MDM プロファイルの構成

MDM プロファイルは、プロファイルを介して IBM Mobile Connect Connection Manager に接続するすべてのデバイスが、選択したMDM の要件に準拠する必要がある範囲を指定します。最近作成したプロファイルの構成を終了するか、既存のプロファイルの設定をカスタマイズするには、MDM プロファイルを更新します。

このタスクについて

MDM プロファイルは、次のようにいくつかのタイプの情報を指定します。

MDM サーバーへの接続に必要なアカウントとネットワークの情報
Connection Manager が MDM の準拠を適用する方法
リソースが定義される組織単位

ウィザードを実行して MDM リソースを作成すると、作成されたプロファイルは、デフォルト設定を使用するように構成されます。現在の設定を変更するためにプロファイルを更新します。

アクティブなプロファイルに更新が適用されると、Connection Manager は、そのプロファイルを使用する他の Connection Manager サーバーに通知を送信します。一般的に、他の Connection Manager は、即時に変更を有効にします。ただし、最近認証されたモバイル・デバイスに適用設定が適用されるまでに遅延が発生する場合があります。遅延の長さは、有効期間の長さ (デフォルトでは 4 時間) に依存します。

MDM プロファイルが追加されて有効に設定されると、Connection Manager は、デバイス認証時に MDM サービスを照会して、接続デバイスの準拠性を検証します。Mobile Connect が MDM ポリシーへの準拠を適用する範囲と、Mobile Connect Connection Manager が MDM から取得した情報を有効であると見なす時間の長さを構成できます。 Connection Manager が MDM サービスに到達できない場合に MDM 認証要求を処理する方法も指定できます。

一部のフィールドには、プロファイル作成時に指定した値が自動的に取り込まれます。

手順

Gatekeeper の「リソース」ペインから、MDM プロファイルが配置されている OU を展開して、「MDM 統合」を右クリックしてから、「オープン」をクリックします。
「MDM 統合」ウィンドウから、構成する MDM 構成を選択して、「プロパティー」をクリックします。
適用設定を更新します。
MDM プロファイルがモバイル・デバイスの準拠を適用するために MDM サーバーと対話する方法を定義するいくつかの設定を指定できます。

例えば、LDAP または RADIUS などの 1 次認証方式を使用してモバイル・デバイスが認証された後、Connection Manager はデバイス状況について MDM サーバーを照会します。デフォルトでは、Connection Manager は、デバイスが MDM に登録されているかどうかを検査します。次のように、さらに高度なレベルの準拠の検査を要求するようにデフォルト設定を変更できます。
- デバイスのユーザーが、MDM システムによってそのデバイスに対して登録されているユーザーであることを確認します。
- 該当する MDM のポリシーとルールにデバイスが準拠していることを確認します。プロファイルの具体的な準拠能力は、MaaS360®、midpoints、MobileIron などの MDM プロファイルの MDM サービス・タイプによって異なります。
1. 「一般」タブをクリックします。
2. 「結果 (またはポリシー) の適用」セクションで、次のいずれかのオプションを選択してください。
  結果のみを記録
  MDM ポリシー適用が無効です。Connection Manager は、MDM サービスを照会して接続デバイスの準拠状況を判別し、結果をログ・ファイルで報告しますが、適用は行われません。
  統合をテストして、認証を要求するモバイル・デバイスの数と状況を評価する場合は、このオプションを選択します。ログ項目は、「ERROR」、「WARNING」、「DEBUG」、「LOG」、「S-AUTH」のいずれかのログ・レベルに割り当てられます。「S-AUTH」カテゴリーには、準拠していないと判別されたデバイスの項目が含まれます。Connection Manager の MDM ログ・メッセージはすべて、Connection Manager のログ・ファイル (デフォルトのファイル名は wg.log) に記録されます。以下はユーザー認証が失敗した場合のログ・メッセージの例です。
  [LOG] MDM_MaaS360 ::authenticate: (entry) [S-AUTH]MDM: result=failed:1, apiRc=0, flags=0x1 [MDM Test#MDM_MaaS360: imcuser->Appl_NNN_YYY] [LOG] MDM_MaaS360 ::authenticate: (return), rc=1
  ポリシーの適用
  
  MDM ポリシー適用が有効です。Connection Manager は、MDM サービスを照会して接続デバイスの準拠状況を判別し、構成済みポリシーに準拠しているデバイスにのみ、保護リソースへのアクセス権を付与します。デフォルトでは、このオプションは選択されています。
  デバイスは、有効になっているいずれかの準拠検査で不合格になった場合、認証プロファイルに MDM プロファイルが含まれている HTTP アクセス・サービスへのアクセスを拒否されます。
3. ポリシー適用を有効にしている場合は、「MDM サービスが使用できない場合の認証の振る舞い」の設定を選択します。
  ネットワークの停止やその他の問題が原因で MDM サーバーが応答しなくなった場合、Connection Manager は、デバイス検証要求を処理できません。MDM サーバーが使用不可になった場合にデバイス検証要求を処理するための特別なルールを設定できます。これらのルールでは、Connection Manager が MDM サーバーに接続できない場合にすべてのデバイスがアクセスできないようにするか、限られたデバイスによるアクセスを許可するかを指定します。
  次のオプションのいずれかを選択してください。
  不合格-クローズ
  
  Connection Manager は、一時的にすべての認証要求を拒否して、モバイル・デバイスに「許可否認 (HTTP 403)」応答を返します。
  
  合格-オープン
  
  Connection Manager は一時的にすべての認証要求を許可します。このオプションを選択すると、「受け入れタイムアウト」フィールドに指定されている時間間隔にわたってサーバーが応答不可になるまで、この設定が適用されます。受け入れタイムアウトの時間間隔の終わりにサーバーが応答不可のままである場合、認証を試行するモバイル・デバイスは HTTP 403 応答を受け取ります。
  
  合格-直前に有効
  
  Connection Manager は、以前にこの MDM プロファイルを使用して認証に合格したレコードがあるすべてのデバイスからの認証要求を一時的に許可します。新規ユーザーを含めて、認証合格の履歴がないユーザーは、アクセスを拒否されます。デフォルトでは、このオプションは選択されています。
  この設定は、サーバーが応答不可になっている期間が「受け入れタイムアウト」フィールドに指定された時間間隔を超えるまで、適用されます。受け入れタイムアウトの時間間隔の終わりにサーバーが応答不可のままである場合、認証を試行するモバイル・デバイスは HTTP 403 応答を受け取ります。
  
  注: Mobile Connect は、デバイスの検証状況が有効であると見なされる「有効期間」を定義します。定義された期間中、Connection Manager は、デバイスの状況を評価するために MDM サービスを照会しません。そのため、MDM サーバーが応答不可になっている場合、有効期間内に MDM 認証に合格したデバイスは接続を許可されます。
4. 前のステップでいずれかの「合格」オプションを選択した場合は、「受け入れタイムアウト」フィールドに値を指定します。5 から 99999 の値を指定するか、0 を入力して無制限の受け入れ間隔を構成します。デフォルト値は 240 (4 時間) です。
  この値は、Connection Manager が MDM サービスが応答不可になった後で「合格-オープン」と「合格-直前に有効」の認証を許可する時間の長さを定義します。
  
  注: Connection Manager を再起動すると、「受け入れタイムアウト」の時間間隔が再開されます。
5. 「有効期間 (分)」フィールドに、検証に合格したデバイスの状況が有効のままになる時間を指定します。60 から 999999 の値を入力してください。
  デフォルト値は 240 (4 時間) です。値が高いほど、サーバーに対するデバイスの照会を減らすことによって MDM サーバー負荷が制限されます。
  
  MDM サーバーが、モバイル・デバイスに準拠状況の合格を割り当てると、そのデバイスの新しい有効期間が開始します。有効期間中はデバイスの準拠状況は変化しないことが想定され、Connection Manager は、デバイスの状況を再評価するために MDM サービスを照会しません。そのデバイスに関する MDM サーバーへの検証照会は、有効期間が終了した後、次にデバイスが認証要求を送信するときに再開されます。
6. 「準拠外の再試行間隔」フィールドに、準拠外のデバイスからの認証要求によって Connection Manager から MDM サーバーに対してデバイスの状況を再評価するための照会がトリガーされるまでの最小時間を指定します。値を 5–999999 の範囲で指定します。デフォルト値は 60 (1 時間) です。60 分未満の値は避けるのが最善です。
  Connection Manager は、「準拠外の再試行間隔」が経過した後でのみ、準拠検査で不合格になったデバイスの状況に関して MDM サーバーを照会します。現在定義されている「有効期間」で許可されているよりも早く、準拠検査で不合格になったデバイスを再評価できるようにするには、「有効期間」フィールドの値よりも小さい値を指定します。「有効期間」フィールドの値よりも大きな値は無視されます。
7. Mobile Connect ユーザーの資格情報がデバイスを使用するために登録されているユーザーの資格情報と一致している必要がある場合は、「デバイス検証するユーザー」を選択します。デフォルトでは、このオプションは選択されていません。
  Connection Manager ユーザーの資格情報が、デバイスから MDM システムにログインした最後のユーザーの資格情報と一致しない場合、認証は失敗します。
8. MaaS360、midpoints、または MobileIron の「MDM サービス (MDM service)」タブをクリックします。以下の設定を指定します。
  - URI を解析してデバイス ID を取得
    MDM クライアント・ソフトウェアに統合されていないが、サービス要求 URI 内でクライアント・デバイス ID を渡すアプリケーションのアクセスを許可します。Connection Manager は URI からデバイス情報を解析し、MDM サービスでデバイスを検証します。
    
    例えば、Apple iOS のネイティブ・メールアプリケーションは、IBM® Verse と同期しています。このメール・クライアントは MDM クライアント・ソフトウェアに統合されていませんが、IBM Verse クライアント要求 URI 内で MDM デバイス ID を渡します。「URI を解析してデバイス ID を取得」オプションが有効になっていると、Connection Manager は、デバイス要求 URI を調べて URI 照会ストリングの 1 つとして指定されている deviceId= ペアを確認します。この照会ストリングの値が、MDM 検証のデバイス ID として使用されます。
  - 管理されていないデバイスの処理方法
    MDM サービスによって管理されていないデバイス、つまり、MDM クライアント・ソフトウェアに統合されていないデバイスを Connection Manager で処理する方法を指定します。このオプションは、管理対象外デバイスが認証に合格して、Connection Manager アプリケーションへのアクセスを許可されるかどうかを指定します。
    管理対象外デバイスは、認証要求に MDM デバイス ID が含まれていないことで特定されます。これは、未登録であるか、MDM クライアント・ソフトウェアがインストールされていないデバイスにあてはまります。これには、MDM が認識しないデバイス・アプリケーション (標準の Web ブラウザーなど) からの認証も含まれます。
    - 拒否
      すべての管理対象外デバイスへのアクセスをブロックし、MDM が認識しないすべてのアプリケーションへのアクセスをブロックします。
    - 許可
      すべての管理対象外デバイスへのアクセスを許可し、MDM が認識しないアプリケーションへのアクセスを許可します。
    - ユーザーが登録されている場合に許可
      Mobile Connect 認証ユーザーが有効な MDM ユーザーとしても存在している場合に限り、管理対象外デバイスや MDM が認識しないアプリケーションへのアクセスを許可します。
      
      「許可」または「ユーザーが登録している場合に許可」を選択すると、MDM デバイス ID を提供しないすべての認証要求が許可されます。ただし、デバイス ID が存在する場合は、有効になっている MDM プロファイル構成に従ってデバイスが検証されます。管理対象外デバイスは許可されますが、準拠していない管理対象デバイスは失敗します。管理対象外デバイスを許可すると、Mobile Connect への移行中に、既存のデプロイメントで MDM デバイスを検証するのに役立ちます。会社のデバイスについては確実に完全な検証を行う一方で、個人のデバイスについてはアクセスを許可するためにも使用できます。
アカウント情報を更新します。
1. 「サーバー」タブをクリックします。以下のアカウント・フィールドを更新できます。
  - サーバー URL
  - 管理者 ID
  - パスワード
2. 「MaaS360」タブをクリックして、MaaS360 サービスのアカウント情報を更新します。以下のアカウント・フィールドを更新できます。
  - 請求識別子
  - プラットフォーム識別子
  - アプリケーション識別子
  - アプリケーション・バージョン
  - アプリケーション・アクセス・キー
  - 検証ポリシー
  - 検証ルール
  MaaS360 は、ルールとポリシーへの準拠を別々に評価します。ルールとポリシーの違いの詳細については、IBM MaaS360 の資料を参照してください。
  
  前のフィールドの詳細については、モバイルデバイスの管理 (MDM) プロファイルの追加を参照してください。
3. 「midpoints」タブをクリックして midpoints サービスのアカウント情報を更新します。以下のアカウント・フィールドを更新できます。
  - リクエスター ID
  - 接続トークン
  - アプリケーション・バージョン
  前のフィールドの詳細については、モバイルデバイスの管理 (MDM) プロファイルの追加を参照してください。
4. 「MobileIron」タブをクリックして、MobileIron サービスのアカウント情報を更新します。以下のアカウント・フィールドを更新できます。
  - セキュリティー・ポリシー・コンプライアンスの検証
  - 検疫状況の検証
  - ActiveSync 状況の検証
    MobileIron セキュリティー・ポリシーには、一般的に検疫済み状況と ActiveSync 状況の準拠が含まれます。準拠状況の詳細については、MobileIron の資料を参照してください。
注: 適用設定を変更した後、新しい設定に準拠していないデバイスが、しばらくの間、認証に合格し続ける場合があります。以前に構成されていた有効期間中に認証に合格したデバイスに対して変更の遅延が発生する可能性があります。即時にデバイス検証を強制実行するには、新しい MDM プロファイルを作成して適用します。
ネットワーク情報を更新します。
1. 「サーバー」タブをクリックします。
2. Connection Manager が非信頼 SSL 証明書を使用する MDM サービスと通信できるようにするには、「内部サーバーからの信頼できない証明書を受け入れる」を選択します。デフォルトでは、この設定は無効になっています。MDM サービスで自己署名証明書を使用している場合、または構成済みの Connection Manager 鍵データベースに MDM サーバーの認証局 (CA) 発行の証明書が存在しない場合は、このオプションを選択します。
  注: 管理者にとって望ましい方法は、MDM サーバーの CA 署名者を Connection Manager 鍵データベースに追加する方法です。
3. 「鍵データベースのファイル名」フィールドに、Connection Manager が MDM サーバーでのセキュア認証で使用する鍵データベースの名前と場所を指定します。デフォルトでは、鍵ファイル cm.trusted.kdb は、Connection Manager サーバー上の Connection Manager のインストール・ディレクトリーにあります。ファイルの名前または場所を変更する場合は、ファイルの絶対パスを指定します。
  鍵ファイル cm.trusted.kdb には、Connection Manager をデフォルトの MDM サーバーに対して認証できるようにする一連の限定された署名者証明書が含まれています。カスタム MDM サーバーの場合や構成済みサーバーへの証明書の変更の場合は、追加の署名者証明書または別の鍵ファイルを追加しなければならないことがあります。
MDM プロファイルが定義されている組織単位を変更するには、「OU」タブをクリックして、組織単位の名前をクリックしてから、「適用」をクリックします。 Gatekeeper の「リソース」タブに、指定した OU 内の「MDM 統合」リソースが表示されます。