6.7 場所の作成

デバイスのセキュリティ要件は、場所ごとに異なります。たとえば、空港内にあるデバイスと、企業ファイアウォール内のオフィスにあるデバイスでは、個々のファイアウォール制限が異なります。

デバイスのセキュリティ要件をその場所に合ったものにするため、ZENworksはグローバルポリシーと場所ベースのポリシーの両方をサポートしています。グローバルポリシーは、デバイスの場所とは無関係に適用されます。場所ベースのポリシーは、デバイスの現在の場所が、ポリシーに関連付けられた場所の条件を満たす場合にのみ適用されます。たとえば、会社オフィスの場所ベースポリシーを作成し、これをラップトップに割り当てた場合、このポリシーは、ラップトップの場所が会社オフィスであるときにのみ適用されます。

場所ベースのポリシーを使用する場合は、最初に、自分の会社や組織に合った場所を定義する必要があります。場所とは、特定のセキュリティ要件が設定されているプレースやプレースタイプを意味します。たとえば、オフィス、自宅、または空港でデバイスを使用する場合のセキュリティ要件は異なります。

場所はネットワーク環境に応じて定義されます。ニューヨークと東京にオフィスがあると仮定してください。両方のオフィスには同じセキュリティ要件が設定されています。したがって、「オフィス」場所を作成し、ニューヨークオフィスと東京オフィスの2つのネットワーク環境に関連付けます。これらの環境はそれぞれ、ゲートウェイ、DNSサーバ、およびワイヤレスアクセスポイントの一連のサービスによって明示的に定義されます。ZENworks Adaptive Agentは、その現在の環境がニューヨークオフィスのネットワーク、または東京オフィスのネットワークに合致していると判断した場合は常に、その場所を「オフィス」に設定し、「オフィス」場所に関連付けられているセキュリティポリシーを適用します。

次のセクションでは、場所の作成方法を説明します。

6.7.1 ネットワーク環境の定義

ネットワーク環境定義は場所の基本要素です。場所の作成中にネットワーク環境を定義することができますが、最初にネットワーク環境を定義して、次に場所を作成しながら追加していくことをお勧めします。

場所を作成するには、次の手順に従います。

  1. ZENworksコントロールセンターで、[環境設定]>[場所]の順にクリックします。

    [場所]ページ
  2. [ネットワーク環境]パネルで、[新規]をクリックして新しいネットワーク環境の作成ウィザードを起動します。

     新しいネットワーク環境の作成ウィザードの[詳細の定義]ページ
  3. [詳細の定義]ページで、ネットワーク環境名を指定して[次へ]をクリックします。

    ウィザードの完了後、フィールドまたはオプションに関する詳細情報が必要な場合は、ZENworksコントロールセンターの右上隅にある[ヘルプ]ボタンをクリックします。

  4. [ネットワーク環境の詳細]ページで、以下のフィールドに入力します。

    アダプタタイプに限定: デフォルトでは、このページで定義するネットワークサービスは、デバイスの有線、ワイヤレス、およびダイアルアップのネットワークアダプタに照合して評価されます。特定のアダプタタイプに評価を限定する場合は、[有線]、[ワイヤレス]、または[ダイヤルアップ]を選択します。

    最小一致: このネットワーク環境を選択するために一致する必要がある定義済みネットワークサービスの最小数を指定します。

    このネットワーク環境を選択するために一致する必要がある定義済みネットワークサービスの最小数を指定します。

    たとえば、1つのゲートウェイアドレス、3つのDNSサーバ、および1つのDHCPサーバを定義した場合、合計5つのサービスが存在します。このネットワーク環境を選択するには、これらのサービスのうち最低3つが一致する必要があると指定できます。

    最低一致数を指定する場合、次の点に留意してください。

    • [一致が必要]というマークの付いたサービスの数より小さい数にできません。

    • 定義済みサービスの合計数より大きな数にしないでください。合計数より大きくすると、最小一致数に達することはなく、その結果、ネットワーク環境は決して選択されません。

    ネットワークサービス: [ネットワークサービス]パネルでは、現在のネットワーク環境がこのネットワーク環境に一致するかどうかを調べるために、Adaptive Agentが評価するネットワークサービスを定義できます。定義するネットワークサービスのタブを選択し、[追加]をクリックして、必要な情報を入力します。

  5. 次へ]をクリックして[概要]ページを表示し、[完了]をクリックしてネットワーク環境定義をリストに追加します。

6.7.2 場所の作成

場所を作成する際、場所名を入力して、該当するネットワーク環境を場所と関連付けます。

  1. ZENworksコントロールセンターで、[環境設定]>[場所]の順にクリックします。

    [場所]ページ
  2. [場所]パネルで、[新規]をクリックして新しい場所の作成ウィザードを起動します。

     新しい場所の作成ウィザードの[詳細の定義]ページ
  3. [詳細の定義]ページで、場所名を指定して[次へ]をクリックします。

    ウィザードの完了後、フィールドまたはオプションに関する詳細情報が必要な場合は、ZENworksコントロールセンターの右上隅にある[ヘルプ]ボタンをクリックします。

  4. [ネットワーク環境の割り当て]ページで、次の操作を行います。

    1. 既存のネットワーク環境を場所に割り当てます]を選択します。

    2. 追加]をクリックし、場所を定義するネットワーク環境を選択し、次に[OK]をクリックして選択したネットワーク環境をリストに追加します。

    3. ネットワーク環境の追加を完了したら、[次へ]をクリックします。

  5. [概要]ページで[完了]をクリックして場所を作成し、[場所]リストに追加します。

ZENworksコントロールセンターに複数の場所とネットワーク環境が定義されている場合は、[上へ移動]オプションおよび[下へ移動]オプションを使用してリストを並べ替えることができます。

zmanユーティリティでnetwork-environment-createコマンドおよびlocation-createコマンドを使用して、ネットワーク環境を作成したり、作成されたネットワーク環境を使用する関連した場所を作成することもできます。詳細については、登録コマンド(『ZENworks 11 SP2コマンドラインユーティリティリファレンス』)を参照してください。

6.7.3 管理対象デバイスでの場所とネットワーク環境の選択

ZENworksコントロールセンターに複数の場所とネットワーク環境が定義されている場合、管理対象デバイス上のAdaptive Agentは定義済みのすべてのネットワーク環境をスキャンして一致する環境を識別します。識別された環境から、Adaptive Agentは最も一致する数が多いネットワークサービスを選択します(クライアントIPアドレスやDNSサーバなど)。次にAdaptive Agentは、順番にリストされている場所をスキャンし、選択された任意のネットワーク環境を含む最初の場所を識別子して、その場所とこの場所内に含まれる最初に一致したネットワーク環境を選択します。

次に例を示します。

ZENworksコントロールセンターに定義されている場所は、L1およびL2の順でリストされています。

L1内のネットワーク環境は、NE1、NE2、およびNE4の順序でリストされています。

L2内のネットワーク環境は、NE2、NE3、およびNE4の順序でリストされています。

管理対象デバイス上のAdaptive Agentは、NE2、NE3、およびNE4が管理対象デバイスですべて一致していることを検出します。

NE2とNE4にはそれぞれ一致する2つのネットワーク・サービスがあり、NE3は一致するネットワーク・サービスが1つしかない場合、NE2と NE4が最もネットワークサービスに一致するためAdaptive Agentはこれらを選択します。NE2はL1で最初にリストされているネットワーク環境であり、L1とNE2は場所およびネットワーク環境として選択されているからです。

メモ:管理対象デバイスで一致すると見なされたネットワーク環境の場合、ネットワーク環境で設定されているすべての制限を満たす必要があります。これには、ネットワーク環境に対して指定される[最小一致数]属性が含まれ、ネットワーク環境内のネットワークサービスに対して指定される[一致が必要]属性も含まれます。