Dell Data Protection Security Tools インストール ガイド v1.12 February 2017 Rev.
メモ、注意、警告 メモ: 製品を使いやすくするための重要な情報を説明しています。 注意: ハードウェアの損傷やデータの損失の可能性を示し、その危険を回避するための方法を説明しています。 警告: 物的損害、けが、または死亡の原因となる可能性があることを示しています。 © 2017 Dell Inc. 無断転載を禁じます。Dell、EMC、およびその他の商標は、Dell Inc. またはその子会社の商標です。その他の商標は、それぞれの所 有者の商標である場合があります。 Dell Data Protection Encryption、Endpoint Security Suite、Endpoint Security Suite Enterprise、および Dell Data Guardian のスイートのドキュメントに使 用されている登録商標および商標(DellTM、Dell のロゴ、Dell PrecisionTM、OptiPlexTM、ControlVaultTM、LatitudeTM、XPS®、および KACETM)は、 Dell Inc.
目次 章 1: はじめに..................................................................................................................................5 概要......................................................................................................................................................................................... 5 章 2: 要件....................................................................................................................................... 6 ドライバ.............................
セルフリカバリ、Windows ログオンリカバリ質問................................................................................................... 38 セルフリカバリ、PBA リカバリ質問............................................................................................................................ 39 セルフリカバリ、ワンタイムパスワード.....................................................................................................................40 章 7: 用語集...........................................................................................
1 はじめに Dell Data Protection | Security Tools は、Dell コンピュータの管理者とユーザーにセキュリティと個人情報保護を提供します。DDP | Security Tools は、Dell Latitude、Optiplex、Precision コンピュータ、および特定の Dell XPS ノートブックに事前インストールされて います。DDP | Security Tools を再インストールする必要がある場合は、本ガイドの手順に従ってください。追加サポートについて は、www.dell.
2 要件 • • • • • • • DDP | Security Tools は、Dell Latitude、Optiplex、Precision コンピュータ、および特定の Dell XPS ノートブックに事前インストー ルされており、次の最小要件を満たしています。DDP | Security Tools の再インストールが必要になった場合は、お使いのコンピ ュータが引き続きこれらの要件を満たしていることを確認してください。詳細については、www.dell.com/support > Endpoint Security Solutions for more information を参照してください。 Windows 8.1 を自己暗号化ドライブのドライブ 1 にインストールしないでください。Windows 8.1 はリカバリパーティションド ライブ 0 を作成しますが、これは起動前認証を破損するため、このオペレーティングシステム設定はサポートされていません。 その代わりに、Windows 8.
このコンポーネントは、コンピュータにインストールされていない場合、インストーラによってインストールされます。 前提条件 • Microsoft Visual C++ 2012 アップデート 4 以降の再頒布可能パッケージ/(x86/x64) ソフトウェア Windows オペレーティングシステム 次の表では、サポートされているソフトウェアの詳細を説明します。 Windows オペレーティングシステム(32 ビットと 64 ビット) • Microsoft Windows 7 SP0~SP1 - Enterprise - Professional メモ: Legacy ブートモードは Windows 7 でサポートされています。Windows 7 では UEFI はサポートされていませ ん。 • Microsoft Windows 8 - Enterprise - Pro - Windows 8 (Consumer) メモ: Opal Compliant SED モデルおよび Dell コンピュータモデル - UEFI サポート とで使用する際に、Windows 8 は UEFI モードでサポートされ
モバイルデバイスオペレーティングシステム • • 4.4~4.4.4 KitKat 5.0~5.1.1 Lollipop iOS オペレーティングシステム • • iOS 7.x iOS 8.x Windows Phone オペレーティングシステム • • Windows Phone 8.1 Windows 10 Mobile ハードウェア 認証 次の表に、サポートされる認証ハードウェアについて詳しく示します。 認証 指紋リーダー • セキュアモードの Validity VFS495 • Broadcom Control Vault Swipe Reader • UPEK TCS1 FIPS 201 Secure Reader 1.6.3.
Dell コンピュータのモデル - クラス B / SIPR Net カードのサポート • • Latitude E6440 Latitude E6540 • • • Precision M2800 Precision M4800 Precision M6800 • • • Latitude 14 Rugged Extreme Latitude 12 Rugged Extreme Latitude 14 Rugged Dell コンピュータモデル - UEFI サポート 認証機能は、適格な Opal Compliant SED を搭載した、Microsoft Windows 8、Microsoft Windows 8.1、および Microsoft Windows 10 を 実行する特定の Dell コンピュータにおいて、UEFI モードでサポートされます。Legacy ブートモードは Microsoft Windows 7、Microsoft Windows 8、icrosoft Windows 8.
3. 下向き矢印を押して BIOS 設定 オプションをハイライト表示し、Enter を押します。 4. 設定 > 一般 > 詳細起動オプション の順に選択します。 5. レガシーオプション ROM を有効にする チェックボックスのチェックを外して、適用 をクリックします。 Opal 対応の SED SED 管理 でサポートされている Opal 準拠 SED の最新のリストについては、KB 記事 http://www.dell.
以下の表では、ハードウェアと構成の要件を満たした Security Tools で使用できる認証オプションをオペレーティングシステム別に 示しています。 非 UEFI Windows 認証 PBA パスワー 指紋 ド 接触型 OTP スマート カード SIPR カ ード パスワー 指紋 ド スマート OTP カード SIPR カ ード Windows 7 SP0- X1 SP1 X X X X X Windows 8 X1 X X X X X Microsoft Windows 8.1 Windows 8.1 ア ップデート 1 X1 X X X X X Windows 10 X1 X X X X X 1.
メモ: DDP|E 暗号化製品を実行している場合は、暗号化スイープを停止または一時停止します。Microsoft BitLocker を実行し ている場合は、暗号化ポリシーを一時中断してください。DDP|A をアンインストールし、Microsoft BitLocker ポリシーの一 時中断を解除したら、http://technet.microsoft.com/en-us/library/cc753140.aspx に記載されている手順に従って TPM を 初期化します。 DDP|A 管理対象ハードウェアのプロビジョニング解除 1. DDP|A を起動して詳細 タブをクリックします。 2.
• コンピュータには互換性のある BIOS および TPM が搭載されている必要があります。 ワンタイムパスワード(OTP)を使用する場合、このタスクが必要です。 • http://technet.microsoft.com/en-us/library/cc753140.aspx に記載された指示に従ってください。 所有権のクリアと TPM のアクティブ化 TPM の所有権をクリアし、設定するには、https://technet.microsoft.com/en-us/library/cc749022%28v=ws.10%29.
3 インストールとアクティブ化 本項では、ローカルコンピュータでの DDP | Security Tools のインストールを詳しく説明します。DDP | Security Tools をインストール してアクティブ化するには、コンピュータに管理者としてログオンしている必要があります。 メモ: インストール中は、外付け(USB)ドライブの挿入や取り外しを含め、コンピュータに変更を加えないでください。 DDP | Security Tools のインストール Security Tools をインストールするには、次の手順を実行します。 1. DDP | Security Tools インストールメディアにあるインストールファイルを見つけます。それをローカルコンピュータにコピーし ます。 メモ: インストールメディアは、www.dell.com/support > Endpoint Security Solutions にあります。 2. ファイルをダブルクリックしてインストーラを起動します。 3. 適切な言語を選択して、OK をクリックします。 4.
7. インストール をクリックしてインストールを開始します。 8. インストールの完了後はコンピュータの再起動が必要です。はい を選択して再起動してから、終了 をクリックします。 インストールが完了しました。 DDP | Security Tools のアクティブ化 DDP Security Console を初めて実行して 管理者設定 を選択すると、アクティブ化プロセス全体をガイドするアクティブ化ウィザー ドが表示されます。 DDP Security Console は、まだアクティブ化されていなくても、エンドユーザーによる実行が可能です。エンドユーザーが、管理者 が DDP | Security Tools をアクティブ化して設定をカスタマイズする前に DDP Security Console を使用する最初の人物である場合 は、デフォルトの値が使用されます。 Security Tools をアクティブ化するには、次の手順を実行します。 1.
3. ようこそ ページで、次へ をクリックします。 4. DDP | Security Tools パスワードを作成し、次へ をクリックします。 DDP | Security Tools 管理者のパスワードは、Security Tools の設定前に作成する必要があります。このパスワードは、管理者設定 ツールを実行するときに常時必要となります。パスワードの長さは 8~32 文字で、少なくとも 1 つの文字、1 つの数字、および 1 つの特殊文字を含む必要があります。 5.
6.
4 管理者向けのタスクの設定 Security Tools デフォルト設定では、管理者とユーザーが、追加の設定を行うことなくアクティブ化後すぐに Security Tools を使用す ることができます。ユーザーは、Windows パスワードを使用してコンピュータにログオンするときに Security Tools ユーザーとして 自動的に追加されますが、デフォルトでは、Windows 多要素認証は有効化されていません。また、暗号化および起動前認証もデフ ォルトで無効になっています。 Security Tools 機能を設定するには、コンピュータの管理者である必要があります。 管理者パスワードおよびバックアップ場所の変更 Security Tools のアクティブ化後、必要に応じて管理者パスワードおよびバックアップ場所を変更することができます。 1. デスクトップショートカットから、管理者として Security Tools を起動します。 2. 管理者設定 タイルをクリックします。 3. 認証ダイアログで、アクティブ化中にセットアップされた管理者パスワードを入力し、OK をクリックします。 4.
6. 確認のためにもう一度パスワードを入力し、適用 をクリックします。 7. リカバリキーが保存されている場所を変更するには、左ペインで バックアップ場所の変更 を選択します。 8.
暗号化と起動前認証の設定 お使いのコンピュータが自己暗号化ドライブ(SED)を備えている場合、暗号化および起動前認証(PBA)が使用できます。どち らも 暗号化 タブから設定しますが、これは、自己暗号化ドライブ(SED)がコンピュータに搭載されている場合にのみ表示されま す。暗号化または PBA のどちらかを有効化すると、もう一方も有効化されます。 デルでは、パスワードを紛失した場合にそれを回復できるように、暗号化および PBA を有効にする前に、リカバリオプションとし てリカバリ質問を登録して有効化することをお勧めします。詳細については、「サインインオプションの設定」を参照してくださ い。 暗号化および起動前認証を設定するには、次の手順を実行します。 1. DDP Security Console で 管理者設定 タイルをクリックします。 2.
6.
7. サマリ ページで 適用 をクリックします。 8. プロンプトが表示されたら、シャットダウン をクリックします。 暗号化が開始される前に、完全なシャットダウンが必要です。 9.
初めて暗号化を有効化し、起動前ポリシーとカスタム化を設定した後は、起動前設定 タブで次のアクションを使用できるようにな ります。 • 起動前ポリシーまたはカスタム化の変更 - 起動前設定 タブをクリックして 起動前のカスタム化 または 起動前のログオンポリ シー のいずれかを選択します。 アンインストールの指示については、「アンインストールタスク」を参照してください。 認証の設定オプション 管理者設定認証 タブのコントロールでは、ユーザーサインインオプションを設定し、それぞれの設定をカスタマイズすることがで きます。 メモ: TPM が存在せず、所有も有効化もされていない場合、ワンタイムパスワードは リカバリ オプション下に表示されませ ん。 サインインオプションの設定 サインインオプション ページでは、ログオンポリシーを設定することができます。デフォルトでは、すべての対応資格情報が使用 可能なオプション にリストされます。 サインインオプションを設定するには、次の手順を実行します。 1. 左ペインの 認証 で、サインインオプション を選択します。 2.
• 認証オプションの組み合わせをセットアップするには、使用可能なオプション で をクリックして、第 1 認証方法を選択 します。使用可能なオプション ダイアログで、第 2 認証方法を選択して OK をクリックします。 例えば、ログオン資格情報として指紋とパスワードの両方を要求することができます。ダイアログで、指紋認証で使用する 必要がある第 2 認証方法を選択します。 各認証方法を単独で使用できるようにするには、使用可能なオプション ダイアログで第 2 認証方法を なし のままにし、OK をクリックします。 • サインインオプションを削除するには、サインインオプション ページの 使用可能なオプション の下で X をクリックしてそ の方法を削除します。 • 認証方法の新しい組み合わせを追加するには、オプションの追加 をクリックします。 4.
ユーザーに表示されるリマインダは、リマインダがトリガされたときにユーザーが Windows ログオン画面にいるか、 Windows セッション中であるかに応じて若干異なります。リマインダは、起動前認証ログオン画面には表示されません。 猶予期間中の機能 指定した猶予期間中は、ユーザーが変更されたサインオンオプションを満たすために必要とされる最小限の資格情報をまだ登録 していない場合、ログオンするたびに追加の資格情報通知が表示されます。メッセージの内容は、登録に使用可能な資格情報が 他にもあります になります。 追加の資格情報が登録可能でも、それらが必須ではないという場合、このメッセージはポリシー変更後に一度だけ表示されま す。 通知をクリックすると、状況に応じて次の操作が行われます。 • • 資格情報が何も登録されていない場合は、管理者ユーザーによるコンピュータ関連の設定を可能にし、最も一般的な資格情 報を登録する機能をユーザーに提供するセットアップウィザードが表示されます。 初回資格情報登録の後は、通知をクリックして DDP セキュリティコンソールにセットアップウィザードを表示します。 猶予期間期限切れ
4.
• 認証方法の新しい組み合わせを追加するには、オプションの追加 をクリックします。 5. 選択した役割の設定を保存するには、適用 をクリックします。 メモ: 元の値に設定を復元するには、デフォルト ボタンを選択します。 リカバリ質問の設定 リカバリ質問 ページでは、ユーザーが個人用のリカバリ質問および回答を定義するときに、どの質問を提示するかを選択すること ができます。リカバリ質問を使用することにより、ユーザーは、パスワードの期限が切れた、またはパスワードを忘れた場合に、コ ンピュータへのアクセスを回復できるようになります。 リカバリ質問を設定するには、次の手順を実行します。 1. 2. 3. 4. 左ペインの 認証 で、リカバリ質問 を選択します。 リカバリ質問 ページでは、少なくとも 3 つの事前定義済みリカバリ質問を選択します。 オプションとして、ユーザーが質問を選択するリスト内に最大 3 つのカスタム質問を追加できます。 リカバリ質問を保存するには、適用 をクリックします。 指紋スキャン認証の設定 指紋スキャン認証を設定するには、次の手順を実行します。 1.
3. 指紋スキャン感度を設定します。 感度を下げると、許容可能な差異と不正スキャン受入の可能性が増加します。最高設定では、システムが正当な指紋を拒否す る可能性があります。感度設定を上げると、他人受入率が 1 / 10,000 スキャンまで低下します。 4. 指紋リーダーのバッファからすべての指紋のスキャンと資格情報登録を削除するには、リーダーのクリア をクリックします。こ れにより、現在追加しているデータのみが削除されます。前のセッションで保管されたスキャンおよび登録内容は削除されませ ん。 5.
パスワードを必須にする チェックボックスが選択されている場合、ユーザーは、Security Tools Mobile アプリにアクセスするた めに、使用しているモバイルデバイスをロック解除する必要があります。モバイルデバイスにデバイスロックがない場合、パ スワードが必要になります。 3. ワンタイムパスワード(OTP)の長さを選択するには、ワンタイムパスワードの長さ で、必須とするパスワード文字数を選択し ます。 4.
詳細な許可の設定 1. 詳細 をクリックして、詳細エンドユーザーオプションを変更します。詳細 では、ユーザーに対して、資格情報の自己登録をオプ ションとして許可、またはユーザー自身の登録済み資格情報の変更をオプションとして許可し、ワンステップログオンを有効に できます。 2.
ワンステップログオンを許可する - ワンステップログオンとは、シングルサインオン(SSO)のことです。このチェックボック スはデフォルトで選択されています。この機能を有効にすると、ユーザーが資格情報を入力する必要があるのは、起動前認証 画 面のみとなります。ユーザーは、Windows に自動的にログオンされます。このチェックボックスを選択解除すると、ユーザーは 複数回ログオンする必要が生じる場合があります。 メモ: このオプションは、ユーザーに資格情報の登録を許可する 設定が選択されていない限り、選択できません。 3.
メモ: サインイン および セッション には、ユーザーの登録ステータスが表示されます。 サインイン ステータスが OK のときは、ユーザーがログオンするために必要なすべての登録が完了しています。セッシ ョン ステータスが OK のときは、ユーザーが Password Manager を使用するために必要なすべての登録が完了していま す。 どちらのステータスが いいえ になっている場合でも、ユーザーは追加の登録作業を完了する必要があります。どの登録 がまだ必要かを確認するには、管理者設定 ツールを選択し、ユーザー タブを開きます。灰色のチェックマークボックス は、登録が完了していないことを示します。または、登録 タイルをクリックし、ステータス タブで必要な登録がリス トされている ポリシー 列を見直します。 新規ユーザーの追加 メモ: 新しい Windows ユーザーは、Windows にログオン、または資格情報を登録するときに自動で追加されます。 1. 既存の Windows ユーザーの登録プロセスを開始するには、ユーザーの追加 をクリックします。 2.
4. 終了したら OK をクリックします。 登録ウィザードが開きます。 続いて ユーザー資格情報の登録または変更 に移動して指示を表示します。 ユーザー資格情報の登録または変更 管理者は、ユーザーの代理としてユーザーの資格情報を登録または変更できますが、リカバリ質問やユーザーの指紋のスキャンなど、 いくつかの登録アクティビティにはユーザーの参加が必要です。 ユーザー資格情報を登録または変更するには、次の手順を実行します。 1. 管理者設定 で ユーザー タブをクリックします。 2. ユーザー ページで 登録 をクリックします。 3. ようこそ ページで 次へ をクリックします。 4.
5. ユーザーの Windows パスワードを変更するには、パスワード ページで新規パスワードを入力して確認し、次へ をクリックしま す。 パスワードの変更をスキップするには、スキップ をクリックします。ウィザードでは、資格情報を登録しない場合、その資格 情報をスキップすることができます。前のページに戻るには、戻る をクリックします。 6. 各ページの手順に従って、適切なボタン(次へ、スキップ、戻る)をクリックします。 7. サマリ ページで登録した資格情報を確認し、登録が完了したら 適用 をクリックします。 資格情報登録 ページに戻って変更を行うには、変更するページが表示されるまで 戻る をクリックします。 資格情報の登録または変更の詳細については、『コンソールユーザーガイド』を参照してください。 1 つの登録済み資格情報の削除 1. 管理者設定 タイルをクリックします。 2. ユーザー タブをクリックし、変更するユーザーを見つけます。 3. 削除する資格情報の緑色のチェックマーク上にカーソルを合わせます。チェックマークが 4.
ユーザーのすべての登録済み資格情報の削除 1. 管理者設定 タイルをクリックします。 2. ユーザー タブをクリックし、削除するユーザーを見つけます。 3.
5 アンインストールタスク DDP | Security Tools をアンインストールするには、少なくとも ローカル管理者 ユーザーである必要があります。 DDP | Security Tools のアンインストール アプリケーションは、次の順序でアンインストールする必要があります。 1. DDP | Client Security Framework 2. DDP | Security Tools 認証 3. DDP | Security Tools 自己暗号化ドライブ搭載のコンピュータをお持ちの場合 は、次の手順に従ってアンインストールを行います。 1. SED のプロビジョニング解除: a. 管理者設定 から、暗号化 タブをクリックします。 b. 複合化 をクリックして暗号化を無効にします。 c. SED が暗号化解除されたら、コンピュータを再起動します。 2. Windows コントロールパネルで プログラムのアンインストール に移動します。 メモ: スタート > コントロールパネル > プログラムと機能 > プログラムのアンインストール。 3.
5. Windows コントロールパネルから、Security Tools をアンインストールします。 このアプリケーションとそのコンポーネントを完全にアンインストールするかどうかを尋ねるメッセージが表示されます。 はい をクリックします。 アンインストール完了 ダイアログが表示されます。 6. はい、今すぐコンピュータを再起動します をクリックし、完了 をクリックします。 7.
6 リカバリ リカバリオプションは、ユーザー資格情報の期限が切れた、または紛失した場合に使用することができます。 • • ワンタイムパスワード(OTP):ユーザーは、登録済みモバイルデバイス上で Security Tools Mobile を使用して OTP を生成し、 アクセスを回復させるために Windows ログオン画面でこの OTP を入力します。このオプションは、コンピュータ上でモバイル デバイスを Security Tools に登録した場合に限り、使用可能です。リカバリのために OTP 機能を使用するには、ユーザーがコン ピュータへのログオンに OTP を使用していない必要があります。 メモ: ワンタイムパスワード(OTP)機能には TPM が存在し、有効化および所有されている必要があります。「所有権のク リアと TPM のアクティブ化」の指示に従います。OTP は認証またはリカバリのいずれかに使用できますが、両方には使用 できません。詳細については、「サインオンオプションの設定」を参照してください。 リカバリ質問:ユーザーは、一連の個人的な質問に正しく回答してコンピュータへのアクセスを回復
• 指紋の認識が失敗すると、指紋を再登録できる 指紋登録 ページが表示されます。 セルフリカバリ、PBA リカバリ質問 起動前認証画面でアクセスを回復させるためのリカバリ質問に回答するには、次の手順を実行します。 1. ユーザー名を入力します。 2. 画面の左下隅で オプション、サインインできない場合 の順にクリックします。 3.
セルフリカバリ、ワンタイムパスワード この手順では、例えば Windows パスワードの期限が切れた、パスワードを忘れた、またはログオンの最大許容回数を超過した場合 に、ワンタイムパスワード(OTP)機能を使用してコンピュータへのアクセスを回復する方法を説明します。ワンタイムパスワード (OTP)オプションは、ユーザーがモバイルデバイスを登録した場合、または、OTP が Windows への最後のログオンに使用されて いない場合に限り、使用可能です。 メモ: ワンタイムパスワード機能には TPM が存在し、有効化および所有されている必要があります。OTP は Windows 認証ま たはリカバリのいずれかに使用できますが、両方には使用できません。管理者は、リカバリまたは認証のいずれかのために OTP を許可するポリシーを設定する、またはこの機能を無効化することができます。 コンピュータへのアクセスを回復するために OTP を使用するには、次の手順を実行します。 1. Windows ログオン画面で OTP アイコン を選択します。 2.
複数 Windows ユーザーアカウントを持っている場合は、アクセスしようとしているコンピュータ上に DDP | Security Tools が インストールされていないか、コンピュータとモバイルデバイスのペアリングに使用したアカウントとは異なるユーザーアカ ウントにログオンしようとしているかのいずれかです。 4. ワンタイムパスワード をタップします。 • モバイルデバイス画面にパスワードが表示されます。 メモ: 必要であれば、更新シンボル をクリックして新しいコードを取得します。最初 2 回の OTP 更新後、別の OTP を生成できるようになるまでに 30 秒の遅延が発生します。コンピュータとモバイルデバイスは、両方が同時に同じパス ワードを認識できるように同期化されている必要があります。パスワードを急速に連続して作成しようとすると、コンピ ュータとモバイルデバイスが非同期状態となり、OTP 機能が失敗する原因となります。この問題が発生した場合は、2 つ のデバイスが再度同期化されるまで 30 秒程待ってから、再試行してください。 5.
7 用語集 プロビジョニング解除 - プロビジョニング解除により、PBA データベースが削除され、PBA が非アクティブ化されます。プロビジ ョニング解除を有効にするには、シャットダウンが必要です。 ワンタイムパスワード(OTP) - ワンタイムパスワードは、一度しか使用できないパスワードで、有効時間が限定されています。 OTP には、TPM が存在し、有効化され、所有されている必要があります。OTP を有効にするには、Security Console および Security Tools Mobile アプリを使用して、モバイルデバイスをコンピュータとペアリングします。Security Tools Mobile アプリは、Windows ログオン画面でのコンピュータへのログオンに使用されるパスワードをモバイルデバイス上に生成します。コンピュータへのログ オンに OTP を使用しなかった場合は、ポリシーに基づき、パスワードの期限が切れたときに、またはパスワードを忘れたときに、 OTP 機能を使用してコンピュータへのアクセスを回復することができます。OTP 機能は、認証または回復のどちらかに使用できま すが、両