UserLockの概要

1. UserLockをドメイン配下のWindowsサーバーにインストールすると、「UserLockサーバー」として稼働します。
   
2. UserLockサーバーのインストール時に、「UserLockコンソール」という管理用のアプリケーションがインストールされます。
   
3. UserLockコンソールから、ActiveDirectory管理下アカウントに対するルール/制限の設定やセッション状態の監視ができます。
4. 管理対象アカウントのセッションイベントや、ActiveDirectory/UserLockによる管理イベントはすべてデータベースにログとして記録されます。そのログデータをもとに、UserLockコンソールから様々なレポートを出力することができます。
   

1. 管理対象となるドメイン配下の各コンピュータに、「UserLockエージェント」をインストールすることで、UserLockサーバーがコンピュータを管理できるようになります。エージェントには複数種類があり、監視したいセッション種別に合ったものをインストールします。
   
2. UserLockデスクトップエージェントはWindowsサービスとして稼働します。
3. エージェントの配布はUserLockコンソールから簡単に行うことができます。
   

アカウントに対するルール/制限の例

1. 初期アクセスポイント数の制限
   アカウントの初期アクセスポイント数を制限します。
2. 同時接続セッション数の制限
   アカウントのセッション種別毎に、許可する同時接続セッション数を制限します。
3. MFA（多要素認証）
   アカウントがログオンする際、Windows認証パスワードとは別に認証コードを要求します。
   認証コードの生成には、ユーザー側で用意したスマートフォンの認証コード生成アプリ、USBトークン、カード型トークンが使用できます。
4. ワークステーション制限
   アカウントがログオンできるワークステーション/ターミナルを制限します。
   たとえば、『アカウント「Alice」は、「PC001」というホストにのみログオンを許可をする』といった制限をすることができます。
5. 地域制限
   アカウントを使用してログオンする際の接続元の地域（国）を制限します。
6. 時間帯制限
   アカウントを使用してログオンできる時間帯を制限します。
   『月～金曜日は8:00～17:00の間ログオンを許可し、土日はログオンを許可しない』といった制限をすることができます。ログオン中に制限時間帯を逸脱した場合、強制ログオフさせることもできます。
7. 時間割り当て制限
   アカウントがログオンできる時間数を制限します。たとえば「1日あたり8時間」「1週間あたり40時間」のように、定義された期間内の時間数を指定します。ログオン中に割り当て時間上限に達した場合、強制ログオフさせることもできます。
   
   

セッション種別の例

1. 対話型セッション
   Windowsマシンへのログオンセッション
2. IISセッション
   「Windows 認証」または「基本認証」の認証モードで構成された IIS アプリケーションへのセッション
3. VPNセッション/Wi-Fiセッション
   Microsoft ネットワーク ポリシー サーバー で RADIUS プロトコルを使用して認証された場合のVPN/Wi-Fiセッション
   
   

セッション監視の例

1. イベント通知
   セッションで発生したログオンイベントをメールやポップアップで通知します。
   
2. セッション操作
   不正なセッションの強制ログオフが行えます。
   
3. ユーザーステータス表示
   あらかじめ定義されたリスク行動（例：パスワードを一定回数連続で間違える等）をとっているセッションを検知します。
   また、リスクレベルをあらかじめ定義し、リスク行動をとっているアカウントをレベル毎に色分けして表示します。
   
4. ユーザーのブロック
   不適切と判断されたユーザーをブロックします。

1. ユーザーセッション履歴レポート
   
2. 同時接続セッション履歴レポート
   
3. セッション数推移レポート
   
4. 勤務時間レポート
   
5. ログオン拒否レポート
   
6. MFAレポート