USB端末の保護

ManageEngine  > 統合エンドポイント管理ソフト > USB端末の保護

USB端末の保護

このドキュメントでは次の項目について説明します。

概要

USB制御構成は、USB端末の使用をブロックまたはブロック解除するためにユーザーとコンピューターの両方に適用可能です。

この設定を使用して、次の端末をブロックまたはブロック解除できます。

  1. マウス

  2. ディスクドライブ(例:USBドライブ、外付けハードディスクドライブ)

  3. CD ROM

  4. ポータブル端末 (例:携帯電話、デジタルカメラ、ポータブルメディアプレーヤー)

  5. フロッピーディスク

  6. Bluetooth端末

  7. 画像(例:USBカメラ、スキャナー)

  8. プリンター

  9. モデム

  10. Apple USB端末(例:iPhone、iPad、iPod touch)

各端末に割り当てられたベンダーIDまたは端末インスタンスIDを使用して端末を除外することもできます。

USB制御構成をコンピューターに適用する

USB制御構成をコンピューターとユーザーの両方に適用する場合、コンピューター用に作成された設定が、ユーザー用に作成された設定の前に適用されます。たとえば、次のような構成を作成し配布したと仮定します。

  1. ユーザーに対して適用されたUSB制御構成

    1. 管理者:ディスクドライブの使用をブロック解除

    2. その他ユーザー(管理者を除く):設定なし

  2. コンピューターに対して適用されたUSB制御構成 :ポータブル端末とディスクドライブをブロック

次のアクションが実行されます。

  1.  コンピューターの起動時:コンピューターの起動時に、コンピューター用に作成されたUSB構成が適用されます。つまり、ポータブル端末とディスクドライブは使用できません。

  2. 管理者のサインイン:コンピューター用の安全なUSB設定が適用されます。しかし、管理者用に作成された設定によって上書きされます。つまり、管理者はディスクドライブを使用できます。

  3. その他ユーザー(管理者を除く)のサインイン:コンピューター用に作成された安全なUSB設定が適用されます。

  4. その他ユーザー(管理者を除く)のサインオフ:ユーザー用に作成されたサインオフアクションの設定は、ユーザーがサインオフするときに適用されます。サインオフアクションの設定が[端末のステータスを変更しない]に設定されている場合、ユーザーに適用される設定がない限り、行われた設定は次にサインインしたユーザーに適用されます。

Note: [USBのブロック]は、すべてのUSB端末を使用するためのアクセスをブロックすることを表します。
[USBブロック解除]は、ブロックされたUSB端末へのアクセスを再び有効にすることを表します。
[変更なし]は、設定を変更しないことを表します。

 

USBデバイスへ制限を追加する/デバイスを例外登録する

管理者は、特定のUSB端末をブロックまたはブロック解除する設定を作成できます。必要な場合、特定の端末を除外することもできます。

ユーザー用に、USB端末を保護するための設定を作成するには、以下の手順に従います

  1. [構成]タブに移動し、Windows構成のリストから[USB制御]を選択します。

  2. 構成の名前と説明を入力します。

  3. [追加]をクリックして制限を適用します。

  4. 制限を追加するには、端末を選択し、端末のブロックまたはブロック解除を選択します。端末のブロックを選択した場合は、除外する必要がある端末を指定することもできます。

  5. 対象の定義をします。

  6. 必要な実行設定を指定します。

  7. [配布]をクリックします。

USB端末を保護するための構成が作成されました。これらの設定は、ユーザーがコンピューターにサインインしたときに適用されます。

デバイスの除外

端末をブロックする場合、特定の端末をブロック対象から除外できます。各端末に割り当てられたベンダーIDまたは端末インスタンスIDを使用して、これを実行できます。端末を除外できるのは、端末をブロックしたときだけです。端末を除外するには、以下の手順に従います。

  1. 端末に対する[端末の除外]リンクをクリックします。

  2. 指定したベンダーから、すべての端末をブロックすることもできます。端末インスタンスIDを指定する必要があります。Desktop Centralは、端末インスタンスIDを使用して、ベンダーのインスタンスIDを取得して、特定のベンダーのすべての端末を除外します。

  3. すべての暗号化された端末/暗号化された端末を、指定した端末のリストから除外することもできます。BitLockerを使用して暗号化された端末を除外リストに追加できます。

  4. [閉じる]をクリックします。

端末をブロックから除外しました。

 デバイスインスタンスID

各USB端末には、固有のIDがあります。このIDは、端末を簡単に識別するため、システムによって端末に割り当てられます。次に説明する手順に従って、端末の端末インスタンスIDを特定できます。

    1. [マイ コンピューター]を右クリックします。

    2.  [プロパティ]をクリックします。

    3.  [デバイス マネージャー]をクリックします(下の図を参照してください)。

    4.  端末のリストから、端末インスタンスIDが必要な端末のリストを展開します。(たとえば、コンピューターに接続されている携帯電話の端末インスタンスIDを特定したい場合は、ポータブル端末を展開し、次の手順に従います)。

    5.  該当する端末の名前を右クリックし、[プロパティ]をクリックします。

    Figure 2: デバイスのプロパティ

      1. [詳細]タブをクリックします。

      2. ドロップダウンボックスで、[端末インスタンスID]または[端末インスタンスパス]を選択します(下の図を参照してください)。

    Figure 3: デバイスインスタンス ID

     

ユーザーに適用したUSB制御構成を解除する

管理者は、コンピューターに適用されているすべてのUSB関連の制限を削除できます。

ユーザーのUSB関連のすべての制限を削除するために設定を作成するには、以下の手順に従います。

  1. [構成]タブに移動し、Windowsの設定リストから[安全なUSB設定]を選択します。

  2. 設定の名前と説明を入力します。

  3. [削除]をクリックして、コンピューターに適用されているすべての制限を削除します。

  4. ターゲットを定義します。

  5. 必要な実行設定を作成します。

  6. [配布]をクリックします。

USB端末を保護するための設定が作成されました。これらの設定は、ユーザーがコンピューターにサインインしたときに適用されます。