カスタムポリシー
ライセンス:Platinum
対象デバイス:Android、iOS、macOS、Windows
デバイスやユーザーの属性、セクション基準、値、指定するコンプライアンスアクションに基づいてカスタムポリシーを作成できます。
カスタムポリシーを定義する際にはAndroidセキュリティパッチレベル設定も使用可能です。
カスタムポリシーの追加
- [ポリシー] に進みます。
- [+追加] をクリックします。
- [カスタムポリシー] を選択します。
- カスタムポリシーに名前を付けます。
- 必要であれば [+説明を追加] をクリックして詳細を追加します。
- Rule Builderを使用し、条件がtrueと判断された場合にアクションをトリガーする条件を定義します。 条件の作成に関するガイダンスについては、条件設定の理解を参照してください。 Ivanti Neurons for MDM 92 以降、ルールビルダーで「ユーザーグループ名」属性が選択されている場合、Ivanti Neurons for MDM Administratorは重複するユーザーグループ数と、重複するグループを識別するGUID番号を表示します。また、このルールの下の表には、重複するユーザーグループのリストと、ユーザーグループ名、GUID、ソース、識別名(DN)などの詳細が表示されます。
- 指定した条件を満たした場合に実行するコンプライアンスアクションを選択します(以下のデフォルトアクションを参照)。 「待機」アクションを他のアクションの間に追加することにより、デバイスユーザーは、次のアクションが実行される前にデバイスを修正し、コンプライアンスを回復できます。たとえば、警告メッセージを送り、24時間経ってから検疫を適用します。
- デフォルトでオフになっている [デバイスがコンプライアンス状態に戻ったときに通知を送信] オプションを選択します。
- メールを送信 - デバイスがコンプライアンス状態に戻ったときに、デバイスユーザーのメールアドレスに通知メールを送信します。
- [コンプライアンスポリシーメールテンプレートの使用] オプションをオンにし、ここで設定するメッセージを、メールテンプレートのブランディングのメールテンプレートのカスタマイズに記載されているとおりにポリシー通知メールテンプレートに挿入します。概要は、ポリシーコンプライアンス通知メールの構成と使用をご覧ください。
- メッセージをカスタマイズして任意の置換変数を含めることにより、受信者にポリシー違反に関する詳細や他の関連情報を与えることもできます。 以下の属性タイプをクリックし、完全な変数リストを表示してください。
- ${nameOfPolicy}、${nextAction}、${nonComplianceTime}を含むポリシー属性
- ${sAMAccountName}、${userCN}、${userEmailAddressDomain}を含むユーザー属性
- ${deviceClientDeviceIdentifier}、${deviceIMEI}、${deviceModel}を含むデバイス属性
- [管理] > [属性] ページから作成したカスタムデバイス/ユーザー/LDAP属性
- [コンプライアンスポリシーメールテンプレートの使用] オプションをオンにし、ここで設定するメッセージを、メールテンプレートのブランディングのメールテンプレートのカスタマイズに記載されているとおりにポリシー通知メールテンプレートに挿入します。概要は、ポリシーコンプライアンス通知メールの構成と使用をご覧ください。
- プッシュ通知を送信 - デバイスがコンプライアンス状態に戻ったときにプッシュ通知を送信します。
- 両方を送信 - デバイスがコンプライアンス状態に戻ったときに、デバイスユーザーのメールアドレスに通知メールを送信し、デバイスにプッシュ通知も送信します。 メッセージをカスタマイズして任意の置換変数を含めることにより、前に「メールを送信」で述べた情報を与えることもできます。
- メールを送信 - デバイスがコンプライアンス状態に戻ったときに、デバイスユーザーのメールアドレスに通知メールを送信します。
デフォルトアクション:
- モニター - 現在、常に選択されています。 段階的コンプライアンスアクションを利用するにはSentryバージョン9.0.0以降が必要です。
- 何もしない
- 通知を送信
- メールを送信 - デバイスユーザーのメールアドレスにデバイスのコンプライアンス違反を通知するメールを送信します。
- ポリシー通知メールテンプレートは上記のように使用します。
- メッセージをカスタマイズして任意の置換変数を含めることにより、受信者にポリシー違反に関する詳細や他の関連情報を与えることもできます。 これによりコンプライアンス違反デバイスのユーザーは、ポリシー違反に関する情報を得て適切な対策を取ることができます。 以下の属性タイプをクリックし、完全な変数リストを表示してください。
- ${nameOfPolicy}、${nextAction}、${nonComplianceTime}を含むポリシー属性
- ${sAMAccountName}、${userCN}、${userEmailAddressDomain}を含むユーザー属性
- ${deviceClientDeviceIdentifier}、${deviceIMEI}、${deviceModel}を含むデバイス属性
- [管理] > [属性] ページから作成したカスタムデバイス/ユーザー/LDAP属性
- プッシュ通知を送信 - デバイスがコンプライアンス違反であることを伝えるプッシュ通知を送信します。
- 両方を送信 - デバイスユーザーのメールアドレスにデバイスのコンプライアンス違反を通知するメールを送信し、デバイスにプッシュ通知も送信する場合に選択します。 メッセージをカスタマイズして任意の置換変数を含めることにより、前に「メールを送信」で述べた情報を与えることもできます。
- メールを送信 - デバイスユーザーのメールアドレスにデバイスのコンプライアンス違反を通知するメールを送信します。
- ブロック - Sentryを使用し、マネージドデバイスによるメールとAppConnect対応アプリケーションへのアクセスをブロックします。 ブロックアクションを利用するにはSentryバージョン9.0.0以降が必要です。
- 撤去 - デバイスを撤去します。 このアクションは取り消しができません。 たとえば、ユーザー有効条件を使用し、すべての無効なユーザーのデバイスを撤去するルールも設定できます。
- 待機 - ユーザーが違反を修正できるよう、所定の時間(時間または日数)だけアクションを遅らせます。デバイスがコンプライアンス違反を続けた場合には、さらなるアクションが実行されます。
- 検疫 - 以下のアクションにより、アプリ、コンテンツ、サーバーへのアクセスを停止します。
(任意)追加検疫アクション 説明 マネージドアプリを隔離 Ivanti Neurons for MDM マネージドアプリをデバイスから削除し、「新規アプリダウンロードをブロック」オプションを有効化して、デバイスにアプリが再インストールされるのをブロックします。
以下のオプションから1つ選択してください:
- すべてのアプリケーション
- 指定したアプリケーション - 検索または手動で1つ以上のアプリを追加します(バンドルIDまたはパッケージ名を使用)。 [アプリを表示] タブをクリックすると、追加されたアプリのリストが表示されます。[アプリストアへのアクセスをブロック] というデフォルトの検疫アクションは利用できません。
特定のデバイスでは、検疫アクションによりアプリがデバイスから削除されることはありません。これは特定のデバイス制限によるものです。
新規アプリダウンロードをブロック デバイスへの新規アプリのダウンロードを防止します。
以下のオプションから1つ選択してください:
- すべてのアプリケーション
- 指定したアプリケーション - 検索または手動で1つ以上のアプリを追加します(バンドルIDまたはパッケージ名を使用)。 [アプリを表示] タブをクリックすると、追加されたアプリのリストが表示されます。[アプリストアへのアクセスをブロック] というデフォルトの検疫アクションは利用できません。
デフォルトではこのオプションが選択され(すべてのアプリケーションと指定したアプリケーションの両方)、選択を解除することはできません。 これでアプリがデバイスに再インストールされるのを防ぎます。
コンフィグレーションの削除 Ivanti Neurons for MDM 構成をデバイスから削除します。
以下のオプションから1つ選択してください:
- すべての構成
- 指定した構成 - リストから1つ以上の構成を選択するか、構成を検索します。 [選択した構成] タブをクリックすると、選択した構成のリストが表示されます。
指定した構成をプッシュ
カスタムコンプライアンスの一環として指定した構成を配布します。
このリストは、以下の基準を満たす構成を含みます。
- 有効な構成
- 非システム構成
- 検疫可能な構成
- 現在のスペースで作成された、またはデフォルトスペースから委譲された構成
検疫不可能な構成のリストは、検疫不可能な構成を参照してください。
詳細については、指定した構成のプッシュ セクションの、この手順の後を参照してください。
コンテンツを削除 Ivanti Neurons for MDM によって配布されたアプリに関連するすべてのコンテンツとメディアをデバイスから削除します。 個人用アプリを保留
検疫デバイスの個人側にあるアプリを保留中であり、それを機能させるには、ユーザーがデバイスのコンプライアンス問題に対処する必要があることを示します。 企業所有デバイスの仕事用プロファイルとしてプロビジョニングされたAndroid 11+のデバイスでサポートされます。
デフォルトの検疫アクション - これらのアクションは常に実行されます。 App Storeへのアクセスをブロック デバイスが Ivanti Neurons for MDM 経由でアプリストアにアクセスするのを防止します。
コンテンツストアへのアクセスをブロック デバイスが Ivanti Neurons for MDM 経由でコンテンツストアにアクセスするのを防止します。 AppConnectをブロック デバイスがAppConnect機能を使用するのを防止します。 AppTunnelをブロック デバイス上のアプリケーションがAppTunnel経由でコンテンツとサーバーにアクセスするのを防止します。 ActiveSyncをブロック デバイスがActiveSyncサーバー経由でメールにアクセスするのを防止します。 - [はい] のチェックボックスをクリックし、このポリシーが過去にデバイスに適用されたことがあった場合、階層型ポリシーの追加によってポリシーと過去に適用されたコンプライアンスアクションがリセットされることを理解したことを承認します。次のデバイスチェックインで新しいカスタムポリシーが有効になります。 撤去を選択した後、[はい] をクリックして操作を取り消せないことを確認します。
- [次へ] をクリックし、ポリシーとアクションを適用するデバイスを構成します。
- [完了] をクリックします。
次の表は、Ivanti Neurons for MDMが検疫アクションの開始プログラムである場合の、各種Androidデバイス上の検疫動作を示します。
|
デバイス |
検疫動作 |
|---|---|
|
|
|
|
Goクライアントアプリでデバイス管理モードのSamsung以外のデバイス AppStationアプリによるMAM |
|
|
GoクライアントアプリでAndroid Enterprise |
|
指定した構成のプッシュ
カスタムコンプライアンスの一環として指定した構成を配布します。 デバイスがコンプライアンス違反になったときに構成セットを配布するよう、カスタムポリシーを構成してください。 デバイスのステータスが非コンプライアンスからコンプライアンスに変わった場合、修復アクションの一環としてデバイスを前の状態にリセットします。
[指定した構成をプッシュ] タブで非委譲構成を持つカスタムポリシーを管理者が委譲しようとするとエラーが発生します。
以下は、所定の条件下で構成がカスタムポリシーによってプッシュされるときの挙動です。
|
条件 |
挙動 |
|---|---|
| 優先度を設定した2つの同じ種類の構成が選択されています | 優先度の高い構成がデバイスにプッシュされます。 |
| 優先度が設定されていない2つの同じ種類の構成が選択されている | 両方の構成がデバイスにプッシュされ、 予期しない挙動につながる場合があります。 |
| カスタムポリシーで定義された優先度をサポートする同じ種類の構成がデバイスにすでに存在するとき | カスタムポリシーに定義されている構成が優先され、デバイスにプッシュされます。 デバイスに既存の構成が優先度に関係なく削除されます(カスタムポリシーに定義されている構成より優先度が高い場合でも)。 |
| カスタムポリシーで定義された優先度をサポートしない同じ種類の構成がデバイスにすでに存在するとき | カスタムポリシーに定義されている構成がデバイスにプッシュされます。 両方の構成がデバイスに存在することになり、 予期しない挙動につながる場合があります。 |
| カスタムポリシーを作成した後に構成の優先度が変更されている場合 | デバイスチェックインの際、カスタムポリシーの一環であれば、最も優先度の高い構成がプッシュされます。 |
|
両方の条件を満たしているとき:
|
カスタムポリシーに定義されている構成が削除され、既存のデバイスグループのアプリケーションを通じて検疫前のデバイス上の同じ種類の構成がプッシュされます。これによりデバイスは元の状態に戻ります。 |
検疫アクションで、[指定した構成をプッシュ] とともに [検疫を削除] を選択している場合、以下のルールにご注意ください。
- すべての構成を削除 + 指定した構成をプッシュ:この場合、デバイスからすべての構成が削除され、[指定した構成をプッシュ] から選択した構成がデバイスにプッシュされます。
- 両方の選択で共通の構成を使用して、(1つのカスタム ポリシーで) 指定した構成を削除し、(別のカスタム ポリシーで) 指定した構成をプッシュします。2つの異なる準拠ポリシーで構成が選択されるため、最も厳しいアプローチが適用されます。例: 構成はデバイスから削除されます。
カスタムポリシーは、デフォルトのスペースからカスタムスペースに委譲できます。 カスタムポリシーを委譲するには、[指定した構成をプッシュ] タブでカスタムポリシーに言及されている構成をスペースに委譲する必要があります。
[デバイス] ページでデバイス名をクリックし、デバイスの詳細ページを開いてください。[構成] タブでは、デバイスにプッシュされる構成の配布方法が [配布方法] のカラムに表示されます。 配布方法は「デバイスグループ」か「コンプライアンスアクション」です。
構成ページでは、デバイスグループとコンプライアンスアクション経由で各構成を受け取ったデバイス数をIvanti Neurons for MDMが表示します。
条件設定の理解
次の表は、規則の構築に使用できるフィールドについての説明です。
|
UIフィールド |
説明 |
可能性のある値 |
サポート対象のプラットフォーム |
|---|---|---|---|
|
APNS対応 |
このフィールドはデバイスがAPNS対応かどうかを示します。 |
可能性のある演算子:
[はい] か [いいえ] のいずれかの値となります。 |
iOS/macOS/Android |
|
Bootstrapトークンを利用できます |
このフィールドはデバイスがBootstrapトークンを利用できるかどうかを示します。 |
可能性のある演算子:
[はい] か [いいえ] のいずれかの値となります。 |
macOS |
| クライアントの前回のチェックイン | このフィールドは、クライアントの前回のチェックイン時間を示します。 |
可能性のある演算子:
最後のチェックイン時間の数値を入力します。 時間の長さについて次を選択します。
例:クライアントの最後のチェックインは過去12時間以内です。 |
iOS/macOS/Android |
|
クライアント登録 |
このフィールドは、登録されたクライアントのステータスを示します。 |
可能性のある演算子:
[はい] か [いいえ] のいずれかの値となります。 |
iOS/macOS/Android |
|
侵害 |
このフィールドは、デバイスがルート化/侵害されているかどうかを示します。 |
可能性のある演算子:
取り得る値は次のとおりです。
|
iOS/Android |
|
現在の国名 |
このフィールドは、デバイスが現在接続されていることを報告するモバイル国コード(MCC)またはモバイルネットワークコード(MNC)に対応する現在の国の名前を示します。 |
可能性のある演算子:
値は本国名を示すドロップダウンリストの値となります。 |
iOS/macOS/Android |
| 現在のMCC | このフィールドは現在のモバイル国コードを示します。 |
検証する属性の値を入力します。 可能性のある演算子:
|
iOS/macOS/Android |
| 現在のMNC | このフィールドは現在のモバイルネットワークコードを示します。 |
検証する属性の値を入力します。 可能性のある演算子:
|
iOS/macOS/Android |
|
カスタムデバイス属性 |
このフィールドは、属性の値を検証する規則の条件として既存のカスタムデバイス属性を追加することを許可します。 |
検証する属性の値を入力します。 可能性のある演算子:
値は、スペースとUnicode文字を含むASCII文字列でもかまいません。 |
iOS/macOS/Android/Windows |
|
カスタムLDAP属性 |
このフィールドは、属性の値を検証する規則の条件として既存のカスタムLDAP属性を追加することを許可します。 |
検証する属性の値を入力します。 可能性のある演算子:
値は、スペースとUnicode文字を含むASCII文字列でもかまいません。 |
iOS/macOS/Android/Windows |
|
カスタムユーザー属性 |
このフィールドは、属性の値を検証する規則の条件として既存のカスタムユーザー属性を追加することを許可します。 |
検証する属性の値を入力します。 可能性のある演算子:
値は、スペースとUnicode文字を含むASCII文字列でもかまいません。 |
iOS/macOS/Android/Windows |
|
データローミング |
このフィールドは、属性の値を検証する規則の条件としてデータローミングを使用することを許可します。 |
可能性のある演算子:
[はい] か [いいえ] のいずれかの値となります。 デバイスがこのフィールドに関する情報を提供していない場合、デフォルト値は「いいえ」となります。 |
iOS/Android |
|
デバイスの種類 |
このフィールドは、デバイスモデルを示します。 |
可能性のある演算子:
値はテキスト値となります。 |
iOS/macOS/Android/Windows |
|
暗号化有効 |
このフィールドは、デバイスの暗号化/データ保護が有効化されているかどうかを示します。 |
はい - デバイスの暗号化/データ保護が有効化されています。 |
iOS/Android/Windows |
| GUID | このフィールドはデバイスのGUIDを示します。 |
可能性のある演算子:
|
iOS/macOS/Android/Windows |
|
本国 |
このフィールドは、デバイスのSIMまたはeSIMがにプログラミングされているモバイル国コード(MCC)またはモバイルネットワークコード(MNC)に対応する本国名を示します。 |
可能性のある演算子:
値は本国名を示すドロップダウンリストの値となります。 |
iOS/Android/Windows |
| 失敗したWindows Updateがあります | このフィールドは、デバイスが最新の更新ルールに対してコンプライアンス違反かどうかを示します。 |
はい - デバイスが最新の更新に適合していません。 いいえ - デバイスが最新の更新に適合しています。 |
Windows |
| ホームMCC | このフィールドは自宅のモバイル国コードを示します。 |
検証する属性の値を入力します。 可能性のある演算子:
|
iOS/macOS/Android |
| ホームMNC | このフィールドは自宅のモバイルネットワークコードを示します。 |
検証する属性の値を入力します。 可能性のある演算子:
|
iOS/macOS/Android |
| IMEI | このフィールドは第1のSIMスロットのIMEI番号を示します。 |
可能性のある演算子:
|
iOS/Android/Windows |
| IMEI2 | このフィールドは第2のSIMスロットのIMEI番号を示します。 |
可能性のある演算子:
|
Android |
| IMSI | このフィールドはSIMカードのIMSI番号を示します。 |
可能性のある演算子:
|
Android/Windows |
|
最新のチェックイン |
このフィールドでは、MDMチャネル経由でのマネージドデバイスの前回のチェックイン時間に関連する条件を設定します。 |
可能性のある演算子:
最後のチェックイン時間の数値を入力します。 時間の長さについて次を選択します。
例:前回のチェックインは12時間以上前です。 |
iOS/macOS/Android/Windows |
|
最後のホットフィックスID |
このフィールドでは、前回のホットフィックスIDに関連する条件を設定します。 |
可能性のある演算子:
|
Windows
|
|
インストールされた最後のホットフィックス |
このフィールドでは、前回インストールされたホットフィックスに関連する条件を設定します。 |
可能性のある演算子:
|
Windows
|
|
ロケーターサービス有効 |
このフィールドは、デバイスでデバイスロケーターサービス(「iPhoneを探す」など)が有効化されているかどうか示します。 |
可能性のある演算子:
[はい] か [いいえ] のいずれかの値となります。 |
iOS |
|
製造者 |
このフィールドでは、ユーザーがデバイスのメーカーに関する条件を設定できます。 |
可能性のある演算子:
取り得る値は次のとおりです。
|
iOS/macOS/Android/Windows |
|
MDM管理 |
このフィールドは、デバイスでMDM/デバイス管理が有効化されているかどうかを示します。 |
可能性のある演算子:
[はい] か [いいえ] のいずれかの値となります。 |
iOS/macOS/Android |
|
OS |
このフィールドは、デバイスのOSタイプを示します。 |
可能性のある演算子:
取り得る値は次のとおりです。
|
iOS/macOS/Android/Windows |
|
OSビルドバージョン |
このフィールドは、デバイスのOSビルドバージョンを示します。 |
可能性のある演算子:
|
iOS/macOS/Android/Windows
|
|
OSバージョン |
このフィールドは、デバイスのOSバージョンを示します。 |
可能性のある演算子:
値はテキストとなります。 |
iOS/macOS/Android/Windows |
|
オーナーシップ |
このフィールドは、デバイスの所有者タイプを示します。 |
可能性のある演算子:
取り得る値は次のとおりです。
|
iOS/macOS/Android/Windows |
|
プロファイル準拠パスコード |
このフィールドは、デバイスのパスコードがプロファイルの要件に適合しているかどうかを示します。 |
可能性のある演算子:
[はい] か [いいえ] のいずれかの値となります。 |
iOS/macOS/Android |
|
個人ホットスポット有効 |
このフィールドは、デバイス上で個人ホットスポット機能が有効かどうかを示します。 |
可能性のある演算子:
[はい] か [いいえ] のいずれかの値となります。 個人ホットスポット設定は一部の通信事業者にのみ対応しています。 |
iOS |
| 電話番号 | このフィールドはデバイスの電話番号を示します。 |
可能性のある演算子:
|
iOS/Android/Windows |
|
ローミング |
このフィールドは、デバイスのローミングステータスを示します。 |
可能性のある演算子:
[はい] か [いいえ] のいずれかの値となります。 |
iOS/Android/Windows |
|
Sentryによるブロック |
デバイスが Sentry によってブロックされているかどうかを示します。 |
可能性のある演算子:
[はい] か [いいえ] のいずれかの値となります。 |
iOS/macOS/Android/Windows |
| ステータス | このフィールドは登録ステータスを示します。 |
可能性のある演算子:
可能性のあるデフォルト値は「アクティブ」です。 デバイスの状態を「アクティブ」に限定するため、カスタムポリシーにおいて他の可能な値は削除されています。これは、ポリシー評価がデバイスチェックイン時にのみ実行され、アクティブなデバイスだけがチェックインしてポリシーを評価されるためです。 |
iOS/macOS/Android |
| シリアル番号 | このフィールドはデバイスのシリアル番号を示します。 |
可能性のある演算子:
|
iOS/macOS/Android/Windows |
|
監視対象 |
このフィールドは、デバイスが監視されているかどうかを示します。 |
可能性のある演算子:
[はい] か [いいえ] のいずれかの値となります。 |
iOS/macOS |
|
補足的ビルドバージョン |
このフィールドは、デバイスの補助的ビルドバージョンを示します。 |
可能性のある演算子:
|
iOS/macOS |
|
補足的OS/バージョンエクストラ |
このフィールドは、デバイスの補助的OSビルドバージョンを示します。 |
可能性のある演算子:
|
iOS/macOS |
|
ユーザー有効 |
このフィールドは、ユーザーが有効化されているかどうかを示します。 |
可能性のある演算子:
[はい] か [いいえ] のいずれかの値となります。 |
iOS/macOS/Android/Windows |
|
ユーザーグループ |
このフィールドは、ユーザーグループを示します。 |
可能性のある演算子:
|
iOS/macOS/Android/Windows |
|
音声ローミング |
このフィールドは、デバイス上で音声ローミングが有効かどうかを示します。 |
可能性のある演算子:
[はい] か [いいえ] のいずれかの値となります。 音声ローミング設定は一部の通信事業者にのみ対応しています。 音声ローミングを無効化するとデータローミングも無効化されます。 デバイスがこのフィールドに関する情報を提供していない場合、デフォルト値は「は次と等しくない:」となります。 |
iOS |
|
Accessによるブロック |
デバイスがAccessによってブロックされているかどうかを示します。 |
可能性のある演算子:
[はい] か [いいえ] のいずれかの値となります。 |
iOS/macOS/Android/Windows |
|
コンプライアンス |
デバイスが準拠しているかどうかを示します。 |
可能性のある演算子:
可能性のある値は [準拠] と [非準拠] です。 |
iOS/macOS/Android/Windows |
|
コンプライアンスアクションによるブロック |
デバイスがブロックされているかどうかを示します。 |
可能性のある演算子:
[はい] か [いいえ] のいずれかの値となります。 |
iOS/macOS/Android/Windows |
検疫不可能な構成
以下の表は検疫不可能な構成のリストです。
|
OS |
検疫不可能な構成 |
|---|---|
| Android |
|
| iOSとmacOS |
|
| Windows |
|
|
すべて |
|
[ポリシー] ページが表示されない場合、必要な権限を持っていない可能性があります。 以下のいずれかの役割が必要です。
-
デバイス管理
-
読み取り専用デバイス