ポリシーのプロファイルについて
ポリシーのプロファイルは、デバイスが特定の有効化ルールを満たす時に、クライアントデバイス(コンピューターまたはモバイルデバイス)上で有効化される一連のポリシー設定に名前を付けたものです。プロファイルを有効にすると、プロファイルが有効になる前にデバイスで有効になっていたポリシー設定が修正されます。こうした設定により、プロファイルで指定された値が得られます。
ポリシーのプロファイルは、同じ管理グループ内にあるデバイスが異なるポリシー設定に従って作動可能にする場合に必要です。管理グループ内のデバイスのうち数台に対してのみ、ポリシーの設定を変更しなくてはならない状況が発生することがあります。この場合、管理グループ内の選択したデバイスに対してのみポリシーの設定を編集できるようなポリシーのプロファイルを設定できます。たとえば、管理グループ「ユーザー」内のすべてのデバイスに対して GPS ナビゲーションソフトウェアの使用を禁止するポリシーがあるとします。管理グループ「ユーザー」内に配達を行う社員が所有するデバイスが 1 台存在しており、そのデバイスでのみ GPS ナビゲーションソフトウェアを使用する必要があるとします。このデバイスに「配達担当者」のタグを付け、「配達担当者」のタグが付いたデバイスでのみ GPS ナビゲーションソフトウェアの使用が可能、それ以外のポリシーの設定はそのままとなるようにポリシーのプロファイルを再設定できます。このように設定すると、「配達担当者」というタグの付いたデバイスが管理グループ「ユーザー」に出現すると、そのデバイスでは GPS ナビゲーションソフトウェアの使用が許可されるようになります。管理グループ「ユーザー」内の「配達担当者」のタグが付いていない他のデバイスでは、GPS ナビゲーションソフトウェアの使用は禁止されたままとなります。
プロファイルは、以下のポリシーでのみサポートされます:
- Kaspersky Endpoint Security for Windows のポリシー
- Kaspersky Endpoint Security for Mac のポリシー
- Kaspersky Mobile Device Management プラグインのバージョン 10 Service Pack 1 から 10 Service Pack 3 Maintenance Release 1 までのポリシー
- Kaspersky Device Management for iOS プラグインのポリシー
- Kaspersky Security for Virtualization 5.1 Light Agent for Windows のポリシー
- Kaspersky Security for Virtualization 5.1 Light Agent for Linux のポリシー
ポリシーのプロファイルは、ポリシーを適用するクライアントデバイスの管理を簡略化します:
- ポリシーのプロファイルの設定は、ポリシーの設定と変えることができます。
- いくつかの設定のみ異なる単一のポリシーの複数のインスタンスを維持および手動で適用する必要がありません。
- モバイルユーザーに個別のポリシーを割り当てる必要がありません。
- ポリシーのプロファイルはエクスポートとインポートが可能です。また、既存のポリシーのプロファイルを使用して新しいものを作成できます。
- 1 個のポリシー内に、複数のアクティブポリシーのプロファイルを作成できます。デバイスに適用されるプロファイルは、そのデバイスで有効な有効化ルールを満たすもののみです。
- プロファイルには、ポリシーの階層が存在します。継承されたすべてのポリシーは、より上位のポリシーのすべてのプロファイルを含みます。
プロファイルの優先度
ポリシー向けに作成されたプロファイルは、優先度の降順でソートされます。たとえば、プロファイルのリストで、プロファイル「X」がプロファイル「Y」よりも上に位置している場合、「X」が「Y」よりも優先度が高いということになります。1 台のデバイスに複数のプロファイルを同時に適用できます。プロファイル間で設定値が異なる場合、優先度の最も高いプロファイルの値がデバイスに適用されます。
プロファイルの有効化ルール
ポリシーのプロファイルは、有効化ルールが適合すると、クライアントデバイスで有効になります。[有効化ルール]は、デバイスでポリシーのプロファイルを開始するために満たす必要がある一連の条件です。有効化ルールには、次の条件を指定することができます:
- クライアントデバイス上のネットワークエージェントが、特定の接続パラメータ(サーバーアドレス、ポート番号など)の管理サーバーと接続する。
- クライアントデバイスはオフラインである。
- クライアントデバイスに特定のタグが割り当てられている。
- クライアントデバイスが明示的(デバイスは直接指定のユニットに配置される)または暗示的(デバイスはすべてのネストレベルで指定のユニット内にあるいずれかのユニットに配置される)に Active Directory の指定のユニットに配置されている、デバイスまたはその所有者が Active Directory のセキュリティグループに配置されている。
- クライアントデバイスが特定の所有者のものであるか、デバイスの所有者が Kaspersky Security Center の内部セキュリティグループに含まれている。
- クライアントデバイスの所有者に特定のロールが割り当てられている。
管理グループの階層におけるポリシー
下位の管理グループ内にポリシーを作成する場合、このポリシーは、より上位のグループのアクティブポリシーのプロファイルを継承します。同じ名前のプロファイルは統合されます。より上位のグループに対するポリシーのプロファイルは、優先度もより高くなります。たとえば、管理グループ「A」で、ポリシー「P(A)」にはプロファイル「X1」「X2」「X3」(優先度降順)があるとします。管理グループ「B」(グループ「A」のサブグループ)では、ポリシー「P(B)」が、プロファイル「X2」「X4」「X5」とともに作成されているとします。ポリシー「P(B)」は「P(A)」によって修正され、ポリシー「P(B)」のプロファイルのリストが次のように表示されます:「X1」「X2」「X3」「X4」「X5」(優先度降順)。プロファイル「X2」の優先度は、ポリシー「P(B)」の「X2」の初期の状態に、ポリシー「P(A)」の「X2」の初期の状態に、それぞれ依存します。「P(B)」の作成後は、「P(A)」はサブグループ「B」に表示されなくなります。
アクティブポリシーの内容は、ネットワークエージェントの起動時、オフラインモードを有効および無効にした時、またはクライアントデバイスに割り当てたタグのリストの編集時に、毎回再計算されます。たとえば、デバイスの RAM サイズを増加すると、その後、大容量 RAM のデバイスに適用されるポリシーのプロファイルがそのデバイスで有効になります。
ポリシーのプロファイルのプロパティと制限
プロファイルには次の特徴があります:
- 非アクティブポリシーのプロファイルは、クライアントデバイスに影響を与えません。
- ポリシーに「モバイルユーザーポリシー」ステータスが指定されている場合、そのポリシーのプロファイルもデバイスが企業ネットワークから切断された時にのみ適用されます。
- プロファイルは、実行ファイルへのアクセスの静的分析をサポートしません。
- ポリシーのプロファイルにイベント通知の設定を含めることはできません。
- デバイスを管理サーバーへ接続する際に UDP ポート 15000 が使用される場合、デバイスにタグを付けてから 1 分以内に、対応するポリシーのプロファイルが有効になります。
- プロファイルの有効化ルールの作成時には、管理サーバーへのネットワークエージェントの接続ルールを使用できます。