未解決
1 Rookie
•
22 メッセージ
0
27
ESRS ポリシーマネージャのポリシーについて
ESRSのサポート終了にあたってSCGおよびPMの新規構築を考えております。
現環境のESRSのポリシーマネージャにいくつかポリシーが設定されているのですが、そのポリシーがデフォルトで設定されているものか、デプロイ後に設定されたものか判別がついておりません。
ESRS関連の公式ドキュメントはサポート終了の関係で閲覧できず、本コミュニティに質問させていただきました。
以下についてご教示いただけないでしょうか。
・ESRSポリシーマネージャにデフォルトで設定されているポリシーは存在するか。
・上記デフォルトポリシーが存在する場合、同じポリシーが適用されている状態にするためにSCGのポリシーマネージャで何か設定を変更する必要があるか。
・可能でしたらESRSのポリシーマネージャのマニュアル等がございましたら共有いただけないか。
よろしくお願いいたします。
DELL-Naoyuki K
4 Operator
4 Operator
•
1.7K メッセージ
0
2024年4月11日 15:23
SRSのPolicy Managerに設定するポリシーは、デバイスに対するリモート接続(Start Remote Application)のポリシー(Always Allow、Ask for Approval、Never Allow)のみです。SCG移行に際して移行が必要なポリシーはそれだけですので、それ以外は無視しても問題ありません。
JapaneseKS
1 Rookie
1 Rookie
•
22 メッセージ
0
2024年4月15日 08:37
ご回答いただきありがとうございます。
Policy Manager for SCGについてのドキュメントを探したところトラブルシューティングガイド以外を探すことができませんでした。そのため追加で確認したいことがございます。
ESRSのポリシーマネージャを確認したところ、
Start Remote Application は Never Allow となっており、1件のフィルターが適用されておりました。
フィルターは名前が 〇〇USER で Always Allow となっております。
上記の設定をPM for SCGで作成する場合のポリシーおよびフィルターについて下記3点お伺いしたいです。
①SCGのポリシーはすべてDenyで問題ないでしょうか。
②フィルターはタイプがUserになると想定しております。添付写真のFilter欄にあるParameterとRule Typeのパラメータがわからないのでご教示いただけないでしょうか。
③Devices Under Policy はポリシーを適用させるデバイスを選択できると思っております。ESRSではデバイスを指定する項目が見つからなかったのですが、すべてのデバイスをアサインさせる必要があるのでしょうか。
DELL-Naoyuki K
4 Operator
4 Operator
•
1.7K メッセージ
0
2024年4月15日 11:15
前述の通り、Policy Manager for SRSにおいて、移行すべきポリシーはStart Remote Applicationの部分のみです。
他の設定は基本的にデフォルトで利用します。フィルターの機能はPM for SRSにもPM for SCGにもありますが、少なくともPM for SRS ではユーザがいじることはありません。〇〇 UserがSYR Userのことでデフォルトで設定されているものですので移行をする必要はありません。
私の画面ではUser Guideが確認できます。日本語ドキュメントのみを表示する設定になっているとUser Guideが出てこないようなのでそれが原因かもしれません。日本語でフィルターがかかっている場合はEnglishにしてみてください。もしくは以下のURLでアクセスをしてみてください。
Policy Manager 5.x for Secure Connect Gateway User's Guide | Dell US
フィルター機能は基本的に利用しません。
PM for SRSでもデバイス単位での設定もできたような記憶がありますが、ほとんどの環境において、Global 設定を利用するのが一般的でした。
PM for SCGではデバイス単位でポリシーを割り当てるような使い方になっています。
JapaneseKS
1 Rookie
1 Rookie
•
22 メッセージ
0
2024年4月18日 07:06
@DELL-Naoyuki K さん
下記について、ご教示いただけないでしょうか?
お手数をおかけしますが、よろしくお願いいたします。
DELL-Naoyuki K
4 Operator
4 Operator
•
1.7K メッセージ
0
2024年4月18日 07:46
@JapaneseKS
PM for SCGの新規構築にあたってデフォルト状態のPM for SRSと同様の設定をするためには
①PM for SCGでStart Remote Applicationポリシーを作成してRemote Session の項目をdeny、それ以外をAllowに設定する。(PM for SRSの設定がNever Allowだったため)
Start Remote Application のNever Allow に対応する設定はRemote SessionのDenyである認識です。
フィルターの作成は、サポートからの指示や管理対象の製品ドキュメントの記載などによる特別な理由がない限り、基本的に必要ありません。
PM for SCG にはGlobal Policy の設定はありませんが、5.20以降でデフォルトポリシーが利用できるようになっているはずです。
PM for SRSのParametersについてですが、添付写真のRemote Application Name:*の意味を具体的に教えていただきたいです。
また、Add Parameterをクリックした場合、どのような設定ができるのでしょうか。
PM for SRSでもPM for SCGと同様に、Policyの細かい設定パラメータを入力することはなく、AllwaysAllow、Ask for Approval、NeverAllow以外の設定はデフォルトのまま利用します。
(ご確認の設定もデフォルトのはずです)
フィルターの設定と同様に特別な理由や指示がない限り、PM for SCG側での設定は必要ありません。
JapaneseKS
1 Rookie
1 Rookie
•
22 メッセージ
1
2024年4月18日 09:02
@DELL-Naoyuki K
早速のご回答ありがとうございます。
上記承知いたしました。
ご丁寧に対応いただきまして、ありがとうございました。
非常に勉強になりました。
JapaneseKS
1 Rookie
1 Rookie
•
22 メッセージ
0
2024年4月19日 02:48
@DELL-Naoyuki K
何度も申し訳ありません。
追加で1点確認したいことがあります。
Start Remote Application ではポリシーの設定でリモートアクセスを拒否し SYR User フィルターを設けることで
user id="syr"であるDell側とのアクセスのみ有効(他の外部からのESRSへのアクセスを遮断)しているという
意図で理解しました。
PM for SCGでは設定に現れていないだけでDell以外の外部からのSCGへのアクセスを遮断しており、
Dell側からのアクセスの可否をRemote Acsessの項目で設定しているという解釈で問題ないでしょうか?
ご回答いただけますと幸いです。よろしくお願いいたします。
DELL-Naoyuki K
4 Operator
4 Operator
•
1.7K メッセージ
0
2024年4月19日 03:48
SCG経由でのリモートアクセスはDell社内のインフラサーバを経由し、かつ多重認証をパスした一部の権限ユーザのみしか利用できません。
したがって、ポリシーの設定に限らずDell以外からの外部アクセスはできません。(そもそもSCGVEはインターネットに公開されていません)
Remote Access をDenyにするとDell側からリモートアクセスがあった際にSCG VEがそれを拒否する動作になります。
JapaneseKS
1 Rookie
1 Rookie
•
22 メッセージ
0
2024年4月19日 09:15
ご回答いただきありがとうございます。
外部からのアクセスはできないため、設定するポリシーはすべてDell側に対して適応されるものということですね。
そのため、フィルターでユーザを指定する必要がない。ということで理解致しました。