デバイス適合性ポリシーの紹介

デバイス適合性ポリシーは、Windows および Mac デバイスから収集されたデータを使用して、設定した条件に基づいてその適合状態を判断します。収集された情報は、レポートおよびデバイス詳細ページに表示され、デバイスの適合性ステータスを、非適合の場合はその理由を含めて監視するために使用できます。この情報を取得することで、以下が行えます:

  • デバイスの適合性に関連する主要業績評価指数 (KPI) を追跡する

  • 非適合となったデバイスの是正措置を開始する

  • デバイスにリスクがある、異常がある、またはお客様の組織の要件に適合していない場合に、会社のネットワークへのアクセスを阻止する

デバイス適合性ポリシーは、Windows または macOS オペレーティングシステムの対応バージョンを実行しているデバイスに適用されます。最新のデバイス適合性ステータス情報をコンソールで表示するには、各デバイスの Secure Endpoint Agent が Absolute モニタリングセンターに定期的に接続している必要があります。

デフォルトでは、グローバルポリシーグループおよびすべてのカスタムポリシーグループには事前定義されたデバイス適合性ポリシーが含まれ、このポリシーは非アクティブに設定されています。ポリシーはグローバルポリシーグループでアクティブ化できますが、ベストプラクティスは、カスタムポリシーグループを作成し、各ポリシーグループのデバイス適合性ポリシーを必要に応じてアクティブ化することです。

デバイス適合性ポリシーに含まれるデバイスが「適合」と見なされるには、設定したすべての条件を満たす必要があります。適合性は、以下のいずれかの条件を使用して判断できます。これらの条件は、Secure Endpoint Agent がデバイスで定期的に監視するデータポイントに基づきます。

ポリシーに含まれるデバイスが、1 つ以上のアンチマルウェアアプリケーションによって保護されているかどうかを監視するには、この条件を有効にします。

  • 少なくとも 1 つのアンチマルウェアアプリケーションがデバイスでアクティブである場合、デバイスは適合性と報告されます。

  • すべてのアンチマルウェアアプリケーションが非アクティブまたは無効、または検出されない場合、デバイスは非適合と報告されます。

  • Secure Endpoint Agent がデバイスのアンチマルウェアステータスを判断できない場合、不明と報告されます。

各デバイスの Secure Endpoint Agent は、1 時間ごとにアンチマルウェアスキャンを実施します。変更が検出されると、デバイスの次回のエージェント接続の際に新しいアンチマルウェア情報がアップロードされます。エージェント接続は、デバイスがオンラインの場合通常は 15 分以内に発生します。

アンチマルウェア条件は、デバイス適合性ポリシーでデフォルトで有効になっていますが、必要に応じて無効化できます。

ポリシーに含まれるデバイスが、システムドライブに保存されているデータを保護するために暗号化を使用しているかどうかを監視するには、この条件を有効にします。

  • デバイスの暗号化ステータスが「暗号化済み」と報告される (システムドライブが完全に暗号化されていることを意味します) と、適合と見なされます。

  • デバイスの暗号化ステータスが「未暗号化」、「未検出」、または「復号が進行中」と報告されると、非適合と見なされます。

ポリシーに含まれる Windows デバイスでは、以下のいずれかの暗号化ステータスが報告された場合にデバイスを「適合」と見なすオプションもあります。

  • 一時停止 (BitLocker のみ): Secure Endpoint Agent は、多くの場合システムアップデート、ファームウェアアップグレード、またはその他のシステム変更を原因として、デバイスで暗号化が一時的に無効化された場合にこのステータスを報告します。

  • 暗号化が進行中: Secure Endpoint Agent は、システムドライブの暗号化が処理されている場合にこのステータスを報告します。

  • 使用領域が暗号化済み: Secure Endpoint Agent は、データを含むすべてのディスク領域が暗号化されているが、空き領域は暗号化されていない場合にこのステータスを報告します。

各デバイスの Secure Endpoint Agent は、1時間ごとに暗号化スキャンを実施します。変更が検出されると、デバイスの次回のエージェント接続の際に新しい情報がアップロードされます。エージェント接続は、デバイスがオンラインの場合通常は 15 分以内に発生します。

暗号化条件は、フルディスク暗号化ステータスポリシーが関連するポリシーグループですでにアクティブ化されている場合、デフォルトで有効になっています。このポリシーがすでにアクティブ化されていない場合、暗号化条件を有効にするときに、アクティブ化するよう指示されます。

ポリシーに含まれるデバイスが、位置情報ベースのルールに準拠しているかどうかを監視するには、この条件を有効にします。

Secure Endpoint Agent が報告する位置情報が、以下のオプションで設定したパラメーターに一致している場合、デバイスは適合と見なされます。

  • デバイスが以下のいずれかの位置に存在していること: デバイスが存在することが許可されている都市、州、県、国。必要に応じて複数の位置を入力できます。

  • デバイスが以下のいずれかの位置に存在していないこと: デバイスが存在することが許可されていない都市、州、県、国。必要に応じて複数の位置を入力できます。

Secure Endpoint Agent は、デバイスのプラットフォームの種類に応じて、さまざまな間隔で位置情報を検出およびアップロードします。もっと見る

ジオロケーション条件は、ジオロケーション追跡ポリシーが関連するポリシーグループですでにアクティブ化されている場合のみ有効にできます。このポリシーがすでにアクティブ化されていない場合、ジオロケーション条件を有効にするときに、アクティブ化するよう指示されます。

ポリシーに含まれるデバイスが、特定のオペレーティングシステムおよび/またはオペレーティングシステムのバージョン範囲を実行しているかどうかを監視するには、この条件を有効にします。

Secure Endpoint Agent が報告するオペレーティングシステムが、以下を含む設定したパラメーターに一致している場合、デバイスは適合と見なされます。

  • デバイスが Windows または macOS を実行しているかどうか

  • デバイスが、OS の最小バージョンOS の最大バージョンフィールドで指定した範囲内のバージョンのオペレーティングシステムを実行しているかどうか

各デバイスの Secure Endpoint Agent は、毎日ハードウェアスキャンを実施します。デバイスが再起動されたとき、またはパブリック IP アドレスまたは SSID の変化が検出されたときも、スキャンがトリガーされます。オペレーティングシステムの変更が検出されると、デバイスの次回のエージェント接続の際に新しい情報がアップロードされます。エージェント接続は、デバイスがオンラインの場合通常は 15 分以内に発生します。

ポリシーに含まれるデバイスの適合性ステータスを判断できない場合、そのデバイスを「適合」と見なすには、「不明」ステータスを適合とみなすオプションを有効にします。これは、Secure Endpoint Agent がデバイス上で必要なデータポイント (地理位置情報や暗号化状態) を収集または更新できず、「不明」ステータスを報告する場合に発生します。

デバイス適合性ポリシーをアクティブ化した後、エージェントは該当するポリシーグループに関連するデバイスから、適合性に関連する情報の収集を開始します。ポリシーを展開して各デバイスで実行するには 1 日かかります。その後、ポリシーグループのデバイスページで、収集したステータス情報を表示できるようになります。また、以下のようなその他のページやレポートに、適合性に関連する列を追加することもできます (デバイスの適合性ステータスデバイス適合性の詳細、およびデバイス適合性の最終更新日)。

加えて、各デバイスのデバイス詳細ページで、それぞれの詳細な適合性関連の情報を表示できます。

  • 適合性ステータスは、ページ上部のセキュリティ管理エリアに一覧表示されます。

  • 適合性関連イベント (例えば、デバイスの適合性ステータスが変更したとき) は、履歴ページに一覧表示されます。

適合性関連イベントは、履歴エリアのイベントページでも確認できます。

  • 適合性関連イベントそれぞれの詳細は、クリックすると右側に表示されます。