ブラウザ制御
このセクションの内容
ブラウザ制御
[ブラウザ制御] ノードでは次の操作ができます。
- URL リダイレクトの構成
- Web インストールの追加
- スニペットのインポート
- 昇格された Web サイトの追加
サポートされているブラウザは、Internet Explorer (8、9、10、11)、Edge (Chromium)、Google Chrome です。
URL リダイレクトなどのブラウザ制御項目を含む新しい構成がエンドポイントに配布されるときには、ユーザは構成が有効になる前にブラウザを閉じてからもう一度開く必要があります。ブラウザを閉じてもう一度開くと、ブラウザ拡張が有効になります。ブラウザ制御を含む既存の構成が追加のブラウザ制御項目で更新される場合は、更新された構成は配布されるとすぐに有効になります。ブラウザ拡張は既に有効になっているので、ブラウザを閉じて開き直す必要はありません。
ブラウザ制御機能を Internet Explorer に実装するために、Application Control はブラウザ起動時に読み込まれるブラウザ ヘルパー オブジェクト (BHO) を使用します。Google Chrome ブラウザと Edge (Chromium) ブラウザの場合は、Application Control は Ivanti Cascade 拡張を読み込みます。
URL リダイレクト
この機能を使用して、ユーザが指定された URL にアクセスしようとするときに自動的にユーザをリダイレクトします。禁止された URL のリストを定義することによって、リストの URL にアクセスしようとするユーザを既定の警告ページまたはカスタム Web ページにリダイレクトします。リダイレクトで使用されるときに特定の URL を許可することを選択し、柔軟性と制御を高め、Web サイトのホワイトリストを作成できます。
URL リダイレクトは、[ブラウザ制御] リボンからアクセスできる [URL をリダイレクトに追加] ダイアログで構成されます。アプリケーションの URL リダイレクト機能は、[管理] リボンの [詳細設定] で有効または無効に設定されます。
Internet Explorer でこの機能を設定する前には、各エンドポイントで [インターネット オプション] を使用して、サードパーティ ブラウザ拡張を有効にする必要があります。あるいは、グループ ポリシーから適用できます。
Chrome および Edge ブラウザ内での URL リダイレクトの場合は、管理されたすべてのエンドポイントが同じドメインに属している必要があります。
URL リダイレクトをルールに追加する
- Application Control ナビゲーション ペインで、URL リダイレクトを追加するルールの [ブラウザ制御] ノードを選択します。
-
[ブラウザ制御] リボンで、[項目の追加] > [URL の追加]を選択します。
[URL をリダイレクトに追加] ダイアログが表示されます。
-
URL を入力します。IP アドレスとテキスト URL の両方を使用できます。
ヒント:テキスト URL を使用し、サーバが IP アドレスに対して機能する場合は、サーバのテキスト URL と IP アドレスの両方を追加します。
- URL の処理 (リダイレクトまたは許可) を選択します。
- [リダイレクト] を選択した場合は、ユーザが禁止された URL にアクセスしようとするときに必要な応答を選択します。
- URL がリダイレクトされるときに既定の警告ページを表示する: ユーザは既定の「アクセス拒否」ページにリダイレクトされます。
- URL がリダイレクトされるときにカスタムページを表示する: 既定の警告ページを表示する代わりに、別の場所を指定します。たとえば、組織のネットワーク内の場所、ディスクのファイル、インターネットまたは別の Web サイトにすることができます。
- 将来に参照するために任意の説明を入力します。
- 追加 をクリックします。
[ブラウザ制御] 作業領域の [URL リダイレクト] タブにリダイレクトが追加されます。構成が配布され、ユーザが指定された Web ページにアクセスしようとすると、リダイレクトされたページが同じブラウザ インスタンスに表示されます。URL 許可が構成されている場合、Web サイトが想定通りに開きます。
ドメイン内での URL アクセスの制御
URL リダイレクトを使用して、単一ドメイン内でアクセスを制御することもできます。ドメインへのアクセスを禁止しながら、サブドメインへのアクセスが許可されます。たとえば、www.company.com へのアクセスを拒否し、www.company.com/resources へのアクセスを許可することができます。
URL リダイレクトを使用してホワイトリストを構成する
URL リダイレクトを使用して、組織のインターネット アクセスを制御するためのホワイトリスト アプローチを実行できます。すべてのインターネット サイトへのアクセスを禁止するリダイレクトを作成すると、項目を追加して、スタッフに使用させる Web サイトにアクセスできます。
-
http* または * の URL リダイレクトを作成します。これにより、ユーザはインターネットのすべての項目にアクセスできなくなります。
-
リダイレクトを作成して、目的の URL へのアクセスを許可します。
構成がユーザに配布されると、ユーザは許可処理で URL リダイレクトで構成されたサイト以外の Web サイトにアクセスできません。
ホワイトリストとインライン フレーム
ホワイトリスト アプローチを使用して、インライン フレーム (iFrames) を使用するサイトへのアクセスを許可する場合、各インライン フレームのURL リダイレクトを許可するように URL リダイレクト項目を設定する必要があります。インライン フレームの URL がリダイレクトされると、許可に設定されている場合でも、メイン Web サイト URL もリダイレクトされます。
たとえば、http* を使用してすべての Web サイトをリダイレクトし、URL 許可を作成し、ユーザが http://www.website.com にアクセスできるようにします。この Web サイトはインライン フレームを使用して、許可されていない http://www.frame.com を表示します。http* リダイレクトにより、http://www.frame.com へのアクセスが拒否されているため、ユーザは http://www.website.com を開くことできません。
ルール分析を使用してインライン フレーム URL を検索する
Application Control ルール分析を使用して、URL のインライン フレームを検索できます。URL を URL リダイレクトで許可し、親 Web サイトをユーザが使用できるようにします。
ルール分析を使用してログを生成する管理対象のエンドポイントのレジストリに対する読み取りおよび書き込みアクセス権と、コンソールが動作するコンピュータのローカル レジストリへの読み取りおよび書き込みアクセス権があるアカウントでログインする必要があります。
- Application Control コンソールで、URL リダイレクトを使用して構成を作成します。
- 構成を作成しているエンドポイントに構成を配布します。
- [ルール分析] ナビゲーション ボタンを選択します。
- [エンドポイントの追加] をクリックし、[配布グループの参照] または [ドメイン/ワークグループの参照] を選択します。
- インライン フレーム URL を検出するために使用するエンドポイントを選択します。
-
[ログの開始] をクリックします。
-
インライン フレームを検索する Web サイトにアクセスします。
サイトへのアクセスは許可されますが、インライン フレームの URL は禁止されるため、ブラウザがループし、それ自体にリダイレクトされます。このプロセス中に、ルール分析はリダイレクトするインライン フレームの詳細を記録します。
- ブラウザを閉じて、ルール分析に戻ります。
-
[ログの停止] をクリックし、レポート名を入力します。
分析の結果が表示されます。
-
[ブラウザ制御] 列のリンクをクリックし、記録された URL 要求を表示します。
-
詳細を表示する URL を選択します。詳細から、許可したサイトで発生したリダイレクトを確認できます。
-
ドメインをコピーし、新しい URL リダイレクト許可を作成します。
構成が配布されると、インライン フレームが許可されるため、ユーザはサイトにアクセスできます。
Web インストールの追加
◎多くの Web インストールで、エンドユーザに管理者権限があることが必要になります。たとえば、ActiveX コントロールや、Microsoft Update カタログなどの Web ダウンロードです。
ブラウザ制御の Web インストール制御機能では、特定のドメインからの ActiveX インストーラ用管理者権限への昇格を許可します。基本構成を作成し、ドメイン名のみを入力するか、詳細構成を作成し、項目の CAB ファイル、クラス ID、および最小および最大バージョンを指定できます。ドメインからの署名されたコントロールのみをインストールするように指定することもできます。
.exe ファイルや MSI ファイルのダウンロードは、ブラウザ制御によって直接処理するものではなく、信頼できる所有権を使用することで制御できます (システム制御をご参照ください)。
ただし、.cab ファイル (通常は .exe や MSI の一部としてダウンロードされ、Windows ソフトウェアのインストールで使用されます) がインストールされるのを防止するようにブラウザ制御を構成することはできます。
- 選択したルールの下でブラウザ制御ノードに移動します。
-
[ブラウザ制御] リボンで、 [項目の追加] > [Web インストールの追加] を選択します。
[新しい Web インストールの追加] ダイアログが表示されます。
- Web インストールのわかりやすい名前を入力します。
- ユーザが合法的な Web インストールにのみ接続することを保証するには、[署名されたコンテンツのみを許可する] を選択します。
- インストールの Web サイト URL を入力します。たとえば、すべての adobe.com からのインストールを許可するには、adobe.com を入力します。
- 追加 をクリックします。
[ブラウザ制御] 作業領域の [Web サイト] タブには、新しい Web インストールの名前が表示されます。
Web インストールの追加 (詳細設定)
- 選択したルールの下でブラウザ制御ノードに移動します。
-
[ブラウザ制御] リボンで、[項目の追加] > [Web インストールの追加] を選択します。
[新しい Web インストールの追加] ダイアログが表示されます。
- Web インストールのわかりやすい名前を入力します。
- 署名されたコントロールのみを許可する場合は、該当するチェックボックスをオンにします。
-
[詳細設定を使用する] を選択します。
[詳細設定] セクションがアクティブになります。
- http://www.example.com/control.cab などのインストーラ URL を入力します。
- 必要に応じて、別の検証を追加します。クラス ID、最小バージョン、最大バージョン
- 追加 をクリックします。
[ブラウザ制御] 作業領域の [Web サイト] タブには、新しい Web インストールの名前が表示されます。
スニペット
スニペットを使用すると、Application Control で、部分的な構成をコンソールで現在開いている構成にインポートしてマージできます。
構成の Web インストール部分を作成するほかに、多数の他の構成可能な項目を考慮する必要があるため、これは特に Web インストールで役立ちます。これらには、プロセス ルール、許可された項目、信頼できるベンダ、デジタル証明書、昇格された項目などが含まれます。
[スニペットのインポート] ダイアログでは、既定のディレクトリに入力されたスニペットから選択できます。このダイアログでは、Ivanti Marketplace で提供されている最新のスニペットを取得することもできます。
Ivanti コミュニティから最新のスニペットをダウンロードする
- ルールを選択します。
-
[ブラウザ制御] リボンで、[スニペットのインポート] を選択します。
[スニペットのインポート] ダイアログが表示されます。
-
ダイアログで、[Ivanti コミュニティ] リンクをクリックします。
最新のスニペットが表示されます。
-
スニペットを選択し、C:\Program Files\AppSense\Application Manager\Console\Snippets に保存します。これは既定の場所です。
[スニペットのインポート] ダイアログでスニペットを使用できます。
- スニペットを選択し、[追加] をクリックします。
-
スニペットに含まれる内容を表示するには、[構成に追加される項目を表示] リンクをクリックします。
構成レポートが表示されます。
- [続行] をクリックします。
スニペットがインポートされ、コンソールのさまざまなノードで項目を表示できます。
昇格された Web サイト
この機能は32ビットおよび64ビット バージョンの Edge Chromium および Chrome、32ビット バージョンの Internet Explorer (8、9、10、11) でサポートされます。
昇格された Web サイト機能では、別の保護された昇格された Internet Explorer のインスタンスで開く特定の URL を定義できます。昇格されると、ユーザには管理者権限が付与され、追加のソフトウェアやサイト固有の ActiveX コントロールなどのコンポーネントをインストールおよび実行できます。
この機能を構成する前に、各エンドポイントのインターネット オプションを使用して、サードパーティ ブラウザ拡張を有効にする必要があります。あるいは、グループ ポリシーから適用できます。
この機能は、診断ツールや管理者が承認したソフトウェアを含むモデレーションされたポータルなどのコンテンツを実行するために昇格が必要な内部 Web サイトでのみ使用されます。
ポップアップ、検索バー、外部リンクなど、ユーザがネットワークへのセキュリティ リスクとなるおそれがあるソフトウェアを取得する可能性がある Web サイトは昇格しないでください。
- 選択したグループの下で [ブラウザ制御] ノードを選択します。
- [ブラウザ制御] リボンを選択します。
-
[項目の追加] をクリックし、[昇格された Web サイトの追加] を選択します。
[新しい昇格された Web サイトの追加] ダイアログが表示されます。
- 参照用のわかりやすい説明を入力します。
-
[Web サイト URL] フィールドに Web アドレスを入力します。
正規表現を使用して、Web サイトを定義できます。この機能を使用するには、[正規表現を使用する] を選択し、Web サイト URL 条件を入力します。たとえば、https://.+\.com$ は、https://www.cisco.com などの .com 拡張子のすべての保護された Web サイトを昇格して、リダイレクトしますが、http://www.cisco.com は昇格およびリダイレクトしません。
詳細については、「ワイルドカードと正規表現」をご参照ください。
- 追加 をクリックします。
- AAMP ファイルを保存します。