認証

ポリシー設定 説明
アクセス
ユーザーは内部ハード ディスクのみから起動できる
注: この設定は、バージョン 6.1 より前の SafeGuard Enterprise がインストールされているエンドポイントのみで使用できます。外部メディアを使ったエンドポイントの起動をユーザーに許可することで復旧を実行しました。バージョン 6.1 以降がインストールされているエンドポイントは、この設定は無視されます。複雑な障害が発生した際の復旧には、仮想クライアントを使用した復旧を使用できます。詳細は、仮想クライアントを使用したチャレンジ/レスポンスを参照してください。
ユーザーがハード ドライブと別のメディアの両方または一方からコンピュータを起動できるどうかを指定します。

はい: ユーザーはハード ディスクのみから起動できます。SafeGuard POA には、フロッピー ディスクまたは他の外部メディアからコンピュータを起動するオプションは表示されません。

いいえ: ユーザーはハード ディスク、フロッピー ディスク、または外部メディア (USB、CD など) からコンピュータを起動できます。

ログオン オプション
ログオン モード SafeGuard POA でユーザーが自身を認証する方法を指定します。
  • ユーザー ID/パスワード

    ユーザーは、ユーザー名とパスワードを入力してログオンする必要があります。

  • トークン

    ユーザーはトークンまたはスマートカードを使用してのみ、SafeGuard POA でログオンできます。この処理では、より高度なセキュリティが実現されます。ユーザーはログオン時にトークンの挿入を求められます。ユーザーの ID は、トークンの所有と PIN の提示によって確認されます。ユーザーが正しい PIN を入力すると、ユーザー ログオン データが SafeGuard Enterprise によって自動的に読み込まれます。

注: このログオン プロセスを選択すると、ユーザーは既存の発行されたトークンを使用してのみログオンできます。

ユーザー ID/パスワード」と「トークン」の設定を組み合わせることも可能です。トークンを使用したログオンが機能するかどうかをテストするには、まず両方の設定を選択します。トークンを使用した認証が成功した場合のみ、「ユーザー ID/パスワード」ログオン モードを選択から外します。ログオンモードを切り替えるために、2つの設定を組み合わせる間、ユーザーに一度ログオンを許可します。許可しない場合、ログオンのデッドロックが発生する可能性があります。また、トークンを使用したログオンで Local Self Help を許可するには、両方の設定を組み合わせる必要があります。

  • 指紋

    この設定を選択して、Lenovo 指紋リーダーによるログオンを有効にします。このポリシーをユーザーに適用すると、指紋またはユーザー名とパスワードを使用してログオンできるようになります。この手順では、最高レベルのセキュリティが提供されます。ログオン時に、ユーザーは指紋リーダーに指を通します。指紋の認識に成功すると、SafeGuard Power-on Authentication プロセスがユーザーのログオン情報を読み取り、ユーザーは Power-on Authentication にログオンします。その後、システムによってログオン情報が Windows に転送され、ユーザーがコンピュータにログオンします。

    注: このログオン手順を選択した場合、ユーザーは事前に登録された指紋によるか、ユーザー名とパスワードによってのみログオンできます。同じコンピュータ上でトークンと指紋ログオン手順を組み合わせて使用することはできません。
このユーザーの失敗したログオンを表示する はい」に設定した場合: SafeGuard POA と Windows でログオンした後、前回の失敗したログオンについての情報 (ユーザー名/日付/時刻) を含むダイアログが表示されます。
前回のユーザー ログオンを表示する はい」に設定した場合: SafeGuard POA と Windows でログオンした後、以下の情報を含むダイアログが表示されます。
  • 前回の成功したログオン (ユーザー名/日付/時刻)

  • 前回ログオンしたユーザーのユーザー ログオン情報

ワークステーション ロックで「強制ログオフ」を無効化する
注: この設定は Windows XP 環境のエンドポイントのみに適用されます。SafeGuard Enterprise 6.1 から、Windows XP はサポートしていません。このポリシー設定は、SafeGuard Enterprise 6 クライアントを 7.0 Management Center で管理するため、引き続き SafeGuard Management Center に表示されます。
ユーザーが短期間だけエンドポイントから離れる場合は、「ワークステーションのブロック」をクリックして、他のユーザーに対してコンピュータをロックできます。ロックは、ユーザー パスワードを入力することで解除できます。いいえ: コンピュータをロックしたユーザーと、管理者がロックを解除できます。管理者がコンピュータのロックを解除すると、現在ログオンしているユーザーは自動的にログオフされます。はい: この動作が変更されます。この場合は、ユーザーのみがコンピュータのロックを解除できます。管理者はロックを解除できず、ユーザーが自動的にログオフされることはありません。
ユーザー/ドメインの事前設定をアクティブにする はい: SafeGuard POA は、前回ログオンしたユーザーのユーザー名およびドメインを保存します。したがって、ユーザーは、ログオンするごとにユーザー名を入力する必要がありません。

いいえ: SafeGuard POA は、前回ログオンしたユーザーのユーザー名およびドメインを保存しません。

サービス アカウントのリスト SafeGuard Enterprise で保護されたエンドポイントで管理上の処理を実行した結果、Power-on Authentication がアクティブ化され、導入担当者がユーザーとしてエンドポイントに追加されてしまうことを防止するために、SafeGuard Enterprise では、SafeGuard Enterprise エンドポイント向けに Windows ログオン用のサービス アカウントのリストを作成することができます。リストに含まれるユーザーは SafeGuard Enterprise ゲスト ユーザーとして扱われます。

ここでリストを選択する前に、「ポリシー」ペインの「サービス アカウントのリスト」でリストを作成する必要があります。

Windows へのパス スルー
注: 自分のコンピュータにアクセスする権限を他のユーザーに付与できるユーザーには、Windows へのログオン パススルーを無効にできることが必要です。
  • ユーザーに自由な選択を許可する

    ユーザーは、SafeGuard POA のログオン ダイアログでこのオプションを選択または選択解除して、Windows への自動ログオンを実行するかどうかを決定できます。

  • Windows へのパススルーを無効にする

    SafeGuard POA へのログオン後、Windows のログオン ダイアログが表示されます。ユーザーは Windows に手動でログオンする必要があります。

  • Windows へのパススルーを強制する

    ユーザーは常に Windows に自動的にログオンします。

BitLocker オプション

BitLocker ログオン モード: ブートボリューム用

以下のオプションから選択できます。
  • TPM: ログオン鍵は TPM (Trusted Platform Module) チップに格納されます。

  • TPM および PIN: ログオン鍵は TPM チップに格納され、ログオンに PIN も要求されます。

  • スタートアップ キー: ログオン鍵は USB メモリに格納されます。

  • TPM + スタートアップ キー: ログオン鍵は TPM チップおよび USB メモリに格納されます。両方ログインに必要です。

    注:TPM + PIN」、「TPM + スタートアップ キー」、または「スタートアップ キー」ログオンモードを使用するには、Active Directory またはローカルコンピュータのグループ ポリシーで、「スタートアップ時に追加の認証を要求する」を有効にしてください。「ローカル グループ ポリシー エディター」(gpedit.msc) で、「グループ ポリシー」の場所は、以下のとおりです。「ローカル コンピュータ ポリシー - コンピュータの構成 - 管理用テンプレート - Windows コンポーネント - BitLocker ドライブ暗号化 - オペレーティング システム ドライブ」

    スタートアップ キー」を使用する場合は、グループポリシーで、追加で「互換性のある TPM が装備されていない BitLocker を許可する」も有効にしてください。

    注: 現在システムで有効のログオンモードが、許可されている代替ログオンモードの場合、ここで指定したログオンモードは施行されません。
BitLocker 代替ログオン モード: ブートボリューム用 BitLocker ログオン モード: ブートボリューム用」で定義されている設定を適用できない場合、SafeGuard Enterprise では次のログオンオプションが利用できます。
  • パスワード: ユーザーはパスワードの入力を求められます。

  • スタートアップ キー: ログオン鍵は USB メモリに格納されます。

  • パスワードまたはスタートアップ キー: クライアントの OS がパスワードに対応していない場合に限り、USB メモリが使用されます。

  • エラー: エラーメッセージが表示され、ボリュームは暗号化されません。

    注: バージョン 6.1 以前がインストールされているクライアントでは、「パスワードまたは スタートアップ キー」および「パスワード」は、「USB メモリ」および「エラー」に置き換えられます。
    注: パスワードは Windows 8 以降でのみサポートされています。
BitLocker ログオン モード: ブートボリューム以外のボリューム用 ブートボリューム以外のボリューム (固定データドライブ) に対しては、次のオプションを利用できます。
  • 自動ロック解除: ブートボリュームが暗号化されると、外部鍵が作成されブートボリュームに保存されます。その後、固定データドライブが自動的に暗号化されます。固定データドライブのロックは、BitLocker の自動ロック解除機能でログオン時に自動的に解除されます。自動ロック解除機能はブートボリュームが暗号化されている場合のみに利用できる点に注意してください。そうでない場合、代替ログオンモードに切り替わります。

  • パスワード: ユーザーは各固定データドライブに対してパスワードの入力を求められます。

  • スタートアップ キー: 固定データドライブのロックを解除するキーが USB メモリに保存されます。

    注: バージョン 6.1 以前がインストールされているクライアントでは、このポリシーの設定は無視されます。代わりに「ログオン モード: ブートボリューム用」で設定されている内容が適用されます。固定データドライブに対しては TPM を使用できないため、このような場合は USB メモリまたはエラーメッセージが適用されます。
    注: パスワードは Windows 8 以降でのみサポートされています。
    注: 現在システムで有効のログオンモードが、許可されている代替ログオンモードの場合、ここで指定したログオンモードは施行されません。
BitLocker 代替ログオン モード: ブートボリューム以外のボリューム用 BitLocker ログオン モード: ブートボリューム以外のボリューム用」で定義されている設定を適用できない場合、SafeGuard Enterprise では次の設定が利用できます。
  • パスワード: ユーザーは各固定データドライブに対してパスワードの入力を求められます。

  • スタートアップ キー: USB メモリに鍵が保存されます。

  • パスワードまたはスタートアップ キー: クライアントの OS がパスワードに対応していない場合に限り、USB メモリが使用されます。

    注: バージョン 6.1 以前がインストールされているクライアントでは、このポリシーの設定は無視されます。代わりに「代替ログオン モード: ブートボリューム用」で設定されている内容が適用されます。パスワードが利用できないため、代わりに USB メモリまたはエラーメッセージが適用されます。
    注: パスワードは Windows 8 以降でのみサポートされています。
ログオンの失敗
失敗したログオンの最大数 無効なユーザー名またはパスワードを使用してユーザーがログオンを試みることができる回数を指定します。たとえば、誤ったユーザー名またはパスワードを連続して 3回入力すると、4回目の試行でコンピュータがロックされます。
POA の「ログオン失敗」メッセージの表示 ログオン失敗に関するメッセージの詳細レベルを定義します。
  • 標準: 概要を表示します。

  • 詳細: より詳細な情報を表示します。

トークン オプション
トークンのログオン状態が失われた場合の処理 トークンをコンピュータから取り外した後の動作を定義します。

以下の動作が可能です。

  • コンピュータをロックする

  • PIN ダイアログを表示する

  • 処理なし

トークンのブロック解除を許可する ログオン時にトークンのブロックを解除できるかどうかを指定します。
ロック オプション
非アクティブ後、画面をロックするまでの待ち時間 (分) 使用されなくなったデスクトップを自動的にロックするまでの時間を指定します。

デフォルト値は 0分です。値を変更していない場合、デスクトップはロックされません。

トークンの取り外し時に画面をロックする セッション中にトークンが取り外された場合に画面をロックするかどうかを指定します。
再開後に画面をロックする コンピュータがスタンバイ モードから復帰する場合に画面をロックするかどうかを指定します。