NetskopeのDevice Classification機能について

NetskopeのDevice Classification機能についてご紹介します。

今回はNetskopeのDevice Classification機能についてご紹介します。

■Device Classificationとは

Device Classificationとはデバイスのポスチャチェックのように機能するルールを定義し、端末が管理端末（Managed Device）であるか、非管理端末（Unmanaged Device）であるかを判定する機能です。

デバイスは上から順に設定されたDevice Classificationの分類と照合され、分類ポリシーと一致した場合、ラベルが割り当てられる挙動となります。

判定された端末状態はInline Policy条件に利用可能ですので、例えば社内システムにはManaged判定された端末のみアクセス可能、といったポリシーの作成ができます。

 

また、R115からCustom Device Classification機能が実装され、Managed/Unmanaged以外のラベル付与が可能になりました。

Custom Device Classificationについてはこちらをご参照ください。

 

分類ポリシーの種類はOSにより異なり、各OSでは以下の要素を判定基準として設定できます。

・Windows: 暗号化ステータス、レジストリ、プロセス、ファイル、Active Directoryドメイン、証明書

・Mac: 暗号化ステータス、プロセス、ファイル、Active Directoryドメイン、証明書

・iOS: 証明書 (MDMを使用)

・Android: OSバージョン、パスコード、デバイスのセキュリティ侵害なし、プライマリストレージの暗号化、管理された構成 (MDMを使用)

・Chrome: デバイスのセキュリティ侵害なし、プライマリストレージの暗号化

・Linux: 暗号化、プロセス、ファイル、Active Directoryドメイン

 

■Device Classificationの起動プロセス

Device ClassificationはPC起動時、又はクライアントサービス(stagentsvc)起動時にチェックを行い、その後1時間ごとにチェックを行います。

NPAの場合は15分毎のチェックとなります。

また、Device Classificationの検査対象に変更を加えた場合は、クライアントサービス(stagentsvc)の再起動、又は端末再起動が必要になります。

 

■設定方法

設定はSettings ⇒ Manage ⇒ Device Classificationより実施します。

まずNEW DEVICE CLASSIFICATIONよりラベルを作成します。

作成済みの場合、本手順の実施は不要です。

次にNEW DEVICE CLASSIFICATION RULEよりルールを作成します。

Rule名を記載しラベルを選択します。

CLASSIFICATION CRITERIAにて判定基準を設定しますが、複数設定する場合にはAllかAnyを選択します。

判定基準が1つのみの場合はデフォルトのAllのままで問題ありません。

CLASSIFICATION CRITERIAの各判定要素の設定方法については別の記事にてお伝えいたします。