ポリシー変更要求
このセクションの内容
ポリシー変更要求
デスクトップおよびモバイル ユーザは、ポリシー変更要求機能を使用して、電子メールまたは電話で、Application Control 構成の更新を申請できます。エンドポイント ユーザは、[Application Control アクセス拒否] ダイアログのリンクを使用するか、デスクトップにインストールされた Application Control ポリシー変更要求実行ファイルを使用して、申請を作成することができます。
ポリシー変更要求設定はルールごとに構成され、セッション接続時および構成変更時に評価されます。電子メール アドレス、電話番号、変更申請のテキストはグローバルに設定され、該当する設定が適用されたすべてのグループで使用されます。
ポリシー変更要求機能は、Internet Explorer 9、10、11の32ビットおよび64ビットバージョンでのみ互換性があります。
ポリシー変更要求設定のアップグレード
10.1では、ポリシー変更要求動作が、グローバル設定から各ルールへの適用へと変更されます。この変更により、10.1エージェントは、10.1より前の構成のエンドポイントからの変更要求を処理できません。ポリシー変更要求機能が10.1でも正常に機能することを保証するためには、10.1 Application Control コンソールですべての構成をアップグレードし、再配布します。
Application Control エージェントと Application Control Web サービスは同じバージョンでなければなりません。
ルールの変更要求の構成
各ルールに対してユーザが使用できる要求タイプと機能を構成します。プロセス ルールを除くすべてのルール タイプで、ポリシー変更要求設定を使用できます。
- ナビゲーションペインでルールを選択します。
- [ポリシー変更要求] タブを選択します。
- ポリシー変更要求を作成する方法を選択:
- 電子メール
- 電話 (即時ポリシー変更)
- ユーザがポリシー変更要求を開始できる方法を選択:
- アクセス拒否メッセージボックス - ユーザが禁止されたアプリケーションにアクセスしようとするときに表示されるメッセージボックス。
- アプリケーション コンテキストメニュー - ユーザは、禁止されたアプリケーションのコンテキストメニューから、オプションを選択します。
- デスクトップ アイコン - ユーザはデスクトップ ショートカット アイコンを使用して、[ポリシー変更要求] ダイアログから変更要求を送信できます。
各設定の詳細は、[グローバル設定] リボンからアクセスできる [ポリシー変更要求] ダイアログで構成されます。
要求タイプとメソッドの構成
要求のタイプと方法を構成するには、[グローバル設定] リボンから、[ポリシー変更要求オプション] を選択します。
要求タイプ
[ポリシー変更要求] ダイアログの [要求タイプ] タブで、電子メール アドレスと即時ポリシー変更要求を構成します。
電子メール要求
ユーザがアプリケーションを実行するために権限を昇格するように指示されたときには、[アクセス拒否] メッセージボックスのリンクをクリックし、永久的な構成変更を要求できます。ユーザがリンクをクリックすると、変更要求の理由を入力するように指示され、Application Control コンソールで構成された電子メール アドレスに送信されます。
電子メール要求機能は、メッセージング アプリケ-ション プログラミング インターフェイス (MAPI) を使用して、電子メールを送信します。Application Control 管理者は要求をレビューし、要求が付与される場合は、構成を更新して、AAMP ファイルを配布します。
電子メール変更要求を設定するには、変更要求が送信される宛先の電子メールアドレスを [宛先] フィールドに入力します。
1つの電子メール アドレスのみを追加できます。要求を複数の電子メール アドレスに送信する場合は、グループ電子メールを作成できます。
即時要求
即時要求は、ユーザ (一般的にはモバイル ユーザ) が永久的または一時的な構成変更を要求することを許可できます。ユーザが即時要求リンクをクリックすると、発信先の電話番号が表示され、要求の詳細と申請コードが発行されます。申請コードと構成変更要求は IT サポートに送信され、IT サポートはヘルプ デスク ポータルに詳細を入力します。IT サポートは対応コードを生成し、ユーザが [ポリシー変更要求] ダイアログに入力するために送信します。
ユーザは対応コードの入力を3回試行できます。入力を3回失敗すると、ダイアログが閉じ、変更は適用されません。構成されると、ダイアログが閉じ、9091イベントが発生します。ユーザがさらに構成変更を必要としている場合は、手順を最初からやり直す必要があります。コードが正しく入力されると、ユーザのアプリケーション アクセスが昇格します。確認時には、ユーザに昇格の詳細が表示されます。
[要求タイプ] タブで次のフィールドを構成します。
- ヘルプデスク電話番号 - 即時構成変更を要求するためにユーザがかける必要がある電話番号。
-
共有キー - 共有キーは即時要求を処理するために必須の要素であり、構成に埋め込まれています。Application Control 共有キーは、コンソールとヘルプ デスク ポータルの両方で一致する必要があります。共有キーが一致しない場合、対応コードを作成できます、ユーザのエンドポイントへの配布のための構成変更が許可されません。
共有キーはヘルプデスク ポータルを使用して変更できますが、共有キーがポータルで修正される場合は、同じキーを Application Control コンソールにも入力する必要があります。
構成ファイルの即時要求設定を構成した後に、エンドポイントに配信します。機能が完全に有効化される前に、ヘルプデスク管理者とヘルプデスク オペレータ ロールをサポート チームのメンバーに割り当てる必要があります。構成を配布し、ヘルプデスク管理者ロールが割り当てられると、ヘルプデスク管理者は追加のヘルプデスク オペレータおよび管理者を割り当てたり、削除したりすることができます。
要求方法
[要求方法] タブで、ポリシー変更要求項目のテキストを構成します。
- メッセージボックス リンク テキスト - [アクセス拒否メッセージボックスからのリンク] の要求リンクのテキスト。既定のテキストは、「このアプリケーションへのアクセスを申請するには、ここをクリックしてください」です。
- メニュー項目テキスト - ユーザがポリシー変更要求の資格がある項目を右クリックするときに表示されるメニュー項目のテキスト。
- デスクトップ アイコン テキスト - ポリシー変更要求デスクトップ アイコンの名前。ユーザは Application Control ポリシー変更要求ダイアログを開き、変更要求を作成します。