セキュアUSB(USB制御)
説明
セキュアUSB構成は、USB端末の使用をブロックまたはブロック解除するためにユーザーとコンピューターの両方に適用できます。ユーザーに対して構成を適用した場合、ユーザーがログインするコンピューターに関わらず同じ構成が適用されます。
この設定を使用して、次の端末をブロックまたはブロック解除できます。
マウス
ディスクドライブ(例:USBドライブ、外付けハードディスクドライブ)
CD-ROM
ポータブル端末(例:携帯電話、デジタルカメラ、ポータブルメディアプレーヤー)
フロッピーディスク
Bluetooth端末
イメージングデバイス(例:USBカメラ、スキャナー)
プリンター
モデム
Apple USB端末(例:iPhone、iPad、iPod touch)
各端末に割り当てられたベンダーIDまたは端末インスタンスIDを使用して端末を除外することもできます。
セキュアUSB構成(ユーザー)
セキュアUSB構成を作成して、ユーザーの端末をブロックまたはブロック解除する場合、ユーザーがサインオフしたときに実行するアクションを設定できます。これらのアクションを使用すると、ユーザーがサインオフした後に、セキュアUSB構成を使用し、作成した設定を保持するか削除するか選択できます。 次のアクションを設定できます。
端末のステータスを変更しない:ユーザーがサインオフした後でも、作成した設定を維持するには、このオプションを使用します。
たとえば、このオプションを使用すると、USB端末の使用をブロックまたはブロック解除するために作成した設定が、サインインしているすべてのユーザーに適用されます。
マウスを除くすべての端末を無効化する:ユーザーがサインオフした後でも、作成した設定を削除するには、このオプションを使用します。
セキュアUSB構成のコンピューターとユーザーへの適用
安全なUSB設定をコンピューターとユーザーの両方に適用する場合、コンピューター用に作成された構成が、ユーザー用に作成された構成の前に適用されます(つまり、ユーザー用に作成された構成がコンピューター用に作成された構成を上書きします)。たとえば、次の設定を作成したと仮定します。
ユーザー用の構成
管理者:ディスクドライブの使用をブロック解除しました。
その他ユーザー(管理者を除く):構成を展開していません。
コンピューター用の設定 : ポータブル端末とディスクドライブの使用を ブロックしました。
次のアクションが実行されます。
コンピューターの起動:コンピューターの起動時に、コンピューター用に作成されたセキュアUSB構成が適用されます。つまり、ポータブル端末とディスクドライブは使用できません。
管理者のサインイン:コンピューター用のセキュアUSB構成が適用されます。 しかし、管理者用に作成された構成によって上書きされます。つまり、管理者はディスクドライブを使用できます。
その他ユーザー(管理者を除く)のサインイン:コンピューター用に作成されたセキュアUSB構成が適用されます。
その他ユーザー(管理者を除く)のサインオフ:ユーザーがサインオフしたときに、ユーザー用に作成されたサインオフアクションの設定が適用されます。サインオフアクションの設定が[端末のステータスを変更しない]に設定されている場合、ユーザーに適用される設定がない限り、行われた設定は次にサインインしたユーザーに適用されます。
| Note: ブロック…[USBのブロック]は、すべてのUSB端末を使用するためのアクセスをブロックすることを表します。 |
USBデバイスへの制限の追加
管理者は、特定のUSB端末をブロックまたはブロック解除する設定を作成できます。必要な場合、特定の端末を除外することもできます。 ユーザー用に、USB端末を保護するための設定を作成するには、以下の手順に従います。
[構成]タブに移動し、Windows設定のリストから[セキュアUSB]を選択します。
構成の名前と説明を入力します。
[追加]をクリックして構成を適用します。
制限を追加するには、端末を選択し、端末のブロックまたはブロック解除を選択します。端末のブロックを選択した場合は、除外する必要がある端末を指定することもできます。
必要なサインオフアクションを選択します。
ターゲットを定義します。
必要な実行設定を指定します。
[配布]をクリックします。
USB端末の使用を制限する構成が作成されました。これらの設定は、ユーザーがコンピューターにサインインしたときに適用されます。
除外デバイス
端末をブロックする場合、特定の端末をブロック対象から除外できます。各端末に割り当てられたベンダーIDまたは端末インスタンスIDを使用して、これを実行できます。端末を除外できるのは、端末をブロックしたときだけです。端末を除外するには、以下の手順に従います。
端末に対する[端末の除外]リンクをクリックします。
端末のデバイスインスタンスIDを入力します。指定したベンダーのすべての端末をブロックすることもできます。端末インスタンスIDを指定する必要があります。Endpoint Centralは、端末インスタンスIDを使用して、ベンダーのインスタンスIDを取得して、特定のベンダーのすべての端末を除外します。
すべての暗号化された端末/指定した端末のリストから暗号化された端末を除外できます。BitLockerを使用して暗号化された端末を除外リストに追加できます。これは、BitLockerをサポートするディスクドライブとターゲットコンピューターにのみ適用できます。
[閉じる]をクリックします。
端末をブロックから除外しました。
デバイスインスタンスID
各USB端末には、固有のIDがあります。このIDは、端末を簡単に識別するため、システムによって端末に割り当てられます。次に説明する手順に従って、端末の端末インスタンスIDを特定できます。
USBデバイスを接続した状態で、スタートメニューを右クリックします。
デバイスマネージャを開きます。
端末のリストをクリックして展開し、デバイスインスタンスIDが必要な端末について確認します。
(たとえば、コンピューターに接続されているUSBフラッシュメモリーのデバイスインスタンスIDを特定したい場合は、「ディスクドライブ」を展開し、次の手順に従います)![]()
図1: デバイスマネージャ特定の端末の名前を右クリックし、[プロパティ]をクリックします(下の図を参照してください)。
![]()
図2: プロパティ
プロパティの[詳細]タブをクリックします。
プロパティのドロップダウンボックスで、[デバイスインスタンスID]または[デバイスインスタンスパス]を選択します(下の図を参照してください)。
![]()
図3: デバイスインスタンスID
![]()
Windows Vista以降のバージョンのオペレーティングシステムを搭載しているコンピューターでは、端末インスタンスIDは端末インスタンスパスと呼ばれます。[デバイスマネージャー]の[プロパティ]プロパティシートから端末インスタンスパスをコピーできます。
ここで、特定の端末のデバイスインスタンスIDを表示してコピーできます。
ユーザーに適用されているすべてのUSB制限の削除
管理者は、ユーザーに適用されているすべてのUSB関連の制限を削除できます。 ユーザーのUSB関連のすべての制限を削除するために設定を作成するには、以下の手順に従います。
Endpoint Central 10.0.468 以前のビルドの場合
Endpoint Central 10.0.468 以前においてセキュアUSB構成を取り消す場合、新たな構成を作成して上書きします。
[構成]タブに移動し、Windows設定のリストから[セキュアUSB]を選択します。
構成の名前と説明を入力します。
[削除]をクリックして、ユーザーに適用されているすべての制限を削除します。
必要なサインオフアクションを選択します。
必要な実行設定を作成します。
[配布]をクリックします。
USB端末を保護するための設定が作成されました。これらの設定は、ユーザーがコンピューターにサインインしたときに適用されます。
Endpoint Central 10.0.469 以降のビルドの場合
Endpoint Central 10.0.469 以降のビルドにおいてセキュアUSB構成を取り消す場合、作成済みの構成をごみ箱に移動するか、一時停止することで対応します。いったんセキュアUSB構成がごみ箱に移動または一時停止されると、自動的にUSBデバイスへの制限を解除します。一時停止を解除して再度有効化すると、セキュアUSB構成は再度有効化されます。