プロファイル・コンプライアンスの動作

組織でのデバイスのセキュリティー方針は、プロファイルの適用により施行されます。

組織内には、全体的なセキュリティー要件に応じて、さまざまなレベルでセキュリティーを実装できます。組織の構造と単一のデバイスの重要度に応じて、マスター・アクション・サイト・レベルでは、共通レベルのセキュリティー・ポリシーを組織内のすべてのデバイスに施行するが、部門レベルでは、制限が厳しいポリシーを必要とすることがあります。組織で目標とするセキュリティー方針に基づいて、セキュリティー管理者は、すべてのデバイスに共通である必要がある必須セキュリティー・ポリシーの最小セットを施行する「企業」プロファイルを作成します。部門レベルでは、必要なセキュリティー・レベルとデバイスの重要度に応じて、オペレーターが、デバイスの特定のセットに対して制限が厳しいポリシーを施行する特定の「部門」プロファイルを作成できます。最終的な結果として、デバイス上には、適用されているプロファイルの最も制限が厳しいパラメーターを結合したものが存在します。

運用上は、プロファイル管理は、2 つのステップがあるプロセスとして実装されます。最初のステップでは、セキュリティー管理者は、デバイスに対して施行する必要のあるポリシーを特定することによって、組織のセキュリティー方針を定義します。これらのポリシーは、1 つ以上のプロファイルを作成することで定義されます。オペレーターが、指定のサイトでプロファイルを作成および保存すると、そのサイトをサブスクライブしているすべてのコンピューターが、プロファイルに設定されているポリシーとの関連度を検査されます。デバイスがそのプロファイルに関連するようになった場合、それは、そのデバイスが不適合であることを意味します。デバイスが、プロファイルと照合して検査されたときに、さらに制限の厳しい設定が見つかった場合、そのデバイスは関連しないと判断されます。

2 つめのステップでは、ポリシーに準拠する必要があるターゲットにプロファイルが適用されると、プロファイルで定義された構成は、ターゲットとなるすべてのデバイスに施行されます。このステップは、選択されたターゲットで必要なプロファイル構成を設定する Fixlet によって実行されます。ターゲット上でローカルで構成パラメーターが変更された場合、構成は自動的に再施行されます。ただし、ターゲットでローカルに設定されているパラメーターの方が適用されているプロファイルに対して現在施行されているパラメーターよりも制限が厳しい場合を除きます。プロファイルが正常に適用されると、そのプロファイルに対するデバイス上の状況は「修正済み」になります。

ターゲット上の複数のプロファイルの管理 - プロファイルの階層化

プロファイルはカテゴリーに分割されます。ターゲットに施行する必要がある 1 つ以上の設定が含まれるカテゴリーを個別に有効にできます。Windows 10 のターゲットでは、プロファイル内で有効にしたカテゴリーの各パラメーターが、WMI インフラストラクチャーに従って特定のデバイスにマップされます。Mac OS X のターゲットでは、有効にしたカテゴリーごとに新しい OS X プロファイルが作成されます。1 台の Mac デバイス上で、施行したカテゴリーごとに 1 つずつ最大 4 つの OS X プロファイルが BigFix プロファイル内に作成されます。デバイスのシステム環境設定から使用できる「プロファイル」グラフィカル・ユーザー・インターフェースで、OS X プロファイルを表示できます。

オペレーターは、1 つ以上のカテゴリーの設定を適用する複数のプロファイルを定義できます。プロファイルがターゲットに適用されると、施行されたすべてのプロファイル・カテゴリーの各設定が、ターゲット上の対応する設定と照合して評価されます。プロファイルの少なくとも 1 つの設定がターゲット上の対応する設定より制限が厳しい場合、ターゲットは関連する (非準拠) とみなされ、プロファイルが施行されます。ターゲットには複数のプロファイルを適用できます。評価は、常に個々の設定を比較することで、完了します。ターゲットの最終的なセキュリティー構成 (セキュリティー方針) は、最も制限が厳しい値が施行されるさらに多くのプロファイルの集合で構成されます。

ポリシーが中央またはローカルで変更された場合、管理者は現在施行されているプロファイルの適用を停止し、組織内または特定の部門内のすべてのデバイスのプロファイル構成をリセットできます。次に、新しいプロファイルをターゲットに適用できます。詳しくは、「Profile Management の構成のリセット」を参照してください。

注:

Mac OS X デバイスでは、BigFix Profile Management に適用されていないプロファイルが 1 つ以上存在する場合、既存のプロファイルと同じカテゴリーに属するパラメーターを設定する BigFix プロファイルを適用するときに、「失敗時の再試行回数」カウンターの満了後、適用が失敗します。この問題を解決するには、まずデバイスから既存のプロファイルを削除し、次に BigFix プロファイルを再適用します。特定のエラー・コードについて詳しくは、以下を参照してください。 Mac OS X プロファイルの適用エラー

Windows 10 デバイスでは、プロファイル内の 1 つ以上のパラメーターに、現在デバイス上にあるより制限が厳しい設定がある場合、そのプロファイルは既に施行されています。

ユース・ケース例 - Windows 10 デバイスがある組織

この例では、ある企業が、複数の地理的位置に分散した 30 の部門と数千台の Windows 10 デバイスを持っています。セキュリティー担当者は、特定の部門メンバーシップに関係なくすべてのデバイスが準拠する必要がある共通ポリシーのセットから成る、企業全体のセキュリティー方針を確立します。各部門の管理者は、デバイスとユーザーの役割に基づいて、特定の部門のみに有効な特定のセキュリティー設定を定義し、ローカルに適用できます。

この例では、Windows 10 デバイス Win10_DeptB_SWAdm は、地理的にはロンドンにある組織内の部門 B に属しています。デバイスは、部門内のデバイスへの必須ソフトウェアのインストールを担当するソフトウェア管理者によって使用されます。階層化の動作を説明すると、企業プロファイル、部門プロファイル、および組織内のソフトウェア管理者に固有のプロファイルの 3 つのプロファイルが作成され、デバイスに適用されます。プロファイルの階層化では、カテゴリーごとに各設定が検査され、最も制限が厳しい設定が施行されるようにします。

企業レベルのセキュリティー方針では、組織内のすべてのパスワードの長さが 8 文字以上であり、20 日後に期限が切れることを確立します。さらに、Cortana の使用は許可されません。

この方針を施行するために、セキュリティー管理者は、次の設定の企業プロファイルを作成します。

表 1. ProfileCorp_Win10 - 会社内のすべての Windows 10 デバイスのプロファイル
プロファイル・カテゴリー	設定
パスワード設定	パスワードは 20 日後に期限が切れます
パスワード設定	最短パスワード長は 8 文字です
制限	Cortana は無効になっています

プロファイルが適用され、Win10_DeptB_SWAdm を含め、組織内のすべてのデバイスに対して施行されます。プロファイルがデバイスに正常に適用されると、デバイスは準拠状態になります。

セキュリティー管理者は、Win10_DeptB_SWAdm を含め、組織全体にまたがってソフトウェア管理者が使用するすべてのデバイスに適用する必要があるプロファイルを定義します。このプロファイルにより、次の設定が施行されます。

表 2. Profile_Corp_SWAdmins - 企業内のソフトウェア管理者が使用するすべてのデバイスのプロファイル
プロファイル・カテゴリー	設定
パスワード設定	最短パスワード長は 15 文字です
	3 回、正しくないパスワードを施行すると、デバイスは BitLocker 回復モードになります
	パスワードは 10 日後に期限が切れます
制限	テレメトリー・レベルは「セキュリティー」に設定されます

ロンドンにいるローカルのセキュリティー管理者は、その地域の部門 A、B、および C に対して部門をまたがるプロファイルを定義します。このプロファイルの設定は次のとおりです。

表 3. Profile_London_DeptABC - ロンドンのすべての Windows 10 デバイスのプロファイル
プロファイル・カテゴリー	設定
パスワード設定	最短パスワード長は 12 文字です
アプリ・セキュリティー	「アプリ・ストアの自動更新を許可」は無効になっています
制限	Cortana は有効になっています (デフォルト)
	ロケーション・サービスは「オフ」に設定されます
	テレメトリー・レベルは「基本」に設定されます

このプロファイルは、Win10_DeptB_SWAdm を含め、ロンドンの部門 A、B、C に属するすべてのデバイスに適用されます。

結果として、デバイス Win10_DeptB_SWAdm のセキュリティー構成は、次の表に示すように、3 つすべてのプロファイルの最も制限が厳しい設定を結合したものになります。

表 4. ターゲット Win10_DeptB_SWAdm のセキュリティー構成
カテゴリー	設定
パスワード設定	パスワードの最小長は 15 文字です (プロファイル Profile_Corp_SWAdmins より)
	パスワードは 10 日後に期限が切れます (プロファイル Profile_Corp_SWAdmins より)
	3 回、正しくないパスワードを施行すると、デバイスは BitLocker 回復モードになります (プロファイル Profile_Corp_SWAdmins より)
アプリ・セキュリティー	「アプリ・ストアの自動更新を許可」は無効になっています (プロファイル Profile_London_DeptABC より)
制限	Cortana は無効になっています (プロファイル ProfileCorp_Win10 より)
	ロケーション・サービスは「オフ」に設定されます (プロファイル Profile_London_DeptABC より)
	テレメトリー・レベルは「セキュリティー」に設定されます (プロファイル Profile_Corp_SWAdmins より)

Profile Management の構成のリセット

少なくとも 1 つのプロファイルが存在する各サイトで、デバイス上のプロファイル構成のリセットに対応するタスクが、Windows 10 デバイスと Mac OS X デバイスに対して使用できます。このタスクを Windows デバイスで実行すると、Profile Management によって有効になったカテゴリーのパラメーターがすべて削除され、手動または他のアプリケーションによって設定されたパラメーターも削除されます。

MAC OS X デバイスでは、このタスクは Profile Management によって作成されたすべてのプロファイルが削除されます (施行されたカテゴリーごとに 1 つで、最大 4 つのプロファイルが削除されます)。このタスクを実行する状況は次のとおりです。

企業のセキュリティー・ポリシーが変更され、すべてのデバイスに対して新しいポリシーを施行するとき。
ある部門から別の部門に数台のデバイスを移動しようとしていて、新しい部門には異なるセキュリティー要件があるとき。
一時的にまたは永続的に、より制限が少ないポリシーを 1 つ以上のデバイスに対して施行する必要があるとき。

「コンテンツ」 > 「カスタム」を選択し、検索フィールドに Reset と入力します。Windows および MAC OS X 用の使用可能なリセット・タスクのリストが表示されます。フィルターを使用して、検索内容を特定のサイトやオペレーターに絞り込むこともできます。リセット・タスクの実行前に、プロファイル管理パラメーターをリセットするターゲットに対して現在施行されている、進行中のプロファイルのデプロイメントをすべて停止する必要があります。

オペレーターのログイン許可によっては、複数のリセット・タスクが表示される場合があります。リセット対象のデバイスがサブスクライブしているサイトに保管されているタスクを適用してください。