6.10.4. 監視ポリシーを作成する

監視ポリシーとは、OneBe サービスがインストールされたデバイスで監視する内容と、その違反時にどういったアラートをおこなうか、などが設定されたものです。

監視ポリシーは XML ファイルを利用するため、若干設定が難しい部分もありますが、以下の内容をご確認いただきながら作成をお願いします。

監視ポリシーを作成する

監視ポリシーの作成手順は以下のとおりです。

1. CLOMO PANEL の「Settings」を選択します。

2. 「Mobile Device Management」の「OneBe 設定」より、「...新規 OneBe 設定を作成」を選択します。

3. 表示された画面の「監視ポリシーのテンプレート」を選択すると、テンプレートの XML ファイルがダウンロードされます。

4. 各指定を加え編集した XML ファイルを「アップロード」します。

※ XML ファイルの詳細は、次項目以降に記載しています。

5. 「保存」を選択して完了です。

設定したい監視項目にあわせて、XML ファイル（文字コード：UTF-8）を修正します。

※ XML ファイルの修正はエディタからおこなってください。
編集したい XML ファイルにカーソルを合わせ、右クリックをします。表示されたメニューから「プログラムから開く（H）」→「メモ帳」を選択してください。

XML を構成する設定項目

XML は、大きく「監視関連」「セキュリティアクション関連」「その他」の3つから構成されています。

XML を構成する設定項目

監視関連	監視対象の項目を設定します。
セキュリティアクション関連	ポリシー違反となった場合、取るべきアクションを設定します。
その他	強制ロック / アンロック、外部アプリケーション、消去設定実行を設定します。

タグ指定の型について

XML ファイルの各タグの設定を編集することで、目的に合った監視ポリシーを作成できます。

タグ指定の型

数値	整数値のみを設定できます。
小数値	整数、小数を設定できます。
文字列	機種依存文字を除いた任意の文字列を設定できます。
プール値	true / false の2つの値を設定できます。

本ページに記載していないタグの変更は、おこなわないでください。正常に設定ファイルが作成されない可能性があります。

監視関連

XML を構成する要素として、まず監視関連の情報を設定します。構成できる項目は、以下のとおりです。各タグを選択すると、詳細へと移動します。

タグ名	タイプ	概要
Policies	数値（8桁）	8桁のピットフラグによって管理対象項目を設定します。
Ssid	文字列	監視対象とする SSID を登録します。^※ SsidWaitPeriod タグと併用します。
SsidWaitPeriod	数値（0〜24時間）	監視対象とする SSID が検出できなくなってから、アクションを発動させるまでの時間を設定します。^※ Ssid タグを併用します。
DevName	文字列	監視対象とする Bluetooth デバイスの名称を登録します。^※ MinToLock タグと併用します。
MinToLock	数値（0〜10分）	Bluetooth デバイスの切断が発生してから、アクションを取るまでの時間を指定します。^※ DevName タグと併用します。
DefaultGateway	文字列	監視対象とするデフォルトゲートウェイの IP アドレスを登録します。
GeoFence	< Location >タグ	監視対象とする位置情報を登録できます。
Location	< Location >タグ	監視対象とする位置情報を登録できます。
Latitude	数値	監視対象とする位置情報の起点となる地点の緯度を登録します。
Longitude	数値	監視対象とする位置情報の起点となる地点の経度を登録します。
Radius	数値（1〜10km）	監視対象とする位置情報の起点となる地点からの距離（km）を登録します。
Bypass	プール値	位置情報を使用するか否かを登録します。
Server	文字列	定期的に疎通確認をおこなうサーバーの「ホスト名」または「IP アドレス」を登録します。^※ DaysToLock タグ、Poling タグと併用します。
DaysToLock	数値（0.5〜14日）	疎通確認が取れない場合に、ロックするまでの日数を登録します。^※ Server タグ、Poling タグと併用します。
Poling	数値（10〜60分）	疎通確認をおこなう間隔を登録します。^※ Server タグ、DaysToLock タグと併用します。
PassMiss	数値（3〜10回）	連続でパスワードの入力を間違えられる回数を登録します。

Policies（数値）

8 桁のビットフラグによって、監視対象項目を設定します。

Policies タグに設定する値は、監視対象のビットフラグ値の加算（10進数表記）です。

※ 2進数として表記した場合に、1となっている桁の設定を有効とします。

タグ指定例

AC アダプターとネットワーク接続を設定する場合、「1 + 8 = 9」を Policies タグに設定します。
→<Policies>9</Policies>

監視対象項目	項目説明	ビットフラグ	10進数表
AC アダプター	AC アダプターが接続されているかどうかを監視します。アダプターとの接続が切れたらポリシー違反になります。	00000001	1
SSID	ポリシーファイルに書かれた無線 LAN の SSID が Windows デバイス上で見える SSID に含まれているかどうかを監視します。ポリシーファイル内に10個まで登録でき、そのいずれも検知できなければポリシー違反になります。	00000010	2
Bluetooth	端末とペアリングしているマウスなどの Bluetooth デバイスとの接続を監視します。接続が切れて一定時間が経つと、ポリシー違反になります。	00000100	4
ネットワーク接続	端末がネットワークに接続されているかどうかを監視し、接続が切れたらポリシー違反になります。	00001000	8
Default Gateway	ポリシーファイルに書かれたデフォルトゲートウェイのアドレスと、Windows デバイスが実際に接続しているネットワークのデフォルトゲートウェイのアドレスとが一致するかを監視します。ポリシーファイル内に3個まで登録でき、いずれも一致しなければポリシー違反になります。	00010000	16
位置情報	Windows が取得した位置情報が、ポリシーファイルに書かれた緯度/経度から一定の距離を離れるとポリシー違反になります。	00100000	32
疎通確認	ポリシーファイル内に書かれた企業内の特定サーバーに対して一定期間（×日）疎通確認をおこなえなかった場合は、ポリシー違反になります。ネットワークに接続されていない状態やサーバーのアドレスの名前確認ができない場合では疎通確認はおこなえませんが、疎通できなかった期間の加算はおこなわれます。ポリシー違反になると5分間隔で疎通確認をおこないます。	01000000	64
パスワードチェック	Windows のログオン画面やロック画面で、入力するパスワードをポリシーファイルで指定した回数を連続で間違えた場合にポリシー違反となります。	10000000	128

Ssid（文字列）

監視対象とする SSID を登録します。複数登録したい場合はカンマで区切り、最大10個まで登録できます。監視対象である SSID の無線 LAN に接続する必要はなく、検知さえできていれば有線 LAN に接続していてもポリシー違反にはなりません。

「監視対象アクセスポイントの電源を OFF にする」「アクセスポイントの圏外に移動する」など、管理対象の Windows デバイスから該当 SSID 名が検知できないとポリシー違反になります。

※ SSID の文字にスペースとカンマは、使用できません。
※ ステルス SSID は、検知できません。
※ Policies の SSID とは、異なります。
※ SsidWaitPeriod タグと併用します。

タグ指定例

単一の場合
<Policies>2</Policies>
<Ssid>office1-wifi-ssid</Ssid>
<SsidWaitPeriod>0</SsidWaitPeriod>
複数の場合
<Policies>2</Policies>
<Ssid>office1-wifi-ssid,office2-wifi-ssid</Ssid>
<SsidWaitPeriod>0</SsidWaitPeriod>

SsidWaitPeriod（小数値：0~24時間）

監視対象とする SSID が検出できなくなってから、アクションを発動させるまでの時間を登録します。

※ Ssid タグと併用します。

タグ指定例

<Policies>2</Policies>
<Ssid>office1-wifi-ssid</Ssid>
<SsidWaitPeriod>0</SsidWaitPeriod>

DevName（文字列）

監視対象とする Bluetooth デバイスの名称を登録します。
「接続していた監視対象の Bluetooth デバイスの電源が切れる」など Bluetooth デバイスと切断状態になるとポリシー違反となります。

※ MinToLock タグと併用します。

タグ指定例

<Policies>4</Policies>
<DevName>Microsoft Wedge Touch Mouse</DevName>
<MinToLock>1</MinToLock>

MinToLock（数値：0~10分）

Bluetooth デバイスの切断が発生してから、アクションが取られるまでの時間（分）を指定します。切断状態が指定した時間以上続いた場合のみ、アクションを取ります。一度でも再接続されると、リセットされます。

また、数値を「0」を設定すると、即時にポリシー違反とすることができます。

※ DevName タグと併用します。

タグ指定例

<Policies>4</Policies>
<DevName>Microsoft Wedge Touch Mouse</DevName>
<MinToLock>1</MinToLock>

DefaultGateway（文字列）

監視対象とするデフォルトゲートウェイの IP アドレスを登録します。
複数登録したい場合はカンマで区切ります。最大3個まで登録できます。

※ IPv4 のみで IPv6 は非サポートです。
※ ネットワークに接続されていない状態では、ポリシー監視の対象外です。

タグ指定例

単一の場合

複数の場合

GeoFence

監視対象とする位置情報を登録します。位置情報は、Location タグ1つで1箇所を指定でき、複数箇所の指定ができます。

※ Windows の位置情報設定を有効にする必要があります。Windows の位置情報取得機能については、 http://windows.microsoft.com/ja-jp/windows-10/location-service-privacy をご参照ください。

タグ指定例

単一の場合

複数の場合

<Policies>32</Policies>
<GeoFence>
　<Location>
　　<Latitude>35.65863</Latitude>　
　　<Longitude>139.745407</Longitude>
　　<Radius>1</Radius>
　　<Bypass>false</Bypass>
　</Location>
　<Location>
　　<Latitude>35.65863</Latitude>
　　<Longitude>139.745407</Longitude>
　　<Radius>2</Radius>
　　<Bypass>false</Bypass>
　</Location>
</GeoFence>

Location

監視対象とする位置情報を登録します。Location タグ1つで1箇所を指定できます。
Location は「Latitude」「Longitude」「Radius」「Bypass」の4つのタグから構成されます。ポリシー違反と検知される距離は、ポリシーファイルに書かれた距離と取得した位置情報に付随する精度を加えたものです。ただし、精度が1000m を越えた場合は無効なデータとして扱い、ポリシー判断の対象外とします。また、位置情報が取得できない場合はポリシー監視の対象外となり、判断はおこなわれません。

※ Windows が取得した位置情報の精度が500m で、「Radius」に指定した距離設定が1km だった場合には、指定した座標から1.5km 以上離れた場合に範囲外と判定されます。

タグ指定例

Latitude（小数値）

起点となる地点の緯度を登録します。

タグ指定例

Longitude（小数値）

起点となる地点の経度を登録します。

タグ指定例

Radius（数値:1~10km）

起点となる地点から距離（km）を登録します。

タグ指定例

Bypass（プール値）

位置情報を使用するか否かを登録します。
「true」を登録した場合、このBypass タグを含む Location タグは監視対象に含まれません。

使用例

新規にオープンする店舗で位置情報のみを監視対象として Windows デバイスを管理下に設定しておきたいが、オープンする店舗の位置情報を設定するとポリシー違反となってしまう。そのような場合は、あらかじめ Bypass タグを「true」にし、Windows デバイスが店舗に設置されてから「false」に設定を変更する。

タグ指定例

Server（文字列）

定期的に疎通確認をおこなうサーバーの「ホスト名」、または「IP アドレス」を登録します。

※ DaysToLock タグ、Polling タグと併用します。

タグ指定例

DaysToLock（小数値：0.5~14日）

疎通確認が取れない場合に、ロックするまでの日数を登録します。

※ Server タグ、Polling タグと併用します。

タグ指定例

Polling（数値：10~60分）

疎通確認をおこなう間隔を登録します。

※ Server タグ、DaysLock タグと併用します。

タグ指定例

PassMiss（数値：3~10回）

連続でパスワードの入力を間違えることができる回数を登録します。

※ この設定に限り、シャットダウンのみのアクションです。

タグ指定例

セキュリティアクション関連

次にセキュリティアクション関連の情報を設定します。構成できる項目は、以下のとおりです。

タグ	タイプ	概要
LockType	数値	監視ポリシーに違反した場合のアクションを登録します。
LockMessage1	文字列（最大50文字）	HID ロック中に画面に表示するメッセージ（メイン）を登録します。
LockMessage2	文字列（最大75文字）	HID ロック中に画面に表示するメッセージ（サブ）を登録します。
NoUnlock	プール値	アンロック使用不可フラグを登録します。
UseSoundArarm	プール値	サウンドアラーム使用フラグを登録します。
UnlockKey	文字列（4〜64文字）	強制アンロック用パスワードを登録します。
UseQr	プール値	アンロック用 QR コードを使用するか否かを登録します。^※ Interval タグと併用します。
Interval	数値（10〜120分）	QR コードによるアンロックの解除時間を登録します。^※ UseQr タグと併用します。

LockType（数値）

監視ポリシーに違反した場合のアクションを登録します。

※ HID ロック（設定値：1）を推奨します。
※ Windows 画面ロックをこ利用の場合は、お客さま自身での管理・運用をお願いします。

タグ指定例

設定値	説明
0	Windows のロック画面（ログオン画面）に表示させます。パスワード認証が通った場合でも、20秒ごとにロック画面の表示をおこないます。この場合、CLOMO にてロック状態の検知はできません。
1	HID ロックをおこないます。Human Interface Device と呼ばれるキーボード、マウス、トラックパッド、タッチパネル等の入力デバイスに対してロックをおこないます。

LockMessage1（文字列：最大50文字）

HID ロック中に画面上に表示するメッセージ（メイン）を登録します。

※ 指定がない場合は、ロック中の画面ごと表示をおこないません。

タグ指定例

<LockMessage1>システムがロックされました</LockMessage1>

LockMessage2（文字列：最大75文字）

HID ロック中に画面上に表示するメッセージ（サブ）を登録します。

タグ指定例

<LockMessage2>システム管理者に連絡して下さい(090-1234-5678)</LockMessage2>

NoUnlock（プール値）

アンロック使用不可フラグを登録します。「true」を設定した場合、ロック後にポリシーの条件を満たしてもアンロックをおこないません。ただし、QR コードによるアンロック実施後、 Interval タグ（後述）で指定した値（分）を経過する、もしくは、QR コードによるアンロック中に PC の再起動をおこなう場合は再びロックとなります。

なお、「false」を設定した場合、ポリシーの条件を満たす状態に復帰した場合は、QR コードによるアンロック中であったとしても、再びロックされることはありません。

タグ指定例

<NoUnlock>false</NoUnlock>

UseSoundArarm（プール値）

サウンドアラーム使用フラグです。
「true」を設定した場合、ロック時にアラームが鳴ります。

※ 実際の音量は、デバイス側のスピーカーの設定に依存します。

タグ指定例

UnlockKey（文字列：4〜64文字）

強制アンロック用パスワードを登録します。

※ Unlockkey に設定した値の使用方法は、「監視ポリシー違反からの回復方法」をご参照ください。

タグ指定例

UseQr（プール値）

アンロック用 QR コードを使用するか否かを登録します。「true」を設定した場合、アンロック方法に QR コードを使用できるようになり、一定時間アンロックされます。

※ Interval タグと併用します。

タグ指定例

Interval（数値：10〜120分）

QR コードによるアンロックの解除時間を登録します。

※ UserQr タグと併用します。

タグ指定例

その他

最後に、その他の情報を設定します。構成できる項目は、以下の通りです。

LockNow（数値）

強制的にロック/アンロックをおこないます。

タグ指定例

設定値	説明
0	何もおこないません。
1	ロック中か否かの状態に関わらず、HID ロックを強制的に実行します。他のポリシー要因によるロックであっても、上書きしてロックをおこないます。また、ポリシーを満たしていても、ロック状態は継続されます。LockType で0（Windows ロック）を設定している場合でも、HID ロックをおこないます。
2	HID ロック中の場合、一旦ロックを解除します。ロック解除後、他のポリシー要因によるロックはおこなわれます。HID ロックがかかっていない場合は、何もおこなわれません。

※ LockNow によるロックの解除は、「監視ポリシー違反からの回復方法」の「LockNow を使用する場合」をご参照ください。

EraseNow（数値）

消去の設定にもとづき、消去を実行します。

※ テンプレートでは、コメントアウトしています。

タグ指定例

設定値	説明
0	何もおこないません。
1	消去設定にもとづいて、ファイル / フォルダー / レジストリーの消去をおこないます。

印刷用ページを表示する

このページの情報は役に立ちましたか？

　6.10.3. OneBe のセットアップ

6.10.5. 消去設定を作成する　

このページに対するフィードバック

お寄せいただいたご意見に返信はできかねますので、予めご了承ください。

目次

監視ポリシーを作成する

XML を構成する設定項目

XML を構成する設定項目

タグ指定の型について

タグ指定の型

監視関連

Policies（数値）

タグ指定例

Ssid（文字列）

タグ指定例

SsidWaitPeriod（小数値：0~24時間）

タグ指定例

DevName（文字列）

タグ指定例

MinToLock（数値：0~10分）

タグ指定例

DefaultGateway（文字列）

タグ指定例

単一の場合

複数の場合

GeoFence

タグ指定例

単一の場合

複数の場合

Location

タグ指定例

Latitude（小数値）

タグ指定例

Longitude（小数値）

タグ指定例

Radius（数値:1~10km）

タグ指定例

Bypass（プール値）

使用例

タグ指定例

Server（文字列）

タグ指定例

DaysToLock（小数値：0.5~14日）

タグ指定例

Polling（数値：10~60分）

タグ指定例

PassMiss（数値：3~10回）

タグ指定例

セキュリティアクション関連

LockType（数値）

タグ指定例

LockMessage1（文字列：最大50文字）

タグ指定例

LockMessage2（文字列：最大75文字）

タグ指定例

NoUnlock（プール値）

タグ指定例

UseSoundArarm（プール値）

タグ指定例

UnlockKey（文字列：4〜64文字）

タグ指定例

UseQr（プール値）

タグ指定例

Interval（数値：10〜120分）

タグ指定例

その他

LockNow（数値）

タグ指定例

EraseNow（数値）

タグ指定例

このページに対するフィードバック