デバイスのコンプライアンス・ルールの作成

IBM® MaaS360® Portal でデバイスのコンプライアンスルールを作成するには、以下の手順に従ってください。

手順

IBM MaaS360 ポータルホームページから、セキュリティ > コンプライアンス・ルールを選択する。
「コンプライアンス・ルール」ウィンドウが表示されます。
「ルール・セットの追加」をクリックします。
「ルールの追加」ウィンドウが表示されます。
ルールを適用するグループ、ルール・セットの名前、および基礎として使用する既存のルールを指定します。
「続行」をクリックします。
「基本設定」タブが表示されます。
以下の設定およびルールを構成します。
- 基本設定:ルール・セットが適用されるプラットフォームを構成し、ルール・セットのアラートを受信する E メール・アドレスを入力します。
- 適用ルール: モバイル・デバイスのセキュリティー・コンプライアンスを適用するように構成します。
  以下のオプションを選択します。
  - MDM への登録
  - 特定のオペレーティング・システムのバージョン
  - ブロック・レベルおよびファイル・レベルの暗号化のサポート、または暗号化なし
  - 許可されているアプリ、ブロックされているアプリ、および必須アプリに関する企業アプリ・ポリシーに対するコンプライアンス
  - リモート・ワイプのサポート
  - ジェイルブレイクされたデバイス (iOS)、root 化されたデバイス (Android)、および正常性構成証明に失敗したデバイス (Windows) に対する制限
  - ブロックされたデバイスの企業リソースへのアクセスの管理
  - オペレーティング・システムのパッチ更新の強制インストール
  このルールに対してさまざまな適用アクションを構成できます。詳しくは、コンプライアンス・ルールの適用アクションの構成を参照してください。
  
  「ワイプ」アクションでは、モバイル・デバイスからすべてのデータがワイプされ、デバイスが工場出荷時の設定にリセットされます。 Android 2.2 の場合は、「ワイプ」アクションによって電話メモリーのみがリセットされます。一方 Android 2.3 の場合は、「ワイプ」アクションによって電話メモリーと SD カードの両方がリセットされます。
  
  注: 「ブロック」および「ワイプ」適用アクションは、 Cloud Extender ® 統合でのみ使用できます。
- ジオフェンシング・ルール: モバイル・デバイスのロケーション関連のコンプライアンスを適用するか、デバイスのロケーションに基づいてデバイスのポリシーを変更するか、承認されたいずれかのロケーションからデバイスが削除されたときにデバイスで発生するアクションを指定するように構成します。
  このルールに対してさまざまな適用アクションを構成できます。詳しくは、コンプライアンス・ルールの適用アクションの構成を参照してください。
- モニター・ルール: さまざまなデバイスの状態変更、SIM の変更、ユーザーのデバイスがローミングしているときの変更、およびオペレーティング・システムのバージョンの変更をモニターするように構成します。
  このルールに対してさまざまな適用アクションを構成できます。詳しくは、コンプライアンス・ルールの適用アクションの構成を参照してください。
- 経費モニタリング・ルール: 経費管理のリアルタイム・アクションを実行し、モバイル・データ使用量に変更を適用し、ローミング・データ使用量とネットワーク内データ使用量の両方をモニターし、使用量しきい値を管理するように構成します。
  このルールに対してさまざまな適用アクションを構成できます。詳しくは、コンプライアンス・ルールの適用アクションの構成を参照してください。
  
  注意: 経費管理モジュールは別途購入する必要があります。詳しくは、 IBM® サポートにお問い合わせください。
- グループ・ベースのルール: 以前に定義したデバイスまたはユーザーのグループに対してルールを作成するように構成します。
- カスタム属性ルール: 以前に定義したデバイスまたはユーザーのグループのルールを作成するように構成します。
変更を適用して、「保存」をクリックします。

コンプライアンス・ルールの適用アクションの構成

このタスクについて

さまざまな適用アクションを構成して、デバイスがコンプライアンス違反 (OOC) になったとき、または定義されたコンプライアンス基準を満たしていないときに、指定された時間間隔でデバイスに自動的に適用されるようにすることができます。複数の適用アクションを追加し、これらのアクションに必要なスケジュールと順序を構成することができます。

例えば、必要な OS バージョンで管理対象デバイスが最新であることを確認することができます。 OS Versions ルールを設定し、iOS, Android、macOS, などの異なるプラットフォームに対して許可される OS バージョンを指定できます。以下のように、デバイスが構成済みの許可された OS バージョンに準拠しない場合に自動的に適用されるように、複数の適用アクションを構成できます。

デバイスが OOC 状態になった直後にアラートを送信して、ユーザーに通知します。
最初のアクションを適用してから 1 日後にデバイスが OOC のままである場合は、「セレクティブ・ワイプ」アクションを適用して、E メール、Wi-Fi、VPN などの企業コンテンツへのデバイスのアクセス権限を取り消します。
2 番目のアクションを適用してから 1 日後にデバイスが OOC のままである場合は、「コントロールの削除」アクションを適用してデバイスの管理を停止します。

強制アクションには、アラート、セレクティブ・ワイプ、変更ポリシー、ワイプ、コントロールの削除、デバイスの非表示などがあります。適用アクションのリストは、ルールによって異なります。これらのアクションについて詳しくは、デバイスの詳細ビューを参照してください。

また、強制アクションがデバイスに適用されるたびに、E メールまたはデバイス通知によってユーザーに通知し、カスタマイズされたメッセージを管理者に通知することもできます。

注: デバイスが OOC 状態に入り、既存の適用アクションのセットが既に構成されている場合、シーケンスの変更、新規アクションの追加、アクションの間隔のリセットなどの既存の適用アクションに変更を加えても、デバイスは直ちに新規構成に従うことになりません。代わりに、デバイスは引き続き OOC 状態に移行してからの期間を考慮し、OOC 状態に入ったときに実施されていた以前の強制アクション構成に従います。デバイスは、前に構成されたアクションの時間間隔が経過するまで、新しい構成を考慮しません。この間隔が経過した後でのみ、デバイスは新しく構成されたアクションを考慮して開始します。