ポリシーは、MDMでセキュリティを強化する重要な機能です。主にパスコード設定、デバイスの機能制限、アプリ制限、コンテンツ制限などがあります。
デバイスにMoDeMを設定した直後には、何の制限のないデフォルトの「基本ポリシー」が適用されます。MoDeMを利用してデバイスの機能を制限・管理したい場合は、新しいポリシーを作成の上、配布してください。
iOSポリシーの「監視モード」項目につきましては、Apple Configuratorを利用して監視対象に設定したiPhone/iPadが適用対象になります。通常モードのiPhone/iPadでは、「監視モード」項目が設定されたとしても適用されませんのでご注意ください。
1.ポリシーの新規作成および配布
まず、下図のように画面中央上にある「ポリシー登録」をクリック、次の手順で制御項目を設定します。すべての詳細設定が終わったら作成したポリシーを「保存」し、個々のデバイスやグループ毎に配布(適用)します。
引き続き、選択したOSごとに詳細項目を設定して保存します。
作成したポリシーをデバイスやチーム、部署に向けて一括配布できます。
※ポリシー内容を変更した場合は、再配布する必要があります。なお、ポリシーがデバイスに適用されるまでは最大2分かかりますが、Google、またはiOSサーバー都合によってはさらにかかる場合があります。
2.基本設定項目(OS別)
1)iOS基本設定
(4) 監視対象デバイス
Apple Configuratorを利用して監視モード(Supervised Mode)に設定したデバイスで利用できるMoDeMポリシーです。
【注意】 監視対象デバイスに設定されていない通常のiPhoneやiPadにこのポリシーは適用されません。
(5) カレンダー
この項目を使用して、CalDAV準拠カレンダーサーバーに接続するためのアカウントを設定します。
iPad、iPhone、およびiPod touchのカレンダーデータは、会社のCalDAVサーバーに同期され、カレンダーへの変更は、デバイスとサーバーとの間で定期的にアップデートされます。
カレンダーが設定されたポリシーを適用した端末には、「設定 > メール/連絡先/カレンダー」に設定した項目が追加されます。また別のポリシーを配布しなおすと、追加された項目は消去されます。
(6) 連絡先
この項目で、CardDAV準拠連絡先サーバーに接続するためのアカウントの設定ができます。CardDAV連絡先リストから連絡先情報を取得します。
(7) VPN
VPNを利用されるお客様向けに設定画面を提供します。当画面で行う設定可能な接続タイプはL2TP、PPTP、IPSecになります。
(8) Web Clip
ユーザーが使用するデバイスのホーム画面にWeb Clipを追加し、ブックマークとして使えることができます。
(9) メール
ユーザーが使用するPOPメール、またはIMAPメールのアカウントを構成できます。以下の項目を設定したポリシーが適用されたデバイスではメールアカウントが自動で生成されます。※メールアカウント、パスワード、MoDeM管理画面で登録したユーザー情報に基づきます。
(10) Exchange
Exchangeアカウント設定します。Microsoft Exchangeサーバーのユーザー設定を用いて、ユーザー名、ホスト名、およびメールアドレスを指定することで特定のユーザープロファイルを作成することができます。
(11) Wi-Fi
Wi-Fiに関する設定を行います。
2)Android基本設定
(1) パスコード
(2) 機能制限
【注1】「デバイス『設定』へのアクセスを許可」項目について、
本項目を「許可しない」にし、さらに「パスコードを強制する」を同じポリシーで設定した状態でデバイスに適用した場合、パスコードを設定を促すアラートが繰り返し表示されます。この2つは相反する項目なので片方は許可するようにしてください。
【注2】「データ暗号化を使用」項目について、
①暗号化するとデバイスの電源を入れるたびにパスワード入力が必要です。
②暗号化する途中に何かの理由で失敗した場合にすべてのデータが消去される可能性がありますので自己責任で行っていただきます。
③一度暗号化を行うと解除出来かねない機種が多くあります。暗号化を止めるには端末を初期化するしかありませんのでご注意ください。
④暗号化スタートから完了するまで時間がかかります。
(3) コンテンツ制限
(4) セキュアブラウザ
3. アプリ制限(iOS/Android共通)
1)Blackアプリ
管理者は、Blackアプリの指定したポリシーを配布します。ユーザーが指定のBlackアプリをインストールしたときには管理者へメール通知するなど、違反時の処置として管理者アクションを同時に設定します。
※ AppStoreやPlayストアそのものを使用禁止にしない限りでは、Blackアプリを設定したとしても、ユーザーによるインストールする行為や利用そのものをOS仕様上止めることはできません。
2)Blackアプリの追加
禁止するアプリ名を入力していくと、公開されたアプリが検索されますので追加するアプリを選択してください。
Blackアプリ一覧から指定するアプリを選択し、保存したらポリシーを配布します。(配布済みのポリシで、BlackAppを追加した場合は再配布します) 逆に、禁止を解除するときは、このチェックを外して保存し、ポリシーを再度配布します。
3)Whiteアプリ
アプリ一覧の中から必須アプリとして強制インストールさせたいアプリを指定したポリシーを配布します。Whiteアプリ以外のアプリをインストールした場合は、管理者にメール通知されます。
4)Whiteアプリの追加
「アプリ追加」ポタンを押下して、アプリ一覧から指定するアプリを選択します。
次に指定したアプリ以外のアプリをユーザーがインストールしたときの管理者アクションを選択したら、保存で閉じ、このポリシーを端末に配布します。
<MoDeMアプリへの接続制限したときの端末挙動>
5)おすすめアプリ
Whiteアプリほど強制ではありませんが、自由に使える推奨アプリを追加しておくと、ポリシー適用時にデバイスに自動配布されます。
4. Apple Configurator構成プロファイルの登録/配布
Apple Configuratorで作成された構成プロファイル(.mobileconfig)をOTAでデバイスに配布することができます。
「ポリシー」メニュー→ポリシー追加→構成プロファイルをクリックして、configuratorで作成したプロファイルをアップロードした後にデバイス、またはグループへ一括配布します。
※構成プロファイルは1デバイスに対して複数で配布でき、またMoDeMポリシーとも共存可能です。
また、配布した構成プロファイルはサイレントインストールされます。(ユーザー操作不要)
設定→一般→デバイス管理→MoDeMプロファイルの下に適用されていることを確認できます。
1)構成プロファイルの削除
配布した構成プロファイルを解除するときは情報画面で該当デバイスを選択、構成プロファイル横の×印で削除します。
