周辺機器コントロールポリシー
周辺機器コントロールを使用すると、Windows および Windows macOS デバイスの周辺機器やリムーバブルメディアへのアクセスを制御できます。エンドポイントの周辺機器の監視、新規および既存の周辺機器へのアクセスのブロック、一部の種類の周辺機器の読み取り専用アクセスの許可、およびその制御から個々の周辺機器を除外することができます。
周辺機器コントロールを設定する
周辺機器コントロールポリシーの設定方法の説明、およびトラブルシューティングに関するアドバイスは、以下の動画を参照してください。
周辺機器コントロールポリシーを作成する
周辺機器のコントロールポリシーを作成するには、Sophos Central の「マイプロダクト > Endpoint > ポリシー」にアクセスします。詳細は、ポリシーの作成/編集を参照してください。
ポリシーがアクティブであることを確認し、「設定」をクリックして周辺機器を管理します。
注
オプションがロックされている場合は、パートナーやエンタープライズ管理者によってグローバル設定が適用されたことを意味します。
周辺機器管理
「周辺機器管理」では、環境内の周辺機器の管理方法を決定できます。次のいずれかのオプションを選択してください。
- 周辺機器コントロールの無効化: 周辺機器コントロールのの無効にします。周辺機器は監視またはブロックされません。
- 監視するがブロックしない (すべての周辺機器が許可されます): 周辺機器の種類の変更に関わらず、すべての周辺機器が許可されます。ソフォスでは、管理下にあるエンドポイントコンピューター上で検出されたすべての周辺機器を監視し、記録しています。
- 周辺機器の種類ごとにアクセスを制御し、除外を設定する: すべての周辺機器に対して実行するアクションを、その種類に基づいて選択します。
デバイスとアクション
ドロップダウンリストを使用して、各周辺機器の種類に対して実行するアクションを選択します。管理可能なデバイスの種類と、各種類で実行できるアクションは次のとおりです。
- Bluetooth: Windows エンドポイント上の Bluetooth デバイスに対して「許可する」または「ブロックする」を選択します。macOS の周辺機器コントロールは、Bluetooth デバイスをブロックまたは制御しません。
- セキュリティ搭載リムーバブルストレージ: 「許可する」、「読み取り専用」、または「ブロックする」を選択します。
- フロッピー ディスク: 「許可する」、「読み取り専用」、または「ブロックする」を選択します。
- 赤外線通信デバイス: 「許可する」または「ブロックする」を選択します。
- モデム: 「許可する」または「ブロックする」を選択します。
- 光学ドライブ: 「許可する」、「読み取り専用」、または「ブロックする」を選択します。
- リムーバブルストレージ: 「許可する」、「読み取り専用」、または「ブロックする」を選択します。
- ワイヤレス: 「許可する」、「ブリッジ接続をブロック」、または「ブロックする」を選択します。「ブリッジ接続をブロック」は 2つのネットワークのブリッジ接続を防止し、ブロック警告やイベントを生成しません。
- MTP/PTP: 「許可する」または「ブロックする」を選択します。このカテゴリには、MTP (メディア転送プロトコル) や PTP (画像転送プロトコル) プロトコルを使用してコンピュータに接続する携帯電話、カメラ、メディアプレーヤーなどが含まれます。
警告
「モデム」や「ワイヤレス」などのネットワーク周辺機器を「 ブロックする」に設定する と、エンドポイントがネットワークにアクセスしたり、Sophos Central ポリシーのアップデートを受信するためにネットワークと通信したりできなくなります。これらの種類を「ブロックする」に設定する前に、承認されているネットワーク周辺機器に対して例外が設定されていることを確認してください。そのように設定されていない場合は、エンドポイントコンピューターに物理的なアクセスする必要があり、ポリシーをオーバーライドしてネットワーク接続を復元する必要があります。
周辺機器の例外
「周辺機器の例外」をクリック して、周辺機器の例外の一覧と詳細をご覧ください。
特定のデバイスに新しい除外を追加したり、制限の少ない制御を適用したりするには、次の手順を実行します。
- 「例外の追加」をクリックします。
- 「周辺機器の例外の追加」ダイアログには、「監視するがブロックしない (すべての周辺機器が許可されます)」に設定されているポリシーによって検出されたすべての周辺機器のリストが表示されます。
- 例外を適用する周辺機器を選択します。
-
「ポリシー」カラムのドロップダウンリストを使用して、検出された周辺機器に対して特定のアクセスポリシーを指定することができます。
注
各周辺機器に対して、その周辺機器の種類に対してより厳しいアクセスポリシーを設定しようとすると、ソフォスは各デバイスの例外設定を無視し、その横に警告アイコンを表示します。
-
「適用元」列で、ドロップダウンメニューを使用して、同じ「機種 ID」または「インスタンス ID」を共有するすべての周辺機器に周辺機器の例外を適用します。
- 「例外の追加」をクリックします。
デスクトップ通知
標準の周辺機器コントロー通知にメッセージを付け加えることができます。メッセージボックスに何も入力しない場合、標準の通知文のみが表示されます。
「デスクトップ通知」は、デフォルトでオンになっています。
注
「デスクトップ通知」を無効にすると、周辺機器コントロールに関する通知メッセージはエンドポイントコンピュータに表示されなくなります。
メッセージボックス内をクリックして、追加するテキストを入力します。