Endpoint Central オンプレミス版 ナレッジベース

【構成】USB制御の設定


この記事では、Endpoint Central のWindows向けUSBデバイス制御(USBデバイスの禁止/許可のコントロール)機能について説明しています。
※MacやLinuxへのUSBデバイス制御については、こちらをご覧ください。

USB制御の設定

USB制御機能の対象

USB制御機能では、以下の種類のデバイスを対象に使用許可・使用禁止を設定することができます。

  • マウス
  • ディスクドライブ(USBドライブや外付けハードディスクドライブなど)
  • CD-ROM
  • ポータブルデバイス(携帯電話、デジタルカメラ、ポータブルメディアプレイヤーなど)
  • フロッピーディスク
  • Bluetooth(Bluetoothを使用して接続するデバイス)
  • プリンター
  • USBカメラ/スキャナー
  • モデム
  • Appleのデバイス(iTunes経由で接続するiPad/iPhone/iPod)

なお以下の説明では、(実際に文字通りUSBの規格を使用しているかどうかにかかわらず)これらの周辺機器をまとめて「USBデバイス」と表記します。

 

USB制御機能の概要

Endpoint Central は、Windows管理対象に対して以下のような制御が可能です。

  • USBデバイスの一律使用禁止
  • USBデバイスの種類ごとの使用禁止/許可
  • 特定の種類・特定のベンダーのUSBデバイスのみ使用許可、その他の使用禁止
  • 特定の種類・特定のUSBデバイスのみ使用許可、その他の使用禁止
  • 特定の種類・暗号化されたUSBデバイスのみ使用許可、その他の使用禁止
デバイスの識別には デバイスインスタンスパス(シリアル番号)を使用します。USBフラッシュディスクなどのデバイスは、通常デバイス固有のデバイスインスタンスパスを持つため、制御が可能です。
USBカメラなどの一部の種類のデバイスには、固有のデバイスインスタンスパスがないため、特定のデバイスのみを許可するといった制限を実行できない可能性があります。

USB制御設定の手順
USB制御の設定方法
Endpoint CentralのUSBデバイス制御は、USBデバイスの種類ごとに設定します。ブロックしたいデバイスの種類の「ブロック」のラジオボタンをクリックし、必要に応じてブロック対象から除外する「例外デバイス」を登録します。
  1. 構成タブ > 構成 > Windows > USB制御 > ユーザー または コンピューター をクリックします。
  2. デバイスの種類ごとに、それぞれ「変更なし」「ブロック」「ブロック解除」を選択します(例: USBフラッシュメモリやUSB外付けハードディスクの使用を制限する場合は以下の通りとなります)。
    • 「ディスクドライブ」を「ブロック」に変更します。
    • 特定のデバイスのみ使用を許可する場合は、「デバイスを除外する」をクリックしてデバイスインスタンスID(シリアル番号)を入力します。

     

  3. 配布/適用対象を選択します。
  4. 必要に応じて実行設定、再試行回数、通知を設定します。

以上で、USB制御が構成されます。

USB制御の解除方法

配布済みの「USB制御」構成を解除する場合は、配布した構成をごみ箱に移動します。

  1. 構成タブをクリックします。
  2. 必要に応じて、構成の表示:すべてのユーザーが作成(Administratorなどのロールのユーザーのみ選択可)を選択したり、フィルター条件: 構成 を 「USB制御」 に変更したりして、適用されているUSB制御構成を見つけます。
  3. 表示された構成一覧から、チェックを入れて[ゴミ箱に移動]をクリックします。
USB制御構成はデバイスドライバーを無効化します。エージェントのアンインストール前には、必ずUSB制御を無効化してからエージェントをアンインストールするようお願いいたします。


上記の方法は、Desktop Central 10.0.478以前のビルドには適用できません。既存の構成を打ち消すような内容の構成を新たに作成して適用するか、既存の構成を編集し再度適用必要があります。

USBデバイス接続履歴の確認方法

USB監査レポートを確認します。

 


USBフラッシュメモリをブロックした場合の挙動

  • USBフラッシュメモリを先にブロックした場合
    PC > デバイスとドライブ にブロックしたデバイスが表示されなくなります。
     
  • PCにUSBフラッシュメモリを先に接続し、後からUSBデバイスのブロックを適用した場合
    以下のような挙動となり、データの転送がブロックされます。

 


類似の機能

構成 > テンプレート 機能を使用して、WindowsコンピューターのUSBデバイスを読み取り専用とすることが可能です(インスタンスID等の指定はできません)。

  1. 構成タブ > 構成の追加 > テンプレート > フィルター条件についてカテゴリ: USBセキュリティ を選択します。
  2. 「USBストレージデバイスの書き込み禁止」または「USBストレージデバイスの書き込み禁止の解除」のアクション列 > 構成の作成 をクリックします。
  3. 適用対象を選択し、配布(または今すぐ配布)を選択します。

 
デバイス制御アドオンを利用することで、より詳細な条件でUSBデバイスを制御可能です。詳細はこちらのナレッジをご覧ください(日本法人によるサポートの対象外です)。

 


Mac/LinuxコンピューターへのUSBデバイス制御

こちらのナレッジをご覧ください。