ネットワーク接続状況別のマシン保護内容
UserLockサーバーがデスクトップエージェントを介してマシンを保護するためには、UserLockサーバーと保護対象マシン上のエージェントが通信できる環境が必要となります。
保護対象マシンがどのようなネットワーク接続状況に置かれているかによって、UserLockが保護できる範囲が異なります
保護対象のマシンがドメインのネットワークに接続している状態
UserLockサーバーと、保護対象マシンのUserLockデスクトップエージェントが直接疎通できる状態です。
この場合、対話型セッションに対する保護設定が、保護対象マシンのデスクトップエージェントを通して適用されます。
保護対象のマシンがドメインのネットワーク外にあり、VPN経由でドメインネットワークに接続している状態
VPNセッションに対する保護設定が、NPSサービスやRRASサービスに適用されたVPN用エージェントを通して適用されます。
VPNセッションに対する保護設定が、NPSサービスやRRASサービスに適用されたVPN用エージェントを通して適用されます。
保護対象のマシンがドメインのネットワーク外にあるが、インターネットには接続している状態
この場合は、UserLock Anywhere(*)が構成されているかどうかで動作が異なります。
この場合は、UserLock Anywhere(*)が構成されているかどうかで動作が異なります。
*UserLock Anywhereはバージョン11.0から追加された新機能で、IIS上で動作するプロキシサーバーです。
UserLockサーバーとは別のマシンに、IISとともにインストールする必要があります。
- UserLock anywhereが構成されている場合
UserLockコンソール上で対話型セッションに対して設定した各種保護設定は、UserLock anywhereのプロキシサーバーを通して保護対象マシンに適用されます。
※オンラインセッションに対する手動操作(セッションのログオフやロック、ポップアップ送信、リモートデスクトップ接続)は行えません。これはUserlock Anywhereの制限となります。
- UserLock anywhereが構成されていない場合
完全オフラインの状態(以下)として見なされます。
保護対象のマシンが完全オフラインの状態
UserLockコンソールで保護対象アカウントに設定した各種ルールは、オフラインのマシンには適用されません。
オフライン状態の保護対象マシンに対してできることは、「マシンへのログオンを許可するかどうか」の判断のみとなります。
コンソールメニュー「Server properties」>「General」セクション内、「Logons without network connection」の設定内容と、保護対象マシンにログオンしようとするアカウントのMFAログオン履歴により、下記のいずれかの動作となります:
コンソールメニュー「Server properties」>「General」セクション内、「Logons without network connection」の設定内容と、保護対象マシンにログオンしようとするアカウントのMFAログオン履歴により、下記のいずれかの動作となります:
- ログオンを無条件に許可する
- ログオン時にMFAを要求/強制する
- ログオンを無条件に拒否する
オフライン時の動作の詳細ついては、製品付属の「リファレンスガイド」をご確認ください。
オフライン時の動作に関しては、UserLockサーバーと保護対象マシンがドメインネットワークで通信できていた時点の「Logons without network connection」の設定内容が適用されます。UserLockサーバーと保護対象マシンがドメインネットワークで疎通できなくなったあと「Logons without network connection」の設定内容を変えても、その内容は保護対象マシンのデスクトップエージェントには伝わっていないため、適用されません。