【構成】USB制御の設定
Endpoint Central オンプレミス版とEndpoint Central Cloud(クラウド版)では、日本語サポート対象のエディションが異なるため、利用可能なUSB制御機能に差異がございます。
Endpoint Centralのエディション/対象OSごとの利用可能なUSB制御に関する機能
| Endpoint Central | 日本語サポート 対応エディション |
Windows | Mac | Linux |
|---|---|---|---|---|
| オンプレミス版 | ■Enterprise | 〇構成 | △スクリプト | △スクリプト |
| クラウド版 | ■Enterprise | ■UEM | ■Security | 〇構成 ◎デバイス制御 |
△スクリプト ◎デバイス制御 |
- 〇構成=本ナレッジで説明している、「構成」タブ→「USB制御」で利用できる機能です。
- △スクリプト=こちらで説明しているスクリプトを使用した制御です。
- ◎デバイス制御=「デバイス制御」タブから利用可能な機能です。WindowsとMacを同一UIから制御可能なほか、ユーザーからのデバイス一時使用申請への許可、インベントリで取得したデバイス情報を許可一覧に追加するなど、洗練されたUIが利用可能です。詳細はクラウド版ナレッジをご覧ください。
注意点
※Endpoint Centralオンプレミス版の評価期間中は「デバイス制御」機能が利用可能ですが、製品版のEnterprise Editionではご利用いただけません。
※Endpoint Centralオンプレミス版で「デバイス制御」機能を使用したい場合、追加オプションライセンスで対応が可能な場合があります(日本語サポートの対象外のため、英語サポートとなります。
USB制御の設定
この記事では、Endpoint Central の「構成」タブから使用できるWindows向けUSBデバイス制御(USBデバイスの禁止/許可のコントロール)機能について説明しています。
USB制御機能の対象
USB制御機能では、以下の種類のデバイスを対象に使用許可・使用禁止を設定することができます。
- マウス
- ディスクドライブ(USBドライブや外付けハードディスクドライブなど)
- CD-ROM
- ポータブルデバイス(携帯電話、デジタルカメラ、ポータブルメディアプレイヤーなど)
- フロッピーディスク
- Bluetooth(Bluetoothを使用して接続するデバイス)
- プリンター
- USBカメラ/スキャナー
- モデム
- Appleのデバイス(iTunes経由で接続するiPad/iPhone/iPod)
なお以下の説明では、(実際に文字通りUSBの規格を使用しているかどうかにかかわらず)これらの周辺機器をまとめて「USBデバイス」と表記します。
USB制御機能の概要
Endpoint Central は、Windows管理対象に対して以下のような制御が可能です。
- USBデバイスの一律使用禁止
- USBデバイスの種類ごとの使用禁止/許可
- 特定の種類・特定のベンダーのUSBデバイスのみ使用許可、その他の使用禁止
- 特定の種類・特定のUSBデバイスのみ使用許可、その他の使用禁止
- 特定の種類・暗号化されたUSBデバイスのみ使用許可、その他の使用禁止
デバイスの識別には デバイスインスタンスパス(シリアル番号)を使用します。USBフラッシュディスクや内臓デバイスなどは、通常デバイス固有のデバイスインスタンスパスを持つため、個別の制御が可能です。
一方でUSBカメラなどの一部の種類のデバイスには、固有のデバイスインスタンスパスがないため、特定のデバイスのみを許可するような制限を実行できない可能性があります。
特定のメーカーや特定の種類のデバイスへの対応可否については、恐れ入りますが評価版でご検証ください。
デバイスインスタンスパスの確認方法
デバイスマネージャーから当該デバイスを右クリック→「プロパティ」→「詳細」タブ→ドロップダウンで「デバイス インスタンス パス」を選択します。
USB制御設定の手順
USB制御の設定方法
- 構成タブ > 構成 > Windows > USB制御 > ユーザー または コンピューター をクリックします。
- デバイスの種類ごとに、それぞれ「変更なし」「ブロック」「ブロック解除」を選択します(例: USBフラッシュメモリやUSB外付けハードディスクの使用を制限する場合は以下の通りとなります)。
- 「ディスクドライブ」を「ブロック」に変更します。
- 特定のデバイスのみ使用を許可する場合は、「デバイスを除外する」をクリックしてデバイスインスタンスID(シリアル番号)を入力します。
- 配布/適用対象を選択します。
- 必要に応じて実行設定、再試行回数、通知を設定します。
以上で、USB制御が構成されます。
USB制御の解除方法
配布済みの「USB制御」構成を解除する場合は、配布した構成をごみ箱に移動します。
- 構成タブをクリックします。
- 必要に応じて、構成の表示:すべてのユーザーが作成(Administratorなどのロールのユーザーのみ選択可)を選択したり、フィルター条件: 構成 を 「USB制御」 に変更したりして、適用されているUSB制御構成を見つけます。
- 表示された構成一覧から、チェックを入れて[ゴミ箱に移動]をクリックします。
上記の方法は、Desktop Central 10.0.478以前のビルドには適用できません。既存の構成を打ち消すような内容の構成を新たに作成して適用するか、既存の構成を編集し再度適用必要があります。
USBデバイス接続履歴の確認方法
USB監査レポートを確認します。
- USBフラッシュメモリを先にブロックした場合
PC > デバイスとドライブ にブロックしたデバイスが表示されなくなります。
- PCにUSBフラッシュメモリを先に接続し、後からUSBデバイスのブロックを適用した場合
以下のような挙動となり、データの転送がブロックされます。
類似の機能
テンプレート
「構成」タブ→「テンプレート」を使用して、WindowsコンピューターのUSBデバイスを読み取り専用とすることが可能です(インスタンスID等の指定はできません)。
- 「構成」タブ →「構成の追加」→「テンプレート」を開き、フィルター条件についてカテゴリ:「USBセキュリティ」を選択します。
- 「USBストレージデバイスの書き込み禁止」または「USBストレージデバイスの書き込み禁止の解除」の「アクション」列 →「構成の作成」をクリックします。
- 適用対象を選択し、配布(または今すぐ配布)を選択します。
デバイス制御(追加オプションライセンスが必要で、日本語サポートの対象外です)
デバイス制御の追加オプションライセンスを利用することで、より詳細な条件でUSBデバイスを制御可能です。ただし、追加オプションライセンスの機能は日本語サポートの対象外であるため、英語でのサポートとなります。詳細はこちらのナレッジをご覧ください。
Mac/LinuxコンピューターへのUSBデバイス制御
こちらのナレッジをご覧ください。