資料
ダウンロード
制限事項

防止・禁止の制限事項

ポリシーによる防止・禁止の制御には、以下の制限があります。

目次
  1. 防止・禁止共通の制限事項
  2. ファイル アクセスの制限事項
  3. デバイス操作の制限事項
  4. 印刷の制限事項
  5. Web アクセスの制限事項
  6. 送信メールの制限事項
  7. アプリケーション起動の制限事項
  8. ログオンの制限事項
  9. アクティブ ウィンドウの制限事項
  10. 無線 LAN の制限事項
  11. クリップボードの制限事項
  12. その他の制限事項
  13. 送信メールの宛先確認の制限事項

防止・禁止共通の制限事項

  • [防止・禁止]での制御(「その他」ポリシーの一部を除く)は、MaLion がログ収集できる操作が対象となります。操作ログが取得されない操作は制御できません。
  • Windows 端末でシャットダウンや再起動を実行した後、キャンセルしてそのまま使用し続けた場合、一部またはすべてのポリシー制御が動作しなくなることがあります。現象が発生した場合は、端末を再起動してください。

ファイル アクセスの制限事項

  • 名前変更、コピー、移動の操作に対するポリシーは、変更前のファイルパスが対象になります。
  • Windows ポータブルデバイスでのファイル操作がファイル アクセス ポリシーの対象だった場合、以下の動作となります。
    • ポリシーで禁止されている操作をしても、操作は禁止されませんが、端末側でのメッセージは表示されます。
    • 管理コンソールでは、操作ログおよびリアルタイムログにポリシー設定のアクションでログが記録されます。
  • Web ブラウザーを使用した Gmail で、メールに添付したファイルが読み込み禁止ポリシーの対象だった場合、以下の動作となります。
    • 端末側でメッセージは表示されますが、読み込み操作自体は禁止されません(ファイルが添付できる)。
    • 管理コンソールでは禁止のファイルアクセスログが記録されます。
  • ごみ箱への移動をポリシーで禁止した場合、「ごみ箱」ではなく「削除」でログに記録されます。
  • フォルダーを別のフォルダー、またはごみ箱へ移動した場合、フォルダー内のファイルの制御はできません。
  • Microsoft Office など、一時ファイルに書き込みを行い、実ファイルには直接書き込みを行わないアプリケーションを使用した場合、実際に動作した通りのログが出力されます。そのため、ファイル名を指定して書き込み禁止ポリシーを設定しても、操作を禁止できない場合があります。

Mac 端末の場合(ファイル アクセス)

上記に加えて、以下の制限があります。

  • 禁止のポリシーは、操作ログとリアルタイム ログには操作を禁止したように表示されますが、実際には操作は禁止されません(メッセージも表示されません)。
    情報、警告、および許可のポリシーは、Windows 端末と同様に使用できます。

デバイス操作の制限事項

  • フロッピードライブや CD/DVD ドライブなどの固定デバイスは、禁止ポリシーを適用すると、端末起動時に毎回対象デバイスの使用を禁止するダイアログが表示されます。ダイアログ表示が不要な場合は、[オプション]メニュー -[システム設定]を開き、[端末エージェント]の[固定デバイス禁止時のメッセージ ダイアログ表示]([SP_DEVICE_DLG])を「1(非表示)」に設定してください。
  • Windows ポータブルデバイスの禁止は、Windows のデバイス マネージャーでデバイスを無効にするため、デバイス マネージャーで認識できないデバイスについては制御できません。
  • ポリシーで禁止されたデバイスを許可に変更した場合、Windows 端末の固定デバイスはコンピューターの再起動後に使用できるようになります。Windows ポータブルデバイス以外のリムーバブル デバイスは再接続後に使用できるようになります。Windows ポータブルデバイスおよび Mac 端末の CD/DVD ドライブは、ポリシーが適用されると使用できるようになります。
  • Windows ポータブルデバイスに対して禁止のポリシーが適用されている端末で、USB リムーバブルメディアとWindows ポータブルデバイスの 2 つとして認識されるデバイス(USB メモリなど)が接続されたときは、以下の動作となります。
    • USB リムーバブルメディアとして通常どおり使用できます。
    • Windows の右クリックメニュー[Windows ポータブルデバイスとして開く]は表示されません(Windows ポータブルデバイスとしての使用は禁止されます)。
    • デバイス接続時、Windows ポータブルデバイスとしての使用を禁止するメッセージは表示されません。
    • 接続時のログはそれぞれのデバイスとして 2 行記録され、Windows ポータブルデバイスのログは禁止(赤字)で記録されますが、リアルタイムログは出力されません。
  • Windows に接続された iOS デバイスに、USB-リムーバブルメディアまたは Windows ポータブルデバイスとして禁止ポリシーを適用すると、接続するケーブルによっては充電できないことがあります。
  • ファイルアーカイブ対象のファイル名に以下の文字が含まれている場合、操作ログ画面からファイルを保存できません。
    • ‘ (全角のアポストロフィー)
    • ‘(シングルクォーテーション)

【[読み込みのみ許可]ポリシーについて】

  • [読み込みのみ許可]は、[デバイス個別指定]での設定はできません。
  • [読み込みのみ許可]は、「デバイス監視」機能だけでなく「ファイル アクセス監視」機能によっても制御されています。そのため「ファイル アクセス監視」が停止している場合は、[読み込みのみ許可]のポリシーは機能しません。
    また、書き込み操作が発生した場合は、「ファイル アクセス」の操作ログ(設定によってはリアルタイムログも含む)に赤字(禁止)でログが記録され、操作が禁止されます(CD/DVD ドライブ、USB-CD/DVD ドライブ、Windows ポータブルデバイスを除く)。
  • CD/DVD ドライブ、USB-CD/DVD ドライブ、Windows ポータブルデバイスへの[読み込みのみ許可]は、OS が提供している書き込み機能自体を無効することで書き込みを禁止します。書き込み操作を MaLion で取得できないため、書き込み操作はログに記録されません。また、端末では MaLion からのメッセージは表示されません。
  • 書き込みを実行するアプリケーションが、[ログ環境設定]の[ファイルアクセス除外]に登録されている場合、書き込みを禁止できません。
  • 書き込みを実行したアプリケーションによって、中身が空のファイルが作成されてしまう場合があります。
  • CD/DVD ドライブ、USB-CD/DVD ドライブに対して[読み込みのみ許可]ポリシーを適用しても、ライティングソフトを使用した書き込みは禁止できません。ライティングソフトによる書き込みを禁止したい場合は、ライティングソフトの起動を禁止することで対応できます。
  • CD/DVD ドライブまたは USB-CD/DVD ドライブに対して[読み込みのみ許可]を適用した場合、固定ドライブと USB 接続の区別なく、すべての CD/DVD ドライブが書き込み禁止になります。また、個別 ID によって USB-CD/DVD ドライブにポリシーを設定していても、優先されません。
  • CD/DVD ドライブまたは USB-CD/DVD ドライブに対して[読み込みのみ許可]ポリシーを適用しても、アプリケーションからファイルの保存先を指定して UDF フォーマットのメディアに書き込みをした場合は、制御できません。
  • Windows ポータブルデバイスの[読み込みのみ許可]の設定および解除は、端末の再起動後に有効になります。
  • Windows ポータブルデバイスの[読み込みのみ許可]は、デバイス個別ポリシーの[許可]より優先して動作します。
  • Windows に接続された USB メモリ(USB リムーバブルメディアと Windows ポータブルデバイス 2 つとして認識されるデバイス)を[読み込みのみ許可]にしても、Windows の右クリックメニュー[Windows ポータブルデバイスとして開く]からのファイル操作は禁止できません。
    この操作も禁止したい場合は、次の 2 つの方法があります。
    • USB-リムーバブルメディアは[読み込みのみ許可]に設定し、Windows ポータブルデバイスは[禁止]に設定する。Windows ポータブルデバイスとしてだけ認識される Android などを禁止したくない場合は、個別で[許可]を設定する。
    • USB-リムーバブルメディアと Windows ポータブルデバイスの両方とも[読み込みのみ許可]に設定する。
      ※この方法の場合、デバイス個別ポリシーの[許可]より優先されるため、特定の Windows ポータブル デバイスを個別に許可することができません。
  • Bluetooth デバイスは、[読み込みのみ許可]ポリシーに対応していません。

Mac 端末の場合(デバイス操作)

上記に加えて、以下の制限があります。

  • デバイス インスタンス ID の値が、Windows と異なります。
  • デバイス個別での制御は、USB-リムーバブルメディアのみ対応しています。
  • USB-リムーバブルメディアのデバイス インスタンス ID として、シリアル番号の一部を指定してポリシー制御を行うことはできません。
  • デバイス種別での制御で、フロッピードライブのポリシー制御はできません。
  • 使用を禁止したデバイスを接続したままにすると、使用禁止メッセージの表示や、操作ログとリアルタイムログの記録が複数回行われることがあります。
  • iOS デバイスおよび Bluetooth デバイスは、[読み込みのみ許可]ポリシーに対応していません。
  • USB-リムーバブルメディアまたはその他リムーバブルメディアの[読み込みのみ許可]ポリシーによる制御を行う場合は、端末の[ログやインベントリ収集の開始/停止]タブでファイル アクセス監視が開始されている必要があります。
  • Mac 端末に接続された iOS デバイスに禁止ポリシーを適用した場合、接続ケーブルによっては充電できないことがあります。純正ケーブル(Dock コネクタ、Lightning)では充電できることを確認しています。
  • Mac 標準の「写真」または「イメージキャプチャ」でのiOS デバイス操作を禁止したい場合、MaLionのアプリケーション起動禁止ポリシーを使用して禁止する必要があります。
    「写真」の対象実行ファイル名は「Photos.app」、「イメージキャプチャ」の対象実行ファイル名は「PTPCamera.app」を指定してください。
  • 内蔵ブルーレイドライブには対応していません。
  • 以下の条件を両方とも満たす場合、対象デバイスへの Finder を使用した書き込みは禁止されますが、端末にポリシー違反時のメッセージは表示されません。また、操作ログも取得されません。
    • [デバイス種別指定]で、USB-リムーバブルメディアまたはその他リムーバブルメディアに[読み込みのみ許可]ポリシーが設定されている
    • [ログ環境設定]の[ファイルアクセス除外]で、[監視するアプリケーション]の一覧から「Finder」、「DesktopServicesH」、「Locum」が削除されている、または[監視しないアプリケーション]の一覧に「Finder」、「DesktopServicesH」、「Locum」が追加されている
  • CD/DVD ドライブまたは USB-CD/DVD ドライブにブランクメディアを挿入した場合、ポリシーのチェックは挿入時にのみ行われます。
  • CD/DVD ドライブまたは USB-CD/DVD ドライブに挿入するメディアの状態により、ポリシー設定時の動作は異なります。
ポリシー種別 操作/機能 動作
書き込み済みメディア※1※2 ブランクメディア※3、ファイナライズされていないメディア※4
[読み込みのみ許可]ポリシー メディアの使用 使用できます ドライブから排出されます※5※6
禁止メッセージ 表示されません
操作ログ 挿入時のみ出力されます 出力されません
リアルタイム ログ 出力されません
[禁止]ポリシー メディアの使用 ドライブから排出されます※5
禁止メッセージ 表示されます 表示されません
操作ログ 出力されます 出力されません
リアルタイム ログ 出力されます 出力されません
[警告]ポリシー メディアの使用 使用できます
警告メッセージ 表示されません
操作ログ 挿入時のみ出力されます 出力されません
リアルタイム ログ 出力されません

※1 Windows で追記可能な状態のメディアでも、Mac の OS 標準機能で追記できない場合は、書き込み済みメディアとして認識されます(DVD-R など)。
※2 Mac の OS 標準機能で追記可能状態にした CD-R(W)メディアは、書き込み済みメディアとして認識されます。
※3 一度もデータが書き込まれていない CD-R(W)、DVD-R(W)、BD-R(E)などのメディアがブランクメディアとして認識されます。
※4 データが書き込まれ、ファイナライズされていない CD-RやDVD-R メディアは、ブランクメディアと同様に動作します。
※5 ドライブを制御する特殊なアプリケーションが導入されている場合、メディアが排出されないことがあります。
※6 Mac の OS 標準機能以外(ライティングソフトなど)で作成された、特殊なフォーマットの追記可能なメディアは、排出されない場合があります。

印刷の制限事項

  • RAW プリンターの場合、印刷を禁止できないことがあります。
  • ポリシーで禁止された印刷は、「部数」および「枚数」が「0」としてログに記録されます。

Mac 端末の場合(印刷)

上記に加えて、以下の制限があります。

  • 禁止のポリシーは、操作ログとリアルタイム ログには操作を禁止したように表示されますが、実際には操作は禁止されません(メッセージも表示されません)。
    情報、警告、および許可のポリシーは、Windows 端末と同様に使用できます。

Web アクセスの制限事項

  • [すべての Web アクセス]に[禁止]または[閲覧のみ許可]を指定すると、Windows Update などの重要な処理も禁止されます。その場合は、次の条件で許可するポリシーを登録してください。
    • 対象 URL:microsoft.co.jp
    • 一致条件:部分一致
    • アクション:許可
  • IP アドレスを URL に指定した Web アクセス(HTTP/HTTPS)を制御する場合は、監視条件でも IP アドレスを指定する必要があります。
  • [閲覧のみ許可]のポリシーは、POST リクエストの送信を遮断する(送信を失敗させる)動作となります。
  • 以下の Web アクセスは[閲覧のみ許可]のポリシーで制御できません。
    • ローカルプロキシによる通信監視が無効の場合の、HTTPS での書込みやアップロード
    • Dropbox、Box、Final Document、OneDrive、OneDrive365、Googleドライブへのファイル アップロード
  • HTTP プロトコルによる[閲覧のみ許可]ポリシーで制御したい場合は、弊社サポートまでお問い合わせください。
  • JavaScript により動的にタイトル変更しているページへアクセスは、[タイトル部分一致]の監視条件のポリシーで正しく制御できない場合があります。
  • MaLion のブラウザー拡張が無効、またはインストールされていない Web ブラウザーを使用している場合は、次のポリシー制御ができません。
    • HTTPS の Web アクセス
    • [タイトル部分一致]でのポリシー制御(ウィンドウタイトルが取得できないため)。
  • 端末側で表示されるメッセージは、Web ブラウザー内に表示される場合、ダイアログで表示される場合、またはその両方が表示される場合があります。
  • Google Chrome を使用した以下の Web ページへのアクセスは、ポリシー制御できません。
    • Google アカウントにログインしていない状態で Google Chrome を起動したときのページ
    • Chrome ウェブストア
  • Windows ストアアプリは、ポリシー制御に対応していません。
  • ローカルプロキシによる通信監視を行っている場合、Web アクセスの禁止ポリシー設定時に、[URL 部分一致]の条件としてホスト名のみ(例:「www.example.com」)を指定すると、検索サイトなどのリンクから該当するサイトにアクセスした際、Web ブラウザー内にアクセス禁止のメッセージが表示されないことがあります。なおその場合でも、Web アクセスの禁止制御および操作ログの取得は正常に動作します。

Mac 端末の場合(Web アクセス)

上記に加えて、以下の制限があります。

  • 監視対象が[HTTP/HTTPS]の場合、MaLion のブラウザー拡張が無効、またはインストールされていない Web ブラウザーでは、[タイトル部分一致]でのポリシー制御はできません。
  • Mac 端末の場合、FTP アクセスの制御に対応していません。
  • Safari、Google Chrome または Mozilla Firefox で禁止ポリシーの対象になる Web アクセスをした場合、操作ログの[ウィンドウタイトル]が取得できません(その他のブラウザーの場合はポリシーに関係なく[ウィンドウタイトル]が取得できません)。
  • HTTPS の Web アクセスは、MaLion のブラウザー拡張が無効、またはインストールされない Web ブラウザーを使用していて、ローカルプロキシによる通信監視も無効な場合、ポリシー制御できません。
  • [閲覧のみ許可]ポリシーは、ブラウザー拡張が無効なブラウザーでの HTTP アクセスまたはローカルプロキシを有効にした場合の HTTP/HTTPS アクセスのみ制御できます。ただし、ブラウザー拡張が有効な Google Chrome または Mozilla Firefox の場合、アクセスしたタイミングによっては一時的に[閲覧のみ許可]ポリシーが動作することがあります。
  • Google Chrome または Mozilla Firefox で、ポリシーで禁止された Web ページにアクセスした後、ポリシーの変更によってアクセスが許可された場合、アクセスが禁止されたままになることがあります。その場合は、いったん別のタブやウィンドウに切り替えて他の Web ページを表示すると、正常にアクセスできるようになります。
  • アンチウイルス ソフトウェアが Web アクセスの監視を行っている場合、MaLion で Web アクセスの監視ができないことがあります。
  • Google Chrome では、端末を起動して最初に HTTP アクセスした Web ページがポリシーで禁止されていた場合、ポリシー違反のダイアログが表示されます。Web ブラウザーには禁止画面が表示されません。この場合でも、Web アクセスは正常に遮断されます。

送信メールの制限事項

  • [SSL 通信時の条件を指定する]のポリシーは、Windows 端末の場合、送信メールログの[タイトル]に「暗号化されたメールを送信しました」と記録される SSL メール(Outlook 2007 以降以外で送信した SSL メール)が制御の対象となります。
  • Web ブラウザーを使用して送信されたメールは、ポリシー制御できません。

Mac 端末の場合(送信メール)

上記に加えて、以下の制限があります。

  • [SSL 通信時の条件を指定する]のポリシーは、SSL を使用して送信されたメールが制御の対象となります。
  • macOS 12 以降の場合、送信メールの制御はできません。
  • Web ブラウザーを使用して送信されたメールは、ポリシーで制御できません。

アプリケーション起動の制限事項

Windows 端末の場合、特に制限はありません。

Mac 端末の場合(アプリケーション起動)

Mac 端末の場合、以下の制限があります。

  • [対象実行ファイル名]は、操作ログの[実行ファイル名]に表示されるファイル名で登録してください。OS の表示名と操作ログのファイル名が異なる場合、OS の表示名では監視できません。
    例:OS の表示名が「チェス.app」、操作ログの表示が「Chess.app」の場合、「Chess.app」で登録する必要があります。
  • ポリシー適用時にアプリケーションが起動中だった場合、禁止ポリシーはアプリケーションが一度終了してから動作します。

ログオンの制限事項

【[禁止(シャットダウン)]ポリシーについて】

  • 強制シャットダウンの警告メッセージを表示後、シャットダウンが実行される前にポリシー設定を変更した場合は、変更後のポリシーが優先されます。
  • 強制シャットダウンの警告メッセージを表示後にシャットダウンまでの時間を変更した場合、シャットダウンが実行されるのは、端末がポリシー設定の変更を検知した時点から指定した時間経過後になります。

例:[禁止(シャットダウン)]ポリシーの適用時間が「17:30〜」で、シャットダウンまでの時間が「30 分」に設定されていた場合

  1. 端末がポリシーを検知し、17:30 に警告メッセージ「18:00 にシャットダウン」が表示される。
  2. 管理コンソールから、シャットダウンまでの時間を「60 分」に変更する。
  3. 端末が 17:50 に変更後のポリシーを検知し、同時刻に警告メッセージ「18:50 にシャットダウン」が表示される。
  4. 18:50 にシャットダウンが実行される。
  • 強制シャットダウンの警告メッセージを表示後、シャットダウンされる時間がポリシー適用時間外、または適用期間外だった場合、シャットダウンは実行されません。
  • 端末に複数のユーザーがログオンしていた場合、強制シャットダウンの警告メッセージは、ポリシー適用対象のユーザーにのみ表示されます。ただし、シャットダウンは端末に対して実行されるため、ログオン中のすべてのユーザーが強制的にシャットダウンされます。
  • 端末の時刻設定を変更していた場合は、端末の時刻を基準として動作します。
  • 警告メッセージは、端末の利用者が端末にログオン中の場合のみ表示されます。
  • 端末が強制シャットダウンされた場合、または警告メッセージの表示後に手動でシャットダウンやログオフをした場合、ポリシーの適用時間内にログオンすると、即座にシャットダウンされます。
  • シャットダウン後、強制シャットダウンのポリシー適用時間内に端末を起動するには、管理者がポリシーを無効にする、または一時的にログオンを許可する必要があります。
  • OS のログオン用パスワードが設定されていない端末に対して、ログオンを禁止するポリシーを適用した場合、管理コンソールでポリシー設定を解除しても端末にログオンできなくなります。

【[禁止(シャットダウン)]ポリシーの[延長を許可する]について】

  • [禁止(シャットダウン)]ポリシーの[延長を許可する]オプションが端末に適用された場合、延長設定ダイアログを呼び出すため、MaLion のアイコンがタスクバー(Windows)またはメニューバー(Mac)に表示されます。
  • 端末のユーザーが一度の操作で延長できる時間は、シャットダウン予定時刻の 180 分後までです。
  • ポリシーが適用されてからシャットダウンが実行されるまでに延長できる時間は、[シャットダウンまでの時間]と[最大延長時間]を足した時間になります。

例:[シャットダウンまでの時間]が「30 分」、[最大延長時間]が「120 分」に設定されていた場合

ポリシー適用時間から 150 分後の時刻まで延長できます。

  • 端末にログオン中のユーザーがシャットダウン予定時刻の延長を行った場合、同じユーザーがポリシーの適用時間内に再ログオンしても、端末は即座にシャットダウンされません(通常のログオン禁止(シャットダウン)ポリシーとは異なります)。シャットダウン予定時刻にシャットダウンされます。
  • 端末がWindowsの場合、一度シャットダウンを延長した後に再ログオンすると、即座に延長設定ダイアログが表示されます。
  • 端末を複数のユーザーが使用している場合、[延長を許可する]のポリシーを適用すると、WindowsとMacで動作が異なります。

例えば、端末を「ユーザー A」と「ユーザー B」が使用する場合は、以下のようになります。

例:ユーザー A、ユーザー B ともに同じポリシーの[延長を許可する]が適用された場合
(端末にポリシーを設定した場合)

OS 動作の説明
Windows ユーザー A とユーザー B の延長時間はそれぞれのユーザーで設定されたものになります。
Mac ユーザー A とユーザー B の延長時間は共通のものになります。

例:ユーザーA、ユーザーBに異なるポリシーの[延長を許可する]が適用された場合
(端末のユーザーそれぞれにポリシーを設定した場合)

OS 動作の説明
Windows ユーザー A とユーザー B の延長時間はそれぞれのユーザーで設定されたものになります。
Mac 最後にログオンしたユーザーの[延長を許可する]ポリシーが適用されます。

Mac 端末の場合(ログオン)

上記に加えて、以下の制限があります。

  • ログオン先は、ローカルドメインで検索されます。[対象ログオン先]はコンピューター名を指定してください。
  • ログオン禁止ポリシーの適用時間中に禁止対象のユーザーがログオンした場合、ログオンしてから数十秒後に禁止ポリシーが適用されます。
  • 端末のスリープ中にログオン禁止ポリシーが適用された場合、操作ログの[防止・禁止]が取得できないことがあります。

アクティブ ウィンドウの制限事項

Windows 端末の場合、特に制限はありません。

Mac 端末の場合(アクティブ ウィンドウ)

Mac 端末の場合、以下の制限があります。

  • 一部のアプリケーションでは、アプリケーション側の仕様によりウィンドウタイトルでの制御ができない場合があります。
    例:Google Chrome、Vivaldi
  • [対象実行ファイル名]は、操作ログの[実行ファイル名]に表示されるファイル名で登録してください。OS の表示名と操作ログのファイル名が異なる場合、OS の表示名では監視できません。
    例:OS の表示名が「チェス.app」、操作ログの表示が「Chess.app」の場合、「Chess.app」で登録する必要があります。

無線 LAN の制限事項

  • ポリシーで禁止に設定された SSID に接続しようとすると、ネットワーク アダプターが無効(Mac 端末の場合は Wi-Fi が切)になり接続が禁止されます。禁止された後に、許可されている別の SSID に接続したいときや、禁止されたSSID のポリシーを許可に変更したときは、端末側のデバイス マネージャーでネットワーク アダプターを有効(Mac 端末の場合は Wi-Fi を入)にする必要があります。

Mac 端末の場合(無線 LAN)

上記に加えて、以下の制限があります。

  • macOS 15 の場合、すべてのユーザーがログオフしているときは無線 LAN 情報が収集できません。また、禁止の表示やログは出力されますが、通信の禁止はできません。
  • Apple社製以外の内蔵アダプターと、すべての外付けのアダプターには対応していません。

クリップボードの制限事項

Windows 端末の場合、特に制限はありません。

Mac 端末の場合(クリップボード)

Mac 端末の場合、以下の制限があります。

  • [対称操作]で[貼り付け]を選択し、コピー元と貼り付け先の対象実行ファイル名が同じ場合は、制御できないことがあります。

その他の制限事項

【[PrintScreen キー]について】

  • [Print Screen]キーで記録した情報を自動的に保存するアプリケーションを使用している場合、禁止設定をしても、禁止できず画像が保存される場合があります。
  • 禁止設定をしても、画面を撮影または録画するアプリケーションによるスクリーンショットは禁止できません。
メモ

画面を撮影または録画するアプリケーションによるスクリーンショットを禁止したい場合は、各アプリケーションの起動を禁止してください。

(例)Windows に標準でインストールされているアプリケーション

  • Game Bar(GameBar.exe)
  • [Windows]+[Shift]+[S]キーで起動する切り取りツール(ScreenClippingHost.exe)
  • 切り取り&スケッチ(ScreenSketch.exe)
  • Snipping Tool(SnippingTool.exe)
  • [Print Screen]キーを押し続ける、または連打すると、キーボード入力の動作が遅くなることがあります。
  • 禁止ポリシーが設定されている場合、[Print Screen]キーを押し続ける、または連打すると、禁止ダイアログが連続して表示されることがあります。

【[ローカルプロキシによる通信監視]について】

  • OS のプロキシ設定で、プロキシの適用から除外されているホストは監視できません。
  • Dropbox アプリなど、一部のアプリケーションでは、Web サービスを監視対象にすると通信できなくなる場合があります。
  • ローカルプロキシによる通信監視では、Web アクセスログでウィンドウタイトルは取得できません。取得したい場合は、ブラウザー拡張を使用する必要があります。
  • ローカルプロキシによる通信監視では、Gmail のメール送信ログは取得できません。取得したい場合は、ブラウザー拡張を使用する必要があります。
  • 端末が Windows の場合、OS のプロキシ設定が[設定を自動的に検出する]または[自動構成スクリプトを使用する]に設定されている場合は、ローカルプロキシによる通信監視を使用できません。使用した場合、Web アクセスができなくなります。
  • Mozilla Firefox、Mozilla Thunderbird など一部のアプリケーションでは、ローカルプロキシによる通信監視を行う場合、MaLion 専用の認証局証明書を追加する必要があります。
  • ローカルプロキシによる通信監視が有効な状態では、サービスやシステムとして起動するプロセスがユーザーのプロキシ設定を使用する場合、最後にログオンしたユーザーのプロキシ設定、または最後に変更したユーザーのプロキシ設定を使用します。
  • ローカルプロキシによる通信監視では、OS のプロキシサーバーの設定をローカルプロキシ用に書き換えます。
    ローカルプロキシによる通信監視を行っている状態で、端末エージェントをアンインストールするか、ローカルプロキシによる通信監視を無効にすると、通常は OS のプロキシサーバーの設定を自動的に元の状態に戻しますが、想定外の状況により元の状態に戻せなかった場合、Web アクセスができなくなります。
    この場合は、手動で OS のプロキシサーバーの設定を元に戻してください。
  • ローカルプロキシによる通信監視が有効な状態で以下のいずれかの操作を行うと、Web アクセスができなくなる場合があります。
    この場合は、手動で OS のプロキシサーバーの設定を元に戻してください。
    • OS のプロキシサーバーの設定で、「すべてのプロトコルに同じプロキシサーバーを使用する」の設定を変更する
    • netsh コマンドを使用して、WinHTTP のプロキシ設定を OS のプロキシサーバーの設定と同じ値にする

【[リモートロック]について】

  • セーフモードでログオンした場合、端末のロックはできません。

【[セーフモード時の動作]について】

  • [セーフモード時の動作]ポリシーを設定した端末がシャットダウンされた場合、次回ログオン時まで端末側のポリシー適用状態は変更されません。
    そのため、ポリシーの適用時間外に端末がシャットダウンされ、次回のログオンがセーフモードでのログオンだった場合、ポリシーの適用時間内であってもログオン ログは取得できません。
    また、適用時間内に端末がシャットダウンされ、次回のログオンがセーフモードでのログオンだった場合、適用時間外であってもログオン ログが取得されます。

【[Chrome シークレットモード]について】

  • Google Chrome のシークレットモードを使用したタブでは、ブラウザー拡張が動作しません。そのため、HTTP および HTTPS の Web アクセス ログの取得とポリシー制御、HTTPS の Web アップロード ログの取得ができなくなります。

【[テザリング]について】

  • ポリシーでモバイルホットスポットや SoftAP の機能を制限している場合、端末側で OS の設定から機能を有効化することはできますが、短時間で無効化されます。
  • ポリシーによってモバイルホットスポットや SoftAP の機能が無効化された場合、リアルタイム ログの出力やユーザーへの通知は行われません。

Mac 端末の場合(その他)

Mac 端末の場合、以下の制限があります。

  • 以下のポリシーには対応していません。
    • プログラムと機能
    • ネットワーク ドライブの割り当て
    • 日付と時間の同期
    • セーフモード時の動作
    • Chrome シークレットモード
    • 近距離共有の制御
    • テザリング

【[PrintScreen キー]について】

  • [対象ウィンドウタイトル]は指定できません。
  • デスクトップにファイル保存されるスクリーンキャプチャの操作が禁止ポリシー([リアルタイムログに出力]有効)によって禁止された場合、リアルタイムログにのみログが出力されます。
  • スクリーンキャプチャの操作を完全に防止するには、「アプリケーション起動」の防止・禁止ポリシーで「screencaptureui.app」の起動を禁止する必要があります。

【[ローカルプロキシによる通信監視]について】

  • 通信監視の開始または停止は、次回端末起動時に有効になります。
  • ローカルプロキシの起動時と、ネットワークサービス名(「Ethernet」や「Wi-Fi」など)が異なる場合、プロキシ設定を元の状態に戻すことができません。
  • Web アップロードログは取得できません。
  • 端末が接続するプロキシの設定を変更した場合は、端末を再起動する必要があります。

【[リモートロック]について】

  • セーフモードでログオンした場合、端末のロックはできません。
  • OS 標準の「画面共有」機能など、リモートからマウスやキーボードを操作する場合、リモートロック機能では制御できません。
  • ssh によるリモートログオンを防止することはできません。

【[AirDrop の制御]について】

  • macOS 11 以降で AirDrop を完全に禁止するには、「アプリケーション起動」の防止・禁止ポリシーで「AirDrop.appex」の起動を禁止する必要があります。

【[macOS 自動メジャーアップデート]について】

  • 対象の Mac 端末が、以下の状態になっている必要があります。
    • MaLion の機能拡張「MarEPS」にフルディスクアクセスの権限が付与されている
    • ログ収集の設定で、ファイル アクセス監視が「開始」または「開始(違反)」の状態になっている
  • この機能で禁止できるのは、macOS 11以降のシステム環境設定を利用したアップデートのうち、macOSのインストーラアプリケーションを起動せずに実行されるアップデートのみです。
    この機能で禁止しても、システム環境設定からアップデートを行うと、インストーラアプリケーションが起動してメジャーアップデートが実行される場合があります。
    そのため、macOSのメジャーアップデートを完全に禁止するには、以下の2つの設定が必要です。
    • 「その他」ポリシーで、「macOS 自動メジャーアップデート」を禁止する
    • 「アプリケーション起動」ポリシーで、macOS のインストーラアプリケーションの起動を禁止する

【[スクリーン セーバー]について】

  • Mac 端末の場合は、端末側で設定した待ち時間とポリシーで指定した待ち時間の、どちらか早いほうでスクリーン セーバーが起動します(OS の設定が上書きされません)。

送信メールの宛先確認の制限事項

  • Web ブラウザーで Gmail を使用して送信されたメールは、送信メールの宛先確認の設定の対象であっても、確認メッセージは表示されません。

Mac 端末の場合(送信メールの宛先確認)

上記に加えて、以下の制限があります。

  • macOS 12 以降の場合、送信メールの宛先確認の設定の対象であっても、確認のメッセージは表示されません。

▲