保護対象サーバーの EMS 暗号化外部メディアポリシー選択されている場合、外部メディアは暗号化されます。Encryption はマシンキーでそのデバイス を保護対象サーバに関連付け、リムーバブルデバイスの所有者 / ユーザーのユーザーローミングキーでデバイスをユーザーに関連付けます。その後でリム ーバルデバイスに追加されるすべてのファイルは、デバイスの接続先のコンピュータに関わらず、これら同じキーで暗号化されます。
メモ:
サーバオペレーティングシステム上の Encryption はユーザー暗号化を共有暗号化に変換しますが、リムーバブルデバイス上では行われません。リム ーバブルデバイス上では、コンピュータに関連付けられているユーザーローミングキーで暗号化が実行されます。
ユーザーがリムーバブルデバイスの暗号化に同意しない場合、デバイスへのユーザーアクセスは、保護対象サーバ上で使用されるときは ブロック、保護対 象サーバ上で使用されるときは 読み取り専用 または 完全アクセス に設定することができます。保護対象サーバーのポリシーは、保護されていないリムー バブルデバイス上でのアクセスレベルを決定します。
リムーバブルデバイスが保護対象の暗号化開始サーバに再挿入されると、ポリシーアップデートが行われます。
認証と外部メディア
保護対象サーバーのポリシーは、認証機能を決定します。
リムーバブルデバイスの暗号化が完了すると、保護対象サーバー上でそのリムーバブルデバイスにアクセスできるのは、そのデバイスの所有者 / ユーザーの みになります。それ以外のユーザーは、そのリムーバブルメディアの暗号化されたファイルにアクセスできなくなります。
ローカル自動認証では、そのメディアの所有者がログインしているときに保護対象リムーバブルストレージが保護対象サーバーに挿入されると、そのメディア を自動認証することが可能になります。自動認証が無効になっている際には、所有者 / ユーザーが保護対象リムーバブルデバイスへのアクセスを認証す る必要があります。
リムーバブルデバイスの暗号化開始コンピュータが保護対象サーバの場合、所有者 / ユーザーは、暗号化を開始したコンピュータ以外のコンピュータ上 でリムーバブルデバイスを使用している際に、その他のコンピュータ上で定義されている Encryption External Media ポリシーに関わらず、常にそのリムー バブルデバイスにログインする必要があります。
Server Encryption のポート制御および Encryption External Media ポリシーの詳細については管理者ヘルプを参照してください。
サーバオペレーティングシステム上の Encryption の中断
暗号化されたサーバーをサスペンドすることで、再起動後のそのサーバーの暗号化されたデータへのアクセスを防ぎます。仮想サーバーのユーザーをサスペ ンドすることはできません。代わりに、暗号化されたサーバのマシンキーがサスペンドされます。
メモ:
サーバーのエンドポイントをサスペンドしても、サーバーはすぐにはサスペンドされません。このサスペンドは、キーが次に要求されたとき(通常はサーバー が次に再起動されたとき)に行われます。
72 サーバオペレーティングシステム上の Encryption の設定
重要:
使用する際は注意が必要です。暗号化されたサーバをサスペンドすると、ポリシー設定、または保護対象サーバがネットワークから切断されているか どうかにより、不安定になることがあります。
前提条件
• エンドポイントをサスペンドするには、管理コンソールで割り当てられたヘルプデスク管理者の権限が必要です。
• 管理者が管理コンソールにログインしている必要があります。
管理コンソールの左ペインで、ポピュレーション > エンドポイント をクリックします。
ホスト名を検索または選択してから、詳細とアクション タブをクリックします。
サーバデバイス制御 の下で、サスペンド、はい の順にクリックします。
メモ:
復帰 をクリックすると、サーバオペレーティングシステムの Encryption は再起動後にサーバ上の暗号化データにアクセスできるようになりま す。
サーバオペレーティングシステム上の Encryption の設定 73
Deferred Activation の設定
Deferred Activation が付属した Encryption クライアントは、2 つの点で Encryption クライアントのアクティベーションと異なります。
デバイスベースの暗号化ポリシー
Encryption クライアントのポリシーはユーザーベースですが、Deferred Activation 付属の Encryption クライアントの暗号化ポリシーはデバイスベースで す。ユーザー暗号化は共有暗号化に変換されます。この違いによって、ユーザーは組織のドメイン内で個人的なデバイスを使用することができます。組 織は暗号化ポリシーを一元管理することでセキュリティを維持します。
アクティベーション
Encryption クライアントでは、アクティベーションは自動で行われます。Deferred Activation が と一緒にインストールされる場合、自動アクティベーション が無効になります。代わりに、ユーザーは暗号化をアクティブ化するかどうか、いつアクティブ化するかを選択できます。
重要:
ユーザーは組織を完全に離れる場合、離れる前の自分の電子メールアドレスがアクティブな間に Encryption 削除エージェントを実行して、自分の 個人用コンピュータから Encryption クライアントをアンインストールする必要があります。
Deferred Activation のカスタマイズ
以下のクライアント側タスクで Deferred Activation をカスタマイズできます。
• アクティブ化の際のログオンダイアログボックスに免責事項を追加する
• 自動再アクティブ化を無効にする(オプション)
アクティブ化の際のログオンダイアログボックスに免責事項を追加する アクティブ化の際のログオンダイアログは次の場合に表示されます。
• 管理対象外のユーザーがロングオンするとき。
• ユーザーが通知領域にある Encryption アイコンのメニューから Dell Encryption のアクティブ化 を選択するとき。
17
74 Deferred Activation の設定