制限事項

防止・禁止の制限事項

注意
  • [防止・禁止]での制御(「その他」ポリシーの一部を除く)は、MaLionがログ収集できる操作が対象となります。操作ログが取得されない操作は制御できません。
  • 操作ログの収集における制限については、「ログの制限事項」を参照してください。
  • Mac端末の制御での制限については、「Mac端末の防止・禁止について」も併せて参照してください。

ファイルアクセス

  • 名前変更、コピー、移動の操作に対するポリシーは、変更前のファイルパスが対象になります。

  • Windowsポータブルデバイスでのファイル操作がファイルアクセスポリシーの対象だった場合、以下の動作となります。

    • ポリシーで禁止されている操作をしても、操作は禁止されませんが、端末側でのメッセージは表示されます。
    • 管理コンソールでは、操作ログおよびリアルタイムログにポリシー設定のアクションでログが記録されます。

  • Webブラウザーを使用したGmailで、メールに添付したファイルが読み込み禁止ポリシーの対象だった場合、以下の動作となります。

    • 端末側でメッセージは表示されますが、読み込み操作自体は禁止されません(ファイルが添付できる)。
    • 管理コンソールでは禁止のファイルアクセスログが記録されます。
  • ごみ箱への移動をポリシーで禁止した場合、「ごみ箱」ではなく「削除」でログに記録されます。
  • フォルダーを別のフォルダー、またはごみ箱へ移動した場合、フォルダー内のファイルの制御はできません。
  • Microsoft Officeなど、一時ファイルに書き込みを行い、実ファイルには直接書き込みを行わないアプリケーションを使用した場合、実際に動作した通りのログが出力されます。そのため、ファイル名を指定して書き込み禁止ポリシーを設定しても、操作を禁止できない場合があります。

デバイス操作

  • フロッピードライブやCD/DVDドライブなどの固定デバイスは、禁止ポリシーを適用すると、端末起動時に毎回対象デバイスの使用を禁止するダイアログが表示されます。ダイアログ表示が不要な場合は、[オプション]メニュー-[システム設定]を開き、[端末エージェント]の[固定デバイス禁止時のメッセージダイアログ表示]([SP_DEVICE_DLG])を「1(非表示)」に設定してください。
  • Windowsポータブルデバイスの禁止は、Windowsのデバイスマネージャーでデバイスを無効にするため、デバイスマネージャーで認識できないデバイスについては制御できません。
  • ポリシーで禁止されたデバイスを許可に変更した場合、Windows端末の固定デバイスはコンピューターの再起動後に使用できるようになります。Windowsポータブルデバイス以外のリムーバブルデバイスは再接続後に使用できるようになります。WindowsポータブルデバイスおよびMac端末のCD/DVDドライブは、ポリシーが適用されると使用できるようになります。

  • Windowsポータブルデバイスに対して禁止のポリシーが適用されている端末で、USBリムーバブルメディアとWindowsポータブルデバイスの2つとして認識されるデバイス(USBメモリなど)が接続されたときは、以下の動作となります。

    • USBリムーバブルメディアとして通常どおり使用できます。
    • Windowsの右クリックメニュー[Windowsポータブルデバイスとして開く]は表示されません(Windowsポータブルデバイスとしての使用は禁止されます)。
    • デバイス接続時、Windowsポータブルデバイスとしての使用を禁止するメッセージは表示されません。
    • 接続時のログはそれぞれのデバイスとして2行記録され、Windowsポータブルデバイスのログは禁止(赤字)で記録されますが、リアルタイムログは出力されません。
  • Windowsに接続されたiOSデバイスに、USB-リムーバブルメディアまたはWindowsポータブルデバイスとして禁止ポリシーを適用すると、接続するケーブルによっては充電できないことがあります。

  • ファイルアーカイブ対象のファイル名に以下の文字が含まれている場合、操作ログ画面からファイルを保存できません。

    • ‘(全角のアポストロフィー)
    • '(シングルクォーテーション)

[読み込みのみ許可]ポリシーについて】

  • [読み込みのみ許可]は、[デバイス個別指定]での設定はできません。
  • [読み込みのみ許可]は、「デバイス監視」機能だけでなく「ファイルアクセス監視」機能によっても制御されています。そのため「ファイルアクセス監視」が停止している場合は、[読み込みのみ許可]のポリシーは機能しません。また、書き込み操作が発生した場合は、「ファイルアクセス」の操作ログ(設定によってはリアルタイムログも含む)に赤字(禁止)でログが記録され、操作が禁止されます(CD/DVDドライブ、USBCD/DVDドライブ、Windowsポータブルデバイスを除く)。
  • CD/DVDドライブ、USB-CD/DVDドライブ、Windowsポータブルデバイスへの[読み込みのみ許可]は、OSが提供している書き込み機能自体を無効することで書き込みを禁止します。書き込み操作をMaLionで取得できないため、書き込み操作はログに記録されません。また、端末ではMaLionからのメッセージは表示されません。
  • 書き込みを実行するアプリケーションが、[ログ環境設定]の[ファイルアクセス除外]に登録されている場合、書き込みを禁止できません。
  • 書き込みを実行したアプリケーションによって、中身が空のファイルが作成されてしまう場合があります。
  • CD/DVDドライブ、USB-CD/DVDドライブに対して[読み込みのみ許可]ポリシーを適用しても、ライティングソフトを使用した書き込みは禁止できません。ライティングソフトによる書き込みを禁止したい場合は、ライティングソフトの起動を禁止することで対応できます。
  • CD/DVDドライブまたはUSB-CD/DVDドライブに対して[読み込みのみ許可]を適用した場合、固定ドライブとUSB接続の区別なく、すべてのCD/DVDドライブが書き込み禁止になります。また、個別IDによってUSB-CD/DVDドライブにポリシーを設定していても、優先されません。
  • CD/DVDドライブまたはUSB-CD/DVDドライブに対して[読み込みのみ許可]ポリシーを適用しても、アプリケーションからファイルの保存先を指定してUDFフォーマットのメディアに書き込みをした場合は、制御できません。
  • Windowsポータブルデバイスの[読み込みのみ許可]の設定および解除は、端末の再起動後に有効になります。
  • Windowsポータブルデバイスの[読み込みのみ許可]は、デバイス個別ポリシーの[許可]より優先して動作します。

  • Windowsに接続されたUSBメモリ(USBリムーバブルメディアとWindowsポータブルデバイス2つとして認識されるデバイス)を[読み込みのみ許可]にしても、Windowsの右クリックメニュー[Windowsポータブルデバイスとして開く]からのファイル操作は禁止できません。この操作も禁止したい場合は、次の2つの方法があります。

    • USB-リムーバブルメディアは[読み込みのみ許可]に設定し、Windowsポータブルデバイスは[禁止]に設定する。Windowsポータブルデバイスとしてだけ認識されるAndroidなどを禁止したくない場合は、個別で[許可]を設定する。

    • USB-リムーバブルメディアとWindowsポータブルデバイスの両方とも[読み込みのみ許可]に設定する。

      この方法の場合、デバイス個別ポリシーの[許可]より優先されるため、特定のWindowsポータブルデバイスを個別に許可することができません。

印刷

  • RAWプリンターの場合、印刷を禁止できないことがあります。
  • ポリシーで禁止された印刷は、「部数」および「枚数」が「0」としてログに記録されます。

Webアクセス

  • [すべてのWebアクセス]に[禁止]または[閲覧のみ許可]を指定すると、WindowsUpdateなどの重要な処理も禁止されます。その場合は、次の条件で許可するポリシーを登録してください。

    対象URL microsoft.co.jp
    一致条件 部分一致
    アクション 許可
  • IPアドレスをURLに指定したWebアクセス(HTTP/HTTPS)を制御する場合は、監視条件でもIPアドレスを指定する必要があります。
  • [閲覧のみ許可]のポリシーは、POSTリクエストの送信を遮断する(送信を失敗させる)動作となります。

  • 以下のWebアクセスは[閲覧のみ許可]のポリシーで制御できません。

    • ローカルプロキシによる通信監視が無効の場合の、HTTPSでの書込みやアップロード
    • Dropbox、Final Document、OneDrive、OneDrive365、Googleドライブへのファイルアップロード
  • HTTPプロトコルによる[閲覧のみ許可]ポリシーで制御したい場合は、弊社サポートまでお問い合わせください。
  • JavaScriptにより動的にタイトル変更しているページへアクセスは、[タイトル部分一致]の監視条件のポリシーで正しく制御できない場合があります。

  • MaLionのブラウザー拡張が無効、またはインストールされていないWebブラウザーを使用している場合は、次のポリシー制御ができません。

    • HTTPSのWebアクセス
    • [タイトル部分一致]でのポリシー制御(ウィンドウタイトルが取得できないため)。
  • WindowsでInternet Explorerを使用していて[インターネットオプション]の[拡張保護モードを有効にする]および[IE拡張保護モードで64ビットプロセッサを有効にする]にチェックが付いている場合、Webアクセスポリシーが正しく動作しないことがあります。
  • Internet ExplorerでGmailサイト内をタイトル禁止する場合、タイミングによっては禁止できません。
  • 端末側で表示されるメッセージは、Webブラウザー内に表示される場合、ダイアログで表示される場合、またはその両方が表示される場合があります。

  • Google Chromeを使用した以下のWebページへのアクセスは、ポリシー制御できません。

    • Googleアカウントにログインしていない状態でGoogleChromeを起動したときのページ
    • Chrome ウェブストア
  • Windowsストアアプリは、ポリシー制御に対応していません。
  • ローカルプロキシによる通信監視を行っている場合、Webアクセスの禁止ポリシー設定時に、[URL部分一致]の条件としてホスト名のみ(例:「www.example.com」)を指定すると、検索サイトなどのリンクから該当するサイトにアクセスした際、Webブラウザー内にアクセス禁止のメッセージが表示されないことがあります。なおその場合でも、Webアクセスの禁止制御および操作ログの取得は正常に動作します。

送信メール

  • [SSL通信時の条件を指定する]のポリシーは、Windows端末の場合、送信メールログの[タイトル]に「暗号化されたメールを送信しました」と記録されるSSLメール(Outlook 2007以降以外で送信したSSLメール)が制御の対象となります。
  • WebブラウザーでGmailを使用して送信されたメールは、ポリシー制御できません。

ログオン

[禁止(シャットダウン)]ポリシーについて

  • 強制シャットダウンの警告メッセージを表示後、シャットダウンが実行される前にポリシー設定を変更した場合は、変更後のポリシーが優先されます。

  • 強制シャットダウンの警告メッセージを表示後にシャットダウンまでの時間を変更した場合、シャットダウンが実行されるのは、端末がポリシー設定の変更を検知した時点から指定した時間経過後になります。

    【例】[禁止(シャットダウン)]ポリシーの適用時間が「17:30~」で、シャットダウンまでの時間が「30分」に設定されていた場合
    1. 端末がポリシーを検知し、17:30に警告メッセージ「18:00にシャットダウン」が表示される。
    2. 管理コンソールから、シャットダウンまでの時間を「60分」に変更する。
    3. 端末が17:50に変更後のポリシーを検知し、同時刻に警告メッセージ「18:50にシャットダウン」が表示される。
    4. 18:50にシャットダウンが実行される。
  • 強制シャットダウンの警告メッセージを表示後、シャットダウンされる時間がポリシー適用時間外、または適用期間外だった場合、シャットダウンは実行されません。
  • 端末に複数のユーザーがログオンしていた場合、強制シャットダウンの警告メッセージは、ポリシー適用対象のユーザーにのみ表示されます。ただし、シャットダウンは端末に対して実行されるため、ログオン中のすべてのユーザーが強制的にシャットダウンされます。
  • 端末の時刻設定を変更していた場合は、端末の時刻を基準として動作します。
  • 警告メッセージは、端末の利用者が端末にログオン中の場合のみ表示されます。
  • 端末が強制シャットダウンされた場合、または警告メッセージの表示後に手動でシャットダウンやログオフをした場合、ポリシーの適用時間内にログオンすると、即座にシャットダウンされます。
  • シャットダウン後、強制シャットダウンのポリシー適用時間内に端末を起動するには、管理者がポリシーを無効にする、または一時的にログオンを許可する必要があります。

[禁止(シャットダウン)]ポリシーの[延長を許可する]について

  • [禁止(シャットダウン)]ポリシーの[延長を許可する]オプションが端末に適用された場合、延長設定ダイアログを呼び出すため、MaLionのアイコンがタスクバー(Windows)またはメニューバー(Mac)に表示されます。
  • 端末のユーザーが一度の操作で延長できる時間は、シャットダウン予定時刻の180分後までです。
  • ポリシーが適用されてからシャットダウンが実行されるまでに延長できる時間は、[シャットダウンまでの時間]と[最大延長時間]を足した時間になります。
    例:[シャットダウンまでの時間]が「30分」、[最大延長時間]が「120分」に設定されていた場合、ポリシーの適用時間から150分後の時刻まで延長できます。
  • 端末にログオン中のユーザーがシャットダウン予定時刻の延長を行った場合、同じユーザーがポリシーの適用時間内に再ログオンしても、端末は即座にシャットダウンされません(通常のログオン禁止(シャットダウン)ポリシーとは異なります)。シャットダウン予定時刻にシャットダウンされます。
  • 端末がWindowsの場合、一度シャットダウンを延長した後に再ログオンすると、即座に延長設定ダイアログが表示されます。

  • 端末を複数のユーザーが使用している場合、[延長を許可する]のポリシーを適用すると、WindowsとMacで動作が異なります。例えば、端末を「ユーザーA」と「ユーザーB」が使用する場合は、以下のようになります。

    【例】ユーザーA、ユーザーBともに同じポリシーの[延長を許可する]が適用された場合(端末にポリシーを設定した場合)

    Windows ユーザーAとユーザーBの延長時間はそれぞれのユーザーで設定されたものになります。
    Mac ユーザーAとユーザーBの延長時間は共通のものになります。
    【例】ユーザーA、ユーザーBに異なるポリシーの[延長を許可する]が適用された場合(端末のユーザーそれぞれにポリシーを設定した場合)

    Windows ユーザーAとユーザーBの延長時間はそれぞれのユーザーで設定されたものになります。
    Mac 最後にログインしたユーザの[延長を許可する]ポリシーが適用されます。

無線LAN

ポリシーで禁止に設定されたSSIDに接続しようとすると、ネットワークアダプターが無効(Mac端末の場合はWi-Fiが切)になり接続が禁止されます。禁止された後に、許可されている別のSSIDに接続したいときや、禁止されたSSIDのポリシーを許可に変更したときは、端末側のデバイスマネージャーでネットワークアダプターを有効(Mac端末の場合はWi-Fiを入)にする必要があります。

その他

[PrintScreenキー]について

  • [Print Screen]キーで記録した情報を自動的に保存するソフトウェアを使用している場合、禁止設定を行っても、禁止できず画像が保存される場合があります。

[ローカルプロキシによる通信監視]について

  • OSのプロキシ設定で、プロキシの適用から除外されているホストは監視できません。
  • Dropboxアプリなど、一部のアプリケーションでは、Webサービスを監視対象にすると通信できなくなる場合があります。
  • ローカルプロキシによる通信監視では、Webアクセスログでウィンドウタイトルは取得できません。取得したい場合は、ブラウザー拡張を使用する必要があります。
  • ローカルプロキシによる通信監視では、Gmailのメール送信ログは取得できません。取得したい場合は、ブラウザー拡張を使用する必要があります。
  • 端末がWindowsの場合、OSのプロキシ設定が[設定を自動的に検出する]または[自動構成スクリプトを使用する]に設定されている場合は、ローカルプロキシによる通信監視を使用できません。使用した場合、Webアクセスができなくなります。
  • Firefox、Thunderbirdなど一部のアプリケーションでは、ローカルプロキシによる通信監視を行う場合、MaLion専用の認証局証明書を追加する必要があります。
  • ローカルプロキシによる通信監視が有効な状態では、サービスやシステムとして起動するプロセスがユーザーのプロキシ設定を使用する場合、最後にログオンしたユーザーのプロキシ設定、または最後に変更したユーザーのプロキシ設定を使用します。
  • ローカルプロキシによる通信監視では、OSのプロキシサーバーの設定をローカルプロキシ用に書き換えます。ローカルプロキシによる通信監視を行っている状態で、端末エージェントをアンインストールするか、ローカルプロキシによる通信監視を無効にすると、通常はOSのプロキシサーバーの設定を自動的に元の状態に戻しますが、想定外の状況により元の状態に戻せなかった場合、Webアクセスができなくなります。この場合は、手動でOSのプロキシサーバーの設定を元に戻してください。

  • ローカルプロキシによる通信監視が有効な状態で以下のいずれかの操作を行うと、Webアクセスができなくなる場合があります。

    • OSのプロキシサーバーの設定で、「すべてのプロトコルに同じプロキシサーバーを使用する」の設定を変更する
    • netshコマンドを使用して、WinHTTPのプロキシ設定をOSのプロキシサーバーの設定と同じ値にする

    この場合は、手動でOSのプロキシサーバーの設定を元に戻してください。

[リモートロック]について

  • セーフモードでログオンした場合、端末のロックはできません。

[セーフモード時の動作]について

  • [セーフモード時の動作]ポリシーを設定した端末がシャットダウンされた場合、次回ログオン時まで端末側のポリシー適用状態は変更されません。
    そのため、ポリシーの適用時間外に端末がシャットダウンされ、次回のログオンがセーフモードでのログオンだった場合、ポリシーの適用時間内であってもログオンログは取得できません。
    また、適用時間内に端末がシャットダウンされ、次回のログオンがセーフモードでのログオンだった場合、適用時間外であってもログオンログが取得されます。

[Chromeシークレットモード]について

  • Google Chromeのシークレットモードを使用したタブでは、ブラウザー拡張が動作しません。そのため、HTTPおよびHTTPSのWebアクセスログの取得とポリシー制御、HTTPSのWebアップロードログの取得ができなくなります。

[テザリング]について

  • ポリシーでモバイルホットスポットやSoftAPの機能を制限している場合、端末側でOSの設定から機能を有効化することはできますが、短時間で無効化されます。
  • ポリシーによってモバイルホットスポットやSoftAPの機能が無効化された場合、リアルタイムログの出力やユーザーへの通知は行われません。

送信メールの宛先確認

WebブラウザーでGmailを使用して送信されたメールは、送信メールの宛先確認の設定の対象であっても、確認メッセージは表示されません。

▲