情報漏洩のリスクを低くするため、持出しユーティリティや、エクスプローラなどからファイルやフォルダを持出す場合に、使用できるUSBデバイスを個別に制限することができます。
使用を許可するUSBデバイスは、管理コンソールでポリシー設定します。
これらの手順は、“USBデバイスを登録する”、および“使用を許可するUSBデバイスをポリシーに設定する”を参照してください。
持出しユーティリティから持出された情報、使用した媒体、持出し日時、持出した人物などは、ファイル持出しログとして採取されます。
エクスプローラなどから持出された情報、使用した媒体、持出し日時、持出した人物などは、ファイル操作ログとして採取されます。
また、USBデバイスを個別に使用制限する場合、使用許可されていないUSBデバイス(リムーバブルと認識するものに限る)を装着したとき、「違反」としてデバイス構成変更ログに記録されます。この情報は、管理者へメール通知することができます。また、イベントログとして記録できます。
登録するUSBデバイス情報は、画面を利用して登録する方法とCSVファイルを利用して登録する方法があります。
手順は、“USBデバイスを登録する”および“CSVファイルを利用してUSBデバイス情報を登録する”を参照してください。
また、登録したUSBデバイス情報は、CSVファイルに出力できます。以下の用途があります。
登録済みのUSBデバイスを確認する
登録済みのUSBデバイス情報を別の管理サーバに移行する
登録済みのUSBデバイス情報を変更する
登録済みのUSBデバイス情報を削除する
手順は、“登録されているUSBデバイス情報をCSVファイルに出力する”および“登録されているUSBデバイス情報を変更する”を参照してください。
注意
管理サーバに登録されている全てのUSBデバイスを許可するポリシーの場合の留意事項
[ファイル持出し禁止 - USBデバイス個体識別機能 - 詳細設定]画面で、[管理サーバに登録されている全てのUSBデバイスを許可]を[する]にポリシーに設定している場合に、複数のユーザーがログオンしていると、個体識別機能はユーザーポリシーで動作します。
ただし、実際の個体識別を行なうUSBデバイスの判定はCTポリシーによって行なわれます。
注意
複数のユーザーがログオンしている状態で、USBデバイスが接続された状態での留意事項
マルチユーザーでログオンしている場合、あるユーザーがログオフを行った段階でUSBデバイスを接続したままの場合、残ったユーザーによって、最終接続日等が更新される場合があります。
ポイント
[USBデバイス個体識別機能]が設定できる条件
[USBデバイス個体識別機能]を設定できる条件は、[ファイル持出し禁止]タブを以下のパターンで設定しているときです。
パターン1
[ファイル持出しユーティリティを使用しての持出し]を[可]に設定しているとき
パターン2
[ファイルアクセス制御]を[する]に設定しているとき
[読み込み禁止]を[リムーバブル]に設定しているとき または、
[ドライブ種別指定]を[リムーバブル]に設定しているとき
運用例
管理者が使用を許可したUSBデバイスだけを使用して、ファイルの持出しや読み込みを行う場合の、運用例を説明します。
USBデバイスへのファイル持出しは一切禁止しますが、業務上必要として許可されたUSBデバイスに格納されているファイルの持込、参照は、許可したい場合です。
この運用は、以下の設定により実現できます。
持出しユーティリティを使用した持出しを禁止します。また、エクスプローラなど(持出しユーティリティ以外)を使用した持出しも禁止します。エクスプローラなど(持出しユーティリティ以外)を使用した読み込みだけ許可します。
ポリシーの設定については、“運用例1のポリシー設定”を参照してください。
ファイル持出しは、持出しユーティリティを使用して暗号化した場合だけ許可します。また、管理者が想定していないソフトウェアなどを、外部から持ち込む(コピー)ことを禁止するため、エクスプローラなど(持出しユーティリティ以外)からは、USBデバイスへのアクセスを禁止したい場合です。
この運用は、以下の設定により実現できます。
持出しユーティリティを使用し、暗号化しての持出しだけを許可します。エクスプローラなど(持出しユーティリティ以外)を使用した持出しや読み込みは禁止します。
ポリシーの設定については、“運用例2のポリシー設定”を参照してください。
ファイル持出しは、持出しユーティリティを使用して暗号化した場合だけ許可します。エクスプローラなど(持出しユーティリティ以外)からは、読み込みだけ許可したい場合です。
この運用は、以下の設定により実現できます。
持出しユーティリティを使用し、暗号化しての持出しだけを許可します。エクスプローラなど(持出しユーティリティ以外)を使用した読み込みは許可しますが、持出しは禁止します。
ポリシーの設定については、“運用例3のポリシー設定”を参照してください。
ロック機能や暗号化機能を持つUSBデバイスはセキュリティ機能があるため、利便性を考慮しエクスプローラなど(持出しユーティリティ以外)を使用しての持出しを許可したい場合です(ファイル持出しユーティリティを使用せず、USBデバイスに装備されているセキュリティ機能を使用します)。
または、許可されたUSB接続の外付けHDDに対して、バックアップを取得したい場合です。
運用例4では、ファイル持出しユーティリティを使用せず、エクスプローラなど(持出しユーティリティ以外)からUSBデバイスにファイルをコピーできます。ただし、ファイル持出しユーティリティを使用していないため、ファイル持出しログの取得や、持出したファイルの原本を保管することはできません。USBデバイスへのアクセスは、ファイル操作ログを取得することにより確認できます。
ファイル持出しログの取得や、持出したファイルの原本を保管する場合は、ファイル持出しユーティリティの設定を行い、ファイル持出しユーティリティからファイル持出しを行う運用にしてください。
この運用は、以下の設定により実現できます。
エクスプローラなど(持出しユーティリティ以外)を使用した持出しも読み込みも許可します。
※ 持出しユーティリティに関する設定は必須ではありませんが、ファイル持出しログの取得や、持出したファイルの原本を保管したい場合も考慮し、上記の図では設定する例となっています。
ポリシーの設定については、“運用例4のポリシー設定”を参照してください。
USBデバイスに使用期限を設定することで、ある決まった期間だけUSBデバイスの利用を許可することができます。使用期限を過ぎてしまったUSBデバイスは、利用することができなくなります。使用期限が過ぎてしまったUSBデバイスは、使用期限を再設定することで利用することができるようになります。
この運用は、以下の設定により実現できます。
USBデバイスの使用期限の設定を行い、持出しも読み込みも許可します。
※ 利用を持出しユーティリティだけに限定することや読み込み専用にすることもできます。
ポリシーの設定については、“運用例5のポリシー設定”を参照してください。
膨大なUSBデバイスが存在する場合、個々のクライアント(CT)や利用者に対してUSBデバイスの許可、不許可を設定することは困難です。このような場合、管理サーバ/統合管理サーバに登録されているUSBデバイスであれば、利用を許可するという運用を行うことで解決することができます。
この運用は、以下の設定により実現できます。
管理サーバに登録されているすべてのUSBの使用を許可し、持出しも読み込みも許可します。
※ 利用を持出しユーティリティだけに限定することや読み込み専用にすることもできます。
ポリシーの設定については、“運用例6のポリシー設定”を参照してください。
製品ID、メーカーIDが同一のUSBデバイスが存在し、その一部のUSBデバイスだけ、ある部門の利用を不許可にしたい場合です。
この運用は、以下の設定により実現できます。
[USBデバイス登録]画面でUSBデバイスAを[製品一致]で登録します。また、USBデバイスBを[使用不可]として登録します。
※登録の際、USBデバイスAとUSBデバイスBの製品ID、メーカーIDは同一になります。
部門Aに対しては、グループポリシーとして、管理サーバに登録されているすべてのUSBの使用を許可し、持出しも読み込みも許可します。
部門Bに対しては、グループポリシーとしてUSBデバイスBを設定します。
ポリシーの設定については、“運用例7のポリシー設定”を参照してください。
登録は、システム管理者または部門管理者が行います。
サーバ設定ツールの[管理者情報設定]画面の[詳細権限]で、[USBデバイス登録/更新/削除]権限が設定されている必要があります。
登録は、管理コンソールで行います。
3階層のシステム構成の場合は、統合管理サーバに接続する管理コンソールで登録します。ユーザー情報の一元管理の実施には関係ありません。
登録可能なUSBデバイスは、10,000個です。
以下の条件をすべて満たすUSBデバイスを登録できます。
USBインターフェースである
メーカーID/製品ID/内部シリアル番号、または、メーカーID/製品IDが、USB装置から取得できる
登録できるUSBデバイスの例は、以下のとおりです。
USBデバイス | 説明および注意 |
|---|---|
USBフラッシュメモリ | USB-HUB経由も登録できます。 |
USBハードディスク | USB-HUB経由も登録できます。 |
USBカードリーダ/ライタ経由SDカード、など | 装置自身を登録可能なUSBデバイスとして認識します。 装着したメモリ媒体を個々に認識することはできません。 |
USBフロッピーディスク装置 | 装置自身を登録可能なUSBデバイスとして認識します。 装着したフロッピーメディアを個々に認識することはできません。 |
USB MO装置 | 装置自身を登録可能なUSBデバイスとして認識します。 装着したMOメディアを個々に認識することはできません。 |
USB DVD/CD-R/RW装置 | [USBデバイス情報を取得]ボタンからUSBデバイス情報を取得できない場合があります。その場合は、デバイスマネージャなどからUSBデバイス情報を確認し、[USBデバイス情報]に手動で入力してください。 |
USBデバイスは、複数の異なる識別方法で登録することが可能です。
例)[完全一致]と[製品一致]で登録する。
異なる識別方法で登録できるパターンは、以下のとおりです。
[完全一致]と[製品一致]
[完全一致]と[使用不可]
[シリアル一致]と[製品一致]
[シリアル一致]と[使用不可]
[製品一致]と[使用不可]
この場合に、管理サーバでUSBデバイスの使用可否を判定する場合には以下の優先順位でUSBデバイスが登録されているかを判断します。
[完全一致]→[シリアル一致]→[製品一致]→[使用不可]
複数の識別方法で登録されていることを判断した場合には、最終接続日、最終使用ユーザー、最終使用コンピュータ名は、いずれの場合も一致したすべてのUSBデバイスに対して更新されます。
また、[USBデバイス使用期限]設定を行っている場合、USBデバイスの使用期限は、以下の表のルールで更新を行います。
USBデバイス登録方法 | 使用期限超過状態 | 使用期限を更新するUSBデバイス |
|---|---|---|
[完全一致]と[製品一致]で登録 | [完全一致]で登録したUSBデバイスが使用期限切れの場合 | [製品一致]のUSBデバイスを更新します。 |
[製品一致]で登録したUSBデバイスが使用期限切れの場合 | [完全一致]、[製品一致]のUSBデバイスいずれも更新します。 | |
いずれの使用期限も切れていない場合 | [完全一致]、[製品一致]のUSBデバイスいずれも更新します。 | |
[シリアル一致]と[製品一致]で登録 | [シリアル一致]で登録したUSBデバイスが使用期限切れの場合 | [製品一致]のUSBデバイスを更新します。 |
[製品一致]で登録したUSBデバイスが使用期限切れの場合 | [シリアル一致]、[製品一致]のUSBデバイスいずれも更新します。 | |
いずれの使用期限も切れていない場合 | [シリアル一致]、[製品一致]のUSBデバイスいずれも更新します。 | |
[製品一致]と[使用不可]で登録 ※[完全一致]と[使用不可]または、[シリアル一致]と[使用不可]で登録した場合も同一です。 | [製品一致]で登録したUSBデバイスが使用期限切れの場合 | 使用期限は更新しません。 |
[使用不可]で登録したUSBデバイスが使用期限切れの場合 | [製品一致]、[使用不可]のUSBデバイスいずれも更新します。 | |
いずれの使用期限も切れていない場合 | [製品一致]、[使用不可]のUSBデバイスいずれも更新します。 |
登録したデバイス情報は、CTポリシーまたはユーザーポリシーとして配信することができます。
[USBデバイス登録]画面のメニューバーについて説明します。
メニューバー | 機能概要 | |
|---|---|---|
[ファイル] | [閉じる] | 画面を閉じます。 |
[動作設定] | [USBデバイス動作設定] | USBデバイスの動作設定を行います。 |
[CSV連携] | [設定内容の取り込み] | [USBデバイス情報取り込みファイル指定]画面が表示されます。 |
[設定内容の出力] | [USBデバイス情報出力ファイル指定]画面が表示されます。 | |
USBデバイスの動作設定を行う手順を以下に示します。
[管理コンソール]を起動します。
[動作設定]メニューから[USBデバイス登録]を選択します。
→[USBデバイス登録]画面が表示されます。
[動作設定]メニューから[USBデバイス動作設定]を選択します。
→[USBデバイス動作設定]画面が表示されます。
項目名 | 説明 | ||
|---|---|---|---|
[USBデバイス使用期限設定] | USBデバイスの使用期限を設定します。 | ||
| [設定しない](初期値) | USBデバイスをいつでも利用できます。 | |
[設定する] | USBデバイスを利用できる期限を設定します。 USBデバイスの使用期限が過ぎた場合の延長期間を指定してください。 1~999を指定できます。 | ||
| [USBデバイスが接続された場合に初期値で使用期限を自動的に再設定する] | USBデバイスの使用期限が過ぎた場合に自動的に延長するかを設定します。延長する期間は、[使用期限をUSBデバイスに設定する]の[初期値]で指定した日数分追加されます。 | |
[設定]ボタンをクリックします。
注意
USBデバイスの使用期限が更新されるタイミングの注意事項
使用期限の再設定は管理サーバと通信が可能な場合に行われます。管理サーバと通信ができなかった場合、次回通信可能時に再設定されます。
ポイント
使用期限は一括で更新することが可能です
USBデバイスに設定していた使用期限は以下の手順を行うことで、一括で変更が可能です。
USBデバイス使用期限設定において、一度[設定しない]を選択し設定ボタンを押します。(使用期限が一括でクリアされます。)
USBデバイス使用期限設定において[設定する]を選択し、任意の初期値を入力して設定ボタンを押します。
[USBデバイス登録]画面で1個ずつ登録します。1つのUSBデバイスに対して、1件登録します。
以下に手順を示します。
[管理コンソール]を起動します。
[動作設定]メニューから[USBデバイス登録]を選択します。
→[USBデバイス登録]画面が表示されます。
項目名 | 説明 | |
|---|---|---|
[USBデバイスの絞込み] | [登録されているUSBデバイス一覧]に表示するUSBデバイスの絞込みを行えます。以下から選択できます。
| |
[キーワード] | 表示するUSBデバイスの検索条件を指定します。 半角で128文字(全角で64文字)まで入力できます。 | |
[検索] | [USBデバイスの絞込み]と[キーワード]に指定した条件でUSBデバイスの検索を実施します。 | |
[登録されているUSBデバイス一覧] | 登録されているUSBデバイスの内容が表示されます。 以下の情報が表示されます。
| |
[ドライブ名] | [USBデバイス情報を取得]ボタンによりUSBデバイス情報を読み込む場合、そのデバイスが装着されているドライブを選択します。 | |
[USBデバイス情報を取得] | クリックすると、指定されたドライブに挿入されているUSBデバイスから情報を読み込みます。 | |
[設定項目] | [USB装置名] | 半角で80文字まで入力できます。ただし、以下の文字は入力できません。 本項目は、必ず入力してください。 |
[備考] | 半角で128文字まで入力できます。ただし、以下の文字は入力できません。 | |
[USBデバイス情報] | [メーカー ID] | [USBデバイス情報を取得]ボタンをクリックした場合に読み込んだUSBデバイス情報が表示されます。 手動でUSBデバイスを登録する場合は、以下の項目を入力してください。
|
[最終使用者情報] | [最終使用ユーザー名] [最終使用コンピュータ名] [最終接続日] | USBデバイスの最終使用者情報が表示されます。
マルチログオン時には、コンソール・セッションでログオンしているユーザーの情報が最終使用者情報として取得されます。 |
[USBデバイスの識別方法] | 持出しユーティリティやエクスプローラーなどを使用してUSBデバイスにファイルを持ち出すときに、許可されたUSBデバイスかどうかを識別する方法です。 | |
[完全一致] | メーカーID + 製品ID + 内部シリアル番号で識別します。 | |
[シリアル一致] | メーカーID + 内部シリアル番号で識別します。 認証機能付きのUSBデバイスで、認証前と認証後で製品IDが変化するもの(※)を登録する場合に、本項目を選択します。 | |
[製品一致] | メーカーID + 製品IDでUSBデバイスを識別します。 | |
[使用不可] | 登録されたUSBデバイスを、一時的に使用できない設定とします。 [登録されているUSBデバイス一覧]において、その行全体が、グレイアウトされます。 | |
[USBデバイス使用期限] | [USBデバイス動作設定]画面で[使用期限をUSBデバイスに設定する]を選択した場合にUSBデバイスの使用期限を設定します。 半角数字だけ入力でき、入力範囲は以下のとおりです。
| |
[追加] | USBデバイスを登録します。 | |
[更新] | USBデバイス情報を更新します。 | |
[削除] | 登録されているUSBデバイスを削除します。 | |
※) あらかじめ、認証前または認証後のどちらの状態で登録するか、決めておくことをお勧めします。
認証前後で[USBデバイス情報を取得]ボタンをクリックし、[USBデバイス情報]に表示される[製品ID]だけが変化することを確認してください。
注意
USBデバイスの使用期限についての留意事項
[USBデバイス登録]画面での使用可能デバイスの判定時、USB使用期限と比較される時間は管理コンソールを起動しているPCのシステム日付となります。管理コンソールのシステム日付がずれていた場合には意図せず使用できる(できない)USBデバイスが存在する可能性があります。
登録するUSBデバイスを、管理コンソールのPCに挿入します。
[ドライブ名]で、PCが認識したドライブを選択し、[USBデバイス情報を取得]ボタンをクリックします。
→[USBデバイス情報]に、挿入されているUSBデバイスの情報が表示されます。
媒体からUSBデバイス情報を読み込めない場合は、登録できません。
ポイント
ロック機能つきUSBデバイスについて
ロック機能つきUSBデバイスを利用する場合は、ロックを解除してから[USBデバイス情報を取得]ボタンをクリックしてください。
ポイント
USBインターフェースのDVD/CD-R/RW装置について
USBインターフェースのDVD/CD-R/RW装置などは、手動でメーカーID/製品ID/内部シリアル番号を入力することで登録可能です。
[USBデバイスの識別方法]を選択します。
[USB装置名]、[備考]を入力します。
登録情報は、3階層の場合は統合管理サーバで保存し、2階層の場合は管理サーバ単位で保存し、配下の複数部門の情報が混在します。このため、ポリシー設定時は、自部門で許可するUSBデバイスを、大量の登録情報の中から選択することが予想されます。[登録されているUSBデバイス一覧]に表示される各項目はソートできますが、[備考]に部門や利用者名などの識別情報を設定し、選択しやすくすることを推奨します。
[追加]ボタンをクリックします。
→[登録されているUSBデバイス一覧]に登録内容が表示されます。
[管理コンソール]を起動し、[USBデバイス登録]画面を表示します。
[登録されているUSBデバイス一覧]で、更新するUSBデバイスを選択します。
→登録内容が表示されます。
該当する項目を更新し、[更新]ボタンをクリックします。
→[登録されているUSBデバイス一覧]に更新内容が反映されます。
[管理コンソール]を起動し、[USBデバイス登録]画面を表示します。
[登録されているUSBデバイス一覧]で、削除するUSBデバイスを選択します。
→登録内容が表示されます。
情報を削除する場合は、[備考]の部門や利用者名などの識別情報も参考に、自部門のUSBデバイス情報であることを確認してから実施してください。
[削除]ボタンをクリックします。
→[登録されているUSBデバイス一覧]から情報が削除されます。
[USBデバイス登録]画面では、USBデバイスを最後に利用したコンピュータ名、ユーザー名、利用日時を確認することができます。USBデバイスの紛失などによって、長期間利用されていないUSBデバイスが存在しないかを確認することができます。
[管理コンソール]を起動し、[USBデバイス登録]画面を表示します。
→[最終使用ユーザー名]、[最終使用コンピュータ名]、[最終接続日]からUSBデバイスの利用状況を確認します。
ポリシー設定は、システム管理者または部門管理者が行います。
運用例で説明した、運用例1~運用例4のポリシー設定を以下に説明します。
[ファイル持出し禁止]タブで以下を設定します。
[持出しユーティリティ]
[ファイル持出しユーティリティを使用しての持出し]で[不可]を選択します。
[Explorer]
[ファイルアクセス制御]で[する]を選択します。
[読み込み禁止]([リムーバブルドライブの読み込み])で[禁止する]を選択します。
[持出し禁止]の[ドライブ種別指定]で[リムーバブル]をチェックします。
[USBデバイス個体識別機能]
[利用する]を選択します。
[ファイル持出し禁止 - USBデバイス個体識別機能 - 詳細設定]画面で、[読み込み専用]を選択します。
[ファイル持出し禁止]タブで以下を設定します。
[持出しユーティリティ]
[ファイル持出しユーティリティを使用しての持出し]で[可]を選択します。
[暗号化持ち出しのみ可]をチェックします。
[Explorer]
[ファイルアクセス制御]で[する]を選択します。
[読み込み禁止]([リムーバブルドライブの読み込み])で[禁止する]を選択します。
[持出し禁止]の[ドライブ種別指定]で[リムーバブル]をチェックします。
[USBデバイス個体識別機能]
[利用する]を選択します。
[ファイル持出し禁止 - USBデバイス個体識別機能 - 詳細設定]画面で、[読み書き可能]を選択します。
[ファイル持出し禁止 - USBデバイス個体識別機能 - 詳細設定]画面で、[読み書きともファイル持出しユーティリティに限定]をチェックします。
[ファイル持出し禁止]タブで以下を設定します。
[持出しユーティリティ]
[ファイル持出しユーティリティを使用しての持出し]で[可]を選択します。
[暗号化持ち出しのみ可]をチェックします。
[Explorer]
[ファイルアクセス制御]で[する]を選択します。
[読み込み禁止]([リムーバブルドライブの読み込み])で[禁止する]を選択します。
[持出し禁止]の[ドライブ種別指定]で[リムーバブル]をチェックします。
[USBデバイス個体識別機能]
[利用する]を選択します。
[ファイル持出し禁止 - USBデバイス個体識別機能 - 詳細設定]画面で、[読み書き可能]を選択します。
[ファイル持出し禁止 - USBデバイス個体識別機能 - 詳細設定]画面で、[書き込みはファイル持出しユーティリティに限定]をチェックします。
[ファイル持出し禁止]タブで以下を設定します。
[持出しユーティリティ]
[ファイル持出しユーティリティを使用しての持出し]で[可]を選択します。
[暗号化持ち出しのみ可]をチェックします。
[Explorer]
[ファイルアクセス制御]で[する]を選択します。
[読み込み禁止]([リムーバブルドライブの読み込み])で[禁止する]を選択します。
[持出し禁止]の[ドライブ種別指定]で[リムーバブル]をチェックします。
[USBデバイス個体識別機能]
[利用する]を選択します。
[ファイル持出し禁止 - USBデバイス個体識別機能 - 詳細設定]画面で、[読み書き可能]を選択します。配下のチェックボックスは、どれもチェックしません。
[USBデバイス登録]画面の[USBデバイス動作設定]で以下を設定します。
[使用期限をUSBデバイスに設定する]を選択します。
[USBデバイス登録]画面で以下の設定をします。
[登録されているUSBデバイス一覧]から使用期限を設定するUSBデバイスを選択し、[USBデバイス使用期限]に使用を許可する年月日を設定します。
[ファイル持出し禁止]タブで以下を設定します。
[USBデバイス個体識別機能]
[利用する]を選択します。
[ファイル持出し - USBデバイス個体識別機能 - 詳細設定]画面で、利用を許可するアクセス設定を選択します。
[ファイル持出し禁止]タブで以下を設定します。
[USBデバイス個体識別機能]
[利用する]を選択します。
[ファイル持出し - USBデバイス個体識別機能 - 詳細設定]画面の[管理サーバに登録されている全てのUSBの使用の許可]で、[する]を選択し、利用を許可するアクセス設定を選択します。
部門AのCTグループポリシー(ユーザーグループポリシー)に以下のポリシーを設定します。
[ファイル持出し禁止]タブで以下を設定します。
[USBデバイス個体識別機能]
[利用する]を選択します。
[ファイル持出し - USBデバイス個体識別機能 - 詳細設定]画面の[管理サーバに登録されている全てのUSBの使用の許可]で、[する]を選択し、利用を許可するアクセス設定を選択します。
部門Bのグループポリシーに以下のポリシーを設定します。
[ファイル持出し禁止]タブで以下を設定します。
[USBデバイス個体識別機能]
[利用する]を選択します。
[ファイル持出し - USBデバイス個体識別機能 - 詳細設定]画面で[識別方法]が[使用不可]になっているUSBデバイスを設定します。
ポイント
部門A配下の特定のクライアント(CT)あるいは、ユーザーに対して利用を不許可とする場合について
運用例7のように運用している場合に、部門Aのあるクライアント(CT)あるいは、ユーザーに対してUSBデバイスの利用を不許可とした場合は、以下のようにポリシーを設定してください。
ポリシーを設定するクライアント(CT)あるいは、ユーザーを選択します。
[ファイル持出し禁止]タブで以下を設定します。
[USBデバイス個体識別機能]
- [利用する]を選択します。
- [ファイル持出し - USBデバイス個体識別機能 - 詳細設定]画面で[識別方法]が[使用不可]に
なっているUSBデバイスを設定します。
また、USBデバイス個体識別機能を使用した場合に、デバイス構成変更ログが「違反」として採取されるのは、以下のパターンの場合です。
ここでは、デバイス構成変更ログが「違反」として採取される条件だけを説明しています。上記の運用例1~運用例6とは対応していません。
パターン1
[USBデバイス登録]画面の[USBデバイスの識別方法]が[使用不可]になっているUSBデバイスが接続された場合
パターン2
[USBデバイス登録]画面の[USBデバイス使用期限]で設定した使用期限が過ぎている場合
パターン3
[ファイル持出し禁止 - USBデバイス個体識別機能 - 詳細設定]画面の[管理サーバに登録されている全てのUSBの使用の許可]を[する]にしている場合に、管理サーバとクライアント(CT)の接続ができない場合
[次回起動時に更新する]ボタンまたは[即時更新を行う]ボタンをクリックして、ポリシーを設定します。
CTポリシーの場合は、クライアント(CT)起動時に反映されます。ユーザーポリシーの場合は、ログオン時に反映されます。
また、ポリシーの即時更新でも反映されます。
CSVファイルを利用してUSBデバイス情報を登録する
USBデバイス一覧ファイルを作成します。
USBデバイス一覧ファイルの詳細は、“Systemwalker Desktop Keeper リファレンスマニュアル”の“USBデバイス一覧ファイル”を参照してください。
[管理コンソール]を起動し、[USBデバイス登録]画面を表示します。
[CSV連携]メニューの[設定内容の取り込み]を選択します。
→[USBデバイス情報取り込みファイル指定]画面が表示されます。
[取り込みファイル](必須):USBデバイス一覧ファイルを、フルパスで指定します。
半角で218文字まで入力できます。ただし、以下の記号はファイル名として使用できません。
使用できない記号:「\」「/」「:」「*」「?」「"」「<」「>」「|」
[実行ログファイル](必須):実行結果を保存するファイルを、フルパスで指定します。
半角で218文字まで入力できます。ただし、以下の記号はファイル名として使用できません。
使用できない記号:「\」「/」「:」「*」「?」「"」「<」「>」「|」
[実行ログファイルが存在する場合]:既存の実行ログファイルが存在する場合は必ず設定してください。
[追記する]:既存の実行ログファイルに追記する場合に選択します。
[上書きする]:既存の実行ログファイルに上書きする場合に選択します。
上記の情報を設定し、[取り込み開始]ボタンをクリックします。
→[USBデバイス情報取り込み状態表示]画面が表示されます。
USBデバイス情報の取り込みが終了すると、[処理状態]に「登録完了」と表示されます。[OK]ボタンをクリックします。
[管理コンソール]を起動し、[USBデバイス登録]画面を表示します。
[CSV連携]メニューの[設定内容の出力]を選択します。
→[USBデバイス情報出力ファイル指定]画面が表示されます。
[出力ファイル](必須):USBデバイス情報を出力するCSVファイルを、フルパスで指定します。
半角で218文字まで入力できます。ただし、以下の記号はファイル名として使用できません。
使用できない記号:「\」「/」「:」「*」「?」「"」「<」「>」「|」
[実行ログファイル](必須):実行結果を保存するファイルを、フルパスで指定します。
半角で218文字まで入力できます。ただし、以下の記号はファイル名として使用できません。
使用できない記号:「\」「/」「:」「*」「?」「"」「<」「>」「|」
[実行ログファイルが存在する場合]:既存の実行ログファイルが存在する場合は必ず設定してください。
[追記する]:既存の実行ログファイルに追記する場合に選択します。
[上書きする]:既存の実行ログファイルに上書きする場合に選択します。
上記の情報を設定し、[出力開始]ボタンをクリックします。
出力が完了するとメッセージが表示されるので、[OK]ボタンをクリックします。
登録済みのUSBデバイス情報を出力したCSVファイルを利用して、以下の操作を行えます。
登録されているUSBデバイス情報の、USB装置名、備考、または識別方法を変更する
登録されているUSBデバイス情報を削除する
USBデバイス情報を別の管理サーバに移行する
手順を以下に示します。
[CSV連携]メニューの[設定内容の出力]を選択し、USBデバイス情報をCSVファイルに出力します。
出力方法は、“登録されているUSBデバイス情報をCSVファイルに出力する”を参照してください。
必要に応じてCSVファイルの内容を変更します。
入力用CSVファイルは、テキストファイルとして編集してください。Microsoft® Excelなどのソフトウェアを使用して編集すると、ダブルクォーテーションなど必要な情報がなくなってしまうことがあります。
手順1.で出力したCSVファイルの各行の1項目めは、空白になっています。この状態のまま、同じ管理サーバにUSBデバイス情報を取り込んだ場合、“新規”として情報が追加されます。識別方法に“製品一致”を指定している場合は、同じ情報が複数登録されます。したがって、登録情報の重複を避けるため、変更や削除を行わない行を削除してから、管理サーバに取り込むことを推奨します。
CSVファイルの詳細は、“Systemwalker Desktop Keeper リファレンスマニュアル”の“USBデバイス一覧ファイル”を参照してください。
1項目目(処理フラグ)に“U”を指定します。
USB装置名、備考、または識別方法を変更します。CSVファイルを取り込むときは、全項目が記載されている必要があります。USB装置名、備考、または識別方法以外は、変更しないでください。
1項目目(処理フラグ)に“D”を指定します。
2項目目(GUID)が指定されていることを確認します。
移行後の管理サーバに登録するUSBデバイス情報を変更する場合は“USB装置名、備考、または識別方法を変更する場合”または“USBデバイス情報を削除する場合”を参照してください。
CSVファイルを保存します。
USBデバイス情報を取り込む管理サーバで、[CSV連携]メニューの[設定内容の取り込み]を選択します。
→[USBデバイス情報取り込みファイル指定]画面が表示されます。
[取り込みファイル](必須):USBデバイス一覧ファイルを、フルパスで指定します。
半角で218文字まで入力できます。ただし、以下の記号はファイル名として使用できません。
使用できない記号:「\」「/」「:」「*」「?」「"」「<」「>」「|」
[実行ログファイル](必須):実行結果を保存するファイルを、フルパスで指定します。
半角で218文字まで入力できます。ただし、以下の記号はファイル名として使用できません。
使用できない記号:「\」「/」「:」「*」「?」「"」「<」「>」「|」
[実行ログファイルが存在する場合]:既存の実行ログファイルが存在する場合は必ず設定してください。
[追記する]:既存の実行ログファイルに追記する場合に選択します。
[上書きする]:既存の実行ログファイルに上書きする場合に選択します。
上記の情報を設定し、[取り込み開始]ボタンをクリックします。
→[USBデバイス情報取り込み状態表示]画面が表示されます。
USBデバイス情報の取り込みが終了すると、[処理状態]に「登録完了」と表示されます。[OK]ボタンをクリックします。
注意
取り込みに使用したCSVファイルは再利用できません
取り込みに使用したCSVファイルは再利用できません。CSVファイルを使用してUSBデバイス情報を変更する場合は、再度、手順1.のCSVファイルの出力から操作を行ってください。
