許可/拒否ルール
許可ルールにより、ファイル、フォルダ、アプリケーション、ネットワーク接続、URL リダイレクトなど特定の項目に対するユーザ、グループ、デバイスのアクセスを、完全な管理者権限を与えることなく許可します。
拒否ルールにより、ファイル、フォルダ、アプリケーション、ネットワーク接続、URL リダイレクトなど特定の項目に対するユーザ、グループ、デバイスのアクセスを拒否します。
ルール作成のワークフロー ステップ:
- どのようなルールを作成するか
- どのような項目を許可/拒否するか。 次のタイプを許可/拒否できます。
- ファイル/アプリケーション: ファイル/アプリケーションの実行の実装
- ネットワーク接続: アプリケーション ネットワーク アクセス コントロール (ANAC) の実装 - ネットワーク接続
- URL: URL リダイレクトの実装
- いつルールを割り当てるか
- 概要と保存
「何」オプション

[ファイル/アプリケーション] オプションを使用すると、特定のアプリケーションまたはファイルの実行を許可/拒否するルールを作成できます。
[ファイル/アプリケーション] を構成するには、「ファイル/アプリケーションの許可/拒否ルールを作成する」をご参照ください。

アプリケーション ネットワーク アクセス コントロール (ANAC) は、ルール処理の結果に基づいて、IP アドレス、ホスト名、URL、UNC、またはポートによって送信用ネットワーク接続を制御する機能を提供します。
以下の接続タイプを利用できます。
-
IP アドレス - 特定の IP アドレスへのアクセスを制御する場合に選択します。
-
ネットワーク共有 - UNC パスへのアクセスを制御する場合に選択します。 接頭語 \\ が [ホスト] フィールドに追加されます。
-
ホスト名 - 特定のホスト名へのアクセスを制御する場合に選択します。
以下の接続オプションを利用できます。
-
ホスト: ネットワーク接続の IP アドレスまたはホスト名。 これは選択した接続の種類によって異なります。 ? および * ワイルドカードを使用できます。 - (ハイフン) を使用して範囲を指定できますが、IP アドレスを選択した場合にのみ使用できます。
-
IP アドレスは IP4 8進形式である必要があります。 例: n.n.n.n
-
接続タイプとしてネットワーク共有を選択した場合は、\\ 接頭語が必要です。
-
[ホスト] には、ターゲット リソースの完全なパスを入力できます。
-
-
ポート: ネットワーク接続のポート番号。 これを IP アドレスまたはホスト名と組み合わせて使用することで、特定のポートへのアクセスを制御できます。 ポート番号の一部として、範囲とコンマ区切りの値が許可されます。
[ポート] をクリックすると、よく使用されるポートのリストが表示されます。 必要な数だけポートを選択します。 -
パス: ネットワーク接続のパス。 ? および * ワイルドカードを使用できます。 使用するには:
-
テキストにワイルドカード文字を含める - パスで文字 ? および * をワイルドカードとして使用する場合に選択します。 選択されていない場合、? と * は URL 区切り文字として扱われます。
-
正規表現を使用する - 選択したパスに正規表現を使用するには、このオプションを選択します。
-
サブディレクトリを含める - ルール処理にサブディレクトリを含める場合に選択します。
-
接続タイプとして [ネットワーク共有] を選択した場合にのみ適用されます。
パスは HTTP を制御する場合にのみ関連します。
-
ANAC を構成するには、「ネットワーク接続/アプリケーション ネットワーク アクセス コントロール (ANAC) の許可/拒否ルールを作成する」をご参照ください。

URL リダイレクトを使用すると、管理者は、ユーザが特定の URL にアクセスしようとしたときに自動的にリダイレクトするルールを作成できます。 禁止された URL のリストを定義することで、リストされた URL にアクセスしようとするユーザを既定の警告ページまたはカスタム Web ページにリダイレクトします。 また、特定の URL を許可するように選択することもできます。これをリダイレクトと組み合わせて使用すると、柔軟性と制御性がさらに高まり、Web サイトの許可リストを作成できるようになります。
* 既定の [アクセスが拒否されました] ページには、ブロックされた URL が表示されます。
* Chrome および Edge ブラウザ内での URL リダイレクトの場合、すべての管理対象エンドポイントがドメインの一部である必要があります。
URL リダイレクトを構成するには、「URL の許可/拒否ルールを作成する」をご参照ください。
許可/拒否ルールの作成 - 何を許可しますか?

- [何を行いますか?] ページで、[許可/拒否を行います] を選択します。
- [次へ] をクリックします。
[許可/拒否ルール - 何を許可/拒否しますか?] ページが表示されます。 - 次のオプションを選択し、[次へ] をクリックします。
- ファイル/アプリケーション: 特定のアプリケーションまたはファイルの実行を許可/拒否します。
- [ソースを選択] で、ドロップダウンを使用して項目のソースを選択します。 以下から選択します:
- [信頼できる所有者によってブロックされている] (許可ルールのみに適用されます): 信頼できる所有者によって所有されていないためにブロックされているとアプリ コントロールが記録しているすべての項目のリストが [ソース項目] セクションに自動入力されます。
- アプリ テンプレート: [ソース項目] セクションに、アプリ コントロールで作成されたすべてのアプリ テンプレートのリストが自動入力されます。
- または、[ファイルを手動で追加] を選択して ルール項目設定 パネルを表示すると、どのファイルに対して許可ルールを作成するかを指定できます。
- 必要な項目を選択します。 選択した各項目が [選択済みの項目] セクションに追加されます。
をクリックして ルール項目設定 パネルを開くと、項目設定 [プロパティ] と [メタデータ] を編集できます。
- [次へ] をクリックします。
[許可/拒否ルール - これをいつ割り当てますか?] ページが表示されます。 - 「許可/拒否ルールの作成 - いつ割り当てられるのか? および概要」の手順に進みます。

- [何を行いますか?] ページで、[許可/拒否を行います] を選択します。
- [次へ] をクリックします。
[許可/拒否ルール - 何を許可/拒否しますか?] ページが表示されます。 - 次のオプションを選択します。
- ネットワーク接続: 特定のネットワーク接続を許可/拒否します。
- [ソースを選択] で、ドロップダウンを使用して [ネットワーク接続] を選択します。
- [ネットワーク接続] で、接続タイプを指定し、関連するホスト、ポート、またはパスを入力して接続の詳細を構成します。
- IP アドレス: IP アドレスまたは IP アドレスの範囲を許可/拒否します。
- ネットワーク共有: ネットワーク共有を許可/拒否します。 [ホスト] にネットワーク共有へのパスを入力します。
- ホスト名: ホストを許可/拒否します。 ホスト名を入力します。
- IP アドレス: IP アドレスまたは IP アドレスの範囲を許可/拒否します。
- [追加] > [次へ] をクリックします。
[許可/拒否ルール - これをいつ割り当てますか?] ページが表示されます。 - 「許可/拒否ルールの作成 - いつ割り当てられるのか? および概要」の手順に進みます。

- [何を行いますか?] ページで、[許可/拒否を行います] を選択します。
- [次へ] をクリックします。
[許可/拒否ルール - 何を許可/拒否しますか?] ページが表示されます。 - 次のオプションを選択します。
- URL: 特定の URL を許可/拒否します。
- [ソースを選択] で、ドロップダウンを使用して [URL] を選択します。
- [URL] で、アクセスを許可/拒否する URL を指定します。
- (任意): 拒否ルール: アクセス拒否に表示する適切なオプションを次から選択します。
URL が拒否された場合に Application Control の既定の警告ページを表示する
URL が拒否された場合にカスタム ページを表示する
表示する URL を入力します。
- [追加] > [次へ] をクリックします。
[許可/拒否ルール - これをいつ割り当てますか?] ページが表示されます。 - 「許可/拒否ルールの作成 - いつ割り当てられるのか? および概要」の手順に進みます。
許可/拒否ルールの作成 - いつ割り当てられるのか? および概要

- [ソースを選択] で、ドロップダウンを使用して項目のソースを選択します。選択または追加したソースが [選択済みの項目] セクションに表示されます。 以下から選択します:
- AD グループ: AD の表示名とグループ名がリストされます。検索とフィルタを使用してリストを絞り込めます。 または、[手動で追加] をクリックして、手動でグループを追加できます。
- [AD ユーザ]: domain\username と入力し、[追加] をクリックします。
- アプリ コントロール ユーザ: アプリ コントロールが記録したイベントの対象ユーザのユーザ名。 必要なユーザを選択します。
- コンピュータ グループ: コンピュータ グループ (例: CN=ComputerGroup) を入力します。 ネストされたグループを含める場合は、[ネストされたグループを検索] を選択します。 [追加] をクリックします。
- デバイスの組織単位: 組織単位 (例: OU=Corporation) を入力します。 下位の組織単位を含める場合は、[下位 OU を含める] を選択します。 [追加] をクリックします。
- デバイス: Neurons で検出されたすべての Windows デバイスのデバイス名とホスト名がリストされます。検索とフィルタを使用してリストを絞り込めます。 または、[手動で追加] をクリックすることで、手動でデバイスを追加できます。
- IP アドレス: IP アドレスを入力し、IP アドレスに正規表現をマッチさせるかどうかを選択します。 [追加] をクリックします。
例:- 192.168.0.1: IP が192.168.0.1であるクライアント デバイスを選択する
- 192.168.0.*: IP が192.168.0.<any>であるクライアント デバイスを選択する
- 192.168.0.15-25: IP 範囲192.168.0.15~192.168.0.25内にあるクライアント デバイスをすべて選択する
- または、「全員」グループを対象にルールを作成するには [全員] を選択します。これには、構成が正常に配布されたデバイスにログオンした、管理者を除くすべてのユーザが含まれます。
- [選択済みの項目] での作業が完了した後、 [次へ] をクリックします。
[ルールとルールの概要の保存] ページが表示されます。 - ルールの [名前] を入力し、説明 (任意) を入力します。
- [カテゴリ] に、ルールのカテゴリ タグ (任意) を入力します。
既存のカテゴリを追加することも、新しいカテゴリを作成することもできます。 ルールに割り当てたカテゴリは、[構成ルール] 表で確認できます。- 追加するには: [カテゴリ] をクリックして、既存のカテゴリのドロップダウン リストを表示し、必要なカテゴリを選択します。
- 作成するには: [カテゴリ] をクリックし、新しいカテゴリのタグを入力し、フィールドの外側をクリックしてカテゴリを作成し、保存します。
- ルールのステータスは既定で [アクティブ] になります。このルールをまだアクティブにしたくない場合は、[ルール ステータス] をオフに切り替えます。
- [保存] をクリックすると、ルールが保存され、構成に戻ります。新しいルールが [ルール] セクションにリストされています。
または、[保存してもう1つ追加] をクリックすると、ルールが保存され、[何を行いますか?] ページに戻りますので、構成用の別のルールを作成します。 - 構成にすべてのルールを追加した後、[保存] をクリックして構成を下書きとして保存します。 または、[保存して公開] をクリックして、構成のこのバージョンを保存します。
公開すると、この構成をポリシーへの割り当てに使用できるようになります。