。)
    スケジュールされたアクション割り当て日時、無効日時、失効日時を予め設定しておきます。

    割り当て日 「自動」を選択すると、構成プロファイルはすぐにエンドポイントPCに送られ、インストールされますが、このオプションを選択すると、 今すぐでなく、後日に送られます。その日時を指定します。
    通信回線の輻輳(ふくそう)を避けて、夜間や週末に送信する場合に適用します。

    次のアップデートスケジュールにずらす 今すぐでなく、次の更新スケジュールの時に割り当てます。
    構成プロファイルを多くのエンドポイントPCに一斉に送ると、通信回線が輻輳し、他のオンライン業務に影響を与えると判断するときに適用します。
    上位の端末グループに割り当てるときに適用すると、通信回線の輻輳を緩和します。 下位の端末グループは、別々の更新スケジュール時刻に更新するからです。

    無効日 指定日時以降に登録するエンドポイントPCには、適用されないようにするとして、その日時を指定します。 その指定日時までに適用したエンドポイントPCでは、その後も有効に機能しつづけます。

    失効日 既に適用済のエンドポイントPCも含めて、構成プロファイルの機能が停止する日時を指定します。 但し、構成プロファイルが削除されるわけではありません。その後、再インストールすれば再度、構成プロファイルは有効になります。
    指定した時間フレームにアップデートスケジュールのプロファイル展開を制限する

    端末プロファイルがエンドポイントPCに届くと、デフォルトではすぐにインストールされます。 勤務時間帯に構成プロファイルのインストールが実行されると、エンドポイントPC操作に影響がある場合があります。
    そこで、エンドポイントPCに届いても、すぐにはインストールをせず、指定した曜日や日時にインストールするようにします。
    「追加」ボタンを押すと、(図21)がポップアップしますので、曜日と時間帯を指定します。

    (図21)

    時刻はUTC(協定世界時)で入力します。UTCは、日本時間より9時間遅れです。日本時間の22時は、UTCだと13時です。
    • 時間帯を指定した時刻になっても、「割り当て日」での指定時刻にまだ達していない場合があります。 その場合は、まだ、構成プロファイルはエンドポイントPCに届いていません。その場合は、エンドポイントPCは次のチェックインの時刻に、構成プロファイルをダウンロードして インストールします。
    • インストールの時間帯は、複数設定ができます。曜日別に時間帯を設定することができます。

H. アラートルールを作成する

構成プロファイルのインストールに、成功したか、又は失敗したかなどの結果を、ログに記録するためにアラートルールを作成しておきます。 アラートルールの対象とする端末グループは、原則として、ルートグループまたは上位端末グループに設定しておきます。
本来は、構成プロファイルの作成の前に、アラートルールの作成を終わらせておきます。

構成プロファイルに関するアラートには、「端末側で認識するアラートイベント」と、「サーバ側で認識するアラートイベント」があります。

H-1 端末側で認識するアラートイベント

Windows Modern:アラートルールの作成 」 及び 「Windows Classic:アラートルールの作成 」 を参照して、端末が認識するアラートイベントに基づくアラートルールを作成します。 次のようなアラートイベントと、ログに表示されるアラート文(編集可能)があります。

「Windows Modern」と「Windows Classic」共通
イベント名編集後のアラート文例
すべてのペイロードをインストールできないため、プロファイルのインストールに失敗しました。 プロファイル "{0}" バージョン {1} のインストールに失敗した。一部のペイロードのインストールに失敗。
アラート文の表示では、"{0}"には、プロファイルの名前が、{1}には、そのバージョン番号が表示されます。
構成プロファイルには複数のペイロードを搭載できる。
デバイスのプロファイルは、管理者のアクションによって失効しました 管理者が、デバイス "{1}" からプロファイル "{0}" の削除を要求した
アラート文の表示では、"{1}"は端末名で、 "{0}"は、デバイス名で代替表示される
プロファイルがインストールされました構成プロファイル "{0}" がインストールされた
アラート文の表示では、"{0}"には、プロファイルの名前が代替表示される。
プロファイルが削除されました構成プロファイル "{0}" が削除された
アラート文の表示では、"{0}"には、プロファイルの名前が代替表示される。
プロファイルの削除に失敗しました構成プロファイル "{0}" の削除に失敗しました
アラート文の表示では、"{0}"には、プロファイルの名前が代替表示される。
管理者のアクションによってプロファイルがインストールされました管理者はデバイス "{1}" のプロファイル "{0}" のインストールを要求した
アラート文の表示では、 "{1}" は、デバイス名で代替表示される。"{0}"は、プロファイル名で代替表示される。

Windows Classic」のみ
イベント名編集後のアラート文例
デバイス ユーザーがプロファイルのインストールを要求しました デバイス ユーザーがプロファイル "{0}" のインストールを要求した
アラート文の表示では、"{0}"にはプロファイル名が表示される
デバイス ユーザーがプロファイルの削除を要求しました デバイス ユーザーがプロファイル "{0}" の削除を要求した
アラート文の表示では、"{0}"にはプロファイル名が表示される

H-2 サーバ側で認識するアラートイベント

システムアラートルール」の設定で、構成プロファイルに関するアラート・イベントにチェックを入れておきます。

システムアラートルール」で、構成プロファイルに関するアラート・イベントには、 の印をつけてあります。合計21件あります。 これの全てにチェックを入れてください。
項番種類
71-722件
94-996件
122-13514件
2431件
合計21件

I. 構成プロファイルが適用されているかどうかの確認

構成プロファイルが、端末に届いたのに拘わらず、インストールに失敗した端末の一覧を表示することができます。

(図22)

赤矢印部分にマウスを載せ、クリックします。

(図23)

プルダウンメニューが現れるので、「プロファイル」を選択します。

(図24)

プロファイルプロパティで、「ステータス」を選択します。

(図25)

「インストール失敗」を選択してから、右下の「完了」ボタンを押します。

赤矢印部分をクリックします。

赤矢印部分をクリックします。

これで、プロファイルのインストールに失敗した端末が一覧表示されます
(図25)で、「インストールの保留中」も念のため、一覧表示します。
構成プロファイルの割り当てを実行した後には、念のため、その構成プロファイルが端末にインストールされたかどうかを確認をします
端末フィルタリングの「構成プロファイルがインストールされてない端末を探す」を実行します。 (図26)は、構成プロファイルのステータスが「インストールの保留中」の端末を一覧表示する端末フィルタ条件式です。

(図26)

一覧表示されたエンドポイントPCの名前をクリックし、その「構成」タブを開くと、 当該エンドポイントPCに適用されている 構成プロファイルの一覧が表示されます。その中には、 インストール済み(成功)」以外の状態(ステータス)の構成プロファイルも表示されます。

構成プロファイルの割り当てをした時に、端末がMobiControlサーバと切断中で、且つ切断が現在まで継続中の場合は、 構成プロファイルは、端末に届いていません。(図26)の端末フィルタリングの「インストールの保留中」の対象端末になりません。