ダイナミック アクセス制御を使用してアクセスを保護できます。Active Directoryで集約型アクセス ポリシーを作成し、適用されたGPOを使用してSVM上のファイルとフォルダにそのポリシーを適用します。集約型アクセス ポリシーのステージング イベントを使用するように監査を設定すると、集約型アクセス ポリシーの変更を適用する前にその効果を確認することができます。
ダイナミック アクセス制御が導入される前は、CIFSクレデンシャルにセキュリティ プリンシパル(ユーザ)のIDとWindowsグループ メンバーシップが含まれていました。ダイナミック アクセス制御では、デバイスID、デバイスの信頼性、ユーザの信頼性という3つのタイプの情報がクレデンシャルに追加されます。
ユーザID情報に似ていますが、デバイスIDはユーザがログインに使用しているデバイスのIDとグループ メンバーシップです。
デバイスのセキュリティ プリンシパルに関するアサーション(成立条件)です。たとえば、デバイスの信頼性として特定のOUのメンバーであることなどがあります。
ユーザのセキュリティ プリンシパルに関するアサーションです。たとえば、ユーザの信頼性としてADアカウントが特定のOUのメンバーであることなどがあります。
ファイルの集約型アクセス ポリシーを使用すると、ユーザ グループ、ユーザの信頼性、デバイスの信頼性、およびリソース プロパティを使用した条件式を含む許可ポリシーを、一元的に導入して管理することができます。
たとえば、ビジネスへの影響が大きいデータには、正社員のユーザだけが、管理対象のデバイスからのみアクセスできるようにすることができます。集約型アクセス ポリシーはActive Directoryに定義され、GPOメカニズムを介してファイル サーバに配布されます。
集約型アクセス ポリシーはステージング
することができます。その場合、ファイル アクセスのチェック時にwhat-if
形式の評価が行われます。ポリシーが適用されていた場合の結果と、現在の設定との違いが、監査イベントのログに記録されます。管理者は、実際にポリシーを有効にする前に、監査イベント ログを使用してアクセス ポリシーの変更による影響を確認できます。アクセス ポリシーの変更による影響を評価したあと、ポリシーを目的のSVMにGPO経由で導入できます。