Sophos Mobile Control SaaS スタートアップガイド

Sophos Mobile Control
SaaS スタートアップ
ガイド
製品バージョン: 6.1
ドキュメント作成日: 2016年 9月
目次
1 このガイドについて...........................................................................................................4
2 Sophos Mobile Control について........................................................................................5
3 導入ステップ......................................................................................................................7
4 パスワードの変更...............................................................................................................8
5 ログイン名の変更...............................................................................................................9
6 SMC Advanced ライセンスのアクティベーション..........................................................10
7 ライセンスの確認.............................................................................................................11
8 設定..................................................................................................................................12
8.1 個人設定の指定..................................................................................................12
8.2 パスワードポリシーの設定................................................................................13
8.3 サポート問い合わせ先情報................................................................................14
8.4 セルフサービスポータルの設定........................................................................14
9 Apple Push Notification Service の証明書........................................................................15
9.1 要件....................................................................................................................15
9.2 APNs 証明書の作成とアップロード...................................................................15
10 スタンドアロン型 EAS プロキシの設定........................................................................17
10.1 スタンドアロン型 EAS プロキシ.....................................................................17
10.2 スタンドアロン型 EAS プロキシの使用シナリオ............................................17
10.3 EAS プロキシのインストーラのダウンロード.................................................18
10.4 スタンドアロン型 EAS プロキシのインストール............................................19
11 ネットワークアクセスコントロールの設定.................................................................23
12 コンプライアンスルール................................................................................................25
12.1 コンプライアンスルールの作成.......................................................................25
13 デバイスグループの作成................................................................................................28
14 iOS デバイスの設定.......................................................................................................29
14.1 iOS デバイス用のプロファイルの作成.............................................................29
14.2 iOS デバイス用のタスクバンドルの作成.........................................................30
15 Android デバイスの設定.................................................................................................32
15.1 Android デバイス用のプロファイルの作成......................................................32
15.2 Android デバイス用のタスクバンドルの作成...................................................33
16 セルフサービスポータルの設定の更新.........................................................................35
17 ユーザー管理の設定.......................................................................................................36
2
18 内部ユーザー管理の使用................................................................................................37
18.1 セルフサービスポータルのテストユーザーの作成.........................................37
18.2 セルフサービスポータルのデバイス登録テスト.............................................37
18.3 Sophos Mobile Control へのユーザーのインポート.........................................37
19 外部ユーザー管理の使用................................................................................................39
19.1 外部ディレクトリの接続の設定.......................................................................39
19.2 LDAP ユーザーのデバイス登録テスト.............................................................41
20 デバイスの登録ウィザードを使用したデバイスの新規登録と割り当て........................42
21 用語集.............................................................................................................................44
22 テクニカルサポート.......................................................................................................46
23 ご利用条件.....................................................................................................................47
3
Sophos Mobile Control
1 このガイドについて
このガイドでは、Sophos Mobile Control as a Service を初期設定してデバイスを管理する
方法について説明します。
管理方法の詳細については、「Sophos Mobile Control 管理者ヘルプ」を参照してください。
このガイドは、モバイルデバイスの最も一般的なプラットフォームである、Android と iOS
を対象としています。他の対応 OS についてもこのガイドの説明と同様の方法で設定を行う
ことができます。
4
SaaS スタートアップガイド
2 Sophos Mobile Control について
Sophos Mobile Control
Sophos Mobile Control は、スマートフォンやタブレット端末などのモバイルデバイス、お
よび Windows 10 Desktop デバイス用の管理ツールです。アプリやセキュリティ設定を管理
し、企業のデータを安全に保ちます。
Sophos Mobile Control は、サーバーコンポーネントとクライアントコンポーネントから構
成されます。
サーバーは、Sophos Mobile Control 製品のコアコンポーネントです。Web インターフェー
スを通じて、Sophos Mobile Control の運用管理と登録済みデバイスの管理を行います。
クライアントコンポーネントは、デバイスにインストールするアプリです。Sophos Mobile
Control サーバーの Web インターフェースを使用して、無線接続によるセットアップと設
定を実行できます。
Sophos Mobile Control セルフサービスポータルでは、ヘルプデスクの手を煩わせることな
く、ユーザー自身でデバイスの登録や、その他のタスクを実行できるため、IT 部門の負担
が軽減されます。
また、Sophos Mobile Control は、Sophos Mobile Security、Sophos Secure Workspace、お
よび Sophos Secure Email モバイルアプリの一元管理にも使用できます。この場合、SMC
Advanced ライセンスが必要となります。
Sophos Mobile Security
Sophos Mobile Security は、Android デバイス向けセキュリティ対策アプリです。アプリの
インストール時には、SophosLabs から提供される最新の解析情報を利用して、自動でマル
ウェアスキャンを実施。データ流出や想定外のコストを招く悪質なソフトウェアをブロック
できます。
Sophos Secure Workspace
Sophos Secure Workspace は、Android および iOS 搭載デバイス用のアプリで、さまざま
なクラウドストレージサービス上のファイルや企業が配信するファイルを、参照、管理、
編集、共有、暗号化、復号化できるセキュアなワークスペースを提供します。デバイス紛
失/盗難時の第三者によるデータの不正利用や、ファイルの誤送信など、さまざまなタイプ
のデータ流出を防止します。
ファイルの復号化や表示はシームレスに行われます。他のアプリから受け取ったファイルは
暗号化して、対応するクラウドストレージサービスにアップロードしたり、Sophos Secure
Workspace 内のローカルストレージ領域に保存したりすることができます。
Sophos Secure Workspace を使用すると、SafeGuard Cloud Storage や SafeGuard Data
Exchange で暗号化されたファイルを閲覧できます。どちらも SafeGuard Enterprise やその
他の製品エディションのモジュールです。
5
Sophos Mobile Control
Sophos Secure Workspace には、企業内のイントラネットや Sophos Mobile Control のポ
リシーでアクセスが許可されているサイトに安全にアクセスできる、「社内ブラウザ」機能
も搭載されています。
Sophos Secure Email
Sophos Secure Email は、Android および iOS 搭載デバイス用のアプリで、メール、予定表
の項目、連絡先などを管理するためのセキュアなコンテナを提供します。すべてのデータが
暗号化され、不正アクセスを防止します。
6
SaaS スタートアップガイド
3 導入ステップ
Sophos Mobile Control の使用開始までの主な手順は次のとおりです。
1. パスワードをリセットし、Sophos Mobile Control の Web コンソールにログインし、管
理者のユーザー名を変更する。
2. Sophos Mobile Security、Sophos Secure Workspace、Sophos Secure Email アプリを一
元管理できる「SMC Advanced」ライセンスを購入している場合は、Web コンソールで
アクティベーションを行う。
3. ライセンスを確認する。
4. 個人設定、Web コンソールのユーザーに対するパスワードポリシー、サポート問い合わ
せ先情報、セルフサービスポータルの設定を構成する。
5. Apple Push Notification Service 証明書をアップロードする。
6. 必要に応じてスタンドアロン型 EAS プロキシを設定し、管理型のデバイスからメール
サーバーに送信されるメールトラフィックのフィルタリングを行う。
7. 必要に応じてサードパーティ製の NAC (ネットワークアクセスコントロール) システム
とのインターフェースを設定する。
8. コンプライアンスルールを作成する。
9. デバイスグループを作成する。
10. デバイスを設定する。
11. セルフサービスポータルの設定を更新する。
12. ユーザー管理を設定する。
13. 内部ユーザー管理を使用する場合: ユーザーを追加する。ユーザーは新規作成すること
も、ユーザーのリストをアップロードすることもできます。
14. 外部ユーザー管理を使用する場合: LDAP ディレクトリとの接続を設定する。
15. セルフサービスポータルでデバイスの登録をテストする。
7
Sophos Mobile Control
4 パスワードの変更
セキュリティ上の理由から、Sophos Mobile Control の Web コンソールに初回ログインする
際にパスワードをリセットすることをお勧めします。
1. Web ブラウザで Web コンソールの URL を開きます。
2. 「ログイン」ダイアログで、「パスワードを忘れた場合」をクリックします。
3. 「パスワードのリセット」ダイアログで、Sophos Mobile Control as a Service のアカウ
ントのアクティベーションを案内するメールに記載されている「カスタマー」と「ユー
ザー」を入力し、「パスワードのリセット」をクリックします。
パスワードのリセット用リンクを含むメールが送信されます。
4. リンクをクリックして「パスワードの変更」ダイアログを開きます。
5. 新しいパスワードを入力し、「パスワードの変更」をクリックします。
パスワードが変更されます。次回 Web コンソールにログインする際は、必ずこのパス
ワードでログインします。
注: パスワードポリシーは、たとえばパスワードに最低限含めなくてはならない小文字、大
文字、記号の文字数などを設定し、推測しやすいパスワードを設定できないように変更する
ことを推奨します。詳細はパスワードポリシーの設定 (p. 13) を参照してください。
8
SaaS スタートアップガイド
5 ログイン名の変更
セキュリティ上の理由から、Web コンソールに初回ログインした後、管理者のログイン名
を変更することを推奨します。
1. サイドバーのメニューの「設定」の下で、「セットアップ > 管理者」の順にクリックし
ます。
2. 「管理者の表示」ページで、ログイン名の右側に表示される青い逆三角マークをクリッ
クし、「編集」をクリックします。
3. 「管理者の編集」ページで、「ログイン名」フィールドに新しいログイン名を入力しま
す。
4. または、他の項目の設定内容を変更します。
●
●
●
名
姓
メールアドレス
5. 「保存」をクリックします。
アカウント情報が変更されます。次回 Web コンソールにログインする際は、必ず新しいロ
グイン名でログインします。
9
Sophos Mobile Control
6 SMC Advanced ライセンスのアクティ
ベーション
SMC Advanced ライセンスをお持ちの場合は、Sophos Mobile Control を使用して Sophos
Mobile Security、Sophos Secure Workspace、Sophos Secure Email アプリを一元管理する
ことができます。
Sophos Mobile Control の初期設定で SMC Advanced ライセンスのアクティベーションを行
わなかった場合は、Sophos Mobile Control の Web コンソールで後からアクティベーション
を行うこともできます。
1. サイドバーのメニューの「設定」の下で、「セットアップ > システムセットアップ」の
順にクリックします。
2. 「ライセンス」タブの「Advanced 版ライセンスキー」にライセンスキーを入力し、「ア
クティベート」をクリックします。
キーのアクティベーションが完了するとライセンスの詳細が表示されます。
10
SaaS スタートアップガイド
7 ライセンスの確認
Sophos Mobile Control のライセンス体系はユーザー単位です。1つのユーザーライセンス
で、ユーザーに割り当てられているすべてのデバイスが保護できます。ユーザーに割り当て
られていないデバイスは、1台につき 1つのライセンスが必要です。
利用可能なライセンスを確認する方法は次のとおりです。
1. サイドバーのメニューの「設定」の下で、「セットアップ > システムセットアップ」の
順にクリックします。
2. 「システムセットアップ」ページで「ライセンス」タブをクリックします。
次の情報が表示されます。
●
ライセンスの最大数: Web コンソールから管理できるエンドユーザー (および割り当てら
れていないデバイス) の最大数。
●
使用中のライセンス数: 現在使用されているライセンスの数。
●
有効期限: ライセンスの有効期限。
表示されるライセンス情報に関する質問やご不明な点は、ソフォス営業部までお問い合わせ
ください。
注: Sophos Mobile Control では、ライセンス失効日の 30日前から、すべての管理者宛に、
ライセンスの有効期限を通知する複数のリマインダーがメールで送信されます。
11
Sophos Mobile Control
8 設定
次の項目を設定する必要があります。
●
個人設定 (管理する OS など)
●
パスワードポリシー
●
サポート問い合わせ先情報
●
エンドユーザーがセルフサービスポータルを使用するための各種設定
8.1 個人設定の指定
Sophos Mobile Control の Web コンソールをより効率よく使用するため、使用するプラット
フォームのみが GUI に表示されるようにカスタマイズできます。
注: ここで、プラットフォームを指定した場合、現在ログインしているユーザーだけに対し
て表示される画面が変更されます。ここで機能を無効にすることはできません。
1. サイドバーのメニューの「設定」の下で「セットアップ」、「全般」の順にクリックし、
「個人設定」タブをクリックします。
12
SaaS スタートアップガイド
2. 次の設定を行います。
オプション
説明
言語
Sophos Mobile Control の Web コンソールの表示言語を選択し
ます。
タイムゾーン
画面に表示する日時のタイムゾーンを選択します。
距離単位
距離単位として「メートル」または「ヤード・ポンド」法を選
択します。
1ページの表示件数
Web コンソールで 1ページに表示するデータの最大件数を選択
します。
デバイスの詳細をすべて表示
デバイスに関するすべての詳細情報を表示する場合は、この
チェックボックスを選択します。「カスタムプロパティ」タブ
と「内部プロパティ」タブが「デバイスの表示」ページに追加
されます。
有効なプラットフォーム
管理するプラットフォームを選択します。
Android
iOS
Windows Mobile (Windows Phone 8.x および Windows 10
Mobile オペレーティングシステムなど)
Windows Desktop
選択したプラットフォームに基づいて、Web コンソールの GUI
が調整されます。選択したプラットフォームに関連する画面や
機能のみが表示されます。
3. 「保存」をクリックします。
8.2 パスワードポリシーの設定
パスワードのセキュリティを強化するために、Sophos Mobile Control の Web コンソールお
よびセルフサービスポータルのユーザーに対するパスワードポリシーを設定します。
注: パスワードポリシーは、外部 LDAP ディレクトリのユーザーには適用されません。
1. サイドバーのメニューの「設定」の下で、「セットアップ > 全般」の順にクリックし、
「パスワードポリシー」タブをクリックします。
2. 「ルール」の下では、パスワードに最低限含めなければならない小文字や数字の数など、
パスワード要件を指定できます。
13
Sophos Mobile Control
3. 「設定」の下では次の項目を設定します。
a) パスワードの変更頻度 (日数): パスワードの有効期限が切れるまでの日数 (1 ~ 730 の
値) を入力します。何も入力しない場合、パスワードの有効期限は無期限になります。
b) 過去のパスワード利用制限回数: 1～10 までの間の値を選択します。「---」を選択
した場合、無制限になります。
c) ログインの最大試行回数: アカウントがロックされるまでのログインの失敗回数 (1～
10) を選択します。「---」を選択した場合、ログインの失敗が無制限に許可されま
す。
4. 「保存」をクリックします。
8.3 サポート問い合わせ先情報
ユーザーからの問い合わせに対応するテクニカルサポートの問い合わせ先や問い合わせ方法
に関する情報を設定できます。ここで入力する情報は、Sophos Mobile Control アプリとセ
ルフサービスポータルに表示されます。
1. サイドバーのメニューの「設定」の下で、「セットアップ > 全般」の順にクリックし、
「サポート問い合わせ」タブをクリックします。
2. 必要なサポート問い合わせ情報を入力します。
3. 「保存」をクリックします。
8.4 セルフサービスポータルの設定
1. サイドバーメニューの「設定」の下で、「セットアップ > セルフサービスポータル」の
順にクリックします。
「セルフサービスポータル」ページが開きます。
2. 必要に応じて、「設定」タブでセルフサービスポータルを設定します。
この時点で適用する設定がよくわからない場合は、デフォルトの設定を使用することを
推奨します。
設定の詳細な説明は、システム情報バーの「ヘルプ」をクリックしてください。
3. 「利用条件」タブで「編集」をクリックしてモバイルポリシーの免責事項や同意テキス
トを入力します。
このメッセージはデバイスの登録を開始する際に表示されます。ユーザーは登録を実行
する前に内容に同意する必要があります。
ヒント: エディタのツールバーを利用して簡単な HTML 形式のテキストを編集できま
す。次のステップで説明する「ポストインストール用テキスト」も同様です。
4. 任意:「ポストインストール用テキスト」タブで、「編集」をクリックしてデバイスの登
録が終了する際に表示するメッセージを入力します。
たとえば、デバイスの登録後にユーザーが行う必要のある操作の手順などを設定できま
す。
5. 「保存」をクリックします。
14
SaaS スタートアップガイド
9 Apple Push Notification Service の証明
書
iOS デバイスに組み込まれているモバイルデバイス管理 (MDM) プロトコルを使用するに
は、iOS Push Notification サービス (APNs) を使用して、Sophos Mobile Control に登録され
ているデバイスとの通信を可能にする必要があります。
APNs 証明書は 1年間有効です。Sophos Mobile Control では、証明書の失効日の 30日前か
ら管理者宛に、証明書の有効期限を通知する複数のリマインダーがメールで送信されます。
以下のセクションでは、独自のクライアント証明書を使用して APNs サーバーへの取得す
るのに必要な要件と操作手順を説明しています。
9.1 要件
Apple Push Notification Service (APNs) と通信を行うには、以下の TCP ポートへの送受信
接続を許可する必要があります。
●
●
Sophos Mobile Control サーバーが接続するサーバー: gateway.push.apple.com:2195
TCP (17.0.0.0/8)
Wi-Fi のみで接続する各 iOS デバイスが接続するサーバー: *.push.apple.com:5223
TCP (17.0.0.0/8)
9.2 APNs 証明書の作成とアップロード
APNs Certificate Wizard を使用して Apple Push Notification Service (APNs) 証明書を作成
し、Sophos Mobile Control サーバーにアップロードします。
このウィザードは、ソフォスのサポートサイトより入手できます。または、Sophos Mobile
Control の Web コンソールからダウンロードすることもできます。Web コンソールのサイ
ドバーのメニューで、「設定」の下の「セットアップ > システムセットアップ > iOS APNs」
タブの順にクリックし、ダウンロードのリンクをクリックします。
APNs Certificate Wizard を使用して APNs 証明書を作成・アップロードする方法は次のと
おりです。
1. ダウンロードしたファイル、Sophos Mobile Control APNs Certificate
Wizard.exe をダブルクリックして「APNs Certificate Wizard」を起動します。
2. 「License Agreement」(使用許諾契約書) 画面で、利用規約に同意する場合は「I Agree」
(同意する) をクリックします。
3. 「Create Certificate Signing Request」(証明書署名要求の作成) 画面で、「Company
Name」(会社名) と「Country」(たとえば、JP、UK など) を入力します。
証明書要求は、.plistの拡張子のファイルに保存されます。ファイルの場所は、「Create
Certificate Signing Request」(証明書署名要求の作成) に表示されます。この情報をメ
モしてから「Next」をクリックします。
15
Sophos Mobile Control
4. 「Upload PLIST」画面で証明書要求ファイルを Apple 社のサーバーにアップロードしま
す。画面の指示に従います。
a) 表示されるリンク (https://identity.apple.com/pushcert/) をクリックし、ブラウザで
Apple Push Certificates Portal を開きます。
Apple のポータルを Microsoft の Internet Explorer で上手く閲覧できない場合は、最
新バージョンの Firefox、Opera、Chrome、または Safari といったブラウザを使用す
ることを推奨します。
b) お持ちの Apple ID でログインするか、ID をお持ちでない場合は新規登録します。
個人用にではなく、業務用に Apple ID を作成することを推奨します。
c) 「Apple Push Certificates Portal」の最初のページで、「Create a Certificate」(証
明書の作成) をクリックします。
d) 利用規約に同意します。
e) .plist の証明書要求のファイルに移動し、「Upload」(アップロード) をクリックしま
す。
「Upload PLIST」(PLIST のアップロード) 画面で、「Upload to Apple」(Apple
にアップロード) というリンクをクリックして .plist ファイルが作成されたディレク
トリを開きます。
f) APNs 証明書が .pem の拡張子のファイルとして作成されます。証明書ファイルをダ
ウンロードして「PEM from Apple」ディレクトリに保存します。
5. 「Next」(次へ) をクリックします。
6. 「Create P12」(P12 の作成) 画面で Sophos Mobile Control に対する APNs 証明書を作
成します。APNs 証明書のパスワードを入力します。このパスワードは、後で、証明書
ファイル (.p12) を Sophos Mobile Control へアップロードする際に必要になります。
「Create P12」画面には、証明書の保存先ディレクトリが表示されます。この情報をメ
モしてから「Next」をクリックします。
注: このフォルダをコピーしてバックアップを作成することを推奨します。
7. 「Sophos Mobile Control APNs Certificate Wizard finished」(Sophos Mobile Control
APNs Certificate Wizard が完了しました) 画面で「Finish」(完了) をクリックします。
8. Sophos Mobile Control の Web コンソールの「iOS APNs」タブで「ファイルのアップ
ロード」をクリックします。作成した証明書ファイル (.p12) を参照し、この証明書のパ
スワードを入力します。後でわかりやすくなるように任意で Apple ID を入力することも
できます。
ファイルのアップロードに成功すると、確認メッセージが表示されます。また、APNs
証明書の「トピック」、「タイプ」および「有効期限日」も表示されます。
9. 「保存」をクリックして操作を完了します。
16
SaaS スタートアップガイド
10 スタンドアロン型 EAS プロキシの設定
10.1 スタンドアロン型 EAS プロキシ
Sophos Mobile Control では、EAS プロキシを設定して、管理下にあるデバイスからメール
サーバーに送信されるメールトラフィックのフィルタリングを行うことができます。
デバイスは、送受信メールサーバーとして EAS プロキシを使用するように設定する必要が
あります。EAS プロキシは、デバイスが Sophos Mobile Control の管理下にあり、必要なポ
リシーが適用されている場合のみ、実際のメールサーバーにトラフィックを転送します。こ
のため、メールサーバーをインターネットからアクセスできるようにする必要がなく、許可
したデバイス (パスコードの設定など、適切に設定されているデバイス) のみがメールサー
バーにアクセスできるため、より高いレベルのセキュリティを実現できます。また、特定の
デバイスからのアクセスをブロックするように EAS プロキシを設定することもできます。
スタンドアロン型 EAS プロキシは、Sophos Mobile Control から個別にダウンロード、イン
ストールします。HTTPS Web インターフェース経由で Sophos Mobile Control サーバーと
通信します。
注: パフォーマンス上の理由から、500台以上のクライアントデバイスを管理する必要があ
る場合、社内バージョンの代わりにスタンドアロンの EAS プロキシサーバーを使用するこ
とをお勧めします。
機能
複数の Microsoft Exchange メールサーバーや IBM Notes Traveler メールサーバーに対
応。各メールサーバーごとに 1つの EAS プロキシのインスタンスを設定できます。
ロードバランサに対応。スタンドアロン型 EAS プロキシのインスタンスを複数のコン
ピュータに設定し、ロードバランサを使用して、クライアントからのリクエストを分配
することができます。
証明書を使用したクライアント認証に対応。認証局 (CA) から証明書を選択できます。ク
ライアント証明書はこの証明書から生成されます。
注: iOS 以外のデバイスの場合、IBM Notes Traveler 特有のプロトコルにより、スタンドア
ロン型 EAS プロキシのフィルタリング機能が制限されます。iOS 以外のデバイス上の
Traveler クライアントは、リクエストごとにデバイス ID を送信しません。デバイス ID の
ないリクエストは、Traveler サーバーに送信されますが、EAS プロキシはデバイスが認証
されているかどうかを検証できません。
10.2 スタンドアロン型 EAS プロキシの使用シナリオ
注: このセクションでの情報に加えて、「Sophos Mobile Control 導入ガイド」(英語) には、
スタンドアロンの EAS プロキシを企業のインフラに統合する手順の概略図が記載されてい
ます。スタンドアロン ESA プロキシのインストールと導入を実行する前にそれらの情報を
確認しておくことをお勧めします。
17
Sophos Mobile Control
以下のシナリオでは、スタンドアロン型 EAS プロキシサーバーを使用する必要がありま
す。
iOS 以外のデバイス向けの IBM Notes Traveler (旧称 IBM Lotus
Notes Traveler) を使用している場合
Microsoft Exchange や iOS デバイス向け IBM Notes Traveler では、メールサーバーとクラ
イアント間の通信に ActiveSync プロトコルが使用されます。一方、Android など iOS 以外
のデバイス向けの IBM Notes Traveler では異なるプロトコルが使用されます。スタンドア
ロン型 EAS プロキシはそのようなプロトコルに対応します。
iOS 以外のデバイスでは、専用の Lotus Traveler クライアントソフトウェアが必要になりま
す。このソフトウェアは、<Traveler サーバー>/servlet/traveler または Lotus
Traveler のファイルシステムから取得できます。Lotus Traveler クライアントソフトウェア
のインストール、アンインストールは、Sophos Mobile Control の「アプリのインストール」
および「アプリのアンインストール」機能を使用してそれぞれ実行できます。設定は手動で
実行する必要があります。
複数のバックエンドサーバーに対応する場合
スタンドアロン型 EAS プロキシを使用すると、バックエンドメールシステムの複数のイン
スタンスを設定できます。各インスタンスには、受信方向の TCP ポートが必要です。各
ポートは異なるバックエンドに接続できます。各 EAS プロキシインスタンスごとに URL
が 1つ必要です。
EAS に対して負荷分散を設定する場合
スタンドアロン型 EAS プロキシのインスタンスを複数のコンピュータに設定し、ロードバ
ランサを使用して、クライアントからのリクエストを分配することができます。
このシナリオでは、HTTP に対する既存のロードバランサが必要になります。
クライアント証明書を使用した認証を使用する場合
このような環境では既存の PKI が必要で、CA 証明書の公開部分は EAS プロキシで設定す
る必要があります。
500台以上のデバイスを管理する必要がある場合
パフォーマンス上の理由から、500台以上のクライアントデバイスを管理する必要がある場
合、社内バージョンの代わりにスタンドアロンの EAS プロキシサーバーを使用することを
お勧めします。
10.3 EAS プロキシのインストーラのダウンロード
1. Sophos Mobile Control Web コンソールにログインします。
18
SaaS スタートアップガイド
2. サイドバーのメニューの「設定」で、「セットアップ」、「システムセットアップ」の
順に展開します。
3. 「システムセットアップ」ページの「EAS プロキシ」タブで、「外部」セクションにあ
るダウンロード用リンクをクリックします。
10.4 スタンドアロン型 EAS プロキシのインストール
前提条件:
EAS プロキシのインスタンスの設定時に、指定されたメールサーバーにインストーラが
アクセス可能かどうかがチェックされます。インストーラを実行する前に、このような
サーバーにアクセス可能であることを確認してください。
スタンドアロン型 EAS プロキシをインストールし、設定する方法は次のとおりです。
1. 管理者権限で Sophos Mobile Control EAS Proxy Setup.exe を実行して、
「Sophos Mobile Control EAS Proxy - Setup Wizard」(Sophos Mobile Control EAS プ
ロキシ - セットアップウィザード) を起動します。
2. ライセンス条項を確認して、同意します。
3. 「Choose Install Location」(インストール先の選択) ページでインストール先フォルダ
を選択して、「Install」(インストール) をクリックしてインストールを開始します。
インストールが完了すると、「Sophos Mobile Control EAS Proxy - Configuration
Wizard」(Sophos Mobile Control EAS プロキシ - 設定ウィザード) が自動的に起動され
るので、指示に従って設定を行います。
4. 「SMC Server configuration」(SMC サーバーの設定) ダイアログで、EAS プロキシが
接続する SMC サーバーの URL を入力します。また、「Use SSL for incoming
connections (Clients to EAS Proxy)」(クライアントから EAS プロキシへの受信接続
に SSL を使用) を選択して、クライアントと EAS プロキシ間の通信をセキュリティで保
護してください。また、任意で、「Use client certificates for authentication」(認証に
クライアント証明書を使用) を選択して、クライアントが、EAS プロキシのアカウント
情報のほかに証明書を使用して認証するように設定することもできます。これによって、
接続のセキュリティが強化されます。
19
Sophos Mobile Control
5. 「Use SSL for incoming connections (Clients to EAS Proxy)」(クライアントから EAS
プロキシへの受信接続に SSL を使用) を選択済みの場合は、「Configure server
certificate」(サーバー証明書の設定) ページが表示されます。このページでは、EAS プ
ロキシへの安全なアクセス (HTTPS) に必要な証明書を作成またはインポートします。
注:
SSL Certificate Wizard を MySophos からダウンロードして、Sophos Mobile Control の
EAS プロキシに対する SSL 証明書を要求できます。
ソフォス製品のソフトウェアをダウンロードする方法については、ソフォスのサポート
データベースの文章 111195 を参照してください。
●
●
信頼できる証明書がない場合は、「Create self signed certificate」(自己署名証明書
の作成) を選択します。
信頼できる証明書がある場合は、「Import a certificate from a trusted issuer」(信
頼できる発行元からの証明書をインポート) をクリックして、リストボックスから次
のいずれかのオプションを選択します。
PKCS12 with certificate, private key and certificate chain (intermediate and
CA) (証明書、秘密鍵、および証明書チェーンを含む PKCS12 (中間および CA))
Separate files for certificate, private key, intermediate and CA certificate (証
明書、秘密鍵、中間証明書および CA 証明書への個別ファイル)
6. 次に表示されるページで、選択した証明書の種類に応じて該当する証明書情報を入力し
ます。
注: 自己署名証明書の場合は、クライアントデバイスからアクセス可能なサーバーを指
定する必要があります。
7. 「Use client certificates for authentication」(認証にクライアント証明書を使用) を選
択済みの場合は、「SMC client authentication configuration」(SMC クライアント認
証の設定) ページが表示されます。このページでは、認証局 (CA) からの証明書を選択し
ます。クライアント証明書はこの証明書から生成されます。
クライアントが接続を試行すると、クライアントによって提供される証明書が、ここで
指定した CA から生成された証明書かどうかが、EAS プロキシによってチェックされま
す。
20
SaaS スタートアップガイド
8. 「EAS Proxy instance setup」(EAS プロキシインスタンスのセットアップ) ページで、
1つまたは複数の EAS プロキシのインスタンスを設定します。各インスタンスに対して、
「Instance name」(インスタンス名)、受信トラフィック用の該当する「Server port」
(サーバーポート)、および EAS プロキシのインスタンスの接続先の「ActiveSync Server」
(ActiveSync サーバー) を入力します。「Enable Traveler client access」(Traveler クラ
イアントのアクセスを有効にする) は、iOS 以外のデバイス上の IBM Notes Traveler ク
ライアントにアクセスを許可する必要がある場合のみに選択します。必要に応じて、特
定のインスタンスに対して、SSL 証明書やクライアント証明書を使用した認証を有効化
できます。
注: 複数のプロキシのインスタンスを設定する場合は、各インスタンスに対して異なる
サーバーポートを指定する必要があります。
9. インスタンス情報を入力して、「Add」(追加) をクリックしてインスタンスを
「Instances」(インスタンス) リストに追加します。
各プロキシのインスタンスに対して、Sophos Mobile Control サーバーにアップロードが
必要な証明書がインストーラによって作成されます。「Add」(追加) をクリックすると、
証明書のアップロード方法を説明するメッセージウィンドウが表示されます。
10. メッセージウィンドウで、「OK」をクリックします。
これによって、証明書の作成先フォルダがダイアログに表示されます。
注: このダイアログは、該当するインスタンスを選択して、「EAS Proxy instance
setup」(EAS プロキシインスタンスのセットアップ) ページの「Export config and
upload to SMC」(設定をエクスポートして SMC にアップロード) リンクをクリックし
ても表示できます。
21
Sophos Mobile Control
11. Sophos Mobile Control の Web コンソールにログインして、「セットアップ > システム
セットアップ > EAS プロキシ」を開きます。
12. 「外部サーバー」セクションで、「ファイルのアップロード」をクリックして、EAS プ
ロキシのインスタンス用に作成された証明書ファイルを選択します。変更内容を「EAS
プロキシ」設定で必ず保存してください。
注: EAS プロキシを起動する前に、証明書をアップロードする必要があります。起動時
に使用可能な証明書がない場合、Sophos Mobile Control は接続を拒否し、サービスは起
動されません。
13. 必要に応じて、ステップ 8 から 13 を繰り返して、EAS プロキシの追加インスタンスを
設定します。終了したら、「Next」(次へ) をクリックします。
入力したサーバーポートがテストされ、Windows ファイアウォールの受信の規則が設定
されます。
14. 「Allowed mail user agents」(許可するメールユーザーエージェント) ページで、EAS
プロキシへの接続が許可されているメールユーザーエージェント (つまり、メールクラ
イアントアプリケーション) を指定します。クライアントが、ここで指定されていない
メールアプリケーションを使用して EAS プロキシにが接続しようとすると、要求は拒否
されます。
●
●
すべてを許可する場合は、「Allow all mail user agents」(すべてのメールユーザー
エージェントを許可する) を選択します。
「Only allow the specified mail user agents」(指定したメールユーザーエージェ
ントのみを許可する) を選択して、一覧からメールユーザーエージェントを選択しま
す。「Add」(追加) をクリックして、許可するエージェントの一覧に追加します。
EAS プロキシへの接続を許可するメールユーザーエージェントすべてに対して、こ
の手順を繰り返します。
15. 「Sophos Mobile Control EAS Proxy - Configuration Wizard finished」(Sophos Mobile
Control EAS Proxy - 設定ウィザードが完了しました) ページで、「Finish」(完了) をク
リックして設定ウィザードを閉じて、セットアップウィザードに戻ります。
16. セットアップウィザードで、「Start Sophos Mobile Control EAS Proxy server now」
(Sophos Mobile Control EAS プロキシサーバーを今すぐ起動) が選択されていることを確
認した後、「Finish」(完了) をクリックして設定を完了し、Sophos Mobile Control EAS
プロキシを初回起動してください。
注: EAS プロキシのログのエントリは、毎日 EASProxy.log.yyyy-mm-dd という命名規
則で作成されるファイルに移動されます。毎日作成されるこのログは自動削除されないた
め、将来、空きディスク容量が不足する可能性があります。ログファイルをバックアップ
フォルダに移動する手順を設定することを推奨します。
22
SaaS スタートアップガイド
11 ネットワークアクセスコントロール
の設定
Sophos Mobile Control には、サードパーティ製の NAC (ネットワークアクセスコントロー
ル) システムとの連携に必要なインターフェースが搭載されています。NAC システムとの接
続を設定すれば、SMC のデバイスやそのコンプライアンスステータスのリストを NAC 側
で取得できるようになります。また、このセクションの説明に従ってネットワークアクセ
スコントロールを設定すれば、特定のコンプライアンス条件を満たさない場合にネットワー
クへのアクセスを禁止するコンプライアンスルールを後から指定することができます。
コンプライアンスルールの設定方法は、「Sophos Mobile Control 管理者ヘルプ」を参照し
てください。
ネットワークアクセスコントロールを設定する方法は以下のとおりです。
1. サイドバーのメニューの「設定」の下で、「セットアップ > システムセットアップ」の
順にクリックし、「ネットワークアクセスコントロール」タブをクリックします。
2. ドロップダウンリストから利用可能な NAC システムを選択します。
●
Sophos UTM
Sophos UTM (バージョン 9.2 以降) との連携を有効にするオプションです。連携には
UTM 側の設定も必要です。Sophos UTM オンラインヘルプの説明に従って、UTM
WebAdmin の「管理 > Sophos Mobile Control」で、SMC サーバーの URL と管理
者アカウント情報を指定してください。
●
Cisco ISE
Cisco ISE との連携を有効にするオプションです。次の設定を行います。
ユーザー名
Cisco ISE で指定する必要のあるユーザー名。Cisco ISE が
Sophos Mobile Control にログインするときに使用するユー
ザー名です。
パスワード
Sophos Mobile Control ログインのパスワードを入力します。
パスワードの確認
パスワードを再入力します。
ブロックしたデバイスのレダデバイスにネットワークへのアクセスが許可されないときに
イレクトページ
表示する URL。
セルフサービスポータルの URL、またはセルフサービスポー
タルへのリンクを含む情報画面の URL を指定することを推奨
します。
ここで入力した Sophos Mobile Control サーバーの URL とログイン情報を使用して
NAC インターフェースに接続するように、Cisco ISE でも関連する設定を行う必要が
あります。
23
Sophos Mobile Control
●
Check Point
Check Point (バージョン R77.10 以降) との連携を有効にするオプションです。次の
設定を行います。
ユーザー名
Check Point で指定しなくてはならないユーザー名。Check
Point が Sophos Mobile Control にログインするときに使用す
るユーザー名です。
パスワード
Sophos Mobile Control ログインのパスワードを入力します。
パスワードの確認
パスワードを再入力します。
Check Point のサポート記事、MDM cooperative enforcement for Mobile clients (英語)
の説明に従って、Check Point Mobile Access Gateway で、セキュリティゲートウェ
イの特定の構成を設定する必要があります。
●
Web サービス
サードパーティの NAC システムに Web サービスインターフェースへのアクセスを
許可する場合に選択します。
Sophos Mobile Control には、MAC アドレスやネットワークアクセスのステータスを
提供する、RESTful Web サービスインターフェースが搭載されています。
サードパーティの NAC システムは、Sophos Mobile Control の管理者アカウントのロ
グイン情報を使用して、このインターフェースに接続することができます。
Web サービスインターフェースの詳細は、「Sophos Mobile Control ネットワークア
クセスコントロールインターフェースガイド」(英語) を参照してください。
●
カスタム
証明書ベースでの NAC インターフェースへのアクセスを設定する場合に選択します。
注: 「カスタム」という古いオプションの使用は推奨しません。このオプションは今
後の製品リリースで削除する予定です。代わりに「Web サービス」オプションを使
用してサードパーティの NAC システムを Sophos Mobile Control に接続します。
「ファイルのアップロード」をクリックしてサードパーティ製 NAC システムの証明
書を参照します。証明書がアップロードされ、一覧に表示されます。
Sophos Mobile Control サーバーでアップロードした証明書を用いて認証が行われ、
該当するサードパーティの NAC システムに NAC インターフェースへの接続が許可
されます。
3. 「ネットワークアクセスコントロール」タブで「保存」をクリックします。
24
SaaS スタートアップガイド
12 コンプライアンスルール
コンプライアンスルールでは以下の設定を行うことができます。
デバイスに対して特定の設定を許可、禁止、または強制的に適用する。
コンプライアンスルールに違反した際に実行するアクションを定義する。
コンプライアンスルールは、さまざまなセットを作成して異なるデバイスのグループに適用
できるため、管理下のデバイスに異なるレベルのセキュリティを適用することができます。
ヒント: 会社貸与と私物の両方のデバイスを管理する場合は、少なくともこの 2種類のデバ
イスに対して異なるコンプライアンスルールのセットを指定することを推奨します。
12.1 コンプライアンスルールの作成
コンプライアンスルールを作成する方法は次のとおりです。
1. サイドバーのメニューで、「デバイス設定」の下の「コンプライアンスルール」をクリッ
クします。
2. 「コンプライアンスルール」ページで「コンプライアンスルールの作成」をクリックし
ます。
3. 新しいコンプライアンスルールの「名前」と任意で「説明」を入力します。
「コンプライアンスルール」ページの設定項目は、カスタマーに対して有効化されているデ
バイスのプラットフォームごとにタブで分かれています。必要なプラットフォームすべてに
対して次の手順を繰り返します。
4. 各タブの「有効化する」チェックボックスが選択されていることを確認します。
このチェックボックスが選択されていないと、対応するプラットフォームに対してコン
プライアンスチェックが行われません。
5. 「ルール」で選択したプラットフォームに対するコンプライアンスルールを設定します。
各コンプライアンスルールには重要度のレベルが設定されており (高、中、低)、青い色
のバーで表示されます。重要度のレベルは、ルールの重要性や違反時に実行するアクショ
ンを評価するうえで役立ちます。
各種類のデバイスに対して利用可能なルールの説明は、システム情報バーの「ヘルプ」
をクリックします。
25
Sophos Mobile Control
6. 「違反時のアクション」の下の項目では、ルール違反が発生した場合に実行するアクショ
ンを設定します。
オプション
説明
メール接続を拒否
メールへのアクセスを禁止します。
このアクションは、Sophos Mobile Control EAS プロキシサー
バーを使用している場合のみに実行できます。
詳細はスタンドアロン型 EAS プロキシの設定 (p. 17) を参照し
てください。
コンテナをロック
Sophos Secure Workspace および Secure Email アプリを無効
化します。無効化により、これらのアプリで管理されるドキュ
メント、メール、およびWeb サイトの閲覧に影響が生じます。
このアクションは、SMC Advanced ライセンスをアクティベー
ションした場合のみに実行できます。
このオプションは、Android デバイスおよび iOS デバイスのみ
に適用できます。
ネットワーク接続を拒否
ネットワークへのアクセスを禁止します。
詳細はネットワークアクセスコントロールの設定 (p. 23) を参
照してください。
管理者に通知
選択した受信者にコンプライアンスに関するメールを送信しま
す。
作成するすべてのコンプライアンスルールに対するメールの受
信者と送信時刻を設定できます。この後に続く手順の指示に従っ
てください。
タスクバンドルの配信
特定のタスクバンドルをデバイスに配信します。
この段階では、この項目は「なし」に設定することを推奨しま
す。詳細は、「Sophos Mobile Control 管理者ヘルプ」を参照し
てください。
重要: タスクバンドルを誤って配信すると、デバイスの設定が
変更されたり、ワイプされてしまうこともあります。コンプラ
イアンス設定のルールに正しいタスクバンドルを割り当てるに
は、システムに関する深い知識が必要です。
7. 必要なプラットフォームすべての設定が完了したら、「保存」をクリックして指定した
名前でコンプライアンスルールのセットを保存します。
「コンプライアンスルール」ページに新しいルールセットが表示されます。
26
SaaS スタートアップガイド
8. いずれかのプラットフォームのコンプライアンスルールで「管理者に通知する」という
アクションを選択した場合は、「コンプライアンスメールの設定」をクリックしてコン
プライアンスメールの受信者と送信時刻を指定します。
受信者を指定するには、管理者名を入力するか、有効なメールアドレスを入力します。
注: ここでの設定は、「管理者に通知する」アクションが有効に設定されている、すべ
てのコンプライアンスルールに適用されます。
9. 「保存」をクリックしてコンプライアンスメールの設定を保存します。
コンプライアンスルールはデバイスグループに適用して使用します。この方法は次章で説明
します。
27
Sophos Mobile Control
13 デバイスグループの作成
デバイスはグループに分類することをお勧めします。分類することで、個々のデバイスでは
なく、グループ全体に対してタスクを実行できるため、管理の効率が上がります。
注: 1つのグループには、同じプラットフォーム環境のデバイスのみを追加することを推奨
します。グループを使用して、インストールやその他のプラットフォーム固有のタスクを実
行する際に便利です。
新しいデバイスグループの作成方法は次のとおりです。
1. サイドバーのメニューの「管理」の下で、「デバイスグループ」、「デバイスの作成」
の順にクリックします。
2. 「デバイスグループの編集」ページで、新しいデバイスグループの「名前」と「説明」
を入力します。
3. 「コンプライアンスルール」セクションの下で、「会社貸与デバイス」と「私物デバイ
ス」のリストボックスからそれぞれに対して適用するコンプライアンスルールを選択し
ます。
4. 「保存」をクリックします。
注: デバイスグループの設定には、「自動登録を有効にする」というオプションがあり
ます。このオプションを有効にすると、Apple Configurator がインストールされている
iOS デバイスを登録できるようになります。詳細は、「Sophos Mobile Control 管理者ヘ
ルプ」を参照してください。
新しいデバイスグループが作成され、「デバイスグループ」ページに表示されます。
28
SaaS スタートアップガイド
14 iOS デバイスの設定
14.1 iOS デバイス用のプロファイルの作成
ここでは、Apple iOS デバイスの初期設定のためのプロファイルを作成します。
以下の項目に対しては個別のプロファイルを設定することを推奨します。
パスワードポリシーと制限
Exchange ActiveSync 設定 (必要に応じて)
VPN 設定 (必要に応じて)
Wi-Fi 設定 (必要に応じて)
ルート証明書とクライアント証明書 (必要に応じて)
注:
Sophos Mobile Control では、次の 2種類の方法で Apple iOS デバイス用のプロファイルを
作成できます。
Web コンソールから手動でプロファイルを作成する。
Apple Configurator で作成したプロファイルをインポートする。
このセクションでは、Web コンソールでプロファイルを作成する方法について説明します。
Apple Configurator で作成したプロファイルをインポートする方法についての詳細は、
「Sophos Mobile Control 管理者向けヘルプ」を参照してください。
Apple iOS デバイスのパスワードポリシーと制限のプロファイルを作成する方法は以下のと
おりです。
1. サイドバーのメニューの「デバイス設定」で、「プロファイル、ポリシー > Apple iOS」
の順に展開します。
2. 「プロファイルとポリシー」ページで、「作成 > デバイスのプロファイル」の順にク
リックします。
3. 「プロファイルの編集」ページで次の項目を設定します。
a) 名前: プロファイル名を入力します。セルフサービスポータルから登録したときに適
用されるプロファイルの場合は、「iOS SSP プロファイル」という名前を指定する
ことを推奨します。
b) 所属: 会社名などプロファイルに対する所属名を入力します。
c) バージョン: 任意でプロファイルのバージョン番号を入力します。
d) 説明: ベースプロファイルなどプロファイルの概略を入力します。
e) ユーザーによるプロファイルの削除: ユーザーがデバイスからプロファイルを削除す
ることを許可するかどうかを選択します。選択できる項目は以下のとおりです。
●
常に許可
●
認証を使用
29
Sophos Mobile Control
●
拒否
「拒否」を選択することを推奨します。
f) 自動削除の実行日: 任意でモバイルデバイスからプロファイルを自動的に削除する日
にちを選択できます。
日にちは設定しないことを推奨します。
4. 「OS」の右側にある「表示」をクリックしてプロファイルを適用する OS のバージョン
を選択します。このプロファイルには、関連するすべての iOS のバージョンを選択しま
す。
リストには既にデバイスに登録されている iOS バージョンのほか、すべてのサポートさ
れるバージョンを含む、汎用バージョンの「iOS」が表示されます。
5. パスワードポリシーをプロファイルに追加するには、「設定の追加」をクリックして「パ
スワードポリシー」、「次へ」の順にクリックします。
6. 「パスワードポリシー」ページで必要な項目を設定します。
設定の詳細な説明は、システム情報バーの「ヘルプ」をクリックしてください。
7. 「適用」をクリックして設定内容を保存します。
「パスワードポリシー」の設定が「プロファイルの編集」ページの「設定」の下に表示
されます。
8. プロファイルに制限を追加するには、もう一度「設定の追加」をクリックして「制限」、
「次へ」の順にクリックします。
9. 「制限」ページで必要な制限項目を選択します。
制限項目のなかには特定の機種やバージョンの iOS のみに適用可能なものもあります。
この要件は各制限項目の右横に表示されます。
設定の詳細な説明は、システム情報バーの「ヘルプ」をクリックしてください。
10. 「適用」をクリックして設定内容を保存します。
「制限」の設定が「プロファイルの編集」ページの「設定」の下に表示されます。
11. 「プロファイルの編集」ページで「保存」をクリックしてプロファイルを保存します。
プロファイルが「プロファイルとポリシー」ページに表示され、Apple iOS デバイスに配信
できるようになります。
必要に応じて、Exchange ActiveSync、VPN、Wi-Fi の設定、あるいはルート証明書やクラ
イアント証明書のインストールを定義するプロファイルを追加で作成します。
14.2 iOS デバイス用のタスクバンドルの作成
1. サイドバーのメニューの「デバイス設定」の下で、「タスクバンドル > Apple iOS」の
順にクリックして「タスクバンドル」ページを開き、「タスクバンドルの作成」をクリッ
クします。
30
SaaS スタートアップガイド
2. 「タスクバンドルの編集」ページで次の項目を設定します。
a) 名前: タスクバンドル名を入力します。セルフサービスポータルによる登録の際に適
用されるタスクバンドルについては、「iOS SSP タスクバンドル」という名前を指
定することを推奨します。
b) バージョン: 任意でタスクバンドルのバージョン番号を入力します。
c) 説明: タスクバンドルの概略 (例: 基本的な SSP タスクバンドルなど) を入力します。
d) 違反時にアクションの選択が可能: このオプションを選択すると、デバイスがコンプ
ライアンスルールに違反したときにデバイスでタスクバンドルが読み込まれるように
することができるようになります。
3. 「OS」の右側にある「表示」をクリックしてタスクバンドルを適用する OS のバージョ
ンを選択します。このタスクバンドルでは、関連するすべての iOS のバージョンを選択
します。
リストには既にデバイスに登録されている iOS バージョンのほか、すべてのサポートさ
れるバージョンを含む、汎用バージョンの「iOS」が表示されます。
4. 「タスクの作成」をクリックして「登録」を選択し、タスク名を入力します。「適用」
をクリックしてタスクを作成します。
ここで入力した名前は、タスクが処理されている間、セルフサービスポータルに表示さ
れます。
5. もう一度「タスクの作成」をクリックして「プロファイルのインストールまたはポリシー
の割り当て」を選択します。タスク名に「パスワードポリシーのプロファイルのインス
トール」など、わかりやすい名前を入力し、先に作成したプロファイル (前述の例では
「iOS SSP プロファイル」) を選択します。「適用」をクリックしてタスクを作成しま
す。
6. Exchange ActiveSync、VPN、または Wi-Fi の設定のプロファイルを作成した場合は、各
プロファイルについても上記の手順を繰り返します。
7. 必要に応じて、タスクバンドルにその他のタスクを追加します。
ヒント: 選択したタスクがインストールされる順序は、タスクのリストの右側にあるソー
ト矢印を使って設定できます。
8. 必要なタスクすべてをタスクバンドルに追加したら、「タスクバンドルの編集」ページ
で「保存」ボタンをクリックします。
タスクバンドルが「タスクバンドル」ページに表示され、Apple iOS デバイスに配信できる
ようになります。
31
Sophos Mobile Control
15 Android デバイスの設定
15.1 Android デバイス用のプロファイルの作成
ここでは、Android デバイスの初期構成のためのプロファイルを作成します。
以下の項目に対しては個別のプロファイルを設定することを推奨します。
パスワードポリシーと制限
Exchange ActiveSync 設定 (必要に応じて)
VPN 設定 (必要に応じて)
Wi-Fi 設定 (必要に応じて)
ルート証明書とクライアント証明書 (必要に応じて)
Android デバイスのパスワードポリシーと制限のプロファイルを作成する方法は以下のとお
りです。
1. サイドバーのメニューの「デバイス設定」で、「プロファイル、ポリシー > Android」
の順に展開します。
2. 「プロファイルとポリシー」ページで、「作成 > デバイスのプロファイル」の順にク
リックします。
3. 「プロファイルの編集」ページで次の項目を設定します。
a) 名前: プロファイル名を入力します。セルフサービスポータルからの登録で適用され
るプロファイルについては、「Android SSP プロファイル」という名前を指定する
ことを推奨します。
b) バージョン: 任意でプロファイルのバージョン番号を入力します。
c) 説明: ベースプロファイルなど、任意でプロファイルの概略を入力します。
4. 「OS」の右側にある「表示」をクリックしてプロファイルを適用する OS のバージョン
を選択します。このプロファイルには、関連するすべての Android のバージョンを選択
します。
リストには既にデバイスに登録されている Android バージョンのほか、すべてのサポー
トされるバージョンを含む、汎用バージョンの「Android」が表示されます。
5. パスワードポリシーをプロファイルに追加するには、「設定の追加」をクリックして「パ
スワードポリシー」、「次へ」の順にクリックします。
「パスワードポリシー」ページが開きます。
6. 「パスワードの種類」で、たとえば、「英数字と記号」など、定義するパスワードの種
類を選択します。
7. 必要な項目を設定します。
表示される設定項目は選択したパスワードの種類によって異なります。すべての設定の
詳細な説明は、システム情報バーの「ヘルプ」をクリックしてください。
32
SaaS スタートアップガイド
8. 「適用」をクリックして設定内容を保存します。
「パスワードポリシー」の設定が「プロファイルの編集」ページの「設定」の下に表示
されます。
9. プロファイルに制限を追加するには、もう一度「設定の追加」をクリックして「制限」、
「次へ」の順にクリックします。
10. 「制限」ページで必要な制限項目を選択します。
制限項目のなかには特定の機種やバージョンの Android のみに適用可能なものもありま
す。この要件は各制限項目の右横に表示されます。
設定の詳細な説明は、システム情報バーの「ヘルプ」をクリックしてください。
11. 「適用」をクリックして設定内容を保存します。
「制限」の設定が「プロファイルの編集」ページの「設定」の下に表示されます。
12. 「プロファイルの編集」ページで「保存」をクリックしてプロファイルを保存します。
プロファイルが「プロファイルとポリシー」ページに表示され、Android デバイスに配信で
きるようになります。
必要に応じて、Exchange ActiveSync、VPN、Wi-Fi の設定、あるいはルート証明書やクラ
イアント証明書のインストールを定義するプロファイルを追加で作成します。
15.2 Android デバイス用のタスクバンドルの作成
1. サイドバーのメニューの「デバイス設定」の下で、「タスクバンドル > Android」の順
にクリックして「タスクバンドル」ページを開き、「タスクバンドルの作成」をクリッ
クします。
2. 「タスクバンドルの編集」ページで次の項目を設定します。
a) 名前: タスクバンドル名を入力します。セルフサービスポータルによる登録の際に適
用されるタスクバンドルについては、「Android SSP タスクバンドル」という名前
を指定することを推奨します。
b) バージョン: 任意でタスクバンドルのバージョン番号を入力します。
c) 説明: タスクバンドルの概略 (例: 基本的な SSP タスクバンドルなど) を入力します。
d) 違反時にアクションの選択が可能: このオプションを選択すると、デバイスがコンプ
ライアンスルールに違反したときにデバイスでタスクバンドルが読み込まれるように
することができるようになります。
3. 「OS」の右側にある「表示」をクリックしてタスクバンドルを適用する OS のバージョ
ンを選択します。このタスクバンドルでは、関連するすべての Android のバージョンを
選択します。
リストには既にデバイスに登録されている Android バージョンのほか、すべてのサポー
トされるバージョンを含む、汎用バージョンの「Android」が表示されます。
4. 「タスクの作成」をクリックして「登録」を選択し、タスク名を入力します。「適用」
をクリックしてタスクを作成します。
ここで入力した名前は、タスクが処理されている間、セルフサービスポータルに表示さ
れます。
33
Sophos Mobile Control
5. もう一度「タスクの作成」をクリックして「プロファイルのインストールまたはポリシー
の割り当て」を選択します。タスク名に「パスワードポリシーのプロファイルのインス
トール」など、わかりやすい名前を入力し、先に作成したプロファイル (前述の例では
「Android SSP プロファイル」) を選択します。「適用」をクリックしてタスクを作
成します。
6. Exchange ActiveSync、VPN、または Wi-Fi の設定のプロファイルを作成した場合は、各
プロファイルについても上記の手順を繰り返します。
7. 必要に応じて、タスクバンドルにその他のタスクを追加します。
ヒント: 選択したタスクがインストールされる順序は、タスクのリストの右側にあるソー
ト矢印を使って設定できます。
8. 必要なタスクすべてをタスクバンドルに追加したら、「タスクバンドルの編集」ページ
で「保存」ボタンをクリックします。
タスクバンドルが「タスクバンドル」ページに表示され、Android デバイスに配信できるよ
うになります。
34
SaaS スタートアップガイド
16 セルフサービスポータルの設定の更新
セルフサービスポータルで登録したユーザーのデバイスに転送するタスクバンドルを作成
した後は、「セルフサービスポータル」タブのグループ設定で、そのタスクバンドルを指
定する必要があります。
1. サイドバーのメニューの「設定」の下で「セットアップ > セルフサービスポータル」の
順にクリックし、「グループの設定」タブを開きます。
2. 「Default」のグループ設定をクリックします。
「グループ設定の編集」ダイアログが開きます。
3. 「初期パッケージ - 会社貸与デバイス」および「初期パッケージ - 私物デバイス」のリ
ストで、Android および iOS デバイス用に作成したタスクバンドルを選択します。
4. セルフサービスポータルで利用できるようにするプラットフォームに対して「有効」
チェックボックスを選択します。
5. 「追加先デバイスグループ」リストから、セルフサービスポータルから登録したデバイ
スを追加するグループを選択します。
6. 「適用」をクリックします。
7. 「グループの設定」タブで「保存」をクリックします。
35
Sophos Mobile Control
17 ユーザー管理の設定
Sophos Mobile Control では、Web コンソールとセルフサービスポータルのユーザーアカウ
ントを次のいずれかの方法で管理できます。
内部ユーザー管理
内部ユーザー管理の場合、Web コンソールに手動でユーザーを追加するか、CSV (カン
マ区切り) 形式のファイルからユーザーを一括インポートしてユーザーを作成できます。
外部ユーザー管理
外部ユーザー管理の場合、既存の LDAP ディレクトリに接続し、グループメンバーシッ
プに基づいて、デバイスをグループやプロファイルに追加することができます。
注:
デバイスにユーザーを割り当てた後で、ユーザー管理方法を変更することはできません。
外部ユーザー管理では LDAPS (LDAP over SSL) 環境が必要です。Sophos Mobile Control
では、デフォルトの LDAPS ポート 636 を使用して LDAP サーバーへの接続を行いま
す。
ユーザー管理方法を選択するには以下の手順を実行します。
1. サイドバーのメニューの「設定」の下で、「セットアップ > システムセットアップ」の
順にクリックし、「ユーザー設定」タブをクリックします。
2. Web コンソールとセルフサービスポータル (SSP) のユーザーアカウントのデータソー
スを選択します。
●
●
内部ユーザー管理を使用するには「内部ディレクトリ」を選択します。
内部ユーザー管理を使用しない場合や、内部ユーザー管理と併用する場合は、「外部
LDAP ディレクトリ」を選択します。
3. 「外部 LDAP ディレクトリ」を選択した場合は、「外部 LDAP の設定」をクリックして
サーバーの詳細を指定します。詳細は外部ディレクトリの接続の設定 (p. 39) を参照して
ください。
4. 「保存」をクリックします。
注: 設定内容を保存すると、選択したユーザー管理方法のみが「ユーザー設定」タブに表示
されるようになります。選択内容を後から変更するには、いったん「なし。 SSP、ユーザー
固有のプロファイル、LDAP 管理者は利用できません。」を選択、保存すると、再びすべて
のオプションが表示されるようになります。
36
SaaS スタートアップガイド
18 内部ユーザー管理の使用
18.1 セルフサービスポータルのテストユーザーの作成
セルフサービスポータル (SSP) でのプロビジョニングをテストするために、テスト用の
SSP ユーザーアカウントを作成します。作成したアカウントを使用してセルフサービス
ポータルにログインし、デバイスの登録をテストします。
セルフサービスポータルのテスト用アカウントを作成する方法は次のとおりです。
1. サイドバーのメニューの「管理」の下の「ユーザー」をクリックして、「ユーザーの作
成」をクリックします。
2. 必要な項目を設定します。
「ようこそメールの送信」が選択されていることを確認します。
3. 「保存」をクリックします。
ユーザーがセルフサービスポータルユーザーのリストに追加され、設定画面で指定したメー
ルアドレスに、ようこそメールが送信されます。
18.2 セルフサービスポータルのデバイス登録テスト
セルフサービスポータルの使用をユーザーに案内する前に、セルフサービスポータルでデ
バイスの登録をテストすることを推奨します。
セルフサービスポータルのテストユーザーの作成 (p. 37) で作成したテスト用のユーザーア
カウントでセルフサービスポータルにログインし、Sophos Mobile Control で管理するすべ
てのプラットフォームに対して登録のテストを行います。
セルフサービスポータルの使用方法の詳細は、「Sophos Mobile Control ユーザーヘルプ」
を参照してください。
18.3 Sophos Mobile Control へのユーザーのインポート
セルフサービスポータルのデバイス登録をテストしたら、ユーザーのリストを Sophos
Mobile Control にインポートできます。
ユーザーのインポートは、内部ユーザー管理を選択している場合のみが対象です。外部ユー
ザー管理の場合、特定の LDAP グループに属するすべてのユーザーはシステムにログイン
できます。
最大 300名のセルフサービスポータルの新規ユーザーを、文字コードが UTF-8 CSV (カン
マ区切り) ファイルから一括インポートして、追加できます。
注: CSV ファイルの編集には、テキストエディタを使用してください。Microsoft Excel を
使用すると、入力した値が正しく表示されない場合があります。ファイルを保存する際は、
拡張子が .csv になっていることを確認してください。
37
Sophos Mobile Control
ヒント: 正しい列名と列の順序の例として、「ユーザーのインポート」ページからサンプル
ファイルをダウンロードできます。
CSV ファイルからユーザーをインポートする方法は次のとおりです。
1. サイドバーのメニューの「管理」の下の「ユーザー」をクリックして、「ユーザーのイ
ンポート」をクリックします。
2. 「ユーザーのインポート」ページで「ようこそメールの送信」を選択します。
3. 「ファイルのアップロード」をクリックして用意した CSV ファイルを参照します。
ファイルから項目が読み込まれ、画面に表示されます。
4. データの形式が正しくない場合や、データに不整合がある場合は、ファイル全体が取り
込めなくなります。この場合、問題のある項目の右側に表示されるエラーメッセージを
確認し、CSV ファイルの内容を修正したら、ファイルをアップロードしなおします。
5. 「完了」をクリックしてユーザーアカウントを作成します。
ユーザーがインポートされ、「ユーザーの表示」ページに表示されます。セルフサービス
ポータルのログイン情報が記載されたメールがユーザーに届きます。
38
SaaS スタートアップガイド
19 外部ユーザー管理の使用
19.1 外部ディレクトリの接続の設定
外部の LDAP ディレクトリを使用して Web コンソールとセルフサービスポータルのユー
ザーアカウントを管理する場合は、Sophos Mobile Control から LDAP サーバーのデータを
取得できるようディレクトリとの接続を設定する必要があります。
注: LDAP ディレクトリと Sophos Mobile Control は同期しません。Sophos Mobile Control
は、ユーザー情報を検索するためだけに LDAP ディレクトリにアクセスします。LDAP ユー
ザーの変更は、Sophos Mobile Control のデータベースに反映されません。また、その逆も
反映されません。
1. サイドバーのメニューの「設定」の下で、「セットアップ > システムセットアップ」の
順にクリックし、「ユーザー設定」タブをクリックします。
2. 「外部 LDAP ディレクトリ」を選択します。
3. 「外部 LDAP の設定」をクリックして、サーバーの詳細を指定します。
4. 「サーバーの詳細」ページで次の項目を設定します。
a) 「LDAP の種類」を選択します。Sophos Mobile Control が対応している種類は次の
とおりです。
●
Active Directory
●
IBM Domino
●
NetIQ eDirectory
●
Red Hat Directory Server
●
Zimbra
b) 「プライマリ URL」フィールドに、プライマリディレクトリサーバーの URL を入
力します。サーバーの IP アドレスやサーバー名を入力できます。SSL でサーバーに
接続する場合は、「SSL」を選択します。Sophos Mobile Control as a Service の場
合、「SSL」の選択を外すことはできません。
c) 任意で「セカンダリ URL」フィールドに、プライマリサーバーに接続できない場合
のフォールバック設定として、セカンダリディレクトリサーバーの URL を入力しま
す。サーバーの IP アドレスやサーバー名を入力できます。SSL でサーバーに接続す
る場合は、「SSL」を選択します。Sophos Mobile Control as a Service の場合、
「SSL」の選択を外すことはできません。
d) 「ユーザー」フィールドにディレクトリサーバーで検索するアカウントを入力しま
す。Sophos Mobile Control ではディレクトリサーバーへの接続にアカウント情報が
使用されます。
Active Directory の場合はドメインも入力する必要があります。次の形式で入力して
ください。
●
<ドメイン名>\<ユーザー名>
39
Sophos Mobile Control
●
<ユーザー名>@<ドメイン名>.<ドメインコード>
注: セキュリティ上の理由から、ディレクトリサーバーに対して読み取り権限のみを
持ち、書き込み権限を持たないユーザーを指定することを推奨します。
e) 「パスワード」フィールドにユーザーのパスワードを入力します。
「次へ」をクリックします。
5. 「検索のベース」ページで、検索ベースの DN (Distinguished Name) を入力します。
検索ベースは、ユーザーやグループの検索を開始する外部ディレクトリの場所です。
6. 「検索フィールド」では、プロファイルやポリシーの %_USERNAME_% や
%_EMAILADDRESS_% を表示するために使用するディレクトリのフィールドを設定し
ます。必要なフィールド名を入力するか、または「ユーザー名」と「メール」リストか
ら選択します。
注: リストボックスには、現在 LDAP ディレクトリに接続しているユーザー (前述のス
テップ 7.d で指定) に対して設定されているフィールドのみが表示されます。たとえば、
ユーザーに対してメールのフィールドが設定されていない場合などは、「メール」フィー
ルドに必要な値を手動で入力する必要があります。
Active Directory の場合、フィールドに対応する属性は以下のとおりです。
●
ユーザー名: sAMAccountName
●
名: givenName
●
姓: sn
●
メール: mail
7. 「SSP 設定」ページで、セルフサービスポータルへのログインを許可するユーザーを指
定します。次のいずれかの方法で「SSP グループ」フィールドに関連する情報を入力し
ます。
●
●
●
アスタリスク「*」を入力すると、すべての認証済みのディレクトリユーザーにセル
フサービスポータルへのログインが許可されます。
ディレクトリサーバーで定義されているグループ名を入力すると、グループのすべて
のメンバーにセルフサービスポータルへのログインが許可されます。グループ名を
入力したら、「グループの名前解決」をクリックしてグループ名を識別名 (DN:
Distinguished Name) として表示します。
入力欄を空白のままにすると、ディレクトリサーバーに登録されているすべてのユー
ザーがセルフサービスポータルにログインできなくなります。セルフサービスポー
タルではなく、Web コンソールに対する外部ユーザー管理を有効にする場合は、こ
のように設定してください。
注:
ここで指定するグループは、「セルフサービスポータル」ページの「グループの設定」
タブで指定するディレクトリグループに関連しません。SSP ページでは、各ディレクト
リグループに対する、タスクバンドル、Sophos Mobile Control のグループメンバーシッ
プ、有効なデバイスのプラットフォームなどを指定します。
セルフサービスポータルのグループ設定の詳細は、「Sophos Mobile Control 管理者ヘ
ルプ」を参照してください。
40
SaaS スタートアップガイド
8. 「適用」をクリックします。
9. 「ユーザー設定」タブで「保存」をクリックします。
19.2 LDAP ユーザーのデバイス登録テスト
セルフサービスポータルの使用をユーザーに案内する前に、セルフサービスポータルでデ
バイスの登録をテストすることを推奨します。
LDAP アカウントの認証情報でセルフサービスポータルにログインし、Sophos Mobile
Control で管理するすべてのモバイルプラットフォームに対して登録のテストを行います。
セルフサービスポータルの使用方法の詳細は、「Sophos Mobile Control ユーザーヘルプ」
を参照してください。
41
Sophos Mobile Control
20 デバイスの登録ウィザードを使用した
デバイスの新規登録と割り当て
デバイスの新規登録は、デバイス登録ウィザードを利用すると、簡単に登録できます。画面
の案内に従って次の一連の操作を行うことができます。
Sophos Mobile Control に新しいデバイスを追加する。
デバイスをユーザーに割り当てる (任意)。
デバイスを登録する。
登録用のタスクバンドルをデバイスに配信する (任意)。
デバイスの登録ウィザードを起動する方法は次のとおりです。
1. サイドバーのメニューの「管理」の下の「デバイス」をクリックして、「追加 > 登録
ウィザード」をクリックします。
ヒント: ウィザードは「ダッシュボード」ページからも起動できます。その場合は「デ
バイスの追加」というウィジェットをクリックします。
2. 「ユーザー検索情報の入力」画面で、デバイスを割り当てるユーザーの検索条件を入力
します。ユーザーへの割り当てなしでデバイスを登録する場合は、「ユーザーの割り当
てをスキップ」を選択します。
「次へ」をクリックして続行します。
3. 検索条件を入力した場合、一致するユーザーが画面に表示されます。
必要なユーザーを選択し、「次へ」をクリックします。
42
SaaS スタートアップガイド
4. 「デバイスの詳細」画面で、次の項目を設定します。
オプション
説明
プラットフォーム
デバイスのプラットフォーム。ログインしているカスタマーに
対して有効化されているプラットフォームのみ選択できます。
名前
Sophos Mobile Control で管理するデバイスの一意の名前。
説明
デバイスの概略 (任意)。
電話番号
電話番号 (任意)。番号は「+491701234567」など、国際電話番
号形式で入力してください。
メールアドレス
登録手順の送信先メールアドレス。
所有者
デバイス所有者に、「会社」または「個人」のいずれかを選択。
デバイスグループ
デバイスの割当先グループ。デバイスグループを作成していな
い場合は、常にリストに表示される「Default」というデバイス
グループを選択できます。
準備ができたら「次へ」をクリックします。
5. 「バンドルの選択」画面で、デバイスを登録した後に配信するタスクバンドルを選択し
ます。または「デバイスの登録のみ」を選択すると、タスクバンドルの配信なしてデバ
イスが登録されます。
注: 「登録」タスクを含むタスクバンドルのみが表示されます。
準備ができたら「次へ」をクリックします。Sophos Mobile Control にデバイスが追加さ
れます。
6. 「登録」画面で Sophos Mobile Control アプリをデバイスにインストールする手順に従っ
て、登録とプロビジョニングを完了します。
7. 登録の操作が正常に完了したら「完了」をクリックしてデバイスの登録ウィザードを閉
じます。
注:
●
すべてのセクションの設定が終了したら、「完了」ボタンが表示される前にウィザード
を閉じても問題ありません。登録タスクの作成や処理はバックグラウンドで行われます。
43
Sophos Mobile Control
21 用語集
カスタマー
デバイスを管理するテナント。
デバイス
管理対象デバイス (スマートフォン、タブレットや Windows 10 デ
バイスなど)。
エンドユーザー
デバイスのエンドユーザー。
登録
Sophos Mobile Control へのデバイスの登録。
Enterprise App Store Sophos Mobile Control サーバーにホストされているアプリのリポ
ジトリ。管理者は、Web コンソールを使用して、Enterprise App
Store にアプリを追加できます。ユーザーは、Sophos Mobile Control
アプリを使用して、このようなアプリを自分のデバイスにインス
トールできます。
管理対象アプリ
以下のいずれかの方法で、Sophos Mobile Control サーバーによっ
てインストールされたアプリ。
タスクバンドルを使用したインストール。
Web コンソールからの手動インストール。
プロビジョニング
管理者が「SMC 管理型インストール」オプションを選択した場
合、Enterprise App Store からのユーザーによるインストール
(iOS デバイスの場合のみ)。
Sophos Mobile Control クライアント (アプリ) をデバイスにインス
トールするプロセス。
セルフサービスポーヘルプデスクの手を煩わせることなく、エンドユーザー自身でデバ
タル (SSP)
イスの登録や、さまざまなタスクを実行できる Sophos Mobile
Control のユーザー向け Web インターフェース。
SMC Advanced ライ SMC Advanced ライセンスでは、Standard ライセンスで使用でき
センス
る機能のほか、Sophos Mobile Control を使用した、Sophos Mobile
Security、Sophos Secure Workspace および Sophos Secure Email
アプリの管理機能を利用できます。
SMSec
Sophos Mobile Control の Web コンソールの GUI に表示される
Sophos Mobile Security の略称。
Sophos Mobile
管理下のデバイスにインストールされている Sophos Mobile Control
Control クライアントアプリ。
44
SaaS スタートアップガイド
Sophos Mobile
Security
Android デバイス向けのセキュリティ対策アプリ。このアプリは
Sophos Mobile Control で一元管理できます (SMC Advanced ライセ
ンスをお持ちで Sophos Mobile Control の Web コンソールでアク
ティベーションが完了している場合に限ります)。
Sophos Secure
Email
Android および iOS 搭載デバイス用のアプリ。メール、予定表の項
目、連絡先などを管理するためのセキュアなコンテナを提供しま
す。このアプリは Sophos Mobile Control で一元管理できます (SMC
Advanced ライセンスをお持ちで Sophos Mobile Control の Web コ
ンソールでアクティベーションが完了している場合に限ります)。
Sophos Secure
Workspace
Android および iOS 搭載デバイス用のアプリ。さまざまなクラウド
ストレージサービス上のファイルや企業が配信するファイルを、参
照、管理、編集、共有、暗号化、復号化できるセキュアなワークス
ペースを提供します。このアプリは Sophos Mobile Control で一元
管理できます (SMC Advanced ライセンスをお持ちで Sophos Mobile
Control の Web コンソールでアクティベーションが完了している場
合に限ります)。
タスクバンドル
複数のタスクを 1つのトランザクションとしてまとめたパッケー
ジ。Web コンソールで作成できます。デバイスの登録を完了し、
社内で利用するために必要なすべてのタスクを 1つにまとめられま
す。
Web コンソール
デバイスの管理に使用するサーバーの Web インターフェース。
45
Sophos Mobile Control
22 テクニカルサポート
ソフォス製品のテクニカルサポートは、次のような形でご提供しております。
●
●
ソフォスサポートデータベースのご利用。www.sophos.com/ja-jp/support.aspx/
●
製品ドキュメントのダウンロード。www.sophos.com/ja-jp/support/documentation.aspx
●
46
ユーザーコミュニティサイト「Sophos Community」(英語) (community.sophos.com/)
のご利用。さまざまな問題に関する情報を検索できます。
オンラインでのお問い合わせ。
https://secure2.sophos.com/ja-jp/support/contact-support/support-query.aspx
SaaS スタートアップガイド
23 ご利用条件
Copyright © 2011 - 2016 Sophos Limited.All rights reserved.
この出版物の一部または全部を、電子的、機械的な方法、写真複写、録音、その他いかなる
形や方法においても、使用許諾契約の条項に準じてドキュメントを複製することを許可され
ている、もしくは著作権所有者からの事前の書面による許可がある場合以外、無断に複製、
復元できるシステムに保存、または送信することを禁じます。
Sophos は Sophos Limited および Sophos Group の登録商標です。その他記載されている
会社名、製品名は、各社の登録商標または商標です。
47

Download Report