コンテンツまでスキップ

【Netskope】運用初期段階におけるNetskopeクライアント制御

Picture of akai

当エントリは『ネクストモード フルリモート業務を実現するSaaS活用&カルチャー Advent Calendar 2024』7日目のエントリです。

こんにちは、ネクストモード株式会社の赤井です。

ネクストモードではリモートワークを中心としており、SaaSやWebへのアクセスの際の通信の可視化や制御をNetskopeにておこなっており、弊社のリモートワーク環境下ではなくてはならない製品です。
今回Netskopeを利用するにあたり、導入前の検証時や初期導入時に必要なNetskopeクライアントの制御方法についてご紹介したいと思います。

 

運用初期段階におけるNetskopeクライアントの制御

導入前の検証時や初期導入時に、接続できないようなケースなどのネットワークの異常があった際に一時切り分けとしてNetskopeクライアントを無効化してNetskopeが起因しているかの調査することが可能です。
Netskopeクライアントを無効化の方法としては、大きく2パターンあり管理コンソールで制御する方法と利用者側のNetskopeクライアントで制御する方法があります。

 

管理コンソールで制御する場合

Setting > Security Cloud Platform > Netskope Client > Devices から対象のデバイスを選択しDISABLEを実行。デバイス画面ではその他ログの取得やデバイスの詳細情報などの確認が可能です。DISABLE実行後、数分後に対象端末のNetskopeクライアントステータスがDisableになれば無効化の成功です。再度有効化する場合は、ENABLEを実行することでクライアントが有効化されます。

adventcalendar-2024-day7-1

利用者側のNetskopeクライアントのタスクトレイでは以下のように管理者側から無効にされたことが表示されます。

adventcalendar-2024-day7-2

 

利用者側(Netskopeクライアント側)で制御する場合

利用者側でクライアントの有効化/無効化を制御する場合は、事前に管理コンソールのClient Configurationから機能を有効化する必要があります。

  • Settings > Security Cloud Platform > Client Configuration から対象のClient Configurationを選択
  • TAMPERPROOFタブからAllow disabling of Clientsにチェック

※下段にある通り、NPA(Allow disabling of Private Apps Access)やInternetSecurity(Allow disabling of Internet Security)といった個別の通信の制御も可能です。

adventcalendar-2024-day7-3

Windowsであれば通知領域のNetskopeのアイコンを右クリックしDisable All Client Servicesを選択することで、利用者側でクライアントの無効/有効化の制御が可能になります。
※Netskopeのアイコンがない場合は、Settings > Client ConfigurationのTAMPERPROOF > Hide Client Icon on System Trayが無効になっているか確認してください。

adventcalendar-2024-day7-4

一時的に無効にする場合(Internet Securityのみ)
Internet Securityであれば、ワンタイム パスワード (OTP) を使用して Netskope クライアントを任意の時間(5分~24時間)だけ無効化することが可能なため、有効化忘れなどの対策が可能です。
上記の管理コンソールのTAMPERPROOFから機能を有効化し任意の時間を設定できます。

adventcalendar-2024-day7-5

ワンタイムパスワードは、下記の管理コンソールのデバイスの各詳細画面から取得し利用者に通知してください。
Settings > Security Cloud Platform > Netskope Client > Devicesから対象のデバイスを選択しOne-Time-Disable Passwordをコピーし利用者に通知してください。

adventcalendar-2024-day7-6

利用者側にてクライアントを無効化した手順と同様にDisable Internet Securityを選択し管理者から共有されたOTPを入力することで一時的にInternet Securityを無効にすることが可能です。
無効化の残り時間は通知領域のNetskopeアイコンを右クリックすることで表示されます。

adventcalendar-2024-day7-7

また機能フラグの有効化の申請が必要になりますが、AutoStart NSClient with Reboot/Relogin to enable the Netskope Client機能を利用することで利用者が端末を再起動するか、ログオフして再度ログインすると、Netskope クライアントが自動的に有効化することができます。
※利用できるOSが制限されている点やスリープモードからの復帰やNPA(Netskope Private Access)に使用できない点など制限がありますので注意してください。

参考:Netskope Client Auto-Restart

 

さいごに

今回はNetskopeClinetを無効化する機能についてご紹介しました。クライアントの無効化はNetskopeを経由しなくなり通信の可視化や制御ができなくなるため、利用できる期間や利用者を管理者等に絞るなど一時的な利用に留めておくことを推奨致しますが、トラブルシューティングもスムーズになりますのでご参考ください。
,