Central Consoleで基本ポリシーが制御されている場合

Central Consoleの管理者によって本サービスの基本ポリシーが制御されていると、Central Consoleで設定されたポリシーで基本ポリシーが上書きされます。

この場合、基本ポリシーの各画面に次のようなメッセージが表示され、制御されている項目の設定は編集できなくなります（設定内容の閲覧はできます）。

詳細については、Central Consoleの管理者にお問い合わせください。

表11-5-1-1-1.セキュリティレベル判定設定

セキュリティレベル判定

Windowsクライアントのセキュリティレベル判定を設定します。

ウイルス対策ソフトウェアのエンジンバージョンチェックを行う

ウイルス対策ソフトウェア診断で、［パターンバージョン］チェックのほかに、［エンジンバージョン］をチェックする場合にチェックを入れます。

セキュリティ診断通知設定

クリックすると、「セキュリティ診断通知設定」画面が表示されます。

表11-5-1-1-2.セキュリティ診断通知設定

ユーザー通知

セキュリティ診断結果をユーザーに通知する方法を設定します。

セキュリティ診断結果をユーザーに通知する

Windowsクライアントにバルーンかダイアログで通知する場合にチェックを入れます。

診断結果に関わらずバルーンで通知する^（＊1）

セキュリティ診断結果をバルーンでのみ通知する場合に選択します。

診断結果がOKの場合はバルーンで通知し、NGの場合は診断結果詳細ダイアログで通知する^（＊2）

セキュリティ診断結果を次の条件で通知する場合に選択します。

･診断結果がOKの場合：バルーンで通知する

･診断結果がNGの場合:診断結果詳細ダイアログで通知する

セキュリティ診断結果がNGの場合に、ユーザーがNG理由を入力することを許可する

ユーザーからNG理由を収集する場合にチェックを入れます。

管理者通知

セキュリティ診断結果を管理者に通知するかどうかを設定します。

セキュリティアラートメールに未収集クライアント情報を含める

システム管理者に送信する日次アラートメールに、一定期間インベントリが収集されていないクライアント情報を含める場合にチェックを入れます。

表11-5-1-2.OSセキュリティ更新プログラム

診断方法選択

OSセキュリティ更新プログラムの診断方法を選択します。

ソフトウェアプロファイル（辞書）で診断する

クオリティソフト社から提供されているソフトウェアプロファイルで、OSセキュリティ更新プログラムの適用状況を診断する場合に選択します。

WSUSで診断する

Windowsクライアントに設定しているWSUS（Windows Server Update Services）で、OSセキュリティ更新プログラムの適用状況を診断する場合に選択します。

診断除外期間設定

診断除外期間を設定します。

OSセキュリティ更新プログラム診断の除外期間を設定する

最新プログラムを適用するまでの猶予期間を設ける場合にチェックを入れます。

除外日数

OSセキュリティ更新プログラムのリリース日を基に、診断対象から除外する日数を設定します。

是正アクション設定

是正アクションを設定します。

表示名1～3

Windowsクライアントの「セキュリティ診断結果詳細」画面に表示する是正アクションの表示名を設定します。

是正アクション1～3

是正サイトのURL、クライアントで実行する是正コマンド等を設定します。

例）http://server/corrective_action/index.html

　　C:\CorrectiveAction\Patch.vbs

　　CorrectiveActionPatch.bat

ファイル名のみの場合は、環境変数の“Path”に記述されたフォルダーにファイルを配置する必要があります。

   ［WSUSで診断する］を選択した場合は、WSUSサーバーが必要です！

WSUSを基に診断する場合は、WindowsクライアントがWSUS 3.0以降のWSUSサーバーに接続する必要があります。

オンデマンドクライアントの場合は、オンデマンドクライアントを実行したログオンユーザーのInternet Explorerのプロキシ設定を使用してWSUSサーバーに接続します。そのため、WSUSサーバーがLAN内に存在していて、プロキシ経由で接続できない場合は、例外登録する必要があります。

自動構成スクリプトを使用している場合は、WSUSサーバーへの接続は、プロキシを経由しない設定を追加してください。自動構成スクリプトを使用していない場合はInternet Explorerの「インターネット オプション」画面の［接続］タブで設定を変更してください。

① ［LANの設定］ボタンをクリックします。

② ［詳細設定］ボタンをクリックします。

③ ［次で始まるアドレスにはプロキシを使用しない］欄にWSUSサーバーのアドレスを入力します。

④ 各画面の［OK］ボタンをクリックして、「インターネット オプション」画面を閉じます。

   Windows 10 / 11 アップデート支援機能を利用する場合

Windows 10 / 11 アップデート支援機能でWindows Updateを管理する場合、Microsoft社から更新プログラムがリリースされてからWindows 10 / 11 アップデート支援機能で更新パッケージが作成されるまでの期間、OSセキュリティ更新プログラム診断の診断結果がNGと判定される場合があります。

診断結果がNGと判定されないようにするためには、［OSセキュリティ更新プログラム］の［診断除外期間設定］で［OSセキュリティ更新プログラム診断の除外期間を設定する］にチェックを入れ、［除外日数］欄に診断対象から除外する日数を設定してください。

表11-5-1-3-1.ソフトウェアバージョン診断

診断除外期間設定

診断除外期間を設定します。

ソフトウェアバージョン診断の除外期間を設定する

ソフトウェアを最新版にバージョンアップするまでの猶予期間を設ける場合にチェックを入れます。

除外日数

ソフトウェアのリリース日を基に、診断対象から除外する日数を設定します。

是正アクション設定

是正アクションを設定します。

表示名1～3

Windowsクライアントの「セキュリティ診断結果詳細」画面に表示する是正アクションの表示名を設定します。

是正アクション1～3

是正サイトのURL、クライアントで実行する是正コマンド等を設定します。

例）http://server/corrective_action/index.html

　　C:\CorrectiveAction\Patch.vbs

　　CorrectiveActionPatch.bat

ファイル名のみの場合は、環境変数の“Path”に記述されたフォルダーにファイルを配置する必要があります。

表11-5-1-3-2.追加ソフトウェアバージョン診断設定一覧

追加ソフトウェアバージョン診断登録

から、追加診断対象のソフトウェアを登録します。

（ソフトウェア名）

追加診断対象のソフトウェア名を入力します。

参照

クリックすると、「ソフトウェア選択」画面が表示されます。収集したソフトウェア情報からソフトウェア名と対象バージョンを設定できます。

製品名との比較方法

ソフトウェア名の文字列と製品名との比較方法を選択します。

［完全一致］/［前方一致］

対象バージョン

［対象バージョン］には、診断対象とするバージョンを入力し、［診断バージョン］には、診断基準とするバージョンを入力します。

設定例は、次のとおりです。

［対象バージョン］：9

［診断バージョン］：9.3

上記設定の場合は、バージョンが9.xのソフトウェアすべてが診断対象となり、9.3未満が診断結果NGとなります。

［対象バージョン］を指定しない場合は、［診断バージョン］で入力したバージョン未満すべてが診断結果NGとなります。

診断バージョン

ソフトウェアバージョン診断一括登録

から、CSVファイルをインポートして一括登録します。

   11-12-4-1. ソフトウェアバージョン診断

表11-5-1-4.ウイルス対策ソフトウェア

診断除外期間設定^（＊）

診断除外期間を設定します。

ウイルス対策ソフトウェア診断の除外期間を設定する

ウイルス対策ソフトウェアを最新版にバージョンアップするまでの猶予期間を設ける場合にチェックを入れます。

除外日数

ウイルス対策ソフトウェアのリリース日を基に、診断対象から除外する日数を設定します。

是正アクション設定

是正アクションを設定します。

表示名1～3

Windowsクライアントの「セキュリティ診断結果詳細」画面に表示する是正アクションの表示名を設定します。

是正アクション1～3

是正サイトのURL、クライアントで実行する是正コマンド等を設定します。

例）http://server/corrective_action/index.html

　　C:\CorrectiveAction\Patch.vbs

　　CorrectiveActionPatch.bat

ファイル名のみの場合は、環境変数の“Path”に記述されたフォルダーにファイルを配置する必要があります。

表11-5-1-5-1.禁止ソフトウェア一覧

禁止ソフトウェア登録

から、使用を禁止するソフトウェアを登録します。

禁止ソフトウェアリストから選択

クオリティソフト社から提供されている禁止ソフトウェアリストから禁止ソフトウェアとするファイルを選択します。

収集したソフトウェア情報から選択

収集したソフトウェア情報から禁止ソフトウェアとするファイルを選択します。

制御方式

禁止ソフトウェアの起動制御時の判定に使用する方式を選択します。

［ファイル名］/［ソフトウェアID］

ソフトウェア情報を入力

禁止ソフトウェアとするファイル情報を入力します。

ファイル名

禁止ソフトウェアとするファイル名を入力します。

ソフトウェアID

禁止ソフトウェアとするソフトウェアIDを入力します。

禁止ソフトウェア一括登録

から、CSVファイルをインポートして一括登録します。

   11-12-4-2. 禁止ソフトウェア（Windows）

   ソフトウェア情報を手動で入力する場合

ソフトウェア情報を手動で入力する場合は、コマンドプロンプトでソフトウェアIDを確認できます。

例えば、「file1.exe」のソフトウェアIDを確認するには、コマンドプロンプトで次のコマンドを実行します。

certutil -hashfile C:\works\file1.exe MD5

表11-5-1-5-2.禁止ソフトウェア制御設定

禁止ソフトウェア起動制御設定

禁止ソフトウェア起動制御を設定します。

禁止ソフトウェアの起動を制御する

禁止ソフトウェアの起動を禁止する場合にチェックを入れます。

通知設定

クリックすると、「禁止ソフトウェア起動制御通知設定」画面が表示されます。
起動制御時に通知する設定と通知内容を設定します。

禁止ソフトウェアの起動制御時、ユーザーに通知する

禁止ソフトウェアの起動制御時に、任意のメッセージをユーザーに通知する場合にチェックを入れ、入力欄に通知内容を入力します。

是正アクション設定

是正アクションを設定します。

表示名1～3

Windowsクライアントの「セキュリティ診断結果詳細」画面に表示する是正アクションの表示名を設定します。

是正アクション1～3

是正サイトのURL、クライアントで実行する是正コマンド等を設定します。

例）http://server/corrective_action/index.html

　　C:\CorrectiveAction\Patch.vbs

　　CorrectiveActionPatch.bat

ファイル名のみの場合は、環境変数の“Path”に記述されたフォルダーにファイルを配置する必要があります。

表11-5-1-6-1.カスタム診断一覧

カスタム診断登録

から、独自に診断する項目を設定します。

（設定名）

カスタム診断の設定名を入力します。

説明

カスタム診断の説明を入力します。

ログオン時のみ診断する

インベントリ収集時にユーザーがログオンしている場合のみ診断する場合にチェックを入れます。

対象クライアント条件

カスタム診断の対象とするクライアントの条件を設定します。

未設定の場合は、全クライアントが対象です。

収集したインベントリ値から条件を設定します。

ハードウェアインベントリ

ハードウェアインベントリを基にクライアントの条件を設定する場合に選択します。

［条件名］/［項目］/［キーワード］を設定します。

ソフトウェアインベントリ

ソフトウェアインベントリを基にクライアントの条件を設定する場合に選択します。

［条件名］/［項目］/［比較条件］/［キーワード］を設定します。

ストアアプリインベントリ

ストアアプリインベントリを基にクライアントの条件を設定する場合に選択します。

［条件名］/［項目］/［比較条件］/［キーワード］を設定します。

ファイルインベントリ

ファイルインベントリを基にクライアントの条件を設定する場合に選択します。

［条件名］/［項目］/［プラットフォーム］/［比較条件］/［キーワード］を設定します。

レジストリインベントリ

レジストリインベントリを基にクライアントの条件を設定する場合に選択します。

［条件名］/［項目］/［比較条件］/［キーワード］を設定します。

既定のエントリを条件にする場合は、［（既定）を条件にする］にチェックを入れます。

WOW64配下の値を対象にする場合は、［x64環境でWOW64配下の値を対象にする］にチェックを入れます。チェックを入れる場合と入れない場合では、以下のようになります。

･チェックあり：HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\xxx\yyy

･チェックなし：HKEY_LOCAL_MACHINE\SOFTWARE\xxx\yyy

INIファイルインベントリ

INIファイルインベントリを基にクライアントの条件を設定する場合に選択します。

［条件名］/［項目］/［キーワード］を設定します。

利用者・ハードウェア管理情報

利用者・ハードウェア管理情報を基にクライアントの条件を設定する場合に選択します。

［条件名］/［項目］/［キーワード］を設定します。

診断項目

カスタム診断項目を設定します。

ハードウェアインベントリ

ハードウェアインベントリをカスタム診断項目とする場合に選択します。

［条件名］/［項目］/［キーワード］を設定します。

ソフトウェアインベントリ

ソフトウェアインベントリをカスタム診断項目とする場合に選択します。

［条件名］/［項目］/［比較条件］/［キーワード］を設定します。

ストアアプリインベントリ

ストアアプリインベントリをカスタム診断項目とする場合に選択します。

［条件名］/［項目］/［比較条件］/［キーワード］を設定します。

ファイルインベントリ

ファイルインベントリをカスタム診断項目とする場合に選択します。

［条件名］/［項目］/［プラットフォーム］/［比較条件］/［キーワード］を設定します。

レジストリインベントリ

レジストリインベントリをカスタム診断項目とする場合に選択します。

［条件名］/［項目］/［比較条件］/［キーワード］を設定します。

既定のエントリを条件にする場合は、［（既定）を条件にする］にチェックを入れます。

WOW64配下の値を対象にする場合は、［x64環境でWOW64配下の値を対象にする］にチェックを入れます。チェックを入れる場合と入れない場合では、以下のようになります。

･チェックあり：HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\xxx\yyy

･チェックなし：HKEY_LOCAL_MACHINE\SOFTWARE\xxx\yyy

INIファイルインベントリ

INIファイルインベントリをカスタム診断項目とする場合に選択します。

［条件名］/［項目］/［キーワード］を設定します。

利用者・ハードウェア管理情報

利用者・ハードウェア管理情報をカスタム診断項目とする場合に選択します。

［条件名］/［項目］/［キーワード］を設定します。

表11-5-1-6-2.カスタム診断設定

是正アクション設定

是正アクションを設定します。

表示名1～3

Windowsクライアントの「セキュリティ診断結果詳細」画面に表示する是正アクションの表示名を設定します。

是正アクション1～3

是正サイトのURL、クライアントで実行する是正コマンド等を設定します。

例）http://server/corrective_action/index.html

　　C:\CorrectiveAction\Patch.vbs

　　CorrectiveActionPatch.bat

ファイル名のみの場合は、環境変数の“Path”に記述されたフォルダーにファイルを配置する必要があります。

表11-5-1-7-1.ふるまい検知設定

検知レベル設定

ふるまい検知の検知レベルを選択します。

選択したレベルによって、検知レベルが変わります。

［ブロックモード］/［ログモード］/［カスタム］

カスタム設定

クリックすると、「検知レベルカスタム設定」画面が表示されます。
検知レベルをカスタムで設定します。

検体収集

検体収集について設定します。

検体を保存する

マルウェアとして検出されたファイルをサーバーに保存する場合にチェックを入れます。

検体保存先

検体を保存するフォルダーパスを入力します。

検体サイズ上限

保存する検体のサイズ上限を入力します。

上限サイズ以上の検体は保存されません。

検体圧縮パスワード

検体を圧縮する際に設定するパスワードを入力します（半角英数字/半角記号で1～32文字）。

表示

クリックすると、入力した検体圧縮パスワードを確認できます。

検体保存先ユーザー名

検体保存先にアクセス可能なユーザー名を入力します。^（＊）

パスワードを変更する

パスワードを変更する場合にチェックを入れます。

パスワードが設定済みの場合のみ表示されます。

検体保存先パスワード/検体保存先パスワード（確認用）

検体保存先にアクセス可能なパスワードを入力します。^（＊）

エージェントの自動配布

ふるまい検知エージェントの自動配布について設定します。

エージェントを自動配布する

ふるまい検知エージェントの自動配布を許可する場合にチェックを入れます。

チェックを入れることで、ふるまい検知オプションが有効な運用中のクライアントにふるまい検知エージェントが自動的に配布されます。

表11-5-1-7-2.検知レベルカスタム設定

カスタム設定のリセット

リセットしたい検知レベルの設定を選択します。

［ブロックモード］/［ログモード］/［カスタム］

リセット

クリックすると、編集中の検知レベルの設定を編集前の状態にリセットできます。

クライアントによる手動操作

クライアントによる手動操作について設定します。

手動スキャン停止を禁止する

ユーザーが手動でスキャンを停止することを禁止する場合にチェックを入れます。

リアルタイムスキャン

リアルタイムスキャン時に対象となる範囲を選択します。

対象

リアルタイムスキャンの対象を選択します。

［すべてのディスク/ドライブ］/［ネットワークを除外］

Static分析エンジン

Static分析エンジンについて設定します。

Static分析エンジンを有効にする

Static分析エンジンを有効にする場合にチェックを入れます。

マルウェア検出感度

マルウェアの検出感度を選択します。

［高］/［中］/［中低］/［低］

検知時にブロックする

検知時にブロックする場合にチェックを入れます。

Sandboxエンジン

Sandboxエンジンについて設定します。

Sandboxエンジンを有効にする

Sandboxエンジンを有効にする場合にチェックを入れます。

検知時にブロックする

検知時にブロックする場合にチェックを入れます。

HIPSエンジン

HIPSエンジンについて設定します。

HIPSエンジンを有効にする

HIPSエンジンを有効にする場合にチェックを入れます。

検知時にブロックする

検知時にブロックする場合にチェックを入れます。

検知時にアクション選択ダイアログを表示する

検知時にアクション選択ダイアログを表示する場合にチェックを入れます。

機械学習エンジン

機械学習エンジンについて設定します。

機械学習エンジンを有効にする

機械学習エンジンを有効にする場合にチェックを入れます。

検知時にブロックする

検知時にブロックする場合にチェックを入れます。

脆弱性対策

脆弱性対策について設定します。

脆弱性攻撃防御エンジンを有効にする

脆弱性攻撃防御エンジンを有効にする場合にチェックを入れます。

検知時にブロックする

検知時にブロックする場合にチェックを入れます。

DLL Hijacking脆弱性対策機能を有効にする

DLL Hijacking脆弱性対策機能を有効にする場合にチェックを入れます。

Java設計脆弱性対策機能を有効にする

Java設計脆弱性対策機能を有効にする場合にチェックを入れます。

ZDP競合対策機能を有効にする

ZDP競合対策機能を有効にする場合にチェックを入れます。

Windows Defender

Windows Defenderについて設定します。

Windows Defender連携を行う

Windows Defender連携を行う場合にチェックを入れます。

チェックを入れると、［Windows Defender機能］で機能ステータスを選択できるようになります。

ただし、Windows Defender連携で検知したマルウェアは、［セキュリティ］メニュー→「ふるまい検知」画面では表示されず、アラート通知もされません。

Windows Defender機能

Windows Defenderの機能ステータスを選択します。

［無効］/［有効］/［デフォルト］

［デフォルト］を選択すると、クライアントで設定しているWindows Defenderの設定に準拠します。

表11-5-1-7-3.検知レベルによる設定の違い

クライアントによる手動操作

手動スキャン停止

許可

許可

リアルタイムスキャン

対象

すべてのディスク/ドライブ

すべてのディスク/ドライブ

Static分析エンジン

有効/無効

有効

有効

マルウェア検出感度

中

中

検知時の動作

ブロックする

ブロックしない

Sandboxエンジン

有効/無効

有効

有効

検知時の動作

ブロックする

ブロックしない

HIPSエンジン

有効/無効

有効

有効

検知時の動作

ブロックする

ブロックしない

アクション選択ダイアログの表示

表示する

表示しない

機械学習エンジン

有効/無効

有効

有効

検知時の動作

ブロックする

ブロックしない

脆弱性対策

脆弱性攻撃防御エンジンを有効にする

有効

有効

検知時の動作

ブロックする

ブロックしない

DLL Hijacking脆弱性防御機能

有効

有効

Java設計脆弱性対策機能

有効

有効

ZDP競合対策機能

有効

有効

Windows Defender

Windows Defender連携を行う

連携する

連携する

有効/無効

有効

有効

   “HKEY_CURRENT_USER” 配下のレジストリ値について

“HKEY_CURRENT_USER” 配下のレジストリを取得する場合は、ログオンユーザーの情報が取得されます。

   クライアントから収集されるソフトウェアインベントリ

Windowsクライアントからデフォルトで収集されるソフトウェアインベントリは、次のとおりです。

･［プログラムと機能］に表示されているソフトウェア

･［All Users］→［スタートメニュー］内のexeファイル

･Windowsのスタートメニュー→［設定］→［アプリ］→［アプリと機能］に表示されているストアアプリ情報

･“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths” 内のソフトウェア

･“HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\App Paths” 内のソフトウェア（64bitOSの場合）

･禁止ソフトウェア

Macクライアントからデフォルトで収集されるソフトウェアインベントリは、［Applications］内のアプリです。

上記の情報以外を収集する場合は、→［基本ポリシー］→［PC収集］→［インベントリ収集］で、必要な収集設定をしてください。

   設定同期の際にPCの電源が入っていなかった場合

インベントリ収集後、設定同期の際にPCの電源が入っていなかった場合は、次回PCの起動時にインベントリが送信されます。

表11-5-2-1-1.ファイルインベントリ収集設定

ファイルインベントリ収集設定

から、収集するファイル名と検索条件を登録します（最大500件）。

収集ファイル名

収集したいファイルのファイル名を入力します。

検索条件

検索条件を選択します。

［完全一致］/［部分一致］

表11-5-2-1-2.レジストリインベントリ収集設定

レジストリインベントリ収集設定

から、収集するレジストリと検索条件を登録します（最大100件）。

ルートキー

収集したいレジストリのルートキーを選択します。

サブキー

収集したいレジストリのサブキーを入力します。

サブキー配下も検索対象にする

サブキー配下のキーも検索の対象とする場合にチェックを入れます。

検索条件

検索条件を選択します。

［完全一致］/［部分一致］/［全検索］/［（既定）を取得］

レジストリ文字列

収集したいレジストリ文字列を入力します。

表11-5-2-1-3.INIファイルインベントリ収集設定

INIファイルインベントリ収集設定

から、収集するINIファイルを登録します（最大30件）。

INIファイルパス

収集したいINIファイルパスを入力します。

セクション名

収集したいINIファイルのセクション名を入力します。

キー名

収集したいINIファイルのキー名を入力します。

表11-5-2-1-4.インベントリ収集設定

スケジュール設定

インベントリ収集するタイミングを設定します。

ログオン時

ユーザーのログオン時に、インベントリを収集します。

月

毎月の［実行する日］の［開始時刻］に、インベントリを収集します。

週

［繰り返す間隔］の週間ごとに、［実行する曜日］の［開始時刻］に、インベントリを収集します。

日

［繰り返す間隔］日ごとの［開始時刻］に、インベントリを収集します。

未収集判定日数

インベントリ未収集クライアントとして判定する未収集日数を設定します。
［スマートデバイス収集］の［インベントリ収集］→［未収集判定日数］と連動しています。

インベントリ送信結果通知設定

クリックすると、「インベントリ送信結果通知設定」画面が表示されます。インベントリ送信の成功時/失敗時に、ユーザーに通知する内容を設定します。

送信成功時に結果をユーザーに通知する

インベントリ送信に成功した場合に、結果をユーザーに通知する場合にチェックを入れ、入力欄に通知するメッセージを入力します。

送信失敗時に結果をユーザーに通知する

インベントリ送信に失敗した場合に、結果をユーザーに通知する場合にチェックを入れ、入力欄に通知するメッセージを入力します。

表11-5-2-2-1.ハードウェア管理情報収集設定

収集設定

ハードウェア管理情報の収集設定をします。

スケジュールによる収集を行う

ハードウェア管理情報を［収集開始日］以降に収集する場合にチェックを入れます。

収集開始日

ハードウェア管理情報の収集を開始する日を選択します。

ユーザー任意のタイミングの入力を許可する

Windowsクライアントのタスクトレイアイコンから任意のタイミングでハードウェア管理情報の入力を許可する場合にチェックを入れます。

利用者情報の入力を許可する^（＊）

利用者情報を、ユーザーが入力することを許可する場合にチェックを入れます。
利用者側で入力した情報は、ユーザー設定の情報として利用できます。

   『端末利用者ガイド』1-2-3.利用者・ハードウェア管理情報を収集する設定にしている場合

   利用者情報の入力を許可した場合

表11-5-2-2-2.ハードウェア管理情報一覧

必須項目がある場合、入力のキャンセルを許可しない

必須項目がある場合、クライアントに表示される「利用者・ハードウェア管理情報入力」画面の［キャンセル］ボタン、および［×］ボタンを無効にする場合にチェックを入れます。

［収集設定］の設定にかかわらず、ユーザーはすべての必須項目の入力が完了するまで、「利用者・ハードウェア管理情報入力」画面を閉じることができなくなります。

ハードウェア管理情報登録

から、ハードウェア管理情報を登録します（最大150件）。

項目名

ハードウェア管理情報の項目名を設定します。

入力形式

入力形式を選択します。

文字列

ユーザーに文字列を入力させる場合に選択します。

文字種の制限なし

ユーザーが入力する文字種を制限しない場合に選択します。

文字種を制限する

ユーザーが入力する文字種を制限する場合に選択します。

［半角英字］/［半角数字］/［半角記号］のうち、許可する文字種にチェックを入れます。

日付

ユーザーに日付形式のみ入力可能にする場合に選択します。

選択式

作成した選択肢からユーザーに選ばせる場合に選択します。

選択項目一覧

選択肢として追加する項目を入力します（最大10件）。

選択項目のコンボボックスに文字の入力を許可する

ユーザーが選択肢以外の任意の文字列を入力することを許可する場合にチェックを入れます。

必須項目

回答を必須項目にできます。

回答されていない場合は、ハードウェア管理情報の入力を終了させることができないようにします。

インベントリ収集を行う

インベントリ収集対象の項目にする場合にチェックを入れます。

項目説明

項目の説明を入力します。

表11-5-2-3-1.ふるまい検知

通知設定

マルウェア結果通知を設定します。

日次の通知

マルウェア検知結果の日次の通知について設定します。

システム管理者にマルウェア検知結果を毎日メールで通知する

マルウェア検知結果を毎日メールでシステム管理者に通知する場合にチェックを入れます。

マルウェア検知時の通知

マルウェア検知時の通知について設定します。

マルウェア検知時、即時にメール通知する

マルウェア検知時に、即時にメールでシステム/グループ管理者に通知する場合にチェックを入れます。

通知の詳細設定

クリックすると、「マルウェア検知通知設定」画面が表示されます。

日次通知のメール内容とマルウェア検知時の送信先、メール内容を設定します。

表11-5-2-3-2.マルウェア検知通知設定

日次の通知

マルウェア検知結果の日次の通知について設定します。

システム管理者にマルウェア検知結果を毎日メールで通知する

マルウェア検知結果を毎日メールでシステム管理者に通知する場合にチェックを入れます。

送信元メールアドレス

送信元のメールアドレスが表示されます。

件名

送信するメールの件名を入力します。

本文

送信する本文を入力します。

マルウェア検知時の通知

マルウェア検知時の通知について設定します。

マルウェア検知時、即時にメール通知する

マルウェア検知時に、即時にメールでシステム/グループ管理者に通知する場合にチェックを入れます。

送信元メールアドレス

送信元のメールアドレスが表示されます。

送信先

メールを送信する管理者にチェックを入れます。

［システム管理者］/［グループ管理者］

件名

送信するメールの件名を入力します。

本文

送信する本文を入力します。

   操作ログの収集設定後にソフトウェアの動作に異常が見られる場合

外部デバイスログ、ファイル操作ログ、プリンターログのいずれかの収集設定をすると、特定のソフトウェアが開けなくなったり、動作が遅くなったりする場合があります。ソフトウェアの操作に異常が見られる場合は、まず対処方法1をお試しください。対処方法1で改善しない場合は、対処方法2をお試しください。

対処方法1：操作ログの取得方法を変更する

① レジストリエディターを起動します。

② HKEY_LOCAL_MACHINE\SOFTWARE\Quality\ISMC\ISMCClient\OpeLog\Fileに、次の文字列値を追加します。
名前：CtrlServiceProcList
種類：REG_SZ

③ ②で追加した値の［データ］に、exeファイル名を登録します（半角カンマ区切りで複数登録することもできます。値は最大10,239文字で指定してください）。
対象のソフトウェアが「calc.exe」と「notepad.exe」の場合、次のように設定します。

④ OSを再起動します。

対処方法2：操作ログの収集対象から除外する（指定したソフトウェアの外部デバイスログ、ファイル操作ログ、プリンターログが取得できなくなりますのでご注意ください。）^（＊）

① レジストリエディターを起動します。

② 「対処方法1」で CtrlServiceProcList に登録したexeファイル名を削除します。

③ HKEY_LOCAL_MACHINE\SOFTWARE\Quality\ISMC\ISMCClient\OpeLog\Fileに、次の文字列値を追加します。
名前：CtrlProcList
種類：REG_SZ

④ ③で追加した値の［データ］に、exeファイル名を登録します（半角カンマ区切りで複数登録することもできます。値は最大10,239文字で指定してください）。
対象のソフトウェアが「calc.exe」と「notepad.exe」の場合、次のように設定します。

⑤ OSを再起動します。

＊→［基本ポリシー］→［PC収集］→［操作ログ収集］→［操作ログ収集詳細設定］→［共通］→［収集除外するプロセス名］で収集対象から除外するプロセス名を指定することもできます。ただし、この場合は、［基本ポリシー］/［個別ポリシー］の対象クライアントすべてで指定したプロセスが収集対象外となります。

   Google Workspaceで拡張機能を自動インストールする設定にしている場合

WebアクセスログやWebメール送信ログを収集する設定にしていると、本サービスの拡張機能のみインストールされてGoogle Workspaceで登録した拡張機能がインストールされません。

また、Google Workspaceで設定した拡張機能がインストールされている環境に、WebアクセスログやWebメール送信ログを収集する設定のクライアントプログラムをインストールすると、本サービス以外の拡張機能が削除されます。

Google Workspaceを利用して拡張機能を自動インストールする設定にしている場合は、以下のレジストリを設定してください。

キー：HKEY_LOCAL_MACHINE\SOFTWARE\Quality\ISMC\ISMCClient\OpeLog

名前：ChromePolicyFlg

種類：REG_DWORD

データ：1^（＊）

＊モジュールが設定を検知すると、［データ］の値は2になります。

なお、設定後の再起動は不要です。1分間隔で設定が適用されます。

配布機能を利用してレジストリを設定する場合は、以下を参照してください。

   10-9-2-5. レジストリ配布を設定する

表11-5-2-4-1.操作ログ収集設定

操作ログを収集する

操作ログを収集する場合にチェックを入れます。

操作ログデータの保存容量

Windows/Macクライアントに保存するデータ容量を設定します。システムサーバーに操作ログデータが送信されると、自動的に削除されます。

操作ログデータの保存容量を超えた場合

Windows/Macクライアントに保存するログデータが設定値を超えた場合に、ログ取得を停止するか古いログデータから削除するかを設定します。

［ログ取得を停止］/［古いログから削除］

通知設定

通知設定をします。

日次の通知

アラートの日次の通知について設定します。

システム管理者にアラート結果を毎日メールで通知する

システム管理者にアラート結果を毎日メールで通知する場合にチェックを入れます。

アラート発生時の動作

アラートの重要度ごとに、［即時アラート送信］/［ユーザーへの通知］/［スクリーンショット取得］をする場合にチェックを入れます。

即時アラートメール送信

ユーザーがアラート操作を行った際、即時に管理者にメールで通知する場合は［送信する］にチェックを入れます。^（＊）

ユーザーへの通知

ユーザーがアラート操作を行った際、アラート操作であることをユーザーに通知する場合は［送信する］にチェックを入れます。

スクリーンショット取得

ユーザーがアラート操作を行った際のスクリーンショットログを取得する場合は［取得する］にチェックを入れます。

通知の詳細設定

クリックすると、「通知の詳細設定」画面が表示されます。

アラートの日次の通知、アラート発生時の動作の詳細を設定します。

操作ログレポート関連のタイムゾーン設定

ログのシステムの登録時間/PC稼働ログの時刻などのタイムゾーンを設定します。

操作ログ送信停止時間帯

Windows/Macクライアントがシステムサーバーにログを送信しない時間帯を［時間帯１］、［時間帯２］で設定します。

操作ログ収集詳細設定

クリックすると、「操作ログ収集詳細設定」画面が表示されます。

収集する操作ログの設定や、収集から除外する操作ログの設定をします。

表11-5-2-4-2.通知の詳細設定

ユーザー通知

アラート操作発生時、ユーザーに通知するかどうか、スクリーンショットログを取得するかどうかを設定します。

緊急/警告/注意

緊急/警告/注意アラートそれぞれの操作についての動作を設定します。

アラート操作時、ユーザーに通知する

ユーザーがアラート操作を行った際に、アラート操作であることをユーザーに通知する場合にチェックを入れます。

通知メッセージ

ユーザーに通知するメッセージを入力します。

アラート操作時、スクリーンショットログを取得する

ユーザーがアラート操作を行った際のスクリーンショットログを取得する場合にチェックを入れます。

管理者通知

アラート結果を毎日メールで管理者に通知するかどうか、アラート操作発生時に即時にメールで通知するかどうかを設定します。

アラート結果を毎日メールで通知する

システム管理者にアラート結果を毎日メールで通知する場合にチェックを入れます。

送信元メールアドレス

送信元のメールアドレスが表示されます。

件名

送信するメールの件名を入力します。

本文

送信する本文を入力します。

緊急/警告/注意

緊急/警告/注意アラートそれぞれの操作についての動作を設定します。

アラート操作時、即時にメール通知する

ユーザーがアラート操作を行った際に、即時にシステム/グループ管理者にメールで通知する場合にチェックを入れます。

送信元メールアドレス

送信元のメールアドレスが表示されます。

送信先

メールを送信する管理者にチェックを入れます。

［システム管理者］/［グループ管理者］

件名

送信するメールの件名を入力します。

本文

送信する本文を入力します。

表11-5-2-4-3.操作ログ収集詳細設定

外部デバイス操作

外部デバイス操作ログの収集設定をします。

外部デバイスへの書き出しログを収集する

外部デバイスへの書き出しログを収集する場合にチェックを入れます。

以下の操作に対するログを収集しない

操作ログ収集の除外設定をします。

［挿入・取り出し］のチェックをオフにし、［承認済み外部デバイスの動作］のチェックをオンにした場合は、未承認の外部デバイスの挿入・取り出し、書き出しの操作ログが収集されます。

未承認の外部デバイスとは、［基本ポリシー］→［PC制御］→［承認済み外部デバイス一覧］に登録されていない外部デバイスのことです。

挿入・取り出し

書き出しログのみ収集する場合にチェックを入れます。

承認済み外部デバイスの操作

未承認の外部デバイスの操作ログのみ収集する場合にチェックを入れます。

以下の操作に対してアラート通知する

未承認の外部デバイスの挿入・書き出しの操作ログに対して、設定した重要度でアラートを通知します。

未承認デバイスの挿入

未承認の外部デバイスが挿入された際、アラート通知する場合はチェックを入れ、重要度を選択します。

未承認デバイスへの書き出し

未承認の外部デバイスに書き出しされた際、アラート通知する場合はチェックを入れ、重要度を選択します。

ファイル操作

ファイル操作ログの収集設定をします。

ファイル操作ログを収集する

ファイル操作ログを収集する場合にチェックを入れます。

収集対象とする拡張子

ファイル操作のログを収集する拡張子を設定します。

ドキュメントアクセスログを収集する

ドキュメントアクセスログを収集する場合にチェックを入れます。

以下の操作に対するログを収集しない

ファイル名とフォルダーパスによる除外設定をします。

特定のキーワードが含まれるファイルへの操作

設定したキーワード条件に当てはまるファイル名/フォルダーパスに関する操作ログを収集しない場合にチェックを入れます。

ファイル名による除外設定

から、除外するキーワード（ファイル名）を登録します。

キーワードの設定後に、除外するファイル操作種別にチェックを入れます。

ファイル名による除外設定一括登録

から、CSVファイルをインポートして一括登録します。

   11-12-4-3. ファイル操作（ファイル名による除外設定）

フォルダーパスによる除外設定

から、除外するキーワード（フォルダーパス）を設定します。

キーワードの設定後に、除外するファイル操作種別にチェックを入れます。

フォルダーパスによる除外を行う場合、指定するバスの冒頭と末尾から“\”を削除します。“\”が付いていると除外設定が動作しません。

フォルダーパスによる除外設定一括登録

から、CSVファイルをインポートして一括登録します。

   11-12-4-4. ファイル操作（フォルダーパスによる除外設定）

以下の操作に対してアラート通知する

設定したキーワード条件に当てはまるファイル名に関する操作ログに対して、設定した重要度でアラートを通知します。

ファイル名に特定のキーワードが含まれるファイルの操作

設定したキーワード条件に当てはまるファイル名のファイル操作に対して、設定した重要度でアラートを通知する場合にチェックを入れます。

アラート設定

から、アラート通知するファイル名の条件を登録します。

アラート設定一括登録

から、CSVファイルをインポートして一括登録します。

   11-12-4-5. ファイル操作（アラート設定）

Webメール送信

Webメール送信ログの収集設定をします。

Webメール送信ログを収集する

Webメール送信ログを収集する場合にチェックを入れます。

以下の操作に対するログを収集しない

Webメールの送信

Webメール送信ログを収集しない場合にチェックを入れます。また、ログ収集しないサービスにチェックを入れます。

［Gmail］/［Outlook.com］/［Yahoo!メール］/［OWA for Office365］

以下の操作に対してアラート通知する

Webメールの送信

Webメール送信ログに対して、設定した重要度でアラートを通知する場合にチェックを入れます。また、アラート通知の対象にするサービスにチェックを入れます。

［Gmail］/［Outlook.com］/［Yahoo!メール］/［OWA for Office365］

Webアクセス

Webアクセスログの収集設定をします。

Webアクセスログを収集する

Webアクセスを収集する場合にチェックを入れます。

以下の操作に対するログを収集しない

SNSサイトへの書き込みやURL/ドメイン/サイト名による除外設定をします。

SNSサイトへの書き込み

SNSサイトへの書き込みログを収集しない場合にチェックを入れます。

クラウドストレージへのアップロード

クラウドストレージへのアップロードに対して、アクセスログを収集しない場合にチェックを入れ、ログ収集しないサービスにチェックを入れます。

［Googleドライブ］/［OneDrive］/［Dropbox］/［QualitySoft SecureStorage］

特定のキーワードが含まれるWebサイトへのアクセス

設定したキーワード条件に当てはまるWebアクセスログを収集しない場合にチェックを入れます。

CSVインポートで一括登録できます。

除外設定

から、Webアクセスログを収集しないWebサイトの条件を登録します。

除外設定一括登録

から、CSVファイルをインポートして一括登録します。

   11-12-4-6. Webアクセス（除外設定/アラート設定）

以下の操作に対してアラート通知する

SNSサイトへの書き込みや、時間外のWebアクセス、特定のWebサイトへのアクセスに対して、設定した重要度でアラートを通知します。

SNSサイトへの書き込み

SNSサイトへの書き込みを設定した重要度でアラート通知する場合にチェックを入れます。

クラウドストレージへのアップロード

クラウドストレージへのアップロードに対して、アラート通知する場合にチェックを入れ、アラート通知の対象にするサービスにチェックを入れます。

［Googleドライブ］/［OneDrive］/［Dropbox］/［QualitySoft SecureStorage］

業務時間外のWebサイトへのアクセス

［業務時間帯設定］以外の時間のWebアクセスに対して、指定した重要度でアラート通知する場合にチェックを入れます。

特定のキーワードが含まれるWebサイトへのアクセスに対するアラート通知を行う

設定したキーワード条件に当てはまるWebアクセスログに対して、設定した重要度でアラートを通知します。

アラート設定

から、アラート通知するWebサイトの条件を登録します。

アラート設定一括登録

から、CSVファイルをインポートして一括登録します。

   11-12-4-6. Webアクセス（除外設定/アラート設定）

PC稼働

PC稼働ログの収集設定をします。

PC稼働ログを収集する

PC稼働ログを収集する場合にチェックを入れます。

以下の操作に対するログを収集しない

スタンバイ、スタンバイからの復帰ログ

スタンバイログ、スタンバイからの復帰ログを収集しない場合にチェックを入れます。

以下の操作に対してアラート通知する

業務時間外のPC利用

［業務時間帯設定］で設定した時間以外の時間にPC稼働ログが取得された際、アラート通知する場合はチェックを入れ、重要度を選択します。このアラート通知は、クライアントOSのみ対応しています。

プリンター

プリンターログの収集設定をします。

プリンターログを収集する

プリンターログを収集する場合にチェックを入れます。

以下の操作に対してアラート通知する

指定枚数以上の印刷、特定ドキュメントの印刷に対して、設定した重要度でアラートを通知します。

指定枚数以上の印刷

指定枚数を超えた場合に、設定した重要度でアラートを通知します。

ドキュメント名に特定のキーワードが含まれるプリンター操作

設定したキーワード条件に当てはまるドキュメント名の印刷に対して、設定した重要度でアラートを通知します。

アラート設定

から、アラート通知するドキュメント名の条件を登録します。

アラート設定一括登録

から、CSVファイルをインポートして一括登録します。

   11-12-4-7. プリンター（アラート設定）

システム

システムログの収集設定をします。

以下の操作に対してアラート通知する

インストールドライブの残容量、操作ログの未送信、プラグインの不正停止、時刻の変更に対して、設定した重要度でアラートを通知します。

クライアントのインストールドライブの残容量が設定値以下になったときにアラート通知する

クライアントのインストールドライブの残容量が設定値以下になったときにアラート通知する場合にチェックを入れ、重要度を選択します。

割合で指定する場合は［割合指定］を選択し、何パーセント以下の場合に通知するかの数値を入力します。

容量で指定する場合は［容量指定］を選択し、何MB以下の場合に通知するかの数値を入力します。

指定した日数以上、ログが送信されなかったときにアラート通知する

［ログ停止日数］で指定した日数以上、ログが送信されなかったときにアラート通知する場合にチェックを入れ、重要度を選択します。

［ログ停止日数］に何日以上ログが取得されなかった場合に通知するかの日数を入力します。

Webメール送信ログ、Webアクセスログの収集に必要なプラグインが不正停止されたときにアラート通知する

Webメール送信ログ、Webアクセスログの収集に必要なプラグインが不正停止されたときにアラート通知する場合にチェックを入れ、重要度を選択します。

PCのシステム時刻が+-10分以上変更されたときにアラート通知する

PCのシステム時刻が±10分以上変更されたときにアラート通知する場合にチェックを入れ、重要度を選択します。

共通

外部デバイス操作ログ、ファイル操作ログ、プリンターログの収集から除外するプロセス名を設定します。Windowsクライアントのみ対応しています。

収集除外するプロセス名

収集から除外するプロセス名をカンマ区切りで入力します（1プロセス名につき130文字、全プロセス名で10,000文字まで）。

カンマを含むプロセス名を指定する場合は、プロセス名のカンマを“\,”（\は半角）と入力します。

なお、除外するプロセスは、クライアントに設定が反映されたあとに起動したプロセスが対象です。また、設定後にOSの再起動が必要な場合があります。

   操作ログ収集設定を変更すると再起動が必要な場合があります！

外部デバイスへの書き出しログ/ファイル操作ログ/プリンターログは、ファイル操作取得用のドライバーをインストールする必要があるため、OSの再起動が必要です。

Webアクセスログ/Webメール送信ログは、Webプラグインを有効化するために、Webブラウザーの再起動が必要です。除外設定、アラート設定を変更した場合は、Webブラウザーの再起動は不要です。

   バージョンアップ後は収集対象とする拡張子を確認してください！

Ver.6.5.1i以降にバージョンアップすると、［ファイル操作］の［収集対象とする拡張子］に以下の拡張子が追加されます。

･rtf

･pages

･numbers

･key

バージョンアップ後に、必要に応じて対象とする拡張子を追加/削除してください。

   CD/DVDのディスクデュプリケーターを使用する場合

ディスクデュプリケーターを使用してメディアに書き込みをした場合、書き込み後にエラーが発生し、レーベル印刷に失敗する場合があります（事象が確認された機種：EPSON PP-100）。問題が発生した場合は、次の手順でディスクデュプリケーターに内蔵しているドライブをライティングログの取得対象から除外してください（指定したドライブに対するライティングログが取得できなくなりますので、ご注意ください）。

① レジストリエディターを起動します。

② HKEY_LOCAL_MACHINE\SOFTWARE\Quality\ISMC\ISMCClient\OpeLog\File に、次の文字列値を追加します。
名前：WritingExcDrive
種類：REG_SZ

③ ②で追加した値の［データ］に、ディスクデュプリケーターに内蔵しているドライブのドライブレターを指定します（半角カンマ区切りで複数指定することもできます）。
ドライブレターがE: とF: の場合、次のように設定します。

④ OSを再起動します。

表11-5-3-1-1.外部デバイス制御

外部デバイスの自動起動を抑止する

外部デバイス挿入時の自動起動を抑止する場合にチェックを入れます。

外部デバイスの使用を制限する

外部デバイスの使用を制限する場合にチェックを入れます。

各デバイスの制御方法（書き込み許可、読み取り専用、読み書き禁止）を選択します。

CD／DVD／BDドライブ

CD/DVD/BDドライブの制御方法を選択します。

［許可］/［読み取り専用］/［禁止］

承認済み外部デバイス

［承認済み外部デバイス一覧］に登録している外部デバイスの制御方法を選択します。

［許可］/［読み取り専用］/［禁止］

カードリーダーを［承認済み外部デバイス一覧］に登録した場合、対象のカードリーダー経由で接続したデバイスはすべて同じ制御設定になります。

ポータブルデバイス^（＊）

ポータブルデバイスの制御方法を選択します。

［許可］/［読み取り専用］/［禁止］

iTunesでの接続 ^（＊）

iTunesでの接続の制御方法を選択します。

［許可］/［禁止］

その他の外部デバイス

次の外部デバイスの制御方法を選択します。

［許可］/［読み取り専用］/［禁止］

･未承認の外付けHDD

･フロッピーディスク

･未承認のUSBメモリ

･未承認のSD/SmartMedia/CompactFlash

･未承認のSD/SmartMedia/CompactFlashカードリーダー

･未承認のデジタルカメラ（カードリーダーモード、マスストレージクラスなど）

･未承認のAndroid端末（カードリーダーモード、マスストレージクラスなど）

外部デバイス制御通知設定

クリックすると、「外部デバイス制御通知設定」画面が表示されます。

ユーザーが外部デバイスを接続した際に、ユーザーに通知するかどうかの設定をします。また、個別設定で外部デバイスの使用を一時的に許可している場合、ユーザーに有効期限を通知するかどうかの設定をします。

クライアントからの使用申請を有効にする

読み取り専用や読み書き禁止に設定している外部デバイスをユーザーが使用したい場合に、管理者に使用申請することを許可するかどうかを設定します。

使用申請は、「外部デバイス使用申請一覧」画面で管理できます。管理者が承認すると、対象の外部デバイスを使用できるようになります。

外部デバイス使用申請一覧へ

クリックすると、［セキュリティ］メニュー→［外部デバイス制御］→［外部デバイス使用申請一覧］に移動します。

表11-5-3-1-2.外部デバイス制御通知設定

ユーザー通知

外部デバイス使用申請の承認・却下の結果をユーザーに通知するかどうかを設定します。

外部デバイス接続時にユーザーに通知する

ユーザーが端末に外部デバイスを接続した際、通知する場合にチェックを入れ、入力欄に通知するメッセージを入力します。

なお、デフォルトで「外部デバイスが接続されました。」というメッセージが設定されています。デフォルトのメッセージの下に入力した内容が表示されます。

申請結果をユーザーに通知する

外部デバイス使用申請の承認・却下の結果をユーザーにメールで通知する場合にチェックを入れます。

承認した申請を却下した場合や、却下した申請を承認した場合も通知されます。

送信元メールアドレス

送信元のメールアドレスが表示されます。

承認時

外部デバイス使用申請を管理者が承認した場合に送信するメールの件名と本文を入力します。

却下時

外部デバイス使用申請を管理者が却下した場合に送信するメールの件名と本文を入力します。

一時的に変更したクライアント個別の制御設定の有効期限を通知します。

個別に設定した有効期限をユーザーに通知する場合にチェックを入れます。

有効期限の［］日前に通知する

個別に設定した有効期限が切れる何日前に通知するかの日数を入力します。

表示メッセージ

ユーザーに表示するメッセージを入力します。

管理者通知

ユーザーから外部デバイス使用申請がされた際に通知するかどうかを設定します。

使用申請を管理者に通知する

ユーザーから外部デバイス使用申請がされた際に、システム/グループ管理者にメール/コンソール上のお知らせで通知する場合にチェックを入れます。

通知先

メールを送信する管理者にチェックを入れます。

［システム管理者］/［グループ管理者］

通知方法

管理者への通知方法を選択します。

［メール］/［コンソール上のお知らせ］

件名

メール/コンソール上のお知らせに表示する件名を入力します。

本文

メール/コンソール上のお知らせに表示する本文を入力します。

   ［外部デバイスの自動起動を抑止する］設定を有効にする場合

Windows 7で［外部デバイスの自動起動を抑止する］の設定を有効にした場合は、OSの仕様上、クライアントに設定されているネットワークドライブの表示名がデフォルトの状態に戻ります。

   Macで外部デバイス制御機能を利用する場合

以下は、外部デバイス制御機能の対象外となります。

･ポータブルデバイス制御

･iTunes制御

･自動起動制御

   CD/DVD/BDドライブの制御

外部デバイス制御設定はWindowsクライアントとMacクライアントに同様に適用されます。

ただし、MacクライアントではCD/DVD/BDドライブの使用申請ができないため、申請・承認によりCD/DVD/BDドライブの使用を［許可］に変更することはできません。

［禁止］または［読み取り専用］を設定する場合、Macクライアントで使用を許可するには、対象のMacクライアントに対してCD/DVD/BDドライブを［許可］に設定した個別ポリシーを適用してください。

表11-5-3-2.承認済み外部デバイス一覧

追加

から選択すると、「承認済み外部デバイス登録」画面が表示されます。

承認済み外部デバイスとして登録する外部デバイス情報を設定します。

外部デバイス情報取得ツールを使用して登録する

外部デバイス情報取得ツールを使用してクリップボードにコピーした情報を、［外部デバイス情報］欄に貼り付けて［適用］ボタンをクリックします。

承認KEYが付与されている場合は、［承認KEYで判定する］がオンになり、［承認KEY］が自動的に入力されます。

承認KEYが付与されていない場合は、［デバイス情報で判定する］がオンになり、［ベンダーID］、［製品ID］、［シリアル番号］が自動的に入力されます。［シリアル番号］の値がある場合、［判定条件にシリアル番号を含める］にチェックが入ります。

   10-15. 承認済み外部デバイスを登録する

判定条件

判定条件を選択します。

承認KEYで判定する

承認KEYで判定する場合にオンにし、［承認KEY］欄に承認KEYを入力します。

デバイス情報で判定する

外部デバイスのデバイス情報で判定する場合にオンにし、ベンダーID、製品ID、シリアル番号（［判定条件にシリアル番号を含める］にチェックを入れた場合）を入力します。

補足情報

必要に応じて、補足情報を入力します。

ベンダー名

ベンダー名を入力します。

製品名

製品名を入力します。

ウイルス対策を実施している

ウイルス対策を実施している外部デバイスの場合にチェックを入れます。

データ暗号化を実施している

データ暗号化を実施している外部デバイスの場合にチェックを入れます。

概要説明

外部デバイスの概要を入力します。

外部デバイス利用情報から選択して追加

から選択すると、「外部デバイス情報選択」画面が表示されます。

クライアントに接続した外部デバイスの情報から、承認する外部デバイスを選択して登録します。

承認済み外部デバイス一括登録

から、CSVファイルをインポートして一括登録します。

   11-12-4-8. 承認済み外部デバイス

   暗号化機能のあるUSBメモリを登録する場合の注意点

暗号化機能のあるUSBメモリを使用する場合、USBメモリによっては暗号化解除前と解除後で製品IDが異なるものがあります。
この場合は、暗号化解除前と解除後で登録を行う必要があります。

また、暗号化解除後の製品IDがWindowsとMacで異なる外部デバイスがあります。
この場合は、暗号化解除前、Windowsでの暗号化解除後、Macでの暗号化解除後の3つの情報を登録する必要があります。Macでの暗号化解除後の製品IDについては、外部デバイス制御が有効のMacに外部デバイスを挿入し、暗号化を解除したあと、［セキュリティ］メニュー→［外部デバイス制御］→［外部デバイス使用履歴］で確認してください。

   カードリーダーを登録する場合の注意点

カードリーダー本体の登録になるため、登録したカードリーダーに接続したUSBメモリやメモリカードは、すべて承認済み外部デバイスとして扱われます。

   承認KEYを付与できない外部デバイス

承認KEYは、ファイルの書き出しができるリムーバブルデバイスに対して付与できます。

付与できない外部デバイスは次のとおりです。

･ポータブルデバイス

･イメージングデバイス

･FD

･CD/DVD/BD

表11-5-3-3.通信デバイス制御

Bluetooth

Bluetoothデバイスとの通信を制御します。

Bluetoothデバイスの使用を制限する
^（＊1）

Bluetoothデバイスとの通信を禁止する場合にチェックを入れます。

IPアドレス（Wi-Fi／有線LAN）^（＊2）

IPアドレス（Wi-Fi/有線LAN）への接続を制御します。

TCP/UDPプロトコル通信のみ対象になります。

接続を許可するIPアドレスを指定する

接続を許可するIPアドレスを指定する場合にチェックを入れます。

接続許可IPアドレス登録

から、接続を許可するIPアドレスの範囲を設定します。

IPアドレス制御設定一括登録

から、CSVファイルをインポートして一括登録します。

   11-12-4-9. IPアドレス制御設定

SSID（Wi-Fi）

SSID（Wi-Fi）への接続を制御します。

TCP/UDPプロトコル通信のみ対象になります。

接続を許可するSSIDを指定する

接続を許可するSSIDを指定する場合にチェックを入れます。

接続許可SSID登録

から、接続を許可するSSIDを設定します。

接続許可SSID一括登録

から、CSVファイルをインポートして一括登録します。

   11-12-4-10. SSID制御設定

   バージョンアップ時に通信デバイス制御を有効にする場合

Ver.6.4iより前のバージョンから本バージョンにバージョンアップする際に、通信デバイス制御を有効にする場合はOSの再起動が必要です。

   付録-12-1-2. 通信デバイス制御を有効にする

   ［接続を許可するIPアドレスを指定する］をオンにする場合

IPアドレス（Wi-Fi／有線LAN）の制御を有効にする場合、接続が必要なサーバーのIPアドレスを登録する必要があります。

登録していない場合、クライアントから接続が必要なサーバーへのアクセスができなくなります。

例）プロキシサーバー、ドメインサーバー

   リンククローン環境でIPアドレス制御を有効にする場合

リンククローン環境でIPアドレス（Wi-Fi／有線LAN）の制御を有効にする場合、［接続許可IPアドレス登録］で接続元PCのIPアドレスを登録する必要があります。

   対応OSについて

以下のOSでは、通信デバイス制御を行うことができません。

･Windows XP/Vista/8

･サーバーOS

･Mac

   IPアドレス制御対象外のポート

DNSが使用するポート（TCP/UDP 53）、NetBIOSの名前解決で使用するポート（TCP/UDP 137）、およびDHCPが使用するポート（TCP/UDP 67）はIPアドレス制御対象外です。

これらのポートを使用して通信するアプリケーションが存在した場合、そのアプリケーションによる通信は制御できません。

   接続許可SSID登録

［SSID］欄では、ワイルドカード文字“<*>”が使用できます（ただし、指定できるのは1箇所のみです）。

表11-5-3-4.高速スタートアップ

高速スタートアップの設定を行う

Windowsの高速スタートアップの設定を行う場合にチェックを入れます。

有効にする

高速スタートアップを有効にする場合に選択します。

無効にする

高速スタートアップを無効にする場合に選択します。

   グループポリシーで制御している場合

Active Directoryのグループポリシー、またはローカルグループポリシーで高速スタートアップの設定を制御している場合は、グループポリシーでの設定が優先されます。

   対応OSについて

以下のOSのみ、高速スタートアップの制御が行えます。

･Windows 10

･Windows 11

･Windows Server 2016

･Windows Server 2019

･Windows Server 2022

表11-5-3-5-1.Windows 10 / 11 Update設定

プログラム適用延長日数を指定する

プログラムの適用延長日数を指定する場合にチェックを入れます。^（＊）

機能更新プログラム適用延長日数

機能更新プログラムの適用延長日数を入力します（0～365）。

なお、Windows 10 バージョン 1607とWindows Server 2016では、設定できる最大値は180です。180より大きな値が設定されている場合は、180で設定されます。

品質更新プログラム適用延長日数

品質更新プログラムの適用延長日数を入力します（0～30）。

   グループポリシーで制御している場合

Active Directoryのグループポリシー、またはローカルグループポリシーでWindows 10/11 Update設定を制御している場合^（＊）は、グループポリシーの設定と本サービスの［Windows 10 / 11 Update設定］の設定がそれぞれ異なるタイミングで適用されるため、動作不定となります。［プログラム適用延長日数を指定する］のチェックを外して、グループポリシーでWindows Updateを制御するようにしてください。

＊グループポリシーの［管理用テンプレート］→［Windows コンポーネント］→［Windows Update］→［Windows Update for Business］の配下にある次の項目のどちらか一方または両方で、［有効］または［無効］がオンになっている状態を指します。
・［プレビュービルドや機能更新プログラムをいつ受信するかを選択してください］
・［品質更新プログラムをいつ受信するかを選択してください］

   対応OSについて

以下のOSは、Windows 10 / 11 Update設定を行うことができません。

･Windows 10 Home

･Windows 11 Home

   Windows 10 / 11 アップデート支援機能を利用する場合

Windows 10 / 11 アップデート支援機能を利用する場合、設定した内容で更新プログラムを適用するためには、クライアントのWindows Updateの設定で更新プログラムが適用されるのを防ぐ必要があります。以下のいずれかの設定を行ってください。

･→［基本ポリシー］→［PC制御］→［ソフトウェア自動更新］→［Windows 10 / 11 Update設定］で、［プログラム適用延長日数を指定する］にチェックを入れ、［機能更新プログラム適用延長日数］、［品質更新プログラム適用延長日数］にそれぞれ最大日数を入力する^（＊）

･Active Directoryのグループポリシー、またはローカルグループポリシーでWindows 10/11 Update設定を制御している場合は、グループポリシーでの設定が優先されます。本サービスの［Windows 10 / 11 Update 設定］を無効にしてください。

＊指定した日数を過ぎると、自動で更新プログラムが適用されますので注意してください。また、Windows Server 2016/Windows Server 2019/Windows Server 2022も対象となります。Windows Server 2016/Windows Server 2019/Windows Server 2022のWindowsクライアントを個別に制御したい場合は、個別ポリシーを設定してください。

   10-7. 個別ポリシーを設定する

表11-5-3-5-2.Windows Update自動設定

Windows Update自動設定を行う

Windows Updateの自動設定をする場合にチェックを入れます。^（＊1）

クライアントOS/サーバーOS

クライアントOS/サーバーOSごとにWindows Update自動設定をします。

更新方法を指定する

Windows Updateの更新方法を指定する場合にチェックを入れ、更新方法を選択します。

自動（推奨）

推奨されるWindows Updateの更新を自動的にダウンロードする場合に選択し、インストールする曜日と時刻を設定します。^（＊2）

更新は自動的にダウンロードするが、インストールは手動で実行する

Windows Updateの更新は自動的にダウンロードするが、インストールは手動で行う場合に選択します。

更新は通知するのみで、自動的なダウンロードまたはインストールを実行しない

Windows Updateの更新は通知するのみで、自動的なダウンロードまたはインストールを行わない場合に選択します。

自動更新を無効にする

Windows Updateの自動更新を無効にする場合に選択します。

パッチ適用後の再起動を抑止する

更新後のOSの再起動を抑止する場合にチェックを入れます。

プロキシを設定する

プロキシを設定する場合にチェックを入れます。

プロキシ設定

から、Windows Updateで使用するプロキシを設定します。
IPアドレス範囲ごとにプロキシの設定ができます。

対象IPアドレス範囲

プロキシ設定するIPアドレス範囲を設定します。

すべてのPCに同じプロキシ設定をするか、IPアドレス範囲を指定してプロキシ設定をするかを選択します。

［全範囲に適用する］/［範囲を指定する］

［範囲を指定する］を選択した場合、IPアドレスとサブネットマスクを設定します。

プロキシサーバー

プロキシサーバーを使用しないか、個別に指定するかを選択します。

［使用しない］/［指定する］

［指定する］を選択した場合は、IPアドレスとポート番号を入力します。

既存設定に上書きする

Windows Vista/Windows Server 2008以降のWindowsクライアントに対してWindows Updateの更新設定を適用する場合にチェックを入れます。

   既存設定に上書きする

Windows Vista/Windows Server 2008以降のWindowsクライアントに対してWindows Updateの更新設定を適用するには、［既存設定に上書きする］にチェックを入れる必要があります。

ただし、ローカルシステムアカウントで動作するソフトウェア（主にサービスとして動作するもの）にてプロキシ設定が行われている場合、本サービスのプロキシ設定に上書きされることがあります。

クライアントがWindows Server 2003以前のOSのみで構成されており、ローカルシステムアカウントのプロキシ設定が行われていない場合は、チェックを入れる必要はありません。

   ［Windows Update自動設定］の設定を適用できないクライアント

OSがWindows 10/Windows Server 2016以降で、Active Directoryに参加しているクライアントには、本サービスの［Windows Update自動設定］の設定は適用されません。

   グループポリシーで制御している場合

Active Directoryのグループポリシー、またはローカルグループポリシーでWindows Updateの自動更新を構成している場合^（＊）は、クライアントがActive Directoryに参加しているかどうかと、そのクライアントのOSによって、本サービスの［Windows Update自動設定］の動作が異なります。

クライアントがActive Directoryに参加している場合の動作は、次のとおりです。

･Windows 10/Windows Server 2016以降：本サービスの［Windows Update自動設定］の設定は適用されません。

･Windows 8.1/Windows Server 2012以前：グループポリシーの設定が優先されます。

クライアントがActive Directoryに参加していない場合の動作は、次のとおりです。

･Windows 10/Windows Server 2016以降：ローカルグループポリシーの設定と本サービスの［Windows Update自動設定］の設定がそれぞれ異なるタイミングで適用されるため、動作不定となります。対象クライアントに、［Windows Update自動設定を行う］のチェックを外した個別ポリシーを割り当てたうえで、ローカルグループポリシーでWindows Updateを制御するようにしてください。

･Windows 8.1/Windows Server 2012以前：ローカルグループポリシーの設定が優先されます。

＊グループポリシーの［管理用テンプレート］→［Windows コンポーネント］→［Windows Update］の配下にある［自動更新を構成する］で、［有効］または［無効］がオンになっている状態を指します。

表11-5-3-5-3.その他ソフトウェア

Adobe製品

Adobe製品の自動アップデートを設定します（Adobe対応製品一覧の最新情報は、https://ismcloudone.com/profile/を参照してください）。

自動アップデート設定を上書きする

Adobe製品の自動アップデート設定を上書きする場合にチェックを入れ、上書きする設定を選択します。

自動的にアップデートをインストールする

自動的にアップデートをインストールする場合に選択します。

アップデートを自動的にダウンロードするが、インストールするときは指定する

アップデートを自動的にダウンロードするが、インストールするときは指定する場合に選択します。

アップデートのダウンロードやインストールを自動的に行わない

アップデートのダウンロードやインストールを自動的に行わない場合に選択します。

Webブラウザー

Webブラウザーの自動アップデートを設定します（ブラウザー対応製品一覧の最新情報は、https://ismcloudone.com/profile/を参照してください）。

Firefox

Firefoxの自動アップデートを設定します。

自動アップデート設定を上書きする

Firefoxの自動アップデート設定を上書きする場合にチェックを入れます。

Firefoxの更新を自動的に確認する

Firefoxの更新を自動的に確認する場合にチェックを入れます。

更新の確認は行うが、インストールするかどうかを選択する

Firefoxの更新の確認は行うが、インストールするかどうかはユーザーに選択させる場合に選択します。

自動的に更新をダウンロードしてインストールする

自動的にFirefoxの更新をダウンロードしてインストールする場合に選択します。

更新によりアドオンが無効化される場合は警告する

Firefoxの更新によってアドオンが無効化されることを警告する場合に選択します。

   Windows XP/Windows Server 2003の場合は、管理者権限が必要です！

OSにユーザー権限のアカウントでログオンしている場合、Adobe AcrobatおよびAdobe Readerの自動アップデートが行えません。これは、Adobe AcrobatとAdobe Readerがユーザー権限でのアップデートに対応していないためです。

管理者権限のアカウントでログオンすると、設定した内容に沿ってアップデートが行われます。

プリンタードライバー制御設定をするために、事前にプリンター情報を収集します。

   10-4-1. プリンター情報を登録する

表11-5-3-6-1.プリンタードライバー一覧

機種名

プリンターの機種名が表示されます。

プリンター種別

プリンターのメーカー名が表示されます。

［キヤノン］/［リコー］

お気に入り

お気に入り設定が表示されます。

［設定あり］/（空欄）

ポート

ポート設定が表示されます。

［設定あり］/（空欄）

表11-5-3-6-2.プリンタードライバー制御設定

プリンター情報

プリンター情報（プリンター種別、IPアドレス、MACアドレス）が表示されます。

プリンターポート設定

プリンタードライバー制御設定をします。

指定したポート番号を使用する

プリンタードライバーの設定をする場合にチェックを入れます。

ポート名

使用するポート名を入力します。

プリンター名またはIPアドレス

プリンター名またはIPアドレスを入力します。

プロトコル

プロトコルを選択します。

［Raw］/［LPR］

ポート番号

［プロトコル］で［Raw］を選択した場合に、プリンターの接続ポート番号を入力します。

キュー名

［プロトコル］で［LPR］を選択した場合に、キュー名を入力します。

LPRバイトカウントを有効にする

［プロトコル］で［LPR］を選択した場合に設定します。LPRバイトカウントを有効にする場合にチェックを入れます。

SNMPステータスを有効にする

クライアントからSNMPプロトコルを使い、プリンター本体に対して障害などのイベント確認を求める場合にチェックを入れます。

対象プリンターの［SNMPコミュニティ名］と［SNMPデバイスインデックス］を入力します。

印刷設定

印刷設定をします。

お気に入り設定を行う

プリンタードライバーのお気に入り設定をする場合にチェックを入れます。

キヤノンのプリンタードライバーのみ設定できます。

［お気に入り名］欄に任意の名前を入力し、印刷設定をします。

［出力方法］、［印刷方法］、［カラーモード］、［トナー節約モード］、［ページレイアウト］、［日付表示］、［ユーザー名表示］、［ページ番号表示］を設定できます。

表11-5-3-7.削除フォルダー一覧

削除フォルダー登録

から、削除フォルダーを登録します。

設定名

設定名を入力します。

説明

説明を入力します。

削除フォルダー一覧

［環境変数］でフルパス指定か環境線数を選択して削除するフォルダーを設定します。

別の設定をコピーして上書き

別のフォルダー設定で上書きすることができます。

環境変数

フルパスで設定するか環境変数を使用するかを選択します。次の項目から選択します。

［フルパス指定］/［%WinDir%］/［%ProgramFiles%］/［%ProgramFiles(x86)%］/［%AllUsersProfile%］

パス

フォルダーパスを入力します。

指定するバスの冒頭と末尾から“\”を削除します。

   削除フォルダーの指定先に注意してください！

･削除フォルダーとしてシステムフォルダー（%WinDir%）を指定した場合、OSが正しく動作しなくなる可能性があります。

･%AllUsersProfile%Microsoft\wlansvcの情報を削除するとWi-Fi接続情報が削除されるため、Wi-Fi接続のみの環境は、ネットワーク接続ができなくなります。そのため、本サービスでの制御ができなくなる可能性があります。

･ドライブ直下を指定する場合、指定フォルダー削除実行後にドライブが破損し、再フォーマットを行わないとアクセスできなくなります。ドライブ内の全データの削除のみを行いたい場合は、ドライブ直下のフォルダーを個別に指定するようにしてください。

   指定フォルダーの削除が可能なドライブについて

指定フォルダーの削除が可能なドライブは、内蔵ハードディスク、またはリムーバブルと判定される外部デバイスです。

外部デバイス制御で読み込み/書き込み操作を制限している場合や暗号化USBメモリの場合は、指定フォルダーの削除ができません。外部デバイス制御の制御状態により指定フォルダーの削除の動作が異なります。

･読み込み/書き込みが禁止の場合：指定パスの存在を確認できないため削除処理がスキップします。
実行結果のステータスは、［成功］になります。

･読み込みのみ許可の場合：指定パスの存在を確認できるため削除処理が実行されますが、削除できません。
実行結果のステータスは、［実行中］になります。指定フォルダーの削除処理を停止するには、［キャンセル］をクリックしてください。

表11-5-4-1.セキュリティ診断基本設定

セキュリティレベル判定設定

セキュリティ診断の結果を管理者に通知する際の情報について設定します。

セキュリティアラートメールに未収集クライアント情報を含める

システム管理者に送信する日次アラートメールに、一定期間インベントリが収集されていないクライアント情報を含める場合にチェックを入れます。

表11-5-4-2.iOS

禁止ソフトウェア設定

使用を禁止するソフトウェアを設定します。

禁止ソフトウェア一覧

禁止するソフトウェアを登録します。

ソフトウェア選択

から、禁止するソフトウェアを登録します。

インベントリ一覧から選択

クライアントから収集済みのインベントリからソフトウェアを選択して登録します。

ソフトウェア情報を入力

ソフトウェア情報を入力して登録します。

禁止ソフトウェア一括登録

から、CSVファイルをインポートして一括登録します。

   11-12-4-11. 禁止ソフトウェア（iOS）

JailBreakメール通知設定

クリックすると、「JailBreakメール通知設定」画面が表示されます。

JailBreakを検知すると即時にメール通知する

JailBreakを検知した際、即時にシステム/グループ管理者にメールで通知する場合にチェックを入れます。

通知先

メールを送信する管理者にチェックを入れます。

［システム管理者］/［グループ管理者］

件名

送信するメールの件名を入力します。

本文

送信する本文を入力します。

表11-5-4-3.Android

セキュリティレベル判定設定

スマートデバイス脆弱診断（Android）の診断対象を設定します。

デバイス管理者設定の診断を行う

デバイス管理者設定を診断対象とする場合にチェックを入れます。

「提供元不明のアプリ」設定の診断を行う

提供元不明アプリの設定を診断対象とする場合にチェックを入れます。

画面ロック設定の診断を行う

画面ロック設定を診断対象とする場合にチェックを入れます。

Root化メール通知設定

クリックすると、「Root化メール通知設定」画面が表示されます。

Root化を検知すると即時にメール通知する

root化を検知した際、即時にシステム/グループ管理者にメールで通知する場合にチェックを入れます。

通知先

メールを送信する管理者にチェックを入れます。

［システム管理者］/［グループ管理者］

件名

送信するメールの件名を入力します。

本文

送信する本文を入力します。

   画面ロック設定の診断は、端末によって判定できない場合があります！

端末の種類によって、画面ロックがOFFの状態でも、画面ロック設定済みとして取得される場合があります。

このため、これらの端末を使用している場合は［画面ロック設定の診断を行う］のチェックを外して運用してください。該当する端末の情報については、サービスプロバイダー/サービス管理者にお問い合わせください。

表11-5-5-1.インベントリ収集

スケジュール設定

インベントリ収集するタイミングを設定します。

インベントリの収集スケジュールを設定する

インベントリ収集するタイミングを設定する場合にチェックを入れます。

月

毎月の［実行する日］の［開始時刻］に、インベントリを収集します。

週

［繰り返す間隔］週間ごとに、［実行する曜日］曜日の［開始時刻］に、インベントリを収集します。

日

［繰り返す間隔］日ごとの［開始時刻］に、インベントリを収集します。

未収集判定日数

インベントリ未収集クライアントとして判定する未収集日数を設定します。

［PC収集］の［未収集判定日数］と連動しています。

表11-5-5-2.位置情報収集

Androidの位置情報を収集する^（＊）

Android端末の位置情報を収集する場合にチェックを入れます。

iOSの位置情報を収集する^（＊）

iOS端末の位置情報を収集する場合にチェックを入れます。

iOSクライアントに、iOSクライアントプログラムのインストールが必要です。

表11-5-5-3.ハードウェア管理情報一覧

ハードウェア管理情報登録

から、ハードウェア管理情報を登録します。

項目名

ハードウェア管理情報の項目名を設定します。

入力形式

入力形式を選択します。

文字列

ユーザーに文字列を入力させる場合に選択します。

文字種の制限なし

入力する文字種を制限しない場合に選択します。

文字種を制限する

入力する文字種を制限する場合に選択します。

［半角英字］/［半角数字］/［半角記号］のうち、入力を許可する文字種にチェックを入れます。

日付

ユーザーに日付形式のみ入力可能にする場合に選択します。

選択式

作成した選択肢からユーザーに選ばせる場合に選択します。

選択項目一覧

選択肢として追加する項目を入力します。

選択項目のコンボボックスに文字の入力を許可する

ユーザーが選択肢以外の任意の文字列を入力することを許可する場合にチェックを入れます。

必須項目

回答必須項目にできます。

回答されていない場合は、ハードウェア管理情報の入力を終了することができないようにします。

項目説明

項目の説明を入力します。

表11-5-6-1.ポリシー構成プロファイルのアップロード

構成プロファイルを削除する

登録されている構成プロファイルを削除する場合にチェックを入れます。

構成プロファイルが登録済みの場合のみ表示されます。

ファイルを選択してください

クリックすると、「アップロードするファイルの選択」画面が表示されます。

作成したポリシー構成プロファイルをアップロードします。

iOS端末上のポリシー構成プロファイルを削除する

構成プロファイルの削除時に、iOS端末上のポリシー構成プロファイルも削除する場合はチェックを入れます。

表11-5-6-2-1.デバイス制御設定

Bluetooth機能を無効化する

Bluetooth機能を無効にする場合にチェックを入れます。

SDカードへのアクセスを無効化する

SDカードへのアクセスを無効にする場合にチェックを入れます。

ソフトウェアの起動を制御する

ソフトウェアの起動を制御する場合にチェックを入れます。

バックグラウンド実行の制御時、起動制御画面を表示する^（＊）

バックグラウンド実行の制御時に、Androidクライアントに起動制御画面を表示する場合にチェックを入れます。

ユーザーによるWi-Fi設定を無効化する

ユーザーによるWi-Fi設定を無効にする場合にチェックを入れます。

   Androidのデバイス制御の制限事項

アクセスを無効化できるSDカードについて、以下の制限事項があります。

･Android端末に直接挿入できるSDカードのみ対象となります（SDカードリーダー経由でUSB接続されたもの等は対象外です）。

･Android端末によってはSDカードのマウント先が異なるため、無効化を行えない場合があります。

SDカードへのアクセスを無効化した場合、以下の制限事項があります。

･ソフトウェアがSDカードにデータを保存できなくなります。

･SDカードにインストールされたソフトウェアが使用できなくなります。

ソフトウェア起動制御が適用される前に起動していたソフトウェアは、停止することができません。

表11-5-6-2-2.プリインストール製品起動制御設定

起動拒否ソフトウェア一覧

起動を拒否するプリインストール製品を登録します。

ソフトウェア選択

から、起動を拒否するソフトウェアを登録します。

インベントリ一覧から選択

クライアントから収集済みのインベントリからソフトウェアを選択して登録します。

ソフトウェア情報を入力

［製品名］、［パッケージ名］を入力して登録します。

［参照］ボタンから起動を拒否するソフトウェアのapkファイルをアップロードすると、［製品名］、［パッケージ名］が自動的に入力されます。

起動拒否プリインストール製品一括登録

から、CSVファイルをインポートして一括登録します。

   11-12-4-12. Androidソフトウェア

   Androidシステムの動作に影響するプリインストール製品の起動制御はしないでください！

Android端末が使用できなくなる可能性がありますので、十分注意して設定してください。

表11-5-6-2-3.サードパーティ製品起動制御設定

制御方法

サードパーティ製品の起動制御方法を選択します。

［ホワイトリスト形式（起動許可）］/［ブラックリスト形式（起動拒否）］

起動許可ソフトウェア一覧/起動拒否ソフトウェア一覧

サードパーティ製品の起動制御を設定します。

ソフトウェア選択

から、起動を許可/拒否するソフトウェアを登録します。

［ホワイトリスト形式（起動許可）］を選択した場合は、起動を許可するソフトウェアを登録します。［ブラックリスト形式（起動拒否）］を選択した場合は、起動を拒否するソフトウェアを登録します。

インベントリ一覧から選択

クライアントから収集済みのインベントリからソフトウェアを選択して登録します。

ソフトウェア情報を入力

［製品名］、［パッケージ名］を入力して登録します。

［参照］ボタンから起動を拒否するソフトウェアのapkファイルをアップロードすると、［製品名］、［パッケージ名］が自動的に入力されます。

起動許可サードパーティ製品一括登録/起動拒否サードパーティ製品一括登録

から、CSVファイルをインポートして一括登録します。

   11-12-4-12. Androidソフトウェア

表11-5-6-2-4.緊急制御ソフトウェア設定

緊急制御ソフトウェア一覧

緊急操作で起動制御をするソフトウェアを登録します。

ソフトウェア選択

から、緊急操作で起動を制御するソフトウェアを登録します。

インベントリ一覧から選択

クライアントから収集済みのインベントリからソフトウェアを選択して登録します。

ソフトウェア情報を入力

［製品名］、［パッケージ名］を入力して登録します。

［参照］ボタンから起動を拒否するソフトウェアのapkファイルをアップロードすると、［製品名］、［パッケージ名］が自動的に入力されます。

緊急制御ソフトウェア一括登録

から、CSVファイルをインポートして一括登録します。

   11-12-4-12. Androidソフトウェア

表11-5-6-2-5.パスワードポリシー設定

パスワードポリシーを設定する

パスワードポリシーを設定する場合にチェックを入れ、パスワードの複雑さを選択します。

［制限無し］/［セキュアな認証方式に限定する］/［パスワードまたはPINに限定する］/［英字が必ず含まれる］/［英字と数字が必ず含まれる］

パスワードの最小文字数

パスワードに含める必要がある文字の最小の数を入力します。空欄で設定すると制御しません。

パスワードの有効期間

パスワードの有効期間とする日数を入力します。空欄で設定すると制御しません。

パスワード失敗時の最大試行回数

パスワードの入力に失敗した際に、最大何回試行を許可するかの回数を入力します。
空欄で設定すると制御しません。

パスワードポリシーに一致しない場合に、パスワード変更画面を表示する

パスワードポリシー設定に則したパスワード設定になっていない場合、パスワード変更を促す画面を表示する場合にチェックを入れます。

パスワード変更メッセージ

表示するメッセージを入力します。

表11-5-6-2-6.Wi-Fi接続先一覧

Wi-Fi接続先一覧

Wi-Fi接続先を設定します。

Androidクライアントに、ネットワーク接続制御アプリのインストールが必要です。

   10-3-6. Androidクライアントをインストールする

Wi-Fi接続先登録

から、Wi-Fi接続先（［SSID］、［セキュリティ］）を設定します。

   Wi-Fi接続制御する場合は、接続可能なWi-Fi接続先を設定してください！

Wi-Fi接続制御している場合に、誤った接続先を登録すると、Wi-Fiでのみネットワークに接続する端末はネットワークに接続できなくなります（ポリシーの再配布や、クライアントアプリのアンインストールなどもできなくなります）。

表11-5-7.ハードウェア棚卸設定

棚卸を行う

棚卸状態を管理する場合にチェックを入れます。

棚卸期間

棚卸期間を設定します（4期間まで）。

［2/29］が指定された場合、うるう年ではない年では、［3/1］とみなされます。

棚卸期間を変更することによって、本項目を設定している日が棚卸期間外から期間内になる場合は、登録時に確認メッセージとともに、新しく棚卸を開始するかどうかのチェックボックスが表示されます。［新しく棚卸を開始する］にチェックを入れた場合、［ハードウェア］メニュー→［ハードウェア棚卸一覧］の棚卸状態が未実施に変更され、［棚卸日］は空欄になります。［前回棚卸日］には、前回の棚卸実施日が表示されます。

なお、棚卸期間は、サーバーマシンのタイムゾーンを基にした期間となります。

棚卸通知設定

クリックすると、「棚卸通知設定」画面が表示されます。

棚卸前にシステム/グループ管理者に通知するかどうかの設定をします。

棚卸前に管理者に通知する

棚卸前に、システム/グループ管理者にメールで通知する場合にチェックを入れます。

棚卸の［］日前に通知する

棚卸の何日前に通知するかの日数を入力します。

なお、棚卸の通知日を過ぎていても通知が完了していない場合は、通知されます。

通知先

メールを送信する管理者にチェックを入れます。

［システム管理者］/［グループ管理者］

件名

送信するメールの件名を入力します。

本文

送信するメールの本文を入力します。

本文に%LINK%と記載することで、棚卸画面へのログインURLが埋め込まれます。%LINK%と記載していない場合は、本文の末尾にログインURLが自動的に埋め込まれます。

表11-5-8.個別ポリシー使用許可設定

個別ポリシーの使用を許可する

個別ポリシー設定を使用する場合にチェックを入れます。

使用を許可しない設定に変更する場合、個別ポリシーを割り当てているクライアントは、基本ポリシーが適用されます。

変更を許可する項目

個別ポリシーで変更を許可する項目にチェックを入れます。

［PC診断］/［PC収集］/［PC制御］/［スマートデバイス診断］/［スマートデバイス収集］/［スマートデバイス制御］

変更を許可しない項目に変更する場合は、基本ポリシーの設定になります。

個別ポリシー設定へ

クリックすると、→［個別ポリシー］に移動します。

表11-5-9.システム設定

通知メール言語設定

即時通知や日次通知として送信されるメールの言語を選択します。

［日本語］/［英語］/［中国語］

Windowsクライアント設定

Windowsクライアント設定をします。

クライアントアンインストール時にパスワードを要求する

クライアントプログラムをアンインストールする際に、ユーザーにパスワードを入力させる場合にチェックを入れます。

ユーザーが不用意にアンインストールすることを防止できます。

アンインストールパスワードを変更する

アンインストール用のパスワードを変更する場合にチェックを入れ、［パスワード］/［確認パスワード］に変更するパスワードを入力します。

パスワードが設定済みの場合のみ表示されます。

パスワード/確認パスワード

ユーザーに入力させるパスワードを設定します。

クライアント識別子を有効にする

Windowsクライアントを再インストールした際に、同じクライアントIDを割り振る場合にチェックを入れます。

   付録-7. Windowsクライアントの個体識別

位置情報の表示サービス

位置情報を参照時に使用する地図サービスを選択します。

［Googleマップ］/［Bing Maps］

接続元IPアドレス制御^（＊）

ユーザーコンソールへの接続を許可するIPアドレスを設定します。

ユーザーコンソールへの接続を許可するIPアドレスを指定する

ユーザーコンソールへの接続を許可するIPアドレスを指定する場合にチェックを入れます。

接続許可IPアドレス登録

から、ユーザーコンソールへの接続を許可するIPアドレスの範囲を登録します。

現在接続しているIPアドレス

ユーザーコンソールに現在接続しているPCのIPアドレスが表示されます。

IPアドレス（開始）

接続を許可するIPv4アドレスの範囲（開始）を入力します。

IPアドレス（終了）

接続を許可するIPv4アドレスの範囲（終了）を入力します。

備考

備考を入力します。

接続許可IPアドレス一括登録

から、CSVファイルをインポートして一括登録します。

   11-12-4-13. 接続元IPアドレス制御

   接続元IPアドレス制御に関する注意点

接続元IPアドレス制御ついて、次の注意点があります。

･接続元IPアドレス制御を有効にする場合は、必ず現在接続しているIPアドレスを含むIPアドレス範囲を設定してください。

･接続元IPアドレス制御は、IPv6には対応していません。