内蔵ディスクでもOSがリムーバブルドライブと判断した場合、ローカルドライブではなくリムーバブルドライブとしてログが採取され、禁止動作も行われます。
Windows Server 2012、Windows Server 2016、Windows Server 2019でマルチログオン利用時の場合、メール送信時宛先確認画面、メール添付禁止画面は表示されません。このとき、メール送信時の動作は以下のようになります。
(Microsoft Outlook 2013およびMicrosoft Outlook 2016からのメール送信時は該当しません)
宛先が除外ドメインのアドレスだけのメールについては従来からメッセージを表示せずに送信するため、変更ありません。
宛先に除外ドメイン以外のアドレスが含まれるメールについては、メール添付禁止の判定を実施します。メール添付禁止の判定結果によって、以下の動作となります。
禁止ファイルが添付されていた場合、メール添付禁止画面を表示せずに送信を中止します。
禁止ファイルが添付されていない場合、宛先確認画面を表示せずにそのまま送信します。
複数のユーザーが同時に使用している場合、プロセス制御、サービス制御時に表示されるメッセージは特定のユーザーにだけ表示されます。以下に、表示される条件を示します。
ローカルログオンしているユーザーがいれば、そのユーザーに表示
ローカルログオンしているユーザーがいなければ、リモートログオンしているユーザーのうち1人だけに表示
複数のユーザーが同時に使用しているときのポリシー状態は、以下のとおりです。
Citrix XenApp監視機能については、ユーザーポリシーは適用されないため、“CTポリシーで動作”となります。スマートデバイス(Android端末およびiOS端末)では、個人利用となるため、“CTポリシーで動作”となります。
なお、「複数のユーザーが同時に使用」とは、アクティブなユーザーが2人以上ログオンしている状態のことを指します。例えば、ローカルログオンのユーザーとリモートログオンのユーザーが同時にログオンしている状態や、リモートログオンのユーザーが2人以上同時にログオンしている状態などです。ローカルログオンのユーザーがユーザーの切り替えで複数ログオンしている状態は、アクティブなユーザーは1人だけのため、「複数のユーザーが同時に使用」の状態ではありません。
機能 | 有効になるポリシー | |
|---|---|---|
ログ | アプリケーション起動/終了 | ユーザーポリシーで動作 |
ウィンドウタイトル取得 | ユーザーポリシーで動作 | |
メール送信 | CTポリシーで動作 | |
メール送信中止 | CTポリシーで動作 | |
メール受信 | CTポリシーで動作 | |
コマンドプロンプト操作 | ユーザーポリシーで動作 | |
デバイス構成変更 | (注1) | |
印刷操作 | ユーザーポリシーで動作 | |
ファイル持出し | ユーザーポリシーで動作 | |
PrintScreenキー操作 | ユーザーポリシーで動作 | |
Web操作 | ユーザーポリシーで動作 | |
FTP操作 | ユーザーポリシーで動作 | |
ファイル操作 | CTポリシーで動作 | |
ログオン/ログオフ | CTポリシーで動作 | |
クリップボード操作 | ユーザーポリシーで動作 | |
環境変更 | CTポリシーで動作 | |
連携アプリケーション | CTポリシーで動作 | |
Webアクセスログ(Android端末) | CTポリシーで動作 | |
SDカードマウント/アンマウントログ(Android端末) | CTポリシーで動作 | |
SIMカードマウント/アンマウントログ(Android端末) | CTポリシーで動作 | |
Wi-Fi接続ログ(Android端末) | CTポリシーで動作 | |
Bluetooth接続ログ(Android端末) | CTポリシーで動作 | |
電話発着信ログ(Android端末) | CTポリシーで動作 | |
アプリケーション使用ログ(Android端末) | CTポリシーで動作 | |
アプリケーション構成変更ログ(Android端末) | CTポリシーで動作 | |
禁止機能 | アプリケーション起動禁止 | ユーザーポリシーで動作 |
印刷禁止 | ユーザーポリシーで動作 | |
PrintScreenキー禁止 | ユーザーポリシーで動作 | |
ログオン禁止 | CTポリシーで動作 | |
メール添付禁止 | CTポリシーで動作 | |
ファイル持出し禁止 | (注2) | |
ファイル読み込み禁止 | (注2) | |
デバイス禁止 | (注3) | |
URLアクセス禁止 | ユーザーポリシーで動作 | |
FTPサーバ接続禁止 | ユーザーポリシーで動作 | |
Webダウンロード禁止 | ユーザーポリシーで動作 | |
Webアップロード禁止 | ユーザーポリシーで動作 | |
クリップボード操作禁止 | ユーザーポリシーで動作 | |
Wi-Fiアクセス禁止(Android端末) | CTポリシーで動作 | |
Bluetooth接続禁止(Android端末) | CTポリシーで動作 | |
アプリケーション使用禁止(Android端末) | CTポリシーで動作 | |
デバイスの機能の使用(iOS端末) | CTポリシーで動作 | |
アプリケーションの使用(iOS端末) | CTポリシーで動作 | |
iCloudの使用(iOS端末) | CTポリシーで動作 | |
セキュリティとプライバシーの設定(iOS端末) | CTポリシーで動作 | |
コンテンツレーティングの設定(iOS端末) | CTポリシーで動作 | |
注1) デバイス構成変更ログは、[ファイル持出し禁止 - 個体識別機能 - 詳細設定]画面の設定内容によって、ポリシー状態が変わります。
CTポリシーで動作する場合
[管理サーバに登録されている全てのUSBの使用の許可]が[する]の場合
ユーザーポリシーで動作する場合
[管理サーバに登録されている全てのUSBの使用の許可]が[しない]の場合
また、USBデバイスの装着を記録するデバイス構成変更ログは、CTポリシーで動作します。
注2) ファイル持出し禁止/ファイル読み込み禁止は、エクスプローラなどファイル持出しユーティリティ以外は、CTポリシーで動作します。ファイル持出しユーティリティは、ユーザーポリシーで動作します。
注3) デバイス禁止は、デバイスによって、ポリシー状態が変わります。
CTポリシーで動作するデバイス
Wi-Fi接続禁止
ユーザーポリシーで動作するデバイス
Bluetooth禁止
PCカード禁止
PCI ExpressCard禁止
赤外線通信禁止
IEEE1394禁止
シリアルポート/パラレルポート禁止
コマンドプロンプトや持出しユーティリティを管理者として実行した場合、「要求されたリソースは使用中です」のメッセージが出力され、起動できないことがあります。この場合は、しばらくたってから起動するようにしてください。
Webコンソール使用中は、ブラウザの[戻る]ボタンを使用しないでください。使用すると、エラーや正常に表示できない可能性があります。
同じユーザーIDでWindowsに同時にログオンできる設定を行わないでください。 ログが区別できなくなります。
クライアント(CT)およびスマートデバイス(エージェント)(Android)から同じログが重複して送信され、管理サーバに格納される場合があります。このとき、ログビューアでは同じログが複数件表示されます。
以下のOSで、ビルトインAdministratorアカウントでログインした場合、Webコンソールは、DesktopアプリケーションのInternet Explorerを使用してください。WindowsストアアプリのInternet Explorerは対応していません。
Windows 8.1
Windows 8.1 Pro
Windows 8.1 Enterprise
Windows 10 Home
Windows 10 Pro
Windows 10 Enterprise
Windows 10 Education
Microsoft Windows Server 2012 Datacenter
Microsoft Windows Server 2012 Standard
Microsoft Windows Server 2012 Essentials
Microsoft Windows Server 2012 Foundation
Microsoft Windows Server 2012 R2 Datacenter
Microsoft Windows Server 2012 R2 Standard
Microsoft Windows Server 2012 R2 Essentials
Microsoft Windows Server 2012 R2 Foundation
Microsoft Windows Server 2016 Datacenter
Microsoft Windows Server 2016 Standard
Microsoft Windows Server 2016 Essentials
Microsoft Windows Server 2019 Datacenter
Microsoft Windows Server 2019 Standard
Microsoft Windows Server 2019 Essentials
管理サーバ/統合管理サーバとクライアント(CT)間の通信は暗号化されます。
そのため、V14.3.1以前の通信暗号化の修正を適用していないクライアント(CT)との通信など、暗号化されていない通信については制限されます。
V13.3.0~V14.3.1のクライアントは、2014年9月以降の緊急修正を適用するか、V15.1.0以降へのバージョンアップが必要です。
V13.2.1以前のクライアントは使用できません。V15.1.0以降へのバージョンアップが必要です。
管理サーバをV15.1.0以降にバージョンアップ後は、新規インストールできるクライアントはV15.0.0以降です。ただし、管理サーバのバージョンより新しいバージョンのクライアントはインストールできません。
Microsoftアカウントでログオンした場合、ログのユーザー名およびドメイン名には、Microsoftアカウントの情報が格納されます。
例えば、Microsoftアカウントが「fujitsu.tarou@example.com」の場合、ユーザー名には「fujitsu.tarou」、ドメイン名には「example.com」が表示されます。
ただし、従来のアカウントからMicrosoftアカウントに切り替えた場合、OSを再起動するまでは、ログのユーザー名およびドメイン名に従来のアカウントの情報が格納されることがあります。
ログのユーザー名は、ログオン操作で実際にログオンしたユーザー名で記録されます。(ドメインログオンの場合のユーザー名は半角全角や小文字大文字の区別をしないため、登録時のユーザー名とは違う文字列でユーザー名が記録される場合があります)
クライアント(CT)およびスマートデバイス(エージェント)で設定できるポリシーについて
管理コンソール上で、クライアント(CT)およびスマートデバイス(エージェント)にポリシーを設定する場合、画面上ではすべてのポリシーを設定できるようになっていますが、以下のとおり、デバイスにより設定が有効となるポリシーが異なります。そのデバイスに対して有効でないポリシーを管理コンソールで設定した場合、設定した記録機能または禁止機能は動作しません。
Citrix XenApp監視機能については、ユーザーポリシーは適用できません。CTポリシーだけ適用できます。
ポリシー | デバイス | |||
|---|---|---|---|---|
クライアント(CT) | スマートデバイス (エージェント)(Android) | スマートデバイス (エージェント)(iOS) | ||
ログ | アプリケーション起動 | ○ | - | - |
アプリケーション終了 | ○ | - | - | |
ウィンドウタイトル取得 | ○ | - | - | |
メール送信/メール送信中止 | ○ | - | - | |
メール受信 | ○ | - | - | |
コマンドプロンプト操作 | ○ | - | - | |
デバイス構成変更 | ○ | - | - | |
印刷操作 | ○ | - | - | |
ファイル持出し | ○ | - | - | |
PrintScreenキー操作 | ○ | - | - | |
Web操作 | ○ | - | - | |
FTP操作 | ○ | - | - | |
ファイル操作 | ○ | - | - | |
ログオン/ログオフ | ○ | - | - | |
クリップボード操作 | ○ | - | - | |
環境変更 | ○ | - | - | |
連携アプリケーション | ○ | - | - | |
Webアクセス | - | ○ | - | |
SDカードマウント/アンマウント | - | ○ | - | |
SIMカードマウント/アンマウント | - | ○ | - | |
Wi-Fi接続 | - | ○ | - | |
Bluetooth接続 | - | ○ | - | |
電話発着信 | - | ○ | - | |
アプリケーション使用 | - | ○ | - | |
アプリケーション構成変更 | - | ○ | - | |
禁止機能 | ファイルアクセス制御 | ○ | - | - |
デバイス禁止 | ○ | - | - | |
アプリケーション起動禁止 | ○ | - | - | |
印刷禁止 | ○ | - | - | |
PrintScreenキー禁止 | ○ | - | - | |
ログオン禁止 | ○ | - | - | |
メール添付禁止 | ○ | - | - | |
URLアクセス禁止 | ○ | - | - | |
FTP操作禁止 | ○ | - | - | |
Web操作禁止 | ○ | - | - | |
クリップボード操作禁止 | ○ | - | - | |
Wi-Fi接続禁止 | - | ○ | - | |
Bluetooth接続禁止 | - | ○ | - | |
アプリケーション使用禁止 | - | ○ | - | |
デバイスの機能の使用 | - | - | ○ | |
アプリケーションの使用 | - | - | ○ | |
iCloud の使用 | - | - | ○ | |
セキュリティとプライバシーの設定 | - | - | ○ | |
コンテンツレーティングの設定 | - | - | ○ | |
○:管理コンソールでポリシーとして設定した場合、記録機能および禁止機能が動作します。
-:管理コンソールでポリシーとして設定しても、記録機能および禁止機能は動作しません。
Systemwalker Desktop Keeperで扱う文字コードについて
Systemwalker Desktop Keeperで扱える文字コードは、以下の2種類です。これら以外の文字コードは、「?」に変換されます。
Shift JIS
正しく表示されます。
UNICODE
正しく表示できる場合と、「?」に変換される場合とがあります。
クライアント(CT)またはスマートデバイス(エージェント)を使用して採取された操作ログ、禁止ログはUNICODE文字で記録されます。
UNICODE文字を扱えないアプリケーションのログを採取した場合、ログが「?」で記録されることがあります。
持出しユーティリティの以下の持出しにおいては、持出し元、持出し先ともに、ファイル名、フォルダ名にUNICODE文字を指定できません。
DVD/CDへの通常持出し、暗号化持出し
DVD/CD以外への暗号化持出し
管理コンソールでの操作は、UNICODE文字で入力、表示を行います。
ただし、サーバ設定ツールで「入出力ファイルのエンコード」に「ShiftJIS」を指定している場合は、入力ファイル中にUNICODE文字があると文字化けします。出力ファイル中にある場合は、UNICODE文字は「?」に変換されます。
ログビューアでの操作は、UNICODE文字で入力、表示を行います。
ただし、サーバ設定ツールで「入出力ファイルのエンコード」に「ShiftJIS」を指定している場合は、出力ファイル中のUNICODE文字は「?」に変換されます。
サーバ設定ツールなどのサーバ系のツールや、Systemwalker Desktop Keeperが提供するコマンドでは、UNICODE文字の入力、表示はできません。
Systemwalker Desktop Keeperが提供する以下のツール、コマンドは、正常に動作しない場合がありますので、使用しないでください。
管理サーバ/統合管理サーバにインストールされるツール、コマンド
中継サーバにインストールされるツール、コマンド
ポリシー適用ツール
持出しユーティリティを使用してDVD/CDメディアへの暗号化持出しは、できません。
Systemwalker Desktop Keeperでは、半角文字・全角文字・文字数を以下のように定義しています。
半角文字:ASCII文字コードで、0x20~0x7Eの範囲の文字です。
空白「 」
記号「!」「"」「#」「$」「%」「&」「'」「(」「)」「*」「+」「,」「-」「.」「/」「:」「;」「<」「=」「>」「?」「@」「[」「\」「]」「^」「_」「`」「{」「|」「}」「~」
数字「0」「1」…「9」
英字「A」「B」…「Z」、「a」「b」…「z」
全角文字:半角文字以外の文字です。
一般的に使用されている「半角カタカナ文字」は全角文字になります。
文字数:半角文字は見た目の文字数です。
全角文字はUTF16コードで2バイトを1文字とします。
サロゲートペア文字は、4バイトで1文字を表しますので、2文字として扱います。
結合文字は、Nバイトで1文字を表しますので、(N÷2)文字として扱いますが、文字によってはそれより短く扱う場合があります。
クライアント(CT)インストール後のOSアップデートについて
クライアント(CT)インストール後のOSアップデートに対応していません。
Windows 10の機能追加(Windows Update)のようなOSバージョンが変更にならないアップデートを行った場合、CD/DVD装置が一時的に参照できなくなる場合があります。この時、OSの再起動で復旧が可能です。
もし復旧しない場合には、“導入ガイド”の“導入に関する留意事項”の“クライアント(CT)”を参照して、クライアント(CT)の再インストールを行ってください。
ブラウザ拡張機能について
Microsoft Edge 85以降、Firefox、Google Chromeで以下の機能を利用する場合、ブラウザ拡張機能が必要です。
URLアクセス禁止
Webアップロード禁止
Webダウンロード禁止
ウィンドウタイトル取得ログ
メール送信ログ (Webメール)
Web操作ログ
Web操作禁止ログ
クライアント(CT)インストール後、Google Chromeの拡張機能が自動更新されたタイミングでSystemwalker Desktop Keeer拡張機能がインストールされます。その場合は、Google Chromeの[メニュー]-[その他のツール]-[拡張機能]に[Systemwalker Desktop Keeper]が表示されます。
Systemwalker Desktop Keeer拡張機能がインストールされていない場合は、Google Chromeの[メニュー]-[その他のツール]-[拡張機能]-[デベロッパーモード]をON-[更新]をクリックしてください。
クライアント(CT)アンインストール後、Systemwalker Desktop Keeper拡張機能がアンインストールされない場合があります。Systemwalker Desktop Keeper拡張機能がアンインストールされなかった場合は、Firefoxの[メニュー]-[アドオン]-[拡張機能]に[Systemwalker Desktop Keeper]が残存します。
[Systemwalker Desktop Keeper]が残存している状態であっても、Systemwalker Desktop Keeper拡張機能は動作しませんが、Firefox about:supportの[Firefoxをリフレッシュ]をクリックすることで削除できます。
ただし、[Firefoxをリフレッシュ]をクリックすると、他の拡張機能も削除されるため注意してください。
