ポリシーの設定と継承先への反映:デバイスベースの管理
このセクションでは、管理対象デバイスにインストールされているカスペルスキー製品の設定をデバイスベースで一元的に行う手順について説明します。この手順を完了すると、すべての管理対象デバイスにインストールされている製品が、定義した製品ポリシーとポリシープロファイルに従って設定されます。
また、デバイスベースの管理方法の代替案もしくは追加で組み合わせて使用する管理方法としてユーザーベースのセキュリティ管理も検討すると有益な場合があります。
プロセス
カスペルスキー製品のデバイスベースの管理シナリオは、次の 2 つの手順からなります。
- 製品ポリシーの設定
管理対象デバイスにインストールされているカスペルスキー製品ごとにポリシーを作成して、製品の設定を指定します。これらのポリシーはクライアントデバイスに反映されます。
クイックスタートウィザードを使用してネットワークの保護を設定する場合、Kaspersky Security Center Cloud コンソールは Kaspersky Endpoint Security for Windows の既定のポリシーを作成します。このウィザードを使用して設定プロセスを完了した場合、この製品の新しいポリシーを作成する必要はありません。Kaspersky Endpoint Security ポリシーの手動セットアップに進みます。
複数の管理グループからなる階層構造が存在する場合、既定では、子管理グループがプライマリ管理サーバーのポリシーを継承します。子グループでの継承を強制的に適用して、上位のポリシーで指定された設定の変更を禁止できます。一部の設定のみを強制的に継承させたい場合は、上位のポリシーで該当する設定項目をロックできます。残りのロックされていない設定は下位のポリシーで変更できます。ポリシーの階層を作成することで、管理グループ内の管理対象デバイスを効果的に管理できます。
実行手順の説明:ポリシーの作成
- ポリシーのプロファイルの作成(任意)
同じ管理グループ内にあるデバイスを異なるポリシー設定に従って動作させる場合には、ポリシーのプロファイルを作成します。ポリシーのプロファイルには、ポリシー設定のサブセットが指定されています。このサブセットはポリシーとともに対象デバイスに配信され、プロファイルの有効化条件と呼ばれる特定の条件下でポリシーを補完する機能を果たします。プロファイルに含まれるのは、管理対象デバイスでアクティブな「基本」ポリシーとは異なる設定(差分)のみです。
プロファイルの有効化条件を使用することで、たとえば、Active Directory の特定の組織単位やセキュリティグループに属するデバイス、特定のハードウェア設定のデバイス、特定のタグが付与されているデバイスなどの条件に応じて異なるポリシープロファイルを適用できます。タグを使用すると特定の基準を満たすデバイスをフィルタリングできます。たとえば、「Windows」というタグを作成し、Windows オペレーティングシステムを実行しているデバイスすべてにこのタグを付与し、ポリシープロファイルの有効化条件としてこのタグを指定します。これにより、Windows を実行しているすべてのデバイスにインストールされているカスペルスキー製品は該当するポリシープロファイルで管理されます。
実行手順の説明:
- ポリシーとポリシープロファイルの管理対象デバイスへの反映
管理サーバーと管理対象デバイスは、Kaspersky Security Center Cloud コンソールを数時間ごとに自動的に同期します。同期中に、新しいまたは変更されたポリシーとポリシープロファイルが管理対象デバイスに反映されます。自動同期を回避して、[強制同期]コマンドを使用して手動で同期を実行できます。同期が完了すると、ポリシーとポリシープロファイルが配信され、インストールされているカスペルスキー製品に適用されます。
ポリシーとポリシーのプロファイルがデバイスに配信されたかを確認できます。Kaspersky Security Center Cloud コンソールでは、デバイスのプロパティで該当する配信日時が表示されます。
実行手順の説明:強制同期
結果
デバイスベースの管理の導入手順が完了すると、ポリシーの階層を通して指定または反映された設定がカスペルスキー製品に適用されます。
管理グループに新しく追加されたデバイスには、設定された製品ポリシーとポリシープロファイルが自動的に適用されます。