デバイス ルール
デバイス ルールでは、セキュリティ制御ルールを特定の要求プロセスと照合できます。デバイス ルールは、Application Control エージェントおよび構成をホストするデバイス、または接続デバイスにルール設定を適用できます。
たとえば、構成ルールでは、特定のアプリケーションをサーバで実行できますが、ルールのリストにあるデバイスから起動した他のアプリケーションを実行することは禁止されます。
デバイス ルールは、サーバベースのコンピューティング環境でデバイス単位のライセンス管理を実行することもできます。
- デバイス ルールを追加するには、[ルール] リボンの [ルールの追加] をクリックし、[デバイス ルール] を選択します。
- デバイス ルールを削除するには、ルールを選択し、[ルール] リボンの [ルールの削除] をクリックします。確認メッセージが表示されます。[はい] をクリックすると、削除を確認します。
各デバイス ルール ノードの許可された項目、拒否された項目、信頼できるベンダ、ユーザ権限、ブラウザ制御ノードに項目を追加できます。
詳細については、「ルール項目」をご参照ください。
デバイス ルール検証
| タイプ | ルール |
|---|---|
| ホスト名または IP アドレス | このデバイス クライアント ルールを使用すると、ユーザが特定のホスト名または IP アドレスからエンドポイントへのアクセスを試みるときに、許可された項目、拒否された項目、信頼できるベンダ、ユーザ権限ルールをサードパーティ デバイスに適用します。ホスト名または IP アドレスがサードパーティ デバイスと一致する場合、デバイス固有の Application Control ルールが適用されます。 |
| コンピュータ グループ メンバーシップ | このデバイス クライアント ルールを使用して、許可、拒否、信頼できるベンダ、ユーザ権限ルールを、特定のセキュリティ グループのメンバーであるサードパーティ デバイスに適用します。Application Control は、ルールを適用する前に、コンピュータが指定されたセキュリティ グループのメンバーであるかどうかを確認します。 コンピュータ グループ メンバーシップ詳細を手動で入力する場合は、完全修飾名を使用する必要があります。 |
| OU メンバーシップ | このデバイス クライアント ルールを使用して、許可、拒否、信頼できるベンダ、ユーザ権限ルールを、指定された組織単位 (OU) のメンバーであるサードパーティ デバイスに適用します。 |
Active Directory (AD) ベースのクライアント条件は、Windows Terminal Server (または Citrix など) から取得されたクライアントの NetBIOS 名を AD の照会で使用される FQDN に変換します。ターミナル サーバが親ドメインで、子ドメインのデバイスに接続する FQDN を解決しようとしている場合は、FDQN を解決できません。これはデバイスおよびカスタム ルールに影響します。また、ルート ドメインでターミナル サーバおよび VDI に適用された Active Directory ベースのクライアントにも影響します。
ターミナル サーバは、すべての子ドメインの DNS サフィックスを使用して構成される必要があります。子ドメインで接続するために名前を解決する必要があるすべてのターミナル サーバで、検索リストを構成する必要があります。
たとえば、親 domain.local の場合、AD に基づく条件が正常に評価されるには、子ドメイン childa.domain.local および childb.domain.local をターミナル サーバで構成する必要があります。
ドメイン サフィックス検索リストの構成については、https://support.microsoft.com/en-gb/kb/275553をご参照ください。