Windows ログオン用のサービス アカウントのリスト

注: サービス アカウントは、SafeGuard Power-on Authentication 機能のある SafeGuard Enterprise で保護されている Windows エンドポイントのみで使用できます。
展開チームが環境に新しいコンピュータをインストールし、SafeGuard Enterprise のインストールも合わせて行うことが一般的です。エンド ユーザーが新しいコンピュータを受け取り、SafeGuard Power-on Authentication を有効にできるためには、その前に展開担当者が個々のコンピュータにログオンして、インストールや検証を行うことになります。

そのため、シナリオは次のようになると考えられます。

  1. SafeGuard Enterprise をエンドポイントにインストールします。

  2. エンドポイントを再起動後、展開担当者がログオンします。

  3. 展開担当者が SafeGuard POA に追加され、POA が有効になります。展開担当者がエンドポイントの所有者になります。

エンドポイントを受け取った時点で、エンド ユーザーは SafeGuard POA にはログオンできません。ユーザーは、チャレンジ/レスポンスを実行する必要があります。

SafeGuard Enterprise で保護されたエンドポイントで管理上の処理を実行した結果、SafeGuard Poweron Authentication が有効になり、展開担当者がユーザーおよびマシンの所有者としてエンドポイントに追加されてしまうことがあります。これを防止するために、SafeGuard Enterprise には、SafeGuard Enterprise で保護されたエンドポイント向けにサービス アカウントのリストを作成する機能があります。これらのリストに含まれるユーザーは、SafeGuard Enterprise ゲスト ユーザーとして扱われます。

サービス アカウントを使用すると、シナリオは以下のようになります。

  1. SafeGuard Enterprise をエンドポイントにインストールします。

  2. エンドポイントを再起動した後、サービス アカウントのリストに含まれる展開担当者がログオンします (Windows ログオン)。

  3. コンピュータに適用されるサービス アカウントのリストに基づいて、そのユーザーは サービス アカウントとして認識され、ゲスト ユーザーとして扱われます。

展開担当者は SafeGuard POA には追加されず、POA は有効になりません。展開担当者はエンドポイントの所有者になりません。エンドユーザーはログオンし、SafeGuard POA を有効にすることができます。

注: サービス アカウントのリストは、ポリシーに基づいてエンドポイントに割り当てられます。サービス アカウントのリストは、エンドポイントを設定するために作成する最初の SafeGuard Enterprise 構成パッケージ内で割り当てることを推奨します。