保護対象のマシンがUserLock と通信できないときはどうなりますか

保護対象のマシンがUserLock と通信できないときはどうなりますか

保護対象のマシン(デスクトップエージェントがインストールされているマシン)がUserLock と通信不可となっている理由によって、2通りの動きをします。

保護対象マシンから、UserLockがインストールされているマシンにネットワーク的に到達できない場合

[想定されるケース]
  1. 保護対象のマシンがネットワーク外に持ち出されている(かつ、UserLock Anywhereサーバーを設置していない)
  2. UserLockサーバーがインストールされているマシン自体が起動していない(UserLockバックアップサーバーもない)
[想定される挙動]
保護対象のマシンには、UserLockコンソールの「Server properties」メニュー>「General」セクション内の「Logons without network connection」の設定内容が適用されます。


  1. 「Always allow connections」が選択されている場合
    マシンへのログオン時にはActive Directory認証のみが行われます(Protected accountメニューでアカウントに設定した制限は適用されません)。
  2. 「Always deny connections」が選択されている場合
    マシンへのログオンはUserLockによって無条件に拒否されます。
  3. 「Ask for MFA」「Force MFA」が選択されている場合
    ログオンしようとしているユーザーアカウントが該当マシンでActive Directory認証やMFA認証をパスしたことがあるか否かによって挙動が変わります。

UserLockがインストールされているマシンに到達できているが、UserLockが応答しない場合


[想定されるケース]
  1. UserLockサーバープロセスが何等かの理由でダウンしている
  2. UserLockサーバーのライセンスが無効な状態である(有効期限切れなど)
[想定される挙動]
UserLockによる保護は行われません。Protected accountメニューでアカウントに設定した制限はすべて無効となります。
ログオンイベントの記録も行いません。

    • Related Articles

    • ローカルネットワーク外のユーザに対してMFAを適用できますか

      可能です。マシンがローカルネットワークに接続されていない場合でも、ドメインマシンにログオンするユーザーに対してMFAを要求することができます。 ただし、ユーザーがすでに該当のマシンでのMFAの登録が済んでおり、一度でも認証されたことがあることが前提です。ローカルネットワークに接続されていない状態でMFAの登録を行うことはできませんのでご注意ください。 よくあるご質問の「保護対象のマシンがUserLock と通信できないときはどうなりますか」も合わせてご確認ください。