このページでは、製品管理の拡張ファイルを削除したときに、ポリシーとクライアント タスク データを削除するか どうかを指定します。
表 15-1 オプションの定義 オプション 定義 ポリシーとタスクの 保存期間
製品管理の拡張ファイルを削除したときに、ポリシーとクライアント タスク データを削除す るかどうかを指定します。オプションは次のとおりです。
• [ポリシーとクライアント タスク データを保持する]
• [ポリシーとクライアント タスク データを削除する] - デフォルトでは、ポリシーとクラ イアント タスク データが削除されます。
ポリシー割り当てルール
ポリシー割り当てルールにより、システム ツリーに対する汎用的なポリシーが保持できるので、個々のユーザーまた は特定の条件を満たすシステムに複数のポリシーを設定している場合の管理作業が軽減されます。
このようにポリシー割り当てを設定すると、システム ツリー内で継承を無効にするインスタンスを制限し、特定のユ ーザーまたはシステムが必要とするポリシーを設定できます。ポリシーは、ユーザー別またはシステム別の条件に従 って割り当てることができます。
• ユーザー別のポリシー - 1 つ以上のユーザー固有の条件を含むポリシー。たとえば、エンジニアリング グルー プのすべてのユーザーに対して施行するポリシー割り当てルールを作成します。このとき、エンジニアリング ネ ットワークの任意のコンピューターにログオンし、ネットワーク内の特定のシステムでトラブルシューティング ができるように、IT 部門のメンバーに別のポリシー割り当てルールを作成することもできます。ユーザー別のポ リシーには、システム別の条件を追加することもできます。
• システム別のポリシー - システム別の条件のみを含むポリシー。たとえば、適用したタグに従ってネットワーク 内のすべてのサーバーに施行するポリシー割り当てルールを作成することも、システム ツリーの特定の場所にあ るすべてのシステムに施行するルールを作成できます。システム別のポリシーにユーザー別の条件を追加するこ とはできません。
ポリシー割り当てルールの優先度
ポリシー割り当てルールには優先度を設定できます。これにより、ポリシー割り当ての管理を簡単に行うことができ ます。ルールに優先度を設定すると、優先度の高い割り当てが先に施行されます。
その結果、一部のルール設定が無効になる場合があります。たとえば、ユーザーまたはシステムにルール A とルー ル B という 2 つのポリシー割り当てルールが設定されているとします。ルール A は優先度がレベル 1 で、該当する ユーザーにシステム ツリーに対する権限が無制限に許可されています。ルール B の優先度はレベル 2 で、インター ネット コンテンツに対して同じユーザー アカウントに非常に厳しい制限が設定されています。この場合、優先度が 高い A が施行されます。この結果、ユーザーにはインターネット コンテンツに対する無制限なアクセス権が付与さ れます。
ポリシー割り当てルールの優先度とマルチスロット ポリシー
マルチスロット ポリシーでは、ルールの優先度は考慮されません。同じ製品カテゴリのマルチスロット ポリシーを 含む 1 つのルールが適用されると、マルチスロット ポリシーのすべての設定が組み合わされます。同様に、適用さ れた複数のルールにマルチスロット ポリシー設定が含まれていると、それぞれのマルチスロット ポリシーの設定が すべて組み合わされます。その結果、各ルールを組み合わせたポリシーが適用されます。
マルチスロット ポリシーを集計する場合、同じ種類 (ユーザー別またはシステム別) のマルチスロット ポリシーだけ が集計されます。ただし、ポリシー割り当てルールで割り当てられたマルチスロット ポリシーは、システム ツリー で割り当てられたマルチスロット ポリシーと一緒に集計されません。ポリシー割り当てルールで割り当てたマルチ スロット ポリシーは、システムツリーのポリシーを上書きします。また、ユーザー別のポリシーは、システム別のポ リシーよりも優先度が高くなります。次のシナリオについて考えてみましょう。
ポリシーの 種類
割り当ての種類 ポリシ ー名
ポリシー設定 全般ポリシ
ー
システム ツリーに割り 当てたポリシー
A ポリシーが割り当てられているシステムにインターネット アクセ スを許可しません。
システム別 ポリシー割り当てルー ル
B 「IsLaptop」というタグを持つシステムからインターネット アクセ スを許可します。
ユーザー別 ポリシー割り当てルー ル
C すべてのシステムの管理者ユーザー グループのユーザーに制限付 きのインターネット アクセスを許可します。
シナリオ:マルチスロット ポリシーによるインターネット アクセスの制御
システム ツリーに「Engineering」という名前のグループがあり、このグループに「IsServer」または「IsLaptop」
というタグを持つシステムが存在します。システム ツリーで、ポリシー A をこのグループのすべてのシステムに割 り当てます。ポリシー割り当てルールを使用して、システム ツリーで Engineering グループより上の任意の場所に ポリシー B を割り当てると、ポリシー A の設定が上書きされ、「IsLaptop」というタグを持つシステムにインター ネット アクセスが許可されます。システム ツリーで Engineering グループより上のグループにポリシー C を割り 当てると、管理者ユーザー グループのユーザーにインターネット アクセスが許可されます。Engineering グループ で「IsServer」というタグを持つシステムへのアクセスも許可されます。
集計したポリシーによる Active Directory オブジェクトの実行
マルチスロット ポリシーから構成されるルールは、優先度に関係なく、割り当て済みのシステムに適用されるため、
一部のインスタンスでポリシー設定の集計を禁止する必要があります。ルールを作成するときにユーザー (またはグ ループや組織単位などの Active Directory オブジェクト) を除外すると、複数のポリシー割り当てルール間でユー ザー別のマルチスロット ポリシーの設定の集計を回避できます。ポリシー割り当てルールで使用できるマルチスロ ット ポリシーについては、該当する管理対象製品のマニュアルを参照してください。
ユーザー別のポリシー割り当て
ユーザー別のポリシー割り当てルールを使用すると、ユーザー固有のポリシー割り当てを作成できます。
これらの割り当ては、ユーザーが対象システムにログオンしたときに施行されます。
管理対象システムでは、エージェントが、ネットワークにログオンしたユーザーの記録を保持します。ユーザーに作 成したポリシー割り当ては、ユーザーがログオンしたシステムに送信され、エージェントとサーバーが通信を行って いる間、キャッシュに格納されています。McAfee ePO は、各ユーザーに割り当てられたポリシーを適用します。
ユーザーが管理対象のシステムに最初にログオンしたときに、McAfee Agent が割り当て済みのサーバーに接続し、ユ ーザー固有のポリシー割り当てを取得するまで若干時間がかかる場合があります。この間、ユーザーはデフォルトのコ ンピューターポリシー (通常は最も安全なポリシー) で許可された機能しか実行できません。
ユーザー別のポリシー割り当てを使用するには、McAfee ePO サーバーで使用する LDAP サーバーを登録し、設定す る必要があります。
古いポリシー割り当てルールの移行
バージョン 4.5 の McAfee ePO サーバーで作成したポリシー割り当てルールは、デフォルトではユーザー別になり ます。ユーザー別の条件を指定せずに古いポリシー割り当てルールを移行すると、このルールはユーザー別と評価さ れます。ただし、新しいユーザー別ポリシー割り当てルールを作成する場合には、1 つ以上のユーザー別条件を指定 する必要があります。
移行した古いユーザー別ポリシー割り当てルールを適用すると、McAfee ePO サーバーは各エージェント/サーバー間 通信間隔で LDAP サーバーを参照し、ネットワーク内の管理対象システムを検索します。
システム別のポリシー割り当て
システム別ポリシーを使用すると、システム別の条件を使用してシステムにポリシーを割り当てることができます。
システム別ポリシーは、次の 2 種類のシステム別条件を使用して割り当てることができます。
• システム ツリーの場所 - すべてのポリシー割り当てルールで、システム ツリーの場所を指定する必要がありま す。
• タグ - 適用したタグに従ってシステムにポリシーを割り当てます。
タグを定義してシステムに割り当てると、ポリシー割り当てるルールを作成して、そのタグを持つシステムにポリシ ーを割てることができます。この機能は、システム ツリーの場所に関係なく、特定のタイプのすべてのシステムに同 じセキュリティ ポリシーを割り当てる場合に有効です。
タグによるシステム別ポリシーの割り当て
タグを使用すると、ポリシーの割り当てを簡単に自動化できます。
タグを条件として指定するシステム別ポリシーは、ユーザー別ポリシーと同じように機能します。このポリシーは、
[ポリシー割り当てビルダー] で定義した選択条件に従って割り当てられます。タグを設定できるシステムでは、その タグに従って特定のポリシーを適用することができます。
シナリオ: タグによる新しい SuperAgent の作成
環境内で新しい SuperAgent を作成するときに、SuperAgent を配備するシステムをシステム ツリーから手動で特 定する時間がないとします。[タグ ビルダー] で isSuperAgent という新しいタグを作成し、特定の条件を満たすす べてのシステムにタグを設定することができます。タグを作成すると、ポリシー割り当てルールを作成し、
isSuperAgent というタグが設定されたシステムに SuperAgent ポリシー設定を適用することができます。
タグを作成すると、[タグ カタログ] ページで [タグ条件の実行] アクションを実行できます。これにより、一定の間 隔で新しいタグを持つシステムに接続し、isSuperAgent ポリシー割り当てルールに従って新しいポリシーを割り当 てることができます。
ポリシー割り当てルールを作成する
ポリシー割り当てルールを作成すると、設定したルールの条件に従ってユーザーまたはシステムにポリシーを施行で きます。
オプションの定義の場合、インターフェースで [?] をクリックします。
タスク
1 [ポリシー割り当てビルダー] を開きます。
a [メニュー] 、 [ポリシー] 、 [ポリシー割り当てルール] の順にクリックします。
b [新しい割り当てルール] をクリックします。