制限事項

防止・禁止の制限事項

01.防止・禁止共通の制限事項

  • [防止・禁止]での制御(「その他」ポリシーの一部を除く)は、MaLionがログ収集できる操作が対象となります。
    操作ログが取得されない操作は制御できません。
    操作ログの収集における制限については、「ログの制限事項」を参照してください。
  • Windows 端末でシャットダウンや再起動を実行した後、キャンセルしてそのまま使用し続けた場合、 一部またはすべてのポリシー制御が動作しなくなることがあります。現象が発生した場合は、端末を再 起動してください。

02.ファイル アクセスの制限事項

  • 名前変更、コピー、移動の操作に対するポリシーは、変更前のファイルパスが対象になります。

  • Windowsポータブルデバイスでのファイル操作がファイルアクセスポリシーの対象だった場合、以下の動作となります。

    • ポリシーで禁止されている操作をしても、操作は禁止されませんが、端末側でのメッセージは表示されます。
    • 管理コンソールでは、操作ログおよびリアルタイムログにポリシー設定のアクションでログが記録されます。

  • Webブラウザーを使用したGmailで、メールに添付したファイルが読み込み禁止ポリシーの対象だった場合、以下の動作となります。

    • 端末側でメッセージは表示されますが、読み込み操作自体は禁止されません(ファイルが添付できる)。
    • 管理コンソールでは禁止のファイルアクセスログが記録されます。
  • ごみ箱への移動をポリシーで禁止した場合、「ごみ箱」ではなく「削除」でログに記録されます。
  • フォルダーを別のフォルダー、またはごみ箱へ移動した場合、フォルダー内のファイルの制御はできません。
  • Microsoft Officeなど、一時ファイルに書き込みを行い、実ファイルには直接書き込みを行わないアプリケーションを使用した場合、実際に動作した通りのログが出力されます。そのため、ファイル名を指定して書き込み禁止ポリシーを設定しても、操作を禁止できない場合があります。

Mac端末の場合(ファイル アクセス)

上記に加えて、以下の制限があります。

  • 禁止のポリシーは、操作ログとリアルタイム ログには操作を禁止したように表示されますが、実際には操作は禁止されません(メッセージも表示されません)。
    情報、警告、および許可のポリシーは、Windows 端末と同様に使用できます。

03.デバイス操作の制限事項

  • フロッピードライブやCD/DVDドライブなどの固定デバイスは、禁止ポリシーを適用すると、端末起動時に毎回対象デバイスの使用を禁止するダイアログが表示されます。ダイアログ表示が不要な場合は、[オプション]メニュー-[システム設定]を開き、[端末エージェント]の[固定デバイス禁止時のメッセージダイアログ表示]([SP_DEVICE_DLG])を「1(非表示)」に設定してください。
  • Windowsポータブルデバイスの禁止は、Windowsのデバイスマネージャーでデバイスを無効にするため、デバイスマネージャーで認識できないデバイスについては制御できません。
  • ポリシーで禁止されたデバイスを許可に変更した場合、Windows端末の固定デバイスはコンピューターの再起動後に使用できるようになります。Windowsポータブルデバイス以外のリムーバブルデバイスは再接続後に使用できるようになります。WindowsポータブルデバイスおよびMac端末のCD/DVDドライブは、ポリシーが適用されると使用できるようになります。

  • Windowsポータブルデバイスに対して禁止のポリシーが適用されている端末で、USBリムーバブルメディアとWindowsポータブルデバイスの2つとして認識されるデバイス(USBメモリなど)が接続されたときは、以下の動作となります。

    • USBリムーバブルメディアとして通常どおり使用できます。
    • Windowsの右クリックメニュー[Windowsポータブルデバイスとして開く]は表示されません(Windowsポータブルデバイスとしての使用は禁止されます)。
    • デバイス接続時、Windowsポータブルデバイスとしての使用を禁止するメッセージは表示されません。
    • 接続時のログはそれぞれのデバイスとして2行記録され、Windowsポータブルデバイスのログは禁止(赤字)で記録されますが、リアルタイムログは出力されません。
  • Windowsに接続されたiOSデバイスに、USB-リムーバブルメディアまたはWindowsポータブルデバイスとして禁止ポリシーを適用すると、接続するケーブルによっては充電できないことがあります。

  • ファイルアーカイブ対象のファイル名に以下の文字が含まれている場合、操作ログ画面からファイルを保存できません。

    • ‘(全角のアポストロフィー)
    • ‘(シングルクォーテーション)

[読み込みのみ許可]ポリシーについて】

  • [読み込みのみ許可]は、[デバイス個別指定]での設定はできません。
  • [読み込みのみ許可]は、「デバイス監視」機能だけでなく「ファイルアクセス監視」機能によっても制御されています。そのため「ファイルアクセス監視」が停止している場合は、[読み込みのみ許可]のポリシーは機能しません。また、書き込み操作が発生した場合は、「ファイルアクセス」の操作ログ(設定によってはリアルタイムログも含む)に赤字(禁止)でログが記録され、操作が禁止されます(CD/DVDドライブ、USBCD/DVDドライブ、Windowsポータブルデバイスを除く)。
  • CD/DVDドライブ、USB-CD/DVDドライブ、Windowsポータブルデバイスへの[読み込みのみ許可]は、OSが提供している書き込み機能自体を無効することで書き込みを禁止します。書き込み操作をMaLionで取得できないため、書き込み操作はログに記録されません。また、端末ではMaLionからのメッセージは表示されません。
  • 書き込みを実行するアプリケーションが、[ログ環境設定]の[ファイルアクセス除外]に登録されている場合、書き込みを禁止できません。
  • 書き込みを実行したアプリケーションによって、中身が空のファイルが作成されてしまう場合があります。
  • CD/DVDドライブ、USB-CD/DVDドライブに対して[読み込みのみ許可]ポリシーを適用しても、ライティングソフトを使用した書き込みは禁止できません。ライティングソフトによる書き込みを禁止したい場合は、ライティングソフトの起動を禁止することで対応できます。
  • CD/DVDドライブまたはUSB-CD/DVDドライブに対して[読み込みのみ許可]を適用した場合、固定ドライブとUSB接続の区別なく、すべてのCD/DVDドライブが書き込み禁止になります。また、個別IDによってUSB-CD/DVDドライブにポリシーを設定していても、優先されません。
  • CD/DVDドライブまたはUSB-CD/DVDドライブに対して[読み込みのみ許可]ポリシーを適用しても、アプリケーションからファイルの保存先を指定してUDFフォーマットのメディアに書き込みをした場合は、制御できません。
  • Windowsポータブルデバイスの[読み込みのみ許可]の設定および解除は、端末の再起動後に有効になります。
  • Windowsポータブルデバイスの[読み込みのみ許可]は、デバイス個別ポリシーの[許可]より優先して動作します。

  • Windowsに接続されたUSBメモリ(USBリムーバブルメディアとWindowsポータブルデバイス2つとして認識されるデバイス)を[読み込みのみ許可]にしても、Windowsの右クリックメニュー[Windowsポータブルデバイスとして開く]からのファイル操作は禁止できません。この操作も禁止したい場合は、次の2つの方法があります。

    • USB-リムーバブルメディアは[読み込みのみ許可]に設定し、Windowsポータブルデバイスは[禁止]に設定する。Windowsポータブルデバイスとしてだけ認識されるAndroidなどを禁止したくない場合は、個別で[許可]を設定する。

    • USB-リムーバブルメディアとWindowsポータブルデバイスの両方とも[読み込みのみ許可]に設定する。

      この方法の場合、デバイス個別ポリシーの[許可]より優先されるため、特定のWindowsポータブルデバイスを個別に許可することができません。
  • Bluetoothデバイスは、[読み込みのみ許可]ポリシーに対応していません。

Mac端末の場合(デバイス操作)

上記に加えて、以下の制限があります。

  • デバイスインスタンスIDの値が、Windowsと異なります。
  • デバイス個別での制御は、USB-リムーバブルメディアのみ対応しています。
  • USB-リムーバブルメディアのデバイス インスタンス ID として、シリアル番号の一部を指定してポリシー制御を行うことはできません。
    詳しくは、「Mac端末でデバイスインスタンスIDを確認する」を参照してください。
  • デバイス種別での制御で、フロッピードライブのポリシー制御はできません。
  • 使用を禁止したデバイスを接続したままにすると、使用禁止メッセージの表示や、操作ログとリアルタイムログの記録が複数回行われることがあります。
  • iOSデバイスおよびBluetoothデバイスは、[読み込みのみ許可]ポリシーに対応していません。
  • USB-リムーバブルメディアまたはその他リムーバブルメディアの[読み込みのみ許可]ポリシーによる制御を行う場合は、端末の[ログやインベントリ収集の開始/停止]タブでファイルアクセス監視が開始されている必要があります。
  • Mac端末に接続されたiOSデバイスに禁止ポリシーを適用した場合、接続ケーブルによっては充電できないことがあります。純正ケーブル(Dock コネクタ、Lightning)では充電できることを確認しています。
    詳しくは、「防止・禁止 – アプリケーション起動とは」を参照してください。
    「写真」の対象実行ファイル名は「Photos.app」、「イメージキャプチャ」の対象実行ファイル名は「PTPCamera.app」を指定してください。
  • 内蔵ブルーレイドライブには対応していません。

  • 以下の条件を両方とも満たす場合、対象デバイスへのFinderを使用した書き込みは禁止されますが、端末にポリシー違反時のメッセージは表示されません。また、操作ログも取得されません。

    • [デバイス種別指定]で、USB-リムーバブルメディアまたはその他リムーバブルメディアに[読み込みのみ許可]ポリシーが設定されている
    • [ログ環境設定]の[ファイルアクセス除外]で、[監視するアプリケーション]の一覧から「Finder」、「DesktopServicesH」、「Locum」が削除されている、または[監視しないアプリケーション]の一覧に「Finder」、「DesktopServicesH」、「Locum」が追加されている
  • CD/DVDドライブまたはUSB-CD/DVDドライブにブランクメディアを挿入した場合、ポリシーのチェックは挿入時にのみ行われます。

  • CD/DVDドライブまたはUSB-CD/DVDドライブに挿入するメディアの状態により、ポリシー設定時の動作は異なります。

    ポリシー種別 操作/機能 動作
    書き込み済みメディア※1,※2 ブランクメディア※3、ファイナライズされていないメディア※4
    [読み込みのみ許可]ポリシー メディアの使用 使用できます ドライブから排出されます※5,※6
    禁止メッセージ 表示されません
    操作ログ 挿入時のみ出力されます 出力されません
    リアルタイムログ 出力されません
    [禁止]ポリシー メディアの使用 ドライブから排出されます※5
    禁止メッセージ 表示されます 表示されません
    操作ログ 出力されます 出力されません
    リアルタイムログ 出力されます 出力されません
    [警告]ポリシー メディアの使用 使用できます
    警告メッセージ 表示されません
    操作ログ 挿入時のみ出力されます 出力されません
    リアルタイムログ 出力されません
    ※1Windowsで追記可能な状態のメディアでも、MacのOS標準機能で追記できない場合は、書き込み済みメディアとして認識されます(DVD-Rなど)。 ※2MacのOS標準機能で追記可能状態にしたCD-R(W)メディアは、書き込み済みメディアとして認識されます。 ※3一度もデータが書き込まれていないCD-R(W)、DVD-R(W)、BD-R(E)などのメディアがブランクメディアとして認識されます。 ※4データが書き込まれ、ファイナライズされていないCD-RやDVD-Rメディアは、ブランクメディアと同様に動作します。 ※5ドライブを制御する特殊なアプリケーションが導入されている場合、メディアが排出されないことがあります。 ※6MacのOS標準機能以外(ライティングソフトなど)で作成された、特殊なフォーマットの追記可能なメディアは、排出されない場合があります。
  • CD/DVDドライブまたはUSB-CD/DVDドライブにブランクメディアを挿入した場合、ポリシーのチェックは挿入時にのみ行われます。

04.印刷の制限事項

  • RAWプリンターの場合、印刷を禁止できないことがあります。
  • ポリシーで禁止された印刷は、「部数」および「枚数」が「0」としてログに記録されます。

Mac端末の場合

上記に加えて、以下の制限があります。

  • 禁止のポリシーは、操作ログとリアルタイム ログには操作を禁止したように表示されますが、実際には操作は禁止 されません(メッセージも表示されません)。
    情報、警告、および許可のポリシーは、Windows 端末と同様に使用できます。

05.Web アクセスの制限事項

  • [すべてのWebアクセス]に[禁止]または[閲覧のみ許可]を指定すると、WindowsUpdateなどの重要な処理も禁止されます。その場合は、次の条件で許可するポリシーを登録してください。

    • 対象URL:microsoft.co.jp
    • 一致条件:部分一致
    • アクション:許可
  • IPアドレスをURLに指定したWebアクセス(HTTP/HTTPS)を制御する場合は、監視条件でもIPアドレスを指定する必要があります。
  • [閲覧のみ許可]のポリシーは、POSTリクエストの送信を遮断する(送信を失敗させる)動作となります。

  • 以下のWebアクセスは[閲覧のみ許可]のポリシーで制御できません。

    • ローカルプロキシによる通信監視が無効の場合の、HTTPSでの書込みやアップロード
    • Dropbox、Box、Final Document、OneDrive、OneDrive365、Googleドライブへのファイルアップロード
  • HTTPプロトコルによる[閲覧のみ許可]ポリシーで制御したい場合は、弊社サポートまでお問い合わせください。
  • JavaScriptにより動的にタイトル変更しているページへアクセスは、[タイトル部分一致]の監視条件のポリシーで正しく制御できない場合があります。

  • MaLionのブラウザー拡張が無効、またはインストールされていないWebブラウザーを使用している場合は、次のポリシー制御ができません。

    • HTTPSのWebアクセス
    • [タイトル部分一致]でのポリシー制御(ウィンドウタイトルが取得できないため)。
  • 端末側で表示されるメッセージは、Webブラウザー内に表示される場合、ダイアログで表示される場合、またはその両方が表示される場合があります。

  • Google Chromeを使用した以下のWebページへのアクセスは、ポリシー制御できません。

    • Googleアカウントにログインしていない状態でGoogleChromeを起動したときのページ
    • Chrome ウェブストア
  • Windowsストアアプリは、ポリシー制御に対応していません。
  • ローカルプロキシによる通信監視を行っている場合、Webアクセスの禁止ポリシー設定時に、[URL部分一致]の条件としてホスト名のみ(例:「www.example.com」)を指定すると、検索サイトなどのリンクから該当するサイトにアクセスした際、Webブラウザー内にアクセス禁止のメッセージが表示されないことがあります。なおその場合でも、Webアクセスの禁止制御および操作ログの取得は正常に動作します。

Mac端末の場合(Webアクセス)

上記に加えて、以下の制限があります。

  • 監視対象が[HTTP/HTTPS]の場合、MaLionのブラウザー拡張が無効、またはインストールされていない Webブラウザーでは、[タイトル部分一致]でのポリシー制御はできません。
  • Mac端末の場合、FTP アクセスの制御に対応していません。
  • Safari、Google ChromeまたはMozilla Firefoxで禁止ポリシーの対象になるWebアクセスをした場合、操作ログの[ウィンドウタイトル]が取得できません(その他のブラウザーの場合はポリシーに関係なく[ウィンドウタイトル]が取得できません)。
  • HTTPSのWebアクセスは、MaLionのブラウザー拡張が無効、またはインストールされないWebブラウザーを使用していて、ローカルプロキシによる通信監視も無効な場合、ポリシー制御できません。
  • [閲覧のみ許可]ポリシーは、ブラウザー拡張が無効なブラウザーでのHTTPアクセスまたはローカルプロキシを有効にした場合のHTTP/HTTPSアクセスのみ制御できます。ただし、ブラウザー拡張が有効なGoogle ChromeまたはMozilla Firefoxの場合、アクセスしたタイミングによっては一時的に[閲覧のみ許可]ポリシーが動作することがあります。
  • Google ChromeまたはMozilla Firefoxで、ポリシーで禁止されたWebページにアクセスした後、ポリシーの変更によってアクセスが許可された場合、アクセスが禁止されたままになることがあります。その場合は、いったん別のタブやウィンドウに切り替えて他のWebページを表示すると、正常にアクセスできるようになります。
  • アンチウイルスソフトウェアがWebアクセスの監視を行っている場合、MaLionでWebアクセスの監視ができないことがあります。
  • Google Chromeでは、端末を起動して最初にHTTPアクセスしたWebページがポリシーで禁止されていた場合、ポリシー違反のダイアログが表示されます。Webブラウザーには禁止画面が表示されません。この場合でも、Webアクセスは正常に遮断されます。

06.送信メールの制限事項

  • [SSL通信時の条件を指定する]のポリシーは、Windows端末の場合、送信メールログの[タイトル]に「暗号化されたメールを送信しました」と記録されるSSLメール(Outlook 2007以降以外で送信したSSLメール)が制御の対象となります。
  • Webブラウザーを使用して送信されたメールは、ポリシー制御できません。

Mac端末の場合(送信メール)

上記に加えて、以下の制限があります。

  • [SSL 通信時の条件を指定する]のポリシーは、SSL を使用して送信されたメールが制御の対象となります。
  • macOS 12以降の場合、送信メールの制御はできません。
  • Webブラウザーを使用して送信されたメールは、ポリシーで制御できません。

07.アプリケーション起動の制限事項

Windows端末の場合、特に制限はありません。

Mac端末の場合

上記に加えて、以下の制限があります。

  • [対象実行ファイル名]は、操作ログの[実行ファイル名]に表示されるファイル名で登録してください。OSの表示名と操作ログのファイル名が異なる場合、OSの表示名では監視できません。
    例:OSの表示名が「チェス.app」、操作ログの表示が「Chess.app」の場合、「Chess.app」で登録する必要があります。
  • ポリシー適用時にアプリケーションが起動中だった場合、禁止ポリシーはアプリケーションが一度終了してから動作します。

08.ログオンの制限事項

[禁止(シャットダウン)]ポリシーについて

  • 強制シャットダウンの警告メッセージを表示後、シャットダウンが実行される前にポリシー設定を変更した場合は、変更後のポリシーが優先されます。

  • 強制シャットダウンの警告メッセージを表示後にシャットダウンまでの時間を変更した場合、シャットダウンが実行されるのは、端末がポリシー設定の変更を検知した時点から指定した時間経過後になります。

    【例】[禁止(シャットダウン)]ポリシーの適用時間が「17:30~」で、シャットダウンまでの時間が「30分」に設定されていた場合
    1. 端末がポリシーを検知し、17:30に警告メッセージ「18:00にシャットダウン」が表示される。
    2. 管理コンソールから、シャットダウンまでの時間を「60分」に変更する。
    3. 端末が17:50に変更後のポリシーを検知し、同時刻に警告メッセージ「18:50にシャットダウン」が表示される。
    4. 18:50にシャットダウンが実行される。
  • 強制シャットダウンの警告メッセージを表示後、シャットダウンされる時間がポリシー適用時間外、または適用期間外だった場合、シャットダウンは実行されません。
  • 端末に複数のユーザーがログオンしていた場合、強制シャットダウンの警告メッセージは、ポリシー適用対象のユーザーにのみ表示されます。ただし、シャットダウンは端末に対して実行されるため、ログオン中のすべてのユーザーが強制的にシャットダウンされます。
  • 端末の時刻設定を変更していた場合は、端末の時刻を基準として動作します。
  • 警告メッセージは、端末の利用者が端末にログオン中の場合のみ表示されます。
  • 端末が強制シャットダウンされた場合、または警告メッセージの表示後に手動でシャットダウンやログオフをした場合、ポリシーの適用時間内にログオンすると、即座にシャットダウンされます。
  • シャットダウン後、強制シャットダウンのポリシー適用時間内に端末を起動するには、管理者がポリシーを無効にする、または一時的にログオンを許可する必要があります。
  • OSのログオン用パスワードが設定されていない端末に対して、ログオンを禁止するポリシーを適用した場合、管理コンソールでポリシー設定を解除しても端末にログオンできなくなります。

[禁止(シャットダウン)]ポリシーの[延長を許可する]について

  • [禁止(シャットダウン)]ポリシーの[延長を許可する]オプションが端末に適用された場合、延長設定ダイアログを呼び出すため、MaLionのアイコンがタスクバー(Windows)またはメニューバー(Mac)に表示されます。
  • 端末のユーザーが一度の操作で延長できる時間は、シャットダウン予定時刻の180分後までです。
  • ポリシーが適用されてからシャットダウンが実行されるまでに延長できる時間は、[シャットダウンまでの時間]と[最大延長時間]を足した時間になります。
    例:[シャットダウンまでの時間]が「30分」、[最大延長時間]が「120分」に設定されていた場合、ポリシーの適用時間から150分後の時刻まで延長できます。
  • 端末にログオン中のユーザーがシャットダウン予定時刻の延長を行った場合、同じユーザーがポリシーの適用時間内に再ログオンしても、端末は即座にシャットダウンされません(通常のログオン禁止(シャットダウン)ポリシーとは異なります)。シャットダウン予定時刻にシャットダウンされます。
  • 端末がWindowsの場合、一度シャットダウンを延長した後に再ログオンすると、即座に延長設定ダイアログが表示されます。

  • 端末を複数のユーザーが使用している場合、[延長を許可する]のポリシーを適用すると、WindowsとMacで動作が異なります。例えば、端末を「ユーザーA」と「ユーザーB」が使用する場合は、以下のようになります。

    【例】ユーザーA、ユーザーBともに同じポリシーの[延長を許可する]が適用された場合(端末にポリシーを設定した場合)

    Windows ユーザーAとユーザーBの延長時間はそれぞれのユーザーで設定されたものになります。
    Mac ユーザーAとユーザーBの延長時間は共通のものになります。
    【例】ユーザーA、ユーザーBに異なるポリシーの[延長を許可する]が適用された場合(端末のユーザーそれぞれにポリシーを設定した場合)

    Windows ユーザーAとユーザーBの延長時間はそれぞれのユーザーで設定されたものになります。
    Mac 最後にログオンしたユーザーの[延長を許可する]ポリシーが適用されます。

Mac端末の場合(ログオン)

上記に加えて、以下の制限があります。

  • ログオン先は、ローカルドメインで検索されます。[対象ログオン先]はコンピューター名を指定してください。
  • ログオン禁止ポリシーの適用時間中に禁止対象のユーザーがログオンした場合、ログオンしてから数十秒後に禁止ポリシーが適用されます。
  • 端末のスリープ中にログオン禁止ポリシーが適用された場合、操作ログの[防止・禁止]が取得できないことがあります。

09.アクティブ ウィンドウの制限事項

Windows端末の場合、特に制限はありません。

Mac端末の場合(アクティブ ウィンドウ)

上記に加えて、以下の制限があります。

  • 一部のアプリケーションでは、アプリケーション側の仕様によりウィンドウタイトルでの制御ができない場合があります。
    例:Google Chrome、Vivaldi
  • [対象実行ファイル名]は、操作ログの[実行ファイル名]に表示されるファイル名で登録してください。OSの表示名と操作ログのファイル名が異なる場合、OSの表示名では監視できません。
    例:OSの表示名が「チェス.app」、操作ログの表示が「Chess.app」の場合、「Chess.app」で登録する必要があります。

10.無線LANの制限事項

  • ポリシーで禁止に設定された SSID に接続しようとすると、ネットワーク アダプターが無効(Mac 端末の場合は Wi-Fi が切)になり接続が禁止されます。禁止された後に、許可されている別の SSID に接続したいときや、禁止されたSSID のポリシーを許可に変更したときは、端末側のデバイス マネージャーでネットワーク アダプターを有効(Mac端末の場合は Wi-Fi を入)にする必要があります。

Mac端末の場合(無線 LAN)

上記に加えて、以下の制限があります。

  • macOS 15の場合、すべてのユーザーがログオフしているときは無線LAN情報が収集できません。また、禁止の表示やログは出力されますが、通信の禁止はできません。
  • Apple社製以外の内蔵アダプターと、すべての外付けのアダプターには対応していません。

11.クリップボード

Windows端末の場合、特に制限はありません。

Mac端末の場合(クリップボード)

上記に加えて、以下の制限があります。

  • [対称操作]で[貼り付け]を選択し、コピー元と貼り付け先の対象実行ファイル名が同じ場合は、制御できないことがあります。

12.その他の制限事項

[PrintScreenキー]について

  • [Print Screen]キーで記録した情報を自動的に保存するソフトウェアを使用している場合、禁止設定を行っても、禁止できず画像が保存される場合があります。

  • 禁止設定をしても、画面を撮影または録画するアプリケーションによるスクリーンショットは禁止できません。

    メモ

    画面を撮影または録画するアプリケーションによるスクリーンショットを禁止したい場合は、各アプリケーションの起動を禁止してください。

    (例)Windows に標準でインストールされているアプリケーション
    • Game Bar(GameBar.exe)
    • [Windows]+[Shift]+[S]キーで起動する切り取りツール(ScreenClippingHost.exe)
    • 切り取り& スケッチ(ScreenSketch.exe)
    • Snipping Tool(SnippingTool.exe)
  • [Print Screen]キーを押し続ける、または連打すると、キーボード入力の動作が遅くなることがあります。
  • 禁止ポリシーが設定されている場合、[Print Screen]キーを押し続ける、または連打すると、禁止ダ イアログが連続して表示されることがあります。

[ローカルプロキシによる通信監視]について

  • OSのプロキシ設定で、プロキシの適用から除外されているホストは監視できません。
  • Dropboxアプリなど、一部のアプリケーションでは、Webサービスを監視対象にすると通信できなくなる場合があります。
  • ローカルプロキシによる通信監視では、Webアクセスログでウィンドウタイトルは取得できません。取得したい場合は、ブラウザー拡張を使用する必要があります。
  • ローカルプロキシによる通信監視では、Gmailのメール送信ログは取得できません。取得したい場合は、ブラウザー拡張を使用する必要があります。
  • 端末がWindowsの場合、OSのプロキシ設定が[設定を自動的に検出する]または[自動構成スクリプトを使用する]に設定されている場合は、ローカルプロキシによる通信監視を使用できません。使用した場合、Webアクセスができなくなります。
  • Mozilla Firefox、Mozilla Thunderbirdなど一部のアプリケーションでは、ローカルプロキシによる通信監視を行う場合、MaLion専用の認証局証明書を追加する必要があります。
  • ローカルプロキシによる通信監視が有効な状態では、サービスやシステムとして起動するプロセスがユーザーのプロキシ設定を使用する場合、最後にログオンしたユーザーのプロキシ設定、または最後に変更したユーザーのプロキシ設定を使用します。
  • ローカルプロキシによる通信監視では、OSのプロキシサーバーの設定をローカルプロキシ用に書き換えます。ローカルプロキシによる通信監視を行っている状態で、端末エージェントをアンインストールするか、ローカルプロキシによる通信監視を無効にすると、通常はOSのプロキシサーバーの設定を自動的に元の状態に戻しますが、想定外の状況により元の状態に戻せなかった場合、Webアクセスができなくなります。この場合は、手動でOSのプロキシサーバーの設定を元に戻してください。

  • ローカルプロキシによる通信監視が有効な状態で以下のいずれかの操作を行うと、Webアクセスができなくなる場合があります。
    この場合は、手動でOSのプロキシサーバーの設定を元に戻してください。

    • OSのプロキシサーバーの設定で、「すべてのプロトコルに同じプロキシサーバーを使用する」の設定を変更する
    • netshコマンドを使用して、WinHTTPのプロキシ設定をOSのプロキシサーバーの設定と同じ値にする

[リモートロック]について

  • セーフモードでログオンした場合、端末のロックはできません。

[セーフモード時の動作]について

  • [セーフモード時の動作]ポリシーを設定した端末がシャットダウンされた場合、次回ログオン時まで端末側のポリシー適用状態は変更されません。
    そのため、ポリシーの適用時間外に端末がシャットダウンされ、次回のログオンがセーフモードでのログオンだった場合、ポリシーの適用時間内であってもログオンログは取得できません。
    また、適用時間内に端末がシャットダウンされ、次回のログオンがセーフモードでのログオンだった場合、適用時間外であってもログオンログが取得されます。

[Chromeシークレットモード]について

  • Google Chromeのシークレットモードを使用したタブでは、ブラウザー拡張が動作しません。そのため、HTTPおよびHTTPSのWebアクセスログの取得とポリシー制御、HTTPSのWebアップロードログの取得ができなくなります。

[テザリング]について

  • ポリシーでモバイルホットスポットやSoftAPの機能を制限している場合、端末側でOSの設定から機能を有効化することはできますが、短時間で無効化されます。
  • ポリシーによってモバイルホットスポットやSoftAPの機能が無効化された場合、リアルタイムログの出力やユーザーへの通知は行われません。

Mac端末の場合(その他)

Mac端末の場合、以下の制限があります。

  • 以下のポリシーには対応していません。

    • プログラムと機能
    • ネットワーク ドライブの割り当て
    • 日付と時間の同期
    • セーフモード時の動作
    • Chromeシークレットモード
    • 近距離共有の制御X
    • テザリング

[PrintScreenキー]について

  • [対象ウィンドウタイトル]は指定できません。
  • デスクトップにファイル保存されるスクリーンキャプチャの操作が禁止ポリシー([リアルタイムログに出力]有効)によって禁止された場合、リアルタイムログにのみログが出力されます。
  • スクリーンキャプチャの操作を完全に防止するには、「アプリケーション起動」の防止・禁止ポリシーで「screencaptureui.app」の起動を禁止する必要があります。

[ローカルプロキシによる通信監視]について

  • 通信監視の開始または停止は、次回端末起動時に有効になります。
  • ローカルプロキシの起動時と、ネットワークサービス名(「Ethernet」や「Wi-Fi」など)が異なる場合、プロキシ設定を元の状態に戻すことができません。
  • Webアップロードログは取得できません。
  • 端末が接続するプロキシの設定を変更した場合は、端末を再起動する必要があります。

[リモートロック]について

  • セーフモードでログオンした場合、端末のロックはできません。
  • OS標準の「画面共有」機能など、リモートからマウスやキーボードを操作する場合、リモートロック機能では制御できません。
  • sshによるリモートログオンを防止することはできません。

[AirDropの制御]について

  • macOS 11以降でAirDropを完全に禁止するには、「アプリケーション起動」の防止・禁止ポリシーで「AirDrop.appex」の起動を禁止する必要があります。

[macOS 自動メジャーアップデート]について

  • 対象の Mac 端末が、以下の状態になっている必要があります。

    • MaLion の機能拡張「MarEPS」にフルディスクアクセスの権限が付与されている
      権限の設定については、「インストール:インストール後の設定(Mac)」を参照してください。
    • ログ収集の設定で、ファイル アクセス監視が「開始」または「開始(違反)」の状態になっている
      ログ収集の設定については、「ログやインベントリ収集の開始/停止とは」を参照してください。

  • この機能で禁止できるのは、macOS 11以降のシステム環境設定を利用したアップデートのうち、macOSのインストーラアプリケーションを起動せずに実行されるアップデートのみです。
    この機能で禁止しても、システム環境設定からアップデートを行うと、インストーラアプリケーションが起動してメジャーアップデートが実行される場合があります。
    そのため、macOSのメジャーアップデートを完全に禁止するには、以下の2つの設定が必要です。

    • 「その他」ポリシーで、「macOS 自動メジャーアップデート」を禁止する
    • 「アプリケーション起動」ポリシーで、macOS のインストーラアプリケーションの起動を禁止する
      アプリケーション起動の防止・禁止については、「防止・禁止 – アプリケーション起動とは」を参照してください。

[スクリーン セーバー]について

  • Mac端末の場合は、端末側で設定した待ち時間とポリシーで指定した待ち時間の、どちらか早いほうでスクリーンセーバーが起動します(OSの設定が上書きされません)。

13.送信メールの宛先確認の制限事項

  • WebブラウザーでGmailを使用して送信されたメールは、送信メールの宛先確認の設定の対象であっても、確認メッセージは表示されません。

Mac端末の場合(送信メールの宛先確認)

上記に加えて、以下の制限があります。

  • macOS 12以降の場合、送信メールの宛先確認の設定の対象であっても、確認のメッセージは表示されません。
▲