デバイス適合性ポリシーの紹介

デバイス適合性ポリシーは、Windows および Mac デバイスから収集されたデータを使用して、設定した条件に基づいてその適合状態を判断します。収集された情報は、レポートおよびデバイス詳細ページに表示され、不適合の理由を含めて、デバイスの適合性ステータスを監視するために使用できます。この情報を取得することで、以下が行えます:

  • デバイスの適合性に関連する主要業績評価指数 (KPI) を追跡する

  • 不適合となったデバイスの是正措置を開始する (例えば、適合性ステータスが変化したときに自動的にデバイスをフリーズするアクションルールを作成する)

  • デバイスにリスクがある、異常がある、またはお客様の組織の要件に適合していない場合に、会社のネットワークへのアクセスを阻止する

デバイス適合性ポリシーは、Windows または macOS オペレーティングシステムの対応バージョンを実行しているデバイスに適用されます。最新のデバイス適合性ステータス情報をコンソールで表示するには、各デバイスの Secure Endpoint Agent が Absolute モニタリングセンターに定期的に接続している必要があります。

デフォルトでは、グローバルポリシーグループおよびすべてのカスタムポリシーグループには事前定義されたデバイス適合性ポリシーが含まれ、このポリシーは非アクティブに設定されています。ポリシーはグローバルポリシーグループでアクティブ化できますが、ベストプラクティスは、カスタムポリシーグループを作成し、各ポリシーグループのデバイス適合性ポリシーを必要に応じてアクティブ化することです。

デバイス適合性ポリシーに含まれるデバイスが「適合」と見なされるには、設定したすべての条件を満たす必要があります。適合性は、以下のいずれかの条件を使用して判断できます。これらの条件は、Secure Endpoint Agent がデバイスで定期的に監視するデータポイントに基づきます。

ポリシーに含まれるデバイスが、1 つ以上のアンチマルウェアアプリケーションによって保護されているかどうかを監視するには、この条件を有効にします。

  • 少なくとも 1 つのアンチマルウェアアプリケーションがデバイスでアクティブである場合、デバイスは適合性と報告されます。

  • すべてのアンチマルウェアアプリケーションが非アクティブまたは無効、または検出されない場合、デバイスは不適合と報告されます。

  • Secure Endpoint Agent がデバイスのアンチマルウェアステータスを判断できない場合、不明と報告されます。

各デバイスの Secure Endpoint Agent は、1 時間ごとにアンチマルウェアスキャンを実施します。変更が検出されると、デバイスの次回のエージェント接続の際に新しいアンチマルウェア情報がアップロードされます。エージェント接続は、デバイスがオンラインの場合通常は 15 分以内に発生します。

アンチマルウェア条件は、デバイス適合性ポリシーでデフォルトで有効になっていますが、必要に応じて無効化できます。

ポリシーに含まれるデバイスが、システムドライブに保存されているデータを保護するために暗号化を使用しているかどうかを監視するには、この条件を有効にします。

  • デバイスの暗号化ステータスが「暗号化済み」と報告される (システムドライブが完全に暗号化されていることを意味します) と、適合と見なされます。

  • デバイスの暗号化ステータスが「未暗号化」、「未検出」、または「復号が進行中」と報告されると、不適合と見なされます。

ポリシーに含まれる Windows デバイスでは、以下のいずれかの暗号化ステータスが報告された場合にデバイスを「適合」と見なすオプションもあります。

  • 停止 (BitLocker のみ): Secure Endpoint Agent は、多くの場合システムアップデート、ファームウェアアップグレード、またはその他のシステム変更を原因として、デバイスで暗号化が一時的に無効化された場合にこのステータスを報告します。

  • 暗号化が進行中: Secure Endpoint Agent は、システムドライブの暗号化が処理されている場合にこのステータスを報告します。

  • 使用領域が暗号化済み: Secure Endpoint Agent は、データを含むすべてのディスク領域が暗号化されているが、空き領域は暗号化されていない場合にこのステータスを報告します。

各デバイスの Secure Endpoint Agent は、1時間ごとに暗号化スキャンを実施します。変更が検出されると、デバイスの次回のエージェント接続の際に新しい情報がアップロードされます。エージェント接続は、デバイスがオンラインの場合通常は 15 分以内に発生します。

暗号化条件は、フルディスク暗号化ステータスポリシーが関連するポリシーグループですでにアクティブ化されている場合、デフォルトで有効になっています。このポリシーがすでにアクティブ化されていない場合、暗号化条件を有効にするときに、アクティブ化するよう指示されます。

ポリシーに含まれるデバイスが、位置情報ベースのルールに準拠しているかどうかを監視するには、この条件を有効にします。

Secure Endpoint Agent が報告する位置情報が、以下のオプションで設定したパラメーターに一致している場合、デバイスは適合と見なされます。

  • デバイスが以下のいずれかの位置に存在していること: デバイスが存在することが許可されている都市、州、県、国。必要に応じて複数の位置を入力できます。

  • デバイスが以下のいずれかの位置に存在していないこと: デバイスが存在することが許可されていない都市、州、県、国。必要に応じて複数の位置を入力できます。

    これらのフィールドに ITAR 禁止対象国を入力して、国際武器取引規則 (ITAR) による制約対象国のリストを素早く追加することもできます。

Secure Endpoint Agent は、デバイスのプラットフォームの種類に応じて、さまざまな間隔で位置情報を検出およびアップロードします。もっと見る

ジオロケーション条件は、ジオロケーション追跡ポリシーが関連するポリシーグループですでにアクティブ化されている場合のみ有効にできます。このポリシーがすでにアクティブ化されていない場合、ジオロケーション条件を有効にするときに、アクティブ化するよう指示されます。

ポリシーに含まれるデバイスが、特定のオペレーティングシステムおよび/またはオペレーティングシステムのバージョン範囲を実行しているかどうかを監視するには、この条件を有効にします。

Secure Endpoint Agent が報告するオペレーティングシステムが、以下を含む設定したパラメーターに一致している場合、デバイスは適合と見なされます。

  • デバイスが Windows または macOS を実行しているかどうか

  • デバイスが、OS の最小バージョンOS の最大バージョンフィールドで指定した範囲内のバージョンのオペレーティングシステムを実行しているかどうか

各デバイスの Secure Endpoint Agent は、毎日ハードウェアスキャンを実施します。デバイスが再起動されたとき、またはパブリック IP アドレスまたは SSID の変化が検出されたときも、スキャンがトリガーされます。オペレーティングシステムの変更が検出されると、デバイスの次回のエージェント接続の際に新しい情報がアップロードされます。エージェント接続は、デバイスがオンラインの場合通常は 15 分以内に発生します。

デバイスが 1 つ以上のアプリケーションポリシーで定義されている要件を満たしているかどうかを監視するには、この条件を有効にします。現在アクティブな、デバイス適合性ポリシーと同じグループに割り当てられている必須アプリケーションポリシーまたは Application Resilience ポリシーをこの条件に含めることができます。

  • デバイスが、この条件に含めたすべてのアプリケーションポリシーで定義された要件をすべて満たす場合、そのデバイスは適合と見なされます。例えば、2 つの必須アプリケーションポリシーと 1 つの Application Resilience ポリシーを含めた場合、デバイスが適合と報告されるには、これら 3 つのポリシーすべての要件をもれなく満たす必要があります。

  • この条件に含めたアプリケーションポリシーで定義された要件のいずれかを満たしていない場合、そのデバイスは不適合と見なされます。この場合、デバイスの適合性の詳細フィールドで、デバイスが満たしていない具体的なポリシーと要件を特定して、不適合となった理由をすぐに判断することができます。

この条件を有効にすると、適格なアプリケーションポリシーのリストが選択可能になります。

アクティブであり、デバイス適合性ポリシーと同じグループに割り当てられているアプリケーションポリシーのみが表示されます。ポリシーグループへの割り当て後、必須アプリケーションポリシーを選択できるようになるまで、最大 2 分間かかる場合があります。

このエリアでは、以下の操作を実行できます。

  • アプリケーション名、アプリケーションバージョン要件、またはポリシー名で特定のポリシーを検索します。

  • それぞれのチェックボックスを選択またはクリアすることで、個々のアプリケーションポリシーを含める、または削除します。

  • すべてのアプリケーションポリシーを含めるチェックボックスを選択することで、現在および将来の適格なアプリケーションポリシーをすべて含めることができます。このオプションを選択すると、必須アプリケーションポリシーまたは Application Resilience ポリシーが新しく作成され、デバイス適合性ポリシーと同じグループに割り当てられるたびに、自動的に適合性評価の対象に含まれるようになります。

    条件に含めたアプリケーションポリシーを変更した場合、更新された要件に基づいてデバイスの適合性が自動的に再計算されます。同様に、アプリケーションポリシーが無効化された、削除された、またはポリシーグループから削除された場合、デバイスの適合性計算の対象ではなくなります。アプリケーションポリシーへの変更が計算に反映されるようになるまで、最大 2 分間かかる場合があります。

各デバイスの Secure Endpoint Agent は、次のアプリケーション関連スキャンを実行します。

  • 必須アプリケーションポリシーでは、エージェントが 5 分ごとにスキャンを実行します。変更が検出された場合、次の 15 分以内にペイロードがアップロードされます。さらに、フルスキャンと結果のアップロードが毎週行われます。

  • Application Resilience ポリシーの場合、エージェントは 15 分ごとにアプリケーションのステータスを確認し、結果は 6 時間ごとにデータベースにアップロードされます。アプリケーションの健全性ステータスが変化すると、直ちに追加のアップロードが行われます。

ポリシーに含まれるデバイスの適合性ステータスを判断できない場合、そのデバイスを「適合」と見なすには、「不明」ステータスを適合とみなすオプションを有効にします。これは、Secure Endpoint Agent がデバイス上で必要なデータポイント (地理位置情報や暗号化状態) を収集または更新できず、「不明」ステータスを報告する場合に発生します。

デバイス適合性ポリシーをアクティブ化した後、エージェントは該当するポリシーグループに関連するデバイスから、適合性に関連する情報の収集を開始します。ポリシーを展開して各デバイスで実行するには 1 日かかります。その後、ポリシーグループのデバイスページで、収集したステータス情報を表示できるようになります。また、以下のようなその他のページやレポートに、適合性に関連する列を追加することもできます (デバイスの適合性ステータスデバイス適合性の詳細、およびデバイス適合性の最終更新日)。

加えて、各デバイスのデバイス詳細ページで、それぞれの詳細な適合性関連の情報を表示できます。

  • 適合性ステータスは、ページ上部のセキュリティ管理エリアに一覧表示されます。

  • 適合性関連イベント (例えば、デバイスの適合性ステータスが変更したとき) は、履歴ページに一覧表示されます。

適合性関連イベントは、履歴エリアのイベントページでも確認できます。

  • 適合性関連イベントそれぞれの詳細は、クリックすると右側に表示されます。