デバイスコントロールモジュールを設定して、ポリシーに対する動作を定義します。
モジュールの動作を設計し、APIを使用して実装する際は、デバイスコントロールについてに記載されている背景情報とガイダンスを使用してください。
ポリシーオブジェクトには、デバイスコントロールモジュールの設定に使用する2つのオブジェクトが含まれています。
  • DeviceControlPolicyExtension : モジュールの状態 (オンまたはオフ) を制御し、適用されるデバイス制御ルールを識別し、モジュールで使用するステートフル設定を識別します。
  • PolicySettings: ポリシー設定には、モジュールの実行時の動作を制御するデバイスコントロール関連の設定が含まれます。
    • の処理USB Mass StorageそしてMobile (MTP/PTP)
    • の許可USB AutoRun Function
ポリシーと初期設定のポリシーを設定するの説明に従って、デバイス制御関連のポリシーを設定します。。
次のJSONは、DeviceControlPolicyExtensionオブジェクト:
{
    "state": "off",
    "moduleStatus": {...}
}
moduleStatusプロパティは読み取り専用です。デバイスコントロールモジュールのランタイムステータスを提供します。 (「コンピュータのステータスに関するレポート)。

一般的な手順 親トピック

デバイスコントロールを設定するには、次の一般的な手順を実行します。

手順

  1. 作成するDeviceControlPolicyExtensionオブジェクトを作成し、プロパティを設定します。
  2. 作成するPolicySettingsオブジェクトを使用して、モジュールの実行時設定を行います。
  3. 作成するPolicyオブジェクトを追加し、DeviceControlPolicyExtensionそしてPolicySettingsオブジェクト。
  4. 使用するPoliciesApiServer & Workload Protectionのポリシーを追加または更新するオブジェクト。
    ヒント
    ヒント
    デバイスコントロールに関連するポリシー設定を1つだけ設定する必要がある場合は、単一のポリシーまたはデフォルトのポリシー設定を構成するを参照してください。

次に進む前に

作成するDeviceControlPolicyExtensionオブジェクトを作成し、状態IDとルールIDを設定します。
device_control_policy_extension = api.DeviceControlPolicyExtension()
device_control_policy_extension.state = "on"
次に、PolicySettingsオブジェクトを使用して、デバイス制御関連の設定を行います。 (ポリシー設定の詳細については、ポリシーと初期設定のポリシーを設定するたとえば、USBマスストレージへのアクセスをブロックできます。
policy_settings = api.PolicySettings()
setting_value = api.SettingValue()
setting_value.value = "Block"
policy_settings.device_control_setting_device_control_usb_storage_device_action = setting_value
この時点で、デバイスコントロールポリシー拡張とポリシー設定が完了しました。次に、それらをPolicyオブジェクト、およびPoliciesApi Server & Workload Protectionのポリシーを変更するオブジェクト。
policy = api.Policy()
policy.device_control = device_control_policy_extension
policy.policy_settings = policy_settings

policies_api = api.PoliciesApi(api.ApiClient(configuration))
returned_policy = policies_api.modify_policy(policy_id, policy, api_version)
policy_id (またはpolicyID ) のパラメータmodifyPolicy変更する Server & Workload Protection 内の実際のポリシーを識別します。このポリシーは、policyパラメータ。のプロパティpolicy設定されていないパラメータは、実際のポリシーでは変更されません。

親トピック

次の例では、Policyオブジェクト、変更DeviceControlPolicyExtensionをクリックし、ポリシー設定を行います。次に、ポリシーが Server & Workload Protectionで更新されます。
policies_api = api.PoliciesApi(api.ApiClient(configuration))
policy = api.Policy()
device_control_policy_extension = api.DeviceControlPolicyExtension()

# Turn on Device Control
device_control_policy_extension.state = "on"

# Add the Device Control state to the policy
policy.device_control = device_control_policy_extension

# Create a policy_settings
policy_settings = api.PolicySettings()

# Block USB mass storage access
usb_mass_storage_setting_value = api.SettingValue()
usb_mass_storage_setting_value.value = "Block" # Allow values: Full Access, Read Only, Block
policy_settings.device_control_setting_device_control_usb_storage_device_action = usb_mass_storage_setting_value

# Block USB autorun
usb_autorun_setting_value = api.SettingValue()
usb_autorun_setting_value.value = "Block" # Allow values: Allow, Block
policy_settings.device_control_setting_device_control_auto_run_usb_action = usb_autorun_setting_value

# Block "Mobile (MTP/PTP)" access
mobile_setting_value = api.SettingValue()
mobile_setting_value.value = "Block" # Allow values: Full Access, Read Only, Block
policy_settings.device_control_setting_device_control_mobile_device_action = mobile_setting_value

# Add USB mass storage access to the policy
policy.policy_settings = policy_settings

# Modify the policy on Server & Workload Protection
policies_api.modify_policy(policy_id, policy, api_version)
ヒント
ヒント
また、ポリシーの変更操作については、 APIレファレンス/参照情報を参照してください。
API呼び出しの認証に関する情報については、Server & Workload Protectionで認証するを参照してください。

USBデバイスの除外を作成する 親トピック

通常、デバイスコントロールの除外ルールを作成するには、次の手順を実行します。

手順

  1. 作成するUSBDeviceオブジェクト。
  2. USBデバイスを Server & Workload Protection に追加するUSBStorageDevicesApi
  3. でUSBデバイスを「フルアクセス」に設定します。PolicyDeviceControlExceptionRulesApiをクリックします。

次に進む前に

# Create a new USB device
device = api.USBDevice()
device.name = 'device name'
device.vendor = 'device vendor'
device.model = 'device model'
device.serial_number = 'device serial number' 

usb_storage_device_api = api.USBStorageDevicesApi(api.ApiClient(configuration))
created_device = usb_storage_device_api.create_usb_device(device, api_version)

# Configure exception list
exception_rules = api.ExceptionRules([])
exception_rule1 = api.ExceptionRule()
exception_rule1.device_id = created_device.id
exception_rule1.action = "full-access"
exception_rules.exception_rules.append(exception_rule1)

# Set the exception list to policy
policy_id = 1
policy_exception_rule_api = api.PolicyDeviceControlExceptionRulesApi(api.ApiClient(configuration))
policy_exception_rule_api.set_exception_rules_on_policy(policy_id, exception_rules, api_version)
ヒント
ヒント
ベンダー、モデル、シリアル番号の取得方法も参照してください
ヒント
ヒント
既存のUSBデバイスのみをポリシーに割り当てる必要がある場合は、USBStorageDevicesApi.list_usb_devicesを取得するにはdevice_idそしてset_exception_rules_on_policy直接。