モバイルデバイスへのアクセスの管理
Kaspersky Endpoint Security を使用して、Android および iOS を実行しているモバイルデバイスのデータへのアクセスをコントロールできます。モバイルデバイスはポータブルデバイス(MTP)のカテゴリに分類されます。そのため、モバイルデバイスのデータへのアクセスを設定するには、ポータブルデバイス(MTP)のアクセス設定を編集する必要があります。
モバイルデバイスがコンピューターに接続されると、コンピューターのオペレーティングシステムがデバイスの種別を識別します。ADB(Android Debug Bridge)または iTunes(または同等のアプリケーション)がコンピューターにインストールされている場合、コンピューターのオペレーティングシステムはモバイルデバイスを ADB デバイスまたは iTunes デバイスとして認識します。それ以外の場合、オペレーティングシステムはモバイルデバイスを、ファイル転送用のポータブルデバイス(MTP)や画像転送用の PTP デバイス(カメラ)などの別のデバイスとして認識します。判定されるデバイスの種別は、モバイルデバイスの機種および選択された USB 接続モードによって異なります。Kaspersky Endpoint Security を使用して、ADB アプリケーション、iTunes またはファイルマネージャーでモバイルデバイスのデータへの個別のアクセス権を設定できます。その他のケースでは、デバイスコントロールを使用してポータブルデバイス(MTP)アクセスルールに従ってモバイルデバイスへのアクセスを許可します。
モバイルデバイスへのアクセス
モバイルデバイスはポータブルデバイス(MTP)のカテゴリに分類されるので、設定も同一となります。モバイルデバイスへのアクセスには、次のモードのうち 1 つを選択します:
- 許可():Kaspersky Endpoint Security はモバイルデバイスへのフルアクセスを許可します。ユーザーはファイルマネージャー、ADB および iTunes を使用してモバイルデバイス上でファイルを開いたり、作成、編集、コピーまたは削除することができます。モバイルデバイスをコンピューターの USB ポートに接続してデバイスのバッテリーを充電することもできます。
- ブロック():Kaspersky Endpoint Security はファイルマネージャー、ADB および iTunes アプリケーションでモバイルデバイスへのアクセスを制限します。信頼するモバイルデバイスのみアクセスが許可されます。モバイルデバイスをコンピューターの USB ポートに接続してデバイスのバッテリーを充電することもできます。
- 接続バスに依存する():Kaspersky Endpoint Security はモバイルデバイスへの接続をUSB 接続のステータス([許可]()または[ブロック]())に応じて許可します。
- ルールに準拠():Kaspersky Endpoint Security はルールに従ってモバイルデバイスへのアクセスを制限します。ルールでは、アクセス(読み取り/書き込み)を設定したり、モバイルデバイスにアクセスできるユーザーまたはユーザーグループを選択したり、モバイルデバイスへのアクセススケジュールを設定したりすることができます。また、ADB および iTunes アプリケーションを使用してデバイスのデータへのアクセスを制限することもできます。
モバイルデバイスのアクセスルールの設定
ポータブルデバイス(MTP)、ADB デバイスおよび iTunes デバイスへのアクセスルールの設定は異なります。ポータブルデバイス(MTP)および ADB デバイスについては、個別のユーザーまたはユーザーグループに対してルールを設定し、ルールが適用されるスケジュールを作成することができます。iTunes デバイスに関してはこのようなことはできません。すべてのユーザーに対して iTunes アプリケーションを介してデータへのアクセスを許可または拒否することのみ可能です。
管理コンソール(MMC)でモバイルデバイスのアクセスルールを設定する方法
- Kaspersky Security Center の管理コンソールを開きます。
- コンソールツリーで、[ポリシー]を選択します。
- 目的のポリシーを選択し、ダブルクリックしてポリシーのプロパティを表示します。
- ポリシーウィンドウで、[セキュリティコントロール]→[デバイスコントロール]の順に選択します。
- [デバイスコントロール設定]で、[デバイス種別]を選択します。
表に、デバイスコントロールの分類内に存在するすべての端末のアクセスルールが一覧表示されます。
- デバイス種別[ポータブルデバイス(MTP)]のコンテキストメニューで、 モバイルデバイスのアクセスモード([許可]()、[ブロック]()、または[接続バスに依存する]())を設定します。
- モバイルデバイスのアクセスルールを設定するには、ルールのリストをダブルクリックして開きます。
- モバイルデバイスのアクセスルールを設定します:
- [アクセスルール]ブロックの[追加]をクリックします。
新しいモバイルデバイスへのアクセスルールを追加するウィンドウが開きます。
- [優先度]フィールドで、ルールの書き込み優先度を設定します。ルールには次の属性が含まれます:ユーザーアカウント、スケジュール、権限(読み取り/書き込み/ADB アクセス)、優先度。
ルールには特定の優先度があります。ユーザーが複数のグループに追加されている場合、Kaspersky Endpoint Security は優先度が一番高いルールに基づいてデバイスへのアクセスを制限します。Kaspersky Endpoint Security では 0 から 10,000 までの優先度を割り当てられます。値が大きいほど優先度が高くなります。言い換えると、値「0」を割り当てられた項目は優先度が一番低くなります。
例えば Everyone グループに読み取り専用権限を付与し、管理者グループに読み取り/書き込み権限を付与するなどです。その場合、管理者グループには優先度 1 を設定し、Everyone グループには 0 を設定します。
ブロックルールの優先度は、許可ルールの優先度よりも高くなります。言い換えると、ユーザーが複数グループに追加されており、すべてのルールの優先度が同じ場合、Kaspersky Endpoint Security は既存のブロックルールに基づいてデバイスへのアクセスを制限します。
- [ユーザーとグループのルール]で、ユーザーまたはユーザーグループを選択します。Active Directory からユーザーのリストを作成します。
- [OK]をクリックします。
- [選択されたアクセスルールのスケジュール]で、ユーザーのデバイスアクセススケジュールを設定します。
ADB デバイスに対して別のスケジュールを設定することはできません。ADB デバイスとポータブルデバイス(MTP)に共通のスケジュールを設定します。
- ファイルマネージャーで、ユーザーのモバイルデバイスへのアクセス権を設定します(読み取り / 書き込み)。
- [ADB 経由でアクセス]を使用して ADB アプリケーションを介したモバイルデバイスのデータへのアクセスを設定します。
チェックボックスがオフの場合は、モバイルデバイスが接続されると、ADB アプリケーションではデバイスの検出がブロックされます。
- [iTunes 経由でアクセス]で、iTunes アプリケーションを介したモバイルデバイスのデータへのアクセスを設定します。
Kaspersky Endpoint Security では、すべてのユーザーに対して iTunes アプリケーションを介したモバイルデバイスへのアクセスの設定が適用されます。iTunes デバイスで個別のスケジュールを設定することはできません。
- 変更内容を保存します。
Web コンソールと Cloud コンソールでモバイルデバイスのアクセスルールを設定する方法
- Web コンソールのメインウィンドウで、 [デバイス] → [ポリシーとプロファイル]をクリックします。
- Kaspersky Endpoint Security のポリシーの名前をクリックします。
ポリシーのプロパティウィンドウが表示されます。
- [アプリケーション設定]タブを選択します。
- [セキュリティコントロール]→[デバイスコントロール]に移動します。
- [デバイスコントロール設定]セクションで、[デバイスと Wi-Fi ネットワークのアクセスルール]をクリックします。
表に、デバイスコントロールの分類内に存在するすべての端末のアクセスルールが一覧表示されます。
- [ポータブルデバイス(MTP)]デバイス種別を選択します。
ポータブルデバイス(MTP)のアクセス権が表示されます。
- [デバイスアクセスルールの設定]で、モバイルデバイスのアクセスモードを設定します:[許可]、[ブロック]、[接続バスに依存する]、または[ルールに準拠]。
- [ルールに準拠]モードを選択すると、デバイスに対してアクセスルールを設定する必要があります。アクセスルールを設定するには、[ユーザー]で、[追加]をクリックしてモバイルデバイスアクセスルールを設定します:
- [デバイスへのアクセスのルール]フィールドで、ルールの書き込み優先度を設定します。ルールには次の属性が含まれます:ユーザーアカウント、スケジュール、権限(読み取り/書き込み/ADB アクセス)、優先度。
ルールには特定の優先度があります。ユーザーが複数のグループに追加されている場合、Kaspersky Endpoint Security は優先度が一番高いルールに基づいてデバイスへのアクセスを制限します。Kaspersky Endpoint Security では 0 から 10,000 までの優先度を割り当てられます。値が大きいほど優先度が高くなります。言い換えると、値「0」を割り当てられた項目は優先度が一番低くなります。
例えば Everyone グループに読み取り専用権限を付与し、管理者グループに読み取り/書き込み権限を付与するなどです。その場合、管理者グループには優先度 1 を設定し、Everyone グループには 0 を設定します。
ブロックルールの優先度は、許可ルールの優先度よりも高くなります。言い換えると、ユーザーが複数グループに追加されており、すべてのルールの優先度が同じ場合、Kaspersky Endpoint Security は既存のブロックルールに基づいてデバイスへのアクセスを制限します。
- [ユーザー]で、モバイルデバイスにアクセスするユーザーまたはユーザーグループを設定します。Active Directory からユーザーのリストを作成します。
- [デバイスへのアクセスのスケジュール]で、ユーザーのデバイスアクセススケジュールを設定します。
ADB デバイスに対して別のスケジュールを設定することはできません。ADB デバイスとポータブルデバイス(MTP)に共通のスケジュールを設定します。
- ファイルマネージャーで、ユーザーのモバイルデバイスへのアクセス権を設定します(読み取り / 書き込み)。
- [ADB 経由でアクセス]を使用して ADB アプリケーションを介したモバイルデバイスのデータへのアクセスを設定します。
チェックボックスがオフの場合は、モバイルデバイスが接続されると、ADB アプリケーションではデバイスの検出がブロックされます。
- [iTunes 経由でアクセス]で、iTunes アプリケーションを介したモバイルデバイスのデータへのアクセスを設定します。
Kaspersky Endpoint Security では、すべてのユーザーに対して iTunes アプリケーションを介したモバイルデバイスへのアクセスの設定が適用されます。iTunes デバイスで個別のスケジュールを設定することはできません。
- 変更内容を保存します。
本製品のインターフェイスでモバイルデバイスのアクセスルールを設定する方法
- メインウィンドウで、 をクリックします。
- 本製品の設定ウィンドウで、[セキュリティコントロール]→[デバイスコントロール]を選択します。
- [アクセスの設定]ブロックの[デバイスと Wi-Fi ネットワーク]をクリックします。
ウィンドウに、デバイスコントロールの分類に含まれるすべてのデバイスのアクセスルールが表示されます。
デバイスコントロールコンポーネントのデバイス種別
- [ストレージ機器へのアクセス]セクションで、[ポータブルデバイス (MTP)]をクリックします。
ポータブルデバイス(MTP)のアクセスルールのウィンドウが表示されます。
- [アクセス]で、モバイルデバイスのアクセスモードを設定します:[許可]、[ブロック]、[接続バスに依存する]、または[ルールに準拠]。
- [ルールに準拠]モードを選択すると、デバイスに対してアクセスルールを設定する必要があります。
- [ユーザーの権限]ブロックの[追加する]をクリックします。
新しいモバイルデバイスへのアクセスルールを追加するウィンドウが開きます。
- [優先度]フィールドで、ルールの書き込み優先度を設定します。ルールには次の属性が含まれます:ユーザーアカウント、スケジュール、権限(読み取り/書き込み/ADB アクセス)、優先度。
ルールには特定の優先度があります。ユーザーが複数のグループに追加されている場合、Kaspersky Endpoint Security は優先度が一番高いルールに基づいてデバイスへのアクセスを制限します。Kaspersky Endpoint Security では 0 から 10,000 までの優先度を割り当てられます。値が大きいほど優先度が高くなります。言い換えると、値「0」を割り当てられた項目は優先度が一番低くなります。
例えば Everyone グループに読み取り専用権限を付与し、管理者グループに読み取り/書き込み権限を付与するなどです。その場合、管理者グループには優先度 1 を設定し、Everyone グループには 0 を設定します。
ブロックルールの優先度は、許可ルールの優先度よりも高くなります。言い換えると、ユーザーが複数グループに追加されており、すべてのルールの優先度が同じ場合、Kaspersky Endpoint Security は既存のブロックルールに基づいてデバイスへのアクセスを制限します。
- [状態]で、モバイルデバイスのアクセスルールをオンにします。
- [アクセスルール]で、ユーザーのモバイルデバイスへのアクセス権限を設定します。
- [ユーザー]で、モバイルデバイスにアクセスするユーザーまたはユーザーグループを設定します。Active Directory からユーザーのリストを作成します。
- [デバイスへのアクセスのスケジュール]で、ユーザーのデバイスアクセススケジュールを設定します。
ADB デバイスに対して別のスケジュールを設定することはできません。ADB デバイスとポータブルデバイス(MTP)に共通のスケジュールを設定します。
- [iTunes 経由でアクセス]で、iTunes アプリケーションを介したモバイルデバイスのデータへのアクセスを設定します。
Kaspersky Endpoint Security では、すべてのユーザーに対して iTunes アプリケーションを介したモバイルデバイスへのアクセスの設定が適用されます。iTunes デバイスで個別のスケジュールを設定することはできません。
- 変更内容を保存します。
これにより、ユーザーのモバイルデバイスへのアクセスはルールに従って制限されます。ADB および iTunes アプリケーションでのモバイルデバイスへのアクセスを禁止した場合は、モバイルデバイスを接続した際に、ADB および iTunes アプリケーションはモバイルデバイスの検出ができなくなります。
信頼するモバイルデバイス
「信頼するデバイス」は、信頼するデバイスの設定で指定されたユーザーが常にフルアクセスできるデバイスです。
信頼するモバイルデバイスを追加する手順は、信頼するデバイスの他の種別を追加する手順と同じです。モバイルデバイスは ID またはデバイスの機種で追加できます。
ID で信頼するモバイルデバイスを追加するには、一意な ID(ハードウェア ID、HWID)が必要になります。ID は、オペレーティングシステムツールを使用してデバイスのプロパティ内で表示することができます(下図を参照)。デバイスマネージャーツールを使用すると、プロパティを表示できます。ポータブルデバイス(MTP)および ADB、iTunes デバイスの ID は、同一のモバイルデバイスであっても異なります。ポータブルデバイス(MTP)の ID は「15131JECB07440
」のように表示されます。ADB デバイスの ID は「6&370DEC2A&0&0001
」のように表示されます。特定のデバイスを複数追加する場合は、ID でデバイスを追加すると便利です。マスクを使用することもできます。
デバイスをコンピューターに接続してから ADB または iTunes アプリケーションをインストールした場合は、デバイスの固有 ID がリセットされる場合があります。つまり、このデバイスは新しいデバイスとして認識されます。デバイスが信頼されている場合は、デバイスを信頼リストに再度追加します。
デバイスの機種で信頼するモバイルデバイスを追加するには、製造元 ID(VID)および製品 ID(PID)が必要です。ID は、オペレーティングシステムツールを使用してデバイスのプロパティ内で表示することができます(下図を参照)。VID および PID の入力用テンプレート:VID_18D1&PID_4EE5
。組織内で特定のモデルのデバイスを使用する場合は、モデルでデバイスを追加すると便利です。この方法を使用することで、このモデルのデバイスをすべて追加できます。
デバイスマネージャー内のデバイス ID
ページのトップに戻る