内蔵ディスクでもOSがリムーバブルドライブと判断した場合、ローカルドライブではなくリムーバブルドライブとしてログが採取され、禁止動作も行われます。
Windows Server® 2008、Windows Server® 2012、Windows Server® 2016でマルチログオン利用時の場合、メール送信時宛先確認画面、メール添付禁止画面は表示されません。このとき、メール送信時の動作は以下のようになります。
(Microsoft® Outlook® 2007、Microsoft® Outlook® 2010、Microsoft® Outlook® 2013およびMicrosoft® Outlook® 2016からのメール送信時は該当しません)
宛先が除外ドメインのアドレスだけのメールについては従来からメッセージを表示せずに送信するため、変更ありません。
宛先に除外ドメイン以外のアドレスが含まれるメールについては、メール添付禁止の判定を実施します。メール添付禁止の判定結果によって、以下の動作となります。
禁止ファイルが添付されていた場合、メール添付禁止画面を表示せずに送信を中止します。
禁止ファイルが添付されていない場合、宛先確認画面を表示せずにそのまま送信します。
複数のユーザーが同時に使用している場合、プロセス制御、サービス制御時に表示されるメッセージは特定のユーザーにだけ表示されます。以下に、表示される条件を示します。
ローカルログオンしているユーザーがいれば、そのユーザーに表示
ローカルログオンしているユーザーがいなければ、リモートログオンしているユーザーのうち1人だけに表示
複数のユーザーが同時に使用しているときのポリシー状態は、以下のとおりです。
Citrix XenApp監視機能については、ユーザーポリシーは適用されないため、“CTポリシーで動作”となります。スマートデバイス(Android端末およびiOS端末)では、個人利用となるため、“CTポリシーで動作”となります。
なお、「複数のユーザーが同時に使用」とは、アクティブなユーザーが2人以上ログオンしている状態のことを指します。例えば、ローカルログオンのユーザーとリモートログオンのユーザーが同時にログオンしている状態や、リモートログオンのユーザーが2人以上同時にログオンしている状態などです。ローカルログオンのユーザーがユーザーの切り替えで複数ログオンしている状態は、アクティブなユーザーは1人だけのため、「複数のユーザーが同時に使用」の状態ではありません。
機能 | 有効になるポリシー | |
|---|---|---|
ログ | アプリケーション起動/終了 | ユーザーポリシーで動作 |
ウィンドウタイトル取得 | ユーザーポリシーで動作 | |
メール送信 | CTポリシーで動作 | |
メール送信中止 | CTポリシーで動作 | |
コマンドプロンプト操作 | ユーザーポリシーで動作 | |
デバイス構成変更 | (注1) | |
印刷操作 | ユーザーポリシーで動作 | |
ファイル持出し | ユーザーポリシーで動作 | |
PrintScreenキー操作 | ユーザーポリシーで動作 | |
Web操作 | ユーザーポリシーで動作 | |
FTP操作 | ユーザーポリシーで動作 | |
ファイル操作 | CTポリシーで動作 | |
ログオン/ログオフ | CTポリシーで動作 | |
クリップボード操作 | ユーザーポリシーで動作 | |
連携アプリケーション | ユーザーポリシーで動作 | |
Webアクセスログ(Android端末) | CTポリシーで動作 | |
SDカードマウント/アンマウントログ(Android端末) | CTポリシーで動作 | |
SIMカードマウント/アンマウントログ(Android端末) | CTポリシーで動作 | |
Wi-Fi接続ログ(Android端末) | CTポリシーで動作 | |
Bluetooth接続ログ(Android端末) | CTポリシーで動作 | |
電話発着信ログ(Android端末) | CTポリシーで動作 | |
アプリケーション使用ログ(Android端末) | CTポリシーで動作 | |
アプリケーション構成変更ログ(Android端末) | CTポリシーで動作 | |
禁止機能 | アプリケーション起動禁止 | ユーザーポリシーで動作 |
印刷禁止 | ユーザーポリシーで動作 | |
PrintScreenキー禁止 | ユーザーポリシーで動作 | |
ログオン禁止 | CTポリシーで動作 | |
メール添付禁止 | CTポリシーで動作 | |
ファイル持出し禁止 | (注2) | |
ファイル読み込み禁止 | (注2) | |
デバイス禁止 | (注3) | |
URLアクセス禁止 | ユーザーポリシーで動作 | |
FTPサーバ接続禁止 | ユーザーポリシーで動作 | |
Webダウンロード禁止 | ユーザーポリシーで動作 | |
Webアップロード禁止 | ユーザーポリシーで動作 | |
クリップボード操作禁止 | ユーザーポリシーで動作 | |
Wi-Fiアクセス禁止(Android端末) | CTポリシーで動作 | |
Bluetooth接続禁止(Android端末) | CTポリシーで動作 | |
アプリケーション使用禁止(Android端末) | CTポリシーで動作 | |
デバイスの機能の使用(iOS端末) | CTポリシーで動作 | |
アプリケーションの使用(iOS端末) | CTポリシーで動作 | |
iCloudの使用(iOS端末) | CTポリシーで動作 | |
セキュリティとプライバシーの設定(iOS端末) | CTポリシーで動作 | |
コンテンツレーティングの設定(iOS端末) | CTポリシーで動作 | |
注1) デバイス構成変更ログは、[ファイル持出し禁止 - USBデバイス個体識別機能 - 詳細設定]画面の設定内容によって、ポリシー状態が変わります。
CTポリシーで動作する場合
[管理サーバに登録されている全てのUSBの使用の許可]が[する]の場合
ユーザーポリシーで動作する場合
[管理サーバに登録されている全てのUSBの使用の許可]が[しない]の場合
また、USBデバイスの装着を記録するデバイス構成変更ログは、CTポリシーで動作します。
注2) ファイル持出し禁止/ファイル読み込み禁止は、[ファイル持出し・読み込み]のポリシーの設定内容によって、ポリシー状態が変わります。
CTポリシーで動作する場合
[ファイル持出しユーティリティを使用しての持出し]が[不可]の場合
[ファイル持出し禁止 - USBデバイス個体識別機能 - 詳細設定]画面の[管理サーバに登録されている全てのUSBの許可]が[する]の場合
ユーザーポリシーで動作する場合
[ファイル持出しユーティリティを使用しての持出し]が[可]で、[ファイル持出し禁止 - USBデバイス個体識別機能 - 詳細設定]画面の[アクセス設定]が以下の設定の場合
・[読み書きともファイル持出しユーティリティに限定]をチェックしている場合
・[書き込みはファイル持出しユーティリティに限定]をチェックしている場合
[ファイル持出し禁止 - USBデバイス個体識別機能 - 詳細設定]画面の[管理サーバに登録されている全てのUSBの許可]が[しない]の場合
CTポリシーとユーザーポリシー両方で動作する場合
ユーザーポリシーの設定
[ファイル持出しユーティリティを使用しての持出し]が[可]で、[ファイル持出し禁止 - USBデバイス個体識別機能 - 詳細設定]画面の[管理サーバに登録されている全てのUSBの許可]が[する]の場合
上記ポリシーの場合、持出しユーティリティの動作は起動可否をユーザーポリシーで判定し、実際の持出し判定をCTポリシーで行います。
例:CTポリシーでリムーバブルメディアに対して持出しが禁止されている場合、持出しユーティリティを起動できますが、CTポリシーで持出が禁止されているため、ファイルを持出すことができません。
注3) デバイス禁止は、デバイスによって、ポリシー状態が変わります。
CTポリシーで動作するデバイス
Wi-Fi接続禁止
ユーザーポリシーで動作するデバイス
Bluetooth禁止
PCカード禁止
PCI ExpressCard禁止
赤外線通信禁止
IEEE1394禁止
シリアルポート/パラレルポート禁止
クライアント(CT)のOSがWindows Vista®、Windows® 7、Windows® 8、Windows® 10、Windows Server® 2008、Windows Server® 2012、またはWindows Server® 2016で、コマンドプロンプトや持出しユーティリティを管理者として実行した場合、「要求されたリソースは使用中です」のメッセージが出力され、起動できないことがあります。この場合は、しばらくたってから起動するようにしてください。
Webコンソール使用中は、ブラウザの[戻る]ボタンを使用しないでください。使用すると、エラーや正常に表示できない可能性があります。
同じユーザーIDでWindowsに同時にログオンできる設定を行わないでください。 ログが区別できなくなります。
クライアント(CT)およびスマートデバイス(エージェント)(Android)から同じログが重複して送信され、管理サーバに格納される場合があります。このとき、ログビューアでは同じログが複数件表示されます。
以下のOSで、ビルトインAdministratorアカウントでログインした場合、Webコンソールは、DesktopアプリケーションのInternet Explorer®を使用してください。WindowsストアアプリのInternet Explorer®は対応していません。
Windows® 8 Pro
Windows® 8 Enterprise
Windows® 8.1 Pro
Windows® 8.1 Enterprise
Windows® 10 Home
Windows® 10 Pro
Windows® 10 Enterprise
Windows® 10 Education
Microsoft® Windows Server® 2012 Datacenter
Microsoft® Windows Server® 2012 Standard
Microsoft® Windows Server® 2012 Essentials
Microsoft® Windows Server® 2012 Foundation
Microsoft® Windows Server® 2012 R2 Datacenter
Microsoft® Windows Server® 2012 R2 Standard
Microsoft® Windows Server® 2012 R2 Essentials
Microsoft® Windows Server® 2012 R2 Foundation
Microsoft® Windows Server® 2016 Datacenter
Microsoft® Windows Server® 2016 Standard
Microsoft® Windows Server® 2016 Essentials
管理サーバ/統合管理サーバとクライアント(CT)間の通信は暗号化されます。
そのため、V14.3.1以前の通信暗号化の修正を適用していないクライアント(CT)との通信など、暗号化されていない通信については制限されます。
V13.3.0~V14.3.1のクライアントは、2014年9月以降の緊急修正を適用するか、V15.1へのバージョンアップが必要です。
V13.2.1以前のクライアントは使用できません。V15.1.0へのバージョンアップが必要です。
管理サーバをV15.1.0にバージョンアップ後は、新規インストールできるクライアントはV15.0.0またはV15.1.0です。
Microsoftアカウントでログオンした場合、ログのユーザー名およびドメイン名には、Microsoftアカウントの情報が格納されます。
例えば、Microsoftアカウントが「fujitsu.tarou@example.com」の場合、ユーザー名には「fujitsu.tarou」、ドメイン名には「example.com」が表示されます。
ただし、従来のアカウントからMicrosoftアカウントに切り替えた場合、OSを再起動するまでは、ログのユーザー名およびドメイン名に従来のアカウントの情報が格納されることがあります。
ログのユーザ名は、ログオン操作で実際にログオンしたユーザ名で記録されます。(ドメインログオンの場合のユーザ名は半角全角や小文字大文字の区別をしないため、登録時のユーザ名とは違う文字列でユーザ名が記録される場合があります)
クライアント(CT)およびスマートデバイス(エージェント)で設定できるポリシーについて
管理コンソール上で、クライアント(CT)およびスマートデバイス(エージェント)にポリシーを設定する場合、画面上ではすべてのポリシーを設定できるようになっていますが、以下のとおり、デバイスにより設定が有効となるポリシーが異なります。そのデバイスに対して有効でないポリシーを管理コンソールで設定した場合、設定した記録機能または禁止機能は動作しません。
Citrix XenApp監視機能については、ユーザーポリシーは適用できません。CTポリシーだけ適用できます。
ポリシー | デバイス | |||
|---|---|---|---|---|
クライアント(CT) | スマートデバイス (エージェント)(Android) | スマートデバイス (エージェント)(iOS) | ||
ログ | アプリケーション起動 | ○ | - | - |
アプリケーション終了 | ○ | - | - | |
ウィンドウタイトル取得 | ○ | - | - | |
メール送信/メール送信中止 | ○ | - | - | |
コマンドプロンプト操作 | ○ | - | - | |
デバイス構成変更 | ○ | - | - | |
印刷操作 | ○ | - | - | |
ファイル持出し | ○ | - | - | |
PrintScreenキー操作 | ○ | - | - | |
Web操作 | ○ | - | - | |
FTP操作 | ○ | - | - | |
ファイル操作 | ○ | - | - | |
ログオン/ログオフ | ○ | - | - | |
クリップボード操作 | ○ | - | - | |
連携アプリケーション | ○ | - | - | |
Webアクセス | - | ○ | - | |
SDカードマウント/アンマウント | - | ○ | - | |
SIMカードマウント/アンマウント | - | ○ | - | |
Wi-Fi接続 | - | ○ | - | |
Bluetooth接続 | - | ○ | - | |
電話発着信 | - | ○ | - | |
アプリケーション使用 | - | ○ | - | |
アプリケーション構成変更 | - | ○ | - | |
禁止機能 | ファイルアクセス制御 | ○ | - | - |
デバイス禁止 | ○ | - | - | |
アプリケーション起動禁止 | ○ | - | - | |
印刷禁止 | ○ | - | - | |
PrintScreenキー禁止 | ○ | - | - | |
ログオン禁止 | ○ | - | - | |
メール添付禁止 | ○ | - | - | |
URLアクセス禁止 | ○ | - | - | |
FTP操作禁止 | ○ | - | - | |
Web操作禁止 | ○ | - | - | |
クリップボード操作禁止 | ○ | - | - | |
Wi-Fi接続禁止 | - | ○ | - | |
Bluetooth接続禁止 | - | ○ | - | |
アプリケーション使用禁止 | - | ○ | - | |
デバイスの機能の使用 | - | - | ○ | |
アプリケーションの使用 | - | - | ○ | |
iCloud の使用 | - | - | ○ | |
セキュリティとプライバシーの設定 | - | - | ○ | |
コンテンツレーティングの設定 | - | - | ○ | |
○:管理コンソールでポリシーとして設定した場合、記録機能および禁止機能が動作します。
-:管理コンソールでポリシーとして設定しても、記録機能および禁止機能は動作しません。
Systemwalker Desktop Keeperで扱う文字コードについて
Systemwalker Desktop Keeperで扱える文字コードは、以下の2種類です。これら以外の文字コードは、「?」に変換されます。
Shift JIS
正しく表示されます。
UNICODE
正しく表示できる場合と、「?」に変換される場合とがあります。
クライアント(CT)またはスマートデバイス(エージェント)を使用して採取された操作ログ、禁止ログはUNICODE文字で記録されます。
UNICODE文字を扱えないアプリケーションのログを採取した場合、ログが「?」で記録されることがあります。
持出しユーティリティの以下の持出しにおいては、持出し元のファイルまたはフォルダ名いずれかにUNICODE文字が含まれる場合、持ち出し元のファイルまたはフォルダとして指定できません。
また、持出し先のファイルまたはフォルダ名いずれかにUNICODE文字が含まれる場合、持出し先のファイルまたはフォルダとして指定できません。
DVD/CDへの持出し
DVD/CD以外への暗号化持ち出し
管理コンソールでの操作は、UNICODE文字で入力、表示を行います。
ただし、サーバ設定ツールで「入出力ファイルのエンコード」に「ShiftJIS」を指定している場合は、入力ファイル中にUNICODE文字があると文字化けします。出力ファイル中にある場合は、UNICODE文字は「?」に変換されます。
ログビューアでの操作は、UNICODE文字で入力、表示を行います。
ただし、サーバ設定ツールで「入出力ファイルのエンコード」に「ShiftJIS」を指定している場合は、出力ファイル中のUNICODE文字は「?」に変換されます。
Webでログビューアを参照するPCのOSによって、状況が異なります。
UNICODE文字をJIS2004フォントで表示する場合またはJIS2004固有の文字を表示する場合、マイクロソフト社のホームページからJIS2004対応フォントパッケージをインストールする必要があります。インストールしていない場合は、正常にUNICODE文字が表示されません。
その他のOSではインストールの必要はありません。
サーバ設定ツールなどのサーバ系のツールや、Systemwalker Desktop Keeperが提供するコマンドでは、UNICODE文字の入力、表示はできません。
Systemwalker Desktop Keeperが提供する以下のツール、コマンドは、正常に動作しない場合がありますので、使用しないでください。
管理サーバ/統合管理サーバにインストールされるツール、コマンド
中継サーバにインストールされるツール、コマンド
ポリシー適用ツール
持出しユーティリティを使用してDVD/CDメディアへの暗号化持出しは、できません。
Systemwalker Desktop Keeperでは、半角文字・全角文字・文字数を以下のように定義しています。
半角文字:ASCII文字コードで、0x20~0x7Eの範囲の文字です。
空白「 」
記号「!」「"」「#」「$」「%」「&」「'」「(」「)」「*」「+」「,」「-」「.」「/」「:」「;」「<」「=」「>」「?」「@」「[」「\」「]」「^」「_」「`」「{」「|」「}」「~」
数字「0」「1」…「9」
英字「A」「B」…「Z」、「a」「b」…「z」
全角文字:半角文字以外の文字です。
一般的に使用されている「半角カタカナ文字」は全角文字になります。
文字数:半角文字は見た目の文字数です。
全角文字はUTF16コードで2バイトを1文字とします。
サロゲートペア文字は、4バイトで1文字を表しますので、2文字として扱います。
結合文字は、Nバイトで1文字を表しますので、(N÷2)文字として扱いますが、文字によってはそれより短く扱う場合があります。
クライアント(CT)インストール後のOSアップデートについて
クライアント(CT)インストール後のOSアップデートに対応していません。
Windows® 8からWindows® 8.1へのアップデート、Windows® 10の機能追加(Windows Update)のようなOSバージョンが変更にならないアップデートを行った場合、CD/DVD装置が一時的に参照できなくなる場合があります。この時、OSの再起動で復旧が可能です。
もし復旧しない場合には、“導入ガイド”の“導入に関する留意事項”の“クライアント(CT)”を参照して、クライアント(CT)の再インストールを行ってください。
Web通信の監視方式について
インストール直後はフック方式で動作します。
ローカルプロキシ方式とフック方式の違いは以下のとおりです。
項目 | ローカルプロキシ方式 | フック方式 | |
|---|---|---|---|
取得できる操作ログの違い | Webアップロード、Webダウンロード |
|
|
Webメールの送信ログ |
| 取得できません | |
URL付きウィンドウタイトルログ |
|
| |
禁止できる操作の違い | Webアップロード禁止、Webダウンロード禁止 |
|
|
URLアクセス禁止 |
|
| |
取得する項目の違い | Internet Explorer操作時の[アプリ名] | Internet Explorer | iexplore / iexplore.exe |
Microsoft® Edge操作時の[アプリ名] | Microsoft Edge | ApplicationFrameHost / ApplicationFrameHost.exe | |
Firefox操作時の[アプリ名] | Firefox | firefox | |
Google Chrome操作時の[アプリ名] | Google Chrome | chrome | |
Webアップロード操作ログの[ファイル名] | ファイル名のみ | フルパス付きファイル名 | |
Webダウンロード操作ログの[ファイル名] | ファイル名のみ | フルパス付きファイル名 | |
禁止後動作の違い | 禁止されたURLへアクセスしたタブにエラーメッセージを表示します。Webページ内のフレーム内に禁止サイトが含まれる場合は、そのフレームにエラーメッセージを表示します。 | エラーメッセージをポップアップ表示します。 禁止されたURLへアクセスしたタブは、強制終了されます。 | |
仮想OS上での動作 | サポート外 | サポート対象 | |
ローカルプロキシ方式を利用する場合は、“7.15 Web通信の監視方式を変更する”を参照してください。
ローカルプロキシ方式によるWeb通信の監視について
Web通信の監視方式が「ローカルプロキシ方式」の場合は、以下の注意事項があります。
Microsoft Edgeを起動した場合、スタートページが正しく表示されない場合があります。
アドレスバーに直接アドレスを入力するか、ブックマークを利用して任意のWebサイトを表示することができます。
また、設定の「Microsoft Edgeの起動時に開くページ」を「スタート ページ」および「新しいタブ ページ」以外に変更することで本事象が発生しないようにすることができます。
アクセス禁止、アップロード/ダウンロード禁止設定を行っている場合、Webブラウザ以外のアプリケーションで異常が発生する可能性があります。
Firefoxの場合は、Firefoxのプロキシ設定に関わらず自動的にシステムのプロキシ設定に従います。
アプリ名が「Unknown」と表示される場合があります。
ローカルプロキシ方式はOSの起動モードによって動作が異なります。「通常モード起動」と「ネットワークが使えるセーフモード起動」は動作しますが、「セーフモード起動」(コマンドでのセーフモードを含む)は動作しません。
アプリケーションおよびWebサイトによっては、以下の操作に相当する動作を行う場合があります。その際、Web操作ログ、Webアップロード・ダウンロード禁止により、ログが取得されたり禁止される場合があります。
Webサイトへのアクセス
Webアップロード
Webダウンロード
[設定を自動的に検出する]機能は利用できません。以下の手順でプロキシサーバの設定を変更する必要があります。
コントロールパネルまたはInternet Explorer®から[インターネットオプション]を開きます。
[インターネットのプロパティ]画面の[接続]タブを開き、[LANの設定]ボタンをクリックします。
[ローカル エリア ネットワーク(LAN)の設定]で、以下のどちらかの設定を行ってください。
[自動構成スクリプトを使用する]にチェックし、アドレスを入力して[OK]ボタンをクリックします。
ただし、[設定を自動的に検出する]は使用できません。チェックを外してください。
[LANにプロキシサーバーを使用する]にチェックし、アドレス、ポートを入力して[OK]ボタンをクリックします。
スタートメニューから[設定]画面を開きます。
[ネットワークとインターネット]をクリックします。
[プロキシ]を選択し、以下のどちらかの設定を行ってください。
[セットアップスクリプトを使う]をオンにしてスクリプトのアドレスを入力して保存します。
ただし、[設定を自動的に検出する]は使用できません。オフにしてください。
[プロキシサーバーを使う]をオンにして、アドレス、ポートを入力して保存します。
対応するWebサービスと注意事項は以下のとおりです。
Webサービス | 注意事項 |
|---|---|
Dropbox |
|
Dropbox for Business | |
Google Drive |
|
Google Drive for Work | |
Microsoft OneDrive | OneDriveクライアント(インストールして使用するソフトウェア)は監視対象外です。 |
OneDrive for Business |
各社が提供するWebサービスにおいて何らかの仕様変更が行われた場合、ログ採取やWebアップロード・ダウンロード禁止ができなくなることがあります。
