03:スタンドアロンクライアントのポリシーを変更するには?

今回のテーマ ・・・ スタンドアロンクライアントのポリシーを変更するには?

Question: やりたいこと

社内のネットワーク(LAN)環境でDeviceLockを運用しています。デバイス制御のポリシーはネットワーク内にある管理PCで、DeviceLock管理コンソールを使ってメンテナンスしています。

ただ最近、セキュリティ上の理由から社内ネットワークから外して所謂「スタンドアロン」で運用するPCを設置したり、会社支給のPCを社外に持ち出して社員の自宅などで使用するといった運用が始まり、DeviceLockのこれまでの管理方法では対応できない「例外」が発生するようになりました。

社内ネットワークに接続できないクライアントのDeviceLockポリシーを変更する方法はあるのでしょうか。

Answer: こうすればできる

DeviceLockのポリシー変更は管理ツールからネットワークを通して行なうのが便利ですが、ネットワークに接続できない状態のクライアント(スタンドアロンPC)のポリシーを変更することもできます。

これは、ポリシーを「DeviceLock Service設定ファイル」エクスポートして、ポリシーを適用したいクライアントに読み込ませる、という方法で、DeviceLock Service設定ファイルをメール添付、ファイルの物理的送付、ファイル共有サイトの利用等の手段にて受け渡しができることが条件になります。

Step: DeviceLock Service設定ファイルの準備

DeviceLock Service設定ファイルは、DeviceLock管理コンソールやDeviceLock Service設定エディタで作成しますが、ふたつ、注意しなければならない点があります。それは・・

  • 管理側(管理ツール)、クライアント(DeviceLock Service)双方に、対になるDeviceLock証明書が適用されていること
  • 適用されるDeviceLock Service設定ファイルは、DeviceLock証明書で署名されている必要があること

DeviceLock Service設定ファイルを生成するために、以下の1.または2.を行ないます。

  1. DeviceLock Service設定エディタを起動し、クライアントに適用したいポリシーを設定します。その際、「DeviceLock証明書」の指定を忘れると、次回より、クライアントでDeviceLock Service設定ファイルの取り込みが出来なくなりますのでご注意ください。
  2. 既にポリシーを設定してDeviceLock Service設定ファイルにエクスポートしたファイルがある場合は、1.の代わりに、このファイルを読み込んでポリシーの必要箇所を変更、といった手順でも結構です。この場合も、「DeviceLock証明書」の指定は必ず入れてください。

ポリシーを設定したら、DeviceLock Service設定ファイルにエクスポートしますが、その際、DeviceLock Service設定ファイルに「署名」する必要があります。

DeviceLock Service設定ファイルに署名して保存するには、DeviceLock Service設定エディタの「DeviceLock Service」を右クリックして表示されるプルダウンメニューから「Service 設定の保存および署名」を選択します。

生成した「DeviceLock Service設定ファイル」は、クライアントの利用者に、何らかの方法で渡します。
例えば、以下の方法があります。

  • 電子メールの添付ファイル
  • インターネットを利用したファイル共有
  • 利用が許可されているUSBメモリーにファイルを書き込み、郵送

クライアントにDeviceLock Service設定を適用する方法には、以下の2種類があります。

  • コントロールパネルによるDeviceLock Service設定ファイルのインポート
  • コマンドによるDeviceLock Service設定ファイルの適用

この後、これらの適用方法について、説明します。

Step: コントロールパネルによるDeviceLock Service設定ファイルのインポート

「DeviceLock」コントロールパネル項目を使用したDeviceLockポリシー適用(読み込み)の手順について説明します。

  1. 署名されたDeviceLock Service設定ファイルを、クライアントPCからアクセス可能なドライブ(デスクトップなど)に配置します。
  2. 「DeviceLock」コントロールパネル項目を起動し、「Service設定のインポート」をチェックして[次へ]をクリックします。
  3. 「署名済みファイルの選択」で署名済みのDeviceLock Service設定ファイルを選択し[終了]をクリックします。
  4. 以下のダイアログボックスが表示されたら、DeviceLock Service設定ファイルの取り込みは終了です。
  • インポートに使用したDeviceLock Service設定ファイルが署名されていない場合は、以下のダイアログボックスが表示されます。署名された設定ファイルを使用して、再度実行してください。

以上で、「DeviceLock」コントロールパネル項目を使用したDeviceLockポリシー適用は終了です。

Step: コマンドによるDeviceLock Service設定ファイルの適用

署名されたDeviceLock Service設定ファイルは、DeviceLock Serviceがインストールされているクライアントで、コマンドラインツールにより適用することができます。

「DeviceLock」コントロールパネル項目を使わずコマンドラインで処理できるため、ユーザーインターフェースの操作が不要になり、工夫次第で、DeviceLockポリシーの半自動配布も可能になります。

  1. クライアントでコマンドプロンプトを起動します。
    ※ 「ファイル名を指定して実行」(Windowsキーを押しながら R) を表示して「名前」欄に「cmd」と入力しEnter(エンター)キーを押します。
  2. 「DeviceLock」コントロールパネル項目をコマンド入力で起動して、署名されたDeviceLock Service設定ファイルを適用します。 (コマンド文法)DLTempAccess.cpl –s は、DeviceLock Service設定ファイルへのパス(とファイル名)を表しています。以下の例では、署名されたDeviceLock Service設定ファイル(settings_signed.dls)をクライアントの C: ドライブのルート直下に配置しています。

    (例 1)
    DLTempAccess.cpl” -s “C:\settings_signed.dls”

    (例 2)
    “c:\Program Files (86)\devicelock\devicelockagent\DLTempAccess.cpl” -s C:\settings_signed.dls”

    DLTempAccess.cplは、DeviceLock Serviceがインストールされているフォルダーにありますので、このフォルダーへのアプリケーション実行パスが設定されているか(例 1)、DLTempAccess.cplをフルパスで指定する(例 2)ことが必要です。

以上で、コマンドラインツール使用したDeviceLockポリシー適用は終了です。

Reference: 参考

  1. エクスポートされたDeviceLock Service設定ファイルは、エディタ等で編集しないでください。クライアントで読み込めなくなることがあります。
  2. 「DeviceLock証明書」は、必ず、管理PC側とクライアントPC側で、対になるものを適用してください。
  3. コマンドラインツールによるポリシー適用は、バッチファイルで記述し、実行ファイルとすることができます。
  4. 本書で説明しているポリシー適用方法は、スタンドアロンPCだけでなく、ネットワークに参加しているクライアントPCでも実行可能です。

DeviceLockテクニカルガイド

DeviceLockテクニカルガイドは、組織のシステム管理者やセキュティ担当者の皆さんがDeviceLockをご利用になるうえでの、役に立つテクニカル情報をご提供するものです。

例えば、DeviceLockを使って組織のセキュリティ要件を満たしたいがどういう設定をしたらよいのか、DeviceLockの機能を使いたいが設定の仕方が分からない、DeviceLockでどんなことができるのか知りたい、DeviceLockのこの機能は何のためにあるのか、など、DeviceLockに係るテクニカル相談窓口となることを目指しています。

このガイドでは、無作為に設定した特定の目的に対し、それを実現するための準備や設定方法を順を追って説明します。併せて、関連する情報についても掲載し、ユーザー様のスキルアップを図ります。ぜひご活用ください。

なお、本ガイドはDeviceLockを実際にご利用になっている方を対象としていますので、DeviceLockにおける「普通の」操作についての説明は省略させて頂きます。また、DeviceLockについての体系的な説明よりも、特定の機能に絞ったピンポイントの説明を指向しますので、体系的・包括的な情報を参照したい場合は製品添付の「DeviceLockユーザーマニュアル」をご利用ください。

本ガイドでは、効率的な説明のため、DeviceLockをはじめ、Windows、Macintosh、 コンピューター(ハードウェア)、周辺機器(デバイス)、ネットワーク等についての専門用語が使用されることが多々ありますが、一般的な用語についてはガイド中での説明を省略させていただくことがあります。

テクニカルガイド申し込みフォーム