端末登録ルールModern

MobiControl v14 Manual

1. Windows10をWindows Modernとして登録する2つの方法

Windows 10 をMobiControlに登録する方法には、2種類があります。

ユーザーグループに基づく登録証明書ベースの登録
登録のための主な作業場所エンドポイントPCコンソールPC
登録時にAD(Active Directory)またはAzure ADの認証必要不要
事前作業
  • MobiControlサーバとAD(またはAzure AD)との接続プロファイルの作成。詳しくはディレクトリ・サービスの設定を参照。
  • 端末登録ルールで、ADまたはAzure ADのユーザーグループと MobiControlの端末グループを、端末登録ルールで紐づけ(マッピング)
コンソールで、プロビジョニング・パッケージ(拡張子 .ppkg のファイル)を作成。
次のどれかの方法で、このファイルを該当エンドポイントに配布
  • メール添付で配布
  • このファイルをUSBメモリに入れておき、該当エンドポイントにUSBメモリを差し込む
  • WebDavなどのリポジトリサーバに、このファイルを格納し、該当エンドポイントでダウンロード
プロビジョニング・パッケージの作成方法は、Windows証明書ベースの登録を参照ください。
登録作業の概要エンドポイントで、ADの認証を行なう。これにより、 MobiControlサーバが、端末ユーザの所属するADのユーザーグループを把握。そして、ADのユーザーグループに紐づけられた端末グループに、エンドポイントを登録。 登録の方法は、Windows ModernのMobiControlへの登録を参照。 エンドポイントで、プロビジョニング・パッケージのファイル名をダブルクリック
証明書ベースの登録は、「一括登録」とも呼ばれます。
多くの台数のエンドポイントを、短時間で、登録させることができます。
Windows PCをWindows Classicとして登録する場合の、端末登録ルールの作成については、「Windows Classicの端末登録ルールの作成」を参照ください。 「Windows PCのリモートサポート」のページの「Windows Modern と Windows Classic」を参照ください。

2. ユーザーグループに基づく登録の事前準備

(図1)

(図2)

エンドポイントPCの登録の前に、次の2つの作業を実施しておきます。
  • MobiControlサーバと、ADまたはAzure ADとの間の接続プロファイルの作成
    詳しくは「ディレクトリ・サービスの設定」を参照。
  • 端末登録ルールの作成
    これから作成する端末登録ルールで、ADまたはAzure ADのユーザーグループを、1つのMobiControlの端末グループにマッピング(紐づけ)します。

    MobiControlサーバに登録しようとしてアクセスしたエンドポイントPCは、AD認証をすることによって、ADまたはAzure ADのユーザーグループをMobiControlサーバに申告します。
    MobiControlサーバは、エンドポイント・ユーザのADでのユーザーグループを把握します。
    MobiControlサーバは、 そのユーザーグループにマッピングされている端末グループに、当該エンドポイントを登録します。

    「ユーザーグループに基づく登録」を実施するには、 ADまたはAzure ADのユーザーグループと、MobiControlの端末グループが、(図1)のように、1対1 に対応している必要があります。

    1つのユーザーグループに対応する端末グループが、(図2)のように複数あると、MobiControlは、どの端末グループに登録するべきか 判断できなくなります。
    もし、ユーザーグループと端末グループの関係が(図2)の場合は、1つの端末グループのみを、暫定的にマッピングしておきます。 そして、登録が終わってから、該当の端末を、他の端末グループに移動させます。 端末の移動の方法については、「端末を他の端末グループへ移動」のページを参照ください。

    ユーザーグループに基づく登録の場合は、1つの端末登録ルールを作成すれば、原則的に、全てのエンドポイントPCの登録に適用できます。 1つの端末登録ルールで、(図1)のように、複数の「ユーザーグループ」と「端末グループ」の組み合わせを指定できるからです。

サブドメインにenterpriseenrollmentを登録

エンドポイントPCユーザのADにおけるメールアドレスが、仮に、xxxxxxx@nippon.co.jp なら、 DNSサーバに、nipponの次のレベルのドメイン名として、enterpriseenrollmentを登録し、そのIPアドレスに MobiControlサーバのIPアドレスを紐付けします。
登 録 例
a.PCユーザのADでのメールアドレスxxxxxxx@nippon.co.jp
b.MobiControlサーバのURLv14.mobicontrol.nippon.co.jp
c.次のレベルのサブドメイン名enterpriseenrollment.nippon.co.jp
上記のドメインに、b. のMobiControlサーバのIPアドレスを紐付けします。
 
c. をDNSに登録しておくと、エンドポイントPCユーザがMobiControlに登録する際、MobiControlサーバのURLの入力が不要になります。  
Windows Modernの登録を参照ください。

3. 証明書ベースでの登録の事前準備

証明書ベースの登録をする場合の、端末登録ルールを作成するには、事前に、自己署名証明書(SSL証明書)を作成しておきます。 この証明書のファイルを、MobiControlサーバにアップロードします。
自己署名証明書の作成方法は、「Windows証明書ベースの登録」の「3. 自己署名証明書を作成」の項を参照ください。

4. 端末登録ルール設定画面の表示


Windows PCのためのルールの種類一覧を表示します。 表示の方法は、Windows PC:ルールを作成を参照ください。
ここでは、上辺で、「Windows Modern」を選択します。 「端末の登録」を右クリックすると、「端末登録ルールの作成」の文字列が表示されます。 これをクリックすると、(図4)の端末登録ルールの設定ダイアログが現れます。

5. ルール名の入力

(図4) 

 
赤い背景色の部分に、ルール内容を連想しやすい文字列を入力します。 
「次へ」のボタンを押すと、(図5)が画面が遷移します。 

6. エンドポイントの登録方法の選択

(図5) 

Windows Modernの2つの登録方法の選択画面が現れます。
下記のをクリックください。
説明を開いた状態
説明を閉じた状態

7. ユーザーグループメンバーシップに基づく登録

  • 7-1. ユーザーグループと端末グループのマッピング

    (図5)で、「ユーザーグループメンバーシップに基づく」を選択すると、(図6)に遷移します。

    (図6)

    • 右端をプルダウンすると、「ディレクトリサービス接続プロファイル」の名前のリストが表示されます。
      適用しようとする接続プロファイルの名前を選択します。(図6)の「AD_Link」は、接続プロファイル名のサンプルです。
    • ADのユーザーグループの名前を入力してから、右端の「Add」を押します。
      ユーザーグループの名前の文字列全てを入力する替わりに、最初の4文字を入力してから「Add」を押すと、候補となるグループ名が表示されます。
      MobiControlサーバからADサーバまで、問い合わせをしますから、表示されるまで、時間がかかります。
    欄で入力した ADのユーザー グループの名前は、(図7)の欄に表示されます。 (図7)のの「Sales T3」は、ADのユーザーグループ名のサンプルです。

    (図7)

    (図7)で、ADのユーザーグループにマッピングするMobiControlの端末グループを選択します。
    (図7)の欄の右端をプルダウンすると、(図8)のように MobiControlの端末グループが階層構造で表示されます。

    (図8)

    (図8)の欄で、MobiControlの端末グループを選択すると、(図9)のように画面が遷移します。

    (図9)

    (図9)は、ADの「Sales T2」という名前のユーザーグループが、MobiControlの端末グループである「営業第2部」にマッピングしていることを意味します。 ADの「Sales T2」のメンバーの端末は、MobiControlの端末グループ「営業第2部」に登録されます。
    同時に、構成プロファイルが、ADのユーザーグループ「Sales T2」に割り当てられたら、それは、MobiControlの端末グループ「営業第2部」の端末に 展開されます。

    追加的に、ADの他のユーザーグループのマッピングを行います。(図6)ので、再度、 ADの他のユーザーグループの名前を入力してから、右端の「Add」を押します。
    以下、(図7)と(図8)と同じ作業をします。
    こうして、ADの複数のユーザーグループを、MobiControlの端末グループへマッピングできます。これで1つの端末登録ルールしか作成しないのにかかわらず、 登録しようとする全てのエンドポイントPCを、MobiControlの、各々のマッピングされた端末グループに振り分け登録されます。

    複数のユーザーグループのマッピングをした後に、そのどれかを削除したいときがあります。 その際は、該当するユーザーグループを選択してから、(図9)の左下の「削除」ボタンを押します。

    (図9)での作業が終われば、「次へ」を押します。「次へ」を押すと、(図10)に画面遷移します。

    7-2. SSL(TLS)通信に関する証明書

    (図10)

    端末とMobiControlサーバとの間のSSL(TLS)通信に使う証明書を規定します。 MobiControl内部CAを使う場合は、「次へ」を押します。「次へ」を押すと、(図11)に画面遷移します。

    7-3. 利用規約ファイルの指定

    (図11) 

    登録するときに、従業員に「MobiControlの利用規約」への同意を求める場合は、左上のチェックボックスに チェックを入れ、利用規約ファイルを指定します。  
    登録時のプロセスでに、PCユーザは利用規約への同意のチェックを入れないと、登録はできなくなります。  
    チェックを入れないでおくと、利用規約の画面は、エンドポイントPCには表示されません。

    別途、テキスト形式かHTML型式で利用規約文を作成しておきます。「管理」ボタンを押すと、(図12)がポップアップします。

    (図12) 

    新規に利用規約ファイルを登録するには、「追加」を押します。(図13)が現われます。

    (図13) 

    利用規約の名前を入力します。利用規約本文は、予め作成しておき、コンソールコンピュータ内に保存しておきます。 ソース欄の右の「参照」を押すと、コンソールコンピュータのExploreが開きますので、保存先フォルダを検索し、該当ファイルを クリックします。利用規約本文は、テキスト形式か、HTML形式で記述します。

    (図13)での入力が終わると「OK」を押します。(図12)に、(図13)で入力した「名前」がリストの一つとして表示されます。「閉じる」を押します。
    (図11)をプルダウンすると、利用規約ファイルの名前一覧が表示されるので、該当ファイルを選択します。
    そして「次へ」を押します。画面は、(図18)に遷移します。

8. 証明書に基づく登録

  • 8-1. 証明書のアップロード

    (図5)で、「証明書に基づく登録」を選択すると、画面は(図14)に遷移します。

    (図14) 

    (図14)の「新規」ボタンを押すと、(図15)がポップアップします。

    (図15)


    (図15)の赤矢印部分をクリックすると、コンソールのExploreが開きます。
    証明書ベースの登録」の 「3. 自己署名証明書を作成」で得た 証明書を保存したフォルダから、該当の証明書( .cer)を選択し、MobiControlにアップロードします。
    (図15)の赤背景の欄に、証明書のファイル名が表示されます。「OK」ボタンを押します。

    (図16)


    (図15)で、「OK」を押すと、(図14)に戻ります。(図16)は、その再掲です。
    (図16)の赤矢印部分をプルダウンすると、MobiControlにアップロードしてある 証明書のリストが表示されます。
    その中から、(図15)で、アップロードした証明書のファイル名を選択します。
    (図16)では、 続けて、エンドポイントPCの登録先となる端末グループを選択します。
    選択が終わったら、「次へ」を押します。(図17)が現れます。

    8-2. SSL(TLS)通信に関する証明書

    (図17)

    端末とMobiControlサーバとの間のSSL(TLS)通信に使う証明書を規定します。 MobiControl内部CAを使う場合は、「次へ」を押します。「次へ」を押すと、(図18)に画面遷移します。

9. エンドポイントの名前の決め方を指定

(図11)または(図17)で「次へ」を押すと、(図18)に画面遷移します。 
MobiControlでは、エンドポイントに名前をつけて、コンソールに表示し管理を行います。 そのエンドポイントに一意性のある名前をつけます。
 

(図18) 

 
(図18)の %AUTONUM% はマクロです。このマクロは、連番マクロです。 登録されていった順番に、4桁の整数を付番します。(図18)のままで「次へ」を押すと、 最初に登録されたPCの名前は、「Windows 0001」と表記されます。 
次ぎに登録された PCは、「Windows 0002」と表記されます。

 

この他にも多くのマクロが用意されています。右側のギアボタンを選択すると、 (図19)のようにマクロのリストが表示されますので、それを選択することも可能です。  

(図19) 

 
(図20)は、「連番= %AUTONUM% 」の後に、「登録時のユーザの名前=ENROLLEDUSER_USERNAME%」が表示されるように指定した例です。

(図20) 

10. 端末登録ルールの概要の確認

(図20)で「次へ」を押すと、(図21)が現われます。(図21)は、(図5)で、「ユーザーグループメンバーシップに基づく」を選択した場合の 設定結果です、

(図21) 

(図22)は、(図5)で、「証明書に基づく登録」を選択した場合の 設定結果です、

(図22) 

(図21)または(図22)の設定内容でよければ、「終了」ボタンを押します。これで、端末登録ルールの作成は終りです。 もし、修正したいときは「戻る」ボタンを押すと、前の画面にもどります。

11. オプション設定

端末登録ルールの作成は、(図21)または(図22)で完了しましたが、追加的な条件をつけることができます。  
(図21)または(図22)の右下の「詳細設定」を押すと、(図23)が現われます。

(図23) 

11-1. 適用期間の設定

オプションとして、端末登録ルールの適用期間を設定します。例えば、
  • MobiControlの社内展開日がまだ先の場合は、開始日時を設定できます。
  • 端末の登録終了日を設定する場合、その日時を入力します。
    この終了日で登録は終ります。この日以降、この登録IDでの登録はできなくなります。
    しかし、登録済の端末によるMobiControlの利用は継続します。

11-2. 再登録時の復帰オプションなど

(図23)の下段の項目を説明します。
項目の文字列説  明
ルールの適用チェックを外すと、端末登録ルールは存在しても、対象の端末グループへの新規登録は拒否します
再登録時に元の端末グループに所属させる 端末が所属する端末グループを移動させることがあります。その上で、 端末側でMobiControl登録を一度解除し、前回登録時と同じ登録ルールを適用して、再度、登録することがあります。
  • ここにチェックを入れておくと、端末は、登録解除直前の端末グループに復帰して、再登録されます。
  • チェックを入れておかないと、端末は、登録ルールで指定した端末グループ、つまり(図8)または、(図14)で指定した端末グループに、再登録されます。
端末は、コンソールにより、 他の端末グループに移動させることができます。 また、端末は、アラートルールの発動で 端末グループを移動させられることもあります。
再登録で端末名を保持 端末側でMobiControl登録を一度解除し、再度、登録することがあります。その場合、ここにチェックを入れておくと、 登録解除前の端末名で、再登録されます。
パスワードをキャッシュに入れる AD_DS(Active Directory Domain Service)で本人認証をして、端末を登録するとします。 その場合、登録作業中の10分間に限り、ADのパスワードをサーバにキャッシュ保存します。
AD_DSの認証を必要とする、WiFi、VPN、またはEメールの登録に関する構成プロファイルが、すでに 当該端末グループに割り当てられているとします。その構成プロファイルには、パスワード入りで 端末に配布されます。従って、端末が、WiFi、VPN、またはEメールを利用とするときに、 AD_DSのパスワード入力画面がポップアップしません。
SHA-1クライアント証明の配布を強制 MobiControl v14.x は、サーバと端末との間の暗号化通信プロトコルに、SHA-2 による TLS1.2 を採用しています。 端末がSHA-2をサポートしてない場合に、ここにチェックを入れます。

11-3. 端末登録時に端末のOSのバージョンを指定

(図23)の「ルールフィルタ」の新規ボタンをドロップダウンします。 この中の「デバイスプロパティ・フィルタの追加」を選択します。

(図24)

登録する端末のOSのバージョンを指定します。不等号記号を使って、指定のバージョンより上とか下を指定できます。

12. 端末登録ルールの編集

(図25) 
端末登録ルールを作成の後、左側ペインの「端末登録」をクリックすると、作成した端末登録ルール名が展開して表示されます。  
これを右クリックすると、(図25)のようにメニューが現われます。
この中の「ルールの編集」を選択すると、作成した端末登録ルールの修正ができます。