Endpoint Central Cloud ナレッジベース

ManageEngine > サポート > Endpoint Central Cloud ナレッジベース > 機能仕様 > 【構成】USB制御の設定
戻る

【構成】USB制御の設定

  • 作成日:2022年6月27日 | 更新日:2026年1月21日

この記事では、Endpoint Central Cloud のWindowsコンピューター向け のUSB制御(USBのブロック)機能について説明しています。なお、Endpoint Central Cloud Security Editionで利用できるデバイス制御機能についてはこちらのナレッジをご覧ください。
※Mac端末へのUSBデバイス制御については、以下のポイントをご覧ください。

USB制御の設定

USB制御機能の対象

USB制御機能では、以下の種類のデバイスを対象に使用許可・使用禁止を設定することができます。

  • マウス
  • ディスクドライブ(USBドライブや外付けハードディスクドライブなど)
  • CD-ROM
  • ポータブルデバイス(携帯電話、デジタルカメラ、ポータブルメディアプレイヤーなど)
  • フロッピーディスク
  • Bluetooth(Bluetoothを使用して接続するデバイス)
  • プリンター
  • USBカメラ/スキャナー
  • モデム
  • Appleのデバイス(iTunes経由で接続するiPad/iPhone/iPod)

なお以下の説明では、(実際に文字通りUSBの規格を使用しているかどうかにかかわらず)これらの周辺機器をまとめて「USBデバイス」と表記します。
 

USB制御機能の概要

Endpoint Central Cloud は、構成機能 の一つである USB制御機能 を使用して、管理対象の Windows コンピューターに対して以下のような設定が可能です。

  • USBデバイスの一律使用禁止
  • USBデバイスの種類ごとの使用禁止/許可
  • 特定の種類・特定のベンダーのUSBデバイスのみ使用許可、その他の使用禁止
  • 特定の種類・特定のUSBデバイスのみ使用許可、その他の使用禁止
  • 特定の種類・暗号化されたUSBデバイスのみ使用許可、その他の使用禁止
デバイスの識別には デバイスインスタンスパス(シリアル番号)を使用します。
デバイスのブロックには、デバイスドライバーの無効化を実行します。
この記事で説明しているUSB制御機能は、Security Editionで利用できるデバイス制御機能のポリシーと併用することはできません。両者を同一の端末に対して適用した場合、デバイス制御機能のポリシーのみが有効となります。デバイス制御機能では、この記事でのUSB制御に比べ、より柔軟な設定が可能となります。詳細はデバイス制御機能に関するナレッジをご覧ください。
USB制御設定の手順

 設定方法 / 解除方法 / 履歴の確認方法 

USB制御の設定方法
Endpoint Central Cloud のUSBデバイス制御は、USBデバイスの種類ごとに設定します。ブロックしたいデバイスの種類の「ブロック」のラジオボタンをクリックし、必要に応じてブロック対象から除外する「例外デバイス」を登録します。
  1. 構成タブ > 構成 > Windows > USB制御 > ユーザー または コンピューター をクリックします。
  2. デバイスの種類ごとに、それぞれ「変更なし」「ブロック解除」「ブロック」を選択します。

    (例: USBフラッシュメモリやUSB外付けハードディスクの使用を制限する場合は以下の通りとなります)。

    • 「ディスクドライブ」を「ブロック」に変更します。
    • 特定のデバイスのみ使用を許可する場合は、「デバイスを除外する」をクリックしてデバイスインスタンスID(シリアル番号)を入力します。
    デバイスインスタンスパス
    デバイスの識別には デバイスインスタンスパス(シリアル番号)を使用します。USBフラッシュディスクや内臓デバイスなどは、通常デバイス固有のデバイスインスタンスパスを持つため、個別の制御が可能です。
    一方でUSBカメラやSDカードなどの一部の種類のデバイスには、固有のデバイスインスタンスパスがないか、インスタンスパスを取得する機能がOSにないため、特定のデバイスのみを許可するような制限を実行できない可能性があります。
    特定のメーカーや特定の種類のデバイスへの対応可否については、恐れ入りますが評価版でご検証ください。
     
    デバイスインスタンスパスの確認方法
    デバイスマネージャーから当該デバイスを右クリック→「プロパティ」→「詳細」タブ→ドロップダウンで「デバイス インスタンス パス」を選択します。
    なおSecurity Editionでは、USB接続履歴からデバイスのインスタンスパスを取得し、ホワイトリスト登録を簡単に実行できます。管理デバイス台数が多い場合はSecurity Editionのご利用をご検討ください。

     

  3. 配布/適用対象を選択します。
  4. 必要に応じて実行設定、再試行回数、通知を設定します。

以上で、USB制御が構成されます。構成の作成方法は、構成に関するナレッジもご覧ください。 

USB制御の解除方法

配布済みの「USB制御」構成を解除する場合は、配布した構成をごみ箱に移動します。

  1. 構成タブをクリックします。
  2. 必要に応じて、構成の表示:すべてのユーザーが作成(Administratorなどのロールのユーザーのみ選択可)を選択したり、フィルター条件: 構成 を 「USB制御」 に変更したりして、適用されているUSB制御構成を見つけます。
  3. 表示された構成一覧から、チェックを入れて[ゴミ箱に移動]をクリックします。
USB制御構成はデバイスドライバーを無効化します。エージェントのアンインストール前には、必ずUSB制御を無効化してからエージェントをアンインストールするようお願いいたします。
これまで適用したUSB制御構成は、 レポートタブ > USBレポート > USBポリシーレポート から確認できます。
USBデバイス接続履歴の確認方法

レポートタブ > USBレポート > USB監査レポート を確認します。

 

類似の機能

構成 > テンプレート 機能を使用して、WindowsコンピューターのUSBデバイスを読み取り専用とすることが可能です(インスタンスID等の指定はできません)。

  1. 構成タブ > 構成の追加 > テンプレート > フィルター条件についてカテゴリ: USBセキュリティ を選択します。
  2. 「USBストレージデバイスの書き込み禁止」または「USBストレージデバイスの書き込み禁止の解除」のアクション列 > 構成の作成 をクリックします。
  3. 適用対象を選択し、配布(または今すぐ配布)を選択します。

 

Enterprise Edition/UEM Editionの場合、Mac端末を対象としたUSB制御に関する機能はご利用いただけません。
これまで「カスタムスクリプト」機能からUSBストレージデバイスの使用を禁止するスクリプトをご利用いただけましたが、OSの仕様変更に伴い、ご利用いただけなくなりました。

Macコンピューターに対して種類ごとの禁止/許可/登録済みデバイスのみ許可 といった制御を実施したい場合は、Security Editionのデバイス制御機能において対応いたします。

このナレッジの総閲覧回数: 1,953

Related posts:

  1. 構成の進行ステータス/実行ステータスについて
  2. Windows Updateによる機能更新プログラム(Feature Update)の配布をブロックする方法
  3. Apple Push Notification Service証明書(APNs証明書)の登録方法
  4. インベントリスキャン

タグ: