ポリシーの対象設定ルールの使用

ポリシーの対象設定ルールを使用すると、デバイスまたはデバイス グループで特定のポリシーを使用するタイミングを指定できます。それぞれのポリシーの対象設定ルールには、一連の条件が含まれています。条件に一致すると、デバイスは関連するポリシーを自動的に適用します。この機能は、Symantec Endpoint Protection Manager での場所の認識に似ています。
サポートされているポリシーとデバイス
ポリシーの対象設定は、以下のクラウド ポリシーでサポートされています。
  • マルウェア対策
  • ファイアウォール
  • デバイス制御
  • 侵入防止
  • システム
  • 許可リスト
  • 拒否リスト
  • メモリ悪用防止 (MEM)
  • トラフィック リダイレクト
  • 検出と応答(EDR)
  • ビヘイビア隔離
ポリシーの対象設定は、クラウドで管理されるクラウド対応デバイスでのみ有効になります。ハイブリッド管理デバイスでは、ポリシーの対象設定は有効になりません。また、ポリシーの対象設定はクラウド ポリシーにのみ適用され、クラウドで利用可能な Symantec Endpoint Protection Manager (SEP 14)ポリシーには適用されません。
ポリシーの対象設定ルール
ポリシーの対象設定ルールに含まれる一連の条件に基づいて、デバイス グループにポリシーを適用できます。ポリシーを作成してデバイス グループに適用する場合は、使用するポリシーの対象設定ルールを選択します。
デフォルトでは、以下の 2 つのポリシーの対象設定ルールを使用できます。
  • 検疫デバイスに自動的に適用される検疫ルール。
  • 条件なしのデフォルト ルール。
デフォルト ポリシーは、デフォルトのポリシーの対象設定ルールに自動的に割り当てられます。
追加のポリシーの対象設定ルールを作成し、ユーザやコンピュータの IP アドレスなどの条件を指定できます。
ポリシーの対象設定ルールを使用し、一連の条件に基づいて、同じ種類の複数のポリシーの対象として同じデバイス グループを設定できます。たとえば、マルウェア対策ポリシーの対象としてほとんどのユーザのデバイス グループを設定しますが、ユーザのサブセットには個別のマルウェア対策ポリシーが必要な場合があります。この同じデバイス グループに 2 つの異なるマルウェア対策ポリシーを適用できます。デフォルトの対象設定ルールが含まれるポリシーと、ユーザの対象設定ルールが含まれるポリシーです。
リスト内のルールの順序は優先度を示します。ただし、現在適用されているルールは別の一致よりも優先されます。
ポリシーの対象設定を使用すると、ポリシーの変更を必要としない場所であっても、デバイス グループの現在の場所を追跡できます。ポリシーの対象設定ルールが関連付けられた少なくとも 1 つのポリシーをグループに適用します。
ポリシーの対象設定ルールを作成する方法
  1. [ポリシー]
    ページの
    [ポリシーの対象設定ルール]
    タブで、
    [追加]
    を選択します。
  2. [ポリシーの対象設定ルールの追加]
    ページで、ルールの名前を入力します。ルールの説明も入力できます。
  3. [ポリシーの対象設定の条件]
    の隣にある
    [追加]
    を選択します。
  4. [条件の種類]
    [ユーザ]
    [コンピュータの IP アドレス]
    などを選択します。
  5. 条件の値を指定します。たとえば、ユーザの場合は、ユーザ名またはユーザ グループ名を入力します。
  6. [作成]
    を選択します。
  7. このルールを利用して、ポリシーの対象を設定できます。このルールがトリガされると、関連付けられたポリシーがユーザやグループ、または指定した条件に適用されます。
ポリシーの対象設定の条件
ポリシーの対象設定ルールの条件には優先順位はありません。最初のレベルの条件では、論理 AND または OR を使用できます。2 番目のレベルの条件では、OR のみを使用できます。
一部の条件には、肯定と否定があります。たとえば、デバイスが特定の IP アドレス範囲内の IP アドレスを使用しているか、特定のレジストリ キーを有している場合に条件に一致します。別の条件では、デバイスが指定した範囲内の IP アドレスを使用していない場合に一致します。
条件の種類
説明
コンピュータの IP アドレス
次の種類のデバイスの IP アドレス条件を指定できます: IP アドレス、IP 範囲、サブネット アドレス、またはホスト グループとそれらの値。
IP アドレス、IP 範囲、またはサブネット アドレスでは、IPv4 または IPv6 がサポートされます。
アドレスの種類
[ホスト グループ]
を指定すると、ターゲット ルールはホストグループに設定された DNS ホスト、DNS ドメイン、MAC アドレスをすべて無視します。このルールは、IP アドレス、IP アドレス範囲、または IP サブネットで設定されたホスト グループのみが対象となります。
ユーザー
この条件は、ユーザ名またはユーザ グループ名に一致します。
[ユーザ/グループ名]
フィールドでワイルドカードを設定する場合は注意してください。ユーザ グループ名が原因で、ユーザが予期せずルールをトリガする場合があります。
例:
Adminis*
を含む条件を定義します。
Adminis
で始まるユーザ名のみがルールをトリガすると予想するかもしれません。ただし、ドメイン管理者グループ名(administrator)が条件に一致するため、すべてのドメイン ユーザ名でルールをトリガします。
ICMP 要求
次の種類の ICMP 要求の条件を指定できます: IP アドレス、ホスト名、またはホスト グループとその値。IP アドレスは、IPv4 または IPv6 がサポートされています。
レジストリキー
この条件は、デバイスのレジストリに指定されたレジストリ キー、レジストリ キー名、レジストリ値と等しいまたは等しくない設定がある場合に一致します。
DNS ルックアップ
この条件は、デバイスが指定したホスト名と IP の種類を解決する場合または解決しない場合に一致します。
DHCP サーバーアドレス
次の条件の種類を指定できます: IP アドレス、IP 範囲、サブネット アドレス、ホスト グループ、または MAC アドレスとそれらの値。
IP アドレス、IP 範囲、またはサブネット アドレスでは、IPv4 または IPv6 がサポートされます。
NIC の説明
この条件は、デバイスに説明に一致するまたは一致しないネットワーク インターフェース カード(NIC)がある場合に一致します。
クラウド接続
この条件は、デバイスがクラウドに接続されている場合または接続されていない場合に一致します。
DNS Connection: DNS suffix (DNS 接続: DNS サフィックス)
この条件は、デバイスが指定した DNS サフィックスを使用する場合または使用しない場合に一致します。
TPM (Trusted Platform Module)
以下の Trusted Platform Module (TPM)の種類を指定できます。
  • 任意の TPM トークン
  • IBM TPM トークン
  • HP TPM トークン
無線 SSID
この条件は、デバイスが指定した SSID のいずれかを使用する場合または使用しない場合に一致します。
対象設定ルール変更のユーザ通知
デバイス グループを変更すると、異なるポリシーの対象設定ルールがトリガされる場合があります。これらの変更は、場所の変更と呼ばれます。場所の変更によって別のルールがトリガされたときに、ユーザのデバイスに表示される通知を設定できます。
[ルール設定]
で、
[ポリシーの対象設定ルールの変更通知]
をオンにします。
[通知メッセージ]
に、ユーザのデバイスに表示するメッセージのテキストを入力します。Symantec Endpoint Security がルールの一致をチェックする頻度を指定できます。