SafeGuard Management Center での UMA (User Machine Assignment)

SafeGuard Management Center でユーザーを特定のコンピュータに割り当てることができます。SafeGuard Management Center でユーザーをコンピュータに割り当てると (またはコンピュータをユーザーに割り当てると)、この割り当ては UMA に組み込まれます。ユーザーのデータ (証明書、鍵など) がこのコンピュータにレプリケーションされ、ユーザーはこのコンピュータにログオンできるようになります。ユーザーを UMA から削除すると、ユーザー データもすべて自動的に SafeGuard POA から削除されます。ユーザーは、ユーザー名とパスワードを使用して、SafeGuard POA でログオンできなくなります。

注:ユーザーとコンピュータ」で、ユーザーやコンピュータの割り当てを表示するには、対象ユーザーとコンピュータのどちらかに対して、少なくとも「読み取り専用」アクセス権限が必要です。割り当てを定義または変更するには、対象ユーザーとコンピュータの両方に対して、「フルアクセス権」が必要です。UMA に表示されるユーザー/マシン情報は、アクセス権限によって異なります。特定のコンピュータに割り当てられているユーザー、および特定のユーザーに割り当てられているコンピュータを表示する UMA グリッドでは、必要なアクセス権限のないオブジェクトも表示されますが、割り当てを変更することはできません。

ユーザーをコンピュータに割り当てる際、他のユーザーがこのコンピュータにログオンすることを許可できるユーザーも指定できます。

SafeGuard Management Center の「種類」に、ユーザーが SafeGuard Enterprise データベースに追加された方法が表示されます。「ローカル」は、ユーザーがエンドポイント上の UMA に追加されたことを意味します。

注: SafeGuard Management Center で誰も割り当てられておらず、所有者として指定されているユーザーが存在しない場合、コンピュータに SafeGuard Enterprise をインストール後、最初にログオンしたユーザーが所有者として入力されます。このユーザーは、このコンピュータに他のユーザーがログオンすることを許可できるようになります。他の SafeGuard Enterprise ユーザーの登録を参照してください。後日、SafeGuard Management Center でこのコンピュータに割り当てられたユーザーは、SafeGuard Power-on Authentication でログオンできます。ただし、こうしたユーザーは (既存の証明書と鍵を持つ) 完全なユーザーである必要があります。この場合、コンピュータの所有者はアクセス資格を割り当てる必要はありません。

UMA にユーザーを追加できるユーザーを指定するために、以下の設定が使用されます。

例:

以下の例は、SafeGuard Management Center で、Computer_ABC に対して 3人のユーザー (User_a、User_b、User_c) にログオン資格を割り当てる方法について説明しています。

はじめに: 要求するレスポンスを SafeGuard Management Center で指定します。SafeGuard Enterprise は、夜間にすべてのエンドポイントにインストールされます。翌朝、ユーザーは自分のログオン情報を使って POA にログオンすることができるはずです。

  1. SafeGuard Management Center で、User_a、User_b、および User_c を Computer_ABC に割り当てます。(「ユーザーとコンピュータ」-> computer_ABC を選択 -> ドラッグ アンド ドロップでユーザーを割り当て」)。この操作で UMA が指定されました。

  2. マシンの設定」タイプのポリシーで、「新しい SGN ユーザーの登録を許可する」を「該当者なし」に設定します。User_a、User_b、および User_c には新しいユーザーの追加を許可しないため、ユーザーを所有者として指定する必要はありません。

  3. ポリシーをコンピュータやこのコンピュータに対して有効になるディレクトリ構造内の場所に割り当てます。

最初のユーザーが Computer_ABC にログオンすると、SafeGuard POA に自動ログオンが実装されます。コンピュータ ポリシーがエンドポイントに送信されます。User_a は UMA に含まれているため、Windows にログオンすると完全なユーザーになります。ユーザーのポリシー、証明書、および鍵がエンドポイントに送信されます。SafeGuard POA がアクティブ化されます。

注: ユーザーは、この処理が終了したことを SafeGuard システム トレイ アイコンのステータス メッセージ (バルーンヒント) で確認できます。

User_a は SafeGuard Enterprise の完全なユーザーとなり、初回のログオン後、SafeGuard POA で認証を行うことによって自動的にログオンされます。

User_a がコンピュータの使用を終え、User_b がログオンしようとします。SafeGuard POA が有効になっているため、これ以上自動ログオンは行われません。

User_b および User_c がこのコンピュータにアクセスする方法は 2つあります。

どちらの場合も、Windows ログオン ダイアログが表示されます。

User_b は、自分の Windows ログオン情報を入力できます。ユーザーのポリシー、証明書、および鍵がエンドポイントに送信されます。このユーザーが SafeGuard POA で有効になります。User_b は SafeGuard Enterprise の完全なユーザーとなり、初回のログオン後、SafeGuard POA で認証を行うことによって自動的にログオンされます。

コンピュータ ポリシーで誰もこのコンピュータにユーザーをインポートできないよう指定されている一方、これらのユーザーはすでに UMA に存在するため、User_b および User_c は、Windows ログオンで完全なユーザー ステータスを獲得し、SafeGuard POA で有効になります。

UMA に他のユーザーは追加されず、したがって以後、他のユーザーが SafeGuard Power-on Authentication で認証されることはありません。Windows にログオンしようとした User_a、User_b、User_c 以外のユーザーは、このシナリオでは UMA から除外され、SafeGuard POA でアクティブになることはありません。

ユーザーは、いつでも後から SafeGuard Management Center で追加することができます。ただし、同期は初回のログオンによってのみトリガされるため、ユーザーの鍵リングは初回のログオン以後は使用できません。再度ログオンすると、その鍵リングが使用可能になり、ユーザーは適用されているポリシーに従ってコンピュータにアクセスできます。エンドポイントへのログオンを完了したことのないユーザーの場合、前述した手順で追加できます。
注: セキュリティ担当者やマスターセキュリティ担当者によって、最後に保存された有効なユーザー証明書が UMA から削除された場合、すべてのユーザーが対象のコンピュータの SafeGuard POA を通過できるようになります。エンドポイントのドメインが変更された場合も同様の結果となります。このような状態で、コンピュータへのログオンや SafeGuard POA の再アクティベート、コンピュータへの新しい所有者の追加を行う場合は、Windows のログオン情報のみが必要となります。