Sophos Mobile in Central 管理者ヘルプ

Sophos Mobile in Central

管理者ヘルプ

7.1

製品バージョン

:

1 このヘルプについて...6 2 Sophos Mobile でデバイスを管理するための主な手順...7 3 ダッシュボード...8 4 レポート...9 5 タスク...10 5.1 タスクの監視...10 6 全般設定...14 6.1 個人設定の指定...14 6.2 SMC アプリの設定...15

6.3 Baidu Cloud Push サービスの有効化...15

6.4 iOS の設定...15 6.5 Windows デバイスの同期間隔の設定...16 6.6 メールの設定...17 6.7 サポート問い合わせ先情報の設定...17 6.8 カスタマープロパティの定義...17 7 セルフサービス ポータルの設定...18 7.1 セルフサービス ポータルの設定...18 7.2 使用可能なセルフサービス ポータルの設定...20 8 システム セットアップ...23

8.1 Apple Push Notification Service の証明書...23

8.2 iOS AirPlay の出力先の設定...26

8.3 Samsung Knox ライセンス...26

8.4 SCEP (Simple Certificate Enrollment Protocol)...27

9 コンプライアンスポリシー...29 9.1 コンプライアンスポリシーの作成...29 9.2 利用可能なコンプライアンスルール...31 9.3 コンプライアンスポリシーをデバイスグループに適用する方法...36 9.4 デバイスのコンプライアンスの確認...37 10 デバイス...38 10.1 デバイスの追加...38 10.2 デバイスの登録...39

11 デバイスグループ...61 11.1 デバイスグループの作成...61 11.2 デバイスグループの削除...61 12 利用ユーザー数...62 13 プロファイルとポリシー...63 13.1 プロファイルやポリシーの作成...64

13.2 Apple Configurator で作成した iOS デバイス用プロファイルのインポート ...6 4 13.3 iOS アプリ用のプロビジョニング プロファイルのインポート...65 13.4 Windows Desktop パスワードの複雑さのルール...66 13.5 Samsung Knox への対応...66 13.6 プロファイルとポリシーのプレースホルダ...67 13.7 プロファイルのデバイスへのインストール...67 13.8 デバイスへのポリシーの割り当て...68 13.9 プロファイルの削除...69 13.10 プロファイルとポリシーのダウンロード...69 13.11 Android デバイスのプロファイルの設定...70 13.12 ビジネス向け Android ポリシーの設定...88 13.13 Android の Sophos コンテナポリシーの設定...100 13.14 モバイル セキュリティ ポリシーの設定...111 13.15 Knox コンテナのプロファイルの設定...111 13.16 Android Things ポリシーの設定...116 13.17 iOS デバイスのプロファイルの設定...116 13.18 iOS の Sophos コンテナポリシーの設定...145 13.19 Windows Mobile ポリシーの設定...155 13.20 Windows Desktop ポリシーの設定...166 13.21 Windows IoT ポリシーの設定...172 14 タスクバンドル...175 14.1 タスクバンドルの作成...175 14.2 設定可能な Android のタスクの種類...176 14.3 設定可能な iOS のタスクの種類...180 14.4 タスクバンドルの複製...183 14.5 タスクバンドルを個別のデバイスやデバイスグループに配信する方法...183 15 アプリ...184

15.3 アプリのアンインストール...187 15.4 iOS 用の管理対象アプリ...188 15.5 Apple VPP アプリの管理...189 15.6 「アプリごとのVPN」と設定を iOS アプリで設定する方法...194 16 アプリグループ...195 16.1 アプリグループの作成...195 16.2 アプリグループのインポート...196 17 社内ストレージ...197 17.1 業務ドキュメントの追加...197 18 ビジネス向け Android...199 18.1 ビジネス向け Android の設定...199 18.2 ビジネス向け Android の設定...205 18.3 ビジネス向け Android ユーザーの管理 (ビジネス向け Google ドメイン シ ナリオ)...206 18.4 仕事用プロファイルの作成...206 18.5 仕事用プロファイルのロック...207 18.6 デバイスからの仕事用プロファイルの削除...207 18.7 ユーザーによる仕事用プロファイルの削除...208 18.8 仕事用アプリ...208 19 デバイスへのメッセージ送信...215 20 スタンドアロン型 EAS プロキシ...216 20.1 EAS プロキシのインストーラのダウンロード...216 20.2 スタンドアロン型 EAS プロキシのインストール...217 20.3 PowerShell 経由のメールアクセス制御の設定...220 20.4 スタンドアロン型 EAS プロキシサーバーとの接続の設定...223

21 Sophos Mobile Security の管理...224

21.1 Sophos Mobile Security のマルウェア対策の設定...224

21.2 Sophos Mobile Security のWeb フィルタリングの設定...226

21.3 Sophos Mobile Security のコンプライアンスルール...227

21.4 Sophos Mobile Security のスキャン結果の表示...228

22 Sophos コンテナ...230

22.1 Sophos コンテナ登録の設定...230

23 用語集...234 24 テクニカルサポート...236 25 利用条件...237

1 このヘルプについて

このヘルプでは、Sophos Mobile in Centralを管理する方法について説明します。

注: Sophos Central Admin で実行できる操作は、割り当てられている管理者ロールとアク

ティベートしたライセンスによって異なります。

このドキュメント内の記載について

このヘルプでは、以下の事柄に注意してください。

■ 特に記載されていない限り、「_{Windows Mobile}」は、Windows 10 の「_Mobile」と

「Mobile Enterprise」エディション、および「Windows Phone 8.1」を指します。

■ 特に記載されていない限り、「_{Windows Desktop}」または「_{Windows 10 Desktop}」

は、Windows 10 の「Pro」、「Enterprise」、「Education」、「Home」および「S」 エディションを指します。

■ 特に記載されていない限り、「_{Windows IoT}」は、Windows 10 「_{IoT Core}」エディショ

ンを指します。

■ 特に記載されていない限り、このヘルプの手順では、_{Sophos Central Admin} コンソール

のメインメニューの「マイ プロダクト」セクションにある、「モバイルデバイス」画面 を開いていることをを想定しています。

2 Sophos Mobile でデバイスを管理する

ための主な手順

Sophos Mobileは、デバイスの種類、社内のセキュリティポリシーや組織固有の要件に応じ たモバイルデバイス管理 (MDM) 機能を幅広く提供します。 Sophos Mobileでデバイスを管理するための主な手順は次のとおりです。 ■ デバイスのコンプライアンスポリシーを設定する。詳細は、コンプライアンスポリシー (p. 29) を参照してください。 ■ デバイスグループを作成する。詳細は、デバイスグループの作成 _{(p. 61)} を参照してくだ さい。 デバイスグループを使用してデバイスを分類することができます。デバイスはグループ に分類することを推奨します。分類することで、個々のデバイスではなく、グループ全 体に対してタスクを実行できるため、管理の効率が上がります。 ■ デバイスを登録し、プロビジョニングを行う。詳細は、デバイスの追加 _{(p. 38)} およびデ バイスの登録 (p. 39) を参照してください。 デバイスの登録およびプロビジョニングは、管理者がSophos Mobile コンソールで設定

することも、デバイスのユーザーがSophos Central Self Service Portalで設定することも

可能です。

■ デバイスのプロファイルやセキュリティオプションの設定を行う。詳細は、プロファイ

ルとポリシー (p. 63) を参照してください。

■ タスクバンドルを作成する。詳細は、タスクバンドル (p. 175) を参照してください。

■ _{Sophos Central Self Service Portal}で使用できる機能を設定する。詳細は、セルフサービ ス ポータルの設定 (p. 18) を参照してください。

3 ダッシュボード

カスタマイズ可能な「ダッシュボード」は、Sophos Mobileの通常の起動画面で、重要な情 報がわかりやすく表示されています。複数のウィジェットから構成され、次の項目に関する 情報を提供します。 ■ デバイス ₍すべて、またはグループ別₎ ■ コンプライアンス状態 (OS 別、またはすべてのデバイス) ■ 管理状態 (OS 別、またはすべてのデバイス) ■ _SSP の登録状況 ■ 管理対象プラットフォームの種類 また、デバイスの登録ウィザードを起動する「デバイスの追加」というウィジェットも用意 されています。詳細は、デバイスの登録ウィザードを使用したデバイスの新規登録と割り当 て (p. 41) を参照してください。 「ダッシュボード」をカスタマイズするためのオプションは次のとおりです。 ■ ページにウィジェットを追加するには、「ウィジェットの追加」をクリックします。 ■ ページからウィジェットを削除するには、ヘッダにある「閉じる」ボタンをクリックし ます。 ■ ページのレイアウトをデフォルトにリセットするには、「デフォルトのレイアウトに戻 す」をクリックします。 ■ ページに表示されているウィジェットを並べ替えるには、ウィジェットのヘッダをドラッ グします。

4 レポート

Sophos Mobileでは、次の項目に関するさまざまなレポートを作成できます。 ■ デバイス ■ アプリ/ドキュメント ■ コンプライアンス ■ マルウェア ■ 証明書 レポートの作成方法は次のとおりです。 1. サイドバーのメニューの「情報」の下で、「レポート」をクリックし、作成するレポー トの名前をクリックします。 2. 「形式の選択」に表示されるアイコンをクリックしてファイルの出力フォーマットを選 択します。 ■ をクリックすると、_{Microsoft Excel} 形式でレポートが出力されます。 ■ をクリックすると、CSV 形式 (カンマ区切り) でレポートが出力されます。 使用しているWeb ブラウザの設定に応じて、レポートがローカルコンピュータに保存され ます。

5 タスク

「現在のタスク」ページには、すべての作成・開始したタスクの概要と現在のステータスが 表示されます。 すべてのタスクを監視し、必要に応じて問題に対処できます。たとえば、完了できず、デバ イスをブロックしているタスクは削除できます。 タスクを削除するには、そのタスクの横にある「削除」アイコンをクリックします。 タスクは、種類や状態でフィルタリング表示できます。またデバイス名、パッケージ名、作 成者、実行日時で並び替えることもできます。

5.1 タスクの監視

Sophos Mobile コンソールで、デバイスの既存のタスクすべてを監視できます。 ■ 「現在のタスク」ページには、すべての未完了タスクと失敗したタスク、および過去数 日に完了したタスクが表示されます。「現在のタスク」ページは自動的に更新されるの で、タスクの最新状態を常に把握することができます。 ■ 「タスクの詳細」ページには、「現在のタスク」または「過去のタスク」の各タスクに 関する概要情報が表示されます。 ■ 「過去のタスク」ページにはすべてのタスクが表示されます。

5.1.1 未完了のタスク、失敗したタスク、最近完了したタスクの表示

1. サイドバーのメニューで、「情報」の下の「タスク」をクリックします。 2. 「現在のタスク」ページの「状態」カラムに「すべて失敗」など、各タスクの状態が表 示されます。 3. 「更新間隔 (秒)」フィールドで、「現在のタスク」の表示画面を何秒間隔で更新するか 選択できます。 4. 各タスクについての詳細を表示するには、該当のタスクの横にある「表示」(虫めがね) アイコンをクリックします。 「タスクの詳細」ページが表示されます。タスクに関する一般的な情報 (デバイス名、 パッケージ名、作成者など) のほか、タイムスタンプやエラーコードなど、各タスクの状 態の履歴も表示されます。デバイスで実行が必要なコマンドがある場合は、「タスクの 詳細」ページに「詳細」ボタンが表示されます。 5. 表示されている場合は、「詳細」をクリックして、デバイスで実行が必要なコマンドを 表示します。 コマンドは、タスクの一部としてデバイスに送信されます。送信されたタスクは、SMC アプリや MDM クライアントによって実行されます。結果 (成功/失敗) は、サーバーに送 信されます。エラーが発生しなかった場合、エラーコードは「0」です。コマンドの実行 に失敗した場合は、エラーコードが表示されます。コマンドが失敗した原因と考えられ

6. 「タスクの詳細」ページに戻るには、「戻る」をクリックします。

5.1.2 「過去のタスク」の表示

1. サイドバーのメニューで、「情報」の下の「タスク」をクリックします。 2. 「現在のタスク」ページで、「過去のタスク」をクリックします。 「過去のタスク」ページが表示されます。すべての完了済みおよび失敗したタスクが表 示されます。 3. このページでは次の操作を行うことができます。 ■ 「再読み込み」をクリックすると、「過去のタスク」ページが更新されます。 ■ 過去のタスクを削除するには、対象のタスクの横にある「削除」アイコンをクリック します。 ■ タスクを選択して (複数可) 「選択した項目の削除」をクリックすると、一覧から削 除されます。 「現在のタスク」ページに戻るには、サイドバーのメニューの「タスク」をクリックしま す。

5.1.3 タスクの状態

「現在のタスク」および「過去のタスク」ページに表示されるタスクの状態についての概要 は次のとおりです。 各状態に対して、状態のカテゴリを示す色アイコンが表示されます。 説明 状態 色アイコン タスクが作成されました。 受け付け済み 後でタスクを再試行します。 再試行予定 タスクが開始されました。 開始済み タスクの実行を準備中です。 進行中 タスクバンドルの実行を準備中です。 タスクバンドル進行中 SMC アプリに通知が送信されました。 通知済み SMC アプリはパッケージまたはコマンドを受信しまし た。 コマンドが送信されました SMC アプリが応答し、結果の評価が開始されました。 結果の評価を開始 結果の評価を行い、まだ受信していないコマンドの結果 があることがわかりました。 不完全な結果

説明 状態 色アイコン デバイスに、待機中のユーザー操作があります。 ユーザーの操作待ち デバイスのロック解除を待機しているタスクがあります (iOS のみ)。 デバイスはロックされていま す パッケージがインストールされたか、またはコマンドの 実行に成功しました。

注: Sophos Mobile Controlアプリの初期プロビジョニ ングを行う場合、タスクは「インストール済み」という 状態で完了する必要があります。

成功

Sophos Mobile Controlアプリのインストールに成功し ました。デバイスのプロビジョニングが完了しました。 インストール済み 結果の評価を実行できませんでした。 結果の評価に失敗 タスクのコマンドで実行できないものがありました。 一部のタスクに失敗 後でタスクを再実行します。 遅延 タスクに失敗したので、後で再試行します。 失敗 (再試行待ちに追加) タスクに失敗しましたが、再試行しません。 タスクは失敗しました タスクに失敗しました。再試行はできません。 すべて失敗 タスクはタスクバンドルに含まれており、まだ処理され ていません。 未開始 このデバイスでサポートされていないタスクです。タス クバンドルの次のタスクが実行されます。 スキップされました タスクの状態に関する情報がサーバーにありません。 不明 カテゴリ 色アイコン 開く 進行中 成功 失敗

カテゴリ 色アイコン

6 全般設定

「全般設定」ページで、Sophos Mobileの基本的な設定を行うことができます。

6.1 個人設定の指定

Sophos Mobile コンソールをより効率よく使用するため、使用するプラットフォームのみが GUI に表示されるようにカスタマイズできます。 注:ここで、プラットフォームを指定した場合、現在ログインしているユーザーだけに対し て表示される画面が変更されます。ここで機能を無効にすることはできません。 1. サイドバーのメニューの「設定」の下で「セットアップ > 全般」の順にクリックし、 「個人設定」タブをクリックします。 2. 次の設定を行います。 説明 オプション 画面に表示する日時のタイムゾーンを選択します。 タイムゾーン 距離単位を選択します (「メートル」または「ヤード・ポンド」 法)。 単位 1ページに表示するデータの最大件数を選択します。 1ページの表示件数 デバイスに関するすべての詳細情報を表示する場合は、この チェックボックスを選択します。「カスタムプロパティ」タブ と「内部プロパティ」タブが「デバイスの表示」ページに追加 されます。 デバイスの詳細をすべて表示 管理するプラットフォームを選択します。 有効なプラットフォーム Android Android Things iOS

Windows Mobile (Windows Phone 8.1 およびWindows 10 Mobile OS など) Windows Desktop Windows IoT 選択したプラットフォームに基づいて、Sophos Mobile コンソー ルの GUI が調整されます。選択したプラットフォームに関連す る画面や機能のみが表示されます。 3. 「保存」をクリックします。

6.2 SMC アプリの設定

「全般設定」ページの「SMC アプリ」タブで、Android、iOS、Windows Mobile デバイス

にインストールされているSophos Mobile Controlアプリの設定を行うことができます。

1. サイドバーのメニューの「設定」の下で、「セットアップ > 全般」の順にクリックし、

「SMC アプリ」タブをクリックします。

2. 次の設定を行います。

説明 オプション

Sophos Mobile Controlアプリから「登録解除」ボタンを削除 し、ユーザーによる Sophos Mobile Control アプリからのデバイ スの登録解除を防ぎます。 注:ユーザーによる登録解除を完全に防止するには、セルフサー ビス ポータルの設定で「デバイスの登録解除」オプションも無 効化してください。詳細は、セルフサービス ポータルの設定 (p. 18) を参照してください。 アプリからの登録解除を無効に する 3. 「保存」をクリックします。

6.3 Baidu Cloud Push サービスの有効化

Sophos Mobileでは、Google Cloud Messaging (GCM) サービスを使用して Android デバイ

スにプッシュ通知を送信し、デバイスがSophos Mobileサーバーとの接続を開始します。

中国では GCM が動作しない可能性があります。このため、Sophos Mobileでは、中国版の

プッシュ通知サービスである「Baidu Cloud Push」を使用することもできます。

中国で Android デバイスを管理する場合は、次のようにして Baidu Cloud Push サービスを 有効化してください。

1. サイドバーのメニューの「設定」の下で「セットアップ > 全般」の順にクリックし、

「Android」タブをクリックします。

2. 「Baidu Cloud Push サービス」セクションで、「Baidu Cloud Push サービスを有効 にする」を選択します。

3. 「保存」をクリックします。

Baidu Cloud Push を有効にした場合、Sophos Mobileから GCM のほか Baidu Cloud Push を通じてプッシュ通知が送信されます。

6.4 iOS の設定

「全般設定」ページの「iOS」タブで、iOS デバイス固有の設定を構成します。

1. サイドバーのメニューの「設定」の下で「セットアップ > 全般」の順にクリックし、

2. 次の設定を行います。 説明 オプション 「有効にする」を選択すると、管理下にあるデバイスの画面ロッ クがバイパスできるようになります。 このオプションを選択した場合、アクティベーションロックを 有効化した管理下のデバイスが同期を行うと、Sophos Mobile がバイパスコードを取得します。デバイスを削除する際や展開 しなおす際に必要に応じて、「デバイスの表示」ページから「ア クティベーションロックのバイパス」アクションを実行し、画 面ロックを解除することができます。 画面ロックは、紛失や盗難に遭ったデバイスを第三者が再アク ティベートして使用できないようにする、iOS のセキュリティ 機能です。通常アクティベーションロックを解除するには、正 しい Apple ID と パスワードが必要となります。アクティベー ションロックのバイパス機能では、バイパスコードのみを使用 してアクティベーションロックを解除することができます。 アクティベーションロックのバ イパス 「有効にする」を選択すると、デバイス上で設定されたデバイ ス名で iOS デバイスが管理されます。 このオプションを選択した場合、デバイスとSophos Mobileが 同期するたびに、Sophos Mobileに表示されるデバイス名が、 デバイス上で設定されているデバイス名に上書きされます。 このオプションの選択を外した場合は、デバイスを登録する際 にデバイス名を設定します。 デバイス名の同期 3. 「保存」をクリックします。

6.5 Windows デバイスの同期間隔の設定

Windows デバイスの場合、Windows の MDM クライアントがSophos Mobileサーバーに接 続して同期を行う間隔を設定することができます。通常、サーバーはプッシュ通知を送信し てクライアントにアクセスします。プッシュ通知サービスが利用できない場合は、安全策と してポーリングが行われます。 注:ほとんどの場合、デフォルトの値で十分です。短い同期期間を指定すると、バッテリー の持ちに影響を与えたり、サーバーへの負荷が増加したりすることに注意してください。 1. サイドバーメニューの「設定」の下で「セットアップ > 全般」の順にクリックし、 「Windows」タブをクリックします。 2. 各Windows OS の同期間隔を選択します。以下の種類ごとに設定できます。 ■ Windows 10 Mobile デバイスとWindows Phone 8.1 デバイス

■ Windows 10 Desktop デバイス

6.6 メールの設定

「メール設定」タブで、Sophos Mobileからユーザーに送信するメールを設定します。 1. サイドバーのメニューの「設定」の下で「セットアップ > 全般」の順にクリックし、 「メール設定」タブをクリックします。 2. 「言語」で、メールの言語を選択します。 3. 「保存」をクリックします。

6.7 サポート問い合わせ先情報の設定

ユーザーからの問い合わせに対応するテクニカルサポートの問い合わせ先や問い合わせ方法

に関する情報を設定できます。ここで入力する情報は、Sophos Mobile Controlアプリに表

示されます。 1. サイドバーのメニューの「設定」の下で、「セットアップ > 全般」の順にクリックし、 「サポート問い合わせ」タブをクリックします。 2. 必要なサポート問い合わせ情報を入力します。 3. 「保存」をクリックします。

6.8 カスタマープロパティの定義

my propertyという名前のプロパティを定義した場合、%_CUSTPROP(my property)_% というプレースホルダを使用すれば、プロファイルとポリシーのプロパティの値を参照でき ます。 プロファイルやポリシーのプレースホルダの詳細については、プロファイルとポリシーのプ レースホルダ (p. 67) を参照してください。 カスタマープロパティを定義する方法は次のとおりです。 1. サイドバーのメニューの「設定」の下で、「セットアップ > 全般」の順にクリックし、 「カスタマープロパティ」タブをクリックします。 2. 「カスタマープロパティの追加」をクリックします。 3. 新しいプロパティの名前および値を入力します。 4. 「適用」をクリックしてプロパティを追加します。 5. 「保存」をクリックしてカスタマー設定の変更内容を保存します。

7 セルフサービス ポータルの設定

セルフサービス ポータルでは、ヘルプデスクの手を煩わせることなく、ユーザー自身でデ バイスの登録やその他のタスクを実行できるため、IT 部門の負担が軽減されます。 サイドバーのメニューで、セルフサービス ポータルを使用するために次のような項目を設 定できます。 ■ 登録可能なデバイスのプラットフォームの種類。 ■ 使用可能な機能。 ■ セルフサービス ポータルにアクセス可能なユーザー。 セルフサービス ポータルは、次のプラットフォームで使用可能です。 ■ Android ■ Apple iOS ■ Windows Mobile ■ Windows Desktop

7.1 セルフサービス ポータルの設定

1. サイドバーのメニューの「設定」で、「セットアップ」、「セルフサービス ポータル」 の順に展開します。 「セルフサービス ポータル」ページが表示されます。 2. 「設定」タブで次の値を設定します。

a) 「デバイスの最大数」リストから、ユーザーがSophos Central Self Service Portalで 登録できるデバイスの最大数を選択します。これによって、利用可能なライセンスの 最大数を超えないようにできます。

b) 「デバイス所有者の事前設定」リストから、新しいデバイスが企業所有のデバイス

か、個人所有のデバイスであるか、またユーザーがSophos Central Self Service Portal でデバイスを登録する際にこの区分を変更できるかどうかを選択します。選択できる オプションは次のとおりです。 ■ 事前選択なし_:ユーザーは、「会社貸与デバイス」と「私物デバイス」から選択で きます。 ■ 企業所有 - 事前選択:「会社貸与デバイス」が事前に選択されます。ユーザーは、 これを「私物デバイス」に変更できます。 ■ 企業所有 - 固定:「会社貸与デバイス」が選択され、ユーザーが変更することはで きません。 ■ 個人所有 _- 事前選択_:「私物デバイス」が事前に選択されます。ユーザーは、これ を「会社貸与デバイス」に変更できます。

■ 個人所有 _- 固定_:「私物デバイス」が選択され、ユーザーが変更することはできま せん。 c) 「使用可能な機能」で、セルフサービス ポータルでユーザーが使用できる機能を選 択します。使用可能な機能は、モバイルデバイスのプラットフォームによって異なり ます。詳細は、使用可能なセルフサービス ポータルの設定 (p. 20) を参照してくださ い。 3. 「利用条件」タブで、デバイス登録時に最初にユーザーに表示される、モバイルデバイ スに関するポリシー、免責事項または同意テキストを設定します。ユーザーが操作を続 行するには、このテキストに同意する必要があります。 HTML マークアップを使用して、テキストを作成できます。 4. 「ポストインストール用テキスト」タブで、デバイス登録後にセルフサービス ポータル に表示するテキストを入力します。たとえば、インストール後に実行が必要なタスクに ついて説明したりできます。 HTML マークアップを使用して、テキストを作成できます。 5. 「グループの設定」タブで、登録したデバイスの追加先デバイスグループやデバイスに 配信するタスクバンドルの設定を行います。 重要: グループ設定は構成が複雑なため、実際のユーザーに設定を展開する前に、異な るユーザーグループに対してデバイスの登録テストを行うことを推奨します。 a) 「追加」をクリックします。 「グループ設定の編集」ページが表示されます。 b) 「名前」フィールドにセルフサービス ポータルの新しい設定グループの名前を入力 します。 c) 「ユーザーグループ」フィールドに、定義したユーザーグループを入力します。複数 のグループを指定する際、文字列の最初の 1文字および最後の 1文字としてアスタリ スク (*) を使用できます。また、文字列でアスタリスク 1文字のみを指定することも できます。例:「Dev*」と入力すると、「Dev」という文字列ではじまるすべてのグ ループ名が対象となります。使用可能なグループすべてを指定するには、「*」と入 力します。 注: 「*」は、すべてのユーザーでなく、すべてのグループを指します。グループに 所属していないユーザーは含まれません。 d) 登録手順の最初のステップで、事前に設定した利用条件を表示するには、「登録時に 利用条件を表示する」を選択します。 e) 登録手順の最終ステップで、事前に設定したポストインストール用テキストを表示す るには、「登録時にインストールの後処理に関するテキストを表示する」を選択しま す。 f) 「初期パッケージ - 会社貸与デバイス」および「初期パッケージ - 私物デバイス」カ ラムで、企業貸与デバイスと私物デバイスで実行するタスクバンドルやポリシーを選 択します (Android/iOS にはタスクバンドル、Windows Mobile/Windows Desktop には ポリシー)。

g) 「有効」カラムで、セルフサービス ポータルで設定可能にするプラットフォームを

初期パッケージを選択すると、プラットフォームを「有効」に選択できるようになり ます。 h) 「追加先デバイスグループ」カラムで、デバイスの追加先グループを選択します。 デバイスのグループの詳細は、デバイスグループ (p. 61) を参照してください。 i) 「適用」をクリックします。 6. 「セルフサービス ポータル」ページが表示されます。「保存」をクリックします。

7.2 使用可能なセルフサービス ポータルの設定

セルフサービス ポータルの設定 (p. 18) にある説明に従って、セルフサービス ポータルで 有効化/無効化できる機能、および対応しているデバイスのプラットフォームは次のとおり です。 Windows Desktop Windows Mobile iOS Android 説明 設定 デバイスの盗難・紛失時に、 ユーザーはデバイスの位置情 報を取得できます。 デバイスの位置情報取 得 デバイスの盗難・紛失時に、 ユーザーはデバイスをロック できます。 デバイスのロック Sophos Mobileがデバイスか ら削除されていても、デバイ スが登録されている場合は、 デバイスの再設定 ユーザーはデバイスの再設定 を実行できます。 ユーザーは、各自のデバイス のコンプライアンス違反を表 示できます。 コンプライアンス違反 の表示 ユーザーは自分のデバイスを Sophos Mobileサーバーと手 動で同期できます。これは、 データの更新 デバイスの電源が長期間オフ になっていたため、サーバー と同期されていない場合など に便利です。この場合、デバ イスがコンプライアンスに準 拠していない可能性があり、 再度準拠させるにはサーバー との同期が必要になります。 注: この機能は、 コ

Windows Desktop Windows Mobile iOS Android 説明 設定 の管理下にあるデバイスでは 使用できません。 画面ロックのパスワードをリ セットできます。Android お よび iOS デバイスの場合、 パスワードのリセット セルフサービス ポータルに 一時パスワードが表示されま す。このパスワードでのみデ バイスのロックを解除できま す。ユーザーは、デバイスの ロックを解除したら、新しい パスワードを設定できます。 iOS の場合、パスワードが完 全に削除されます。ユーザー は 60分内に新しいパスワー ドを設定する必要がありま す。 デバイスの盗難・紛失時に、 ユーザーは登録済みのデバイ スを出荷時の状態にリセット ワイプ (ワイプ) できます。デバイス 上のすべてのデータが削除さ れます。 ユーザーは、自分のデバイス から仕事用プロファイルを削 除できます。この操作によっ Android の仕事用プロ ファイルのワイプ て、デバイスはSophos Mobileからも登録解除され ます。 ユーザーは、使用しなくなっ たデバイスを使用停止にでき ます。これは、Sophos デバイスの登録解除

Central Self Service Portalで 登録できるデバイスの数に制 限がある場合や、ユーザーが 新しいデバイスを取得した場 合などに便利です。 ユーザーは、使用停止にした デバイスを削除できます。 管理下にないデバイス の削除 Android デバイスのアプリの ロックのパスワードをリセッ トできます。アプリのロック App Protection パス ワードのリセット のパスワードは、保護対象に

Windows Desktop Windows Mobile iOS Android 説明 設定 指定したアプリの誤用を防 ぎ、アプリを起動するたびに ユーザー入力が必要です。リ セットするとパスワードが削 除され、ユーザーは新しいパ スワードを設定する必要があ ります。 ユーザーは、Sophos コンテ ナのパスワードをリセットで きます。ユーザーは、いずれ Sophos コンテナのパ スワードのリセット かの Sophos コンテナアプリ を起動するたびに、Sophos コンテナのパスワードを入力 する必要があります。リセッ トするとパスワードが削除さ れ、ユーザーは新しいパス ワードを設定する必要があり ます。 ユーザーは、インストール済 みのSophos Mobile Control

アプリを再設定できます。 SMC アプリの再設定

8 システム セットアップ

8.1 Apple Push Notification Service の証明書

iOS デバイスに組み込まれているモバイルデバイス管理 (MDM) プロトコルを使用するに は、iOS Push Notification Service (APNs) を使用して、Sophos Mobileに登録されているデ バイスとの通信を可能にする必要があります。

APNs 証明書は 1年間有効です。

以下のセクションでは、独自のクライアント証明書を使用して APNs サーバーへの取得す

るのに必要な要件と操作手順を説明しています。

8.1.1 要件

Apple Push Notification Service (APNs) と通信を行うには、以下のTCP ポートへの送受信 接続を許可する必要があります。

■ Sophos Mobileサーバーが接続するサーバー:_{gateway.push.apple.com:2195 TCP} (17.0.0.0/8)

■ Wi-Fi のみで接続する各 iOS デバイスが接続するサーバー:_{*.push.apple.com:5223} TCP (17.0.0.0/8)

8.1.2 APNs 証明書の作成

この手順は、Sophos Mobileに Apple Push Notification Service (APNs) の証明書がアップ ロードされていないことを前提としています。

既存の証明書の更新について詳細は、APNs 証明書の更新 (p. 24) を参照してください。

1. サイドバーのメニューの「設定」の下で、「セットアップ > システムセットアップ」の

順にクリックし、「iOS APNs」タブをクリックします。

タブに表示されている説明に従って、Apple から証明書をリクエストし、Sophos Mobile

にアップロードします。

2. 「証明書署名要求のダウンロード」ステップで、「証明書署名要求のダウンロード」を

クリックします。

「apple.csr」という証明書要求ファイルがローカルコンピュータに保存されます。

3. Apple ID を用意します。既に Apple ID をお持ちの場合でも、Sophos Mobile用に新しい

ID を作成することを推奨します。「Apple ID の作成」ステップで、「新しい Apple ID

の作成」をクリックします。

「Apple ID を作成」という Apple 社のWeb ページが開くので、ここで会社用の Apple

ID を作成します。

注: 作成したアカウントのログイン情報は、担当者がアクセスできる、安全な場所に保

4. 「iOS APNs」タブの上部の「Apple ID」フィールドに新しい Apple ID を入力しておく と、必要なときに参照できます。

毎年証明書を更新する際、常に同じ Apple ID を使用する必要があります。

5. 「APNs 証明書の作成または更新」ステップで、「Apple Push Certificates Portal」を

クリックします。

Apple Push Certificates Portal が開きます。

6. Apple ID でログインし、証明書署名要求ファイル「apple.csr」をアップロードしま す。

7. 「.pem」という拡張子の APNs 証明書ファイルをダウンロードしてコンピュータに保存

します。

8. 「APNs 証明書のアップロード」ステップで、「証明書のアップロード」をクリックし、

Apple Push Certificates Portal から取得した「.pem」ファイルを参照します。

9. 「保存」をクリックすると、APNs 証明書がSophos Mobileに追加されます。

Sophos Mobileは証明書を読み取り、「iOS APNs」タブに証明書情報を表示します。

8.1.3 APNs 証明書の更新

この手順は、期限切れ間近で更新が必要な Apple Push Notification Service (APNs) 証明書

を、Sophos Mobileにアップロードしたことを前提としています。 新しい証明書を作成し、アップロードする方法の詳細は、APNs 証明書の作成 (p. 23) を参 照してください。 重要: Apple のポータルで、更新する APNs 証明書を正しく選択する必要があります。更新 する証明書を間違えると、すべての iOS デバイスの再登録が必要になる場合があります。 1. サイドバーのメニューの「設定」の下で、「セットアップ > システムセットアップ」の 順にクリックし、「iOS APNs」タブをクリックします。 2. 「証明書署名要求のダウンロード」ステップで、「証明書署名要求のダウンロード」を クリックします。 「apple.csr」という証明書要求ファイルがローカルコンピュータに保存されます。

3. 「Apple ID の作成」ステップをスキップします。このステップは、Sophos Mobile用の APNs 証明書を新規作成する場合のみに必要です。

4. 「APNs 証明書の作成または更新」ステップで、「Apple Push Certificates Portal」を クリックします。

Apple Push Certificates Portal が開きます。

5. Apple ID を使ってログインします。これは、APNs 証明書を新規作成した際に使用した ID と同じ ID である必要があります。

6. Apple Push Certificates Portal で、該当するSophos Mobile APNs 証明書の横にある 「Renew」(更新) をクリックします。

7. 先に用意しておいた証明書署名要求ファイル「apple.csr」をアップロードします。

8. 「.pem」という拡張子の APNs 証明書ファイルをダウンロードしてコンピュータに保存

します。

10.「保存」をクリックします。 重要:次のメッセージが表示されると、更新する証明書が正しく選択されなかったことを意 味します。 「新しい証明書のトピックが、古い証明書のトピックに対応しません。古い証明書でデ バイスを設定した場合は、設定し直す必要があります。変更内容を保存しますか？」 このメッセージは、別の識別子で新しい APNs 証明書が作成されることを意味します。メッ セージを確定すると、すべての既存の iOS デバイスは管理できなくなり、再び登録が必要 になります。 証明書を正しく選択する方法の詳細は、更新する APNs 証明書の確認 (p. 25) を参照してく ださい。

8.1.4 更新する APNs 証明書の確認

APNs 証明書の更新 (p. 24) の説明に従って、Sophos Mobileサーバー用の Apple Push Notification service (APNs) 証明書を更新する際、Apple のポータルで、更新する APNs 証 明書を正しく選択する必要があります。

ここでは、現在、Sophos Mobileサーバーにアップロードされている APNs 証明書を確認す

る方法について説明します。

証明書の識別子の取得:

1. Sophos Central Admin にログインして、メインメニューの「マイプロダクト」セクショ ンで、「モバイルデバイス」画面を開きます。

2. サイドバーのメニューの「設定」の下で、「セットアップ > システムセットアップ」の

順にクリックし、「iOS APNs」タブをクリックします。

3. 「Apple Push Notification キーストアの内容」セクションに、アップロード済みの APNs 証明書のプロパティが表示されます。

4. 「トピック」に対して表示されている値をメモします。

この値が APNs 証明書の識別子です。

証明書の識別:

5. Web ブラウザを使用して、Apple Push Certificates Portal の URL を開きます。

https://identity.apple.com/pushcert/

Apple のポータルを Microsoft の Internet Explorer で上手く閲覧できない場合は、最新 バージョンの Firefox、Opera、Chrome、または Safari といったブラウザを使用するこ とを推奨します。 6. APNs 証明書を新規作成した際に使用した Apple ID を使用してログインします。 7. APNs 証明書のリストで、証明書エントリの横にある「証明書情報」アイコン をク リックします。 証明書の詳細が表示されます。 8. 「サブジェクト DN」フィールドで、文字列「UID=」の後に表示されている値を参照し ます。これが、Sophos Mobile コンソールで定義した識別子と一致する場合は、証明書 が正しく選択されたことを意味します。

8.1.5 デバイスの APNs 接続の確認

iOS 用Sophos Mobile Controlアプリのユーザーは、使用しているデバイスが、Apple Push Notification Service (APNs) サーバーに接続できるかどうかを確認できます。

1. Sophos Mobile Controlアプリで「情報」アイコンをタップして、「バージョン情報」画 面を開きます。 2. 「APNs の確認」をタップします。 アプリは、Apple APNs サーバーに接続しようとします。予想されるサーバーの応答時間は 5秒以内です。 APNs サーバーに接続できることが、アプリによって通知されたら、APNs 経由でデバイス がSophos Mobileサーバーからコマンドを受信できることを意味します。 APNs サーバーに接続できないことが、アプリによって通知されたら、ネットワークで APNs

通信が許可されないため、Sophos Mobileは iOS デバイスを管理できないことを意味しま

す。通信できるようにするには、要件 (p. 23) にある条件が満たされるように設定してくだ

さい。

8.2 iOS AirPlay の出力先の設定

Sophos Mobileでは、iOS デバイスと、事前に指定した AirPlay の出力先 (例: AppleTV) と の間の AirPlay ミラーリングをリモートで開始できます。 注: AirPlay は、同じネットワーク上のデバイス間のみで動作します。 AirPlay ミラーリングの出力先を指定できます。 1. サイドバーのメニューの「設定」で、「セットアップ」、「システムセットアップ」の 順に展開し、「iOS AirPlay」タブを開きます。 2. 「AirPlay の出力先」セクションで、「AirPlay の出力先の作成」をクリックします。 「AirPlay の出力先」ページが表示されます。 3. デバイス名、さらに任意で AirPlay の出力先デバイスの Mac アドレスを入力します。必 要に応じて、デバイスのパスワードを入力します。 4. 「適用」をクリックします。

デバイスは、「システム セットアップ」ページの「iOS AirPlay」タブの、「AirPlay の

出力先」に表示されます。 5. 「保存」をクリックします。 iOS デバイスとこの出力先との間の AirPlay ミラーリングは、「デバイスの表示」ページに ある「アクション」メニューの「AirPlay ミラーリングの要求」をクリックして開始できま す。

8.3 Samsung Knox ライセンス

8.4 SCEP (Simple Certificate Enrollment Protocol)

証明書を提供するために、SCEP (Simple Certificate Enrollment Protocol) を設定できます。 これによって、デバイスは SCEP を使用して認証局 (CA) から証明証を取得できるようにな ります。

SCEP を使って認証局 (CA) サーバーにアクセスするために必要な設定すべては、Sophos Mobile コンソールで設定できます。

必要な設定は、Android/iOS デバイスの場合はデバイスのプロファイルの「SCEP」ページ、

またWindows Mobile デバイスの場合はポリシーの「SCEP」ページで定義できます。

8.4.1 前提条件

SCEP (Simple Certificate Enrollment Protocol) を使用するための前提条件は次のとおりで す。 ■ SCEP に対応したWindows CA が環境にある。 ■ チャレンジコードを作成できるユーザーのログイン情報がある。 ■ _{Sophos Mobile}サーバーは、次のサイトに http または https で接続できます。 ■ https://SCEP サーバー名/CertSrv/MSCEP_ADMIN ■ _https://SCEP サーバー名_{/CertSrv/MSCEP}

8.4.2 SCEP の設定

1. サイドバーのメニューの「設定」で、「セットアップ > システムセットアップ」の順に 展開し、「SCEP」タブを開きます。 2. 次のように設定します。

a) 「SCEP サーバーの URL」フィールドに、次のように入力します。https://SCEP サー バー名/CertSrv/MSCEP

b) 「チャレンジ URL」フィールドに、次のように入力します。https://SCEP サーバー

名/CertSrv/MSCEP_ADMIN

注: Windows 2003 Server を SCEP サーバーとして使用している場合は、次のよう に入力します。https://SCEP サーバー名/CertSrv/MSCEP

c) 「ユーザー」および「パスワード」フィールドに、チャレンジコードを作成できる

注: 「ユーザー」フィールドに、証明書の登録権限を持つユーザーを入力します。 「ユーザー名@ドメイン」というログイン形式で指定します。

d) 「チャレンジの文字」フィールドで、チャレンジパスワードで使用する文字の種類を

選択します。

e) 「チャレンジの文字数」フィールドで、デフォルトの文字数を指定します。

f) Sophos Mobileが SCEP サーバーに接続する際、HTTP プロキシをバイパスするよう

に設定するには、「HTTP プロキシを使用」オプションを選択解除します。このオプ

ションは、HTTP プロキシが有効化されている場合のみに使用できます。

3. 「保存」をクリックします。

Sophos Mobileは、SCEP サーバーへの接続をテストします。

SCEP を使用してプロファイルをインストールするには、Android/iOS デバイスのプロファ

9 コンプライアンスポリシー

コンプライアンスポリシーでは以下の設定を行うことができます。 ■ デバイスに対して特定の設定を許可、禁止、または強制的に適用する。 ■ コンプライアンスルールに違反した際に実行するアクションを定義する。 コンプライアンスポリシーは、デバイスグループ別に作成・適用できます。このため、管理 下のデバイスに異なるレベルのセキュリティを適用することが可能です。 注:事前定義済みのコンプライアンスポリシーは 2種類用意されています。どちらも HIPAA および PCI DSS のセキュリティ基準に基づいています。 ヒント: 会社貸与と私物の両方のデバイスを管理する場合は、少なくともこの 2種類のデバ イスに対して異なるコンプライアンスポリシーを指定することを推奨します。

9.1 コンプライアンスポリシーの作成

1. サイドバーのメニューで、「デバイス設定」の下の「コンプライアンスポリシー」をク リックします。 2. 「コンプライアンスポリシー」ページで「コンプライアンスポリシーの作成」をクリッ クします。 3. 新しいコンプライアンスルールの「名前」を入力し、必要に応じて「説明」も入力しま す。 必要なプラットフォームすべてに対して次の手順を繰り返します。 4. 各タブの「有効化する」チェックボックスが選択されていることを確認します。 このチェックボックスが選択されていないと、対応するプラットフォームに対してコン プライアンスチェックが行われません。 5. 「ルール」で選択したプラットフォームに対するコンプライアンスルールを設定します。 各種のデバイスに対して利用可能なルールの説明は、画面右上の「ヘルプ」をクリック します。 注: 各コンプライアンスルールには重要度のレベルが設定されており (高、中、低)、青 い色のバーで表示されます。重要度のレベルは、ルールの重要性や違反時に実行するア クションを評価するうえで役立ちます。

注: デバイス全体ではなく、Sophos コンテナのみがSophos Mobileの管理下にあるデ

バイスの場合は、コンプライアンスルールは一部分のみが適用されます。「ルールのハ イライト表示」で、項目をハイライト表示する管理タイプを選択します。

6. 「違反時のアクション」の下の項目では、ルール違反が発生した場合に実行するアクショ ンを設定します。 説明 オプション メールへのアクセスを禁止します。 このアクションは、スタンドアロンの EAS プロキシとの接続を 設定した場合のみに実行できます。詳細は、スタンドアロン型 EAS プロキシサーバーとの接続の設定 (p. 223) を参照してくだ さい。 メール接続を拒否

Sophos Secure Workspace および Secure Email アプリを無効 化します。無効化により、これらのアプリで管理されるドキュ メント、メール、およびWeb サイトの閲覧に影響が生じます。 このアクションは、Mobile Advancedライセンスをアクティベー トした場合のみに実行できます。 このオプションは、Android デバイスおよび iOS デバイスのみ に適用できます。 コンテナをロック 警告が作成されます。

生成された警告は、Sophos Central Admin の「警告」ページに 表示されます。 警告の作成 特定のタスクバンドルをデバイスに配信します。 ドロップダウンリストから、コンプライアンスルールに違反し たときに配信するタスクバンドルを選択します。「なし」を選 択すると何も配信されません。 この段階では、この項目は「なし」に設定することを推奨しま す。詳細は、「Sophos Mobile管理者ヘルプ」を参照してくだ さい。 重要: タスクバンドルを誤って配信すると、デバイスの設定が 変更されたり、ワイプされてしまうこともあります。コンプラ イアンス設定のルールに正しいタスクバンドルを割り当てるに は、システムに関する深い知識が必要です。 タスクバンドルの配信 注: これらのアクションは、違反の最初の発生時のみに実行されます。アクションを有 効化すると、それ以降発生する違反に対してのみアクションが実行されます。 7. 必要なプラットフォームすべての設定が完了したら、「保存」をクリックして指定した 名前でコンプライアンスポリシーを保存します。 「コンプライアンスポリシー」ページに新しいコンプライアンスポリシーが表示されま す。

9.2 利用可能なコンプライアンスルール

プラットフォームごとに選択できるコンプライアンスルールは次のとおりです。

注: Sophos Mobile Security アプリに関するルールは、Mobile Advancedライセンスをアク ティベートしている場合のみに表示されます。 Windows IoT Windows Desktop Windows Mobile iOS Android Things Android 説明 ルール 管理下にないデバイス に対して実行するアク ションを指定します。 管理状態にある デバイスにインストー ルするSophos Mobile Controlアプリの最低必 SMC アプリの最 低バージョン 要なバージョンを入力 します。 root 権限を持つデバイ スを許可するかを選択 します。 注: Enterprise API バージョン 4 以降が搭 root 権限を許可す る 載されている Sony デ バイス、および Knox バージョン 5.5 以前が 搭載されている Samsung デバイスの 場合、ブートローダの ロックが解除されてい ることなどが原因で、 MDM API によって 「安全ではない」と分 類されたデバイスも含 みます。 提供元が不明のアプリ を許可するかを選択し ます。 発行元が不明のア プリを許可する

Android Debug Bridge (ADB) 機能を許可する かを選択します。 Android Debug Bridge (ADB) を 許可する Jailbreak されたデバイ スを許可するかを選択 します。 Jailbreak を許可 する

Windows IoT Windows Desktop Windows Mobile iOS Android Things Android 説明 ルール デバイスのパスワード や他の画面ロックの方 法 (パターン、PIN な 画面ロックが設定 されている ど) を指定する必要が あるかを選択します。 Android の場合、画面 ロックの方法として 「パターン」、 「PIN」、「パスワー ド」を指定できます が、「スワイプ」は指 定できません。 パスワードポリシーが 割り当てられていない Windows Mobile デバ イスは、常に非準拠と して表示されます。こ れは、Windows の制限 事項です。 最低必要な OS のバー ジョンを選択します。 OS の最低バー ジョン 利用可能な OS の最大 バージョンを選択しま す。 OS の最大バー ジョン デバイスに、最新の使 用可能なアップデート または最新の必須アッ 必要な OS のアッ プデート プデートがインストー ルされている必要があ るかどうかを選択しま す。 iOS アップデートの中 には、Apple によって 必須と指定されている ものもあります。最新 の使用可能なアップ デートは、最新の必須 アップデートより新し い場合もあります。 デバイスの同期プロセ ス間隔の最大値を指定 します。 許容する最大同期 間隔

Windows IoT Windows Desktop Windows Mobile iOS Android Things Android 説明 ルール iOS アプリの同期プロ セス間隔の最大値を指 定します。 許容する SMC ア プリの最大同期間 隔 デバイスにある Sophos Mobile Security アプリによっ SMSec 検索の最 大間隔 て実行されるマルウェ ア検索の最大間隔を指 定します。 Sophos Mobile Security がデバイスで 正常に動作するには、 SMSec のアクセ ス権限の拒否を許 可する アクセス権限が必要で す。ユーザーは、アプ リのインストール後、 このようなアクセス権 限を付与する必要があ ります。 必要なアクセス権限を 拒否すると、コンプラ イアンス違反になるか を指定してください。 Sophos Mobile Security によって検出 された悪質アプリを許 悪質アプリを許可 する 可するかどうかを指定 します。 Sophos Mobile Security によって検出 された疑わしいアプリ 疑わしいアプリを 許可する を許可するかどうかを 指定します。 Sophos Mobile Security によって検出 された不要と思われる 不要と思われるア プリを許可する アプリを許可するかど うかを指定します。 暗号化が必要かを選択 します。 Android 5 以降を搭載 しているデバイスで画 暗号化が必要であ る 面ロックを設定する

Windows IoT Windows Desktop Windows Mobile iOS Android Things Android 説明 ルール 際、ユーザーは、「端 末を起動するには PIN が必須とする」または 「端末を起動するには パスワードが必須とす る」設定も有効化する 必要があります。詳細 は、ソフォスのサポー トデータベースの文章 123947を参照してく ださい。 Windows Mobile の場 合は、「暗号化されて いないデバイスを禁 止」が同時に設定され ている場合のみにコン プライアンス違反が報 告されます。これは、 Windows の制限事項で す。 データローミングを許 可するかを選択しま す。 データローミング を許可する デバイスでコンテナを 設定し、有効にする必 要があるかどうかを選 コンテナが設定さ れている 択します。Sophos コ ンテナ、Samsung Knox コンテナまたは Android 仕事用プロ ファイルがあります。 この設定は、位置情報 取得機能を指します。 コンプライアンスに準 位置情報のパー ミッションが必要 である 拠するために、Sophos Mobile Controlアプリ で位置情報を取得する ことをユーザーがイン ストール時に許可する 必要があるかを指定し ます。

Sophos Mobile Control

アプリがデバイスで正 常に動作するには、ア SMC のアクセス

権限の拒否を許可 する

Windows IoT Windows Desktop Windows Mobile iOS Android Things Android 説明 ルール す。ユーザーは、アプ リのインストール後、 このようなアクセス権 限を付与する必要があ ります。 必要なアクセス権限を 拒否すると、コンプラ イアンス違反になるか を指定してください。 位置情報サービスが有 効になっており、

Sophos Mobile Control

アプリによる位置 情報の取得を可能 にする アプリによる使用が許 可されている必要があ ります。 Windows Mobile の場 合、このルールは Windows Phone 8.1 デ バイスに対してのみ適 用されます。 「許可するアプリ」ま たは「禁止するアプ リ」のいずれかを指定 許可するアプリ / 禁止するアプリ できます。必要なオプ ションを 1つ目のド ロップダウンリストか ら選択し、2つ目のド ロップダウンリストか ら、許可する/禁止する アプリを含むアプリグ ループを選択します。 アプリグループを作成 する方法の詳細は、ア プリグループ (p. 195) を参照してください。 「許可するアプリ」を 指定すると、リストに あるアプリのみが許可 されます。それ以外の アプリが検出される と、デバイスはコンプ ライアンス違反になり ます。 注: Android のシステ ムアプリは自動的に許 可されます。

Windows IoT Windows Desktop Windows Mobile iOS Android Things Android 説明 ルール 「禁止するアプリ」を 指定すると、そのよう なアプリが検出される と、デバイスはコンプ ライアンス違反になり ます。 インストール必須のア プリを指定します。必 須アプリを含むアプリ 必須アプリ グループを、ドロップ ダウンリストから選択 します。アプリグルー プを作成する方法の詳 細は、アプリグループ (p.195) を参照してくだ さい。 Windows Defender の 「リアルタイム保護」 が有効になっている必 要があります。 Windows Defender が有効 になっている Windows Defender に 警告が表示されている 場合、デバイスをコン Windows Defender で状態 が「保護」と表示 される _{プライアンス非準拠に} 指定するかを選択しま す。 Windows Defender が 最新のスパイウェア定 義ファイルを使用する Windows Defender の定義 ファイルが最新で ある _{必要があるかを選択し} ます。

9.3 コンプライアンスポリシーをデバイスグループに適

用する方法

1. サイドバーのメニューで、「管理」の下の「デバイスグループ」をクリックします。 「デバイスグループ」ページが表示されます。

2. コンプライアンスポリシーを適用するグループの横にある青い逆三角マークをクリック し、「編集」をクリックします。 「Default」というデバイスグループは必ず表示されます。デバイスグループを作成する 方法の詳細は、デバイスグループの作成 (p. 61) を参照してください。 3. 「コンプライアンスポリシー」で、会社貸与デバイスと私物デバイスに適用するコンプ ライアンスポリシーを選択します。 4. 「保存」をクリックします。 選択したコンプライアンスポリシーが、「デバイスグループ」ページで、対象のデバイスグ ループの「コンプライアンスポリシー (会社)」または「コンプライアンスポリシー (個人)」 に表示されます。

9.4 デバイスのコンプライアンスの確認

コンプライアンスポリシーを指定した後、登録済みのデバイスが、指定したポリシーに準拠 しているかどうかを確認できます。 1. サイドバーのメニューで、「デバイス設定」の下の「コンプライアンスポリシー」をク リックします。 2. 「今すぐチェック」をクリックします。 すべての登録済みデバイスのコンプライアンスが確認されます。指定されたアクションが実 行されます。 注: ルール違反の発生時に実行するアクション (例:メール接続を拒否) は、違反の最初の発 生時のみに実行されます。アクションを変更すると、それ以降報告される違反に対しての み、変更されたアクションが適用されます。

10 デバイス

10.1 デバイスの追加

Sophos Mobileにデバイスを追加する方法は次のとおりです。 ■ デバイスを手動で追加する。詳細は、デバイスの追加 (p. 38) を参照してください。 ■ デバイスの登録ウィザードを使用して、デバイスを_{Sophos Mobile}に追加し、ユーザー への割り当て、デバイスの登録、および登録用のタスクバンドルの配信を実行してくだ さい。詳細は、デバイスの登録ウィザードを使用したデバイスの新規登録と割り当て (p. 41) を参照してください。

■ ユーザーがSophos Central Self Service Portalで自分のデバイスを登録できるようにす

る。詳細は、セルフサービス ポータルの設定 (p.18) を参照してください。ユーザーは、 セルフサービス ポータルを使用することで、ヘルプデスク担当者の支援なしでタスクを 実行できるので、IT 部門の作業負担が軽減されます。定義済みのタスクバンドルを実行 して、デバイスのプロビジョニングを実行できます。詳細は、タスクバンドル (p.175) を 参照してください。 デバイスの管理を容易にするため、デバイスグループを使用することを推奨します。詳細 は、デバイスグループ (p. 61) を参照してください。

10.1.1 デバイスの追加

Sophos Mobileにはじめてデバイスを追加する際は、事前に 1つ以上のデバイスグループを 作成しておくことを推奨します。こうすることで、各デバイスをデバイスグループに追加で きるため、デバイス管理がより簡単になります。詳細は、デバイスグループの作成 (p. 61) を参照してください。 Sophos Mobileに新しいデバイスを追加する方法は次のとおりです。 1. サイドバーのメニューで、「管理」の下の「デバイス」をクリックします。 「すべてのデバイス」ページが表示されます。 2. 「追加」をクリックして「デバイスの手動追加」の下からプラットフォームを選択しま す。 「デバイスの編集」ページが表示されます。