2020/11/16
ここではアプリの起動制限をはじめ、「デバイス利用制限」を端末側で解除されていないか
(OSの脆弱性をつき端末利用者側で制限を外した際の検知)、
SIMの抜き差しを行っていないか、指定以外のアプリをインストールしていないかの違反情報や、
端末の位置情報などの各情報を、一定間隔で自動で端末に確認する「監視ポリシー」についてご紹介します。
※今回はバージョン2(既存のUI)のものを基準にご案内しております。
※リリースの状況により、実際の画面・内容と異なる可能性がございます。
この記事で紹介する項目
①「監視ポリシー」とは
②「監視ポリシー」作成の流れと設定できる項目
③違反内容の確認方法
④「監視ポリシー」の適用と解除方法
⑤「監視ポリシー」の内容を変更して適用する流れ
「監視ポリシー」とは、指定した間隔(最短3時間ごと)で端末の状態を確認し、
あらかじめ「監視ポリシー」で設定した内容と差異があった場合や、特定の状態の時に、
アラートをホーム画面に「違反」として表示させるほか、管理者にメールで知らせたり、直接アプリの起動制限を行う機能です。
ホーム画面での「違反表示」※記録は3ヶ月まで保持、CSVでの出力可能
 |
違反通知があった端末番号をクリックし「端末監視状況」タブを選択すると、
「端末状態設定」、「アプリインストール状態」、「位置情報」、「SIM状態」で
それぞれの違反状況を確認できます。
※写真は「端末状態設定」のもの。左が「監視ポリシー」で設定した「期待値」、右が実際の端末の状態。
「端末状態設定」はフィーチャーセットの「デバイス利用制限」と「監視ポリシー」の設定に差異があった場合も違反となります。
 |
メールでの「違反通知」※画像は違反した端末情報とアプリで違反があった旨の通知
 |
「監視ポリシー」で端末への監視が実行されるタイミングは、
3時間、6時間、9時間、12時間、または日数で指定できるほか、
「監視ポリシー」を適用した時点でも監視が実行されます。
(差分を検知した場合に管理者へ通知する機能であり、アプリ以外は端末側での設定を強制する機能ではありません。)
※ご契約プラン(端末に割り当てているサービスプラン)に「Entry」または
「Basic」と含まれるプランでは「監視ポリシー」はご利用いただけません。
またアプリの起動制限は、端末が「監視モード※監視対象」である必要があります。
「監視モード※監視対象」について不明の場合は下記項目をご確認ください
https://inventit.zendesk.com/hc/ja/articles/900000422066
参照箇所:②「監視モード」について
※当記時の「監視ポリシー」と「監視モード※監視対象」は別のものになります。
監視ポリシー:mobiconnectが端末の状態を定期的に確認しに行く機能。
監視モード※監視対象:iOSのMDM機能を最大限に利用するために、Apple社が用意した設定。
主にアクティベーション方法で決まります。
また、セキュリティの都合上、端末に1台でも適用している「監視ポリシー」は「編集」ができません。
一度「監視ポリシー」をコピーし、編集した内容で新しく「監視ポリシー」を作成した上で、
再度「監視ポリシー」を上書きで適用させる必要があります。
(グループ管理で設定している場合も、選択し直し更新する必要があります)
詳しくは当記事の「④「監視ポリシー」の内容を変更して適用する流れ」をご確認ください。
作成した「監視ポリシー」は、管理画面から都度適用させるほか、
端末のアクティベーション時に自動で適用処理を行うことができます。
【便利機能紹介1】端末登録後の各種設定の適用を自動化
https://inventit.zendesk.com/hc/ja/articles/900000283266
参照箇所:②フィーチャーセット・監視ポリシー適用の自動化
「監視ポリシー」についてのマニュアル箇所
対象マニュアル:iOS端末向け(UIバージョン2または3)>「操作マニュアル Apple iOS編」
マニュアル対象目次:「遠隔監視」
「監視ポリシー」の作成手順:
1.サイドナビの「遠隔設定メニュー」>「監視ポリシー作成」を選択します。
2.「新規登録」を選択します。
※この画面で作成済みの「監視ポリシー」をコピーしたり、
端末に適用していなければ、「監視ポリシー」を選び「詳細」より編集や削除が行えます。
 |
3.「遠隔監視ポリシー名」を入力します。
4.設定したい項目のスイッチをONにし、必要情報を選択後「登録」を選択します。
※各項目については後述
 |
 |
スケジュールでは監視の間隔を最短3時間から、
いつまで監視するかを指定できます。※通常は「ずっと」
iOSの「監視ポリシー」に組み込める項目は下記の通りです。
-----------------------------------------------------
②-1.端末設定状態の監視
②-2.アプリインストール状態の監視(アプリ起動制限は監視対象のみ)
②-3.位置情報の監視(Apple MDM以外)
②-4.SIM交換の監視
-----------------------------------------------------
「遠隔設定フィーチャーセット」にて端末に設定した「デバイス利用制限」が、
端末利用者側で解除されていないかを「端末設定状況の監視」で「同じ」内容にすることで、
端末側で変更された際に、差分として確認できるようになります。
また、OSバージョンも監視の対象にできるため、指定のバージョンからアップデートしてしまった。
または指定のOSバージョンへの、アップデートが完了していない端末を検知することができます。
マニュアル対象目次:「端末設定状況の監視」
※「端末設定状態の監視」は端末に直接制限を行う機能ではなく、監視のタイミング(最短3時間毎)で端末の設定が、
「端末設定状態の監視」で設定した内容の通りになっているか、を確認する機能です。
「デバイス利用制限」をご利用されていない場合、または、同じ設定内容になっていない場合、
大量の無意味な違反通知が表示されてしまい、本来の違反を見逃しやすくなる恐れがあります。
②-2.アプリインストール状態の監視(アプリ起動制限は監視対象のみ)
「アプリインストール状態の監視」では、あらかじめ管理者で設定したアプリのリストに対し、
端末にインストールされているアプリの情報と比較し、差分などがあった場合に、
管理者へ違反を通知することが可能です。
また「監視モード※監視対象」の端末であれば、直接違反アプリの起動制限
(ホームからアイコンが消える状態)することができます。
-----------------------------------------------------
②-2-1.使用できる監視方法
②-2-2.検知したアプリへのアクション
②-2-3.各リストのアプリの指定方法
-----------------------------------------------------
②-2-1.使用できる監視方法(「必須リスト」は「ホワイトリスト」、「ブラックリスト」と併用可能)
「ホワイトリスト」:指定外のアプリのインストールを検知
※端末に最初からインストールされている「標準アプリ」や「WEBクリップ」なども
使用を許可する場合は指定する必要があります。
ブラックリスト:指定したアプリのインストールを検知
必須リスト:指定したアプリがインストールされていないと検知
※アプリ自動配信を行う場合は、配信したいアプリをこの「必須リスト」で指定します。
②-2-2.検知したアプリへのアクション(「必須リスト」はアラームのみ、そのほかは2つ同時に選択できます)
※②-2-1で選択した監視方法を適用するには、必ずチェックを入れる必要があります。
アラームを通知する:mobiconnect管理画面での違反表示、管理者へメールで通知
アプリの実行を禁止する※監視対象のみ:
端末のホームにアプリのアイコンが表示されなくなり、起動ができない状態に
テキストで指定する:mobiAppsがご利用できない場合、アプリ情報を改行形式で指定して設定します。
※すでに端末にインストールされているアプリの情報は
「端末情報」より「端末詳細」>「端末アプリ状況」から、コピーすることが可能です。
また、標準アプリやwebクリップについては「上記リストに●●を追加する」より追加します。
 |
ホワイトリスト・ブラックリストの指定
 |
標準アプリやwebクリップの追加
 |
mobiAppsのアプリリストより指定する※要mobiApps:
事前に作成した「アプリリスト」を選択することで指定できます。
また、元のアプリリストを更新すれば、対象の監視ポリシー適用中の端末にも適用されます。
 |
対象マニュアル:その他(UIバージョン2または3)>「操作マニュアル mobiApps編」
マニュアル対象目次:「アプリリスト管理」
mobiAppsのアプリリストグループより指定する※要mobiApps:
「アプリリスト」をさらにまとめた「アプリリストグループ」で選択することで指定できます。
また、元のアプリリストを更新すれば、対象の監視ポリシー適用中の端末にも適用されます。
対象マニュアル:その他(UIバージョン2または3)>「操作マニュアル mobiApps編」
マニュアル対象目次:「アプリリストグループを管理する」
対象マニュアル:iOS端末向け(UIバージョン2または3)>「操作マニュアル Apple iOS編」
マニュアル対象目次:「アプリインストール状態の監視」
端末にインストールされているクライアントアプリ(IVI MDMかHybrid MDM時に
インストールされるアプリ)を使用して、設定された周期に位置情報を取得します。
遠隔監視における位置情報取得では、クライアントアプリにPUSH通知は表示されません。
また、設定により「位置情報」が取得できなかった際に、
管理画面や管理者にアラートを出したり、再度位置情報取得を行う事ができます。
※位置情報を含む監視ポリシーの適用、解除、変更時にはPUSH通知のタップが必要です。
また、クライアントアプリがバックグラウンドで動作している必要があります。
バックグラウンドで動作とは、ホームボタンを二度押しし
マルチタスク画面にmobiconnectのクライアントアプリが表示されていることを指します。
そのほか主な位置情報取得の条件:
・端末の電源が入っており、アクティブなネットワークに接続されていること
・端末側「設定」>「プライバシー」>「位置情報サービス」がオンになっていること
・端末側「設定」>「プライバシー」>「位置情報サービス」>「MobiConnect」にて
「常に許可」や「許可」が選択されていること
※端末側「設定」>「一般」>「Appのバックグラウンド更新」にて、
項目がオフ、またはmobiconnectがオフ になっている場合は、
バックグラウンドにて情報を取得することはできません。
また下記設定で、位置情報が取得できなかった場合に、管理者へ通知、
端末利用者にPUSH通知などのアクションを設定することも可能です。
対象マニュアル:その他(UIバージョン2または3)>「操作マニュアル mobiApps編」
「遠隔監視にて位置情報が取得できなかった場合」
●「位置情報」が取得できなかった際にアラートを出したり再度、位置情報取得を行う設定
サイドナビ「アカウント設定」>「アカウント情報」の「iOS位置情報監視アラート設定」を有効にし、
「アラート通知/位置情報取得のタイミング」を設定。
「位置情報取得」にもチェックを入れれば、改めて位置情報取得を試みます。
 |
取得した位置情報の確認方法は下記をご参照ください。
https://inventit.zendesk.com/hc/ja/articles/900000436763
参照箇所:「②端末情報の確認方法(個別確認)」の「端末情報」の項
対象マニュアル:iOS端末向け(UIバージョン2または3)>「操作マニュアル Apple iOS編」
マニュアル対象目次:「位置情報の監視」
「SIM交換の監視」を適用時点での「端末基本情報取得」で取得された電話番号を期待値とし、
監視のタイミングで端末に挿入されているSIMカードの電話番号が、
期待値の電話番号と異なるSIMであった場合、または未挿入の状態となった場合に、
違反通知として管理者にアラートを通知します。
※事前に「端末基本情報取得」などにより電話番号を取得できている必要があります。
対象マニュアル:iOS端末向け(UIバージョン2または3)>「操作マニュアル Apple iOS編」
マニュアル対象目次:「SIM交換の監視」
ホーム画面の違反通知の各端末番号をクリックするか、
「端末管理」より違反端末を検索、選択し「端末詳細」の画面へ移動し下記の手順で確認します。
手順:
1.「端末監視状況」タブを選択します。
2.適用中の遠隔監視ポリシー名が表示され、クリックするとポリシーの詳細画面が表示されます。
3.監視通知を確認する項目を選択します。
4.取得した端末の情報とポリシーに差分があった場合、「異常あり」と表示されます。
5.ポリシーとの差分があった箇所は、赤で強調表示されます。
6.「管理要求履歴を見る」から、その端末のみの管理要求履歴を確認できます。
 |
対象マニュアル:iOS端末向け(UIバージョン2または3)>「操作マニュアル Apple iOS編」
マニュアル対象目次:「監視通知を確認する」
●「離脱監視」について
「監視ポリシー」とは別で、下記を検知した際にも
違反としてホーム画面やメール等で管理者に通知されます。
・Apple MDMの削除
メッセージ:「MDMプロファイルが削除された可能性があります」
対処法:Apple MDMプロファイルのみが削除されている場合は、
プロファイルの再インストールのみで状態を復旧することができます。
・クライアントアプリ(mobiconnect)の削除
メッセージ:「mobiconnect Agentが削除された可能性があります」
対処法:端末側でクライアントアプリが削除されている場合は、再インストール後に再登録が必要です。
対象マニュアル:iOS端末向け(UIバージョン2または3)>「操作マニュアル Apple iOS編」
マニュアル対象目次:「離脱監視」
●監視通知をメールで受け取る場合、
サイドナビの「アカウント設定」>「アカウント情報」より、
「監視メール設定」内の「送信先メールアドレス」にて設定します。
 |
対象マニュアル:iOS端末向け(UIバージョン2または3)>「操作マニュアル Apple iOS編」
マニュアル対象目次:「アカウント情報の編集」
大まかな流れとしては下記となります。
-----------------------------------------------------
④-1.監視ポリシーの適用
④-2.監視ポリシーの解除
-----------------------------------------------------
ここではグループ管理ではなく、端末を指定して適用する手順をご紹介します。
手順:
1.「遠隔設定メニュー」>「監視ポリシー適用」を選択します。
2.監視ポリシーを適用したい端末が登録されているグループを選択します。
3.監視ポリシーを適用する端末にチェックを入れます。
4.適用したい監視ポリシーにチェックを入れます。
5.右側のカラムには、選択した端末またはポリシーの詳細情報が表示されます。
6.「遠隔監視要求確認」ボタンをクリックします。
 |
7.実行内容を確認して「実行」ボタンをクリックします。
上記でジョブが成功すれば、対象端末に対し、遠隔監視が行われるようになります。
監視ポリシーは上書きで適用させることも可能ですが、ここでは解除のみの手順をご紹介します。
手順:
1.「遠隔設定メニュー」>「監視ポリシー適用」を選択します。
2.監視ポリシーを解除したい端末が登録されているグループを選択します。
3.「遠隔監視解除」をチェックします。
4.監視ポリシーを解除する端末にチェックを入れます。
5.右側のカラムには、選択した端末の詳細情報が表示されます。
6.「遠隔監視解除」ボタンをクリックします。
 |
7.表示されるダイアログにて「OK」ボタンをクリックします。
上記で監視ポリシーの適用を解除できます。
※監視ポリシーの適用・解除を実行すると、「ジョブ管理」に要求が登録され、
ステータスが「成功」になったら、 適用・解除が完了となります。
ジョブの確認方法については下記をご参照ください。
【ジョブ管理】実行したジョブ(要求)の結果やステータスの確認方法
https://inventit.zendesk.com/hc/ja/articles/900001330426
適用中の「監視ポリシー」の内容を、部分的に変更して適用したい場合の流れをご紹介します。
端末に1台でも適用されている「監視ポリシー」は直接編集できないため、
一度解除してから適用し直すか、新しい「監視ポリシー」で適用し直す必要があります。
「監視ポリシー」をコピーし、編集した内容で上書き適用する方が
手間は少なくなりやすいので、こちらの手順をご紹介します。
※「アプリインストール状態の監視」のアプリリスト、アプリリストグループの内容変更については、
各リストの元を更新するだけで、「監視ポリシー」が適用されている端末に反映されます、
-----------------------------------------------------
⑤-1.端末に適用している「監視ポリシー」をコピー
⑤-2.コピーした「監視ポリシー」を編集
⑤-3.編集した「監視ポリシー」を適用
-----------------------------------------------------
手順:
1.「遠隔設定メニュー」>「監視ポリシー作成」を選択します。
2.他のグループにコピーしたい監視ポリシーが登録されているグループを選択します。
3.他のグループにコピーしたい監視ポリシー名のラジオボタンを選択します。
4.「グループ選択」ボタンより、コピー先のグループを選択します。
5.「遠隔監視ポリシーコピー」ボタンをクリックします。
 |
6.コピー後の監視ポリシー名を入力します。
※同じポリシー名は入力できません。
7.「コピー」ボタンをクリックします。
手順:
1.「遠隔設定メニュー」>「監視ポリシー作成」を選択します。
2.コピーした監視ポリシーが登録されているグループを選択します。
3.コピーした監視ポリシー名をクリックします。
4.右側のカラムに表示される詳細情報の「詳細」ボタンをクリックします。
5.別タブにて表示される詳細画面にて「編集」ボタンをクリックします。
※ 適用中の端末がある場合、編集ボタンをクリックすることはできません。
 |
6.項目を編集して「更新」ボタンをクリックします。
編集した「監視ポリシー」を端末に適用し、上書きます。
「監視ポリシー」を「アカウント設定」>「グループ管理」>「グループに適用する監視ポリシー」 で
設定している場合はこちらを編集し、新しい「監視ポリシー」に変更、更新します。
「グループに適用する監視ポリシー」を使用していない場合は、
記事内の「③-1.監視ポリシーの適用」の流れにて適用を行います。
今回のご案内は以上となります。引き続きmobiconnectをよろしくお願いいたします。
mobiconnectカスタマーサポート
