Trio のゼロトラストフレームワークにおけるデバイスアクセスポリシーは、企業リソースへのアクセスを許可するデバイスを制御します。これらのポリシーは、ネットワーク、場所、デバイスのポスチャなどの定義された条件に基づいて、承認され、準拠し、信頼できるデバイスのみがサインインできるようにします。
注: デバイスアクセスポリシーは現在、macOS および Windows デバイスでのみサポートされています。
デバイスアクセスの使用場面
デバイスアクセスポリシーは、次の目的で使用します。
信頼できないネットワークからの企業リソースへのアクセスを制限する
デバイスログイン前にセキュリティチェックを実施する
リスク条件が満たされた場合に追加の認証またはアクションを要求する
ゼロトラストの原則をデバイスレベルのアクセスに適用する
デバイスアクセスポリシーへのアクセス
Trio ダッシュボードで、セキュリティ → ゼロトラストに移動します。
条件リストタブを開きます。
ポリシーが存在しない場合、推奨されるゼロトラストシナリオとともに空の状態が表示されます。
デバイス信頼、ネットワーク信頼、または別のシナリオを選択し、ポリシーを作成をクリックします。
ステップ 1: ポリシーの詳細を定義する
ポリシー名を入力します
わかりやすい名前を使用します (例: HR ポータルアクセスコントロール)。
(オプション) 説明を追加します
他の管理者向けにポリシーの目的を説明します。
適用モードを選択します:
レポートのみ: アクションを適用せずに違反をログに記録します。
適用: 条件が満たされたときにアクションを積極的に適用します。
次へをクリックして続行します。
ステップ 2: デバイスログインスコープを選択する
ログイン時にポリシーをどのように適用するかを選択します:
デバイスベースのログインルールは、ポリシーが評価されるタイミングを決定します。
続行する前にスコープを確認します。
次へをクリックします。
ステップ 3: 条件を設定する
条件は、ポリシーがいつ適用されるかを定義します。次のうち 1 つ以上を設定できます:
企業 IP / エグレス CIDR
デバイスのトラフィックが承認された企業 IP 範囲から発信されるようにします。
演算子を選択します (例: リスト内)。
事前定義された 1 つ以上のIP 範囲を選択します (例: 本社 または リモートワークフォース)。
場所ベースのログインルール
デバイスの地理的な場所に基づいてアクセスを許可または拒否します。
デバイスコンプライアンス
アクセスが許可される前に、セキュリティポスチャの要件を適用します。
ポリシーを適用するために、設定された条件のいずれかまたはすべてが一致する必要があるかどうかを選択できます。
各条件を設定した後、条件を保存をクリックします。
ステップ 4: アクションを選択する
アクションは、ポリシー条件が満たされたときに何が起こるかを決定します。
利用可能なアクションは次のとおりです:
デバイスをロック
デバイスをすぐにロックします。
割り当てられたすべてのデバイスに適用されるロック PIN の設定が必要です。
ログイン時に MFA を要求
ユーザーに多要素認証を求めます。
オフライン制限モード
オフラインログインを許可しますが、企業プロファイルとアプリへのアクセスを制限します。
目的のアクションを選択した後、保存して公開をクリックします。
ロック PIN の設定 (該当する場合)
デバイスをロックを選択した場合:
ロック PIN を設定ダイアログで安全な PIN を入力します。
PIN を確認します。
PIN を保存して、このポリシーに割り当てられたすべてのデバイスに適用します。
公開後
適用モードが選択されている場合、ポリシーはすぐに有効になります。
条件に一致するデバイスは、ログイン時に評価されます。
ポリシーのステータスとアクティビティは、条件リストから監視できます。
ベストプラクティス
アクションを適用する前に、レポートのみモードで条件を検証することから始めます。
より強力なゼロトラストの適用のために、ネットワーク信頼と地理位置情報の条件を組み合わせます。
大規模な管理を簡素化するために、明確なポリシー名を使用します。
IP 範囲とデバイスコンプライアンス要件を定期的に確認します。