Gateway サービスポリシーのパラメーター
CylanceGATEWAY
などの EMM ソリューションによってアクティブ化されているデバイス上で BlackBerry UEM
を設定する場合は、EMM ソリューションでオプションを指定して、デバイス上での CylanceGATEWAY
の動作を制御することもできます。項目 | 説明 |
---|---|
一般的な情報 | |
名前 | これはルールの名前です。 |
説明 | これは、ルールの目的の簡単な説明です。 |
エージェントの設定 | |
デバイスが BlackBerry UEM または Microsoft Intune で管理されている場合のみ Gateway の実行を許可 | この設定では、ユーザーが CylanceGATEWAY を使用する前に、iOS 、Android 、または Chromebook デバイスを BlackBerry UEM または Microsoft Intune で管理する必要があることを指定します。この機能の使用条件は次のいずれかのとおりです。
詳細については、次を参照してください。 Cylance Endpoint Security を MDM ソリューションに接続して、デバイスが管理されているかどうかを確認 |
Gateway が管理対象 VPN として構成されている MDM 管理対象デバイスでのみ Gateway のトンネル確立を許可 | CylanceGATEWAY の仕事モードでそのデバイスにトンネルを作成する前に、CylanceGATEWAY が VPN プロバイダーとして設定されている組織のモバイルデバイス管理(MDM)に、デバイスを登録させるようにすることができます。この機能は、次のデバイスでサポートされています。
|
デバイスで CylancePROTECT Desktop もアクティブ化されている場合のみ、Gateway の実行を許可 | この設定を行うには、ユーザーにより CylancePROTECT Desktop はインストール済みで、同じテナントからアクティブ化されている必要があります。この機能は、次のデバイスでサポートされています。
|
セーフモード | ユーザーに対してセーフモードを有効にできます。セーフモードの場合、 CylanceGATEWAY は、アプリおよびユーザーが潜在的に悪意のある宛先にアクセスできないようにブロックし、DNS 要求をインターセプトすることで、許容可能な使用ポリシー(AUP)を強制します。CylanceGATEWAY クラウドサービスは、設定されている ACL ルールとネットワーク保護設定(DGA、フィッシング、マルウェアなどの DNS トンネリングおよびゼロデイ検出など)に照らして各 DNS クエリを評価し、リアルタイムで要求を許可またはブロックするようエージェントに指示します。許可された場合、DNS 要求が、正常にベアラーネットワーク経由で完了します。それ以外の場合、CylanceGATEWAY エージェントが、通常の応答を上書きしてアクセスを防止します。有効にすると、仕事モードが無効になっているときにセーフモードが自動的に有効になります。 Windows デバイスで有効にすると、エージェントは起動時にシステムトレイ内で最小化されます。セーフモードを有効にしても、ユーザーはエージェントを開いたり、仕事モードを有効または無効にしたりすることができます(ユーザーのポリシーでこのような操作が許可されている場合)。セーフモードイベントは、[CylanceGATEWAY イベント]画面と[アラート]表示に表示され、SIEM ソリューションまたは syslog サーバーに送信されます(設定されている場合)。 セーフモードを有効にすると、 CylanceGATEWAY トンネルを使用しないすべての DNS トラフィックが保護されます(たとえば、Gateway が管理対象 VPN、アプリごとのトンネル、分割トンネルとして設定されている MDM 管理対象デバイスでのみトンネルを確立できるようにします)。この機能は、次のデバイスでサポートされています。
この機能は、DoT(DNS-over-TLS)および DoH(DNS-over-HTTPS)プロトコルでセキュアな DNS を使用する環境ではサポートされていません。DoT または DoH を使用して送信された DNS クエリは、 CylanceGATEWAY では表示できません。セーフモードと :macOS 用の CylanceGATEWAY エージェントmacOS では、CylanceGATEWAY エージェントはシステム拡張機能を使用してセーフモードを実装します。「P7E3XMAM8G:com.blackba.big3.gatewayfilter」システム拡張機能を許可リストに追加すると、ユーザーが操作しなくても、CylanceGATEWAY エージェントがアクティブ化されたときに自動的にこれをロードできます。それ以外の場合は、アクティベーション中にプロンプトが表示されたときに、CylanceGATEWAY システム拡張機能を許可するようにユーザーに指示します。システム拡張機能を許可リストに追加する方法については、macOS のドキュメントを参照してください。CylanceGATEWAY エージェントをアクティブ化してセーフモードを使用する方法の詳細については、ユーザーガイドの「CylanceGATEWAY エージェントでのセーフモードのアクティブ化」を参照してください。セーフモードとサードパーティ VPN :ご利用の環境がセーフモードとサードパーティ VPN を使用するように設定されている場合は、VPN DNS 設定を確認し、必要に応じてこの設定を調整して、VPN トンネルを使用するように定義されたトラフィックの DNS クエリのみをルーティングするようにします。セーフモードを有効にしても、VPN DNS 設定を確認しなかった場合、VPN が想定どおりに動作しない可能性があります。デフォルトでは、多くの VPN の設定で、VPN トンネルがアクティブの場合にすべての DNS トラフィックが VPN トンネルを経由してルーティングされます。 |
[サインインしたら CylanceGATEWAY を起動]設定を適用する | この設定では、 macOS または Windows デバイスで、ユーザーがログインしたときに、CylanceGATEWAY エージェントを自動的に起動するかどうかを指定します。このポリシー設定は、エージェントの[サインインしたら CylanceGATEWAY を起動]設定よりも優先されます。BlackBerry では、Gateway サービスポリシーでこのオプションを有効にすることが推奨されています。この機能は、次のデバイスでサポートされています。
|
ユーザーのサインイン時に CylanceGATEWAY を自動的に起動する | この設定では、ユーザーがデバイスにサインインしたときに CylanceGATEWAY エージェントが自動的に開始されますが、ユーザーが手動でエージェントを停止することもできます。Windows デバイスに対してこの設定と[仕事モードを自動的に有効化]の両方を有効にすると、エージェントは起動時にシステムトレイ内で最小化されます。この設定は、[[サインインしたら CylanceGATEWAY を起動]設定を適用する]が有効な場合にのみ有効です。 |
[仕事モードを自動的に有効にする]設定を適用する | この設定では、 macOS または Windows デバイスで、CylanceGATEWAY エージェントが起動したときに、エージェントで仕事モードを有効にするかどうかを指定します。このポリシー設定は、エージェントの[仕事モードを自動的に有効化]設定よりも優先されます。この機能は、次のデバイスでサポートされています。
|
仕事モードを自動的に有効化 | この設定では、 CylanceGATEWAY エージェントの起動時に仕事モードが自動的に有効になりますが、エージェント起動後にユーザーが手動で仕事モードを有効または無効にすることもできます。Windows デバイスに対してこの設定と[ユーザーのサインイン時に CylanceGATEWAY を自動的に起動する]の両方を有効にすると、エージェントは起動時にシステムトレイ内で最小化されます。この設定は、[仕事モードを自動的に有効化]が有効になっている場合にのみ有効です。 |
トンネル使用 | |
アプリごとのトンネル | この設定では、 CylanceGATEWAY クラウドサービスにトンネル経由でデータを送信できるアプリを指定します。許可されたアプリまたは制限されたアプリリストのいずれかを使用して、アプリごとのトンネルを設定できます。たとえば、[許可されたアプリ]オプションを選択してトンネルを使用できるアプリを指定してから、オプションを[制限対象アプリ]に変更すると、リストされたアプリではトンネルを使用できなくなります。次のオプションを使用できます。
この機能は、次のデバイスでサポートされています。
|
アプリにトンネルの使用を強制 | この設定では、すべての非ループバック接続がトンネルを使用する必要があります。このオプションを選択し、分割トンネルを有効にした場合、すべてのトラフィックがトンネルを使用します。 Windows デバイスでは、このオプションを選択して分割トンネルを有効にしている場合、トンネルを使用しない接続は予期したとおりに機能しない可能性があります。この機能は、次のデバイスでサポートされています。
|
アプリがローカルネットワークを使用することを許可 | これを設定すると、トンネル使用を強制されているアプリがローカルネットワークの宛先に到達可能になります。この機能は、次のデバイスでサポートされています。
この設定は、[アプリにトンネルの使用を強制]が有効になっている場合にのみ有効です。 |
制限されたアプリからのネットワークトラフィックをブロック | この設定では、トンネルを使用できないアプリからの非ループバックネットワーク接続をすべて禁止します。この設定を選択しない場合、制限されたアプリはデフォルトのネットワーク接続を使用できます。この機能は、 CylanceGATEWAY for Windows エージェントを実行しているデバイスでサポートされています。 |
他のWindowsユーザーにトンネルの使用を許可 | この設定では、同じ Windows デバイスを使用するすべてのユーザーがトンネルを使用できるように指定します。このオプションを選択すると、アプリごとのトンネル基準が適用されます。このオプションを選択しない場合、他の Windows ユーザーが実行するアプリは制限対象アプリとして扱われます。 |
受信接続を許可 | この設定では、非トンネル、非ループバックインターフェイスからの受信 TCP 接続および UDP フローを許可するよう指定します。 CylanceGATEWAY では、トンネルを介して着信接続をルーティングしません。この機能は、CylanceGATEWAY for Windows エージェントを実行しているデバイスでサポートされています。 |
トンネルの再認証 | |
トンネルの再認証 | この設定では、トンネル確立前に必要なユーザーの認証頻度を指定します。 この機能を有効にした場合、 BlackBerry では、[認証の再利用を許可]オプションを設定して、ユーザーの再認証が必要になるまでの期間を指定することが推奨されています。この機能は、次のデバイスでサポートされています。
|
認証の再利用を許可 | この設定を有効にすると、認証されてトンネルを確立したユーザーが再度の認証を必要とするまでの再利用期間を指定できます。再利用期間として設定可能な値は、最後の認証から 5 分から 365 日までの間です。たとえば、リセット期間を 10 日に設定した場合、トンネル確立前に必要なユーザーの再認証は、最初の認証から 10 日後になります。この設定はデフォルトで無効になっています。 [認証の再利用を許可]を有効にせずに、再利用期間を指定した場合、ユーザーはトンネルを確立するごとに認証を行う必要があります。 この設定は[トンネルの再認証]が有効になっている場合にのみ有効です。 |
猶予期間 | この設定では、トンネル接続の確立が接続の切断から 2 分以内に行われた場合、ユーザーは認証なしでトンネルを再接続できます。デフォルトでは、トンネルの再認証をオンにした場合、このオプションは有効になります。 この設定は[トンネルの再認証]が有効になっている場合にのみ有効です。 |
分割トンネル | |
分割トンネル | この設定では、パブリックの宛先へのトラフィックが CylanceGATEWAY をバイパスできるようにします。トンネルを経由する必要のある宛先の CIDR アドレスまたは FQDN を入力できます。ユーザー体験の向上を図るため、管理コンソールは FQDN の IP アドレス解決を定期的に更新しています。FQDN アドレスはワイルドカードをサポートしていません。 分割トンネルを有効にすると、宛先への接続でトンネルを使用するように指定しない限り、許可されたパブリックの宛先への接続はトンネルおよび CylanceGATEWAY クラウドサービスをバイパスします。分割トンネルを有効にし、分割 DNS を有効にしなかった場合、トラフィックがパブリックの宛先にルーティングされる前に、設定されている ACL ルールに照らしてすべての DNS クエリが評価され、ネットワークアクセス制御が適用されます。トンネルを経由する必要のある宛先の CIDR アドレスまたは FQDN を入力できます。ソース IP のピン設定を使用している場合、ソース IP ピン設定用に設定されたすべての宛先でトンネルを使用する必要があります。トンネリング設定または着信接続に変更を加えた場合、その変更を適用するには、 CylanceGATEWAY および Windows デバイスにインストールされている macOS エージェント、または CylancePROTECT Mobile 、iOS 、および 64 ビット Android デバイスにインストールされている Chromebook アプリの仕事モードを無効にしてから有効にする必要があります。 |
分割 DNS | この設定を有効にすると、[プライベートネットワーク] > [DNS] > [前方ルックアップゾーン]設定にリストされているドメインの DNS ルックアップを、ネットワークアクセスコントロールが適用されているトンネルを介して実行できます。その他の DNS ルックアップはすべて、ローカル DNS を使用して実行されます。セーフモードを有効にした場合、Gateway トンネルを使用しない DNS トラフィックはセーフモードで保護されます。分割 DNS はデフォルトで無効になっています。 Android および 64 ビットの Chromebook デバイスでは、分割 DNS トンネルがサポートされていないため、アクセス制御が適用されているトンネルが使用されます。この設定は[分割トンネル]が有効になっている場合にのみ有効です。 |