Control Managerによって提供される基本的な保護の形態は、暗号化されたエンドポイントやデバイスに対する不正なユーザアクセスを防ぐことです。Control Managerデバイス、ユーザ、およびポリシーグループを正しく設定することで、不慮の情報公開や意図的な妨害行為による情報漏えいのリスクを防ぐことができます。

デバイス

Control Managerでは、特定のデバイスに対するログオン連続試行回数と、一定期間にPolicyServerと行った最後の通信以降の時間がカウントされます。デバイスがポリシーの条件に違反した場合、そのディスクをリセット、ロック、または消去できます。

ユーザ

Control Managerでは、デバイスでの認証試行回数の確認に加え、特定のユーザアカウントによる連続ログオン試行回数もカウントされます。そのユーザがポリシーの条件に違反した場合、ディスクをリセット、ロック、または消去できます。

グループ

グループは、ポリシー管理のためのユーザのコンテナとして機能します。グループ内の管理者やオーセンティケータにはそのグループ内のみの特別な権限を持ちますが、割り当てられていない管理者やオーセンティケータには、エンタープライズ全体でその役割を担います。
親トピック: Endpoint Encryptionポリシー

デバイス

Control Managerデバイスとは、PolicyServerに登録されているControl Managerエージェントです。Control Managerエージェントをインストールすると、エンドポイントは新しいControl Managerデバイスとして自動的にPolicyServerに登録されます。複数のControl Managerエージェントが指定された1つのエンドポイントを保護できるため、1つのエンドポイントがPolicyServer上に複数のControl Managerデバイスとして表示されることがあります。

ユーザがデバイスへのログインを連続して失敗すると、Control Managerはポリシー設定に応じて以下のいずれかの処理を実行します。

  • 次回の認証の試行を遅らせる

  • デバイスをロックする

  • デバイス上のすべてのデータを消去する

注:

Control Managerデバイスを設定するには、Endpoint Encryptionデバイスウィジェットを使用します。Endpoint Encryptionデバイスを参照してください。

ユーザ

Control Managerユーザとは、PolicyServerに手動で追加された、またはActive Directoryと同期されたユーザアカウントです。

Control Managerには、IDに基づく包括的な認証と管理に使用される、いくつかの種類のアカウントの役割と認証方法があります。Control ManagerまたはPolicyServer MMCを使用して、ユーザアカウントの追加またはインポート、認証の制御、Active Directoryとの同期、ポリシーグループメンバーシップの管理を、必要に応じて実行できます。

次の表は、Control Managerユーザの役割を示しています。

役割

説明

管理者

管理者は管理コンソールにアクセスして、ドメイン内のすべての設定を実行できます。管理者の役割が追加されたレベルに応じて、この役割にはさまざまな権限があります。

  • エンタープライズ管理者: エンタープライズ内のすべてのポリシー、グループ、ユーザ、デバイスを制御できます。

  • グループ管理者: 特定のグループ内で認証されたユーザおよびデバイスを制御できます。Control Managerではポリシーごとにグループを作成するため、グループ管理者は「ポリシー管理者」""とも呼ばれます。

オーセンティケータ

オーセンティケータは、ユーザがControl Managerのパスワードを忘れたり、技術的な問題が発生したりしたときにリモートアシスタントを提供します。オーセンティケータの役割が追加されたレベルに応じて、この役割にはさまざまな権限があります。

  • エンタープライズオーセンティケータ: エンタープライズ内のすべてのユーザを支援できます。

  • グループオーセンティケータ: 特定のグループ内のユーザを支援できます。Control Managerではポリシーごとにグループを作成するため、グループオーセンティケータは""「ポリシーオーセンティケータ」とも呼ばれます。

ユーザ (アカウント)

基本的なエンドユーザには特殊な権限が付与されていません。このユーザの役割では、Control Manager管理コンソールにログオンできない場合があります。PolicyServerで許可されていない場合、このユーザの役割ではリカバリユーティリティを使用できない可能性があります。
注:

Control Managerユーザを設定するには、Endpoint Encryptionユーザウィジェットを使用します。Endpoint Encryptionユーザを参照してください。

グループ

Control Managerでは、ポリシーはユーザグループごとに管理されます。グループの管理方法は、PolicyServer MMCとControl Managerで異なります。ポリシーとグループを変更すると、PolicyServerは両方のコンソールでグループを同期します。

重要:

Control Managerは、ポリシーとグループの割り当てにおいて、常にPolicyServer MMCより優先されます。PolicyServer MMCでのグループ割り当ての変更は、Control Managerが次にPolicyServerと同期するときに自動的に上書きされます。

コンソール

グループ管理

Control Manager

Control Managerでは、特定の対象を持つポリシーが配信されるたびにグループが作成されます。配信後に、Endpoint Encryptionユーザウィジェットでユーザが含まれるグループを変更し、ポリシー管理画面でポリシー内のユーザを変更します。

PolicyServer MMC

PolicyServer MMCの左側のペインで、直接グループの追加と削除を実行します。PolicyServer MMCのグループは、次の方法で割り当てられます。

  • 上位グループ: 上位グループはエンタープライズ下の最高レベルのグループです。各上位グループは、エンタープライズの下に一意のノードを持ちます。

  • サブグループ: サブグループは上位グループ内に作成されます。サブグループは作成時に上位グループのポリシーを継承しますが、上位グループに加えられた変更は継承しません。サブグループに上位グループよりも多くの権限を持たせることはできません。

    注:

    各サブグループには、手動でデバイスとユーザを割り当てる必要があります。サブグループにControl Managerユーザを追加しても、そのユーザは上位グループに自動的に追加されません。ただし、上位グループとサブグループの両方にユーザを追加することはできます。
注:

Control Managerのポリシーグループ内のユーザを設定するには、Endpoint Encryptionユーザウィジェットを使用します。

PolicyServer MMCのポリシーグループ内のユーザを設定する方法については、『Endpoint Encryption PolicyServer MMCガイド』を参照してください。