今回のテーマ
スタンドアロンクライアントのポリシーを変更するには?
Question: やりたいこと
社内のネットワーク(LAN)環境でDeviceLockを運用しています。デバイス制御のポリシーはネットワーク内にある管理PCで、DeviceLock管理コンソールを使ってメンテナンスしています。
ただ最近、セキュリティ上の理由から社内ネットワークから外して所謂「スタンドアロン」で運用するPCを設置したり、会社支給のPCを社外に持ち出して社員の自宅などで使用するといった運用が始まり、DeviceLockのこれまでの管理方法では対応できない「例外」が発生するようになりました。
社内ネットワークに接続できないクライアントのDeviceLockポリシーを変更する方法はあるのでしょうか。
Answer: こうすればできる
DeviceLockのポリシー変更は管理ツールからネットワークを通して行なうのが便利ですが、ネットワークに接続できない状態のクライアント(スタンドアロンPC)のポリシーを変更することもできます。
これは、ポリシーを「DeviceLock Service設定ファイル」エクスポートして、ポリシーを適用したいクライアントに読み込ませる、という方法で、DeviceLock Service設定ファイルをメール添付、ファイルの物理的送付、ファイル共有サイトの利用等の手段にて受け渡しができることが条件になります。
Step: DeviceLock Service設定ファイルの準備
DeviceLock Service設定ファイルは、DeviceLock管理コンソールやDeviceLock Service設定エディタで作成しますが、ふたつ、注意しなければならない点があります。それは・・
- 管理側(管理ツール)、クライアント(DeviceLock Service)双方に、対になるDeviceLock証明書が適用されていること
- 適用されるDeviceLock Service設定ファイルは、DeviceLock証明書で署名されている必要があること
- DeviceLock証明書の生成、適用方法については「テクニカルガイド 第2回 DeviceLock証明書を生成するには」をご覧ください。
DeviceLock Service設定ファイルを生成するために、以下の1.または2.を行ないます。
- DeviceLock Service設定エディタを起動し、クライアントに適用したいポリシーを設定します。その際、「DeviceLock証明書」の指定を忘れると、次回より、クライアントでDeviceLock Service設定ファイルの取り込みが出来なくなりますのでご注意ください。
- 既にポリシーを設定してDeviceLock Service設定ファイルにエクスポートしたファイルがある場合は、1.の代わりに、このファイルを読み込んでポリシーの必要箇所を変更、といった手順でも結構です。この場合も、「DeviceLock証明書」の指定は必ず入れてください。
ポリシーを設定したら、DeviceLock Service設定ファイルにエクスポートしますが、その際、DeviceLock Service設定ファイルに「署名」する必要があります。
DeviceLock Service設定ファイルに署名して保存するには、DeviceLock Service設定エディタの「DeviceLock Service」を右クリックして表示されるプルダウンメニューから「Service 設定の保存および署名」を選択します。
生成した「DeviceLock Service設定ファイル」は、クライアントの利用者に、何らかの方法で渡します。
例えば、以下の方法があります。
- 電子メールの添付ファイル
- インターネットを利用したファイル共有
- 利用が許可されているUSBメモリーにファイルを書き込み、郵送
クライアントにDeviceLock Service設定を適用する方法には、以下の2種類があります。
- コントロールパネルによるDeviceLock Service設定ファイルのインポート
- コマンドによるDeviceLock Service設定ファイルの適用
この後、これらの適用方法について、説明します。
Step: コントロールパネルによるDeviceLock Service設定ファイルのインポート
「DeviceLock」コントロールパネル項目を使用したDeviceLockポリシー適用(読み込み)の手順について説明します。
- 署名されたDeviceLock Service設定ファイルを、クライアントPCからアクセス可能なドライブ(デスクトップなど)に配置します。
- 「DeviceLock」コントロールパネル項目を起動し、「Service設定のインポート」をチェックして[次へ]をクリックします。
- 「署名済みファイルの選択」で署名済みのDeviceLock Service設定ファイルを選択し[終了]をクリックします。
- 以下のダイアログボックスが表示されたら、DeviceLock Service設定ファイルの取り込みは終了です。
- インポートに使用したDeviceLock Service設定ファイルが署名されていない場合は、以下のダイアログボックスが表示されます。署名された設定ファイルを使用して、再度実行してください。
以上で、「DeviceLock」コントロールパネル項目を使用したDeviceLockポリシー適用は終了です。
Step: コマンドによるDeviceLock Service設定ファイルの適用
署名されたDeviceLock Service設定ファイルは、DeviceLock Serviceがインストールされているクライアントで、コマンドラインツールにより適用することができます。
「DeviceLock」コントロールパネル項目を使わずコマンドラインで処理できるため、ユーザーインターフェースの操作が不要になり、工夫次第で、DeviceLockポリシーの半自動配布も可能になります。
- クライアントでコマンドプロンプトを起動します。
※ 「ファイル名を指定して実行」(Windowsキーを押しながら R) を表示して「名前」欄に「cmd」と入力しEnter(エンター)キーを押します。 - 「DeviceLock」コントロールパネル項目をコマンド入力で起動して、署名されたDeviceLock Service設定ファイルを適用します。 (コマンド文法)DLTempAccess.cpl –s
※ は、DeviceLock Service設定ファイルへのパス(とファイル名)を表しています。以下の例では、署名されたDeviceLock Service設定ファイル(settings_signed.dls)をクライアントの C: ドライブのルート直下に配置しています。 (例 1)
DLTempAccess.cpl” -s “C:\settings_signed.dls”(例 2)
“c:\Program Files (86)\devicelock\devicelockagent\DLTempAccess.cpl” -s C:\settings_signed.dls”DLTempAccess.cplは、DeviceLock Serviceがインストールされているフォルダーにありますので、このフォルダーへのアプリケーション実行パスが設定されているか(例 1)、DLTempAccess.cplをフルパスで指定する(例 2)ことが必要です。
以上で、コマンドラインツール使用したDeviceLockポリシー適用は終了です。
Reference: 参考
- エクスポートされたDeviceLock Service設定ファイルは、エディタ等で編集しないでください。クライアントで読み込めなくなることがあります。
- 「DeviceLock証明書」は、必ず、管理PC側とクライアントPC側で、対になるものを適用してください。
- コマンドラインツールによるポリシー適用は、バッチファイルで記述し、実行ファイルとすることができます。
- 本書で説明しているポリシー適用方法は、スタンドアロンPCだけでなく、ネットワークに参加しているクライアントPCでも実行可能です。
DeviceLockテクニカルガイドとは?
DeviceLockテクニカルガイドは、組織のシステム管理者やセキュティ担当者の皆さんがDeviceLockをご利用になるうえでの、役に立つテクニカル情報をご提供するものです。
例えば、DeviceLockを使って組織のセキュリティ要件を満たしたいがどういう設定をしたらよいのか、DeviceLockの機能を使いたいが設定の仕方が分からない、DeviceLockでどんなことができるのか知りたい、DeviceLockのこの機能は何のためにあるのか、など、DeviceLockに係るテクニカル相談窓口となることを目指しています。
このガイドでは、無作為に設定した特定の目的に対し、それを実現するための準備や設定方法を順を追って説明します。併せて、関連する情報についても掲載し、ユーザー様のスキルアップを図ります。ぜひご活用ください。
なお、本ガイドはDeviceLockを実際にご利用になっている方を対象としていますので、DeviceLockにおける「普通の」操作についての説明は省略させて頂きます。また、DeviceLockについての体系的な説明よりも、特定の機能に絞ったピンポイントの説明を指向しますので、体系的・包括的な情報を参照したい場合は製品添付の「DeviceLockユーザーマニュアル」をご利用ください。
本ガイドでは、効率的な説明のため、DeviceLockをはじめ、Windows、Macintosh、 コンピューター(ハードウェア)、周辺機器(デバイス)、ネットワーク等についての専門用語が使用されることが多々ありますが、一般的な用語についてはガイド中での説明を省略させていただくことがあります。
投稿日:2020年02月27日
How to DeviceLock 記事一覧
- 45:クライアントのServiceがアンインストールされたことを知るには
- 44:ログの保存場所について
- 43:Enterprise Serverに監査ログを集積するには
- 42:EnterpriseManagerからDeviceLockServiceをインストールするには?
- 41:EnterpriseManagerで監査ログを保存・ロードするには?
- 40:OneDrive以外のクラウドストレージ利用を禁止するには?
- 39:アクセス制御ポリシーの変更箇所を確認するには?
- 38:Mac版DeviceLockのインストール後のブロック解除
- 37:Mac版DeviceLockをアンインストールするには?
- 36:Mac版DeviceLockを利用する際の準備(NTLM認証)
- 35:DeviceLockの通信で使用するポートについて
- 34: ハードディスクのアクセス制御について
- 33:スマートフォンへのファイル書き出しを禁止するには?
- 32:マイナンバーを含むファイルの書き出しを禁止するには?
- 31:DeviceLockのログ日付を和暦で表示するには?
- 30:EnterpriseServerからServiceをインストールするには?
- 29:EnterpriseServerのDB作成でエラーが発生する?
- 28:インストール中に現れる[チャネルのロック]画面とは?
- 27:DeviceLockの現在の設定を一覧で確認するには?
- 26:アクセスを拒否した監査ログのみを抽出するには?
- 25:EnterpriseServerからSQLServerに接続できない?
- 24:特定のタイプのファイルだけ書き込みを許可するには?
- 23:イベントの発生を電子メールで通知するには?
- 22:Mac版DeviceLockをコマンドでインストールするには?
- 21:BitLocker To Goデバイスのみアクセスを許可するには?
- 20:シャドウログのローテーションを設定するには?
- 19:DeviceLock管理者を設定するには?
- 18:インストールされているバージョンとライセンスを知るには?
- 17:PC持ち出し時に自動で制御ポリシーを変えるには?
- 16:特定の時間帯だけ制御を有効にするには?
- 15:USB Devices Databaseを手作業で作成するには?
- 14:EnterpriseManagerのPCリストを作成するには?
- 13:カスタムMSIインストーラーを作成するには?
- 12:DeviceLockServiceと固定ポートで通信するには?
- 11:USBデバイスをブロックしたことをユーザーに通知するには?
- 10:DeviceLockをサイレントインストールするには?
- 09:Enterprise Managerでクライアント認証を設定するには?
- 08:ポリシーをエクスポート/インポートするには?
- 07:USBデバイスをデバイスクラス単位で使用許可するには?
- 06:インストール後にライセンスを適用するには?
- 05:適用済みのライセンスをクリアするには?
- 04:USBデバイスの利用を一時的に許可するには?
- 03:スタンドアロンクライアントのポリシーを変更するには?
- 02:DeviceLock証明書を生成するには?
- 01:監査ログのローテーションを設定するには?
- How to DeviceLockとは?