Oracle® Fusion Middleware Oracle Mobile Security Suiteの管理 11gリリース2 (11.1.2.3) for All Platforms E61946-02 |
|
前 |
次 |
この章では、デバイスとセキュア・ワークスペースの管理に関するトピックについて説明します。内容は次のとおりです。
「モバイル・デバイス」ページでは、ユーザーに登録されたデバイスとワークスペースに関する詳細を検索して表示したり、管理対象デバイスのルーチン管理タスク(ロック、ワイプ、登録解除、同期、パスコードのクリア/リセット)やワークスペースのルーチン管理タスク(ロック、ロック解除、ワイプ、パスコードのリセット)を実行します。
この項には次のトピックが含まれます:
検索ボックスは、「モバイル・デバイス」ページの上部にあります。ユーザー名、デバイスID、ワークスペースID、デバイス/ワークスペースの表示名またはモデルでデバイスを検索するには、検索ボックスを使用します。検索結果は、ページの下部に表示されます。
すべての検索は「contains」検索で、大/小文字は区別されません。ワイルドカードは使用できませんが、部分的に一致すると結果が返されます。たとえば、mithで検索すると、結果として「Smith」が返されます。
検索結果は、次のステータスでフィルタできます。
すべて - ステータスに関係なく、すべてのデバイスおよびワークスペースを表示します。
アクティブ - システムに登録されているデバイスとワークスペース、およびロック中のデバイスとワークスペースを表示します。このオプションがデフォルトです。
登録済 - システムに登録されているデバイスとワークスペースを表示しますが、ロック中のデバイスとワークスペースは表示されません。
登録解除済 - システムから登録解除されたデバイスとワークスペースを表示します。登録解除済のデバイスおよびワークスペースはデフォルトの検索結果から除外されます。登録解除済ステータス・フィルタを使用すると、これらを表示できます。
ロック中 - ロックされており、サーバーへのアクセスが許可されていないデバイスおよびワークスペースを表示します。ロック中のデバイスとワークスペースはアクティブですが、登録済や登録解除済ではありません。
ワイプ済 - すべてのデータが消去されたことを示すワイプ済のステータスのデバイスおよびワークスペースを表示します。ワイプ済のデバイスおよびワークスペースはデフォルトの検索結果から除外されます。ワイプ済ステータス・フィルタを使用すると、これらを表示できます。
検索結果は、次のようにソートできます。
最終同期時間 - デバイスを最後に同期した日時を使用して、時系列にワークスペース検索結果をソートします。このオプションがデフォルトです。
名前 - 名前でアルファベット順にワークスペース検索結果をソートします。
ユーザー - ユーザー名でアルファベット順にワークスペース検索結果をソートします。
状態 - 登録の状態でアルファベット順に管理対象デバイスおよびワークスペースの検索結果をソートします。
識別子 - GUIDで英数字順にワークスペース検索結果をソートします。
検索結果で、背景色が緑色の白のデバイス・アイコンは管理対象外デバイス・レコードを表し、背景色が緑色の歯車付きデバイス・アイコンは管理対象デバイスを表します。(管理対象および管理対象外のデバイスについては、第4.2項「デバイスとワークスペースの管理」で説明されています。)背景色が青色の、白い鍵付きのデバイス・アイコンは、ワークスペース・レコードを表しています。アイコンをクリックしてデバイスまたはワークスペースのレコードを開き、追加詳細を表示します。
表4-1 デバイスおよびワークスペースのアイコン
アイコン | 説明 |
---|---|
|
管理対象外デバイスを示します。管理対象外デバイスはワークスペース・ポリシーによってのみ管理されます。管理対象外デバイスは、通常、従業員が所有します。 |
|
管理対象デバイスを示します。管理対象デバイスはデバイス・ポリシーによって管理されます。管理対象デバイスは、通常、雇用者が所有します。 |
|
セキュア・ワークスペースを示します。セキュア・ワークスペースは、モバイル・デバイスにデプロイされるセキュリティ・コンテナで、雇用者のITネットワークにセキュア・アクセスを提供します。 |
複数のデバイスを持つユーザーの場合、検索結果表に複数のエントリが表示されます(登録済デバイスごとに1エントリ)。デバイスが登録解除済または再登録済で、「デバイス/ワークスペース登録解除ポリシー」(サーバー設定にあります)が「削除」ではなく、「アーカイブ」に設定されている場合、そのデバイスは、以前のレコードと再関連付けされます。デバイス・レコードの再関連付けにより同一のデバイスに複数のレコードを関連付けることができ、このことは追跡や監査に役立ちます。
「モバイル・デバイス」ページでのデバイスまたはワークスペースの管理は、個別のデバイス/ワークスペースのロックや、個別のデバイス/ワークスペースのワイプなどのアクションに限定されます。それ以外の、デバイス/ワークスペースの登録およびコンプライアンスの管理は、モバイル・セキュリティ・ポリシー主導で行われます。(ポリシーの詳細は、「モバイル・セキュリティ・ポリシーの管理」の章で説明されています。)
この項には次のトピックが含まれます:
ユーザーに登録済の特定の管理対象デバイスに関する詳細を表示するには、この項の手順に従います。管理対象外デバイスは管理できません。
モバイル・セキュリティ・マネージャ・コンソールで「モバイル・デバイス」ページを開きます。詳細は、第2.2.2項「モバイル・セキュリティ・マネージャ・コンソールのページを開く」を参照してください。
第4.1.1項「デバイスおよびワークスペースの検索」の説明のとおりに、ユーザー、デバイスまたはワークスペースを検索します。
「モバイル・デバイス」ページで、管理対象デバイス・レコードをクリックして開きます。
管理対象デバイスの詳細セクションが開きます。
次の表は、各タブ付きページを特定するアイコンを示しています。
表4-2 デバイス管理タブ・アイコン
要素 | 説明 |
---|---|
|
「詳細」タブ。クリックすると、デバイスのプロパティが表示されます。 |
|
「資格証明」タブ。クリックすると、デバイスにプロビジョニングされた証明書の詳細が表示されます。(デバイス/セキュア・ワークスペースがkinit認証で登録されている場合、「資格証明」タブは使用できません。) |
|
「ポリシー」タブ。クリックすると、デバイスに適用できるポリシーおよびデバイスに強制された有効なポリシーが表示されます。 |
横並びの複数のボタンはアクション・バーと呼ばれ、最上位の管理対象デバイス・レコードの近くにあります。アクション・ボタン(「ロック」、「ワイプ」など)をクリックしてコマンドをデバイスに送信します。コマンドの説明は、第4.2項「デバイスとワークスペースの管理」を参照してください。
次から選択します:
デバイス・プロパティを表示するには、(「詳細」タブ)をクリックします。
「デバイスの詳細」タブには、「基本プロパティ」、「デバイス・プロパティ」、スマートフォン・プロパティの3つのセクションがあります。
「基本プロパティ」によって、プラットフォーム情報、デバイスがモバイル・セキュリティ・マネージャと最後に同期した時間を示すタイムスタンプ、デバイスが有効なポリシーに準拠しているかどうかを示す「コンプライアンス・レベル」などのモバイル・アカウント属性がレポートされます。デバイスが準拠していない場合、アイコンをクリックして理由を表示します。
「デバイス・プロパティ」によって、モデル、バッテリ・レベル、ストレージ容量などのデバイス属性がレポートされます。
スマートフォン・プロパティは、currentCarrierNetwork
、SIMCarrierNetwork
、carrierSettingsVersion
などのデバイス属性をレポートします。
デバイスにプロビジョニングされた証明書の詳細を表示するには、(「資格証明」タブ)をクリックします。証明書がデバイスに発行されている場合(PKINIT登録)、使用できるのは、「資格証明」タブのみです。
デバイスに適用できるポリシーおよびデバイスに強制された有効なポリシーを表示するには、(「ポリシー」タブ)をクリックします。
「ポリシー」タブには、「適用可能ポリシー」と「有効なポリシー」の2つのセクションがあります。
「適用可能ポリシー」は、デバイスに適用できるモバイル・セキュリティ・ポリシーをリストします。このセクションでポリシーをクリックすると、ポップアップ・ウィンドウが開き、ポリシーの詳細を見ることができます。
「有効なポリシー」には、デバイスに強制されるモバイル・セキュリティ・ポリシーに関する一部の情報が含まれています。具体的には、「有効なポリシー」は、そのデバイスに適用されるすべての適用可能なモバイル・セキュリティ・ポリシー間の要素をマージしたものです。
「アプリケーション」セクションは、「有効なポリシー」によって管理対象デバイスに割り当てられているアプリケーションに関する情報を提供します。
詳細は、『Oracle Mobile Security Suiteコンソール・ヘルプ・リファレンス』のデバイス管理に関する項を参照してください。
ユーザーに登録済の特定のワークスペースに関する詳細を表示するには、この項の手順に従います。
モバイル・セキュリティ・マネージャ・コンソールで「モバイル・デバイス」ページを開きます。詳細は、第2.2.2項「モバイル・セキュリティ・マネージャ・コンソールのページを開く」を参照してください。
第4.1.1項「デバイスおよびワークスペースの検索」の説明のとおりに、ユーザー、デバイスまたはワークスペースを検索します。
「モバイル・デバイス」ページで、ワークスペース・レコードをクリックして開きます。
ワークスペース詳細のセクションが開きます。
次の表は、各タブ付きページを特定するアイコンを示しています。
表4-3 ワークスペース管理タブ・アイコン
要素 | 説明 |
---|---|
|
「詳細」タブ。クリックすると、読取り専用デバイスおよびワークスペース・プロパティが表示されます。 |
|
「アプリケーション」タブ。クリックしてモバイル・アプリケーションのモバイル・アプリケーション・カタログを検索し、セキュア・ワークスペース内にインストールされているアプリケーションのリストを表示します。 |
|
「アクティビティ」タブ。クリックして検索基準を満たすイベントのセキュア・ワークスペース・ログを検索し、セキュア・ワークスペース・アプリケーションで実行されたアクティビティに関するイベント詳細を表示します。 |
|
「資格証明」タブ。クリックすると、デバイスにプロビジョニングされた証明書の詳細が表示されます。(セキュア・ワークスペースがkinit認証で登録されている場合、「資格証明」タブは使用できません。) |
|
「ポリシー」タブ。クリックすると、デバイスに適用できるポリシーおよびデバイスに強制された有効なポリシーが表示されるか、ワークスペースに適用できるポリシーおよびワークスペースに強制された有効なポリシーが表示されます。 |
アクション・バーと呼ばれる、横並びの複数のボタンが、最上位のワークスペース・レコードの近くにあります。アクション・ボタン(「ロック」、「ワイプ」など)をクリックしてコマンドをワークスペースに送信します。コマンドの説明は、第4.2項「デバイスとワークスペースの管理」を参照してください。
次から選択します:
ワークスペース・プロパティを表示するには、(「詳細」タブ)をクリックします。
「ワークスペースの詳細」ページには、「基本プロパティ」と「ワークスペースのプロパティ」の2つのセクションがあります。
「基本プロパティ」にはワークスペースに関する情報がリストされ、たとえば、「コンプライアンス・レベル」には、セキュア・ワークスペース・アプリケーションのパッケージ名とバージョン、およびワークスペースがインストールされているデバイスが有効なポリシーに準拠しているかどうかが示されます。デバイスが準拠していない場合、アイコンをクリックして理由を表示します
「ワークスペースのプロパティ」にはワークスペースに関する追加情報がリストされ、たとえば、モバイル・セキュリティ・アクセス・サーバーがホストするワークスペース・アプリケーションの構成URLや、ワークスペースがインストールされているデバイスの詳細などが示されます。
ワークスペースにデプロイ済のアプリケーションを表示するには、(「アプリケーション」タブ)をクリックします。
検索を利用して、アプリケーション・リストをフィルタします。7個を超えるアプリケーションがある場合、ラジオ・ボタンをクリックしてアプリケーションを表示します。アプリケーション名をクリックすると、ポップアップでアプリケーション詳細が表示されます。
イベント詳細を表示するには、(「アクティビティ」タブ)をクリックします。
このタブからワークスペース・アクティビティのログを検索します。イベント・キーワードを入力してイベントを検索すると、一致する文字列がフィールド全体から検索されます。
検索結果セクションには、イベントが次の情報とともに表示されます。
「イベント・ソース」は、イベントがデバイスによって開始されたか、モバイル・セキュリティ・マネージャから送信されたコマンドによって開始されたかどうかを示します。
「開始者」は、SecureWorskpace、またはエンド・ユーザーや管理ユーザーなどの特定のユーザーなど、操作を開始したユーザーまたはシステムを示します。
「場所」は、イベントが発生した緯度と経度の座標を示します。緯度および経度を使用できない場合、-1,1として示されます。
「日付/時刻」は、デバイスに記録されているタイムスタンプを示します。
ワークスペースにプロビジョニングされた証明書の詳細を表示するには、(「資格証明」タブ)をクリックします。
証明書がワークスペースに対して発行されている場合(PKINIT登録)、「資格証明」タブのみを使用できます。補助的な証明書がある場合、それらも「資格証明」タブに表示されます。証明書をクリックすると、証明書の詳細が表示されます。
ワークスペースに適用できるポリシーおよびワークスペースに強制された有効なポリシーを表示するには、(「ポリシー」タブ)をクリックします。
「ポリシー」タブには、「適用可能ポリシー」と「有効なポリシー」の2つのセクションがあります。
「適用可能ポリシー」は、ワークスペースに適用できるモバイル・セキュリティ・ポリシーをリストします。このセクションでポリシーをクリックすると、ポップアップ・ウィンドウが開き、ポリシーの詳細を見ることができます。
「有効なポリシー」には、ワークスペースに強制されるモバイル・セキュリティ・ポリシーに関する情報があります。具体的には、「有効なポリシー」は、ワークスペースに適用するすべての適用可能なモバイル・セキュリティ・ポリシー間の要素をマージしたものです。
ワークスペース・ポリシー・フィールドの説明は、『Oracle Mobile Security Suiteコンソール・ヘルプ・リファレンス』のワークスペース・ポリシー・タブに関する項を参照してください。
その他のワークスペース管理タブの詳細は、『Oracle Mobile Security Suiteコンソール・ヘルプ・リファレンス』のワークスペースの管理に関する項を参照してください。
ワークスペースにインストールされているアプリケーションのリストは、「モバイル・デバイス」コンソール・ページで表示できます。ワークスペースを検索してから、「ワークスペース管理」ビューを開きます。インストールされているアプリケーションのリストが「アプリケーション」タブに表示されます。
モバイル・セキュリティ・マネージャ・コンソールで「モバイル・デバイス」ページを開きます。詳細は、第2.2.2項「モバイル・セキュリティ・マネージャ・コンソールのページを開く」を参照してください。
第4.1.1項「デバイスおよびワークスペースの検索」の説明のとおりに、ユーザー、デバイスまたはワークスペースを検索します。
「モバイル・デバイス」ページで、ワークスペース・レコードをクリックして開きます。
「ワークスペースの詳細」ページが開きます。
(「アプリケーション」タブ)をクリックします。
インストールされているアプリケーションのリストが表示されます。検索を利用して、アプリケーション・リストをフィルタします。7個を超えるアプリケーションがある場合、ラジオ・ボタンをクリックしてアプリケーションを表示します。アプリケーション名をクリックすると、ポップアップでアプリケーション詳細が表示されます。
この項には次のトピックが含まれます:
デバイス管理の理解
デバイス管理は、セキュア・ワークスペースがインストールされているモバイル・デバイスの管理と関係しています。モバイル・デバイスは管理対象または管理対象外のいずれかです。管理対象デバイスは、MDM+MAM (モバイル・デバイス管理+モバイル・アプリケーション管理)ポリシーによって管理されます。管理対象デバイスは、通常、雇用者が所有し、従業員に提供されます。管理対象外デバイスはMAMポリシーによってのみ管理されるデバイスです。通常、管理対象外デバイスは従業員が所有します。従業員は、自分のアプリケーションとデータおよびデバイス自体の全体的な制御を保持し、雇用者はワークスペースのアプリケーションとデータを所有します。Oracle Mobile Security Suiteでは、管理対象デバイスと管理対象外デバイスが混在するデプロイメントがサポートされるため、雇用者が管理するデバイスを選択する際に高い柔軟性がもたらされます。
管理者は管理対象デバイスをより高度に制御できますが、管理対象外デバイスに関しては基本情報を表示することのみができます。「モバイル・デバイス」ページでは、表4-1に示すように、管理対象デバイスと管理対象外デバイスに異なるアイコンが割り当てられています。(管理対象デバイスには歯車が付いていますが、管理対象外デバイスには付いていません。)
「モバイル・デバイス」ページでは、個々の管理対象デバイスに対して次のアクションを実行できます。
デバイスのロック。デバイスのPINまたはパスワード画面が表示され、ユーザーがPINまたはパスワードを入力してロック解除するまでデバイスを使用できません。システム管理者およびヘルプ・デスク管理者はデバイスをリモートでロック解除できません。デバイス・ステータスはコンソールで「登録済」と表示されます。「ロック中」に変更されません。
デバイスのワイプ。このコマンドはデバイスを元の出荷時設定にリセットし、すべての個人および企業データをワイプします。ワイプは、誰でもアクセスできるデバイスに何も残しません。すべての保留中の操作はキャンセルされ、デバイスに発行された証明書は失効します。コンソールでは、デバイス・ステータスは「登録解除済」と表示されます。ただし、このことは「デバイス/ワークスペース登録解除ポリシー」(サーバー設定にあります)が「削除」に設定されていない場合に限られ、それ以外の場合、デバイス・レコードはサーバーから削除されます。
デバイスの登録解除。証明書、制限およびモバイル・セキュリティ・マネージャによってプロビジョニングされた他のコンテンツを含めて、ワークスペース・アプリケーションを削除します。コンテナ化済アプリケーションは機能しなくなりますが、ユーザーは手動でこれらを削除する必要があります。すべての保留中の操作はキャンセルされ、デバイスに発行された証明書は失効します。このアクションに従うと、デバイスはサーバーによって制御されなくなります。コンソールでは、デバイス・ステータスは「登録解除済」と表示されます。ただし、このことは「デバイス/ワークスペース登録解除ポリシー」(サーバー設定にあります)が「削除」に設定されていない場合に限られ、それ以外の場合、デバイス・レコードはサーバーから削除されます。
デバイスの同期。アプリケーション、証明書、制限詳細をモバイル・セキュリティ・マネージャと同期し、29のデバイス属性の現在の状態をレポートするようにデバイスに強制します。これらの属性には、manufacturerDeviceId
、productName
、deviceCapacity
、availableDeviceCapacity
、batteryLevel
、phoneNumber
などがあります。
パスコードのクリア/パスコードのリセット。このアクションは、デバイス・ユーザーがパスワードを忘れた場合に使用することを目的としています。
iOSデバイスの場合、「パスコードのクリア」コマンドは、パスコードを削除し、ユーザー・アクセスをデバイスに付与します。ユーザーは、「パスコードの有効期限」設定によって割り当てられた時間(サーバー設定で定義)以内に、準拠したパスコードを入力する必要があります。デフォルト値は60分です。パスコードが期限以内に入力されないと、デバイスは非準拠とマークが付けられ、ポリシーで定義されたパスコード・コンプライアンス・アクションがシステムにより実行されます。
Androidデバイスの場合、「パスコードのリセット」コマンドは、新しくランダムに生成されたパスコードにパスコードをリセットします。セルフ・サービス・コンソールを使用する場合、新しいパスコードが画面に表示されます。そうではない場合、ヘルプ・デスク管理者またはシステム管理者が新しいパスコードをユーザーに通知する必要があります。
ワークスペース管理の理解
ワークスペース管理は、デバイスにインストールされているセキュア・ワークスペースの管理と関係しています。ワークスペースは、表4-1に示すように、背景が青色の鍵付きデバイス・アイコンで示されます。
「モバイル・デバイス」ページでは、個々のワークスペースに対して次のアクションを実行できます。
ロック/ロック解除。ワークスペースをロックまたはロック解除します。ロックされた場合、ワークスペースは無効になり、ユーザーはコンテナ化済アプリケーションおよびワークスペース・データにアクセスできなくなります。ロック時にワークスペースをリモートでロック解除するには、「ロック解除」をクリックします。ロック解除時にリモートでワークスペースをロックするには、「ロック」をクリックします。ワークスペースがロックされている場合、ユーザーはパスワードを入力してロックされていることを確認できます。ワークスペースをロック解除するには、ユーザーは、ワークスペースをリモートでロック解除できるシステム管理者またはヘルプ・デスク管理者のいずれかに連絡する必要があります。ワークスペースのロックが解除されたら、ユーザーはパスワードを入力してログインする必要があります。
ワイプ。すべての格納されているデータを消去して、ワークスペースを元のシステム状態にリセットします。このアクションではワークスペース・アプリケーションは削除されません。ユーザーは資格証明を提供することで再度ワークスペースにログインできますが、前に保存されたすべてのデータは失われます。
パスコードのリセット。パスコードを画面に表示される新しくランダムに生成されたパスコードにリセットします。ユーザーは、次回ワークスペースを開くとき、新しいパスコードを入力する必要があります。
注意: ワークスペースが証明書ベース(PKINIT)認証を使用して登録される場合にのみ、「パスコードのリセット」ボタンを使用できます。証明書が存在する場合、PINが要求されなくても、このボタンを使用できます。
表4-4 管理者がデバイスとワークスペースで実行できるアクションのサマリー
管理対象外デバイス | 管理対象デバイス | セキュア・ワークスペース | |
---|---|---|---|
ロック/ロック解除 |
NA |
デバイスをロックします。デバイスのPINまたはパスワード画面が表示され、ユーザーがPINまたはパスワードを入力してロック解除するまでデバイスを使用できません。システム管理者およびヘルプ・デスク管理者はデバイスをリモートでロック解除できません。デバイス・ステータスは「登録済」と表示されます。「ロック中」に変更されません。 |
ワークスペースをロックまたはロック解除します。ロックされた場合、ワークスペースは無効になり、ユーザーはコンテナ化済アプリケーションおよびワークスペース・データにアクセスできなくなります。ワークスペースがロックされている場合、ユーザーはパスワードを入力してロックされていることを確認できます。ワークスペースをロック解除するには、ユーザーは、ワークスペースをリモートでロック解除できるシステム管理者またはヘルプ・デスク管理者のいずれかに連絡する必要があります。ワークスペースのロックが解除されたら、ユーザーはパスワードを入力してログインする必要があります。 |
ワイプ |
NA |
格納されている設定、データおよびアプリケーションをすべて消去し、デバイスを出荷時の状態にリセットします。 |
すべての格納されているデータを消去して、ワークスペースを元のシステム状態にリセットします。 |
登録解除 |
NA |
証明書、制限およびモバイル・セキュリティ・マネージャによってプロビジョニングされた他のコンテンツを含めて、ワークスペース・アプリケーションを削除します。コンテナ化済アプリケーションは機能しなくなりますが、ユーザーは手動でこれらを削除する必要があります。すべての保留中の操作はキャンセルされ、デバイスに発行された証明書は失効します。このアクションに従うと、デバイスはサーバーによって制御されなくなります。 |
NA |
同期 |
NA |
アプリケーション、証明書、制限およびプロビジョニングされた他の内容を更新するため、強制的にデバイスをモバイル・セキュリティ・マネージャと同期します。 |
NA |
パスコードのクリア/パスコードのリセット |
NA |
このアクションは、デバイス・ユーザーがパスワードを忘れた場合に使用することを目的としています。
|
パスコードを画面に表示される新しくランダムに生成されたパスコードにリセットします。ユーザーは、次回ワークスペースを開くとき、新しいパスコードを入力する必要があります。 ワークスペースが証明書ベース(PKINIT)認証を使用して登録される場合にのみ、「パスコードのリセット」ボタンを使用できます。証明書が存在する場合、PINが要求されなくても、このボタンを使用できます。 |
デバイスまたはワークスペース上のデータを保護するには、次の手順に従います。
モバイル・セキュリティ・マネージャ・コンソールで「モバイル・デバイス」ページを開きます。詳細は、第2.2.2項「モバイル・セキュリティ・マネージャ・コンソールのページを開く」を参照してください。
第4.1.1項「デバイスおよびワークスペースの検索」の説明のとおりに、ユーザー、デバイスまたはワークスペースを検索します。
「モバイル・デバイス」ページで、デバイスまたはワークスペース・レコードをクリックして開きます。
デバイスまたはワークスペース詳細ページが開きます。
アクション・ボタン(「ロック」、「ワイプ」など)をクリックしてコマンドをデバイスまたはワークスペースに送信します。コマンドの説明は、第4.2項「デバイスとワークスペースの管理」を参照してください。
選択されたロール割当てに該当するすべてのユーザーに影響を与えるロック、ロック解除またはワイプ・コマンドを発行するには、次の手順に従います。
モバイル・セキュリティ・マネージャ・コンソールで「モバイル・ロール」ページを開きます。詳細は、第2.2.2項「モバイル・セキュリティ・マネージャ・コンソールのページを開く」を参照してください。
実行するロールを検索します。方法の詳細は、第5.4.1項「モバイル・セキュリティ・マネージャでロールを検索する方法」を参照してください。
ロール・レコード行の右端のをクリックします。
ポップアップ・メニューが開きます。
次のメニューからコマンド・オプションを選択します。
ロック - このロールに割り当てられているユーザーのデバイス/ワークスペースをロックします。ユーザーはPINまたはパスワードを入力することでデバイスのロックを解除できます。ユーザーはワークスペースをロック解除できません。ワークスペースをロック解除するには、ユーザーは、ワークスペースをリモートでロック解除できるシステム管理者またはヘルプ・デスク管理者のいずれかに連絡する必要があります。ワークスペースのロックが解除されたら、ユーザーはパスワードを入力してログインする必要があります。
ロック解除 - このロールに割り当てられているユーザーのデバイス/ワークスペースのロックを解除します。
ワイプ - このロールに割り当てられているユーザーに属するデバイス/ワークスペースをワイプします。デバイスが管理対象外デバイスの場合、セキュア・ワークスペースとすべての関連ユーザー・データのみ削除されます。デバイスが管理対象デバイス,の場合、すべての保存済設定、データおよびアプリケーションは消去され、デバイスは元のシステム状態にリセットされます。
デバイス構成により、電子メール、カレンダ、Wi-FiおよびVPN設定を事前に構成でき、その後、これらをポリシーに割り当てておくことで、デバイス登録時に自動的にユーザーのデバイスにプロビジョニングできます。
注意: デバイス構成は、管理対象iOSデバイスでのみサポートされます。Androidデバイスおよび管理対象外iOSデバイスではデバイス構成は無視されます。 |
電子メール - メール・サーバー設定の着信および送信を構成します。
カレンダ - カレンダ・サーバー設定を構成します。
Wi-Fi - プロキシ・サーバーがWi-Fiネットワークにアクセスする必要がある場合、プロキシ・サーバー設定を含むWi-Fi設定を構成します。
VPN - Layer 2 Tunneling Protocol (L2TP)、Point-to-Point Tunneling Protocol (PPTP)またはInternet Protocol Security (IPSec) VPNのVPN設定を構成します。
モバイル・セキュリティ・マネージャ・コンソールで、「デバイス構成」ページを使用してデバイス構成を管理し、「ポリシー管理」(「ポリシーの作成」)ページで、「アプリケーションと構成」タブを開き、デバイス構成をポリシーに割り当てます。
モバイル・セキュリティ・ポリシーでは、デバイスまたはワークスペースのセキュリティ・プロパティがポリシーによるパラメータ設定に準拠していない場合に処置を講じることができます。この項では、システム管理者がポリシーを使用してデバイスおよびワークスペースの監視と制限を行う方法について説明します。ポリシーの詳細は、第8章「モバイル・セキュリティ・ポリシーの管理」を参照してください。
登録ポリシー設定
「ポリシー」ページの「登録」タブで設定しておくと、システム管理者はモバイル・セキュリティ・マネージャによるデバイスの登録時および登録後も継続して、デバイスがポリシーに準拠していることを検証できます。
次のデバイス基準は構成可能です。
iOSまたはAndroidの最小バージョン - このポリシーで登録する資格がある最も古いバージョンのプラットフォーム・ソフトウェアを示します。たとえば、iOSの場合、8.0という値を設定すると、iOS 7.0.4を登録できなくなります。
ユーザー当たりの登録可能最大デバイス数 - このポリシーでユーザーが登録できるデバイスの最大数を示します。
非アクティブが許容される最大日数 - 「非アクティブ期間」要素に指定されたセキュリティ・アクションが実行される前に、デバイス/ワークスペースがモバイル・セキュリティ・マネージャ・サーバーに接続しない状態が許容される最大連続日数を示します。
プロパティが準拠していない場合、システム管理者は、次の設定を構成して、デバイスをロックまたはワイプするか、何もしないことを選択できます。
デバイス基準違反 - 最小モバイルOS設定または最大登録済デバイス設定のいずれかが準拠していない場合に実行するセキュリティ・アクションを示します。
非アクティブ期間 - 「非アクティブ期間」の値を超過している場合に実行するセキュリティ・アクションを示します。
さらに、次のルールが違反がある場合、システムで、デバイスのロックまたはワイプを行うか、何もしないことがあります。
ジェイルブレーク済デバイス - デバイスのオペレーティング・システムがジェイルブレーク済であることがわかった場合に実行するセキュリティ・アクションを示します。
ブラックリスト登録アプリケーションのインストール - ブラックリスト登録アプリケーションがインストールされている場合に実行するセキュリティ・アクションを示します。このコンプライアンス・ルールは管理対象デバイスにのみ適用されます。
パスコード・コンプライアンス・アクション - デバイス・パスワード値がポリシーに準拠していない場合に実行するセキュリティ・アクションを示します。
デバイス・ポリシー設定
「デバイス」ポリシー・タブでの設定は、管理対象デバイスにのみ適用されます。これらの設定は、管理対象外デバイスには無効です。詳細は、8.3項「ワークスペース・ポリシーとデバイス・ポリシーの理解」を参照してください。「デバイス」ポリシー・タブには、次のセクションがあります。
制限 - 制限するデバイス機能をシステム管理者が選択できるようにします。Androidデバイスの場合、カメラのみ制限できますが、iOSデバイスの場合、カメラと他の22個のオプションを制限できます。
認証 - 最大アイドル時間を超過した場合、デバイスを自動ロックし、最大認証試行失敗回数がしきい値を超えた場合、デバイスをワイプします。デバイスのパスワード・ポリシー設定もこのセクションで設定します。
Androidデバイスの暗号化 - このセクションにはAndroidデバイスのデバイス暗号化を有効にする単一オプションがあります。このオプションは、ポリシーの保存後に再度無効にすることはできません。このオプションは、デバイス暗号化が常に自動的にオンになっているAndroid 5.0 (Lollipop)以上が実行されているデバイスには使用できません。
ワークスペース・ポリシー設定
「ワークスペース」ポリシー・タブでの設定は、セキュア・ワークスペースにのみ適用されます。「ワークスペース」ポリシー・タブには、次のセクションがあります。
認証 - セキュア・ワークスペースのパスワード要件の構成、シングル・ユーザーまたはマルチ・ユーザー(共有ワークスペース)・モードの選択、およびユーザーに必要な認証頻度の設定をシステム管理者が実行できるようにします。さらに、ポリシーにより、最大認証試行失敗回数がしきい値を超えた場合、セキュア・ワークスペースのロックまたはワイプを行うか、何もしないことがあります。
ワークスペース/アプリケーション - システム管理者が許可または制限するワークスペースとワークスペース・アプリケーション機能を選択できるようにします。
アプリケーション設定 - システム管理者がセキュアなブラウザ、ファイル・マネージャ・アプリケーションおよびPIMアプリケーションに影響を及ぼすワークスペース・アプリケーション設定を構成できるようにします。
時間アクセス/ジオ・アクセス - 時刻やワークスペースへのアクセスが許可されている場所(都市、州または国)によってシステム管理者がワークスペース・アクセスを制限できるようにします。
シングル・ユーザーおよびマルチ・ユーザーのサポート
セキュア・ワークスペースは、シングル・ユーザーでも、マルチ・ユーザーでも使用できるように構成できます。マルチ・ユーザー・モードでは、複数の従業員が同じ共有デバイス上の1つのワークスペース・インスタンスにログオンし、小売店、製造部門およびナース・ステーションなどの環境で使用できます。このモードでは、ローカル側のワークスペース・データは、ユーザーがワークスペースからログアウトするたびにワイプされるため、ユーザー・データはセッション間で共有されません。シングル・ユーザー・モードでは、ワークスペースはワイプされません。
シングル・ユーザー・モードまたはマルチ・ユーザー・モードを有効にする手順
マルチ・ユーザー・モード(共有ワークスペース・モード)はモバイル・セキュリティ・ポリシーのプロパティを構成することで有効になります。
モバイル・セキュリティ・マネージャ・コンソールの「モバイル・セキュリティ・ポリシー」ページを開きます。詳細は、第2.2.2項「モバイル・セキュリティ・マネージャ・コンソールのページを開く」を参照してください。
変更するポリシーを検索します。
クリックしてポリシーを展開してから、「ワークスペース」をクリックします。
「認証」セクションで、「共有ワークスペース・モード」プロパティを見つけます。
指定されたデバイスで単一ユーザーのみがワークスペースを使用する場合は、「単一ユーザー」を選択します。
指定されたデバイスで複数のユーザーがワークスペースを共有する場合は、「複数ユーザー」を選択します。
キオスク・モード
キオスク・モードは、Android OSを実行するデバイスでのみサポートされます。キオスク・モードが有効の場合、ユーザーが表示できるのはワークスペースおよびワークスペース内のアプリケーションのみです。ワークスペース外のオペレーティング・システムとの相互作用は最小化されています。ユーザーはセキュア・ワークスペース・アプリケーションを閉じることができないため、このモードは、ロビー、展示スペースおよびショー・ルームなどの、管理が最小限のパブリックな環境に適しています。
キオスク・モードを有効にする方法の詳細は、第10.2.11項「キオスク・モードの有効化」を参照してください。