UserLockの概要
UserLockは、Active Directory管理下のアカウントとコンピュータを管理するための製品です。
「UserLockサーバー」と「UserLockエージェント」から構成されます。
UserLockサーバー
- UserLockをドメイン配下のWindowsサーバーにインストールすると、「UserLockサーバー」として稼働します。
- UserLockサーバーのインストール時に、「UserLockコンソール」という管理用のアプリケーションがインストールされます。
- UserLockコンソールから、ActiveDirectory管理下アカウントに対するルール/制限の設定やセッション状態の監視ができます。
- 管理対象アカウントのセッションイベントや、ActiveDirectory/UserLockによる管理イベントはすべてデータベースにログとして記録されます。そのログデータをもとに、UserLockコンソールから様々なレポートを出力することができます。
UserLockエージェント
- 管理対象となるドメイン配下の各コンピュータに、「UserLockエージェント」をインストールすることで、UserLockサーバーがコンピュータを管理できるようになります。
- エージェントの配布はUserLockコンソールから行うことができます。
アカウントに対するルール/制限の例
- 初期アクセスポイント数の制限
アカウントの初期アクセスポイント数を制限します。 - 同時接続セッション数の制限
セッション種別毎に、許可する同時接続セッション数を制限します。 - MFA(多要素認証)
アカウントがログオンする際、Windows認証パスワードとは別に認証コードを要求します。
認証コードの生成は、ユーザー側で用意したスマートフォンの認証コード生成アプリを使用します。 - ワークステーション制限
アカウントがログオン操作できるワークステーション/ターミナルを制限します。
たとえば、『アカウント「Alice」は、「PC001」ホストからの接続のみを許可する』といった制限をすることができます。 - 地域制限
アカウントを使用してログオンする際の接続元の地域(国)を制限します。 - 時間帯制限
アカウントを使用してログオンできる時間帯を制限します。
『月~金曜日は8:00~17:00の間接続を許可し、土日は接続を許可しない』といった制限をすることができます。 - 時間割り当て制限
アカウントがログオンできる時間数を制限します。たとえば「1日あたり8時間」「1週間あたり40時間」のように、定義された期間内の時間数を指定します。
セッション監視の例
- イベント通知
セッションで発生したログオンイベントをメールやポップアップで通知します。
- セッション操作
不正なセッションの強制ログオフが行えます。
- ユーザーステータス表示
あらかじめ定義されたリスク行動(例:パスワードを一定回数連続で間違える等)をとっているセッションを検知します。
また、リスクレベルをあらかじめ定義し、リスク行動をとっているアカウントをレベル毎に色分けして表示します。
- ユーザーのブロック
不適切と判断されたユーザーをブロックします。
ユーザーセッション履歴レポート
- 同時接続セッション履歴レポート
- セッション数推移レポート
- 勤務時間レポート
- ログオン拒否レポート
- MFAレポート
レポートは定期的にファイル出力することができ、また出力されたレポートファイルをメールで管理者宛に送付することができます。
エージェント
管理対象のマシンに、セッション種別に応じた「UserLock エージェント」をインストールする必要があります。
- デスクトップエージェント: Windowsワークステーション/ターミナルセッションを監視するためのエージェントです
- IISエージェント: IISセッションを監視するためのエージェントです
- NPSエージェント: Wi-Fi/VPNセッションを監視するためのエージェントです