日本時間2023年10月1日に定期メンテナンスが予定されています。

Box Status
印刷

デバイストラストのセキュリティ要件の設定

has_image , Admin Console , Admin , Article , New , Instruction , Secure

デバイストラストを使用すると、Boxへのアクセスに使用するデバイスに対して最小限の要件を定義して、企業のコンプライアンスとセキュリティポリシーを適用することができます。デバイストラストの検証は、管理対象ユーザーのログイン時に適用され、監査専用モードが有効になっている場合を除き、アクセスできなくなります   (監査専用モードの詳細については、ページの下部までスクロールしてください)。

 

注:
Enterprise設定を編集できる管理者および共同管理者には、デバイストラストのチェックは適用されません。これは、管理者が誤って管理コンソールからロックアウトされないようにするためです。

FTPを介してログインするユーザーにも、デバイストラストのチェックは適用されません。

 

デバイスポリシーの使用

デバイストラストを有効にし、制限を設定すると、これらの要件を満たしていないユーザーには、次のような画面が表示され、Boxにアクセスできなくなります。

mceclip0.png

 

管理対象ユーザーに対するデバイストラストの有効化

  1. [管理コンソール] > [Enterprise設定] に移動します。
  2. [デバイストラスト] タブを選択します。
  3. [作成] をクリックします。

デバイストラストポリシーの作成

ポリシーの作成プロセスを開始すると、まずポリシー名を指定してから、ポリシーの目的を明確にするために説明を入力します。

注:
組織に対して有効にした場合は、複数のセキュリティポリシーを追加できます。

 

セキュリティレベルの適用:

デバイストラストポリシーを使用してさまざまなセキュリティレベルを会社に追加する必要がある場合は、すべてのユーザー、選択したユーザーグループ、または特定のグループを除いたすべてのユーザーに対してそのポリシーを有効にすることができます。

例 

企業内のグループ:

  • IT
  • マーケティング
  • 指導部
    • ITリーダー
    • マーケティングリーダー

選択したグループに対して有効にする: 指導部グループを選択した場合、デバイストラストポリシーは、指導部のすべてのユーザー (ITリーダーとマーケティングリーダーを含む) に対して有効になります。 

選択したユーザーグループを除くすべてのユーザーに対して有効にする: 指導部を選択した場合、デバイストラストポリシーは、指導部グループのユーザー (ITリーダーとマーケティングリーダーを含む) 以外のすべてのユーザーに対して有効になります。

 

監査専用モード

デバイストラストの要件を適用する前に、監査専用モードを有効にすることで、ユーザーに影響を及ぼすことなく設定をテストできます。この設定は、Boxインスタンスでのアクセスの監視にも使用されます。


監査専用モードが有効になっている場合、ユーザーは操作に影響を受けることなく、ログインできます。詳細については、下記の監査専用モードに関するセクションを参照してください。 

 

詳細の構成

デバイストラストの所有者要件やセキュリティ要件を適用するBoxアプリケーションを選択します。オンに切り替えていないアプリケーションには、デバイストラストの要件を満たしていなくてもユーザーがアクセスできます。

 

mceclip0.png

 

  • [ウェブアプリおよびサードパーティ製アプリ] オプションをオンにすると、モバイルデバイスからBoxウェブアプリにアクセスできなくなります。
  • また、コンピュータの場合は、必要なデバイストラストセキュリティチェックをウェブアプリで実施できるようにBox Toolsをインストールしておく必要があります。
  • デバイストラストは、EMM (エンタープライズモバイル管理) 以外のモバイルアプリのみに適用されます。デバイストラストのセキュリティチェックはEMMアプリでは実行されません。EMMアプリの場合、管理者はMDMプロバイダ経由で同じ機能を適用できます。

 

制限の範囲を選択します。[デバイス所有者要件] と [デバイスセキュリティ要件] をともに満たすことを条件とするか、どちらか一方を満たせばアクセスできるように設定できます。 

 


デバイス所有者要件では、ドメインメンバーシップと証明書プレゼンスの両方を要求するか、どちらか一方を要求するかを決定できます。

 

次に、それぞれのデバイスとOSに適用するチェック項目を選びます。それぞれ使用できる検証について、以下に説明します。

 

macOSとWindows両方での所有権の検証

ドメインメンバーシップの確認またはセキュリティ証明書プレゼンスの検証で管理対象のmacOSまたはWindowsコンピュータを認識する方法を定義します。 

mceclip1.png

  • デバイスのWindowsドメイン参加を必須にする: macOSまたはWindowsのデバイスをWindows Active DirectoryドメインまたはAzure ADテナントIDに参加させるよう要求できます*。コンマで区切って複数のドメインを追加することもできます。
  • 証明書の検証を必須にする: 証明書の検証オプションは2つあります。

オプション1 - デバイス固有の証明書の検証*: このシナリオでは、クライアント側の証明書の検証を実行し、企業またはMDM認証局によって署名された一意の証明書 (と対応する秘密鍵) で定義されたデバイスのIDをデバイスに要求します。

 


デバイス固有の証明書の検証では、デバイスの証明書をキーチェーン (macOSの場合) あるいはローカルまたはユーザーの証明書マネージャ (Windowsの場合) に保存する必要があります。デバイスの証明書はBox管理コンソールにアップロードされた証明書によって直接署名されている必要があり、失効リストに対して検証されません。また、デバイスの証明書は、有効期限内である必要があります。

 

オプション2 - 企業の証明書の検証: このシナリオでは、キーチェーン (macOSの場合) あるいはローカルまたはユーザーの証明書マネージャ (Windowsの場合) で、Box管理コンソールにアップロードしたのと同じ証明書を探して、デバイスの所有権を確立します。

 


[Enterprise証明書の確認] が有効な場合、Box Toolsが実行されているのと同じユーザーコンテキストで使用可能な証明書ストアに証明書をインストールする必要があります。例えば、マシン全般のインストール環境でBox Toolsが実行されている場合、デバイストラストのチェックはSYSTEMユーザーのコンテキストで実行されます。証明書をユーザーの証明書ストアにのみインストールする場合、デバイストラストのチェックが失敗することがあります。デバイストラストを機能させるため、(他の場所に加えて) ローカルマシンのプロファイルに証明書をプッシュする必要があります。

*このチェックに合格するには、Box Drive 2.14.378、Box Sync 4.0.8004、Box Tools 4.9.2 (Windows版) および4.12.2 (Mac版) の最小バージョンが必要です。

 

macOS、Windows、iOSおよびAndroidのセキュリティ要件

管理者は、(管理対象であるかどうかにかかわらず) デバイスに対して最小限のセキュリティ要件を定義できます。

mceclip2.png

macOSおよびWindows

  • OSの最小バージョンを要求する: セキュリティ機能が強化された新しいバージョンのmacOSおよびWindows OSに適用できます。最小対応バージョンは以下のとおりです (括弧内のサーバーOSバージョンに対応)。
    • Windowsの場合:
      • Windows 7
      • Windows 7 SP1
      • Windows 8 (Windows Server 2012)
      • Windows 8.1 (Windows Server 2012 R2)
      • Windows 10 (Windows Server 2016)
      • Windows 11
    • macOSの場合:
      • Mavericks (10.9)
      • Yosemite (10.10)
      • El Capitan (10.11)
      • Sierra (10.12)
      • High Sierra (10.13)
      • Mojave (10.14)
      • Catalina (10.15)
      • Big Sur (11.0)
  • ウイルス対策ソフトのインストールとアップデートを必須にする*: デバイスにウイルス対策ソフトをインストールしてアップデートすることで、アクセスする機密コンテンツの保護機能を向上させます。
    • Windows: Windowsセキュリティセンターでウイルス対策の状況を確認
    • Mac: McAfee (+ePO)、Symantec、Norton、Trend Micro、ESET、Sophos、Kaspersky、Cisco AMP、AVG、Cortex XDR、CarbonBlack、CrowdStrike Falcon、Jamf Protect、FireEye、またはMicrosoft Defenderを確認
  • ファイアウォールの有効化を必須にする*: ファイアウォールによるデバイスの保護を強制できます。
    • Windowsの場合: Windowsセキュリティセンター
    • Macの場合: OS Xファイアウォール
  • すべてのディスクの暗号化を必須にする: ディスク暗号化ソフトウェアの使用を必須にして、データ紛失に対する保護を強化します。
    • Windowsの場合:
      • Bitlocker
      • Symantec Encryption Software (PGP搭載)
      • McAfee
      • Check Point
    • Macの場合:
      • FileVault
      • Check Point

* このマークが付いている項目では、Windows Server OSはサポートされていません。

iOS

  • デバイスのパスコード: デバイスでのパスコード設定を要求します。
  • Jailbreak (脱獄) の検出: 脱獄していないデバイスを要求します。
  • 最小OS: デバイスに最小バージョンのiOSおよびiPadOSのインストールを要求します。サポートされるバージョンは以下のとおりです。
    • iOS 8
    • iOS 9
    • iOS 10
    • iOS 11
    • iOS 12
    • iOS 13/iPadOS 13
    • iOS 14/iPadOS 14
    • iOS 15/iPadOS 15
    • iOS 16/iPadOS 16
    •  

Android

  • root化の検出: root化されていないデバイスを要求します。
  • 最小OS: デバイスに最小バージョンのAndroidのインストールを要求します。サポートされるバージョンは以下のとおりです。
    • 5.0 (Lollipop)
    • 5.1
    • 6.0 (Marshmallow)
    • 7.0 (Nougat)
    • 7.1
    • 8.0 (Oreo)
    • 8.1
    • 9.0 (Pie)
    • 10
    • 11
    • 12
    • 12.1
    • 13

 

プラットフォームの追加の制限 

デバイストラストは、Boxがサポートされているプラットフォームのみでサポートされます。つまり、Windows、MacOSのほか、Box Mobileアプリが実行されているAndroidおよびiOSでもサポートされます。
デバイストラストがサポートされないすべてのデバイスからBoxへのアクセスをブロックするには、[すべての非サポート対象プラットフォームからのアクセスをブロックする] のスライダをクリックしてオンに切り替えます。
DeviceTrustToggle.png

企業内でデバイストラストを有効にすると、上記で選択したチェックが選択したプラットフォームへのすべての新規ログインに適用されます。

 


この設定では、ユーザーが要件を満たしていなくてもログインが許可されます (フェイルオープン)。

 

デバイスのアクセスを監視するには:

  • レポートは、[管理コンソール] > [レポート] > [ユーザーアクティビティ] ([ログイン] の下にある [デバイストラストチェックの失敗] を選択) で生成できます。
  • ログは、こちらで確認できます: Boxイベントストリーム

 

 

 

tech_writers_swarm_kb

関連記事