ネットワーク接続状況別のマシン保護内容

ネットワーク接続状況別のマシン保護内容

UserLockサーバーがデスクトップエージェントを介してマシンを保護するためには、UserLockサーバーと保護対象マシン上のエージェントが通信できる環境が必要となります。
保護対象マシンがどのようなネットワーク接続状況に置かれているかによって、UserLockが保護できる範囲が異なります

①保護対象のマシンがドメインのネットワークに接続している状態

UserLockサーバーと、保護対象マシンのUserLockデスクトップエージェントが直接疎通できる状態です。
この場合、対話型セッションに対する保護設定が、保護対象マシンのデスクトップエージェントを通して適用されます。

②保護対象のマシンがドメインのネットワーク外にあり、VPN経由でドメインネットワークに接続している状態

この場合、VPNセッションに対する保護設定が、NPSサービスやRRASサービスに適用されたVPN用エージェントを通して適用されます。

③保護対象のマシンが社内ネットワークに接続できない状態であり、VPNにも接続していないが、インターネット接続は出来ている状態

この場合は、UserLock Anywhere(*)が構成されているかどうかで動作が異なります。

*UserLock Anywhereはバージョン11.0から追加された新機能で、IIS上で動作するプロキシサーバーです。
UserLockサーバーとは別のマシンに、IISとともにインストールする必要があります。

UserLock anywhereのプロキシサーバーを介してUserLockサーバーと疎通できる場合
UserLockコンソール上で対話型セッションに対して設定した各種保護設定は、UserLock anywhereのプロキシサーバーを通して保護対象マシンに適用されます。
※オンラインセッションに対する手動操作(セッションのログオフやロック、ポップアップ送信、リモートデスクトップ接続)は行えません。これはUserlock Anywhereの制限となります。

UserLock anywhereのプロキシサーバーを介してUserLockサーバーと疎通できない場合
完全オフラインの状態(④と同等)として見なされます。

④保護対象のマシンが完全オフラインの状態

UserLockコンソールで保護対象アカウントに設定した各種ルールは、オフラインのマシンには適用されません。
オフライン状態の保護対象マシンに対してできることは、「マシンへのログオンを許可するかどうか」の判断のみとなります。
コンソールメニュー「Server properties」>「General」セクション内、「Logons without network connection」の設定内容と、保護対象マシンにログオンしようとするアカウントのMFAログオン履歴により、下記のいずれかの動作となります:
  1. オフラインの際、ログオンを無条件に許可する
  2. オフラインの際、ログオン時にMFAを要求/強制する
  3. オフラインの際、ログオンを無条件に拒否する
オフライン時の動作の詳細ついては、製品付属の「リファレンスガイド」をご確認ください。

③④に関しては、UserLockサーバーと保護対象マシン①の状態で通信できていた際の設定内容に依存します。UserLockサーバーと保護対象マシンが直接(*)疎通できなくなったあとにUserLockコンソールから設定した内容は、保護対象マシンのデスクトップエージェントには伝わっていないため、適用されません。
*注: 社内ネットワーク環境に接続した状態での通信を指します。VPNやインターネット経由の通信は含まれません。