今回のテーマ
OneDrive以外のクラウドストレージ利用を禁止するには?
Question: やりたいこと
会社指定でMicrosoftのOneDriveを利用していますが、OneDrive以外のクラウドストレージを利用している社員もいるようです。
そこで、OneDrive以外のクラウドストレージの利用を禁止したいと思っています。
DeviceLockでできますか。
Answer: こうすればできる
オンラインストレージサービスとしてのOneDriveは、DeviceLockでは「File Sharing」プロトコルとして制御の対象となります。
現在のバージョンのDeviceLockでは、以下の「File Sharing」プロトコルへのアクセス制御に対応しています。
- Amazon Simple Storage Service(Amazon S3)
- Box
- Cloud Mail.ru
- Dropbox
- GMX File Storage
- Google Docs/Google Drive
- iCloud
- OneDrive
- Web.de file sharing service
- Yandex.Disk など
- Webベースのファイル保存、共有、同期サービスを使用した情報の交換を制御します。
- 非SSL接続とSSL接続の両方がサポートされています。
本ページでは、「File Sharing」プロトコルへのアクセスを一律禁止した上で、OneDriveへのフルアクセス権を付与する方法について説明します。
- 「File Sharing」プロトコルのアクセス制御には、「NetworkLock」オプションの導入が必要です。
Step:設定方法(アクセス制御)
まず、「File Sharing」プロトコルへのアクセスを一律禁止して、DeviceLock(NetworkLock)で対応する全てのWebベースのファイル保存、共有、同期サービスへのアクセスを禁止します。
アクセス制御設定
- DeviceLock管理コンソールを起動して、設定したいコンピューターのDeviceLock Serviceに接続します。
- 左ペインで[DeviceLock Service]-[プロトコル]-[アクセス許可]と展開すると、右ペインに、設定可能なプロトコルがリストされます。
- 右ペインのリストから「File Sharing」を探し、ダブルクリックするか、右クリックして表示されるコンテキストメニューから[アクセス許可の設定...]を選択すると、アクセス許可変更画面が表示されます。
- 初期値では全てのユーザー(Everyone)に対してフルアクセス権([ユーザーの権利]の全ての項目が[許可])が設定されています。
- [ユーザー]欄から既存のユーザー/グループを選択して[削除]ボタンをクリックして削除します。全てのユーザー/グループを削除すると、このプロトコルには誰もアクセスできなくなります。
- 全てのユーザーを削除したら[OK]ボタンをクリックすると、図のように「File Shaingへの「Everyone」のアクセスを拒否しました。File Shaingには誰もアクセスできなくなります。 継続しますか?」との警告ダイアログが表示されますので、[はい]をクリックしてアクセス許可ウインドウを閉じます。
- [File Sharing]へのアクセス権が「アクセス権なし」に設定されました。
以上で、[File Sharing]プロトコルに対する、アクセス禁止設定は終了です。
続いて、[OneDrive]サービスに対する、アクセス許可設定を行ないます。
Step: 設定方法(プロトコルホワイトリスト)
[OneDrive]プロトコルに対するプロトコルホワイトリストを設定して、[OneDrive]へのアクセスを許可します。
ホワイトリスト設定
- DeviceLock管理コンソールを起動して、設定したいコンピューターのDeviceLock Serviceに接続します。
- 左ペインで[DeviceLock Service]-[プロトコル]と展開し、[White List]を右クリックして表示されるコンテキストメニューから、[管理...]をクリックして実行します。
- プロトコルホワイトリストの設定画面[Protocols White List]が表示されます。
- [ユーザー]欄に[Everyone]を追加し、全てのユーザーがOneDriveのホワイトリストの対象になるようにします。
- [ルール]欄で[追加]をクリックすると[ルールの追加]ウインドウが表示されます。
[プロトコル]に[File Sharing]を選択すると、File Sharing用のパラメーター設定画面が表示されます。 - File Sharing用のパラメーター設定画面で、以下を設定します。
プロトコル
「File Sharing」とします。
名前
ホワイトリストのルールに任意の名前を付けます。- ここでは「OneDrive」としておきます。
コンテンツ検査
定義済みのコンテンツ認識ルールに従って、ホワイトリスト対象のアクセスに対してコンテンツの検査を有効にするかどうかを指定します。- ここではチェックを外しておきます。
ルール適用時の処理
ホワイトリストルールのトリガー時に実行される追加アクションを指定します。アラートを送信
常にアラートを送信します。
イベントのログを記録
常にイベントを監査ログに記録します。
シャドウコピー
常にデータのシャドウコピーを作成します。- ここでは「イベントのログを記録」「シャドウコピー」を指定しておきます。
FileSharing Services
このルールについて、許可する対象の、Webベースのファイル保存、共有、同期サービスを指定します。
このリストでチェックされたサービスを使用して交換された情報はブロックされません。- ここでは「OneDrive」だけ、チェックしておきます。
SSL
SSLオプションを設定します。許可
SSL接続を許可します。
拒否
SSL接続を拒否します。
必要
全ての接続でSSLを使用することが要求されます。- ここでは、「許可」をチェックしておきます。
- [OK]をクリックして[Protocols White List]の画面に戻ると、設定したルールが追加されています。
作成したルールは、[保存]ボタンで保存することができます。
また、[ロード]ボタンで、以前に保存したルールを読み込むことができます。 - [OK]をクリックして、プロトコルホワイトリストの設定画面を閉じます。
- ホワイトリストに、作成した「OneDrive」が追加されていることを確認します。
以上で、OneDriveサービスに対する、プロトコルホワイトリスト設定は終了です。
続いて、OneDriveサービスにアクセスできるかテストします。
Step: テスト
- デスクトップから、OneDriveフォルダーに任意のファイルを移動します。
特にエラーもなく、操作は終了します。 - [監査ログビューアー]を確認すると、ホワイトリストが適用され、OneDriveへのファイル書き出しが許可されたことがわかります。
また、[シャドウログビューアー]では、ホワイトリストが適用され、OneDriveに書き出されたファイルのシャドウデータが取得されたことがわかります。
以上で、OneDriveサービスへのアクセス、監査/シャドウイングログの取得のテストは終了です。
DeviceLockテクニカルガイドとは?
DeviceLockテクニカルガイドは、組織のシステム管理者やセキュティ担当者の皆さんがDeviceLockをご利用になるうえでの、役に立つテクニカル情報をご提供するものです。
例えば、DeviceLockを使って組織のセキュリティ要件を満たしたいがどういう設定をしたらよいのか、DeviceLockの機能を使いたいが設定の仕方が分からない、DeviceLockでどんなことができるのか知りたい、DeviceLockのこの機能は何のためにあるのか、など、DeviceLockに係るテクニカル相談窓口となることを目指しています。
このガイドでは、無作為に設定した特定の目的に対し、それを実現するための準備や設定方法を順を追って説明します。併せて、関連する情報についても掲載し、ユーザー様のスキルアップを図ります。ぜひご活用ください。
なお、本ガイドはDeviceLockを実際にご利用になっている方を対象としていますので、DeviceLockにおける「普通の」操作についての説明は省略させて頂きます。また、DeviceLockについての体系的な説明よりも、特定の機能に絞ったピンポイントの説明を指向しますので、体系的・包括的な情報を参照したい場合は製品添付の「DeviceLockユーザーマニュアル」をご利用ください。
本ガイドでは、効率的な説明のため、DeviceLockをはじめ、Windows、Macintosh、 コンピューター(ハードウェア)、周辺機器(デバイス)、ネットワーク等についての専門用語が使用されることが多々ありますが、一般的な用語についてはガイド中での説明を省略させていただくことがあります。
投稿日:2020年10月30日
How to DeviceLock 記事一覧
- 45:クライアントのServiceがアンインストールされたことを知るには
- 44:ログの保存場所について
- 43:Enterprise Serverに監査ログを集積するには
- 42:EnterpriseManagerからDeviceLockServiceをインストールするには?
- 41:EnterpriseManagerで監査ログを保存・ロードするには?
- 40:OneDrive以外のクラウドストレージ利用を禁止するには?
- 39:アクセス制御ポリシーの変更箇所を確認するには?
- 38:Mac版DeviceLockのインストール後のブロック解除
- 37:Mac版DeviceLockをアンインストールするには?
- 36:Mac版DeviceLockを利用する際の準備(NTLM認証)
- 35:DeviceLockの通信で使用するポートについて
- 34: ハードディスクのアクセス制御について
- 33:スマートフォンへのファイル書き出しを禁止するには?
- 32:マイナンバーを含むファイルの書き出しを禁止するには?
- 31:DeviceLockのログ日付を和暦で表示するには?
- 30:EnterpriseServerからServiceをインストールするには?
- 29:EnterpriseServerのDB作成でエラーが発生する?
- 28:インストール中に現れる[チャネルのロック]画面とは?
- 27:DeviceLockの現在の設定を一覧で確認するには?
- 26:アクセスを拒否した監査ログのみを抽出するには?
- 25:EnterpriseServerからSQLServerに接続できない?
- 24:特定のタイプのファイルだけ書き込みを許可するには?
- 23:イベントの発生を電子メールで通知するには?
- 22:Mac版DeviceLockをコマンドでインストールするには?
- 21:BitLocker To Goデバイスのみアクセスを許可するには?
- 20:シャドウログのローテーションを設定するには?
- 19:DeviceLock管理者を設定するには?
- 18:インストールされているバージョンとライセンスを知るには?
- 17:PC持ち出し時に自動で制御ポリシーを変えるには?
- 16:特定の時間帯だけ制御を有効にするには?
- 15:USB Devices Databaseを手作業で作成するには?
- 14:EnterpriseManagerのPCリストを作成するには?
- 13:カスタムMSIインストーラーを作成するには?
- 12:DeviceLockServiceと固定ポートで通信するには?
- 11:USBデバイスをブロックしたことをユーザーに通知するには?
- 10:DeviceLockをサイレントインストールするには?
- 09:Enterprise Managerでクライアント認証を設定するには?
- 08:ポリシーをエクスポート/インポートするには?
- 07:USBデバイスをデバイスクラス単位で使用許可するには?
- 06:インストール後にライセンスを適用するには?
- 05:適用済みのライセンスをクリアするには?
- 04:USBデバイスの利用を一時的に許可するには?
- 03:スタンドアロンクライアントのポリシーを変更するには?
- 02:DeviceLock証明書を生成するには?
- 01:監査ログのローテーションを設定するには?
- How to DeviceLockとは?