UserLockの主な制限事項についてまとめました。ご購入の前に必ずご一読ください。
!重要!
UserLockは、使用するネットワーク機器やソフトウェアの構成、および規格準拠レベルによって、想定外の動作をする可能性があります。
ご購入の前に必ず評価版を入手し、実際の環境において動作検証を行ってください(評価用の無償ライセンスは30日間使用することができます)。
制限事項
UserLockの制限事項は多岐にわたります。以下は、制限事項のある項目について把握することができるよう概要のみをまとめたリストです。
※実際の制限内容の詳細は、製品付属のガイドにてご確認ください。
IISエージェント/セッションの制限事項
- 多要素認証(MFA)は使用できません。
- ブラウザ終了やタイムアウトによるセッションの終了を検知できないことによる制限があります。
- ホスト名の取得が行えないことによる制限があります(ホスト名によるワークステーション制限など)。
NPSエージェント/VPNセッション/Wi-Fiセッションの制限事項
- VPNでMFAを使用する場合、対話型セッションでの標準的なMFAの使用方法とは異なります。
またオプションの機能(スキップやAsk for helpなどのMFAの回避機能)は使用できません。 - RADIUSプロトコルでクライアント名を復元することができないため、クライアント名を使用したワークステーション制限は使用できません。
- RADIUS規格に完全に準拠していないWi-Fiアクセスポイントでは、アカウント保護が正しく動作しない可能性があります。
- Wi-Fiセッションが適切に閉じられない場合、Wi-Fiセッションの制御が信頼できなくなる場合があります。
- Wi-FiクライアントがActiveDirectoryドメインメンバーの場合で、Wi-Fiセッションがコンピュータアカウントで認証された場合、UserLockはセッションを管理しません。
- 1つのRADIUSクライアントに対して複数のRADIUSサーバーが使用されることはサポートしてません。
- Wi-Fi/VPNセッションが拒否された場合は新しい認証情報を求められるだけで、拒否理由を示す適切なメッセージは表示できません。
- VPNクライアントのアドレスはすべてのRADIUSクライアントから提供されるわけではないため、ワークステーション制限の際にIPアドレスによる制限ができない場合があります。
- VPNセッションは強制ログオフに対応していません。
その他の制限
- ActiveDirectoryによって拒否されたログオンは、NLA認証を使用したRDPセッションでは検出できません。
- VPNセッションに対してMFAを有効化した場合、VPN経由で共有フォルダにアクセスする場合においてもMFAの認証コードを要求されます。
- UserLockのほとんどのルール設定はセッション種別(インタラクティブ、IIS、Wi-Fi/VPN)ごとに行えますが、MFAのみ「すべて/リモート/外部」の3種類から選択する形となります。また1アカウントに複数の設定をすることはできません。
- Consumed Time(ユーザーの使用時間)の表示時間について、Carry over unused time count(未使用時間のキャリーオーバー)を設定したとき、実際の使用時間と比べて誤差が発生することが確認されております。