[デバイス保護] タブでは、組織の管理者が、デバイスにBoxへのアクセスを許可するかどうかを決定する設定を定義できます。 このトピックのセクションは以下のとおりです。
Box Device Trust
デバイストラスト設定では、デバイストラストポリシーの構成を定義します。
- ポリシー名
- 一意の短くてわかりやすい名前を入力します。 最大文字数は80文字です。
- ポリシーの説明
- ポリシーの目的や機能をまとめた説明を入力します (省略可)。 最大文字数は255文字です。
- 適用先
- ポリシーの適用先となるユーザーを決定します。 次のいずれかを選択します。
- すべてのユーザーに対して有効にする
- 選択したユーザーグループに対して有効にする
- 選択したユーザーグループを除くすべてのユーザーに対して有効にする
デバイストラストポリシーを使用してさまざまなセキュリティレベルを会社に追加する必要がある場合は、すべてのユーザー、選択したユーザーグループ、または特定のグループを除いたすべてのユーザーに対してそのポリシーを有効にすることができます。
例
組織内のグループ:
- IT
- マーケティング
- 指導部
- ITリーダー
- マーケティングリーダー
選択したグループに対して有効にする: 指導部グループを選択した場合、 デバイストラストポリシーは、指導部のすべてのユーザー (ITリーダーとマーケティングリーダーを含む) に対して有効になります。
選択したユーザーグループを除くすべてのユーザーに対して有効にする: 指導部を選択した場合、 デバイストラストポリシーは、指導部グループのユーザー (ITリーダーとマーケティングリーダーを含む) 以外のすべてのユーザーに対して有効になります。
- デバイストラスト監査モード
-
監査モードでは、ユーザーに影響を及ぼすことなく、デバイストラストの構成をテストできます。そのため、ユーザーは、モバイルブラウザ経由でBoxを使用する場合を除き、操作に影響を受けることなくログインできます。 この設定は、Boxインスタンスでのアクセスの監視にも使用されます。
デバイスのアクセスを監視するには:
- レポートは、[管理コンソール] > [レポート] > [ユーザーアクティビティ] ([ログイン] の下にある [デバイストラストチェックの失敗] を選択) で生成できます。
- ログは、Boxイベントストリームでも確認できます。
- デバイストラスト要件
-
デバイスでBoxを使用するためにそのデバイスが満たす必要のある要件を定義します。
- 以下の要件を満たすデバイスだけが次の項目にアクセスできるようにする
-
このポリシーの対象となるBoxアプリを定義します。 デバイストラストの所有者要件やセキュリティ要件を適用するBoxアプリケーションを1つ以上選択します (有効になっていないアプリケーションには、デバイストラストの要件を満たしていなくてもユーザーがアクセスできます)。
-
[ウェブアプリおよびサードパーティ製アプリ] - WindowsデバイスおよびmacOSデバイス上のBoxウェブアプリとBoxウェブアプリと連携するサードパーティ製アプリに対してデバイス所有者とデバイスセキュリティの設定を有効にします。
注
- 必要なデバイストラストのセキュリティチェックをウェブアプリに対して実施するには、Box ToolsをWindowsデバイスおよびmacOSデバイスにインストールする必要があります。
- セキュリティチェックにはBox Toolsが必要となりますが、モバイルデバイス対応のBox Toolsはありません。したがって、この設定を有効にすると、モバイルデバイスからBoxウェブアプリにアクセスできません。 この設定は、Boxアプリ経由でのアクセスには影響しません。そのため、[Box for iPhoneおよびBox for iPad] または [Box for Android] の設定でセキュリティアクセスを定義します。
- [Box SyncおよびBox Drive] - WindowsデバイスおよびmacOSデバイス上のBox SyncおよびBox Driveに対してデバイス所有者とデバイスセキュリティの設定を有効にします。
- [Box for iPhoneおよびBox for iPad] - iOSデバイス上のBoxアプリに対してデバイスセキュリティの設定を有効にします。
- [Box for Android] - Androidデバイス上のBoxアプリに対してデバイスセキュリティの設定を有効にします。
-
注
[Box for iPhoneおよびBox for iPad] または [Box for Android] を有効にした場合、デバイストラストは、EMM (エンタープライズモバイル管理) 以外のモバイルアプリのみに適用されます。EMMアプリに対してデバイストラストのセキュリティチェックは実行されません。 EMMアプリの場合、管理者はMDM (モバイルデバイス管理) プロバイダにて、同様の機能を適用できます。
- デバイス所有者要件 (WindowsおよびmacOS)
-
[ウェブアプリおよびサードパーティ製アプリ] または [Box SyncおよびBox Drive] が有効になっている場合にのみ利用可能です。 WindowsまたはmacOSコンピュータからBoxへのアクセスを有効にするための所有者要件を決定し、管理対象のコンピュータをドメインメンバーシップの確認またはセキュリティ証明書プレゼンスの検証のいずれかで認識すべきかを定義します。 次のいずれかまたは両方を選択します。
- [WindowsおよびMacのドメインメンバーシップ] - macOSまたはWindowsのデバイスをWindows Active DirectoryドメインまたはAzure ADテナントIDに参加させるよう要求します。 コンマで区切って複数のドメインを入力できます。
- [証明書プレゼンス] - 定義した証明書をデバイスに配置するよう要求します。 このシナリオでは、クライアント側の証明書の検証を実行し、企業またはMDM認証局によって署名された一意の証明書 (と対応する秘密鍵) で定義されたデバイスのIDをデバイスに要求します。 次のいずれかを選択します。
- [デバイス固有の証明書の検証 (推奨)] - デバイスの証明書をキーチェーン (macOSの場合) あるいはローカルまたはユーザーの証明書マネージャ (Windowsの場合) に保存する必要があります。 デバイスの証明書はBox管理コンソールにアップロードされた証明書によって直接署名されている必要があり、失効リストに対して検証されません。 また、デバイスの証明書は、有効期限内である必要があります。
- [Enterprise証明書の確認] - このシナリオでは、キーチェーン (macOSの場合) あるいはローカルまたはユーザーの証明書マネージャ (Windowsの場合) で、Box管理コンソールにアップロードしたのと同じ証明書を探して、デバイスの所有権を確立します。
注
[Enterprise証明書の確認] が有効な場合、Box Toolsが実行されているのと同じユーザーコンテキストで使用可能な証明書ストアに証明書をインストールする必要があります。 例えば、マシン全般のインストール環境でBox Toolsが実行されている場合、デバイストラストのチェックはSYSTEMユーザーのコンテキストで実行されます。 証明書をユーザーの証明書ストアにのみインストールする場合、デバイストラストのチェックが失敗することがあります。 デバイストラストを機能させるため、(他の場所に加えて) ローカルマシンのプロファイルに証明書をプッシュする必要があります。
- デバイスセキュリティ要件
-
(管理対象であるかどうかにかかわらず) デバイスに対して最小限のセキュリティ要件を定義します。
- [Windows用]/[Mac用] - これらのセクションは、[ウェブアプリおよびサードパーティ製アプリ] または [Box SyncおよびBox Drive] が有効になっている場合にのみ利用可能です。 以下から1つ以上選択します。
- [Windowsの最小バージョン]/[macOSの最小バージョン] - Windows/macOSデバイスに必要なオペレーシングシステム (OS) の最小バージョンを定義します。 これにより、通常はセキュリティ機能が強化された新しいバージョンのmacOSおよびWindows OSを強制できます。 これらのリストで選択できる値は、最新のOSバージョンがリリースされ、Boxによるテストが完了すると、そのバージョンで更新されます (対応する基本のWindowsバージョンを選択すると、Windowsサーバーのいくつかのバージョンも含まれます: Windows Server 2012とWindows 8、Windows Server 2012 R2とWindows 8.1、Windows Server 2016とWindows 10、Windows Server 2022とWindows 11)。
- [ウイルス対策ソフト]* - デバイスにウイルス対策ソフトをインストールして最新の状態にするよう要求します。これにより、そのデバイスからアクセスする機密コンテンツの保護機能が向上します。 Windowsでは、Windowsセキュリティセンターでウイルス対策の状況を確認します。 macOSでは、Avast、AVG、Bitdefender、CarbonBlack、Cisco AMP、Cortex XDR、CrowdStrike Falcon、DarkTrace、ESET、FireEye、Jamf Protect、Kaspersky、Malwarebytes AV、Malwarebytes Threatdown、McAfee (+ePO)、Microsoft Defender、Norton、Trend Micro、SentinelOne、Sophos、またはSymantecが存在するかどうかを確認します。
- [ファイアウォール]* - ファイアウォールによるデバイスの保護を強制できます。 Windowsでは、Windowsセキュリティセンターで確認します。 macOSでは、[ネットワーク] > [ファイアウォール] の設定で確認します。
- [ディスク全体の暗号化] - ディスク暗号化ソフトウェアの使用を必須にして、データ紛失に対する保護を強化します。 Windowsでは、Bitlocker、Symantec Encryption Software (PGP搭載)、McAfee、Check Pointのいずれかが使用されていることを確認します。 macOSでは、FileVaultまたはCheck Pointが使用されていることを確認します。
* このマークが付いている項目では、Windows Server OSはサポートされていません。
- [iOS用] - このセクションは、[Box for iPhoneおよびBox for iPad] が有効になっている場合にのみ利用可能です。 以下から1つ以上選択します。
- [iOSの最小バージョン] - iOSデバイスに必要なiOSの最小バージョンを定義します。 これにより、通常はセキュリティ機能が強化された新しいバージョンのiOS OSを強制できます。 これらのリストで選択できる値は、最新のiOSバージョンがリリースされ、Boxによるテストが完了すると、そのバージョンで更新されます (iOSバージョン13以降には、対応するiPadOSバージョンが含まれます)。
- [デバイスのパスコード] - デバイスでのパスコード設定を要求します。
- [Jailbreak (脱獄) の検出] - 脱獄していないデバイスを要求します。
- [Android用] - このセクションは、[Box for Android] が有効になっている場合にのみ利用可能です。 以下から1つ以上選択します。
- [Androidの最小バージョン] - Androidデバイスに必要なAndroidの最小バージョンを定義します。 これにより、通常はセキュリティ機能が強化された新しいバージョンのAndroid OSを強制できます。 これらのリストで選択できる値は、最新のAndroidバージョンがリリースされ、Boxによるテストが完了すると、そのバージョンで更新されます。
- [root化の検出] - root化されていないデバイスを要求します。
- [Windows用]/[Mac用] - これらのセクションは、[ウェブアプリおよびサードパーティ製アプリ] または [Box SyncおよびBox Drive] が有効になっている場合にのみ利用可能です。 以下から1つ以上選択します。
- 要件範囲
-
デバイストラスト要件が有効になっている場合にのみ利用できます。 デバイスからログインするのに必要な要件を定義します。 次のいずれかを選択します。
- [デバイスが上記のすべての要件を満たすことを必須にする] - Boxにログインするために [デバイス所有者要件] と [デバイスセキュリティ要件] の両方で有効になっているすべての要件をデバイスで満たすよう要求します。
- [デバイスが [デバイス所有者要件] または [デバイスセキュリティ要件] のいずれかを満たすことを必須にする] - デフォルト。 [デバイス所有者要件] または [デバイスセキュリティ要件] が満たされたときにデバイスがBoxにログインできるようにします。
- プラットフォーム制限
- デバイストラストは、Boxがサポートされているプラットフォームのみでサポートされます。 サポートされていないプラットフォーム上のデバイスにBoxへのログインを許可するかどうかを決定します。 デフォルトでは有効になっているため、サポートされていないプラットフォームからのアクセスはブロックされます。 サポートされているデバイスは、オペレーティングシステムがWindows、macOS、iOS、Androidのデバイスのみです。
- ITヘルプメール
- 省略可。 組織のIT部門に連絡を取るためのメールアドレスを入力します。 空白のままにした場合、ブロックされたユーザーに送信されるメッセージには連絡先情報が含まれません。
EDR (Endpoint Detection and Response) 統合
EDR (Endpoint Detection and Response) 統合では、コンテンツを脅威から保護するサードパーティのセキュリティパートナーを構成します。 ここで構成できる各パートナー統合には、Box管理コンソールのこのセクションにあり、その使い方をここで説明している設定もあれば、パートナー統合アカウント内にあり、その設定方法がその会社のドキュメントに記載されている設定もあります。
一般的に、セキュリティツール (通常はEDR) は、エンドポイントで異常なアクティビティを検出するとすぐにBoxに通知します。この場合の「エンドポイント」は、ネットワークに接続する任意のデバイスとして定義されています。Boxは、EDRシグナルのリスクスコアと、Boxクラウドのバックエンドと共有される追加のコンテキストデータに基づき、デバイスに対して是正アクションを実行します。
注
- 必要なエンドポイントのセキュリティチェックをウェブアプリに対して実施するには、Box ToolsをWindowsデバイスおよびmacOSデバイスにインストールする必要があります。
- セキュリティチェックにはBox Toolsが必要となりますが、モバイルデバイス対応のBox Toolsはありません。したがって、EDR (Endpoint Detection and Response) を有効にすると、モバイルデバイスからBoxウェブアプリにアクセスできません。 この設定は、Boxアプリ経由でのアクセスには影響しません。そのため、[Box for iPhoneおよびBox for iPad] または [Box for Android] の設定でセキュリティアクセスを定義します。
- アカウントの詳細
-
接続プロセスの一環として構成されたこの詳細は、パートナー統合で設定したアカウントに関する編集不可能な情報です。
- [アカウント名] - パートナー統合に登録されている組織名。
- [顧客ID] - パートナー統合でアカウントに付与された一意の識別子。
- [連絡先メール] - パートナー統合に登録されている連絡先情報。
- [ステータス] - パートナー統合がアクティブかどうか。 これはパートナー統合アカウントで管理されるため、ここには表示されるだけです。 値は以下のいずれかになります。
- [有効] - パートナー統合がアクティブで、コンテンツが保護されています。
- [無効] - パートナー統合がアクティブではなく、コンテンツは保護されていません。
- [保留中] - パートナー統合がデバイスの情報を取得中です (これは通常、統合を最初に構成する際の一時的なステータスです)。
- 是正アクション
-
定義した条件が満たされたときに実行される是正アクションを定義します。 是正アクションは以下のとおりです。
- ユーザーセッションを終了し、デバイスをブロックする
条件は、セキュリティパートナーによって異なる場合があります。 使用される条件の説明については、セキュリティパートナーのドキュメントを参照してください。
複数の是正アクションをそれぞれ独自の条件で追加できます。 ただし、ベストプラクティスとして、是正の条件は重複しないようにすることをお勧めします。 例えば、パートナーが0~100の信頼スコアを生成するとします。 スコアが70~90の場合は2段階認証による是正、スコアが69以下の場合はデバイスのブロックによる是正を定義できます。 スコアが69以下の場合はブロックによる是正、スコアが50~90の場合は2段階認証による是正のように定義することはしません。なぜなら、スコアが50~69の場合の是正アクションが競合するからです。
- 適用するアクション
-
是正アクションがトリガーされたときに行われるアクションを定義します。 次のいずれかを選択します。
- [制限の適用] (デフォルト) - デバイスが接続され、設定されると、デバイス保護を有効にします。 ユーザーに対してデバイス保護を適用する準備ができている場合は、このオプションを選択します。
- [制限違反の監視] - ユーザーに警告や制限を行わずに、デバイス保護に違反するユーザー操作を監視します。 このデバイス保護がユーザーに及ぼす影響についてデータを収集する場合は、このオプションを選択します。
- ITヘルプメール
- 省略可。 組織のIT部門に連絡を取るためのメールアドレスを入力します。 空白のままにした場合、ブロックされたユーザーに送信されるメッセージには連絡先情報が含まれません。
デバイスの管理
デバイスの管理を使用して、管理者は、ユーザーがBoxにアクセスできるデバイス数を制限し、信頼されるデバイスからのアクセスのみが許可されるようにできます。
- デバイスの管理を有効にする
-
有効にすると、管理者は、以下のBoxアプリにアクセスできる、ユーザーごとのデバイス数を制限できます。
- Box Sync
- Box Mobileアプリ
- Boxタブレットアプリケーション
- ブラウザなどのアプリケーション
Box Sync、Box Mobileアプリ、Boxタブレットアプリケーションについては、以下から選択できます。
- 3
- 2 ([Boxタブレットアプリケーション] のデフォルト)
- 1
- 無制限 ([Box Sync] と [Box Mobileアプリ] のデフォルト、[ブラウザなどのアプリケーション] の固定値)