ポリシーのプロファイル

多数の環境において、デバイスにポリシーを適用する方法が管理グループの階層を使用するだけというのは適切ではありません。複数の管理グループで 1 つまたは 2 つの設定値が異なる単一ポリシーで複数のインスタンスを作成し、将来これらのポリシーの内容を同期させることが必要になる場合があります。

このような問題を回避するために、Kaspersky Security Center はポリシープロファイルをサポートしています。ポリシーのプロファイルには、ポリシー設定のサブセットが指定されています。このサブセットはポリシーとともに対象デバイスに配信され、プロファイルの有効化条件と呼ばれる特定の条件下でポリシーを補完する機能を果たします。プロファイルに含まれるのは、クライアントデバイス（コンピューターまたはモバイルデバイス）でアクティブな「基本」ポリシーとは異なる設定のみです。プロファイルを有効にすると、プロファイルが有効になる前にデバイスで有効になっていたポリシー設定が修正されます。こうした設定により、プロファイルで指定された値が得られます。

現在、ポリシーのプロファイルに適用されている制限事項は次の通りです：

• ポリシーには最大 100 個のプロファイルを含めることができます。
• ポリシーのプロファイルにその他のプロファイルを含めることはできません。
• ポリシーのプロファイルに通知の設定を含めることはできません。

プロファイルの内容

ポリシーのプロファイルには、次の構成要素が含まれています：

• 名前：同じ名前のプロファイルは、共通のルールが含まれる管理グループの階層によって相互に影響します。
• ポリシー設定のサブセット：すべての設定が含まれているポリシーとは異なり、プロファイルには実際に必要な設定のみが含まれています（ロック済みの設定）。
• アクティベーション条件：デバイスのプロパティを使用した論理式。プロファイルが有効になる（ポリシーを補完する）のは、プロファイルの有効化条件に該当する場合のみです。その他の場合はすべて、プロファイルは非アクティブで無視されます。論理式には、次のデバイスプロパティを含めることができます：
  • モバイルユーザーモードのステータス
  • ネットワーク環境のプロパティ：ネットワークエージェント接続の有効なルールの名前
  • 指定したタグがデバイスに存在するかどうか
  • Active Directory 単位におけるデバイスの場所：明示的（デバイスはまさに指定した OU 内にある）、または暗黙的（デバイスは OU 内にある。ただし、任意のネストレベルで指定した OU 内にある）
  • デバイスが属している Active Directory セキュリティグループ（明示的または暗黙的）
  • デバイス所有者が属している Active Directory セキュリティグループ（明示的または暗黙的）
• プロファイルを無効にする：無効化されたプロファイルは常に無視され、それぞれの有効化条件は検証されません。
• プロファイルの優先度：異なるプロファイルの有効化条件は独立しているため、複数のプロファイルを同時に有効化することができます。アクティブなプロファイルに重複しない一連の設定が含まれている場合、問題は発生しません。ただし、2 つのアクティブなプロファイルで同じ設定の値が異なる場合は、不明確さが発生します。この不明確さを回避するために、プロファイルの優先度が使用されます。不明確な変数の値は、優先度が高い方（プロファイルのリスト内での位置付けが高い方）のプロファイルから取得されます。

ポリシーが階層を介してお互いに影響を与え合う場合のプロファイルの動作

名前が同じプロファイルは、ポリシー統合ルールに従って統合されます。上位のポリシーのプロファイルは、下位のポリシーのプロファイルよりも優先度が高くなっています。上位のポリシーで設定の編集がブロックされている（ロック状態）場合、下位のポリシーでは上位のポリシーのプロファイルの有効化条件が使用されます。一方、上位のポリシーで設定の編集が許可されている場合は、下位のポリシーのプロファイルの有効化条件が使用されます。

ポリシーのプロファイルの有効化条件には［オフラインのデバイス］プロパティが含まれているため、プロファイルではサポートされていないモバイルユーザー用のポリシー機能は完全に置き換えられます。

モバイルユーザー用のポリシーにはプロファイルが含まれていることがありますが、そのプロファイルがアクティブ化されるのは、デバイスがモバイルユーザーモードに切り替えられた後だけです。