2.9.5 禁止操作の抑止
セキュリティポリシーには、コンピュータでの操作を抑止する設定ができます。操作を抑止することで、外部への情報の持ち出しによる情報漏えいを防止できます。
- 重要
-
API管理機器は禁止操作の抑止ができません。
- 印刷の抑止
-
印刷操作を抑止できます。持ち出し禁止の情報を、印刷して持ち出されることを防止できます。
印刷の許可パスワードを設定できるので、印刷を許可する利用者だけにパスワードを教えて、印刷の利用を限定することもできます。
- 重要
-
インターネット接続のプリンタは抑止できません。ローカルプリンタでFileポートまたはLAN Managerポートを使用する場合も抑止できません。また、Windowsのネットワーク共有プリンタは、抑止できないことがあります。
印刷機能を利用したPDFなどのファイルへの出力は、利用者のコンピュータに印刷抑止のメッセージが表示されても、ファイルが出力されることがあります。
- 機器の使用抑止
-
デバイスの使用を抑止できます。デバイスを利用して情報が持ち出されることを防止できます。使用を抑止できるデバイスを次に示します。
-
USBデバイス(通常のUSBデバイス)
-
USBデバイス(Windows 8以降でUASP対応デバイスとして認識されるUSBデバイス)
-
内蔵CD/DVDドライブ
-
内蔵FDドライブ
-
IEEE1394デバイス
-
内蔵SDカード
-
Bluetoothデバイス
-
イメージングデバイス
-
Windowsポータブルデバイス
使用を抑止したことを示すメッセージを、利用者のコンピュータに表示できます。
USBデバイスの使用を抑止した場合、登録したUSBデバイスの使用を許可したり、部署、設置場所、または関連づけられている資産を条件にUSBデバイスを使用する資産を限定したりできます。また、USBデバイスに格納されているファイルの一覧を取得することもできます。
次のデバイスは書き込みだけを抑止できます。
-
リムーバブルディスク
-
CD/DVDドライブ
-
FDドライブ
書き込みだけを抑止できるのは、使用を許可しているデバイスだけです。
- ヒント
-
書き込み抑止を設定した場合は、セキュリティポリシーが割り当てられているコンピュータが再起動したあとで設定が有効になります。コンピュータにセキュリティポリシーが適用されると、再起動を促すバルーンヒントが表示されます。バルーンヒントの表示は、エージェント設定の[利用者への通知設定]の設定に従います。
-
- ソフトウェアの起動抑止
-
ファイル共有ソフトウェアやメッセンジャーソフトウェアなど、情報漏えいにつながるおそれのあるソフトウェアの起動を抑止できます。
起動を抑止できるのは、次の拡張子の実行ファイルで起動するソフトウェアです。
-
exe
-
com
-
scr
なお、実行ファイル名とフォルダ名を合わせた文字列が260文字以上の場合は、起動を抑止できません。
- 重要
-
起動後すぐに終了するソフトウェアは、起動を抑止する前にプログラムが終了するおそれがあるため、起動を抑止できないことがあります。
- 重要
-
OSやJP1/IT Desktop Management 2の動作に関係する実行ファイルは、起動を抑止しないでください。起動を抑止すると、OSやJP1/IT Desktop Management 2が正しく動作しなくなるおそれがあります。
- 重要
-
16bitソフトウェアの場合、ソフトウェアの起動抑止はできません。
-
- 重要
-
エージェントのOSがWindows 7の場合、Windows XPモードでインストールしたソフトウェアの起動抑止、およびWindows XPモード上での機器の使用抑止、印刷の抑止はできません。
- 〈この項の構成〉
(1) 使用を抑止できるデバイス
セキュリティポリシーの禁止操作の設定では、エージェント導入済みのコンピュータでのデバイスの使用を抑止できます。
使用を抑止できるデバイス、および抑止対象の条件を次に示します。
- ヒント
-
セキュリティポリシーの設定が有効になる前からユーザーがアクセスしていたデバイスについては、抑止の対象外となります。
|
抑止できるデバイス |
抑止対象の条件※1※6 |
|---|---|
|
USBデバイス(通常のUSBデバイス) |
USB接続でデータを記録できるデバイスです。※2 デバイスを接続すると、次の2つの条件を満たすデバイスが対象となります。
また、デバイスマネージャ上のディスクドライブ、DVD/CD-ROMドライブ、またはフロッピー ディスクドライブのどれかに表示されるデバイスの列挙子が「USBSTOR」である必要があります。 |
|
USBデバイス(Windows 8以降でUASP対応デバイスとして認識されるUSBデバイス) |
USB接続でデータを記録できるデバイスです。※2 デバイスを接続すると、次の2つの条件を満たすデバイスが対象となります。
|
|
内蔵CD/DVDドライブ |
コンピュータに内蔵されているCD/DVDドライブが対象となります。 [デバイス マネージャー]の[デバイス(種類別)]で、DVD/CD-ROMドライブの配下に表示されるドライブです。DVD/CD-ROMドライブの列挙子が「IDE」または「SCSI」である必要があります。 |
|
内蔵FDドライブ |
コンピュータに内蔵されているFDドライブが対象となります。 [デバイス マネージャー]の[デバイス(種類別)]で、フロッピー ディスクドライブの配下に表示されるドライブです。フロッピー ディスクドライブの列挙子が「FDC」である必要があります。 |
|
IEEE1394デバイス |
IEEE1394で接続されたデバイスが対象となります。※3 [デバイス マネージャー]の[デバイス(種類別)]で、ディスクドライブの配下に表示されるドライブです。ディスクドライブの列挙子が「SBP2」である必要があります。 |
|
内蔵SDカード |
コンピュータに内蔵されているSDカードスロットから接続されたSDカードが対象となります。※3 SDカードでなくても内蔵されたSDカードスロットから接続されたデバイスは内蔵SDカードとして抑止される場合があります。 [デバイス マネージャー]の[デバイス(種類別)]で、ディスクドライブの配下に表示されるドライブです。ディスクドライブの列挙子が「SD」、「RIMMPTSK」または「PCISTOR」である必要があります。 ただし、コンピュータに内蔵されているSDカードスロットでも、USBコントローラを利用しているものは内蔵SDカードとして扱われない場合があります。 |
|
Bluetoothデバイス |
コンピュータにUSB接続されたBluetoothデバイスが対象となります。 [デバイス マネージャー]の[デバイス(種類別)]で、Bluetoothの配下に表示されるデバイスです。Bluetoothの列挙子が「USB」で、デバイスのクラスが「Bluetooth」、「BTW」、または「BTM」である必要があります。 |
|
イメージングデバイス |
コンピュータにUSB接続されたイメージングデバイスが対象となります。※4 [デバイス マネージャー]の[デバイス(種類別)]で、イメージングデバイスの配下に表示されるデバイスです。列挙子が「USB」である必要があります。 |
|
Windowsポータブルデバイス |
コンピュータに接続されたWindowsポータブルデバイスが対象となります。※5 [デバイス マネージャー]の[デバイス(種類別)]で、ポータブルデバイスの配下に表示されるデバイスです。 |
注※1 OSの設定などによって、表示される項目が異なる場合があります。
注※2 対象となるデバイスは、次に示すデバイスセットアップクラスを持つデバイスです。
|
Class |
ClassGuid |
|---|---|
|
CDROM |
{4d36e965-e325-11ce-bfc1-08002be10318} |
|
DiskDrive |
{4d36e967-e325-11ce-bfc1-08002be10318} |
|
FloppyDisk |
{4d36e980-e325-11ce-bfc1-08002be10318} |
デバイスセットアップクラスのClass、およびClassGuidは、Windows 7の場合、[デバイス マネージャー]でデバイスのプロパティの[詳細]タブを表示し、プルダウンメニューで[デバイス クラス]および[デバイス クラス GUID]を選択したときに表示される文字列です。
デバイスセットアップクラスのClass、およびClassGuidが不明な場合は、デバイスの開発元に確認してください。
注※3 対象となるデバイスは、次に示すデバイスセットアップクラスを持つデバイスです。
|
Class |
ClassGuid |
|---|---|
|
DiskDrive |
{4d36e967-e325-11ce-bfc1-08002be10318} |
デバイスセットアップクラスのClass、およびClassGuidは、Windows 7の場合、[デバイス マネージャー]でデバイスのプロパティの[詳細]タブを表示し、プルダウンメニューで[デバイス クラス]および[デバイス クラス GUID]を選択したときに表示される文字列です。
デバイスセットアップクラスのClass、およびClassGuidが不明な場合は、デバイスの開発元に確認してください。
注※4 対象となるデバイスは、次に示すデバイスセットアップクラスを持つデバイスです。
|
Class |
ClassGuid |
|---|---|
|
Image |
{6bdd1fc6-810f-11d0-bec7-08002be2092f} |
デバイスセットアップクラスのClass、およびClassGuidは、Windows 7の場合、[デバイス マネージャー]でデバイスのプロパティの[詳細]タブを表示し、プルダウンメニューで[デバイス クラス]および[デバイス クラス GUID]を選択したときに表示される文字列です。
デバイスセットアップクラスのClass、およびClassGuidが不明な場合は、デバイスの開発元に確認してください。
注※5 対象となるデバイスは、次に示すデバイスセットアップクラスを持つデバイスです。
|
Class |
ClassGuid |
|---|---|
|
WPD |
{eec5ad98-8080-425f-922a-dabf3de3f69a} |
デバイスセットアップクラスのClass、およびClassGuidは、Windows 7の場合、[デバイス マネージャー]でデバイスのプロパティの[詳細]タブを表示し、プルダウンメニューで[デバイス クラス]および[デバイス クラス GUID]を選択したときに表示される文字列です。
デバイスセットアップクラスのClass、およびClassGuidが不明な場合は、デバイスの開発元に確認してください。
注※6 デバイスの外形に関係なく、Windows上での認識のされ方が条件に合致するデバイスを抑止対象であると判定します。
関連リンク
(2) 書き込みだけを抑止できるデバイス
セキュリティポリシーの禁止操作の設定では、エージェント導入済みのコンピュータでデバイスの書き込みだけを抑止できます。書き込み抑止のセキュリティポリシーを変更した場合は、コンピュータの再起動が必要です。
書き込みだけを抑止できるデバイス、該当するデバイスの種類、および抑止対象の条件を次に示します。
|
デバイス |
該当するデバイスの例※1 |
抑止対象の条件※2 |
|---|---|---|
|
リムーバブルディスク |
|
エクスプローラ上でドライブの種類が「リムーバブルディスク」として表示されるドライブ、 USB接続、およびIEEE1394接続でドライブの種類が「ローカルディスク」として表示されるドライブが対象となります。 また、内蔵と、USB接続およびIEEE1394接続の両方が対象になります。 |
|
CD/DVDドライブ |
|
[デバイス マネージャー]の[デバイス(種類別)]で、 [DVD/CD-ROM ドライブ]の配下に表示されるドライブが対象となります。 また、内蔵とUSB接続の両方が対象になります。 |
|
FDドライブ |
|
[デバイス マネージャー]の[デバイス(種類別)]で、[フロッピー ディスク ドライブ]の配下に表示されるドライブが対象となります。 また、内蔵とUSB接続の両方が対象になります。 |
注※1 該当するデバイスであっても、OSが別のデバイスとして認識した場合はOSの認識に従い、書き込み抑止の対象外となります。
注※2 OSの設定などによって、表示される項目が異なる場合があります。
- ヒント
-
-
DVD-RAMの書き込みは抑止できません。
-
書き込みを抑止しているデバイスに対して、ツールなどでアクセスした場合、ツールがエラーになったり、イベントやエラーダイアログが表示されたりすることがあります。
-
書き込み抑止をすると、暗号化機能付きUSBデバイスなど、デバイスによっては起動がエラーとなったり、使用できなくなったりする場合があります。
-
CD/DVDドライブの書き込み抑止では、サードパーティ製のソフトウェアによるCD/DVDへの書き込みを抑止できない場合があります。そのようなソフトウェアによるファイル持ち出しを防止するには、ソフトウェアの起動抑止を使用して、サードパーティ製のソフトウェアの起動を抑止してください。
-
書き込みの抑止は、OSごとに抑止できるデバイスが異なります。抑止できるデバイスとOSとの対応を次に示します。
|
デバイス |
Windows 8.1、Windows 8 エディションなし |
Windows 10、Windows 8.1、Windows 8 Pro、Enterprise |
Windows Server 2019、Windows Server 2016、Windows Server 2012 |
Windows 7、Windows Server 2008、Windows Vista |
Windows Server 2003 |
Windows XP(Service Pack 2以降) |
|---|---|---|---|---|---|---|
|
リムーバブルディスク |
× |
○ ※1、※2 |
○ ※1、※2 |
○ ※1 |
× |
△※4 |
|
CD/DVDドライブ |
× |
○ ※1、※2 |
○ ※1、※2 |
○ ※1 |
△※3 |
△※3 |
|
FDドライブ |
× |
○ ※1、※2 |
○ ※1、※2 |
○ ※1 |
× |
× |
(凡例)○:抑止できる △:抑止できないデバイスがある ×:抑止できない
注※1 Windowsのサービスで、「Portable Device Enumerator Service」が、「手動」または「自動」に設定されている必要があります。
注※2 USBデバイスが記憶域プールに割り当てられているときは、抑止されません。
注※3 抑止できるかどうかは、書き込みソフトウェアに依存します。WindowsのIMAPIに対応したソフトウェアだけを抑止できます。
注※4 USB接続のハードディスク、USB接続のCD/DVDドライブ、USB接続のFDドライブなどのUSBデバイスが抑止できます。
USBデバイスの使用を抑止した場合
USBデバイスの使用を抑止した状態で、CD/DVDドライブ、FDドライブ、リムーバブルディスクの各デバイスの書き込み抑止を設定したとき、接続機器の登録状況によって有効になる抑止項目とJP1/IT Desktop Management 2の動作が異なります。詳細を次の表に示します。
- USBデバイスの使用を抑止して、USB接続のCD/DVDドライブ、リムーバブルディスク、またはFDドライブを接続した場合の動作
-
抑止項目
接続機器(USBデバイス)の登録状況
JP1/IT Desktop Management 2の動作
CD/DVDドライブ、リムーバブルディスク、またはFDドライブの書き込み抑止
未登録
読み取りと書き込み抑止(抑止イベントを送信、抑止メッセージを表示する)
登録済み
書き込み抑止
関連リンク
(3) 使用を許可できるUSBデバイスの種類
セキュリティポリシーの禁止操作の設定でUSBデバイスの使用を抑止している場合に、ハードウェア資産として登録されたUSBデバイスだけ使用を許可するように設定できます。
- ヒント
-
USBデバイスの識別には、USB登録時に取得されるデバイスインスタンスIDが利用されます。デバイスインスタンスIDとは、USBデバイスに設定されたIDです。USBデバイスには、個別に識別できるユニークなIDを持つデバイスと、接続するポートや環境によってIDが変化するデバイスがあります。
利用を許可できるUSBデバイスには、次の2種類があります。
- 個別に許可できるUSBデバイス
-
ユニークなデバイスインスタンスIDを持つUSBデバイスは、各デバイスを個別に使用許可できます。
なお、ユニークなIDを持つUSBデバイスは、Windowsの[デバイス マネージャー]でデバイスのプロパティの[詳細]タブを表示し、プルダウンメニューで[機能]を選択したときに「CM_DEVCAP_UNIQUEID」と表示されます。
- 製品単位で許可できるUSBデバイス
-
接続するポートや環境によってデバイスインスタンスIDが変化するUSBデバイスは、製品単位でデバイスを登録して許可を設定できます。例えば、同じメーカーの同じUSBメモリを複数所持している場合、そのUSBメモリのデバイスインスタンスIDがユニークでないときは、1つのデバイスを登録すれば同一製品の使用がすべて許可されます。
デバイスインスタンスIDが変化するデバイスの場合、IDの一部を利用してUSBデバイスが識別されます。USBデバイス登録時にデバイスインスタンスIDを指定し、登録したデバイスインスタンスIDと前方一致したUSBデバイスが、同一製品と見なされます。なお、製品単位で許可するUSBデバイスの場合、USBデバイスの登録時にメッセージが表示されます。
![[図データ]](GRAPHICS/ZU070022.GIF)
また、USBデバイスのハードウェア資産情報に登録されている項目を基に、次の条件でUSBデバイスの使用を許可する資産を限定できます。
-
USBデバイスの部署と同じ部署の資産
-
USBデバイスの設置場所と同じ設置場所の資産
-
USBデバイスに関連づけられている資産
これらの条件を設定することで、部署、設置場所、または資産(機器)ごとに使用できるUSBデバイスを指定できます。
- 重要
-
使用を許可するUSBデバイスは、オンライン管理のコンピュータから登録します。
- 重要
-
製品単位で許可するUSBデバイスを登録すると、同じ製品の異なるデバイスを登録しても同じハードウェア資産として扱われます。このため、セキュリティポリシーでUSBデバイスの使用抑止を設定している場合、製品単位でUSBデバイスの使用が許可されます。
- 重要
-
コンピュータとの接続方法(接続インターフェースや接続モード)が複数あるデバイスの場合、コンピュータとの接続方法によっては、そのデバイスの認識結果が異なることがあります。
- 重要
-
複数のデバイスを経由して接続するUSBデバイスの使用を許可するためには、経由するすべてのデバイスの使用を許可してください。
- 重要
-
デバイスインスタンスIDが付与されていないデバイスをコンピュータに接続した場合、OSによって不特定のデバイスインスタンスIDが生成されます。このようなデバイスは、デバイスを接続するコンピュータまたは接続ポートごとにデバイスインスタンスIDが変化するため、使用を許可できないおそれがあります。
- ヒント
-
オンライン管理のコンピュータに、登録済みの個別に認識されるUSBデバイスを接続すると、USBデバイスに格納されているファイルの情報が収集されます。収集された情報は、資産画面の[ハードウェア資産]画面の[格納ファイル一覧]タブに表示されます。なお、[格納ファイル一覧]タブは[機器種別]が「USBデバイス」の場合だけ表示されます。ただし、セキュリティポリシーでファイル一覧を取得する設定をしていない場合は、[格納ファイル一覧]タブにファイル一覧を取得できないというメッセージが表示されます。
(5) ソフトウェアの起動抑止の注意事項
-
抑止するソフトウェアは、ファイル名とフォルダ名を合わせた文字列の長さを260文字未満にしてください。
-
起動後すぐに終了するソフトウェアは、エージェントが起動を抑止する前にプログラムが終了してしまうことがあるため、起動抑止できない場合があります。
-
JP1/IT Desktop Management 2とそれ以外のプログラムとで同じソフトウェアを起動抑止した場合、JP1/IT Desktop Management 2では正しく起動抑止できないことがあります。
-
許可時間帯に抑止対象のプログラムを起動したあとで機器のシステムの時刻を変更した場合、許可時間帯を過ぎても抑止できないことがあります。
-
許可時間帯が指定されているプログラムを許可時間内に起動し、コンピュータがスリープまたは休止状態に入った場合、許可時間を経過しても抑止されません。コンピュータがスリープまたは休止状態から起動したあと、しばらくしてから抑止されます。
-
Windowsのエクスプローラに表示される[正式ファイル名]または[元のファイル名]が、起動抑止するソフトウェアの[ファイル名]に設定したファイル名と一致する場合でも、ソフトウェアの実行ファイルのバージョン情報が破損または矛盾しているときは、起動抑止できないことがあります。
-
ソフトウェアの起動抑止が短時間に繰り返し実施されると、OSが次に示すメッセージを表示する場合があります。この場合、利用者はメッセージに従ってソフトウェアを終了してから、OSを再起動する必要があります。
「アプリケーションを正しく初期化できませんでした。(0xc0000142)[OK] をクリックしてアプリケーションを終了してください。」
-
指定したプロセスを共有するほかのソフトウェアも起動抑止されることがあります。
(6) 印刷の抑止の注意事項
-
印刷抑止ができるプリンタを次の表に示します。
プリンタ種別
印刷抑止
ローカルプリンタ
○
ネットワーク共有プリンタ
○
インターネットプリンタ
×
仮想プリンタ
○
(凡例)○:抑止できる ×:抑止できない
-
各プリンタのプロパティで、すべてのログオンユーザーに[印刷]と[ドキュメントの管理]が許可されている必要があります。
-
秘文で印刷抑止している場合は、JP1/IT Desktop Management 2では印刷抑止できません。
-
プリンタ追加直後に印刷した場合、印刷抑止できないことがあります。
-
OSにログオンした直後に印刷した場合、印刷抑止できないことがあります。
-
印刷操作がエージェントに通知される前に印刷ジョブが完了した場合、印刷抑止はできません。
-
プリンタによっては、一度の印刷操作で複数の印刷抑止ログが取得されることがあります。
ネットワーク共有プリンタの場合、以下の注意事項が追加されます。
-
サポートするエージェントとプリントサーバの組み合わせを以下に示します。
エージェント
プリントサーバ
印刷抑止
Windows 7以降
Windows XP/2003
×
Windows 7以降
Windows Vista以降
○
任意
上記以外
×
(凡例)○:抑止できる ×:抑止できない
-
プリントサーバとエージェントPC間でRPCによる通信ができる必要があります。RPC通信ができない場合は以下が考えられます。
-
プリントサーバがInternet Printing Protocol(IPP)サーバである
-
プリントサーバとエージェントPCの間にファイアウォール、プロキシまたはNATがある
-
エージェントPCのWindowsファイアウォールが有効で、かつ[ファイルとプリンターの共有]が[例外]に設定されていない
-
-
エージェントPCで[Microsoft ネットワーク用ファイルとプリンター共有]が有効である必要があります。
-
プリントサーバからエージェントPCの名前を解決できる必要があります。
-
エージェントPCがWindows 7以降の場合、エージェントPCとプリントサーバが同一のドメインに参加している、または、エージェントPCの資格認証マネージャにプリントサーバの資格情報が登録されている必要があります。なお、資格情報を追加した場合はエージェントPCを再起動する必要があります。
-
IPv6が有効でクライアントコンピュータで印刷ジョブのレンダリングが動作しない場合は、印刷抑止ができないことがあります。クライアントコンピュータで印刷ジョブのレンダリングを動作させるには以下の設定が必要です。
-
[クライアント コンピューターで印刷ジョブのレンダリングをする]または[クライアント コンピューターに印刷ジョブを表示する]が有効である
-
[詳細な印刷機能を有効にする]が有効である
-
-
Citrix XenApp、Microsoft RDSサーバの場合、コンソールセッションでないと[印刷操作をパスワードで保護する]オプションを有効にしても、パスワード入力による印刷抑止の解除はできません。
(7) デバイスの使用抑止の注意事項
-
JP1/IT Desktop Management 2では、Windowsの規定に従ってデバイスを制御します。そのため、Windowsの規定に従っていないデバイスは制御できません。対象のデバイスが制御できるかどうか、あらかじめ検証することをお勧めします。なお、デバイスの仕様については製造元のメーカーにお問い合わせください。
-
デバイスを接続したコンピュータのOSによっては、デバイスが認識されないことがあります。そのため、使用するOSごとに正しく制御できるかどうか、あらかじめ検証することをお勧めします。
-
Windowsがデバイスをどのように認識するかは、デバイスの形状や製品名だけでは判断できません。Windowsの[デバイス マネージャー]のプロパティを確認してください。
-
次の場合は、セキュリティポリシーを設定していても抑止できないことがあります。
-
コンピュータの起動直後など、JP1/IT Desktop Management 2のプロセス起動前にデバイスが接続された場合
-
-
他製品によるデバイスの使用抑止とは同時に使用できません(Windows のグループポリシー、Active Directory のポリシー適用など)。他製品と同時に機器の使用を抑止した場合、それぞれの製品での設定が正しく実行されないおそれがあります。
-
次の場合は、コンピュータの再起動が必要です。
-
USBデバイス以外のデバイスで、セキュリティポリシーが適用される前から接続しているデバイスを抑止する場合
-
USBデバイス以外のデバイスで、動作中のデバイスを抑止する場合
-
変更前のセキュリティポリシーで抑止していて、変更後は抑止しないデバイスを利用できるようにする場合
-
変更前のセキュリティポリシーで抑止していなかったデバイスを変更後に抑止する場合
-
-
ファイルの操作ログを取得している状態で、デバイスの使用を抑止してファイルの操作ログを取得するセキュリティポリシーに変更する場合、変更直前のファイルの操作ログが取得できないおそれがあります。
-
次の場合は、エラーが表示されることがあります。
-
自動再生機能が有効に設定されているデバイスを抑止した場合
-
使用を抑止しているデバイスに対して、ツールでアクセスした場合
-
コンピュータに初めて接続するデバイスが抑止対象の場合
-
ファイル操作中にデバイスを抑止する場合
-
-
他製品で実施したデバイスに対する設定がセキュリティポリシーに反する場合、セキュリティポリシーに従い、設定を変更します。
-
抑止しているデバイスのシステム情報やハードウェア情報は取得できません。
-
抑止対象のデバイスを初めてコンピュータに接続した場合、デバイスドライバのインストールができないおそれがあります。ドライバがインストールできなかったときは、接続したデバイスは利用できません。
-
同じデバイスでも、接続するポートやユーザーが異なる場合はデバイスドライバのインストールが実行されることがあります。このデバイスが抑止する前からコンピュータに接続していた場合、デバイスの抑止はコンピュータの再起動後に有効になります。
-
再起動しないと抑止が有効にならないデバイスが接続された状態で、別のデバイスを接続すると、抑止が有効になっていないデバイスの抑止ダイアログが再度表示されたり、警告メッセージが発行されたりします。
-
OSが抑止対象デバイスを別のデバイスとして認識した場合、そのデバイスは抑止できません。ただし、OSの認識が別の抑止対象デバイスと一致した場合はOSが認識したデバイスとして抑止されます。
-
1つ以上のデバイスを抑止するセキュリティポリシーをWindows Server 2019、Windows Server 2016、Windows 10、Windows 8.1、Windows 8、Windows Server 2012、Windows 7、Windows Server 2008、またはWindows Vistaのコンピュータに適用した場合、イベントログにエラーレベルのイベントが記録される場合があります。
-
抑止対象デバイスに対して、ツールなどでアクセスした場合、イベントログにイベントが出力されたり、エラーダイアログが表示されたりすることがあります。
-
USBデバイス以外のデバイスで、一度コンピュータに接続して抑止されたデバイスを、デバイスが抑止された状態で再度接続した場合、抑止メッセージの表示、接続・切断・抑止ログ、および抑止イベントの取得はできません。
-
Citrix XenApp、Microsoft RDSサーバの場合、接続元の機器に存在するドライブは接続先のセッションでドライブ種別が「その他」のドライブとして表示されます。そのようなドライブに対しては、デバイスの使用を抑止できません。
-
デバイスの使用抑止を使用する場合、エージェントで「Portable Device Enumerator Service」サービスが起動している必要があります。このサービスが起動していない場合、デバイスの使用が抑止されない、デバイスが抑止され続ける、など、動作が不安定になる場合があります。
次の条件がすべて重なった場合に発生する可能性があります。現象を回避する場合、「Portable Device Enumerator Service」の「スタートアップの種類」を確認し、「無効」の場合、「手動」か「自動」に設定してマシンを再起動してください。
-
「Portable Device Enumerator Service」が起動していない。
-
セキュリティポリシーの[禁止操作]−[機器の使用抑止]−[書き込み抑止デバイスの一覧]で、次の設定のどれかを有効にしたセキュリティポリシーが適用されている、または適用したことがある。
-
リムーバブルディスク
-
CD/DVDドライブ
-
FDドライブ
-
-
-
デバイスの接続抑止が無効であるセキュリティポリシーが適用されていると、コンピュータに存在する無効状態のデバイス※が有効化されることがあります。
注※ 接続抑止できるデバイス(USBデバイス、Bluetoothデバイスなど)すべてを指します。
USBデバイスの使用抑止の注意事項
-
USB接続のCD/DVDドライブを抑止した場合、抑止されたCD/DVDドライブのトレーが開くことがあります。
-
抑止を設定したセキュリティポリシーを適用する前から接続されていたUSBデバイスは抑止されません。この場合、デバイスを一度取り外し、再度接続することで抑止が有効になります。
-
USBスキャナなどはUSB接続であってもイメージングデバイスと認識される場合があります。
-
接続方法がUSBであっても、USBデバイス、Bluetoothデバイス、およびイメージングデバイスとして認識されないデバイスは抑止できません。
-
抑止対象のUSBデバイスをコンピュータに接続した場合、自動再生機能を有効に設定されていると、自動再生が失敗して、エラーメッセージが表示されることがあります。
-
自動再生機能を有効に設定されていると、USB接続のハードディスクドライブおよびFDドライブの使用を抑止できません。これらのデバイスの使用を抑止する場合は自動再生機能を無効にしてください。
-
Windows Server 2019、Windows Server 2016、Windows 10、Windows 8.1、Windows 8、Windows Server 2012、Windows 7、Windows Server 2008、またはWindows Vistaで自動再生機能を有効に設定されていると、USB接続のハードディスクドライブ、およびFDドライブを抑止できない場合があります。
-
セキュリティポリシーでUSBデバイスの[使用を抑止する]または[登録済みのUSBデバイスは使用を許可する]を有効にしている場合、リムーバブルドライブおよび固定ドライブの自動再生機能が無効になります。自動再生機能が無効になったあとに、USBデバイスの[使用を抑止する]または[登録済みのUSBデバイスは使用を許可する]を無効にしたり、エージェントのアンインストールを実施したりした場合でも、自動再生機能の設定は無効のままです。
-
次に示す条件をすべて満たす場合、USB接続のHDドライブまたはFDドライブのファイルコピーを実行しているときは、ファイルコピーが完了するまではUSBデバイスの使用を抑止できません。
-
コンピュータのOSがWindows Server 2019、Windows Server 2016、Windows 10、Windows 8.1、Windows 8、Windows Server 2012、Windows 7、Windows Server 2008、またはWindows Vistaである
-
ファイルコピーの実行中にUSBデバイスの使用を抑止するセキュリティポリシーを適用した
-
-
USBデバイスの「接続名」で抑止対象から外す設定のセキュリティポリシーを適用した場合、抑止対象から外したUSBデバイスをコンピュータに初めて接続すると、「接続名」が取得できないため、USBデバイスが抑止されることがあります。この場合、再度USBデバイスを接続してください。
-
コンピュータのOSがWindows Server 2019、Windows Server 2016、Windows 10、Windows 8.1、Windows 8 またはWindows Server 2012の場合で、USBデバイスが記憶域プールに割り当てられているときは、抑止されません。
-
一度コンピュータに接続して抑止されたデバイスを再度を接続した場合、抑止メッセージの表示、接続・切断・抑止ログ、および抑止イベントが取得できないことがあります。
-
同一個体のデバイスであっても、通常認識された場合とUASP認識された場合では、OSが付与する列挙子やデバイスインスタンスIDが変化します。そのため、両方の認識時に接続を許可するには、両方の認識時に資産登録をする必要があります。
Bluetoothデバイスの使用抑止の注意事項
-
Bluetoothデバイスの抑止を設定すると、Bluetoothで接続しているマウスやキーボードなどの使用も抑止されます。
-
Bluetoothデバイスをコンピュータに接続すると、次のBluetoothデバイスのハードウェアIDのレジストリが作成されます。
HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Enum¥USB¥
JP1/IT Desktop Management 2では、このレジストリのClassの値が「Bluetooth」「BTW」「BTM」の場合をBluetoothデバイスとして扱います。ハードウェアIDはOSのデバイスマネージャから確認できます。
Windowsポータブルデバイスの使用抑止の注意事項
Windowsポータブルデバイスの使用抑止を設定したコンピュータで、USBデバイスがWindowsポータブルデバイスと認識された場合、Windowsポータブルデバイスとして使用が抑止されます。使用を許可している登録済みのUSBデバイスや、[USBデバイスの登録]で接続したUSBデバイスも、Windowsポータブルデバイスとしての使用が抑止されます。