Windows PC

MobiControl v14 Manual


社内PCのアプリをコントロール

  • アプリのインストーラーをプッシュ配付し、新規インストールまたはバージョンアップを促します。
  • 個別のエンドポイントPC毎に、インストールしてある全てのアプリ一覧(アプリ名とバージョン)を表示します。
  • アプリ名を指定し、そのアプリをインストールしてあるPCの一覧を表示します。逆に、特定のアプリをインストールしてないPCも一覧表示できます。
  • 指定したアプリの起動を阻止します。アプリ名またはWindowsストアへの提供元などで指定します。

Windows Defenderをリモート設定

  • Microsoftのシグネチャベースでのマルウェア対策である、Windows Defenderをリモート設定します。「Windows Defenderの設定」を参照ください。
  • 検疫対象のドライブ、検疫の例外とするパス、検疫(クィックスキャンとフルスキャン)の時間間隔、シグネチャの更新間隔、検疫時のCPU使用率の上限などを設定します。

標的型攻撃に対するWindows10の対策をフォロー

マルウェア対策ソフトを、すり抜けて侵入してくる標的型攻撃を防御

「マルウェア対策ソフトを導入しているから大丈夫」
「ファイアウォールを厳密に運用しているから大丈夫」
と思い込むのは危険です。貴社の重要情報を窃取したいと思う攻撃者は、マルウェア対策ソフトをかいくぐり、ファイアウォールをすり抜け、必ず 侵入してきます
  • MobiControlは、仮想セキュアモードを構成してないPCを検出します。仮想セキュアモードを構成してあるPCは、侵入されても、サーバへの認証情報を 窃取されません
  • リモートPCをMicrosoft Defender ATPにオンボーディングさせます。 Microsoft Defender ATPは、不審な振る舞いを検知してマルウェアを検知します。 MobiControlは、Microsoft Defender ATPにより「脅威」と診断されたPCを隔離します。VPN接続を禁止し、業務アプリをアンインストールします。関係者にアラートメールを送ります。

PCのリモートサポート

リモートPCを画面操作

  • ローカルPCユーザでは、操作が難しい設定変更や不具合修正をすることができます。 をクリックして、画面から設定変更できます。
  • エンドポイントPCと、コンソールPCの両方のエクスプローラー・ペインを表示できます。両者の間で、ファイルのドラッグ&ドロップができます。
  • エンドポイントPCのユーザに操作して貰い、その画面変化を録画できます。操作方法の誤りの指摘などに役立てます。

人為的原因による情報漏洩を阻止

  • WIPのポリシー設定
    WIP(Windows 情報保護)により、社内ドメインのPCでは文書を共有できても、社外(指定ドメイン外)では、文書を開けないようにします。
    • Wordなどのアプリを、「管理対象アプリ」に指定します。
    • 「管理対象アプリ」で作成したコンテンツ(企業データ)は、企業IDと紐づけられて暗号化されます。
    • 企業データは、社内では共有できます。つまり、Azure ADドメイン、又は IPアドレス帯を同じにするPCなら共有できます。 SharePointなどに保存することができます。
    • 企業データを、USBメモリに保存しようとすると、それを禁止するか、警告メッセージをポップアップします。
    • 例えば、Wordで開いた企業データを、FacebookなどのSNSにコピペしようとすると、それを禁止するか、警告メッセージをポップアップします。
    • 企業データを、エキスプロラーを使って、個人用の外部ストレージ(DropBoxTM など)に、ファイル送信しようとすると、それを禁止するか、警告メッセージをポップアップします。
    WIPポリシーの設定方法は、「Windows情報保護のリモート設定」を参照ください。
  • USB、Bluetooth、SDカードなどに制限を加え、情報漏洩を防ぎます。
  • Bitlockerにより、ドライブ単位で、暗号化をします。盗難に遭い、HDDを取り出され、他のPCに接続されても、ファイルを開くことができません。

Windowsの更新のコントロール

  • 更新プログラムのダウンロード元として、クラウドの"Windows Update service"か、WSUSサーバかを 選択できます。WSUSの場合は、そのURLを指定できます。「Windows PCの機能制限」の「更新」を参照ください。
  • 更新プログラムのダウンロード開始時刻は、デフォルトでは午前2時になっています。
    ダウンロード予定日の前日には、 PCユーザが、をクリックしても、その メニューに「シャットダウン」が表示されないようにリモート設定をします。午前2時に電源がオンなら、更新プログラムのダウンロードとインストールを 自動で行います。
  • 更新プログラムのインストールが終わったら、「再起動」を行いますが、そのタイミングに関して、 次の選択肢があります。これをリモート設定できます。
    • インストール後、自動的に「再起動」をする
    • 再起動に関するメッセージをポップアップし、ユーザに「今すぐ」か「後で」かを選択させる
    • 指定日時に再起動。曜日と時刻を指定できる。デフォルトでは翌日の午前3時。

異常PCの自動隔離

セキュリティ対策の観点で異常と判断されたエンドポイントPCは、自動的に隔離されます。隔離されたエンドポイントPCでは、パッケージで送られてインストールされた業務アプリが 自動的にアンインストールされます。
設定されていたVPNやメールが使えなくなります。同時に、上司や関係者にアラートメールが送られます。
MobiControlは、エンドポイントの所属する部門に対応した端末グループから、「異常端末グループ」に、エンドポイントを自動移動させることで、この隔離を実施します。 異常端末グループの構成プロファイルには、アプリを割り当てず、エンドポイントの多くの機能を制限したものにしておきます。
当該エンドポイントの問題点が解決された場合、これを、コンソールでの操作で従来の端末グループに戻します。指定のアプリが再インストールされ、端末の 機能は、従前に戻ります。

Windows Modern と Windows Classic

MobiControlでの Windows PCの設定モードには、Windows Modern と Windows Classicがあります。
両者の概要を、下表に示します。

Windows ModernWindows Classic
エンドポイントの用途 事務などの一般的用途 専用業務用途。
指定したアプリアイコンのみを表示するデスクトップ画面。KIOSK端末として利用。
アプリのプッシュ配布とサイレントインストール 可能 可能
アプリの配布方式アプリ・カタログ または
パッケージ・スタジオでアプリをパッケージ化して配付
パッケージ化して配布
リモート画面操作 可能 可能
エンドポイントの挙動を設定する方法 構成プロファイルを作成し、それを配布 スクリプトコマンドの送付
エンドポイントがMobiControlへの登録するプロセスでのADによる認証 2つの登録方法があり、1つの登録方法では、ADによる認証が必要。
もう1つの登録方法では、不要。

注1

不要
MobiControlがサポートするOSバージョン Windows 10

注2

Windows 8.1以上
マルウェア対策 あり

注3

なし
アプリの制限 構成プロファイルで制限

ランチャーで、起動できるアプリを限定
メール、WiFi、VPN、端末証明書のリモート設定 可能 不可能

注1 ADは、Active Directory Domain Service

Azure ADもサポートします。
2つの登録方法については、Windows Modern端末登録ルールの作成を参照ください。
認証サービスには、ADなどの「ディレクトリ・サービス」以外に、SAML2.0の「IDプロバイダ」があります。 しかし、MobiControl v14での「IDプロバイダ」による認証は、Appleデバイスと、Android端末に限られます。

注2 サポートするWindows 10 Edition

MobiControlは、Windows 10 の次のEditionをサポートします。
  • Windows 10 Home
    但し、管理できる機能に制限があります。
  • Windows 10 Pro
  • Windows 10 Pro in S Mode
  • Windows 10 Enterprise
  • Windows 10 Enterprise LTSB
  • Windows 10 Education
  • Windows 10 Holographic
  • Windows 10 Holographic for Business
  • Windows 10 Hyper-V
  • Windows 10 IoT Enterprise
  • Windows 10 IoT Enterprise LTSB(LISC)
Editionのアップグレード(例:ProからEnterpriseへ)は、コンソールからのリモート操作で簡単に実行できます。
Windows Modern PCに働きかけるの12.ライセンスの更新」を参照ください。

注3マルウェア対策

  • 仮想セキュアモードになっているかどうかのチェック
  • デバイス正常性構成証明書の取得と表示
  • シグネチャベースのマルウェア対策ソフト(Windows Defender)の適用
  • Microsoft Defender ATPのオンボーディング。該当PCの隔離。

Windows Embedded端末

MobiControlは、PC系のWindows以外に、Windows Embeddedをもサポートしています。
MobiControl v14でサポート
  • Windows Embedded Compact7 
  • Windows Embedded Compact2013 
MobiControl v13でサポート
  • Windows CE.NET 4.2
  • Windows CE.NET 5.0 
  • Windows Embedded CE6.0 
  • Windows Embedded Compact7 
  • Windows Embedded Compact2013 
但し、端末メーカーとそのモデル番号によっては、サポートしてない端末があります。
Windows Embedded 端末」を参照ください。