ナビゲーションをスキップする
  1. BlackBerry Docs
  2. Cylance Endpoint Security
  3. セットアップ
  4. Cylance Endpoint Security セットアップガイド
  5. CylanceGATEWAY のセットアップ
  6. Gateway サービスのオプション設定
  7. Gateway サービスポリシーのパラメーター

Gateway サービスポリシーのパラメーター

CylanceGATEWAY
 などの EMM ソリューションによってアクティブ化されているデバイス上で
BlackBerry UEM
 を設定する場合は、EMM ソリューションでオプションを指定して、デバイス上での
CylanceGATEWAY
 の動作を制御することもできます。
項目
説明
一般的な情報
名前
これはルールの名前です。
説明
これは、ルールの目的の簡単な説明です。
エージェントの設定
デバイスが
BlackBerry UEM
 または
Microsoft Intune
 で管理されている場合のみ Gateway の実行を許可
この設定では、ユーザーが
CylanceGATEWAY
 を使用する前に、
iOS
Android
、または
Chromebook
 デバイスを
BlackBerry UEM
 または
Microsoft Intune
 で管理する必要があることを指定します。
この機能の使用条件は次のいずれかのとおりです。
  • BlackBerry UEM
    BlackBerry UEM
     コネクタが
    Cylance Endpoint Security
     テナントに追加され、
    BlackBerry UEM
     からアプリが送信されていること。
  • Intune
    Microsoft Intune
     コネクタが
    Cylance Endpoint Security
     テナントに追加されていて、統合が適用されるデバイスタイプと Intune ユーザーグループを定義するアプリ設定ポリシーが作成されていること。
Gateway が管理対象 VPN として構成されている MDM 管理対象デバイスでのみ Gateway のトンネル確立を許可
CylanceGATEWAY
 の仕事モードでそのデバイスにトンネルを作成する前に、
CylanceGATEWAY
 が VPN プロバイダーとして設定されている組織のモバイルデバイス管理(MDM)に、デバイスを登録させるようにすることができます。
この機能は、次のデバイスでサポートされています。
  • macOS
     2.7 以降向けの
    CylanceGATEWAY
     エージェント
  • iOS
     2.14 以降向けの
    CylancePROTECT Mobile
     アプリ
デバイスで
CylancePROTECT Desktop
 もアクティブ化されている場合のみ、Gateway の実行を許可
この設定を行うには、ユーザーにより
CylancePROTECT Desktop
 はインストール済みで、同じテナントからアクティブ化されている必要があります。この機能は、次のデバイスでサポートされています。
  • Windows
     for
    CylanceGATEWAY
     を実行している
    Windows
     デバイスのみ。
  • macOS
     3.0 以降および
    CylancePROTECT Desktop
     for
    CylanceGATEWAY
     2.0.17 以降を実行している
    macOS
     デバイス。
    CylancePROTECT Desktop
     のバージョン 3.0 以前を実行しているデバイスでこの機能を有効にすると、トンネルは期待どおりに機能にしない場合があります。
セーフモード
ユーザーに対してセーフモードを有効にできます。セーフモードの場合、
CylanceGATEWAY
 は、アプリおよびユーザーが潜在的に悪意のある宛先にアクセスできないようにブロックし、DNS 要求をインターセプトすることで、許容可能な使用ポリシー(AUP)を強制します。
CylanceGATEWAY
 クラウドサービスは、設定されている ACL ルールとネットワーク保護設定(DGA、フィッシング、マルウェアなどの DNS トンネリングおよびゼロデイ検出など)に照らして各 DNS クエリを評価し、リアルタイムで要求を許可またはブロックするようエージェントに指示します。許可された場合、DNS 要求が、正常にベアラーネットワーク経由で完了します。それ以外の場合、
CylanceGATEWAY
 エージェントが、通常の応答を上書きしてアクセスを防止します。
有効にすると、仕事モードが無効になっているときにセーフモードが自動的に有効になります。
Windows
 デバイスで有効にすると、エージェントは起動時にシステムトレイ内で最小化されます。セーフモードを有効にしても、ユーザーはエージェントを開いたり、仕事モードを有効または無効にしたりすることができます(ユーザーのポリシーでこのような操作が許可されている場合)。
セーフモードイベントは、[CylanceGATEWAY イベント]画面と[アラート]表示に表示され、SIEM ソリューションまたは syslog サーバーに送信されます(設定されている場合)。
セーフモードを有効にすると、
CylanceGATEWAY
 トンネルを使用しないすべての DNS トラフィックが保護されます(たとえば、Gateway が管理対象 VPN、アプリごとのトンネル、分割トンネルとして設定されている MDM 管理対象デバイスでのみトンネルを確立できるようにします)。
この機能は、次のデバイスでサポートされています。
  • Windows
     2.8 以降向けの
    CylanceGATEWAY
     エージェント。
  • macOS
     2.7 以降向けの
    CylanceGATEWAY
     エージェント。
この機能は、DoT(DNS-over-TLS)および DoH(DNS-over-HTTPS)プロトコルでセキュアな DNS を使用する環境ではサポートされていません。DoT または DoH を使用して送信された DNS クエリは、
CylanceGATEWAY
 では表示できません。
セーフモードと
macOS
 用の
CylanceGATEWAY
 エージェント
macOS
 では、
CylanceGATEWAY
 エージェントはシステム拡張機能を使用してセーフモードを実装します。「P7E3XMAM8G:com.blackba.big3.gatewayfilter」システム拡張機能を許可リストに追加すると、ユーザーが操作しなくても、
CylanceGATEWAY
 エージェントがアクティブ化されたときに自動的にこれをロードできます。それ以外の場合は、アクティベーション中にプロンプトが表示されたときに、
CylanceGATEWAY
 システム拡張機能を許可するようにユーザーに指示します。システム拡張機能を許可リストに追加する方法については、
macOS
 のドキュメントを参照してください。
CylanceGATEWAY
 エージェントをアクティブ化してセーフモードを使用する方法の詳細については、ユーザーガイドの「CylanceGATEWAY エージェントでのセーフモードのアクティブ化」を参照してください。
セーフモードとサードパーティ VPN
:ご利用の環境がセーフモードとサードパーティ VPN を使用するように設定されている場合は、VPN DNS 設定を確認し、必要に応じてこの設定を調整して、VPN トンネルを使用するように定義されたトラフィックの DNS クエリのみをルーティングするようにします。セーフモードを有効にしても、VPN DNS 設定を確認しなかった場合、VPN が想定どおりに動作しない可能性があります。デフォルトでは、多くの VPN の設定で、VPN トンネルがアクティブの場合にすべての DNS トラフィックが VPN トンネルを経由してルーティングされます。
[サインインしたら CylanceGATEWAY を起動]設定を適用する
この設定では、
macOS
 または
Windows
 デバイスで、ユーザーがログインしたときに、
CylanceGATEWAY
 エージェントを自動的に起動するかどうかを指定します。このポリシー設定は、エージェントの[サインインしたら
CylanceGATEWAY
 を起動]設定よりも優先されます。
BlackBerry
 では、Gateway サービスポリシーでこのオプションを有効にすることが推奨されています。
この機能は、次のデバイスでサポートされています。
  • macOS
     2.7 以降向けの
    CylanceGATEWAY
     エージェント
  • Windows
     2.7 以降向けの
    CylanceGATEWAY
     エージェント
ユーザーのサインイン時に CylanceGATEWAY を自動的に起動する
この設定では、ユーザーがデバイスにサインインしたときに
CylanceGATEWAY
 エージェントが自動的に開始されますが、ユーザーが手動でエージェントを停止することもできます。
Windows
 デバイスに対してこの設定と[仕事モードを自動的に有効化]の両方を有効にすると、エージェントは起動時にシステムトレイ内で最小化されます。
この設定は、[[サインインしたら CylanceGATEWAY を起動]設定を適用する]が有効な場合にのみ有効です。
[仕事モードを自動的に有効にする]設定を適用する
この設定では、
macOS
 または
Windows
 デバイスで、
CylanceGATEWAY
 エージェントが起動したときに、エージェントで仕事モードを有効にするかどうかを指定します。このポリシー設定は、エージェントの[仕事モードを自動的に有効化]設定よりも優先されます。
この機能は、次のデバイスでサポートされています。
  • macOS
     2.7 以降向けの
    CylanceGATEWAY
     エージェント。
  • Windows
     2.7 以降向けの
    CylanceGATEWAY
     エージェント
仕事モードを自動的に有効化
この設定では、
CylanceGATEWAY
 エージェントの起動時に仕事モードが自動的に有効になりますが、エージェント起動後にユーザーが手動で仕事モードを有効または無効にすることもできます。
Windows
 デバイスに対してこの設定と[ユーザーのサインイン時に
CylanceGATEWAY
 を自動的に起動する]の両方を有効にすると、エージェントは起動時にシステムトレイ内で最小化されます。
この設定は、[仕事モードを自動的に有効化]が有効になっている場合にのみ有効です。
トンネル使用
アプリごとのトンネル
この設定では、
CylanceGATEWAY
 クラウドサービスにトンネル経由でデータを送信できるアプリを指定します。次のオプションを使用できます。
  • トンネルを使用するアプリを指定するには、
    [許可されたアプリ]
    を選択します。他のアプリはトンネルを使用できません。システムアプリと
    Windows
     DNS は常にトンネルを使用します。このオプションを選択すると、設定された ACL ルールまたはネットワークアクセス制御ポリシーが適用されます。ACL ルールおよびネットワークアクセス制御ポリシーの詳細については、「ネットワークアクセスの制御」を参照してください。
  • トンネルを使用できないアプリを指定するには、
    [制限対象アプリ]
    を選択します。他のすべてのアプリはトンネルを使用できます。
  • 追加アイコン をクリックして、デスクトップアプリのフルパスを入力、パスにワイルドカードを含める、またはストアアプリの
    Windows
     パッケージファミリー名(PFN)を追加します。最大 200 のアプリケーションパスまたは PFN を組み合わせて指定できます。
    パスにワイルドカードを含める場合は、次の点を考慮してください。
    • パスごとに含めることができるワイルドカードは 1 つだけです。サポートされている形式は \*\ です(例:%ProgramFiles%\
      Folder_Name
      \*\
      Application_Name
      .exe)
    • 次の場合、ワイルドカードはサポートされません。
      • 環境変数の代わりに使用する場合
      • パス内のルートディレクトリの代わりに使用する場合
      • ディレクトリ名の一部に使用する場合(例:「C:\Win*\notepad.exe」)。
      • 実行可能ファイル名で使用する場合(例:「C:\Windows\*.exe」)。
    ワイルドカードは、
    Windows
     2.7 以降向けの
    CylanceGATEWAY
     エージェントを実行している
    Windows
     デバイスでサポートされています。
この機能は、次のデバイスでサポートされています。
  • Windows
     2.0.0.13 以降向けの
    CylanceGATEWAY
  • Android
     アプリを実行している
    Chromebook
     または
    CylancePROTECT Mobile
     デバイスユーザー。
アプリにトンネルの使用を強制
この設定では、すべての非ループバック接続がトンネルを使用する必要があります。このオプションを選択し、分割トンネルを有効にした場合、すべてのトラフィックがトンネルを使用します。
Windows
 デバイスでは、このオプションを選択して分割トンネルを有効にしている場合、トンネルを使用しない接続は予期したとおりに機能しない可能性があります。この機能は、次のデバイスでサポートされています。
  • macOS
     10.15 以降および
    macOS
     for
    CylanceGATEWAY
     2.0.17 以降を実行している管理対象外の
    macOS
     デバイス。
  • iOS
     14.0 以降および
    iOS
     アプリ 2.4.0.1731 以降を実行している管理対象外の
    CylancePROTECT Mobile
     デバイス。
  • Windows
     for
    CylanceGATEWAY
     を実行している
    Windows
     デバイスのみ。
アプリがローカルネットワークを使用することを許可
これを設定すると、トンネル使用を強制されているアプリがローカルネットワークの宛先に到達可能になります。この機能は、次のデバイスでサポートされています。
  • macOS
     10.15 以降および
    macOS
     for
    CylanceGATEWAY
     2.0.17 以降を実行している管理対象外の
    macOS
     デバイス。
  • iOS
     14.2 以降および
    iOS
     アプリ 2.4.0.1731 以降を実行している管理対象外の
    CylancePROTECT Mobile
     デバイス。
  • Windows
     for
    CylanceGATEWAY
     2.5 以降を実行している
    Windows
     デバイスのみ。
この設定は、[アプリにトンネルの使用を強制]が有効になっている場合にのみ有効です。
制限されたアプリからのネットワークトラフィックをブロック
この設定では、トンネルを使用できないアプリからの非ループバックネットワーク接続をすべて禁止します。この設定を選択しない場合、制限されたアプリはデフォルトのネットワーク接続を使用できます。この機能は、
CylanceGATEWAY
 for
Windows
 エージェントを実行しているデバイスでサポートされています。
他のWindowsユーザーにトンネルの使用を許可
この設定では、同じ
Windows
 デバイスを使用するすべてのユーザーがトンネルを使用できるように指定します。このオプションを選択すると、アプリごとのトンネル基準が適用されます。このオプションを選択しない場合、他の
Windows
 ユーザーが実行するアプリは制限対象アプリとして扱われます。
受信接続を許可
この設定では、非トンネル、非ループバックインターフェイスからの受信 TCP 接続および UDP フローを許可するよう指定します。
CylanceGATEWAY
 では、トンネルを介して着信接続をルーティングしません。この機能は、
CylanceGATEWAY
 for
Windows
 エージェントを実行しているデバイスでサポートされています。
トンネルの再認証
トンネルの再認証
この設定では、トンネル確立前に必要なユーザーの認証頻度を指定します。
この機能を有効にした場合、
BlackBerry
 では、[認証の再利用を許可]オプションを設定して、ユーザーの再認証が必要になるまでの期間を指定することが推奨されています。
この機能は、次のデバイスでサポートされています。
  • CylanceGATEWAY
     2.5 以降向けの
    macOS
  • CylanceGATEWAY
     2.5 以降向けの
    Windows
認証の再利用を許可
この設定を有効にすると、認証されてトンネルを確立したユーザーが再度の認証を必要とするまでの再利用期間を指定できます。再利用期間として設定可能な値は、最後の認証から 5 分から 365 日までの間です。たとえば、リセット期間を 10 日に設定した場合、トンネル確立前に必要なユーザーの再認証は、最初の認証から 10 日後になります。この設定はデフォルトで無効になっています。
[認証の再利用を許可]を有効にせずに、再利用期間を指定した場合、ユーザーはトンネルを確立するごとに認証を行う必要があります。
この設定は[トンネルの再認証]が有効になっている場合にのみ有効です。
猶予期間
この設定では、トンネル接続の確立が接続の切断から 2 分以内に行われた場合、ユーザーは認証なしでトンネルを再接続できます。デフォルトでは、トンネルの再認証をオンにした場合、このオプションは有効になります。
この設定は[トンネルの再認証]が有効になっている場合にのみ有効です。
分割トンネル
分割トンネル
この設定では、パブリックの宛先へのトラフィックが
CylanceGATEWAY
 をバイパスできるようにします。トンネルを経由する必要のある宛先の CIDR アドレスまたは FQDN を入力できます。ユーザー体験の向上を図るため、管理コンソールは FQDN の IP アドレス解決を定期的に更新しています。
FQDN アドレスはワイルドカードをサポートしていません。
分割トンネルを有効にすると、宛先への接続でトンネルを使用するように指定しない限り、許可されたパブリックの宛先への接続はトンネルおよび
CylanceGATEWAY
 クラウドサービスをバイパスします。分割トンネルを有効にし、分割 DNS を有効にしなかった場合、トラフィックがパブリックの宛先にルーティングされる前に、設定されている ACL ルールに照らしてすべての DNS クエリが評価され、ネットワークアクセス制御が適用されます。トンネルを経由する必要のある宛先の CIDR アドレスまたは FQDN を入力できます。ソース IP のピン設定を使用している場合、ソース IP ピン設定用に設定されたすべての宛先でトンネルを使用する必要があります。
トンネリング設定または着信接続に変更を加えた場合、その変更を適用するには、
CylanceGATEWAY
 および
Windows
 デバイスにインストールされている
macOS
 エージェント、または
CylancePROTECT Mobile
iOS
、および 64 ビット
Android
 デバイスにインストールされている
Chromebook
 アプリの仕事モードを無効にしてから有効にする必要があります。
分割 DNS
この設定を有効にすると、[プライベートネットワーク] > [DNS] > [前方ルックアップゾーン]設定にリストされているドメインの DNS ルックアップを、ネットワークアクセスコントロールが適用されているトンネルを介して実行できます。その他の DNS ルックアップはすべて、ローカル DNS を使用して実行されます。セーフモードを有効にした場合、Gateway トンネルを使用しない DNS トラフィックはセーフモードで保護されます。分割 DNS はデフォルトで無効になっています。
Android
 および 64 ビットの
Chromebook
 デバイスでは、分割 DNS トンネルがサポートされていないため、アクセス制御が適用されているトンネルが使用されます。
この設定は[分割トンネル]が有効になっている場合にのみ有効です。