SafeGuard Management Center での UMA (User Machine Assignment)
WinClient
SafeGuard Management Center でユーザーを特定のコンピュータに割り当てることができます。SafeGuard Management Center でユーザーをコンピュータに割り当てると (またはコンピュータをユーザーに割り当てると)、この割り当ては UMA に組み込まれます。ユーザーのデータ (証明書、鍵など) がこのコンピュータにレプリケーションされ、ユーザーはこのコンピュータにログオンできるようになります。ユーザーを UMA から削除すると、ユーザー データもすべて自動的に SafeGuard POA から削除されます。ユーザーは、ユーザー名とパスワードを使用して、SafeGuard POA でログオンできなくなります。
ユーザーをコンピュータに割り当てる際、他のユーザーがこのコンピュータにログオンすることを許可できるユーザーも指定できます。
SafeGuard Management Center の「種類」に、ユーザーが SafeGuard Enterprise データベースに追加された方法が表示されます。「ローカル」は、ユーザーがエンドポイント上の UMA に追加されたことを意味します。
SafeGuard Management Center で誰も割り当てられておらず、所有者として指定されているユーザーが存在しない場合、コンピュータに SafeGuard Enterprise をインストール後、最初にログオンしたユーザーが所有者として入力されます。このユーザーは、このコンピュータに他のユーザーがログオンすることを許可できるようになります。後日、SafeGuard Management Center でこのコンピュータに割り当てられたユーザーは、SafeGuard Power-on Authentication でログオンできます。ただし、こうしたユーザーは (既存の証明書と鍵を持つ) 完全なユーザーである必要があります。この場合、コンピュータの所有者はアクセス資格を割り当てる必要はありません。
UMA にユーザーを追加できるユーザーを指定するために、以下の設定が使用されます。
-
所有者になることが可能: この設定を選択すると、ユーザーをコンピュータの所有者として登録できます。
-
所有者として登録: この設定は、このユーザーが UMA に所有者として入力済みであることを意味します。コンピュータごとに 1名のユーザーのみを UMA に所有者として入力できます。
「マシンの設定」タイプのポリシーの「新しい SGN ユーザーの登録を許可する」ポリシー設定で、誰が UMA に他のユーザーを追加できるかを決定します。「マシンの設定」タイプのポリシーの「SGN Windows ユーザーの登録を有効にする」設定で、SGN Windows ユーザーをエンドポイントに登録し、UMA に追加するかを決定します。
-
新しい SGN ユーザーの登録を許可する
該当者なし
所有者として入力されたユーザーも、これ以上 UMA にユーザーを追加することはできません。所有者がユーザーを追加するオプションは無効に設定されます。
所有者 (デフォルト)
注 セキュリティ担当者は、SafeGuard Management Center でいつでもユーザーを追加できます。全員
所有者のみがユーザーを追加できる制限を取り払います。注 Device Encryption モジュールがインストールされていないエンドポインで、鍵リングにアクセスできる複数のユーザーを UMA に追加するには、「新しい SGN ユーザーの登録を許可する」設定を「全員」に設定する必要があります。設定しない場合、ユーザーは Management Center のみで追加できます。この設定は、管理対象エンドポイントのみで利用できます。詳細は、ソフォスのサポートデータベースの文章 110659 を参照してください。 - SGN Windows ユーザーの登録を有効にする
「はい」を選択すると、SGN Windows ユーザーをエンドポイントに登録できるようになります。SGN Windows ユーザーは、SafeGuard POA には追加されませんが、SGN ユーザーと同様に、暗号化されたファイルにアクセスするための鍵リングを使用できます。この設定を行った場合、SGN ゲストユーザーになるはずのユーザーすべてが、SGN Windows ユーザーになります。ユーザーは、Windows にログオンすると、だたちに UMA に追加されます。SGN Windows ユーザーは、管理対象エンドポイントでは自動的に UMA から削除できます。管理対象外のエンドポイントでは手動で削除できます。詳細は、マシンの設定 - 基本設定を参照してください。
例:
以下の例は、SafeGuard Management Center で、Computer_ABC に対して 3人のユーザー (User_a、User_b、User_c) にログオン資格を割り当てる方法について説明しています。
はじめに: 要求するレスポンスを SafeGuard Management Center で指定します。SafeGuard Enterprise は、夜間にすべてのエンドポイントにインストールされます。翌朝、ユーザーは自分のログオン情報を使って POA にログオンすることができるはずです。
-
SafeGuard Management Center で、User_a、User_b、および User_c を Computer_ABC に割り当てます。(「ユーザーとコンピュータ」-> computer_ABC を選択 -> ドラッグ アンド ドロップでユーザーを割り当て」)。この操作で UMA が指定されました。
-
「マシンの設定」タイプのポリシーで、「新しい SGN ユーザーの登録を許可する」を「該当者なし」に設定します。User_a、User_b、および User_c には新しいユーザーの追加を許可しないため、ユーザーを所有者として指定する必要はありません。
-
ポリシーをコンピュータやこのコンピュータに対して有効になるディレクトリ構造内の場所に割り当てます。
最初のユーザーが Computer_ABC にログオンすると、SafeGuard POA に自動ログオンが実装されます。コンピュータ ポリシーがエンドポイントに送信されます。User_a は UMA に含まれているため、Windows にログオンすると完全なユーザーになります。ユーザーのポリシー、証明書、および鍵がエンドポイントに送信されます。SafeGuard POA がアクティブ化されます。
User_a は SafeGuard Enterprise の完全なユーザーとなり、初回のログオン後、SafeGuard POA で認証を行うことによって自動的にログオンされます。
User_a がコンピュータの使用を終え、User_b がログオンしようとします。SafeGuard POA が有効になっているため、これ以上自動ログオンは行われません。
User_b および User_c がこのコンピュータにアクセスする方法は 2つあります。
-
User_a が SafeGuard POA ログオン ダイアログで「Windows へのパス スルー 」を無効にし、ログオンします。
-
User_b がチャレンジ/レスポンスを使用して、SafeGuard POA でログオンします。
どちらの場合も、Windows ログオン ダイアログが表示されます。
User_b は、自分の Windows ログオン情報を入力できます。ユーザーのポリシー、証明書、および鍵がエンドポイントに送信されます。このユーザーが SafeGuard POA で有効になります。User_b は SafeGuard Enterprise の完全なユーザーとなり、初回のログオン後、SafeGuard POA で認証を行うことによって自動的にログオンされます。
コンピュータ ポリシーで誰もこのコンピュータにユーザーをインポートできないよう指定されている一方、これらのユーザーはすでに UMA に存在するため、User_b および User_c は、Windows ログオンで完全なユーザー ステータスを獲得し、SafeGuard POA で有効になります。
UMA に他のユーザーは追加されず、したがって以後、他のユーザーが SafeGuard Power-on Authentication で認証されることはありません。Windows にログオンしようとした User_a、User_b、User_c 以外のユーザーは、このシナリオでは UMA から除外され、SafeGuard POA でアクティブになることはありません。
この説明は、Windows エンドポイントのみを対象としています。Mac は対象外です。大規模な環境で、Mac に複数のユーザーを追加すると、エンドポイントとサーバーとの間のポリシーの整合性、および Management Center やタスクスケジューラにおける Active Directory の同期に深刻なパフォーマンスの低下が生じる可能性があります。Management Center で、Mac にユーザーを割り当てないことを強く推奨します。