ポリシー変更要求

このセクションの内容

• ポリシー変更要求
• ルールの変更要求の構成
• 申請タイプの構成
• 要求方法
• ISM 統合 (2021.3)

ポリシー変更要求

デスクトップおよびモバイル ユーザは、ポリシー変更要求機能を使用して、電子メールまたは電話で、Application Control 構成の更新を申請できます。Application Control 2021.3では、Ivanti Service Manager (ISM) ユーザが直接 ISM に申請を送信できます。エンドポイント ユーザは、Application Controlの [アクセス拒否] ダイアログのリンクを使用するか、デスクトップにインストールされた Application Control ポリシー変更申請実行ファイルを使用して、申請を作成することができます。

ポリシー変更要求設定はルールごとに構成され、セッション接続時および構成変更時に評価されます。電子メール アドレス、電話番号、変更申請のテキストはグローバルに設定され、該当する設定が適用されたすべてのグループで使用されます。

Ivanti Service Manager (ISM) 統合2021.3

Ivanti Neurons for ITSM (または Ivanti Service Manager) のライセンスをお持ちの組織向けに、Application Control 2021.3では、ポリシー変更申請を直接サービスデスク システムに統合する機能が導入されました。これにより、サービスデスク プロセスの最適化と、変更申請ワークフロー全体の監査が可能になります。ISM 統合 (2021.3)をご参照ください。

このヘルプ トピックで使用される画面の画像には2021.3の機能が含まれます。

ポリシー変更申請機能は、Chrome、Edge、Internet Explorer 9、10、11の32ビットおよび64ビットバージョンと互換性があります。

Application Control エージェントと Application Control Web サービスは同じバージョンでなければなりません。

ルールの変更要求の構成

各ルールに対してユーザが使用できる要求タイプと機能を構成します。プロセス ルールを除くすべてのルール タイプで、ポリシー変更要求設定を使用できます。

1. ナビゲーションペインでルールを選択します。
2. [ポリシー変更要求] タブを選択します。
3. ポリシー変更要求を作成する方法を選択:
   • 電子メール
   • 電話 (即時ポリシー変更)
   • Ivanti Service Manager
     [Ivanti Service Manager] チェックボックスをオンにし、任意の申請テンプレートをクリックします。ISM 統合 (2021.3)をご参照ください。

[電子メール] および [電話] オプションの両方、または [Ivanti Service Manager] オプションを選択できます。

4. ユーザがポリシー変更要求を開始できる方法を選択:
   • アクセス拒否メッセージボックス - ユーザが禁止されたアプリケーションにアクセスしようとするときに表示されるメッセージボックス。
   • アプリケーション コンテキストメニュー - ユーザは、禁止されたアプリケーションのコンテキストメニューから、オプションを選択します。
   • デスクトップ アイコン - ユーザはデスクトップ ショートカット アイコンを使用して、[ポリシー変更要求] ダイアログから変更要求を送信できます。

各設定の詳細は、[グローバル設定] リボンからアクセスできる [ポリシー変更申請] ダイアログで構成されます。

要求タイプとメソッドの構成

申請のタイプと方法を構成するには、[グローバル設定] リボンから、[ポリシー変更申請オプション] を選択します。

要求タイプ

[ポリシー変更要求] ダイアログの [要求タイプ] タブで、電子メール アドレスと即時ポリシー変更要求を構成します。

電子メール要求

ユーザがアプリケーションを実行するために権限を昇格するように指示されたときには、[アクセス拒否] メッセージボックスのリンクをクリックし、永久的な構成変更を要求できます。ユーザがリンクをクリックすると、変更要求の理由を入力するように指示され、Application Control コンソールで構成された電子メール アドレスに送信されます。

電子メール要求機能は、メッセージング アプリケ－ション プログラミング インターフェイス (MAPI) を使用して、電子メールを送信します。Application Control 管理者は要求をレビューし、要求が付与される場合は、構成を更新して、AAMP ファイルを配布します。

電子メール変更要求を設定するには、変更要求が送信される宛先の電子メールアドレスを [宛先] フィールドに入力します。

1つの電子メール アドレスのみを追加できます。複数の電子メールアドレスに申請を送信するには、グループ電子メール (配信リスト) を構成できます。

即時要求

即時要求は、ユーザ (一般的にはモバイル ユーザ) が永久的または一時的な構成変更を要求することを許可できます。ユーザが即時要求リンクをクリックすると、発信先の電話番号が表示され、要求の詳細と申請コードが発行されます。申請コードと構成変更要求は IT サポートに送信され、IT サポートはヘルプ デスク ポータルに詳細を入力します。IT サポートは対応コードを生成し、ユーザが [ポリシー変更要求] ダイアログに入力するために送信します。

ユーザは対応コードの入力を3回試行できます。入力を3回失敗すると、ダイアログが閉じ、変更は適用されません。構成されると、ダイアログが閉じ、9091イベントが発生します。ユーザがさらに構成変更を必要としている場合は、手順を最初からやり直す必要があります。コードが正しく入力されると、ユーザのアプリケーション アクセスが昇格します。確認時には、ユーザに昇格の詳細が表示されます。

[要求タイプ] タブで次のフィールドを構成します。

• ヘルプデスク電話番号 - 即時構成変更を要求するためにユーザがかける必要がある電話番号。

• 共有キー - 共有キーは即時申請を処理するために必須の要素であり、構成に組み込まれ、暗号化されています。Application Control 共有キーは、コンソールとヘルプ デスク ポータルの両方で一致する必要があります。共有キーが一致しない場合、対応コードを作成できます、ユーザのエンドポイントへの配布のための構成変更が許可されません。

  共有キーはヘルプデスク ポータルを使用して変更できますが、共有キーがポータルで修正される場合は、同じキーを Application Control コンソールにも入力する必要があります。

構成ファイルの即時要求設定を構成した後に、エンドポイントに配信します。機能が完全に有効化される前に、ヘルプデスク管理者とヘルプデスク オペレータ ロールをサポート チームのメンバーに割り当てる必要があります。構成を配布し、ヘルプデスク管理者ロールが割り当てられると、ヘルプデスク管理者は追加のヘルプデスク オペレータおよび管理者を割り当てたり、削除したりすることができます。

要求方法

[要求方法] タブで、ポリシー変更要求項目のテキストを構成します。

• アクセスが拒否されましたメッセージ ボックスからのリンク
  リンク テキスト - エンドユーザに表示される [アクセスが拒否されました] メッセージボックスに表示される申請リンクのテキスト。既定のテキストは、「このアプリケーションへのアクセスを申請するには、ここをクリックしてください」です。
• ポリシー変更要求
  テキスト - ユーザがポリシー変更申請の資格がある項目を右クリックするときに表示されるメニュー項目のテキスト。
• ポリシー変更申請デスクトップ アイコン
  テキスト - ポリシー変更申請デスクトップ アイコンの名前。ユーザはアイコンをクリックまたは選択して、Application Control ポリシー変更申請ダイアログを開き、変更申請を作成できます。

ISM 統合 (2021.3)

Ivanti Service Manager (ISM) と Application Control の統合により、申請の処理の最適化と完全な監査が可能になります。構成タスクと結果としてエンドユーザが使用できる機能は次の表のとおりです。

Application Control - 管理者タスク	Ivanti Service Desk Manager - 管理者タスク	Application Control- エンドユーザ機能
ISM サーバへのアクセスと、変更申請を作成するときにエンドユーザが使用可能なオプションを構成します。 参照: •ポリシー変更申請オプション - ISM 統合	Application Control テンプレートをインポートし、申請の提供と申請フォームを構成します。ワークフローが想定どおりに実行されることを確認します。 次のリンクをクリックすると、ISM ヘルプ トピックが新しいブラウシング タブが開きます。 •申請の提供を作成 •申請の作成フォーム •ワークフローの修正	ポリシー変更申請を作成および送信し、必要に応じて申請のステータスを監視します。 参照: • エンドポイント ユーザ - ポリシー変更申請の作成 •エンドポイント ユーザ - チャレンジ応答ダイアログ

申請ステータス

すべてのサービス申請のステータスは、ワークフロー内の処理に従って変更されます。プロセスで使用されるさまざまなステージの数と、各ステータスを説明する名前は、ISM システム内で構成されます。

一般的に、サービス申請が最初に作成されたときは、[送信済み] 状態です。レビューされ、特定の条件に対して分析されたときにのみ [承認済み] になります。

[承認済み] 状態のサービス申請のみが Application Control で手配されます。

ポリシー変更申請オプション - ISM 統合

[ポリシー変更申請オプション] では、エンドユーザのポリシー変更申請機能へのアクセスを有効または無効にし、エンドユーザが使用できる申請テンプレートを決定できます。このオプションは、申請を ISM システムに送信する方法と、変更申請を作成するときにエンドユーザに提示される選択肢を決定します。

1.メニューリボンで [グローバル設定] > [ポリシー変更申請オプション] を選択して、[ISM 統合] タブを選択します。

2.ISM システムの詳細を指定します。

• ISM サーバ ISM サーバの Web アドレスを入力します。

•API キー 任意の API キーを入力します。
API キーは ISM 構成インターフェイスで使用できます (Configure \ Security Controls \ API Keys の下)。 使用するキー グループの名前を選択し、API キーを Application Control コンソールにコピーする必要があります。API キーは AppSense 構成で暗号化されます。

•ポーリング間隔 必要に応じて、ポーリング間隔を変更します。

3.使用可能な申請テンプレートが一覧表示されます。初めて使用するとき、または新しいテンプレートを追加するには、[申請テンプレートの参照] を選択します。

[ISM サービス申請の参照] ダイアログが表示されます。使用可能なサービス申請が一覧表示されます。

•[参照] をクリックして、任意の申請を選択します。

•選択したサービス申請は Application Control に固有でなければなりません。また、ステータスは [発行済み] でなければなりません。

•選択したテンプレートが [使用可能な申請テンプレート] に追加されます。

複数の申請テンプレートが存在する場合は、1つのテンプレートを既定で使用するテンプレートに指定できます。既定の申請テンプレートをご参照ください。

4.[ユーザの参照] を選択します

[ISM ユーザの参照] ダイアログが表示されます。ISM システムの従業員データを使用して入力されます。

•[参照] をクリックして、任意のユーザを選択します。

この選択により、申請テンプレートのユーザ (ユーザ固有の申請ではない) が決まるため、このプロセス用にエイリアスまたは代表 ISM ユーザ アカウントを作成することをお勧めします。これで、多数のユーザがテンプレートを使用できます。いずれの場合にも、個別のユーザ名が特定の属性として申請に追加されます。

•選択したユーザが [使用可能な申請テンプレート] に追加されます。

5.[サービス申請の無視] セクションでは、処理を待機している変更申請のリストを管理できます。指定した日付の前に作成された変更申請は無視されます。たとえば、新しい構成が配布され、変更により以前のポリシー変更申請が無効になる場合には、この機能が役立つことがあります。

•任意のラジオボタンを選択し、任意の日付を指定します。

6.[ポリシー変更申請オプション] を入力したら、[OK] を選択して変更を保存します。

Application Control サービス申請テンプレート

Application Control サービス申請テンプレートは Ivanti Marketplace から無料でダウンロードできます。

テンプレートには、アクション、コンポーネント、期間のリストが含まれます。管理者は簡単に項目を削除し、使用可能なオプションがユーザと組織に関連していることを保証できます。たとえば、ユーザが無期限に申請を作成するオプションを削除するには、[期間] リストから [無期限] 値を削除します。

エンドポイント ユーザ - ポリシー変更申請の作成

ISM 統合を有効にすると、エンドポイントユーザがテンプレートで構成された方法に従ってポリシー変更申請を開始して作成できます (ルールの変更要求の構成の手順4を参照)。

申請の開始

デスクトップ アイコン	アクセスが拒否されました - メッセージ ボックス リンク	アクセスが拒否されました - コンテキスト メニュー
エンドポイント ユーザ アクション: 1.デスクトップ アイコンをダブルクリックして、申請を開始します。 2.[リソース タイプの選択] ダイアログで任意のオプションを選択します。 •アプリケーション 必要に応じて、このアプリケーション ダイアログの申請許可を完了します。 •コンポーネント 必要に応じて、このコンポーネント ダイアログの申請許可を完了します。 メモ: コンポーネント アクセスを申請するオプションは、デスクトップ アイコンまたはアプリケーションの [新しい申請] オプションを使用して申請が開始されたときにのみ使用できます。	エンドポイント ユーザ アクション: 1.アクセスが拒否されましたメッセージのリンクを選択します。 あらかじめ入力された申請ダイアログが開きます。 2.必要に応じて、このアプリケーション ダイアログの申請許可を完了します。 次に例を示します。	エンドポイント ユーザ アクション: 1.拒否された項目を右クリックし、コンテキストメニューからアクセスを申請するために必要なオプションを選択します。 このオプションの文は構成可能です。 2.必要に応じて、このアプリケーション ダイアログの申請許可を完了します。

エンドポイント ユーザ - チャレンジ応答ダイアログ

[Application Control チャレンジ応答] ダイアログには、個別のユーザが送信したポリシー変更申請が一覧表示されます。申請ステータスと有効期限が表示されます。

ユーザは申請を右クリックし、コンテキストメニューからオプションを選択できます。

• 詳細 [サービス申請詳細] ウィンドウが表示されます。申請の属性が一覧表示されます。申請ステータスによっては、申請の所有者が含まれます。これにより、必要な進捗状況の追跡や特定の申請の照会が可能です。

•再送信 このオプションが使用可能かどうかは、申請ステータスによって異なります。

ISM サーバへのポーリングがユーザ申請ステータスの変更を返すときに、このダイアログが自動的に表示されます。トースト通知も表示され、タスクバー アイコンによって ISM がアクティブであることが示されます。ユーザは次の方法でいつでもダイアログを開くことができます。

•ポリシー変更申請デスクトップ アイコンをダブルクリックします。

•[新しい申請の作成] を選択しますApplication Control

•タスクバー アイコン () をダブルクリックします。

ISM システムでは、異なるステータス (状態) 名とステータス数を構成できます。一般的に、送信済み、アクティブ、承認済み、有効期限切れが使用されます。

[承認済み] ステータスは、変更申請が手配されたことを示します。たとえば、特定のアプリケーションへのアクセスを申請する場合では、[承認済み] はユーザのアクセスがただちに有効であることを意味します。

ISM 経由で処理されたポリシー変更申請により、管理者は必要に応じて申請承認を取り消すことができます。たとえば、[承認済み] の変更に関するリスクまたは疑問が生じた場合は、ISM 管理者が申請のステータスを [アクティブ] に変更し、助言を求めることができます。ステータスが [アクティブ] に戻されると、アクセス権は保留にされます。

関連トピック

ヘルプ デスク ポータル

メッセージ設定