デバイストラストを使用すると、Boxへのアクセスに使用するデバイスに対して最小限の要件を定義して、企業のコンプライアンスとセキュリティポリシーを適用することができます。デバイストラストの検証は、管理対象ユーザーのログイン時に適用され、監査専用モードが有効になっている場合を除き、アクセスできなくなります (監査専用モードの詳細については、ページの下部までスクロールしてください)。
注
Enterprise設定を編集できる管理者および共同管理者には、デバイストラストのチェックは適用されません。これは、管理者が誤って管理コンソールからロックアウトされないようにするためです。
FTPを介してログインするユーザーにも、デバイストラストのチェックは適用されません。
デバイスポリシーの使用
デバイストラストを有効にし、制限を設定すると、これらの要件を満たしていないユーザーには、次のような画面が表示され、Boxにアクセスできなくなります。
管理対象ユーザーに対するデバイストラストの有効化
- [管理コンソール] > [Enterprise設定] に移動します。
- [デバイストラスト] タブを選択します。
- [作成] をクリックします。
デバイストラストポリシーの作成
ポリシーの作成プロセスを開始すると、まずポリシー名を指定してから、ポリシーの目的を明確にするために説明を入力します。
セキュリティレベルの適用:
デバイストラストポリシーを使用してさまざまなセキュリティレベルを会社に追加する必要がある場合は、以下のことが可能です。
- すべてのユーザーに対して有効にする
- 選択したユーザーグループに対して有効にする
- グループ名を入力してグループを選択し、[保存] をクリックします。
- 選択したユーザーグループを除くすべてのユーザーに対して有効にする
- グループ名を入力してグループを選択し、[保存] をクリックします。
監査専用モード
デバイストラストの要件を適用する前に、監査専用モードを有効にすることで、ユーザーに影響を及ぼすことなく設定をテストできます。この設定は、Boxインスタンスでのアクセスの監視にも使用されます。
注
監査専用モードが有効になっている場合、ユーザーは操作に影響を受けることなく、ログインできます。詳細については、下記の監査専用モードに関するセクションを参照してください。
詳細の構成
デバイストラストの所有者要件やセキュリティ要件を適用するBoxアプリケーションを選択します。オンに切り替えていないアプリケーションには、デバイストラストの要件を満たしていなくてもユーザーがアクセスできます。
- [ウェブアプリおよびサードパーティ製アプリ] オプションをオンにすると、モバイルデバイスからBoxウェブアプリにアクセスできなくなります。 ただし、[ウェブアプリおよびサードパーティ製アプリ] をオンにしても、m.box.comでモバイルサイトにアクセスしたり、m.box.comからリダイレクトされてBoxウェブアプリにアクセスしたりすることは可能です。このようなアクセスを制限する必要がある場合は、以下のいずれかを実行してください。
- プラットフォームの追加の制限を有効にする
- [管理コンソール] > [アプリ] > [Box公式アプリ] > [モバイルウェブおよびアクセシビリティ] でm.box.comへのアクセスを無効にする
- また、コンピュータの場合は、必要なデバイストラストセキュリティチェックをウェブアプリで実施できるようにBox Toolsをインストールしておく必要があります。
- デバイストラストは、EMM (エンタープライズモバイル管理) 以外のモバイルアプリのみに適用されます。デバイストラストのセキュリティチェックはEMMアプリでは実行されません。EMMアプリの場合、管理者はMDMプロバイダ経由で同じ機能を適用できます。
制限の範囲を選択します。[デバイス所有者要件] と [デバイスセキュリティ要件] をともに満たすことを条件とするか、どちらか一方を満たせばアクセスできるように設定できます。
注
デバイス所有者要件では、ドメインメンバーシップと証明書プレゼンスの両方を要求するか、どちらか一方を要求するかを決定できます。
次に、それぞれのデバイスとOSに適用するチェック項目を選びます。それぞれ使用できる検証について、以下に説明します。
macOSおよびWindows
- OSの最小バージョンを要求する: セキュリティ機能が強化された新しいバージョンのmacOSおよびWindows OSに適用できます。最小対応バージョンは以下のとおりです (括弧内のサーバーOSバージョンに対応)。
- Windowsの場合:
- Windows 7
- Windows 7 SP1
- Windows 8 (Windows Server 2012)
- Windows 8.1 (Windows Server 2012 R2)
- Windows 10 (Windows Server 2016)
- Windows 11
- macOSの場合:
- Mavericks (10.9)
- Yosemite (10.10)
- El Capitan (10.11)
- Sierra (10.12)
- High Sierra (10.13)
- Mojave (10.14)
- Catalina (10.15)
- Big Sur (11.0)
- Windowsの場合:
- ウイルス対策ソフトのインストールとアップデートを必須にする*: デバイスにウイルス対策ソフトをインストールしてアップデートすることで、アクセスする機密コンテンツの保護機能を向上させます。
- Windows: Windowsセキュリティセンターでウイルス対策の状況を確認
- Mac: McAfee (+ePO)、Symantec、Norton、Trend Micro、ESET、Sophos、Kaspersky、Cisco AMP、AVG、Cortex XDR、CarbonBlack、CrowdStrike Falcon、Jamf Protect、FireEye、またはMicrosoft Defenderを確認
- ファイアウォールの有効化を必須にする*: ファイアウォールによるデバイスの保護を強制できます。
- Windowsの場合: Windowsセキュリティセンター
- Macの場合: OS Xファイアウォール
- すべてのディスクの暗号化を必須にする: ディスク暗号化ソフトウェアの使用を必須にして、データ紛失に対する保護を強化します。
- Windowsの場合:
- Bitlocker
- Symantec Encryption Software (PGP搭載)
- McAfee
- Check Point
- Macの場合:
- FileVault
- Check Point
- Windowsの場合:
* このマークが付いている項目では、Windows Server OSはサポートされていません。
iOS
- デバイスのパスコード: デバイスでのパスコード設定を要求します。
- Jailbreak (脱獄) の検出: 脱獄していないデバイスを要求します。
- 最小OS: デバイスに最小バージョンのiOSおよびiPadOSのインストールを要求します。サポートされるバージョンは以下のとおりです。
- iOS 8
- iOS 9
- iOS 10
- iOS 11
- iOS 12
- iOS 13/iPadOS 13
- iOS 14/iPadOS 14
- iOS 15/iPadOS 15
- iOS 16/iPadOS 16
Android
- root化の検出: root化されていないデバイスを要求します。
- 最小OS: デバイスに最小バージョンのAndroidのインストールを要求します。サポートされるバージョンは以下のとおりです。
- 5.0 (Lollipop)
- 5.1
- 6.0 (Marshmallow)
- 7.0 (Nougat)
- 7.1
- 8.0 (Oreo)
- 8.1
- 9.0 (Pie)
- 10
- 11
- 12
- 12.1
- 13
プラットフォームの追加の制限
デバイストラストは、Boxがサポートされているプラットフォームのみでサポートされます。つまり、Windows、MacOSのほか、Box Mobileアプリが実行されているAndroidおよびiOSでもサポートされます。
デバイストラストがサポートされないすべてのデバイスからBoxへのアクセスをブロックするには、[すべての非サポート対象プラットフォームからのアクセスをブロックする] のスライダをクリックしてオンに切り替えます。
企業内でデバイストラストを有効にすると、上記で選択したチェックが選択したプラットフォームへのすべての新規ログインに適用されます。
注
この設定では、ユーザーが要件を満たしていなくてもログインが許可されます (フェイルオープン)。
デバイスのアクセスを監視するには:
- レポートは、[管理コンソール] > [レポート] > [ユーザーアクティビティ] ([ログイン] の下にある [デバイストラストチェックの失敗] を選択) で生成できます。
- ログは、こちらで確認できます: Boxイベントストリーム