MobiControlの設定順序

1.端末の管理方法、および端末の選定

Androidの管理は主に以下2パターンとなります。

①Android Enterprise(Full device management)

Google社が提供する汎用的な端末管理です。

Googleアカウントが付与できる端末(GMS認証機)であれば、ご利用可能です。

※MobiControl開発メーカーのSOTI社が認証していない端末は、十分なサポートが出来かねます。

　認証端末については、恐れ入りますがPOLサポートデスクまでお問い合わせください。

※主にFull device managementとWork profilesの2パターンとなりますが、Work profilesはBYOD向けで端末制御が限られているため、Full device managementを中心に説明します。

②Android Classic(旧Android Plus)

SOTI社と機器メーカーが協同で開発した端末管理です。

ご利用可能な機器につきましては、以下のリンク先より[Android Classic - OEM Specific Agents and Plugins]を選択してください。

https://docs.soti.net/mobicontrolagentdownloads/

(例)CASIO社の端末を確認する場合

Android EnterpriseとAndroid Classicの違いは以下です。

項目	Android Enterprise	Android Classic
対象OS	OS6以降	OS4.2～OS10まで ※GMS未認証機についてはOS11以降もサポート
端末登録方法	初期化が必須となり、Googleアカウント入力画面で「afw#mobicontrol」と入力、もしくはQRコードやNFCでの登録	初期化は不要でapk(実行ファイル)を実行
アプリ配信	サイレントでPlayストアからの配信、ならびにパッケージ配信が可能	サイレントでインストールやバージョンアップするにはパッケージ配信が必要
ブラウザ	Google Chromeの制御が可能専用ブラウザのSOTI Surfも利用可能	Google関連のアプリが制御できないため、管理する場合はSOTI Surfを利用
リモートコントロール	プラグインが存在しない端末に対しては、端末側でリモートコントロール許可をタッブする必要がある	大部分の端末でリモートコントロール可能

2.グループ（フォルダの作成）

端末管理を行うグループを作成します。

管理コンソールにログインします。

管理コンソールのURLやログインIDは、環境提供時のご利用案内をご参照ください。

管理コンソールにログイン後、[新しいグループ]をクリックします。

[新しいルートグループ]をクリックします。

任意のグループ名を入力、[作成]をクリックします。

ルートグループの下にグループを作成する場合は、該当のグループを右クリック-[グループの登録]をクリックします。

MobiControlサーバーに登録後、MobiControlに必要な端末操作がランチャー(専用画面)を適用されている場合には

操作不可となりますので、[キッティング]フォルダー(何も設定しないフォルダー)作成を推奨します。

3.端末登録ポリシーの作成（環境提供時に弊社で作成済）

端末登録ポリシーは管理コンソールにログイン後、画面左上の

から[ポリシー]をクリックします。

左ペインの[登録]を選択し、[新しい登録ポリシー]をクリックします。

Androidにカーソルを合わせ[Android Enterp…]をクリックします。

任意の[名前]や[説明]を入力、[Googleアカウントのタイプ]は[管理対象]を選択、

[管理されたエンタープライズアカウント]にチェックを入れ[次へ]をクリックします。

初期値[完全デバイス管理]にチェックが入った状態で[次へ]をクリックします。

本人認証は[いいえ]を選択します。

[はい]を選択しますと、端末登録時にパスワード入力を必須とする、もしくはActive Directory認証が選べます。

端末グループは端末登録先グループとなります。

前述しましたように、キッティンググループに登録などの運用を推奨します。

任意の端末グループを選択、[次へ]をクリックします。

詳細設定などを任意に変更、[終了]をクリックします。

設定値の詳細については表をご参照ください。

詳細設定
登録されたデバイス名	初期値はAndroidEnterprise %AUTONUM%となりますが、SIMが挿入された端末であれば電話番号など、登録時の端末名を変更できます。
再登録時に元の端末グループに所属させる	再登録時に端末は前回のグループに所属します。
再登録で端末名を保持	再登録時に前回の端末名で登録します。
SafetyNet認証が失敗してもデバイスを登録 *1	登録時のSafetyNetの保護を解除します。初期値はトグルOFFとなりますがONでお願いします。
デバイスに最新のプラグインを展開	登録時に、サーバー内にプラグインを保持する場合はインストールします。
詳細設定	本登録ポリシーの有効となる開始時期などが設定できます。
アクセス許可(許可しない場合のご案内となります)　*2
他のアプリの上に描画	ランチャー実行時に未実行アクションが表示され、ランチャーが使用できません。 Android10以上でAndroid エージェントがバックグラウンドで実行されている間、ポップアップがフォアグラウンドに表示されません。
システム設定の変更	システム設定の変更ができなくなり一切のスクリプトを受け付けません。
通知アクセス	ランチャー適用時におけるシステム、もしくはアプリによる通知不可となります。
利用アクセス権	ランチャーによるポーリング（定期的な監視）ができなくなり、アプリの使用履歴や詳細情報（レポート機能等で使われているデータやデバイス詳細のデータ）が収集できなくなります。
外部ストレージの管理	Android11以上でファイルシステムへアクセス不可となります。
利用規約
利用規約を有効化	端末登録時に規約を表示できます。
認証局
エージェント証明書のテンプレートを選択	変更いただかないようお願いします。

*1…トグルをONにしない場合、端末登録に失敗することがあります。

　　端末登録時のみの解除となりますので、トグルをONで設定ください。

*2…許可しない場合、様々な制限は発生しますので、すべて初期値のONで運用ください。

4つのアイコンが表示されますが、[Androidエージェントの登録ID]をクリックにて登録IDをご確認ください。

4.端末の登録

Android EnterpriseとしてMobiControlへの登録手順は以下3パターンとなります。

(a)ハッシュタグ(afw#mobicontrol)による登録(OS6以上)

(b)MobiControl Stage Programmerで作成したQRコードでの登録(OS7以上)

(c)MobiControl Stage ProgrammerからのNFC登録(OS5.1以上、かつNFC搭載必須)

※いずれの登録手順においてもMobiControlに登録する端末の初期化は必須です。

※MobiControl Stage ProgrammerはNFCが搭載された機器であれば、Playストアからインストール可能です。

※MobiControl Stage Programmerでの登録はSIM通信、ステルスのアクセスポイントには対応しておりません。

※MobiControl Stage Programmerインストール端末は、MobiControlへの登録は不要です。

(1)の手順に比べますと、(2)(3)は端末上でのWi-Fiの入力や登録ID入力の手間が省略されますが、ホーム画面に表示されるアプリケーションの数が機種ごとに異なりますので、お試しいただいた上でキッティング手順を決めてください。

(0)MobiControl Stage Programmer設定手順(ハッシュタグでの登録時には不要です)

Playストアから「MobiControl Stage Programmer」をインストールします。

「Stage Programmer」を起動し、以下の項目を入力します。

WiFi Configuration
Network name	任意のアクセスポイント名を入力します
Security Type	任意のセキュリティタイプを選択します
Device Details
Locate	[日本語(日本)]を選択します
Security Type	任意のセキュリティタイプを選択します
MobiControl Enrollment Details
Enrollment Server Address or ID	登録ID、もしくはサーバーIPアドレスを入力します

(a)ハッシュタグ(afw#mobicontrol)による登録

※端末によっては充電〇〇％以上、かつ電源ケーブル接続が必須となります。

※端末初期化後の画面遷移はSHARP SH-M12の例となります。

端末初期化後に以下の操作で進めます。

端末登録後に、MobiControlに必要な設定を行います。

※本設定はサーバーバージョン15以上では、登録ポリシーの初期値となります。

以下の操作で進めます。各設定画面は設定後にバックキーで戻ります。

以上で終了となります。

管理コンソール上で該当の端末名を確認します。

(b)MobiControl Stage Programmerで作成したQRコードでの登録

MobiControl Stage Programmerに必要な情報を入力し[QR CORD]をタップ、QRコードを表示します。

ようこそ画面の上の辺りを７回タップ、QRリーダーを起動後に用意したQRコードを読み取ります。

その後は以下の画面遷移で進めます

ハッシュタグでの登録と同様にMobiControlに必要な設定を行い、登録完了となります。

(c)MobiControl Stage ProgrammerからのNFC登録

※NFCが搭載されている機種であっても、読み込みエラーにより使用できない場合もあります。

QRコードでの登録と同様にMobiControl Stage Programmerに必要な情報を入力後。[NFC]をタップします

MobiControl Stage Programmer機と登録する端末のNFCを合わせます

以下はMobiControl Stage Programmerインストール端末の操作となります

NFCを検知後に画面をタップします

QRコードと同様に設定を進めます。

(ご参考)ハッシュタグとMobiControl Stage Programmerを使用した際のホーム画面(SHARP SH-M12)

ハッシュタグに比べ、QRコードを用いた登録方法は表示されるアプリが多い傾向にあります。

Mapがない場合は位置情報が取得できない場合も多く、キャリア特有のアプリが使用できない場合もあります。

ハッシュタグの場合

QRコード/NFC

5.プロファイルの作成

端末機能制限やランチャーはプロファイルで設定します。

プロファイルは管理コンソールにログイン後、画面左上の

から[プロファイル]をクリックします。

画面右上の [新しいプロファイル]をクリック、[Android]-[完全デバイス管理]をクリックします

全般タブに任意のプロファイル名を入力(必須)、任意のプロファイルの説明を入力、[構成]タブに移動後、画面右上の[＋]をクリックします。

設定可能なプロファイルは以下となります。

例として[ウィルス対策保護]プロファイルを適用します。

設定項目の説明は以下となります。

全般
アプリケーション監視	トグルON/OFF
感染したアプリケーションに対するアクション	隔離したアプリ/ファイル
	削除
	なし
ファイルのシステム監視	トグルON/OFF
感染したファイルに対する処置	隔離したアプリ/ファイル
	削除
	なし
デバイス上の検査場所	%SDCARD%Quarantine(初期値/変更可能)
ウィルスキャンのスケジュール	曜日指定、一定間隔などで設定可能
隔離フォルダーを空にするスケジュール	曜日指定、一定間隔などで設定可能
ウィルス対策ホワイトリスト
アプリケーションとファイル	ウィルス対策で除外するアプリケーション、またはファイルを設定します。 ※誤検知した場合はホワイトリストに登録が必須となります。
隔離したアプリ/ファイル
隔離されたアプリケーションとファイル	隔離されたアプリとファイルが表示されます。

任意の設定を行い、[保存]-[保存して割り当て]、任意のグループや端末を選択後に[割り当て]をクリックします。

割り当て画面右上の[オプション]では以下の設定が可能です。

設定後に[保存オプション]をクリックします。

インストール
インストール方法	自動
インストール方法	セルフサービス　*1
ネットワークの制限	LAN
	無線LAN
	携帯(なし/携帯/ローミング中の携帯電話)
最小バッテリーレベル	０~100
プロファイルのスケジュールされたアクション
割り当て日	次の更新スケジュールを割り当てる
割り当て日	カスタム(開始日と開始時間を設定)
無効日	開始日と開始時間を設定
失効日	開始日と開始時間を設定
カスタム展開スケジュール	月～金曜、月火水木金土日、で時間を指定

*1…セルフサービスを選択した際には、プロファイルのインストールを端末のMobiControlエージェントにて操作します。

プロファイル一覧画面では、以下のフィルターで表示できます。

設定項目	説明
ファミリ	AndroidやAppleなどOS種別を選択
フィルター	プロファイルの状態(ドラフト、割り当て済み、失効など)
サーチプロファイル名	部分一致で検索可能

作成したプロファイルは、該当プロファイルを選択後に画面下のメニューバー、もしくはプロファイルを開いた後に編集や削除が可能です。

編集

プロファイルの編集を行います。

クローン

プロファイルのコピーを作成します。

予期せぬ動作を避けるため、[割り当て条件]チェックを外してください。

アクセス許可の編集

プロファイルに対するアクセス許可を編集します。

割り当て

プロファイルの割り当てを行います。

インストールを再試行

プロファイルが「失敗した」、または「部分的にインストールされた」デバイスに対し再インストールを行います。

削除

すべてのデバイスに対しプロファイルが無効となり、プロファイル一覧からも削除されます。

失効

すべてのデバイスからプロファイルが削除され、新規デバイスには再割り当てするまで適用されません。プロファイル一覧には残ります。

無効化

新しいデバイスへ適用されません。プロファイル一覧には残ります。

プロファイルを選択した状態で以下が確認できます。

プロファイルの詳細設定

ステータスやプロファイル名、割り当てられたデバイス名などが確認できます。

割り当てられたデバイスのステータス(インストール済み、保留中など)は、○○をご参照ください。

構成

設定したプロファイル種別が確認できます。

パッケージ

パッケージ名一覧が確認できます。

イベントログ

該当プロファイルの割り当てや改訂日時が確認できます。

指定

対象グループが確認できます。

6.ポリシーの作成

アプリポリシー(Playストアからのアプリ配信)、ファイルの同期ポリシー(デバイスとMobiControlサーバーのファイルのアップロード/ダウンロード)などのポリシーを設定します。

設定可能なポリシーの設定は以下となります。

アプリ

アプリをPlayストア経由、apkをデバイスに配布します。

コンプライアンス

定義した基準に満たないデバイスに対して、電子メールの通知やメールアクセスをブロックします。

詳細につきましてはMobiControl開発元のSOTI社のHelpをご確認ください。

登録

デバイスをMobiControlサーバーへ登録する際の登録ポリシーを作成します。

ファイルの同期

デバイスとMobiControlサーバー間のファイルのアップロード/ダウンロードが行えます。

※Legacyの管理コンソール画面に遷移します。

シグナル

定義した条件を使用してデバイスの状態を追跡できます。

詳細につきましてはMobiControl開発元のSOTI社のHelpをご確認ください。

端末の移動

デバイスのIPアドレスや、指定したiniファイルやxmlの値を参照し、デバイスが所属しているグループを移動させます。

※Legacyの管理コンソール画面に遷移します。

データの収集

位置情報やバッテリーなどの情報を収集できます。

※Legacyの管理コンソール画面に遷移します。

アラート

端末の状態やジオフェンス(指定したエリア)の指定を満たした場合に、グループ移動や管理者へのメール通知などを行えます。

※Legacyの管理コンソール画面に遷移します。

通信管理費

設定した通話時間やデータを超えた場合、グループ移動や管理者へのメール通知などを行えます。

※Legacyの管理コンソール画面に遷移します。

作成は管理コンソールにログイン後、画面左上の

から[ポリシー]をクリックします。

画面左ペインで該当のポリシーを選択、画面右上の [新しい〇〇ポリシー]をクリック、[Android]-[完全デバイス管理]をクリックします。

例として端末登録ポリシーの作成につきましては、3.端末登録ポリシーの作成(環境提供時に弊社で作成済)をご参照ください。

7.パッケージの作成

デバイスへのアプリ配布は、主にアプリポリシー、パッケージによる配信の2パターンを用意しております。

配布するアプリや用途に応じてご選択ください。各々のメリット/デメリットは以下となります。

アプリポリシー

Playストア経由でのアプリ配信となります。

設定によっては、Playストアの仕様に準じますが設定によっては即時バージョンアップが可能です。

パッケージ配信

apkがある場合に、MCStudioアプリを使用したパッケージ化、もしくはapkファイルを直接MobiControlサーバーにアップロードで、プロファイルとして配信できます。アプリポリシーとは異なり、オンラインであれば即時バージョンアップ、プロファイルの設定によっては時間指定でバージョンアップが可能です。

パッケージは以下2パターンで作成できます。

apkを直接MobiControlサーバーにアップロード

apkがあれば容易にデバイスに配布が可能です。

版管理や以下のオプションは使用できません。

MCStudioでパッケージ化

版管理が可能であり、apk以外のファイルも配布可能です。

詳細については、パッケージ配信をご確認ください。