適用対象: WatchGuard Advanced EPDR。, WatchGuard EPDR。, WatchGuard EDR。,WatchGuard EDR Core。, WatchGuard EPP。
Endpoint Security マルチテナント管理 UI を開くには、Service Provider アカウントのインベントリにアクティブな WatchGuard Endpoint Security 製品ライセンスが割り当てられている必要があります。
Endpoint Security 管理 UI で、Subscriber アカウントは、セキュリティ設定プロファイルを作成して、それを管理対象のコンピュータとデバイスに割り当てることができます。Service Provider が作成してそれに割り当てた設定を受け取ることもできます。このトピックでは、Service Provider が管理対象 Subscriber アカウントに設定を割り当てる場合の設定継承について説明します。
管理対象 Service Provider アカウントに設定を割り当てる方法については、次を参照してください:マルチテナント管理 — Service Provider アカウントの設定継承。
Service Provider は、マルチテナント管理 UI で、委任されたアカウントにセキュリティ設定を割り当てることはできません。
Service Provider が管理対象 Subscriber アカウントに割り当てる設定プロファイルは、Subscriber アカウントで読み取り専用となります。設定プロファイルには、アカウント レベルで手動で作成されたプロファイルと区別することを目的として、緑色の Service Provider ラベル (
) が含まれています。
これらの設定プロファイルの所有権 (それらを編集および削除できる権利) は、誰が設定プロファイルを作成したか (Service Provider か Subscriber か) に基づきます。該当するセクションを参照してください。
- Service Provider によって作成され割り当てられている設定プロファイル
- WatchGuard Endpoint Security で作成されて割り当て済みの設定プロファイル
- マルチテナント管理 UI で作成され、そこから送信された設定プロファイル
継承された編集可能な設定
規定では、設定プロファイルを割り当てた管理対象アカウントは構成を編集または削除することができません。一部の設定プロファイルを構成して、管理対象アカウントによる追加が可能となるように設定することができます。アカウントを有効化して、以下の設定を追加することができます。
- スキャンの除外
- 承認済みソフトウェア
- Endpoint アクセス コントロールの許可済み IP アドレス
変更を有効化すると、受信者アカウントの管理 UI の設定プロファイルに、編集可能な除外項目、編集可能な設定、編集可能なプロトコルのいずれかのラベルが表示されます。管理対象アカウントで追加を行うことはできますが、定義されているリストを削除または編集することはできません。
オプションを編集不可に再構成すると、管理対象アカウントで実行された追加内容は適用されなくなります。Service Provider アカウントからの除外のみが適用されます。オプションを再度編集可能に変更すると、管理対象アカウントによって追加された例外、承認されたソフトウェア プログラム、または許可された IP アドレスが復元されて適用されます。
Service Provider が 1 つまたは複数のテナント アカウントに設定を割り当てると、それらは設定の所有者になります。こうした設定は、Endpoint Security 管理 UI の すべて グループに自動的に割り当てられます。Service Provider がマルチテナント管理 UI でこれらの設定プロファイルを削除すると、プロファイルは Endpoint Security 管理 UI に表示されなくなります。その後、グループはより上位のグループまたは すべて グループから設定を継承します。
Endpoint Security ユーザーは、作成された設定を編集したり削除したりすることができません。ユーザーは、受信者のみを編集することができます。ユーザーが Endpoint Security 管理 UI で受信者を編集すると、設定プロファイルが共同所有となります。設定プロファイルの共同所有の詳細については、次を参照してください:マルチテナント管理 UI で作成され、そこから送信された設定プロファイル。
すべて グループのサブグループまたはコンピュータに、Endpoint Security 管理 UI で手動で割り当てられている設定がある場合は、Service Provider がマルチテナント管理 UI で割り当てる設定によりそれらの設定が上書きされることはありません。
Endpoint Security 管理 UI で作成された設定は、作成者が所有します。Service Provider はそれらの設定を見ることができません。
Service Provider がマルチテナント管理 UI で設定プロファイルを作成して、それをテナント アカウントに送信すると、Endpoint Security 管理 UI で作成されたプロファイルと区別することを目的として、それが緑色の Service Provider ラベル () 付きで Endpoint Security 管理 UI に表示されます。その後、Endpoint Security ユーザーがプロファイルの受信者を編集すると、その設定が共同所有となります。
Endpoint Security ユーザーは、設定を編集したり削除したりすることができません。追加または削除された受信者は変更されません。Service Provider が共同所有の設定プロファイルを削除できないのはこのためです。Service Provider が設定を編集すると、設定が再送信され、すべて グループおよび Endpoint Security 管理 UI でユーザーが追加した他のすべての受信者に再割り当てされます。
テナント アカウントに割り当てられている設定に対して Service Provider が行った変更は、テナント アカウントの Endpoint Security 管理 UI に自動的に反映されます。変更は、リアルタイムでターゲット デバイスに伝播されます。リアルタイム通信が無効化されている場合は、15 分以内に伝播されます。詳細については、次を参照してください:リアルタイム通信を無効化する。
設定の例外
設定が直接割り当てられているデバイスがアカウント グループにある場合は、リストのアカウント名の横に黄色の注意記号が表示されます。直接割り当てられている設定を保持するか、ローカル設定を上書きしてアカウント グループからすべての設定を継承するかを選択することを求めるプロンプトが表示されます。
Service Provider がセキュリティ設定プロファイルをアカウントまたはアカウント グループに割り当てると、その設定が すべて グループに適用され、サブグループに継承されます。サブグループ、コンピュータ、デバイスのいずれかに手動で設定が割り当てられている場合は、例外が発生し、WatchGuard Endpoint Security では設定プロファイルが割り当てられません。
Service Provider がマルチテナント管理 UI で設定を割り当てると、設定 ページに例外が表示されます。アカウント リストに表示される色付きの線に黒い数字が付いている場合は、アカウント リストのこの部分が折りたたまれており、一部のアカウントに割り当てられている設定プロファイルの例外が存在するという意味です。数字をダブルクリックすると、例外のあるアカウントが表示されます。
手動で適用された設定を確認するには、そのアカウントの Endpoint Security 管理 UI を開く必要があります。