2020/9/24
ここでは様々な「種類の異なる設定」を一括で端末に適用できる
「遠隔設定フィーチャーセット」をご紹介します。
※今回はバージョン2(既存のUI)のものを基準にご案内しております。
※リリースの状況により、実際の画面・内容と異なる可能性がございます。
この記事で紹介する項目
①「遠隔設定フィーチャーセット」とは
②Windowsで利用できる遠隔設定
③「遠隔設定フィーチャーセット」の作成と適用の流れ
④「遠隔設定フィーチャーセット」の内容を変更して適用する流れ
「遠隔設定フィーチャーセット」とは「エージェント方式」で使用できる機能で、
「Wi-Fi設定」や「パスワード強制化」等の各種「遠隔設定」、カメラ使用禁止等の「デバイス利用制限」といった
異なる種類の設定や制限を「フィーチャーセット」という1つの箱にまとめることで
一度の操作、設定で一気に端末へ適用できる設定です。
Windowsは各種「遠隔設定」、「デバイス利用制限」単位で端末に設定を適用できますが、
頻繁に変更される設定でなければ「遠隔設定フィーチャーセット」にまとめておくと、
「グループ管理」の「グループに適用するフィーチャーセット」で、
(登録やグループ移動に伴う)端末への設定適用を自動化できるようになるため、おすすめです。
※「Open MDM方式」では「フィーチャーセット」はご利用いただけません。
「遠隔設定」単位でのみ適用することができます。
現在端末が、どの方式で登録されているか不明な場合は下記をご参照ください。
【Windows】利用できる機能を決める「MDM方式」と「アクティベーション方法」について
https://inventit.zendesk.com/hc/ja/articles/900000449186
参照箇所:「MDM方式」について
※ご契約プラン(端末に割り当てているサービスプラン)に「Entry」と含まれるプランでは
「遠隔設定フィーチャーセット」内の設定項目はご利用いただけません。
また、「Basic」と含まれるプランは「遠隔設定フィーチャーセット」で設定できる項目のうち、
「デバイス利用制限」がご利用いただけません。
 |
作成した「遠隔設定フィーチャーセット」は、端末のアクティベーション時に自動で適用処理を行うことができます。
【便利機能紹介1】端末登録後の各種設定の適用を自動化
https://inventit.zendesk.com/hc/ja/articles/900000283266
参照箇所:②フィーチャーセット・監視ポリシー適用の自動化
※「遠隔設定フィーチャーセット」は
セキュリティ上の観点から編集できないようになっています。
また、「遠隔設定フィーチャーセット」で端末に設定を適用している場合と
各種「遠隔設定」や「デバイス利用制限」で端末に設定を適用している場合のどちらも
変更した内容を適用させるには、端末に再度適用し直す必要があります。
※フィーチャーセットの場合、中に組み込んでいる各「遠隔設定」自体は編集できますが、
「遠隔設定」の内容自体を変更しただけでは、端末に反映されません。
一度フィーチャーセットをコピーし、編集した「遠隔設定」を選択し直した上で
再度端末にコピーした「遠隔設定フィーチャーセット」を適用させる必要があります。
(グループ管理で設定している場合も、選択し直し更新する必要があります)
詳しくは「④「遠隔設定フィーチャーセット」の内容を変更して適用する流れ」をご確認ください。
各種「遠隔設定」や「デバイス利用制限」単位で適用している場合は、
編集、更新したものを再度適用する流れとなります。
「遠隔設定」の作成についてのマニュアル箇所
対象マニュアル:Windows端末向け(UIバージョン2または3)>
「操作マニュアル Open MDM編」または「操作マニュアル Windows端末エージェント方式編」
マニュアル対象目次:「端末に制限や設定を適用する」
Windowsで利用できる遠隔設定は下記の通りです。
フィーチャーセットに組み込んで適用する場合は、必要な遠隔設定を作成しておき、
「遠隔設定フィーチャーセット」にまとめ、端末に適用するイメージとなります。
※「デバイス利用制限設定」はご契約プランが「Entry」と「Basic」は利用不可。
そのほかはご契約プランが「Entry」だと利用不可となります。
-----------------------------------------------------
②-1.ローカルセキュリティポリシー設定(両方の方式に対応)
②-2.デバイス利用制限設定(エージェント方式のみ)
②-3.WLAN設定(エージェント方式のみ)
②-4.VPN設定(エージェント方式のみ)
②-5.グローバルHTTPプロキシ(エージェント方式のみ)
②-6.WIP設定(Open MDM方式のみ)
-----------------------------------------------------
画面ロックのパスワード設定強制化、パスワード文字数、使用文字などを設定できます。
最低限のセキュリティとして、「パスワードポリシーを強制する」がよく使われます。
対象マニュアル:Windows端末向け(UIバージョン2または3)>
「操作マニュアル Open MDM編」または「操作マニュアル Windows端末エージェント方式編」
マニュアル対象目次:「ローカルセキュリティポリシー」
端末のカメラ、Bluetooth、外部メモリ、USBデバイス制限の他、
指定のSSIDにのみ接続などを設定できます。
※USBデバイス制限は下記以外のUSBデバイスが制限されます。
・キーボード、マウスなどの入力用デバイス
・USBハブ
・PCに搭載(内蔵)されたUSBカメラ・Bluetooth等
部分的にUSBデバイスの利用を認める場合は「USBデバイスホワイトリスト」に
「デバイスインスタンスパス」で指定します。
 |
業務、作業に不要な機能などは制限しておくと、セキュリティリスクを軽減できますが
制限しすぎると業務、作業効率が落ちてしまうため、バランスを見ながら運用することが重要です。
対象マニュアル:Windows端末向け(UIバージョン2または3)>「操作マニュアル Windows端末エージェント方式編」
マニュアル対象目次:「デバイス利用制限」
Wi-Fiに接続する際のSSID、パスワードを設定します。
Wi-Fi設定を一括反映できるため、端末側で一台ずつWi-Fi設定をする必要がなくなり便利です。
※設定の適用には端末がネットワークに繋がっている必要があります。
対象マニュアル:Windows端末向け(UIバージョン2または3)>「操作マニュアル Windows端末エージェント方式編」
マニュアル対象目次:「WLAN設定」
「デバイス利用制限」の「指定のSSIDにのみ接続」と組み合わせることで
指定以外のWi-Fiに繋げなくする設定も可能になり、リスクの高い公衆無線LANの利用などを制限できます。
※Windows端末では、遠隔設定フィーチャーセットにて複数のWLAN設定を適用することはできません。
複数設定した場合は最後のWLAN設定のみが適用されます。
グループに「設定するフィーチャーセット」に複数の機能が含まれる場合には、
いずれか1つの機能のみ設定が適用されます。優先順位についてはWLAN、VPNの順になります。
VPN接続する際の認証情報を設定します。
テレワーク環境下などでは通信回線の安全度を上げるために、VPN接続して通信することが重要になります。
VPN環境がある場合は、なるべく設定することを推奨します。(既に端末側で設定されていれば不要)
対象マニュアル:Windows端末向け(UIバージョン2または3)>「操作マニュアル Windows端末エージェント方式編」
マニュアル対象目次:「VPN設定」
VPN接続は、接続したい拠点(本社・オフィスなど)に専用のルーターを設けて、公衆回線を利用して相互通信を行います。
この際に、トンネリング・暗号化・承認などを設定できるので、
外部からは通信の内容が読み取れないように通信網が構築される仕組みです。
そのため、VPNを利用すると通信内容を盗み見されたり、データを改ざんされたり等のセキュリティリスクが減少します。
※Windows端末では、遠隔設定フィーチャーセットにて複数のVPN設定を適用することはできません。
複数設定した場合は最後のVPN設定のみが適用されます。
グループに「設定するフィーチャーセット」に複数の機能が含まれる場合には、
いずれか1つの機能のみ設定が適用されます。優先順位についてはWLAN、VPNの順になります。
インターネットに接続する際に必ず所定のプロキシサーバーを
経由するよう設定することが可能です。
対象マニュアル:Windows端末向け(UIバージョン2または3)>「操作マニュアル Windows端末エージェント方式編」
マニュアル対象目次:「グローバルHTTPプロキシ設定」
プロキシサーバーを利用することで「匿名でのアクセス」が可能になり、
使用しているIPアドレス、ブラウザやアプリケーション情報などを解析され、
セキュリティの甘い脆弱なものを使用していた場合に、攻撃のターゲットになるリスクを軽減できます。
ただし特性上、通信速度が大幅に低下することがあります。
WIP (Windows Information Protection) 機能とは、
Windows PC内に業務用のアプリやデータを「監視対象」として指定し、分割保護する機能です。
WIPで監視対象に指定したアプリとデータは、自動的に暗号化保護され、個人用アプリからのアクセスを禁止したり、
データのテキストをコピー&ペーストして個人用アプリに情報を持ち出すことなどを禁止できます。
対象マニュアル:Windows端末向け(UIバージョン2または3)>「操作マニュアル Open MDM編」
マニュアル対象目次:「WIP設定」
大まかな流れとしては下記となります。
-----------------------------------------------------
③-1.設定を解除するための「遠隔設定フィーチャーセット」を作成※事前準備
③-2.「遠隔設定フィーチャーセット」に詰め込む各種「遠隔設定」の作成
③-3.作成した各種「遠隔設定」を「遠隔設定フィーチャーセット」に詰め込む
③-4.作成した「遠隔設定フィーチャーセット」を端末に適用
-----------------------------------------------------
③-1.設定を解除するための「遠隔設定フィーチャーセット」を作成※事前準備
Windows端末に適用した「遠隔設定フィーチャーセット」の設定をすべて解除する場合、
各遠隔設定(デバイス利用制限)に何も設定値を入れない、設定名だけの「空の遠隔設定」を
「遠隔設定フィーチャーセット」に組み込み、適用する流れとなります。
また部分的な解除を行う場合、基本的には新しい
「遠隔設定フィーチャーセット」を適用すれば上書きされますが
例えば下記のように、各遠隔設定そのものを解除する場合は、上書きする「遠隔設定フィーチャーセット」内に、
何も設定値を入れない、遠隔設定名だけの「空の遠隔設定」を組み込む必要があります。
・「デバイス利用制限」で制限をかけていたが、「デバイス利用制限」そのものを解除したい。
・「ローカルセキュリティポリシー」を使用していたが、一度「ローカルセキュリティポリシー」自体を解除する必要がある。
「空の遠隔設定」の作成方法は後述の
「③-2.「遠隔設定フィーチャーセット」に詰め込む各種「遠隔設定」の作成」をご参照ください。
※「遠隔設定」や「デバイス利用制限」単位で適用していた場合は、
それぞれの空の「遠隔設定」や「デバイス利用制限」を適用して解除します。
「Open MDM方式」はこの方法で解除します。
③-2.「遠隔設定フィーチャーセット」に詰め込む各種「遠隔設定」の作成
手順:
1.サイドナビの「遠隔設定メニュー」>「フィーチャーセット作成」を選択します。
2.設定を作成したいグループを選択します。※グループごとに作成できます。
3.プルダウンリストから新規作成する設定の種類を選択します。
※プルダウンリストの「遠隔設定フィーチャーセット」は③-2で、遠隔設定を詰め込む際に使用します。
4.「新規登録」ボタンをクリックします。
※入力する項目については②でご案内しているマニュアルをご参照ください。
5.必要情報を入力、または選択して「登録」ボタンをクリックします。
上記を「WLAN設定」や「デバイス利用制限設定」など必要な遠隔設定分、作成しておきます。
 |
対象マニュアル:Windows端末向け(UIバージョン2または3)>
「操作マニュアル Open MDM編」または「操作マニュアル Windows端末エージェント方式編」
マニュアル対象目次:「各種遠隔設定を新規作成する」
③-3.作成した各種「遠隔設定」を「遠隔設定フィーチャーセット」に詰め込む
※「遠隔設定」や「デバイス利用制限」単位で、個別に適用させる場合は不要です。
手順:
1.サイドナビの「遠隔設定メニュー」>「フィーチャーセット作成」を選択します。
2.プルダウンリストが「遠隔設定フィーチャーセット」になっていることを確認します。
3.「新規登録」ボタンをクリックします。
4.「設定データ名」に管理しやすい名称を入力し、各項目で③-2で作成した設定を選択し「登録」を選択します。
※画像では「ローカルセキュリティポリシー」、「デバイス利用制限」、
「ブックマーク設定※Windows非対応」を組み込んでいます。
 |
※エージェント方式
対象マニュアル:Windows端末向け(UIバージョン2または3)>「操作マニュアル Windows端末エージェント方式編」
マニュアル対象目次:「フィーチャーセットの作成、削除」
③-4. 作成した「遠隔設定フィーチャーセット」を端末に適用
※「遠隔設定フィーチャーセット」を作成したら、動作確認用端末などに先に適用させ、
事前に動作を確認しておくことを推奨します。
動作確認用のグループを作成する場合、下記をご参照ください。
【ステップ4】(OS共通)動作確認やキッティング効率化、グループごとの権限設定に便利な「グループ管理」
https://inventit.zendesk.com/hc/ja/articles/900001843603
通常の適用手順
1.サイドナビの「遠隔設定メニュー」>「フィーチャーセット適用」を選択します。
2.フィーチャーセットを適用したい端末が登録されているグループを選択します。
3.プルダウンリストより「遠隔設定フィーチャーセット」を選択します。
※「遠隔設定」や「デバイス利用制限」を選択すれば、
「遠隔設定」や「デバイス利用制限」単位で適用させることができます。
4.端末の指定方法を「端末指定」または「グループ一括」より選択します。
5.フィーチャーセットを適用する端末にチェックします。
6.適用したいフィーチャーセットにチェックします。
※右側には、選択した端末またはフィーチャーセットの詳細が表示されます。
7.サイレント方式、タップ方式については選択不要です(iOS用の項目)。
8.予約実行する場合はカレンダーボタンより日時を選択します。
9.「遠隔設定フィーチャーセット要求確認」ボタンをクリックします。
 |
※「遠隔設定フィーチャーセット」を解除する場合は、③-1で作成した
解除用の「遠隔設定フィーチャーセット」を適用します。
個別で適用している「遠隔設定」や「デバイス利用制限」を解除する場合は
同様に個別で作成した解除用の「遠隔設定」や「デバイス利用制限」を適用します。
対象マニュアル:Windows端末向け(UIバージョン2または3)>
「操作マニュアル Open MDM編」または「操作マニュアル Windows端末エージェント方式編」
マニュアル対象目次:「遠隔設定を適用する」
手動で「遠隔設定フィーチャーセット」の適用処理を行うほか、「グループ管理」にて
「グループに適用するフィーチャーセット」に設定しておくことで
端末をそのグループへ「登録」もしくは移動させるだけで、自動で適用のジョブが動きます。
④「遠隔設定フィーチャーセット」の内容を変更して適用する流れ
適用中の「遠隔設定フィーチャーセット」の内容を
部分的に変更して適用したい場合は下記の流れとなります。
※個別で適用している「遠隔設定」や「デバイス利用制限」を変更したい場合は
下記④-1で用意した「遠隔設定」や「デバイス利用制限」を通常通り端末に適用すると
端末へ設定が上書きされます。
-----------------------------------------------------
④-1.変更したい「遠隔設定」や「デバイス利用制限」を編集、もしくは新しく作成
④-2.端末に適用している「遠隔設定フィーチャーセット」をコピー
④-3.変更、または作成した「遠隔設定」や「デバイス利用制限」を選択し直す
④-4.新しい「遠隔設定フィーチャーセット」を端末に適用
-----------------------------------------------------
※例として「ローカルセキュリティポリシー」の内容を変更する場合とします。
④-1.変更したい「遠隔設定」や「デバイス利用制限」を編集、もしくは新しく作成
ここでは「遠隔設定フィーチャーセット」に使われている「ローカルセキュリティポリシー」を編集
手順:
1.サイドナビの「遠隔設定メニュー」>「フィーチャーセット作成」を選択します。
2.編集したい設定が登録されているグループを選択します。
3.プルダウンリストから編集する設定の種類を選択します。
※ここではローカルセキュリティポリシーを選択します。
4.編集したい設定データ名をクリックします。
5.右側に表示された詳細画面にて「詳細」ボタンをクリックします。
 |
6.設定データ詳細画面にて「編集」ボタンをクリックします。
 |
7.設定内容を編集し、最下部の「更新」ボタンをクリックし編集を完了します。
④-2.端末に適用している「遠隔設定フィーチャーセット」をコピー
手順:
1.サイドナビの「遠隔設定メニュー」>「フィーチャーセット作成」を選択します。
2.コピーしたいフィーチャーセットが登録されているグループを選択します。
3.プルダウンより「遠隔設定フィーチャーセット」を選択します。
4.コピーしたいフィーチャーセット設定データにチェックします。
5.「グループ選択」ボタンよりフィーチャーセットのコピー先グループを選択します。
6.「設定データコピー」ボタンをクリックし、続いて④-3を行います。
 |
④-3.変更、または作成した「遠隔設定」や「デバイス利用制限」を選択し直す
手順:
1.「遠隔設定フィーチャーセット」の作成画面に移動するので、「設定データ名」に管理しやすい名称を入れ、
「ローカルセキュリティポリシー」の項目を一度「クリア」します。
 |
2.変更、または作成した「遠隔設定」や「デバイス利用制限」を選択し直す
※コピー時に選択されている「表示/隠す」となっている項目は、
「遠隔設定フィーチャーセット」作成時点の設定内容で固定されているため、
元の「遠隔設定」や「デバイス利用制限」を編集しても反映されません。
そのため、選択し直す必要があります。
3.変更、追加したい「遠隔設定」や「デバイス利用制限」を選択したら「登録」を選択します。
※対象の「遠隔設定」自体を外す場合は、下記の項を参照し、「空の遠隔設定」を組み込みます。
「③-1.設定を解除するための「遠隔設定フィーチャーセット」を作成※事前準備」
「遠隔設定フィーチャーセット」を「アカウント設定」>「グループ管理」>
「グループに適用するフィーチャーセット」 で設定している場合は
こちらを編集し、新しい「遠隔設定フィーチャーセット」に変更、更新します。
「グループに適用するフィーチャーセット」を使用していない場合は、
記事内の「③-4. 作成した「遠隔設定フィーチャーセット」を端末に適用」の流れにて適用を行います。
※「遠隔設定フィーチャーセット」内の「遠隔設定」や「デバイス利用制限」を編集しただけでは
端末に設定が反映されないため、必ず「遠隔設定フィーチャーセット」のコピー後に、
「遠隔設定」や「デバイス利用制限」を選択し直し、再度端末への適用を行う必要があります。
今回のご案内は以上となります。引き続きmobiconnectをよろしくお願いいたします。
mobiconnectカスタマーサポート
