制限事項

Mac端末の防止・禁止について

注意
  • [防止・禁止]による制御(「その他」ポリシーを除く)は、MaLionがログ収集できる操作が監視対象となります。操作ログが取得されない操作は制御できません。
  • 操作ログの収集における制限については、「ログの制限事項」および「Mac端末のログ収集について」を参照してください。
表の「収集の制限」の記号の説明
  • 【○】Windows端末と同様に使用できる機能です。
  • 【△】Windows端末と比較して、Mac端末では一部が使用できる、または条件付きで使用できる機能です。
  • 【-】Mac端末では使用できない機能です。

ファイルアクセス

監視対象 使用の制限 制限の詳細
対象ファイルパス 禁止のポリシーは、操作ログとリアルタイムログには操作を禁止したように表示されますが、実際には操作は禁止されません(メッセージも表示されません)。
情報、警告、および許可のポリシーは、Windows端末と同様に使用できます。

デバイス操作

監視対象 使用の制限 制限の詳細
デバイス個別
  • デバイスインスタンスIDの値が、Windowsと異なります。
  • デバイス個別での制御は、USB-リムーバブルメディアのみ対応しています。
  • USB-リムーバブルメディアのデバイスインスタンスIDとして、シリアル番号の一部を指定してポリシー制御を行うことはできません。
デバイス種別 フロッピードライブのポリシー制御はできません。
  • 使用を禁止したデバイスを接続したままにすると、使用禁止メッセージの表示や、操作ログとリアルタイムログの記録が複数回行われることがあります。
  • iOSデバイスおよびBluetoothデバイスは、[読み込みのみ許可]ポリシーに対応していません。
  • USB-リムーバブルメディアまたはその他リムーバブルメディアの[読み込みのみ許可]ポリシーによる制御を行う場合は、端末の[ログやインベントリ収集の開始/停止]タブでファイルアクセス監視が開始されている必要があります。
  • Mac端末に接続されたiOSデバイスに禁止ポリシーを適用した場合、接続ケーブルによっては充電できないことがあります。純正ケーブル(Dockコネクタ、Lightning)では充電できることを確認しています。
  • macOS 10.12~macOS 10.14では、禁止ポリシーを有効から無効に変更した場合、iTunesを再起動するまでiOSデバイスがiTunesに認識されません。
  • Mac標準の「写真」または「イメージキャプチャ」でのiOSデバイス操作を禁止したい場合、MaLionのアプリケーション起動禁止ポリシーを使用して禁止する必要があります。
    「写真」の対象実行ファイル名は「Photos.app」、「イメージキャプチャ」の対象実行ファイル名は「PTPCamera.app」を指定してください。
  • 内蔵ブルーレイドライブには対応していません。
  • 以下の条件を両方とも満たす場合、対象デバイスへのFinderを使用した書き込みは禁止されますが、端末にポリシー違反時のメッセージは表示されません。また、操作ログも取得されません。

    • [デバイス種別指定]で、USB-リムーバブルメディアまたはその他リムーバブルメディアに[読み込みのみ許可]ポリシーが設定されている
    • [ログ環境設定]の[ファイルアクセス除外]で、[監視するアプリケーション]の一覧から「Finder」、「DesktopServicesH」、「Locum」が削除されている、または[監視しないアプリケーション]の一覧に「Finder」、「DesktopServicesH」、「Locum」が追加されている
  • CD/DVDドライブまたはUSB-CD/DVDドライブに挿入するメディアの状態により、ポリシー設定時の動作は異なります。

    ポリシー種別 操作/機能 動作
    書き込み済みメディア※1,※2 ブランクメディア※3、ファイナライズされていないメディア※4
    [読み込みのみ許可]ポリシー メディアの使用 使用できます ドライブから排出されます※5,※6
    禁止メッセージ 表示されません
    操作ログ 挿入時のみ出力されます 出力されません
    リアルタイムログ 出力されません
    [禁止]ポリシー メディアの使用 ドライブから排出されます※5
    禁止メッセージ 表示されます 表示されません
    操作ログ 出力されます 出力されません
    リアルタイムログ 出力されます 出力されません
    [警告]ポリシー メディアの使用 使用できます
    警告メッセージ 表示されません
    操作ログ 挿入時のみ出力されます 出力されません
    リアルタイムログ 出力されません
    ※1Windowsで追記可能な状態のメディアでも、MacのOS標準機能で追記できない場合は、書き込み済みメディアとして認識されます(DVD-Rなど)。 ※2MacのOS標準機能で追記可能状態にしたCD-R(W)メディアは、書き込み済みメディアとして認識されます。 ※3一度もデータが書き込まれていないCD-R(W)、DVD-R(W)、BD-R(E)などのメディアがブランクメディアとして認識されます。 ※4データが書き込まれ、ファイナライズされていないCD-RやDVD-Rメディアは、ブランクメディアと同様に動作します。 ※5ドライブを制御する特殊なアプリケーションが導入されている場合、メディアが排出されないことがあります。 ※6MacのOS標準機能以外(ライティングソフトなど)で作成された、特殊なフォーマットの追記可能なメディアは、排出されない場合があります。
  • CD/DVDドライブまたはUSB-CD/DVDドライブにブランクメディアを挿入した場合、ポリシーのチェックは挿入時にのみ行われます。

印刷

監視対象 使用の制限 制限の詳細
すべての印刷 禁止のポリシーは、操作ログとリアルタイムログには操作を禁止したように表示されますが、実際には操作は禁止されません(メッセージも表示されません)。情報、警告、および許可のポリシーは、Windows端末と同様に使用できます。
ドキュメント名

Webアクセス

監視対象 使用の制限 制限の詳細
すべてのWebアクセス  
HTTP/HTTPS MaLionのブラウザー拡張が無効、またはインストールされていないWebブラウザーでは、[タイトル部分一致]でのポリシー制御はできません。
FTP  
カテゴリ  
  • Safari、Google ChromeまたはMozilla Firefoxで禁止ポリシーの対象になるWebアクセスをした場合、操作ログの[ウィンドウタイトル]が取得できません(その他のブラウザーの場合はポリシーに関係なく[ウィンドウタイトル]が取得できません)。
  • HTTPSのWebアクセスは、MaLionのブラウザー拡張が無効、またはインストールされないWebブラウザーを使用していて、ローカルプロキシによる通信監視も無効な場合、ポリシー制御できません。
  • [閲覧のみ許可]ポリシーは、ブラウザー拡張が無効なブラウザーでのHTTPアクセスまたはローカルプロキシを有効にした場合のHTTP/HTTPSアクセスのみ制御できます。ただし、ブラウザー拡張が有効なGoogle ChromeまたはMozilla Firefoxの場合、アクセスしたタイミングによっては一時的に[閲覧のみ許可]ポリシーが動作することがあります。
  • Google ChromeまたはMozilla Firefoxで、ポリシーで禁止されたWebページにアクセスした後、ポリシーの変更によってアクセスが許可された場合、アクセスが禁止されたままになることがあります。その場合は、いったん別のタブやウィンドウに切り替えて他のWebページを表示すると、正常にアクセスできるようになります。
  • アンチウイルスソフトウェアがWebアクセスの監視を行っている場合、MaLionでWebアクセスの監視ができないことがあります。
  • Google Chromeでは、端末を起動して最初にHTTPアクセスしたWebページがポリシーで禁止されていた場合、ポリシー違反のダイアログが表示されます。Webブラウザーには禁止画面が表示されません。この場合でも、Webアクセスは正常に遮断されます。

送信メール

監視条件 使用の制限 制限の詳細
すべてのメール  
SSL通信時の条件を指定する SSLを使用して送信されたメールが制御の対象となります。
宛先  
添付ファイル  
  • macOS 12以降の場合、送信メールの制御はできません。
  • WebブラウザーでGmail を使用して送信されたメールは、ポリシーで制御できません。

アプリケーション起動

監視条件 使用の制限 制限の詳細
対象実行ファイル名 操作ログの[実行ファイル名]に表示されるファイル名で登録してください。OSの表示名と操作ログのファイル名が異なる場合、OSの表示名では監視できません。
例:OSの表示名が「チェス.app」、操作ログの表示が「Chess.app」の場合、「Chess.app」で登録する必要があります
  • ポリシー適用時にアプリケーションが起動中だった場合、禁止ポリシーはアプリケーションが一度終了してから動作します。

ログオン

監視条件 使用の制限 制限の詳細
すべてのログオン  
対象ログオン先 ログオン先は、ローカルドメインで検索されます。[対象ログオン先]はコンピューター名を指定してください。
対象ユーザー名  
  • ログオン禁止ポリシーの適用時間中に禁止対象のユーザーがログオンした場合、ログオンしてから数十秒後に禁止ポリシーが適用されます。
  • 端末のスリープ中にログオン禁止ポリシーが適用された場合、操作ログの[防止・禁止]が取得できないことがあります。

アクティブ ウィンドウ

監視条件 使用の制限 制限の詳細
ウィンドウタイトル 一部のアプリケーションでは、アプリケーション側の仕様によりウィンドウタイトルでの制御ができない場合があります。
例:Google Chrome、Vivaldi
対象実行ファイル名 操作ログの[実行ファイル名]に表示されるファイル名で登録してください。OSの表示名と操作ログのファイル名が異なる場合、OSの表示名では監視できません。
例:OS の表示名が「チェス.app」、操作ログの表示が「Chess.app」の場合、「Chess.app」で登録する必要があります。

無線LAN

監視条件 使用の制限 制限の詳細
SSID macOS 15では、すべてのユーザーがログオフ時は無線LAN情報が収集できません。
また、禁止の表示やログは出力されますが、通信の禁止はできません。

Apple社製以外の内蔵アダプターと、すべての外付けのアダプターには対応していません。

クリップボード

監視条件 使用の制限 制限の詳細
貼り付け コピー元と貼り付け先の対象実行ファイル名が同じ場合は、制御できないことがあります。

その他

監視条件 使用の制限 制限の詳細
プログラムと機能  
インターネットオプション  
システム  
ネットワークドライブの割り当て  
ネットワーク接続  
ハードウェアの追加  
ディスプレイと個人設定  
PrintScreenキー
  • [対象ウィンドウタイトル]は指定できません。
  • デスクトップにファイル保存されるスクリーンキャプチャの操作が禁止ポリシー([リアルタイムログに出力]有効)によって禁止された場合、リアルタイムログにのみログが出力されます。
  • macOS 10.14以降でスクリーンキャプチャの操作を完全に防止するには、「アプリケーション起動」の防止・禁止ポリシーで「screencaptureui.app」の起動を禁止する必要があります。
IE拡張保護モード  
ローカルプロキシによる通信監視
  • 通信監視の開始または停止は、次回端末起動時に有効になります。
  • ローカルプロキシの起動時と、ネットワークサービス名(「Ethernet」や「Wi-Fi」など)が異なる場合、プロキシ設定を元の状態に戻すことができません。
  • Webアップロードログは取得できません。
  • 端末が接続するプロキシの設定を変更した場合は、端末を再起動する必要があります。
リモートロック
  • セーフモードでログオンした場合、端末のロックはできません。
  • OS標準の「画面共有」機能など、リモートからマウスやキーボードを操作する場合、リモートロック機能では制御できません。
  • sshによるリモートログインを防止することはできません。
セーフモード時の動作  
Chromeシークレットモード  
AirDropの制御 macOS 11以降でAirDropを完全に禁止するには、「アプリケーション起動」の防止・禁止ポリシーで「AirDrop.appex」の起動を禁止する必要があります。
近距離共有の制御  
Windows 10 アップデート抑止  
テザリング  
macOS 自動メジャーアップデート

この機能で禁止できるのは、macOS 11以降のシステム環境設定を利用したアップデートのうち、macOSのインストーラアプリケーションを起動せずに実行されるアップデートのみです。
この機能で禁止しても、システム環境設定からアップデートを行うと、インストーラアプリケーションが起動してメジャーアップデートが実行される場合があります。

そのため、macOSのメジャーアップデートを完全に禁止するには、以下の2つの設定が必要です。

  • 「その他」ポリシーで、「macOS 自動メジャーアップデート」を禁止する
  • 「アプリケーション起動」ポリシーで、macOS のインストーラアプリケーションの起動を禁止する
スクリーン セーバー Mac端末の場合は、端末側で設定した待ち時間とポリシーで指定した待ち時間の、どちらか早いほうでスクリーン セーバーが起動します。

送信メールの宛先確認

  • macOS12以降の場合、送信メールの宛先確認の設定の対象であっても、確認のメッセージは表示されません。
▲