認証エージェントアカウントの管理
Kaspersky Disk Encryption(FDE)技術を使用して保護されているドライブを操作するには、認証エージェントが必要です。オペレーティングシステムを読み込む前に、ユーザーはエージェントで認証を完了する必要があります。認証エージェントアカウントの管理タスクは、ユーザー認証設定を設定するために構成されています。個別のコンピューターにローカルタスクを使用できるだけでなく、個別の管理グループまたは選択されたコンピューターにグループタスクを使用できます。
認証エージェントアカウントの管理タスクを開始するスケジュールを構成することはできません。タスクを強制的に停止することもできません。
管理コンソール(MMC)で認証エージェントアカウントの管理タスクを作成する方法
- 管理コンソールで、[管理サーバー]→[タスク]のフォルダーに移動します。
タスクのリストが表示されます。
- [新規タスク]をクリックします。
タスクウィザードが起動します。ウィザードの指示に従います。
ステップ 1:タスク種別の選択
[Kaspersky Endpoint Security for Windows (12.2)]→[認証エージェントアカウントの管理]の順に選択します。
ステップ 2:認証エージェントアカウント管理コマンドの選択
認証エージェントアカウント管理コマンドのリストを生成します。管理コマンドを使用すると、認証エージェントアカウントを追加、変更、および削除できます。認証エージェントアカウントを持つユーザーのみが認証手順を完了し、オペレーティングシステムをロードし、暗号化されたドライブにアクセスできます。
ステップ 3:タスクを割り当てるデバイスの選択
タスクを実行するコンピューターを選択します。次の設定方法があります:
- 管理グループにタスクを割り当てます。この場合、作成済みの管理グループに含まれるコンピューターにタスクが割り当てられます。
- 未割り当てデバイスなど、管理サーバーがネットワーク内で検出したデバイスを選択します。タスクの対象となるデバイスには、未割り当てデバイスだけでなく管理グループ内のデバイスも含めることができます。
- デバイスのアドレスを手動で指定するか、リストからインポートします。タスクを割り当てるデバイスの NetBIOS 名、IP アドレス、IP サブネットを指定できます。
ステップ 4:タスク名の定義
タスクの名前を入力します。たとえば、「管理者アカウント」など。
ステップ 5:タスク作成の完了
ウィザードを終了します。必要に応じて、[ウィザードの完了後にタスクを実行]をオンにします。タスクのプロパティでタスクの進行状況を監視できます。
その結果、コンピューターの次回起動時にタスクが完了した後、新規ユーザーは認証手順を完了し、オペレーティングシステムを読み込み、暗号化されたドライブにアクセスできます。
Web コンソールで認証エージェントアカウントの管理タスクを作成する方法
- Web コンソールのメインウィンドウで、[デバイス]→[タスク]の順に選択します。
タスクのリストが表示されます。
- [追加]をクリックします。
タスクウィザードが起動します。ウィザードの指示に従います。
ステップ 1:タスクの基本設定の指定
タスクの全般設定を指定します:
- アプリケーションドロップダウンリストで、Kaspersky Endpoint Security for Windows (12.2)を選択します。
- [タスク種別]で、[認証エージェントアカウントの管理]を選択します。
- [タスク名]に「管理者アカウント」などの簡潔な名前を付けます。
- [タスクを割り当てるデバイスの選択]ブロックで、タスク範囲の指定方法を選択します。
ステップ 2:認証エージェントアカウントの管理
認証エージェントアカウント管理コマンドのリストを生成します。管理コマンドを使用すると、認証エージェントアカウントを追加、変更、および削除できます。認証エージェントアカウントを持つユーザーのみが認証手順を完了し、オペレーティングシステムをロードし、暗号化されたドライブにアクセスできます。
ステップ 3:タスク作成の完了
ウィザードを終了します。タスクのリストに新しいタスクが表示されます。
タスクを実行するには、タスクのチェックボックスをオンにし、[開始]をクリックします。
その結果、コンピューターの次回起動時にタスクが完了した後、新規ユーザーは認証手順を完了し、オペレーティングシステムを読み込み、暗号化されたドライブにアクセスできます。
認証エージェントアカウントを追加するには、認証エージェントアカウントの管理タスクに特別なコマンドを追加する必要があります。たとえば、すべてのコンピューターに管理者アカウントを追加するには、グループタスクを使用すると便利です。
Kaspersky Endpoint Security では、ドライブを暗号化する前に認証エージェントアカウントを自動的に作成できます。ディスク全体の暗号化ポリシー設定で認証エージェントアカウントの自動作成を有効にできます。シングルサインオン(SSO)技術の使用もできます。
管理コンソール(MMC)を使用して認証エージェントアカウントを追加する方法
- 認証エージェントアカウントの管理タスクのプロパティを開きます。
- タスクのプロパティで、[設定]セクションを選択します。
- [追加]→[アカウント追加コマンド]をクリックします。
- 開いたウィンドウの[Windows アカウント]フィールドで、認証エージェントアカウントの作成に使用される Microsoft Windows アカウントの名前を指定します。
- Windows アカウント名を手動で入力した場合は、[許可]をクリックして、アカウントのセキュリティ識別子(SID)を定義します。
[許可]をクリックしてセキュリティ識別子(SID)を特定しない場合は、コンピューター上でタスクが実行される際に SID が決定されます。
Windows アカウント名が正しく入力されたことを確認するには、Windows アカウントのセキュリティ識別子を定義する必要があります。Windows アカウントがコンピューターまたは信頼するドメインに存在しない場合、認証エージェントアカウントの管理タスクはエラーで終了します。
- 認証エージェントのために以前に作成されたアカウントを、作成されるアカウントで置き換える場合、[既存のアカウントの置き換え]をオンにします。
このステップは、認証エージェントアカウントの管理用のグループタスクのプロパティに認証エージェントアカウント作成コマンドを追加する場合に使用できます。このステップは、ローカルタスクの[認証エージェントアカウントの管理]のプロパティに認証エージェントアカウント作成コマンドを追加する場合には使用できません。
- [ユーザー名]に、暗号化されたハードディスクへのアクセスのための認証時に入力する必要がある認証エージェントアカウントの名前を入力します。
- 暗号化されたハードディスクへのアクセスのための認証時に、認証エージェントアカウントのパスワードの入力を求めるメッセージをユーザーに表示する場合は、[パスワードベースの認証を有効にする]をオンにします。認証エージェントアカウントのパスワードを設定します。必要に応じて、最初の認証後にユーザーに新しいパスワードを要求できます。
- 暗号化されたハードディスクへのアクセスのための認証時に、トークンまたはスマートカードをコンピューターに接続することを求める場合は、[証明書ベースの認証を有効にする]をオンにします。スマートカードまたはトークンを使用した認証用の証明書ファイルを選択します。
- 必要に応じて、[コマンドの説明]に、コマンド管理に必要な認証エージェントアカウントの詳細情報を入力します。
- [認証エージェントでの認証へのアクセス]ブロックで、コマンド内で指定されたアカウントを使用するユーザーの認証エージェントでの認証へのアクセスを設定します。
- 変更内容を保存します。
Web コンソールを使用して認証エージェントアカウントを追加する方法
- Web コンソールのメインウィンドウで、[デバイス]→[タスク]の順に選択します。
タスクのリストが表示されます。
- Kaspersky Endpoint Security の 認証エージェントアカウントの管理タスクを選択します。
タスクのプロパティウィンドウが表示されます。
- [アプリケーション設定]タブを選択します。
- 認証エージェントアカウントのリストで、[追加]をクリックします。
これにより、認証エージェントアカウント管理ウィザードが起動します。
- 追加コマンドタイプを選択します。
- ユーザーアカウントを選択します。ドメインアカウントのリストからアカウントを選択するか、アカウント名を手動で入力できます。次の手順に進みます。
Kaspersky Endpoint Security は、アカウントセキュリティ識別子(SID)を決定します。これは、アカウントを確認するために必要です。ユーザー名を誤って入力した場合、Kaspersky Endpoint Security はエラーでタスクを終了します。
- 認証エージェントのアカウント設定を設定します。
- 認証エージェントアカウントを新規に作成して既存のアカウントを置き換える:Kaspersky Endpoint Security は、コンピューター上の既存のアカウントをスキャンします。コンピューターとタスクのユーザーセキュリティ識別子が一致する場合、Kaspersky Endpoint Security はタスクに従ってアカウント設定を変更します。
- ユーザー名:認証エージェントアカウントの既定のユーザー名は、ユーザーのドメイン名に対応しています。
- パスワードベースの認証を有効にする:認証エージェントアカウントのパスワードを設定します。必要に応じて、最初の認証後にユーザーに新しいパスワードを要求できます。このようにして、各ユーザーは独自のパスワードを持ちます。ポリシーで、認証エージェントアカウントのパスワードの強度要件を設定することもできます。
- 証明書ベースの認証を有効にする:スマートカードまたはトークンを使用した認証用の証明書ファイルを選択します。この方法では、ユーザーはスマートカードまたはトークンのパスワードを入力する必要があります。
- 暗号化されたデータへのアカウントのアクセス:暗号化されたドライブへのユーザーアクセスを設定します。たとえば、認証エージェントアカウントを削除する代わりに、ユーザー認証を一時的に無効にすることができます。
- コメント:必要に応じて、アカウントの説明を入力します。
- 変更内容を保存します。
- タスクの横のチェックボックスをオンにし、[開始]をクリックします。
その結果、コンピューターの次回起動時にタスクが完了した後、新規ユーザーは認証手順を完了し、オペレーティングシステムを読み込み、暗号化されたドライブにアクセスできます。
認証エージェントアカウントのパスワードおよびその他の設定を変更するには、認証エージェントアカウントの管理タスクに特別なコマンドを追加する必要があります。たとえば、すべてのコンピューターの管理者トークン証明書を置き換えるには、グループタスクを使用すると便利です。
管理コンソール(MMC)を使用して認証エージェントアカウントを変更する方法
- 認証エージェントアカウントの管理タスクのプロパティを開きます。
- タスクのプロパティで、[設定]セクションを選択します。
- [追加]→[アカウント編集コマンド]をクリックします。
- 開いたウィンドウの[Windows アカウント]フィールドで、変更する Microsoft Windows ユーザーアカウントの名前を指定します。
- Windows アカウント名を手動で入力した場合は、[許可]をクリックして、アカウントのセキュリティ識別子(SID)を定義します。
[許可]をクリックしてセキュリティ識別子(SID)を特定しない場合は、コンピューター上でタスクが実行される際に SID が決定されます。
Windows アカウント名が正しく入力されたことを確認するには、Windows アカウントのセキュリティ識別子を定義する必要があります。Windows アカウントがコンピューターまたは信頼するドメインに存在しない場合、認証エージェントアカウントの管理タスクはエラーで終了します。
- [ユーザー名の変更]で示される名前を持つ Microsoft Windows アカウントを使用して作成されたすべての認証エージェントアカウントのユーザー名をその下にあるフィールドに入力した名前に変更する場合は、[Windows アカウント]をオンにして、認証エージェントユーザーアカウントの新しい名前を入力します。
- パスワードベースの認証設定を編集できるようにするには、[パスワードベースの認証設定を変更する]をオンにします。
- 暗号化されたハードディスクへのアクセスのための認証時に、認証エージェントアカウントのパスワードの入力を求めるメッセージをユーザーに表示する場合は、[パスワードベースの認証を有効にする]をオンにします。認証エージェントアカウントのパスワードを設定します。
- [認証エージェントでの認証時のパスワード変更ルールの編集]に表示された名前を持つ Microsoft Windows アカウントを使用して作成されたすべての認証エージェントアカウントについて、パスワード変更設定の値をその下で指定する設定値に変更する場合は、[Windows アカウント]をオンにします。
- 認証エージェントでの認証時のパスワード変更設定の値を指定します。
- トークンまたはスマートカードの電子証明書に基づく認証の設定を編集できるようにするには、[証明書ベースの認証設定を変更する]をオンにします。
- 暗号化されたハードディスクへのアクセスのための認証プロセスで、コンピューターに接続されたトークンまたはスマートカードに対するパスワードの入力を求めるメッセージをユーザーに表示する場合は、[証明書ベースの認証を有効にする]をオンにします。スマートカードまたはトークンを使用した認証用の証明書ファイルを選択します。
- [コマンドの説明の編集]に表示されている名前の Microsoft Windows アカウントを使用して作成されたすべての認証エージェントアカウントのコマンド説明を変更する場合は、[Windows アカウント]をオンにして、コマンド説明を編集します。
- [認証エージェントでの認証アクセスルールの編集]に表示されている名前の Microsoft Windows アカウントを使用して作成されたすべての認証エージェントアカウントについて、認証エージェントでの認証ダイアログへのユーザーアクセスのルールを、その下で指定する値に変更する場合は、[Windows アカウント]をオンにします。
- 認証エージェントでの認証ダイアログへのアクセスのルールを指定します。
- 変更内容を保存します。
Web コンソールを使用して認証エージェントアカウントを変更する方法
- Web コンソールのメインウィンドウで、[デバイス]→[タスク]の順に選択します。
タスクのリストが表示されます。
- Kaspersky Endpoint Security の 認証エージェントアカウントの管理タスクを選択します。
タスクのプロパティウィンドウが表示されます。
- [アプリケーション設定]タブを選択します。
- 認証エージェントアカウントのリストで、[追加]をクリックします。
これにより、認証エージェントアカウント管理ウィザードが起動します。
- 変更コマンドタイプを選択します。
- ユーザーアカウントを選択します。ドメインアカウントのリストからアカウントを選択するか、アカウント名を手動で入力できます。次の手順に進みます。
Kaspersky Endpoint Security は、アカウントセキュリティ識別子(SID)を決定します。これは、アカウントを確認するために必要です。ユーザー名を誤って入力した場合、Kaspersky Endpoint Security はエラーでタスクを終了します。
- 編集する設定の横にあるチェックボックスをオンにします。
- 認証エージェントのアカウント設定を設定します。
- 認証エージェントアカウントを新規に作成して既存のアカウントを置き換える:Kaspersky Endpoint Security は、コンピューター上の既存のアカウントをスキャンします。コンピューターとタスクのユーザーセキュリティ識別子が一致する場合、Kaspersky Endpoint Security はタスクに従ってアカウント設定を変更します。
- ユーザー名:認証エージェントアカウントの既定のユーザー名は、ユーザーのドメイン名に対応しています。
- パスワードベースの認証を有効にする:認証エージェントアカウントのパスワードを設定します。必要に応じて、最初の認証後にユーザーに新しいパスワードを要求できます。このようにして、各ユーザーは独自のパスワードを持ちます。ポリシーで、認証エージェントアカウントのパスワードの強度要件を設定することもできます。
- 証明書ベースの認証を有効にする:スマートカードまたはトークンを使用した認証用の証明書ファイルを選択します。この方法では、ユーザーはスマートカードまたはトークンのパスワードを入力する必要があります。
- 暗号化されたデータへのアカウントのアクセス:暗号化されたドライブへのユーザーアクセスを設定します。たとえば、認証エージェントアカウントを削除する代わりに、ユーザー認証を一時的に無効にすることができます。
- コメント:必要に応じて、アカウントの説明を入力します。
- 変更内容を保存します。
- タスクの横のチェックボックスをオンにし、[開始]をクリックします。
認証エージェントアカウントを削除するには、認証エージェントアカウントの管理タスクに特別なコマンドを追加する必要があります。たとえば、解雇された従業員のアカウントを削除するには、グループタスクを使用すると便利です。
管理コンソール(MMC)を使用して認証エージェントアカウントを削除する方法
- 認証エージェントアカウントの管理タスクのプロパティを開きます。
- タスクのプロパティで、[設定]セクションを選択します。
- [追加]→[アカウント削除コマンド]をクリックします。
- 開いたウィンドウの[Windows アカウント]フィールドで、削除する認証エージェントアカウントの作成に使用された Windows ユーザーアカウントの名前を指定します。
- Windows アカウント名を手動で入力した場合は、[許可]をクリックして、アカウントのセキュリティ識別子(SID)を定義します。
[許可]をクリックしてセキュリティ識別子(SID)を特定しない場合は、コンピューター上でタスクが実行される際に SID が決定されます。
Windows アカウント名が正しく入力されたことを確認するには、Windows アカウントのセキュリティ識別子を定義する必要があります。Windows アカウントがコンピューターまたは信頼するドメインに存在しない場合、認証エージェントアカウントの管理タスクはエラーで終了します。
- 変更内容を保存します。
Web コンソールを使用して認証エージェントアカウントを削除する方法
- Web コンソールのメインウィンドウで、[デバイス]→[タスク]の順に選択します。
タスクのリストが表示されます。
- Kaspersky Endpoint Security の 認証エージェントアカウントの管理タスクを選択します。
タスクのプロパティウィンドウが表示されます。
- [アプリケーション設定]タブを選択します。
- 認証エージェントアカウントのリストで、[追加]をクリックします。
これにより、認証エージェントアカウント管理ウィザードが起動します。
- 削除コマンドタイプを選択します。
- ユーザーアカウントを選択します。ドメインアカウントのリストからアカウントを選択するか、アカウント名を手動で入力できます。
- 変更内容を保存します。
- タスクの横のチェックボックスをオンにし、[開始]をクリックします。
その結果、コンピューターの次回起動時にタスクが完了した後、ユーザーは認証手順を完了してオペレーティングシステムを読み込むことができなくなります。Kaspersky Endpoint Security は、暗号化されたデータへのアクセスを拒否します。
エージェントで認証を完了し、オペレーティングシステムの読み込みができるユーザーのリストを表示するには、管理されたコンピューターのプロパティに移動する必要があります。
管理コンソール(MMC)を使用して認証エージェントアカウントのリストを表示する方法
- Kaspersky Security Center の管理コンソールを開きます。
- コンソールツリーで、[デバイス]を選択します。
- ダブルクリックして、コンピューターのプロパティウィンドウを開きます。
- コンピューターのプロパティウィンドウで、[タスク]セクションを選択します。
- タスクリストで、[認証エージェントアカウントの管理]を選択してダブルクリックでタスクのプロパティを開きます。
- タスクのプロパティで、[設定]セクションを選択します。
その結果、このコンピューター上の認証エージェントアカウントのリストにアクセスできるようになります。リストのユーザーのみが、エージェントで認証を完了し、オペレーティングシステムの読み込みができます。
Web コンソールを使用して認証エージェントアカウントのリストを表示する方法
- Web コンソールのメインウィンドウで、[デバイス]→[管理対象デバイス]の順に選択します。
- 認証エージェントアカウントのリストを表示するコンピューターの名前をクリックします。
- コンピューターのプロパティで、[タスク]タブを選択します。
- タスクリストで、[認証エージェントアカウントの管理]を選択します。
- タスクのプロパティで、アプリケーション設定タブを選択します。
その結果、このコンピューター上の認証エージェントアカウントのリストにアクセスできるようになります。リストのユーザーのみが、エージェントで認証を完了し、オペレーティングシステムの読み込みができます。