今回のテーマ
ポリシーをエクスポート/インポートするには?
Question: やりたいこと
DeviceLockを導入しているクライアントPCをリプレースすることになりました。DeviceLock Serviceのインストール方法はわかるのですが、現在クライアントPCに設定しているDeviceLockの設定情報(ポリシー)がやや複雑で再度設定しなおすのは大変なので、できれば何かの方法でポリシーを移行したいと思っています。
管理はDeviceLock管理コンソールを使用しています。
外部ファイルなどを経由してポリシーを移行する方法はありますか。
Answer: こうすればできる
DeviceLock管理コンソールを使って、クライアントPCに設定されたDeviceLockポリシーをエクスポート(保存)、インポート(ロード)することができます。
Step: 設定方法(エクスポート)
DeviceLockポリシーのエクスポートは、以下の手順で行ないます。
- DeviceLock管理コンソールを起動して、対象のクライアントPC(DeviceLock Service)に接続します。
- 左ペインで [DeviceLock Service] をマウスで右クリックして、コンテキストメニューを表示させます。
- コンテキストメニューから [Service 設定の保存] を選択して [名前を付けて保存] 画面で、DeviceLock Service設定ファイルのエクスポート先を指定します(ファイル拡張子は「.dls」になります)。
以上でDeviceLockポリシーのエクスポートは終了です。
Step: 設定方法(インポート)
DeviceLockポリシーのインポートは、以下の手順で行ないます。
- DeviceLock管理コンソールを起動して、対象のクライアントPC(DeviceLock Service)に接続します。
- 左ペインで [DeviceLock Service] をマウスで右クリックして、コンテキストメニューを表示させます。
- コンテキストメニューから [Service 設定のロード] を選択して [開く] 画面で、移行したい既存のDeviceLock Service設定ファイルを指定します。
以上でDeviceLockポリシーのインポートは終了です。
Reference: 参考
ご注意
- エクスポートされたDeviceLock Service設定ファイルは、エディタ等で編集しないでください。
- 監査ログやシャドウイングログのログデータは移行できません。
- エクスポートしたDeviceLock Service設定ファイルを「DeviceLock」コントロールパネルアプレットから取り込む場合は、DeviceLock Service設定ファイルが署名されている必要があります。(「テクニカルガイド 第3回 スタンドアロンクライアントのポリシーを変更するには」参照)
- DeviceLock Service設定ファイルに含まれるポリシーにクライアントPCのローカルユーザー指定が含まれる場合、ユーザー情報は移行できません。特にDeviceLock管理者にローカルユーザーを指定している場合はご注意ください。
(解説)
DeviceLock管理者やアクセス許可、監査/シャドウイングなどでローカルユーザー/ユーザーグループを指定している場合、ユーザーのSIDに注意する必要があります(DeviceLockは内部的には、ユーザー/グループ名ではなく、SIDで管理しています)。
DeviceLockでアクセス制御ポリシーやDeviceLock管理者などを設定すると、指定したユーザー情報はSID(Security Identifier、セキュリティ識別子)で保存されます。SIDはユーザーやユーザーグループなどのセキュリティ要素が作成される都度、Windowsによりほぼランダムな文字列として割り当てられます(したがって、同じPCでも別のPCでも、同じ名前でローカルユーザーを作成しても同じSIDにはなりません)。
このようにSIDがユニークであることはWindowsの仕様であり、DeviceLockの運用においてSIDの扱いおよび留意が必須であることにご注意ください。
DeviceLockの設定情報は「DeviceLock Service設定ファイル」としてエクスポートすることができますが、ユーザー情報を含むDeviceLock Service設定ファイルを別のPCに読み込ませると、ポリシーを作成したPCとDeviceLock Service設定ファイルの適用先PCに同じ名前のユーザーが存在していたとしても、実体はSIDの異なる全く別のユーザーの設定情報となり、ユーザーやユーザーグループを前提としたデバイス制御が機能しない等の現象が起こります。
特に、DeviceLock設定の移行元PCでDeviceLock管理者にローカルユーザーを指定していると、DeviceLock設定の移行先PCに同じ名前のローカルユーザーが存在していたとしても、DeviceLock設定を移行した瞬間から移行先PCでDeviceLock管理者が「不明」の状態になり、誰もDeviceLock Serviceをコントロール(設定変更やアンインストール)できなくなります。
なお、全てのWindows PCでSIDが共通となる「Well Known SID」を持つユーザー/ユーザーグループのみご利用になるのであれば、上記の制限はなくなります。Well Known SIDは例えば「Everyone」「Administrators」などが該当します(「Administrator」はWell Known SIDではありませんのでご注意ください)。
DeviceLockテクニカルガイドとは?
DeviceLockテクニカルガイドは、組織のシステム管理者やセキュティ担当者の皆さんがDeviceLockをご利用になるうえでの、役に立つテクニカル情報をご提供するものです。
例えば、DeviceLockを使って組織のセキュリティ要件を満たしたいがどういう設定をしたらよいのか、DeviceLockの機能を使いたいが設定の仕方が分からない、DeviceLockでどんなことができるのか知りたい、DeviceLockのこの機能は何のためにあるのか、など、DeviceLockに係るテクニカル相談窓口となることを目指しています。
このガイドでは、無作為に設定した特定の目的に対し、それを実現するための準備や設定方法を順を追って説明します。併せて、関連する情報についても掲載し、ユーザー様のスキルアップを図ります。ぜひご活用ください。
なお、本ガイドはDeviceLockを実際にご利用になっている方を対象としていますので、DeviceLockにおける「普通の」操作についての説明は省略させて頂きます。また、DeviceLockについての体系的な説明よりも、特定の機能に絞ったピンポイントの説明を指向しますので、体系的・包括的な情報を参照したい場合は製品添付の「DeviceLockユーザーマニュアル」をご利用ください。
本ガイドでは、効率的な説明のため、DeviceLockをはじめ、Windows、Macintosh、 コンピューター(ハードウェア)、周辺機器(デバイス)、ネットワーク等についての専門用語が使用されることが多々ありますが、一般的な用語についてはガイド中での説明を省略させていただくことがあります。
投稿日:2020年03月23日
How to DeviceLock 記事一覧
- 45:クライアントのServiceがアンインストールされたことを知るには
- 44:ログの保存場所について
- 43:Enterprise Serverに監査ログを集積するには
- 42:EnterpriseManagerからDeviceLockServiceをインストールするには?
- 41:EnterpriseManagerで監査ログを保存・ロードするには?
- 40:OneDrive以外のクラウドストレージ利用を禁止するには?
- 39:アクセス制御ポリシーの変更箇所を確認するには?
- 38:Mac版DeviceLockのインストール後のブロック解除
- 37:Mac版DeviceLockをアンインストールするには?
- 36:Mac版DeviceLockを利用する際の準備(NTLM認証)
- 35:DeviceLockの通信で使用するポートについて
- 34: ハードディスクのアクセス制御について
- 33:スマートフォンへのファイル書き出しを禁止するには?
- 32:マイナンバーを含むファイルの書き出しを禁止するには?
- 31:DeviceLockのログ日付を和暦で表示するには?
- 30:EnterpriseServerからServiceをインストールするには?
- 29:EnterpriseServerのDB作成でエラーが発生する?
- 28:インストール中に現れる[チャネルのロック]画面とは?
- 27:DeviceLockの現在の設定を一覧で確認するには?
- 26:アクセスを拒否した監査ログのみを抽出するには?
- 25:EnterpriseServerからSQLServerに接続できない?
- 24:特定のタイプのファイルだけ書き込みを許可するには?
- 23:イベントの発生を電子メールで通知するには?
- 22:Mac版DeviceLockをコマンドでインストールするには?
- 21:BitLocker To Goデバイスのみアクセスを許可するには?
- 20:シャドウログのローテーションを設定するには?
- 19:DeviceLock管理者を設定するには?
- 18:インストールされているバージョンとライセンスを知るには?
- 17:PC持ち出し時に自動で制御ポリシーを変えるには?
- 16:特定の時間帯だけ制御を有効にするには?
- 15:USB Devices Databaseを手作業で作成するには?
- 14:EnterpriseManagerのPCリストを作成するには?
- 13:カスタムMSIインストーラーを作成するには?
- 12:DeviceLockServiceと固定ポートで通信するには?
- 11:USBデバイスをブロックしたことをユーザーに通知するには?
- 10:DeviceLockをサイレントインストールするには?
- 09:Enterprise Managerでクライアント認証を設定するには?
- 08:ポリシーをエクスポート/インポートするには?
- 07:USBデバイスをデバイスクラス単位で使用許可するには?
- 06:インストール後にライセンスを適用するには?
- 05:適用済みのライセンスをクリアするには?
- 04:USBデバイスの利用を一時的に許可するには?
- 03:スタンドアロンクライアントのポリシーを変更するには?
- 02:DeviceLock証明書を生成するには?
- 01:監査ログのローテーションを設定するには?
- How to DeviceLockとは?