Windows PC

MobiControl v14 Manual


仕事で直接向き合うコンピュータは、サーバでなく、Windows PCです。
MobiControlは、そのWindows PCでの生産性を向上させ、ITガバナンスを確立させます。

1. PCのアプリのコントロール

  • アプリのインストーラーをプッシュ配付し、そのインストールまたはバージョンアップを、短期間で実現します。
  • 各PCのアプリ一覧(アプリ名とバージョン番号)をコンソールで表示します。
  • アプリ名を指定し、そのアプリをインストールしてあるエンドポイントの一覧を表示します。必要なアプリが行き渡っているか、業務に関係ないアプリがインストールされてないかを確認できます。
    例: acrobat という文字列が含まれているアプリがインストールされているエンドポイントを一覧するフィルタ条件式
  • 指定したアプリの起動を阻止します。アプリ名またはWindowsストアへの提供元などで指定します。

エンドポイントPCのリモートサポート

2. リモートPCを画面操作

  • ローカルPCユーザでは、操作が難しい設定変更や不具合修正をすることができます。 をクリックして、画面から設定変更できます。
  • エンドポイントPCと、コンソールPCの両方のエクスプローラー・ペインを表示できます。両者の間で、ファイルのドラッグ&ドロップができます。
  • エンドポイントPCのユーザに操作して貰い、その画面変化を録画できます。操作方法の誤りの指摘などに役立てます。

3. Windowsの更新のコントロール

  • 更新プログラムのダウンロード元として、Microsoftのクラウドか、WSUSサーバかを 選択できます。WSUSの場合は、そのURLを指定できます。「Windows PCの機能制限」の「更新」を参照ください。 PCが閉域網にある場合は、WSUSサーバをDMZに用意します。
  • 更新プログラムのダウンロードのデフォルト開始時刻は、午前2時になっています。
    ダウンロード予定日の前日には、 PCユーザが、をクリックしても、その メニューに「シャットダウン」が表示されないようにリモート設定をします。午前2時に電源がオンなら、更新プログラムのダウンロードとインストールを 自動で行います。
  • 更新プログラムのインストールが終わったら、「再起動」を行いますが、そのタイミングに関して、 次の選択肢があります。これをリモート設定できます。
    • インストール後、自動的に「再起動」をする
    • 再起動に関するメッセージをポップアップし、ユーザに「今すぐ」か「後で」かを選択させる
    • 指定日時に再起動。曜日と時刻を指定できる。デフォルトでは翌日の午前3時。

4. Windows Defenderをリモート設定

  • Microsoftのシグネチャベース(ウィルスパターンベース)でのマルウェア対策である、Windows Defenderをリモート設定します。「Windows Defenderの設定」を参照ください。
  • 検疫対象のドライブ、検疫の例外とするパス、検疫(クィックスキャンとフルスキャン)の時間間隔、シグネチャの更新間隔、検疫時のCPU使用率の上限などを設定します。

5. 標的型攻撃に対するWindows10の対策をフォロー

マルウェア対策ソフトを、すり抜けて侵入してくる標的型攻撃を防御

「マルウェア対策ソフトを導入しているから大丈夫」
「ファイアウォールを厳密に運用しているから大丈夫」
と思い込むのは危険です。貴社の重要情報を窃取したいと思う攻撃者は、マルウェア対策ソフトをかいくぐり、ファイアウォールをすり抜け、必ず 侵入してきます
  • MobiControlは、仮想セキュアモードを構成してないエンドポイントを検出します。仮想セキュアモードを構成してあるエンドポイントは、侵入されても、サーバへの認証情報を 窃取されません
  • リモートPCをMicrosoft Defender ATPにオンボーディングさせます。 Microsoft Defender ATPは、不審な振る舞いを検知してマルウェアを検知します。 MobiControlは、Microsoft Defender ATPにより「脅威」と診断されたエンドポイントを隔離します。VPN接続を禁止し、業務アプリをアンインストールします。関係者にアラートメールを送ります。

6. 人為的原因による情報漏洩を阻止

  • WIPのポリシー設定
    WIP(Windows 情報保護)により、社内ドメインのエンドポイントでは文書を共有できても、社外(指定ドメイン外)では、文書を開けないようにします。
    • Wordなどのアプリを、「管理対象アプリ」に指定します。
    • 「管理対象アプリ」で作成したコンテンツ(企業データ)は、企業IDと紐づけられて暗号化されます。
    • 企業データは、社内では共有できます。つまり、Azure ADドメイン、又は IPアドレス帯を同じにするPCなら共有できます。 SharePointなどに保存することができます。
    • 企業データを、USBメモリに保存しようとすると、それを禁止するか、警告メッセージをポップアップします。
    • 例えば、Wordで開いた企業データを、FacebookなどのSNSにコピペしようとすると、それを禁止するか、警告メッセージをポップアップします。
    • 企業データを、エキスプロラーを使って、個人用の外部ストレージ(DropBoxTM など)に、ファイル送信しようとすると、それを禁止するか、警告メッセージをポップアップします。
    WIPポリシーの設定方法は、「Windows情報保護のリモート設定」を参照ください。
  • USB、Bluetooth、SDカードなどに制限を加え、情報漏洩を防ぎます。
  • Bitlockerにより、ドライブ単位で、暗号化をします。盗難に遭い、HDDを取り出され、他のPCに接続されても、ファイルを開くことができません。

7. 異常PCの自動隔離

セキュリティ対策の観点で異常と判断されたエンドポイントPCは、自動的に隔離されます。隔離されたエンドポイントPCでは、パッケージで送られてインストールされた業務アプリが 自動的にアンインストールされます。
設定されていたVPNやメールが使えなくなります。同時に、上司や関係者にアラートメールが送られます。
MobiControlは、エンドポイントの所属する部門に対応した端末グループから、「異常端末グループ」に、エンドポイントを自動移動させることで、この隔離を実施します。 異常端末グループの構成プロファイルには、業務アプリを割り当てず、エンドポイントの多くの機能を制限したものにしておきます。
当該エンドポイントの問題点が解決された場合、これを、コンソールでの操作で従来の端末グループに戻します。指定の業務アプリが再インストールされ、端末の 機能は、従前に戻ります。

8. Windows Modern と Windows Classic

MobiControlでの Windows PCの設定モードには、Windows Modern と Windows Classicがあります。 Windows Modernでの設定が可能なOSは、Windows10です。

8.1 構成プロファイル

(図1)は、Windows Modernに対して用意している構成プロファイルのメニューです。

(図1)
Windows Modernの構成プロファイルのメニュー

(図2)は、Windows Classicに対して用意している構成プロファイルのメニューです。

(図2)
Windows Modernの構成プロファイルのメニュー

ランチャーとは、指定のアプリ群のみを表示したデスクトップ画面を提供する機能です。
Windows Modernが、一般的なPCの使われ方に適しているのに対し、Windows Classicは、専用業務での 利用を用途としています。

8.2 アプリの配布とインストール

アプリの配布手段として、MobiControlは、「アプリカタログ・ルール」、「ファイル同期ルール」及び「MobiControlパッケージ」の3つを用意しています。

下表で、セルの背景色が黄色の場合は、サイレント・インストールが可能です。 サイレント・インストールとは、 端末ユーザの知らない裡に、アプリを自動ダウンロードし、インストールすることを指します。
アプリカタログ
ルール
ファイル同期
ルール
MobiControl
パッケージ
Windows Modern
Windows Classic
  • Windows Classicにインストールファイルを送るファイル同期ルールでは、ファイル送信後に、インストールを開始するスクリプトコマンドを付記できます。 その場合は、サイレント・インストールがされます。
  • MobiControlパッケージとは、 MobiControlパッケージスタジオを使って、アプリを挿入し作成したファイル(拡張子 .pcg)です。 構成プロファイルにパッケージを積み込んで、端末に配布します。 デフォルトでは、サイレント・インストールをします。
    仮想端末グループ宛には、配布することができません。
  • サイレント・インストールが適切でないアプリがあります。
    インストールの途中で、エンドポイントにて、ライセンス番号など、何らかの入力を要求するアプリがそれです。この場合、サイレント・インストールを指定すると、インストール途中で画面が 止まってしまいます。このようなアプリの場合は、端末ユーザが「インストール」ボタンをタップすることで、 インストールを開始するようにします。
    • アプリカタログ・ルールでは、エンドポイントでアプリカタログから、インストールするべきアプリを選択してインストールを開始するのが仕様です。
    • ファイル同期ルールでは、インストールファイルが保存されているフォルダを探して、それをクリックすることでインストールを開始できます。
    • MobiControlパッケージは、デフォルトでは、サイレント・インストールを試行します。
      しかし、 構成プロファイルを積み込んだプロファイルの割り当てオプションで、インストール方法を「セルフサービス」に 設定変更することができます。「端末ユーザの任意の時刻にインストール」を参照ください。
      エンドポイントで、MobiControlエージェントを開き、プロファイルメニューから、インストールするプロファイルを選択することで、アプリのインストールを開始できます。

8.3 PCのMobiControlへの登録方式

Windows Modernでは、2種類の登録方式があります。
Windows ModernWindows Classic
AD_DSによる認証を
伴わない方式
証明書ベースの登録
プロビジョニング・パッケージを起動することで登録
MobiControlエージェントのインストールによる登録
AD_DSによる認証を
伴なう方式
「設定」の「アカウント」での登録
無し
  • AD_DS = Active Directory Domain Service
  • MobiControlサーバが、AD_DSサーバと接続できていれば、AD_DSサーバと接続できないネットワーク環境のエンドポイントでも、登録は可能。
  • Azure ADによる認証でも、登録は可能。
「証明書ベースの登録」の後に、MobiControlコンソールで、エンドポイントPC毎に、AD_DSのユーザを後付けアサインをすることも可能

8.4 AD_DSによる認証

Windows ModernのPCが、ADのドメインに属していれば、次のようなメリットが得られます。
  1. 前述した6項のWIP(Windows情報保護)では、ドメインに属しているエンドポイントでのみ、共用ファイルを開けるようになります。
  2. Exchangeをメールサーバとする場合に、メールプロファイルをリモート設定できます。
    メールサーバのURLやメールアカウントを設定した構成プロファイルを、複数のエンドポイントに一斉送付することで、リモート設定します。 ユーザ名、UPN、メールアドレスなどをマクロ文字列で定義しておけば、各ユーザ毎のパラメータ値に変換して、個別のエンドポイントに送ります。
    例えば、構成プロファイルでの設定では、%ENROLLEDUSER_EMAIL%と入力しておけば、各エンドポイントには、そのユーザのメールアドレスに変換して構成プロファイルが送られます。
  3. AD_DSの認証をすることで、利用ができる、WiFiやVPNがあります。
    コンソールで作成するWiFiやVPNの構成プロファイルには、AD_DSによる認証情報を付加して、エンドポイントに送ることができます。 エンドポイントでは、WiFiやVPNに自動アクセスできるようになります。但し最初のアクセスだけは、AD_DSのパスワード入力が必要です。
b.と c. を実現するには、MobiControlサーバが、エンドポイント・ユーザのAD_DS情報を把握しておく必要があります。 そのためには、AD_DSによる認証を伴う登録をするか、証明書ベースの登録をした後に、コンソールでADユーザ名の後付けアサインが必要です。

8.5 その他の比較


Windows ModernWindows Classic
リモート画面操作
コンソールからメッセージを送信し、エンドポイントの画面に表示
情報漏洩対策として、SDカード、USBメモリへの書き込みを禁止できるか
Windows OSの更新のコントロール
マルウェア対策 あり

注1

なし
アプリの制限 構成プロファイルで制限

ランチャーで、起動できるアプリを限定
メール、WiFi、VPN、端末証明書のリモート設定
スクリプトコマンドMobiControlのスクリプトは使えない。Windowsのシェルスクリプトを、リモート操作画面で送る。 MobiControlスクリプトを使える。端末グループの全端末に向けて一斉送信可能。
エンドポイントの挙動を設定する方法 構成プロファイルを作成し、それを配布 スクリプトコマンドの送付
MobiControlがサポートするOSバージョン Windows 10

注2

Windows 8.1以上
  • 注1マルウェア対策
  • 注2サポートするWindows 10 Edition
    Windows 10 の次のEditionをサポートします。32bitCPU、64bitCPUの両方をサポートします。
    • Windows 10 Home
      但し、管理できる機能に制限があります。
    • Windows 10 Pro
    • Windows 10 Pro in S Mode
    • Windows 10 Enterprise
    • Windows 10 Enterprise LTSB
    • Windows 10 Education
    • Windows 10 Holographic
    • Windows 10 Holographic for Business
    • Windows 10 Hyper-V
    • Windows 10 IoT Enterprise
    • Windows 10 IoT Enterprise LTSB(LISC)

9. Windows Embedded端末

MobiControlは、PC系のWindows以外に、Windows Embeddedをもサポートしています。
MobiControl v14でサポート
  • Windows Embedded Compact7 
  • Windows Embedded Compact2013 
MobiControl v13でサポート
  • Windows CE.NET 4.2
  • Windows CE.NET 5.0 
  • Windows Embedded CE6.0 
  • Windows Embedded Compact7 
  • Windows Embedded Compact2013 
但し、端末メーカーとそのモデル番号によっては、サポートしてない端末があります。
Windows Embedded 端末」を参照ください。