| Oracle® Fusion Middleware Oracle Mobile Security Suiteの管理 11gリリース2 (11.1.2.3) for All Platforms E61946-02 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Mobile Security Suiteの管理 11gリリース2 (11.1.2.3) for All Platforms E61946-02 |
|
前 |
次 |
この章では、モバイル・セキュリティ・ポリシーについて説明します。次の項が含まれます:
組織は、モバイル・セキュリティ・ポリシーを使用してモバイル・デバイスへのアプリケーションのプロビジョニングを実行し、企業のファイル共有へのモバイル・アクセスを可能にすることで、ユーザーに権限を与えます。また、ポリシーを使用してロール割当てに基づきユーザーの操作とアクセスを制限することで、機密データも保護します。システム管理者はポリシーを直接個人のユーザーに割り当てるのではなく、ロールに割り当てます。
モバイル・セキュリティ・ポリシーによって、組織は次のセキュリティ考慮事項に関するルールを強制できます。
デバイス登録 - モバイル・セキュリティ・マネージャでのデバイスの登録時に、ポリシーによりデバイスがポリシーに準拠していることを検証できます。ポリシーでiOSまたはAndroidの最小バージョンを指定し、ユーザーが登録できるデバイス数を制限できます。
コンプライアンス - 登録後、ポリシーにより、デバイスがポリシーに準拠していることを検証できます。ポリシーは、ブラックリストに登録されているアプリケーションの検索、長期間の非アクティブ状態のチェック、デバイスがジェイルブレークされているかどうかの検出およびパスコード・コンプライアンスの実行が可能です。また、ポリシーは引き続き登録要件を強制します。デバイスに非準拠というフラグが設定された場合、ポリシーでは、構成に応じてワークスペースをロックする、デバイスをワイプする、または何もしないようにすることも可能です。
プロビジョニング - ポリシーにより、特定のロールまたはグループに属しているユーザーが使用可能なアプリケーションおよびデバイス構成の設定を定義できます。注意: デバイス構成設定(Wi-Fi、VPN、電子メール、カレンダ)は、iOSデバイスのみ可能です。
時間アクセス/ジオ・アクセス - ポリシーにより、セキュア・ワークスペース・コンテナ内のアプリケーションへの従業員アクセスを制限できます。アクセス・ポリシーには、特定のアクセス・ウィンドウを定義してその間セキュア・ワークスペース内のアプリケーションを使用できる時間ベースのポリシー(モバイル・セキュリティ・マネージャのタイムフェンス)、セキュア・ワークスペースへのアクセスが許可される特定の都市、州、国を定義する位置ベースのポリシー(ジオフェンス)があります。
データ・リーク保護 - ポリシーにより、コピー/貼付け、電子メール、インスタント・メッセージ、ビデオ・チャットなどのモバイル・デバイス機能へのアクセスを制限して、セキュア・ワークスペースから情報が漏れるのを防止することができます。
デバイス制限 - MDM (モバイル・デバイス管理)制限は、カメラやブラウザなど、様々なデバイス機能へのアクセスを制限するために使用できます。iOSおよびAndroid上で制御可能な、サポートされている機能の詳細は、『Oracle Mobile Security Suiteコンソール・ヘルプ・リファレンス』のデバイス制限の表を参照してください。
ワークスペース制限 - ポリシー・ワークスペース制限は、管理対象(MDM+MAM)と管理対象外(MAM専用)の両方のデバイスのセキュア・ワークスペースに影響を与えます。ワークスペース制限は組込みのワークスペース・アプリケーションと他のワークスペース固有の設定へのアクセスを定義します。
認証設定 - ポリシーにより、デバイス(MDM+MAM)およびワークスペース(MAM専用)のユーザーにパスワード要件を強制できます。
Oracle Mobile Security Suiteのインストール後は、デフォルト・ポリシーという名前の1つのポリシーがシステム内に存在します。インストール後にその他のポリシーが作成されない場合、デフォルト・ポリシーが適用されます。必ずデフォルト・ポリシーを確認し、環境に適した制御に対応するように変更してください。
|
注意: インストール後、デフォルト・ポリシー内のWorkspaceUsersプレースホルダ・ロールをアイデンティティ・ストア内の適切なロールで更新する必要があります。このロール/グループおよびそのサブロール/サブグループに属しているユーザーは、ワークスペースの登録が許可されます。 |
「モバイル・セキュリティ・ポリシー」ページは、次の6つのタブで構成されています。
汎用 - このタブには、ポリシー名と説明のフィールドがあります。
ロール - 1つ以上のロールにポリシーを割り当てるために使用されます。このタブを使用して、ポリシーから特定の子ロールを除外することもできます。
登録 - 登録要件、登録詳細およびコンプライアンス・ルールの指定に使用されます。iOSまたはAndroidの最小バージョンの指定は登録要件の例、招待テンプレートの指定は登録詳細の例、また、デバイスがポリシーに準拠していない場合に実行するセキュリティ・アクションを指定するポリシー・ルールは、コンプライアンス・ルールです。
デバイス - デバイス機能の制限、デバイス認証詳細の指定およびAndroidデバイスの暗号化の有効化に使用します。ポリシーの「デバイス」タブを構成すると、そのポリシーと関連付けられているロールのMDMデプロイメント・モードがアクティブ化されます。(詳細は、第8.3項「ワークスペース・ポリシーとデバイス・ポリシーの理解」を参照。)
ワークスペース - ワークスペース認証詳細の指定、ワークスペース権限の許可(または制限)、アプリケーション設定の有効化と構成および「時間アクセス/ジオ・アクセス」の設定に使用します。「ワークスペース」タブを構成して、管理対象(MDM+MAM)または管理対象外(MAM専用)のどちらかの登録済デバイスに割り当てるMAMポリシーを作成します。
アプリケーションと構成 - ポリシー・ベースのアプリケーション割当てとデバイス構成の指定に使用します。アプリケーションがユーザーのロールに割り当てられたポリシーに含まれる場合にのみ、ユーザーはセキュア・ワークスペースにアプリケーションをインストールできます。その他に事前構成してポリシーに割り当てることができる4つのデバイス構成があり、これらは、電子メール、カレンダ、Wi-FiおよびVPNです。
モバイル・セキュリティ・ポリシーは、ワークスペース・ポリシー(MAMポリシー)またはデバイス・ポリシー(MDMポリシー)のいずれかです。MAM専用とMDM+MAMの登録済デバイス間の相違点を確認するには、「Oracle Mobile Security Suiteの理解」の章の「MAMおよびMDM」を参照してください。デバイス・ポリシーとは、「デバイス」タブが構成されたポリシーで、ワークスペース・ポリシーとは、「デバイス」タブ以外の任意のタブが構成されたポリシーです。「デバイス」タブは、デバイス機能の制限とデバイス認証詳細の指定に使用することを覚えておいてください。
「デバイス」タブが構成されたポリシーに招待テンプレートがアタッチされている場合、管理対象デバイスの登録が成功していないと、ワークスペース登録を実行できません。デバイスを管理対象デバイスとして登録するつもりがない場合は、「デバイス」タブが構成されていないポリシーに招待テンプレートをアタッチするようにしてください。
管理対象および管理対象外のデバイスが混在する環境の場合、管理対象外デバイスを登録したユーザーに関連付けられているロールに、デバイス・ポリシーを割り当てないようにします。管理対象外デバイスはデバイス・ポリシーを強制できません。
|
ヒント: 管理対象および管理対象外のデバイスが混在する環境の場合、MDM_接頭辞または_MDM接尾辞をポリシー名に追加するなど、ネーミング規則を利用してデバイス・ポリシーを簡単に特定できるようにすることを検討します。たとえば、MDM_FieldSupervisorまたはDispatcherIV_MDMなどです。 |
管理対象および管理対象外のデバイスの管理を簡素化するために、どちらかのモードを少数のモバイル・ロールに制限することを検討します。たとえば、管理対象外デバイスは従業員に限定し、管理対象デバイスは請負業者に必須とします。
ポリシーは個人のユーザーに直接割り当てられるのではなく、ロールに割り当てられます。各個人ユーザーの場合、モバイル・セキュリティ・マネージャはユーザーのポリシー割当て(適用可能ポリシー)をマージして、有効なポリシーにします。これは、適用可能ポリシー全体のポリシー要素をマージしたものです。競合するポリシーをユーザーに適用する場合、モバイル・セキュリティ・マネージャは、通常、制限が最も厳しいポリシー・ルールを強制します。(詳細は、第8.5項「システムによるポリシー競合解消方法の理解」を参照してください。)有効なポリシーとは、デバイスまたはワークスペースに強制されるポリシーです。ユーザーの有効なポリシーを表示するには、「モバイル・デバイス」ページを使用してユーザーに対して登録されたデバイスまたはワークスペースに関する詳細を検索して表示します。
すべてのポリシーはサーバーで管理されますが、クライアント上で強制されます。したがって、ポリシーはクライアントがオフラインであっても強制されます。次のように、ポリシーの更新はクライアント上で有効になります。
ワークスペース・ポリシーがサーバー上で更新された場合、ユーザーは、ワークスペースがサーバーで更新の有無を確認する次のハートビート間隔で、ポリシーの更新を認識します。セキュア・ワークスペースは、「クライアント設定」のワークスペースの「ポーリング間隔」設定に基づいて、ポリシー更新とアプリケーション更新をチェックします。ポーリング間隔は、デフォルトで60秒に設定されています。
デバイス・ポリシーはサーバー上で更新され、スケジュール済のタスクによって5分以内に処理されて、APNS (Apple Push Notification Service)またはGCM (Google Cloud Messaging)サーバー経由でデバイスに通知が送信されます。デバイスは通知を受信すると、更新済ポリシーをサーバーからダウンロードします。
クライアントはワークスペース・ポリシーおよびデバイス・ポリシーを常に強制します。
|
注意: サーバーがより新しいパスワード・ポリシーをデバイスにプッシュすると、Android MDMエージェントは、新しい値が古い値と異なる場合にのみポリシー・パラメータを設定します。これにより、パスワード履歴長、パスワード期限タイムアウトおよびワイプ適用パスワード最大失敗回数などのパラメータのカウンタが不用意にリセットされなくなります。 |
コンプライアンス・ポリシーを強制するために、クライアントは断続的にルール・チェックを実行します。管理対象デバイスの場合、コンプライアンス・ルール・チェックが実行されるのは、(1)登録プロセス時、(2) MSMサーバーからデバイスの「同期」コマンドが発行されたとき、(3)デバイスに対してスケジュール済のComplianceCheckTriggerジョブが毎晩実行され、ポリシー・コンプライアンスに関してすべての登録済デバイスが評価されるときです。管理対象外デバイスの場合、コンプライアンス・ルール・チェックが実行されるのは、(1)登録プロセス時、(2)ポリシーの更新時、(3)デバイスに対してスケジュール済のComplianceCheckTriggerジョブが毎晩実行され、ポリシー・コンプライアンスに関してすべての登録済デバイスが評価されるときです。
システム管理者はコンプライアンス違反の発生時に実行するセキュリティ・アクションを指定できます。これらのアクションを構成する場合、ワイプ・アクションは管理対象外と管理対象デバイスで異なることを覚えておいてください。
管理対象外デバイスでは、ワイプ・アクションはワークスペースとそのワークスペースに関連付けられたアプリケーションのデータのみをワイプします。
管理対象デバイスの場合、ワイプ・アクションは、デバイスの登録解除と、モバイル・セキュリティ・マネージャによりプロビジョニングされたアプリケーション、証明書、制限およびその他のコンテンツの削除を実行します。このアクションに従うと、デバイスはサーバーによって制御されなくなります。
コンプライアンス・ルールは、モバイル・セキュリティ・ポリシーの作成中に、登録/コンプライアンス・ページで構成されます。詳細は、第4.4項「ポリシーによるデバイスとワークスペースの管理」を参照してください。
モバイル・セキュリティ・マネージャにはポリシーの重複または競合を解消するシステムがあります。複数のポリシーを1つのロールに割り当てることができ、複数のロールを1人のユーザーに割り当てることができるため、ポリシーのマージと競合解消は不可欠です。システム管理者は、ポリシー競合の数を削減する対策を講じることができます(第8.6項「管理可能なポリシーの作成」参照)が、それでも競合は発生する可能性があります。ロール割当てによりユーザーが継承する予備的なポリシーは適用可能ポリシーと呼ばれ、システムによって強制されるマージ済ポリシーは有効なポリシーと呼ばれます。モバイル・セキュリティ・マネージャは、モビリティ・プログラムに登録されているあらゆるユーザーの有効なポリシーを1日に2回、準拠チェック・トリガー・ジョブが実行される午後11時と、デバイス同期トリガー・ジョブが実行される午後10時に計算します。これらのジョブの詳細は、第11.1項「スケジュール済ジョブの理解」を参照してください。
セキュリティ関連のポリシーが競合している場合、制限が最も厳しいポリシーが強制されます。たとえば、「アカウント・ロックアウト・アクション」および「認証頻度」などのポリシー属性は優先順位ルールを使用して制限が最も厳しいポリシーを決定します。「アカウント・ロックアウト・アクション」の場合、「ワイプ」は、「ロック」より優先され、「ロック」は「何もしない」より優先されますが、「認証頻度」では、「常時」は「アイドル・タイムアウト」より優先され、「アイドル・タイムアウト」は「セッション」より優先されます。
アクセス関連のポリシーに競合がある場合、マージ・ルールのMAX、MIN、AND、ORまたはUNIONのいずれかが採用されます。たとえば、「アイドル・タイムアウト期間」(マージ・ルール: MIN)では、有効なポリシーの最低(最小)値が強制されます。「印刷」(マージ・ルール: AND)では、集計ポリシーですべての値がYESの場合のみ、結果はYESです(ユーザーは印刷を許可されます)。PIN有効期限(マージ・ルール: OR)では、集計ポリシーでいずれかの値がYESの場合、結果はYESです(ユーザー資格証明は設定された日数後に期限切れになります)。
|
注意: 「ファイル共有」と「コピー/貼付け」は、OR競合解消ルールを使用する制限ポリシーです。「ファイル共有」集計ポリシーのいずれかの値がYESの場合、ファイル共有は制限され、「コピー/貼付け」集計ポリシーでいずれかの値がYESの場合、コピー/貼付けは制限されます。 |
URLなどの文字列属性はマージできないため、FIRST_OCCURANCEマージ・ルールを使用して最初に見つかったインスタンスが選択されます。このルールはアプリケーション設定ポリシー専用で、ファイル・マネージャ・アプリケーションのサーバーURLまたはPIMアプリケーションの電子メール・サーバーURL、あるいはこの両方を指定する場合にのみ適用されます。予期しない結果を回避するために、アプリケーション設定ポリシーと別のURL値が重複しないように細心の注意を払ってください。
次の例の結果はUNIONになり、すべての値が有効なポリシーに追加されます。
複数のデバイス構成の場合、すべての構成(電子メール、カレンダ、Wi-Fi、VPN)が有効なポリシーに追加されます。
割り当てられたアプリケーションの場合、すべてのアプリケーション割当ては有効なポリシーに追加されます。
表8-1 ポリシー・マージ・ルール
| マージ・ルール | 説明 |
|---|---|
|
MAX |
集計ポリシーで最高(最大)の値が使用されます |
|
MIN |
集計ポリシーで最低(最小)の値が使用されます |
|
AND |
結果は、すべての値がYESの場合のみ、YESです |
|
OR |
結果は、いずれかの値がYESの場合、YESです |
|
UNION |
すべての値がリストに追加されます |
|
FIRST_OCCURENCE |
マージできない文字列属性です。最初に見つかったインスタンスが選択されます |
|
MOST_RESTRICTIVE_AUTH_FREQUENCY |
「常時」は「アイドル・タイムアウト」より優先され、「アイドル・タイムアウト」は「セッション」より優先されます |
|
MOST_RESTRICTIVE_COMP_ACTION |
「ワイプ」は、「ロック」より優先され、「ロック」は「何もしない」より優先されます |
|
SHARED_WORKSPACE_MERGE |
「複数ユーザー」は「単一ユーザー」より優先されます |
|
MOST_RESTRICTIVE_PIM_CONFIG_TYPE |
「自動」は「基本」より優先され、「基本」は「手動」より優先されます |
表8-2 ワークスペース・ポリシー属性のマージ・ルール
| UI表示要素 | JSON属性名 | マージ・ルール |
|---|---|---|
|
構成タイプ |
config-type |
MOST_RESTRICTIVE_PIM_CONFIG_TYPE |
|
共有ワークスペース・モード |
shared-workspace-mode |
SHARED_WORKSPACE_MERGE |
|
アカウント・ロックアウト・アクション |
auth-failure |
MOST_RESTRICTIVE_COMP_ACTION |
|
「登録」ページ: 危険にさらされているデバイスに対するアクション |
compromised |
MOST_RESTRICTIVE_COMP_ACTION |
|
認証頻度 |
online-access |
MOST_RESTRICTIVE_AUTH_FREQUENCY |
|
オフライン・アクセス |
offline-access |
AND |
|
アイドル・タイムアウト期間 |
idle-timeout-min |
MIN |
|
「登録」ページ: 非アクティブ期間 |
inactivity-duration-days |
MIN |
|
「登録」ページ: 非アクティブに対するアクション |
inactivity-duration-action |
MOST_RESTRICTIVE_COMP_ACTION |
|
アカウント・ロックアウトしきい値 |
pin-retries |
MIN |
|
アカウント・ロックアウト・アクション |
pin-retries-failure |
MOST_RESTRICTIVE_COMP_ACTION |
|
認証のみ |
auth_only |
OR |
|
場所の設定 |
enable-location-service |
OR |
|
電子メール |
allow-email |
AND |
|
インスタント・メッセージ |
allow-sms |
AND |
|
ビデオ・チャット |
allow-videochat |
AND |
|
ソーシャル共有 |
allow-socialshare |
AND |
|
印刷 |
allow-print |
AND |
|
ファイル共有 |
restrict-openin |
OR |
|
コピー/貼付け |
restrict-copypaste |
OR |
|
メディア・ギャラリへの保存 |
allow-save-media-gallery |
AND |
|
ローカル連絡先への保存 |
allow-save-localcontact |
AND |
|
ワークスペースからのリダイレクト |
allow-redirects-from-container |
AND |
|
ワークスペースへのリダイレクト |
allow-redirects-to-container |
AND |
|
PIN有効期限 |
n/a |
OR |
|
ブラウザ: アドレス・バーが有効 |
addressbar-enabled |
AND |
|
ブラウザ: ダウンロード・バーが有効 |
download-enabled |
AND |
|
n/a |
share-enabled |
AND |
|
ドキュメント編集許可 |
Document allow |
AND |
|
ファイル・マネージャ: 許可 |
Mfm allow |
AND |
|
ファイル・マネージャ: ダウンロード可能 |
allow-download |
AND |
|
ファイル・マネージャ: サーバー・ベースURL |
server-baseurl |
FIRST_OCCURANCE |
|
PIM許可 |
Pim allow |
AND |
|
n/a |
allow-save-attachment |
AND |
|
基本ActiveSync認証 |
enable-basic-auth |
AND |
|
PIM電子メール・サーバーURL |
email-server-url |
FIRST_OCCURANCE |
|
PIN履歴 |
password-history |
MAX |
|
Pin有効期限期間 |
password-max-age-day |
MIN |
|
PINの最小長 |
password-min-length |
MAX |
|
Pinの複雑性 |
password-complexity |
OR |
|
ジオフェンス |
geo-fence |
UNION |
|
アクセスの制限 |
time-fence |
UNION |
|
PINの複雑性最小チェック |
password-should-pass-minimum-checks |
MAX |
表8-3 登録ポリシー属性のマージ・ルール
| UI表示要素 | JSON属性名 | マージ・ルール |
|---|---|---|
|
登録画面: 1ユーザー当たりの最大デバイス数 |
MaxDevice Allowed |
MIN |
|
登録画面: クライアント固有のビルドを許可 |
allowSpecificClientBuild |
AND |
|
登録画面: クライアント・ビルドを許可 |
clientbuild |
UNION |
表8-4 デバイスの設定と構成ポリシー属性のマージ・ルール
| UI表示要素 | 設定 | マージ・ルール |
|---|---|---|
|
デバイス暗号化 |
deviceEncryptionEnabled |
OR |
|
カメラ |
allowCamera |
AND |
|
アプリケーションのインストール |
allowAppInstallation |
AND |
|
UI要素なし |
allowAppRemoval |
AND |
|
アシスタント |
allowAssistant |
AND |
|
デバイスロック中のサポート |
allowAssistantWhileLocked |
AND |
|
クラウド・バックアップ |
allowCloudBackup |
AND |
|
クラウド・ドキュメント同期 |
allowCloudDocumentSync |
AND |
|
クラウド・キーチェーン同期 |
allowCloudKeychainSync |
AND |
|
診断発行 |
allowDiagnosticSubmission |
AND |
|
明示的コンテンツ |
allowExplicitContent |
AND |
|
ロック解除の指紋 |
allowFingerprintForUnLock |
AND |
|
ロック画面制御センター |
allowLockScreenControlCenter |
AND |
|
ロック画面(通知ビュー) |
allowLockScreenNotificationsView |
AND |
|
ロック画面(「今日」ビュー) |
allowLockScreenTodayView |
AND |
|
n/a |
allowOpenFromManagedToUnmanaged |
AND |
|
n/a |
allowOpenFromUnmanagedToManaged |
AND |
|
OTAPKI更新 |
allowOTAPKIUpdates |
AND |
|
ロック中のPassbook |
allowPassbookWhileLocked |
AND |
|
写真ストリーム |
allowPhotoStream |
AND |
|
Safari |
allowSafari |
AND |
|
スクリーンショット |
allowScreenShot |
AND |
|
共有ストリーム |
allowSharedStream |
AND |
|
信頼できないTLSプロンプト |
allowUntrustedTLSPrompt |
AND |
|
YouTube |
allowYouTube |
AND |
|
iTunes |
allowiTunes |
AND |
|
iTunes Storeパスワード入力 |
forceITunesStorePasswordEntry |
OR |
|
AdTracking |
forceLimitAdTracking |
OR |
表8-5 コンプライアンス・ポリシー属性のマージ・ルール
| UI表示要素 | コンプライアンス | マージ・ルール |
|---|---|---|
|
登録画面: 非アクティブ期間のアクション |
非アクティブに対するアクション |
MOST_RESTRICTIVE_COMP_ACTION |
|
登録画面: ブラックリスト登録アプリケーションのインストール |
ブラックリストに登録されているアプリケーション |
MOST_RESTRICTIVE_COMP_ACTION |
|
登録画面: デバイス基準違反 |
登録基準違反 |
MOST_RESTRICTIVE_COMP_ACTION |
|
登録画面: パスコード・コンプライアンス・アクション |
パスコード・コンプライアンス・アクション |
MOST_RESTRICTIVE_COMP_ACTION |
|
登録画面: ジェイルブレーク済デバイス |
危険にさらされているデバイスに対するアクション |
MOST_RESTRICTIVE_COMP_ACTION |
システム管理者がポリシーを設計する作業にどのように取り組むかは、1つ以上の一般的なポリシーでカバーできるロールの数と、独自のカスタム・ポリシーを必要とするロールの数にある程度依存します。この項では、管理しやすいポリシー、および組織のニーズの進展に伴って変化するポリシーを作成するうえで使用できるいくつかの方針について説明します。
子ロールを除外する制限付きデフォルト・ポリシー・アプローチ
このアプローチは、一般的に組織内のすべてのユーザーに適用される非常に制限の厳しいポリシーを必要とします。その後で、ある種のニッチ権限を特定の子ロールに付与する追加のポリシーが作成されます。組織のニーズにもよりますが、このアプローチは作成する必要があるポリシーの数に関して効率的な場合があります。管理者は、長期的に見て、このアプローチが他のアプローチと比べて必要となるポリシーの保守の量が多いか少ないかを評価する必要があります。また、このアプローチは、他のオプションよりも初期の計画を多く必要とする可能性があります。
オールインワン・ポリシー・アプローチ
ロールの数が限定される小規模組織では、登録、ワークスペース、およびアプリケーションと構成設定の組合せをすべて同一のポリシーで指定するようなものであれば、そのポリシーで十分である場合があります。ただし、オールインワン・ポリシーの場合、複数のロールを持つユーザーに複数の重複するポリシーが適用されていると、予測可能な結果を得ることが難しくなるため、管理が困難になる可能性があります。
狭義ポリシー・アプローチ
ロールの数が多い大規模組織の場合、重複がほとんどあるいはまったくない小規模な、ターゲットを絞ったポリシーを作成して、必要に応じて様々な組合せでロールに割り当てられるようにしたいこともあります。たとえば、組織に請負業者、従業員、ベンダーという3つのグループがあるとします。請負業者と従業員は、同じ登録要件を共有しますが、ベンダーはより厳しい要件を持ちます。請負業者および従業員用の登録ポリシーと、ベンダー用の登録ポリシーの2つの登録ポリシーを作成することで、3つのグループの登録ニーズを2つのポリシーでカバーできます。それでは、サポート、セールス、エンジニアリングの3つの部門があり、各部門に独自のアプリケーションが必要な場合を考えてみましょう。各部門向けに狭義のアプリケーション・ポリシーを作成し、各ポリシーをその部門のロールに割り当てることによって、予期しないポリシーの重複が原因でユーザーのサブセットが目的外のポリシー制限を継承する可能性を心配することなく、アプリケーション・ニーズを満たします。
ポリシーを特定のタブに制限できるように、「登録」、「デバイス」、「ワークスペース」、「アプリケーションと構成」の各タブには、フォームの右上隅に「このポリシーの...の詳細を指定する」チェック・ボックスがあります。このチェック・ボックスの選択を解除してタブを非アクティブにし、タブのプロパティがポリシーに組み込まれないようにするか、チェック・ボックスを選択して、選択したプロパティがポリシーに追加されるようにします。
狭義ポリシー・アプローチは、柔軟性を提供し、意図しないポリシー結果を招くリスクを最小限に抑えますが、ポリシーの数が多くなり、長期的には保守効率が低下する可能性があります。
この項には次のトピックが含まれます:
次の手順に従い、モバイル・セキュリティ・マネージャでポリシー・レコードを検索します。
モバイル・セキュリティ・マネージャ・コンソールの「モバイル・セキュリティ・ポリシー」ページを開きます。詳細は、第2.2.2項「モバイル・セキュリティ・マネージャ・コンソールのページを開く」を参照してください。
次の基準のいずれかを使用してポリシーを検索します。
ポリシー名
説明
ロール(注意: ロール名検索は大文字/小文字を区別します。ロール名で検索する場合、正確な順序で大文字および小文字を使用して名前全体を入力します。)
検索基準を満たすポリシーがページの「検索結果」セクションにリストされます。
ポリシー・レコードをクリックして追加のポリシー詳細を表示(展開)します。再度クリックすると詳細は非表示になります。
システム管理者は、「モバイル・セキュリティ・ポリシー」タブまたは「モバイル・ロール」タブから、ポリシーをロールに追加できます。次に、「モバイル・セキュリティ・ポリシー」タブから開始する手順の説明を示します。「モバイル・ロール」タブから開始するには、第5.4.2項「モバイル・ポリシーをロールに割り当てる方法」の手順を参照してください。
モバイル・セキュリティ・マネージャ・コンソールの「モバイル・セキュリティ・ポリシー」ページを開きます。詳細は、第2.2.2項「モバイル・セキュリティ・マネージャ・コンソールのページを開く」を参照してください。
ロールに割り当てるポリシーを検索します。詳細は、第8.7.1項「モバイル・セキュリティ・マネージャでポリシー・レコードを検索する方法」を参照してください。
ポリシー・レコードをクリックして展開します。
ポリシーをロールに割り当てるには、次のようにします。
「ロール」セクションで、「追加」をクリックします。
新しい「ロール名」行が表に追加されます。
「ロール名」フィールドで、ポリシーに追加するロールの名前を入力します。(名前の一部を入力して、オートコンプリート機能により表示される候補から一致するロール名を選択することもできます。)
「適用」をクリックして変更を保存するか、「元に戻す」をクリックして前回保存したバージョンにページを戻します。
ポリシーをロールから削除するには、次のようにします。
クリックして、ポリシーから削除するロールをハイライトします。
「削除」をクリックします。
「適用」をクリックして変更を保存するか、「元に戻す」をクリックして前回保存したバージョンにページを戻します。
開始する前に、一般的なポリシーのアドバイスについて第8.6項「管理可能なポリシーの作成」を参照してください。フォーム・フィールドへの入力に関するヘルプは、オンライン・ヘルプを参照するか、『Oracle Mobile Security Suiteコンソール・ヘルプ・リファレンス』を参照してください。
|
注意: 構成タブを編集する際、「...ポリシーを指定する」チェック・ボックスの選択を解除してポリシーの変更を保存すると、そのタブの構成設定はモバイル・セキュリティ・マネージャから完全に削除されます。 |
モバイル・セキュリティ・マネージャ・コンソールの「モバイル・セキュリティ・ポリシー」ページを開きます。詳細は、第2.2.2項「モバイル・セキュリティ・マネージャ・コンソールのページを開く」を参照してください。
新しいポリシーを作成する場合、「追加」をクリックします。
「ポリシーの作成」ページが開きます。
ポリシーを編集する場合、ポリシーを検索してから、ポリシー・レコードをクリックしてポリシー詳細セクションを展開します。
「全般的な情報」ページで、ポリシーの名前を入力して「次」をクリックします。
「ロール」ページで、ロールの名前を入力してポリシーに追加します。(名前の一部を入力して、オートコンプリート機能により表示される候補から一致するロール名を選択することもできます。)
ポリシーを子ロールに適用しない場合は、除外できます。「除外する子ロール」セクションを展開し、「追加」をクリックして表に行を追加し、除外するロールの名前を入力して「次」をクリックします。
登録/コンプライアンス・ページが開きます。
このポリシー・ページでは、モバイル・セキュリティ・マネージャでデバイスを登録するときに加えて、登録後も継続的に、デバイスがポリシーに準拠していることを確認できます。登録/コンプライアンス・ポリシー・ページを使用して、登録要件、登録詳細およびコンプライアンス・ルール(またはこのいずれか)を指定します。
登録/コンプライアンス・ポリシーの作成を省略するには、「次」をクリックして「デバイス」ポリシー・ページに進みます。それ以外の場合、「このポリシーの登録/コンプライアンスの詳細を指定する」を選択してフォームをアクティブ化します。登録/コンプライアンス・フォームへの入力についてヘルプが必要な場合は『Oracle Mobile Security Suiteコンソール・ヘルプ・リファレンス』を参照し、完成したら「次」をクリックします。
「デバイス」ページが開きます。
「デバイス」ポリシー・ページを使用してMDMセキュリティ・ポリシーを指定します。MDM+MAMユーザーに割り当てるロールにこのポリシーを追加しようとしている場合にのみ、このページを完成させます。
デバイス・ポリシーの作成を省略して、かわりにMAM専用ユーザーに割当て可能なポリシーを作成するには、「次」をクリックして「ワークスペース」フォームに進みます。それ以外の場合、「このポリシーのデバイスの詳細を指定する」を選択して「デバイス」ポリシー・フォームをアクティブ化します。フォームへの入力についてヘルプが必要な場合は『Oracle Mobile Security Suiteコンソール・ヘルプ・リファレンス』を参照し、完成したら「次」をクリックします。
「ワークスペース」ページが開きます。
「ワークスペース」ポリシー・ページを使用してMAMセキュリティ・ポリシーを指定します。これには、ワークスペース認証詳細の設定、ワークスペース権限の許可(または制限)、アプリケーション設定の有効化と構成、および「時間アクセス/ジオ・アクセス」の設定が含まれます。PIN設定は、PKI認証とPKINIT認証用に構成されたクライアントにのみ適用されます。
ワークスペース・ポリシーの作成を省略するには、「次」をクリックして「アプリケーションと構成」ページに進みます。それ以外の場合、「このポリシーのワークスペースの詳細を指定する」を選択して「ワークスペース」ポリシー・フォームをアクティブ化します。フォームへの入力についてヘルプが必要な場合は『Oracle Mobile Security Suiteコンソール・ヘルプ・リファレンス』を参照し、完成したら「次」をクリックします。
「アプリケーションと構成」ページが開きます。
「アプリケーションと構成」ポリシー・ページを使用してポリシー・ベースのアプリケーション割当てとデバイス構成を指定します。ユーザーは、ユーザーのロールに割り当てられているポリシーにアプリケーションが含まれている場合にのみ、モバイル・アプリケーション・カタログからそのアプリケーションをインストールできます。
「このポリシーのアプリケーションおよび構成の詳細を指定します」を選択してフォームをアクティブ化します。フォームへの入力についてヘルプが必要な場合は『Oracle Mobile Security Suiteコンソール・ヘルプ・リファレンス』を参照し、完成したら「終了」をクリックします。
モバイル・セキュリティ・マネージャ・コンソールの「モバイル・セキュリティ・ポリシー」ページを開きます。詳細は、第2.2.2項「モバイル・セキュリティ・マネージャ・コンソールのページを開く」を参照してください。
複製または削除するポリシーを検索します。詳細は、第8.7.1項「モバイル・セキュリティ・マネージャでポリシー・レコードを検索する方法」を参照してください。
ポリシー・レコードの右側の
(「アクション」)をクリックし、ポップアップ・メニューから
「複製」または
「削除」を選択します。
