このページでは、製品管理の拡張ファイルを削除したときに、ポリシーとクライアント タスク データを削除するか どうかを指定します。
表 16-1 オプションの定義 オプション 定義 ポリシーとタスクの 保存期間
製品管理の拡張ファイルを削除したときに、ポリシーとクライアント タスク データを削除す るかどうかを指定します。オプションは次のとおりです。
• [ポリシーとクライアント タスク データを保持する]
• [ポリシーとクライアント タスク データを削除する] - デフォルトでは、ポリシーとクラ イアント タスク データが削除されます。
ポリシー割り当てルール
ポリシー割り当てルールにより、システム ツリーに対する汎用的なポリシーが保持できるので、個々のユーザーまた は特定の条件を満たすシステムに複数のポリシーを設定している場合の管理作業が軽減されます。
このようにポリシー割り当てを設定すると、システム ツリー内で継承を無効にするインスタンスを制限し、特定のユ ーザーまたはシステムが必要とするポリシーを設定できます。ポリシーは、ユーザー別またはシステム別の条件に従 って割り当てることができます。
• ユーザー別のポリシー - 1 つ以上のユーザー固有の条件を含むポリシー。たとえば、エンジニアリング グルー プのすべてのユーザーに対して施行するポリシー割り当てルールを作成します。このとき、エンジニアリング ネ ットワークの任意のコンピューターにログオンし、ネットワーク内の特定のシステムでトラブルシューティング ができるように、IT 部門のメンバーに別のポリシー割り当てルールを作成することもできます。ユーザー別のポ リシーには、システム別の条件を追加することもできます。
• システム別のポリシー - システム別の条件のみを含むポリシー。たとえば、適用したタグに従ってネットワーク 内のすべてのサーバーに施行するポリシー割り当てルールを作成することも、システム ツリーの特定の場所にあ るすべてのシステムに施行するルールを作成できます。システム別のポリシーにユーザー別の条件を追加するこ とはできません。
ポリシー割り当てルールの優先度
ポリシー割り当てルールには優先度を設定できます。これにより、ポリシー割り当ての管理を簡単に行うことができ ます。ルールに優先度を設定すると、優先度の高い割り当てが先に施行されます。
その結果、一部のルール設定が無効になる場合があります。たとえば、システムにルール A とルール B という 2 つ のポリシー割り当てルールが設定されているとします。ルール A は優先度がレベル 1 で、インターネット コンテン ツに対する無制限のアクセスをシステムに許可します。ルール B の優先度はレベル 2 で、インターネット コンテン ツに対して非常に厳しい制限が設定されています。この場合、優先度が高い A が施行されます。この結果、システム にはインターネット コンテンツに対する無制限なアクセス権が付与されます。
ポリシー割り当てルールの優先度とマルチスロット ポリシー
マルチスロット ポリシーでは、ルールの優先度は考慮されません。同じ製品カテゴリのマルチスロット ポリシーを 含む 1 つのルールが適用されると、マルチスロット ポリシーのすべての設定が組み合わされます。同様に、適用さ れた複数のルールにマルチスロット ポリシー設定が含まれていると、それぞれのマルチスロット ポリシーの設定が すべて組み合わされます。その結果、各ルールを組み合わせたポリシーが適用されます。
マルチスロット ポリシーを集計する場合、同じ種類のマルチスロット ポリシーだけが集計されます。ただし、ポリ シー割り当てルールで割り当てられたマルチスロット ポリシーは、システム ツリーで割り当てられたマルチスロッ ト ポリシーと一緒に集計されません。ポリシー割り当てルールで割り当てたマルチスロット ポリシーは、システム ツリーのポリシーを上書きします。また、ユーザー別のポリシーは、システム別のポリシーよりも優先度が高くなり ます。
シナリオ:マルチスロット ポリシーによるインターネット アクセスの制御
システム ツリーに「Engineering」という名前のグループがあり、このグループに「IsServer」または「IsLaptop」
というタグを持つシステムが存在します。システム ツリーで、ポリシー A をこのグループのすべてのシステムに割 り当てます。ポリシー割り当てルールを使用して、システム ツリーで Engineering グループより上の任意の場所に ポリシー B を割り当てると、ポリシー A の設定が上書きされ、「IsLaptop」というタグを持つシステムにインター ネット アクセスが許可されます。システム ツリーで Engineering グループより上のグループにポリシー C を割り 当てると、管理者ユーザー グループのユーザーにインターネット アクセスが許可されます。Engineering グループ で「IsServer」というタグを持つシステムへのアクセスも許可されます。
ポリシーの 種類
割り当ての種類 ポリ シー 名
ポリシー設定
全般ポリシ ー
システム ツリーに割 り当てたポリシー
A ポリシーが割り当てられているシステムにインターネット アクセス を許可しません。
システム別 ポリシー割り当てル ール
B 「IsLaptop」というタグを持つシステムからインターネット アクセス を許可します。
システム別 ポリシー割り当てル ール
C すべてのシステムの管理者ユーザー グループのユーザーに、制限付き のインターネット アクセスを許可します。
ユーザー別 ポリシー割り当てル ール
C すべてのシステムの管理者ユーザー グループのユーザーに、制限付き のインターネット アクセスを許可します。
集計したポリシーによる Active Directory オブジェクトの実行
マルチスロット ポリシーから構成されるルールは、優先度に関係なく、割り当て済みのシステムに適用されるため、
一部のインスタンスでポリシー設定の集計を禁止する必要があります。ルールを作成するときにユーザー (またはグ ループや組織単位などの Active Directory オブジェクト) を除外すると、複数のポリシー割り当てルール間でユー ザー別のマルチスロットポリシーの設定の集計を回避できます。ポリシー割り当てルールで使用できるマルチスロ ット ポリシーについては、該当する管理対象製品のマニュアルを参照してください。
ユーザー別ポリシー割り当て
ユーザー別のポリシー割り当てルールを使用すると、ユーザー固有のポリシー割り当てを作成できます。
これらの割り当ては、ユーザーが対象システムにログオンしたときに施行されます。
ユーザーが管理対象のシステムに最初にログオンしたときに、McAfee Agent が割り当て済みのサーバーに接続し、ユ ーザー固有のポリシー割り当てを取得するまで若干時間がかかる場合があります。 この間、ユーザーはデフォルトの コンピューター ポリシー (通常は最も安全なポリシー) で許可された機能しか実行できません。
管理対象システムでは、エージェントが、ネットワークにログオンしたユーザーの記録を保持します。 ユーザーに作 成したポリシー割り当ては、ユーザーがログオンしたシステムに送信され、エージェントとサーバーが通信を行って いる間、キャッシュに格納されています。 McAfee ePO サーバーは、各ユーザーに割り当てられたポリシーを適用
システム別のポリシー割り当て
システム別ポリシーを使用すると、システム別の条件を使用してシステムにポリシーを割り当てることができます。
システム別ポリシーは、次の 2 種類のシステム別条件を使用して割り当てることができます。
• システム ツリーの場所 - すべてのポリシー割り当てルールで、システム ツリーの場所を指定する必要がありま す。
• タグ - 適用したタグに従ってシステムにポリシーを割り当てます。
タグを定義してシステムに割り当てると、ポリシー割り当てるルールを作成して、そのタグを持つシステムにポリシ ーを割てることができます。この機能は、システム ツリーの場所に関係なく、特定のタイプのすべてのシステムに同 じセキュリティ ポリシーを割り当てる場合に有効です。
タグによるシステム別ポリシーの割り当て
タグを使用すると、ポリシーの割り当てを簡単に自動化できます。
システム別ポリシーは、ポリシー割り当てビルダーで定義した選択条件に従って割り当てられます。タグを設定でき るシステムでは、そのタグに従って特定のポリシーを適用することができます。
シナリオ: タグによる新しい SuperAgent の作成
環境内で新しい SuperAgent を作成するときに、SuperAgent を配備するシステムをシステム ツリーから手動で特 定する時間がないとします。タグ ビルダーで isSuperAgent という新しいタグを作成し、特定の条件を満たすすべ てのシステムにタグを設定することができます。タグを作成すると、ポリシー割り当てルールを作成し、
isSuperAgent というタグが設定されたシステムに SuperAgent ポリシー設定を適用することができます。
タグを作成すると、[タグ カタログ] ページで タグ条件の実行アクションを実行できます。これにより、一定の間隔 で新しいタグを持つシステムに接続し、isSuperAgent ポリシー割り当てルールに従って新しいポリシーを割り当て ることができます。
ポリシー割り当てルールを作成する
ポリシー割り当てルールを作成すると、設定したルールの条件に従ってユーザーまたはシステムにポリシーを施行で きます。
オプションの定義の場合、インターフェースで [?] をクリックします。
タスク
1 [ポリシー割り当てビルダー] を開きます。
a [メニュー] 、 [ポリシー] 、 [ポリシー割り当てルール] の順にクリックします。
b [新しい割り当てルール] をクリックします。
2 このポリシー割り当てルールの詳細を指定します。
• [名前] に固有の名前を入力し、[説明] に説明を入力します。
• [ルール タイプ] にルールの種類を入力します。指定したタイプによって、[選択条件] ページで使用できる条 件が決まります。
デフォルトでは、既存のルール数に従って新しいポリシー割り当てルールの優先度が順番に割り当てられます。ル ールの作成後、[ポリシー割り当てルール] ページで [優先度を編集] をクリックすると、優先度を編集できます。
3 [次へ] をクリックします。
4 [ポリシーの追加] をクリックして、このポリシー割り当てルールで施行するポリシーを選択します。
5 [次へ] をクリックします。