認証

説明 ポリシー設定

アクセス

注: この設定は、バージョン 6.1 より前の SafeGuard

Enterprise がインストールされているエンドポイントの

ユーザーは内部ハードディスク のみから起動できる

みで使用できます。外部メディアを使ったエンドポイン トの起動をユーザーに許可することで復旧を実行しまし た。バージョン 6.1 以降がインストールされているエン ドポイントは、この設定は無視されます。複雑な障害が 発生した際の復旧には、仮想クライアントを使用した復 旧を使用できます。詳細は、仮想クライアントを使用し たチャレンジ/レスポンス (p. 256) を参照してください。

ユーザーがハード ドライブと別のメディアの両方また は一方からコンピュータを起動できるどうかを指定しま す。

はい:ユーザーはハードディスクのみから起動できます。

SafeGuard POA には、フロッピー ディスクまたは他の外 部メディアからコンピュータを起動するオプションは表 示されません。

いいえ:ユーザーはハード ディスク、フロッピー ディス

ク、または外部メディア (USB、CD など) からコンピュー タを起動できます。

ログオン オプション

SafeGuard POA でユーザーが自身を認証する方法を指定 します。

ログオン モード

■ ユーザー ID/パスワード

ユーザーは、ユーザー名とパスワードを入力してロ グオンする必要があります。

■ トークン

ユーザーはトークンまたはスマートカードを使用し てのみ、SafeGuard POA でログオンできます。この処 理では、より高度なセキュリティが実現されます。

ユーザーはログオン時にトークンの挿入を求められ ます。ユーザーの ID は、トークンの所有と PIN の提 示によって確認されます。ユーザーが正しい PIN を 入力すると、ユーザー ログオン データが SafeGuard Enterprise によって自動的に読み込まれます。

説明 ポリシー設定

注:このログオン プロセスを選択すると、ユーザーは既 存の発行されたトークンを使用してのみログオンできま す。

「ユーザー ID/パスワード」と「トークン」の設定を組 み合わせることも可能です。トークンを使用したログオ ンが機能するかどうかをテストするには、まず両方の設 定を選択します。トークンを使用した認証が成功した場 合のみ、「ユーザー ID/パスワード」ログオン モードを 選択から外します。また、トークンを使用したログオン で Local Self Help を許可するには、両方の設定を組み合 わせる必要があります。

■ 指紋

この設定を選択して、Lenovo 指紋リーダーによるロ グオンを有効にします。このポリシーをユーザーに 適用すると、指紋またはユーザー名とパスワードを 使用してログオンできるようになります。この手順 では、最高レベルのセキュリティが提供されます。

ログオン時に、ユーザーは指紋リーダーに指を通し ます。指紋の認識に成功すると、SafeGuard Power-on Authentication プロセスがユーザーのログオン情報を 読み取り、ユーザーは Power-on Authentication にロ グオンします。その後、システムによってログオン

情報がWindows に転送され、ユーザーがコンピュー

タにログオンします。

注:このログオン手順を選択した場合、ユーザーは事 前に登録された指紋によるか、ユーザー名とパスワー ドによってのみログオンできます。同じコンピュー タ上でトークンと指紋ログオン手順を組み合わせて 使用することはできません。

ユーザーのエンドポイントで使用するトークンまたはス マートカードの種類を決定します。

トークンを使用したログオンの オプション

■ 非暗号化:

SafeGuard POA およびWindows でのユーザー ログオ ン情報に基づいた認証。

■ Kerberos:

SafeGuard POA およびWindows での証明書ベースの 認証。

管理対象エンドポイントの場合、セキュリティ担当 者は、PKI の証明書を発行し、トークンに保存しま す。この証明書はユーザー ログオン情報として

説明 ポリシー設定

SafeGuard Enterprise データベースにインポートされ ます。データベースに自動生成された証明書がすで に存在する場合、インポートされた証明書によって 置き換えられます。暗号化トークンを管理対象外の エンドポイントで使用することはできません。

■ 注: Kerberos トークンを使用する場合、ログオン復旧

に Local Self Help やチャレンジ/レスポンスを使用す ることはできません。仮想クライアントを使用した チャレンジ/レスポンスのみを使用できます。これで ユーザーは、エンドポイント上の暗号化されたボ リュームに再度アクセスすることができるようにな ります。

デフォルト PIN を指定し、ユーザーがトークンまたはス マートカードを使用して SafeGuard Power-on

トークンによる自動ログオンに 使用される PIN

Authentication で自動的にログオンできるようにします。

ユーザーはログオン時にトークンの挿入を求められ、そ の後 SafeGuard Power-on Authentication をパス スルーし ます。Windows が起動します。

PIN ルールを遵守する必要はありません。

注:

■ このオプションは、「トークン」が「ログオン モー ド」として選択されている場合のみに使用できます。

■ このオプションを選択した場合は、「Windows への パス スルー」を「Windows へのパススルーを無効に する」に設定する必要があります。

「はい」に設定すると、SafeGuard POA およびWindows でのログオン後に、前回の失敗したログオン (ユーザー このユーザーの失敗したログオ

ンを表示する

名/日付/時刻) についての情報を含むダイアログを表示 します。

「はい」に設定すると、SafeGuard POA およびWindows でのログオン後に、以下についての情報を含むダイアロ グを表示します。

前回のユーザーログオンを表示 する

■ 前回の成功したログオン (ユーザー名/日付/時刻)

■ 前回ログオンしたユーザーのユーザー ログオン情報

注: この設定はWindows XP 環境のエンドポイントのみ に適用されます。SafeGuard Enterprise 6.1 から、Windows ワークステーション ロックで

「強制ログオフ」を無効化する

説明 ポリシー設定

XP はサポートしていません。このポリシー設定は、

SafeGuard Enterprise 6 クライアントを 6.1 Management Center で管理するため、引き続き SafeGuard Management Center に表示されます。

ユーザーが短期間だけエンドポイントから離れる場合 は、「ワークステーションのブロック」をクリックし て、他のユーザーに対してコンピュータをロックできま す。ロックは、ユーザー パスワードを入力することで 解除できます。いいえ:コンピュータをロックしたユー ザーと、管理者がロックを解除できます。管理者がコン ピュータのロックを解除すると、現在ログオンしている ユーザーは自動的にログオフされます。はい:この動作 が変更されます。この場合は、ユーザーのみがコン ピュータのロックを解除できます。管理者はロックを解 除できず、ユーザーが自動的にログオフされることはあ りません。

はい:SafeGuard POA は、前回ログオンしたユーザーの

ユーザー名およびドメインを保存します。したがって、

ユーザー/ドメインの事前設定を アクティブにする

ユーザーは、ログオンするごとにユーザー名を入力する 必要がありません。

いいえ:SafeGuard POA は、前回ログオンしたユーザーの ユーザー名およびドメインを保存しません。

SafeGuard Enterprise で保護されたエンドポイントで管理 上の処理を実行した結果、Power-on Authentication がア サービス アカウントのリスト

クティブ化され、導入担当者がユーザーとしてエンドポ イントに追加されてしまうことを防止するために、

SafeGuard Enterprise では、SafeGuard Enterprise エンドポ イント向けにWindows ログオン用のサービス アカウン トのリストを作成することができます。リストに含まれ るユーザーは SafeGuard Enterprise ゲスト ユーザーとし て扱われます。

ここでリストを選択する前に、「ポリシー」ペインの

「サービス アカウントのリスト」でリストを作成する 必要があります。

注:自分のコンピュータにアクセスする権限を他のユー ザーに付与できるユーザーには、Windows へのログオン パススルーを無効にできることが必要です。

Windows へのパス スルー

■ ユーザーに自由な選択を許可する

ユーザーは、SafeGuard POA のログオン ダイアログ でこのオプションを選択または選択解除して、

説明 ポリシー設定

Windows への自動ログオンを実行するかどうかを決 定できます。

■ Windows へのパス スルーを無効にする

SafeGuard POA へのログオン後、Windows のログオン ダイアログが表示されます。ユーザーはWindows に 手動でログオンする必要があります。

■ Windows へのパス スルーを強制する

ユーザーは常にWindows に自動的にログオンしま す。

BitLocker オプション

BitLocker ログオン モードで使用できるオプションは次

のとおりです。

BitLocker ログオン モード

■ TPM:ログオン鍵は TPM チップに格納されます。

■ TPM + PIN:ログオン鍵は TPM チップに格納され、ロ グオンに PIN も要求されます。PIN の設定は「PIN およびパスワード」にあります。

■ USB メモリ:ログオン鍵は USB メモリに格納されま

す。

■ TPM および USB メモリ:ログオン鍵は TPM チップお

よび USB メモリに格納されます。ログオンは TPM

チップまたは USB メモリを使用して行えます。

注: 「TPM および PIN」、「TPM および USB メモ リ」、または「USB メモリ」ログオンモードを使用 するには、Active Directory またはローカルコンピュー タのグループ ポリシーで、「スタートアップ時に追 加の認証を要求する」を有効にしてください。「ロー カル グループ ポリシー エディター」(gpedit.msc) で、

「グループ ポリシー」の場所は、以下のとおりで す。「ローカル コンピュータ ポリシー - コンピュー タの構成 - 管理用テンプレート - Windows コンポー ネント - BitLocker ドライブ暗号化 - オペレーティン グ システム ドライブ」

「USB メモリ」を使用する場合は、グループポリシー で、追加で「互換性のある TPM が装備されていない BitLocker を許可する」も有効にしてください。

ログオンが失敗した場合に、SafeGuard Enterprise は、

フォールバック メカニズムとして USB メモリを使用し BitLocker 代替ログオン モード