Endpoint Encryptionによって提供される基本的な保護の形態は、暗号化されたエンドポイントやデバイスに対する不正なユーザアクセスを防ぐことです。Endpoint Encryptionデバイス、ユーザ、およびポリシーグループを正しく設定することで、不慮の情報公開や意図的な妨害行為による情報漏えいのリスクを防ぐことができます。

デバイス

Endpoint Encryptionでは、特定のデバイスに対するログオン連続試行回数と、一定期間にPolicyServerと行った最後の通信以降の時間がカウントされます。デバイスがポリシーの条件に違反した場合、そのディスクをリセット、ロック、または消去できます。

ユーザ

Endpoint Encryptionでは、デバイスでの認証試行回数の確認に加え、特定のユーザアカウントによる連続ログオン試行回数もカウントされます。そのユーザがポリシーの条件に違反した場合、そのディスクをリセット、ロック、または消去できます。

グループ

グループは、ポリシー管理のためのユーザのコンテナとして機能します。グループ内の管理者やオーセンティケータにはそのグループ内のみの特別な権限を持ちますが、割り当てられていない管理者やオーセンティケータには、エンタープライズ全体でその役割を担います。
親トピック: Endpoint Encryptionのポリシー設定

デバイス

Endpoint Encryptionバイスとは、ポリシーサーバに登録されているEndpoint Encryptionエージェントです。Endpoint Encryptionエージェントをインストールすると、エンドポイントは新しいEndpoint Encryptionデバイスとして自動的にPolicyServerに登録されます。複数のEndpoint Encryptionエージェントが指定された1つのエンドポイントを保護できるため、1つのエンドポイントがPolicyServer上に複数のEndpoint Encryptionデバイスとして表示されることがあります。

ユーザがデバイスへのログインを連続して失敗すると、Endpoint Encryptionはポリシー設定に応じて以下のいずれかの処理を実行します。

  • 次回の認証の試行を遅らせる

  • デバイスをロックする

  • デバイス上のすべてのデータを消去する

注:

Endpoint Encryptionデバイスを設定するには、Endpoint Encryptionデバイスウィジェットを使用します。Endpoint Encryptionデバイスを参照してください。

ユーザ

Endpoint Encryptionユーザとは、ポリシーサーバに手動で追加されたユーザアカウント、またはActive Directoryと同期されたユーザアカウントです。

Endpoint Encryptionには、IDに基づく包括的な認証と管理に使用される、いくつかの種類のアカウントの役割と認証方法があります。Endpoint EncryptionまたはポリシーサーバMMCを使用して、ユーザアカウントの追加またはインポート、認証の制御、Active Directoryとの同期、ポリシーグループメンバーシップの管理を、必要に応じて実行できます。

次の表は、Endpoint Encryptionユーザの役割を示しています。

役割

説明

管理者

管理者は管理コンソールにアクセスして、ドメイン内のすべての設定を実行できます。管理者の役割が追加されたレベルに応じて、この役割にはさまざまな権限があります。

  • エンタープライズ管理者: エンタープライズ内のすべてのポリシー、グループ、ユーザ、デバイスを制御できます。

  • グループ管理者: 特定のグループ内で認証されたユーザおよびデバイスを制御できます。Endpoint Encryptionではポリシーごとにグループを作成するため、グループ管理者は「ポリシー管理者」とも呼ばれます。

オーセンティケータ

オーセンティケータは、ユーザがEndpoint Encryptionのパスワードを忘れたり、技術的な問題が発生したりしたときにリモートアシスタントを提供します。オーセンティケータの役割が追加されたレベルに応じて、この役割にはさまざまな権限があります。

  • エンタープライズオーセンティケータ: エンタープライズ内のすべてのユーザを支援できます。

  • グループオーセンティケータ: 特定のグループ内のユーザを支援できます。Endpoint Encryptionではポリシーごとにグループが作成されるため、グループオーセンティケータは「ポリシーオーセンティケータ」とも呼ばれます。

ユーザ (アカウント)

基本的なエンドユーザには特殊な権限が付与されていません。このユーザの役割では、Endpoint Encryption管理コンソールにログオンできない場合があります。PolicyServerで許可されていない場合、このユーザの役割ではリカバリユーティリティを使用できない可能性があります。
注:

Endpoint Encryptionユーザを設定するには、Endpoint Encryptionユーザウィジェットを使用します。Endpoint Encryptionユーザを参照してください。

グループ

Apex Centralでは、ポリシーはユーザグループごとに管理されます。グループの管理方法は、ポリシーサーバMMCとApex Centralで異なります。ポリシーとグループを変更すると、PolicyServerは両方のコンソールでグループを同期します。

重要:

Apex Centralは、ポリシーとグループの割り当てにおいて、常にポリシーサーバMMCより優先されます。ポリシーサーバMMCでのグループ割り当ての変更は、Apex Centralが次にポリシーサーバと同期するときに自動的に上書きされます。

コンソール

グループ管理

Apex Central

Apex Centralでは、特定の対象を持つポリシーが配信されるたびにグループが作成されます。配信後に、Endpoint Encryptionユーザウィジェットでユーザが含まれるグループを変更し、ポリシー管理画面でポリシー内のユーザを変更します。

PolicyServer MMC

PolicyServer MMCの左側のペインで、直接グループの追加と削除を実行します。PolicyServer MMCのグループは、次の方法で割り当てられます。

  • 上位グループ: 上位グループはエンタープライズ下の最高レベルのグループです。各上位グループは、エンタープライズの下に一意のノードを持ちます。

  • サブグループ: サブグループは上位グループ内に作成されます。サブグループは作成時に上位グループのポリシーを継承しますが、上位グループに加えられた変更は継承しません。サブグループに上位グループよりも多くの権限を持たせることはできません。

    注:

    各サブグループには、手動でデバイスとユーザを割り当てる必要があります。サブグループにApex Centralユーザを追加しても、そのユーザは上位グループに自動的に追加されません。ただし、上位グループとサブグループの両方にユーザを追加することはできます。
注:

Apex Centralのポリシーグループ内のユーザを設定するには、Endpoint Encryptionユーザウィジェットを使用します。

PolicyServer MMCのポリシーグループ内のユーザを設定する方法については、『Endpoint Encryption PolicyServer MMCガイド』を参照してください。