アクセスポリシー(旧:保護アカウント)に設定した制限やルールが競合した場合の優先順位
UserLockの制限やルールは、Active Directoryの「ユーザー」「グループ」「Organizational Unit」のアカウント単位で設定します。
たとえば、Aliceというユーザーがいて、Aliceが「Dev1」「Team1」という2つのグループに所属していたとします。
ここで、下記のようなことが起こった場合のことを考えていきます。
ケース1:「Alice」というユーザーアカウントに対する制限と、「Dev1」グループアカウントに対する制限で、同じ項目に対して異なる制限がかけられている(※)。
ケース2:「Dev1」「Team1」のそれぞれのグループアカウントで、同じ項目に対して異なる制限がかけられている(※)。
「同じ項目に対して異なる制限がかけられている」の意味
同じ項目の設定値が、両者とも「未設定(Not configure)」以外の値であり、かつ両者の設定値が違うということを意味しています。
同じ項目の設定値に関し、片方あるいは両方のアカウントの設定値が「未設定(Not configure)」の場合、そのアカウントのその項目には制限がかかっていないことを意味しますので、競合していることにはなりません。
UserLockの優先順位
競合が発生した場合のUserLockの基本的な優先順位の考え方は、下記のようになっています。
優先度1:ユーザー単位の一時的なアクセスポリシー(旧:Protected account)。
優先度2: グループまたは組織単位の一時的なアクセスポリシー(旧:Protected account)。
優先度3: ユーザー単位の永続的なアクセスポリシー(旧:Protected account)。
優先度4: グループまたは組織単位の永続的なアクセスポリシー(旧:Protected account)。
「ケース1」を上記に照らし合わせると、「Alice」は永続の個人アカウントなので優先度3に相当し、「Dev1」は永続のグループアカウントなのでは優先度4に相当します。
そのため、「Alice」という個人アカウントに対して設定されているルールや制限のほうが、「Dev1」のそれよりも上位とみなされ、優先されます。
「ケース2」に上記を照らし合わせると、「Dev1」「Team1」はどちらも永続のグループアカウントであるため、同レベルの扱いとなります。
この場合は、UserLockの「サーバー設定(旧:Server Properties)」で設定したポリシー(後述)に従います。
UserLockのポリシー設定
[UserLock 13.0以降]
UserLockコンソールの「⚙(サーバー設定)」>「一般」で、ポリシー設定を行うことができます。
選択肢は下記のいずれかです。
アクセスポリシーの競合解決:
- より厳しい方を優先
- より緩い方を優先
[UserLock 12.2以下]
UserLockコンソールの「Server Properties」>「General」で、ポリシー設定を行うことができます。
選択肢は下記のいずれかです:
- The most restrictive as possible(可能な限り厳しくする)
- The least restrictive as possible(可能な限り緩くする)
この設定値に応じて、より厳しいほうの制限を適用するか、より緩い方の制限を適用するかが決まります。
注意
このポリシーを用いた判断は、制限項目毎に行われるという点に注意が必要です。
「Dev1」「Team1」の例だと、具体的には下記のようになります:
「Dev1」「Team1」の例だと、具体的には下記のようになります:
・「Dev1」「Team1」の片方にのみ制限が設定されている項目については、ポリシーに関わらずその制限項目はAliceに適用される
・「Dev1」「Team1」で同一項目に対し異なる内容の制限が設定されている場合、ポリシーに基づいて判断される
Related Articles
アクセスポリシー(旧:保護アカウント)に設定した制限が有効にならない
アカウントに設定したはずの制限が適用されない理由はいくつか考えられます。 UserLockと保護対象マシンのエージェント間で通信ができていない 対象のマシンとUserLock間のエージェントの通信ができない場合、UserLockの制限は適用されません。 例:エージェントが正しくインストールされていない、エージェントが停止している、SMB TCP 445の通信がファイアウォール等で遮断されている、UserLockサーバーが停止している ...アクセスポリシー(旧:保護対象アカウント)の「グループ全体のセッション制限(Group)」という項目について
保護対象アカウントの設定画面には、アカウント種別がグループやOU(組織)の場合にのみ表示される「グループ/組織単位全体のセッション制限(Group)」というセクションがあります。 この項目では、下記のように各種セッションの制限数を指定することができます。 [UserLock13.0以降] [UserLock12.2以下] 「メインルール(旧:General)」セクションにも同様の設定項目がありますが、これらはどう違うのでしょうか。 ...ユーザーがMFA認証を利用できない場合の対処法
ハードウェアトークンの紛失・故障、スマートフォンを忘れてしまったなどの理由でMFAの認証が行えない際の対応についてご紹介します。 それぞれのケースに合わせて対処方法を確認してください。 代替手段を登録している場合 リカバリーキーを保管している場合 その他の場合 代替手段を登録している場合 代替手段にて認証を行ってください。 リカバリーコードを保管している場合 ※MFA登録前に管理者がリカバリーコードを有効化しており、登録時に発行されていることが前提です。 ...Popup通知が表示されないことがある
アクセスポリシー(旧:Protected accounts)の機能でそのアカウントに対してログオンなどの選択したイベントが発生したときに、指定したコンピューターにポップアップメッセージを表示させる機能があります。 そのPopupが表示されないことがあります。 通知を表示させるためには、通知先のコンピューターにコンソールセッション(*)で接続した状態である必要があります。RDPで接続している際などのリモートセッションでの接続時は通知が表示されないことがあります。 (*) ...UserLock リリース履歴
UserLockのリリース履歴は、下記をご参照ください。 バージョン13.0.0.129 日本でのリリース日:2026/5/18 前バージョンからの主な修正: ●コンソール / UI・操作性 - コンソールのデザインや機能が一新されました。 - コンソールがスペイン語および日本語の言語インターフェースに対応しました。 - コンソールでダッシュボード、環境、アクセス ポリシー、アクティビティ レポート、サーバー設定などのセクションが再編成されました。 - ...