デバイスコントロール設定

手順

1. [デバイスコントロールを有効にする] を選択します。
   • [外部エージェント] タブで [内部エージェントにすべての設定を適用する] を選択すると、設定を内部エージェントに適用できます。
   • [内部エージェント] タブで [外部エージェントにすべての設定を適用する] を選択すると、設定を外部エージェントに適用できます。
2. デバイスコントロールルールを追加または編集します。
   • ユーザベースのルールの場合:
     • Active Directoryのユーザまたはグループアカウントに基づいてルールを作成するには、[追加] をクリックします。
     • Active Directoryのユーザまたはグループアカウントに基づいてルールを編集するには、[ユーザアカウント] 列のリンクをクリックします。

     重要 ユーザベースのデバイスコントロールルールを使用できるのは、Active DirectoryをApex Centralと統合した後のみです。

   • 初期設定のエンドポイントベースのルールを編集するには、次の手順を実行します。
     • [ユーザアカウント] 列の [すべてのユーザ (初期設定)] リンクをクリックします。

       注意 初期設定のエンドポイントベースのルールを削除することはできません。

   [デバイスコントロールルール] 画面が表示されます。
3. [ユーザアカウント] で、ルールを適用するActive Directoryのユーザまたはグループアカウントの表示名を入力および選択します。

   注意 初期設定の [すべてのユーザ (初期設定)] のエンドポイントベースのルールの編集時にユーザまたはグループアカウントを指定することはできません。

4. [ストレージデバイス] で、次の手順を実行します。
   1. 各ストレージデバイスの権限を選択します。

      重要 データ保護が有効になっているセキュリティエージェントのみ、ブロック処理を実行できます。データ保護が有効になっていないセキュリティエージェントにポリシーを配信する場合、Apex Oneはドロップダウンボックスで設定された処理を適用します。 Apex Oneは、データ保護が有効になっていない場合でも、サポートしているデバイスモデルのリスト に含まれるUSBデバイスに設定されたアクセス権限を自動的に適用します。

      権限の詳細については、デバイスに対する権限を参照してください。

      いずれかのストレージデバイスへのアクセスを制限するように選択した場合は、[許可するプログラム] ボタンが表示されます。USBストレージデバイスの場合は、[ブロック (情報漏えい対策オプション)] を選択すると、[許可するUSBデバイス] ボタンが表示されます。
   2. (オプション) [許可するプログラム] をクリックして、どの種類のデバイスでもデバイスコントロールによってアクセスが制限されないプログラムのリストを設定します。
      [許可するプログラム] 画面が表示されます。

      1. デバイスコントロールがユーザのアクセスを許可するプログラムのフルパスまたは信頼済みのデジタル署名プロバイダの情報を入力します。

         注意 デジタル署名プロバイダを指定したときにデバイスコントロールで許可されるのは、発行元が署名したプログラムの実行のみです。 詳細については、デジタル署名プロバイダの指定を参照してください。 プログラムのフルパスを指定したときは、デバイスコントロールの [許可するプログラム] リストでワイルドカード文字を使用できます。 詳細については、デバイスコントロールの [許可されたプログラム] リストでのワイルドカードのサポートを参照してください。

      2. [追加] をクリックします。
         プログラムのフルパスまたは信頼済みのデジタル署名プロバイダの情報がリストに表示されます。
      3. プログラムの実行または読み取り/書き込みを許可するかどうかを選択します。
      4. [OK] をクリックします。
   3. (オプション) [許可するUSBデバイス] をクリックして、デバイスコントロールでブロックしないUSBデバイスのリストを設定します。
      [許可するUSBデバイス] 画面が表示されます。

      1. デバイスのベンダ、モデル、およびシリアルIDをリストに入力します。
      2. さらにデバイスを追加するには、プラス (+) アイコンをクリックします。
      3. [権限] リストで、指定されたUSBデバイスへのアクセスをデバイスコントロールからユーザに許可する際のアクセスレベルを指定します。
      4. [OK] をクリックします。
   4. [USBストレージデバイスの自動実行機能をブロックする] を選択して、USBデバイスに保存されたプログラムが自動的に実行されないようにします。
   5. [デバイスへの不正アクセスの検出時にエンドポイントに通知メッセージを表示] を選択すると、デバイスコントロールによってデバイスへのアクセスが制限されたことをエンドユーザに通知できます。
5. 情報漏えい対策オプション機能がインストールされているセキュリティエージェントの場合は、[モバイルデバイス] および [非ストレージデバイス] に表示されているデバイスへのアクセスを許可するかブロックするかを選択します。
6. [OK] をクリックします。

   注意 デバイスコントロールは、初期設定のエンドポイントベースのルール ([すべてのユーザ (初期設定)]) よりも優先して、ユーザベースのすべてのルールを自動的に割り当てます。

7. (オプション) デバイスコントロールルールのリストを管理します。
   • 優先度: 矢印をクリックして、ユーザベースのルールの優先度を変更します。
   • コピー: ルールを選択して [コピー] をクリックし、ルールの内容を変更します。
   • 削除: ルールを選択して [削除] をクリックし、リストからルールを完全に削除します。