監視ポリシーとは、OneBe サービスがインストールされたデバイスで監視する内容と、その違反時にどういったアラートをおこなうか、などが設定されたものです。

監視ポリシーは XML ファイルを利用するため、若干設定が難しい部分もありますが、以下の内容をご確認いただきながら作成をお願いします。

目次

監視ポリシーを作成する

監視ポリシーの作成手順は以下のとおりです。

1. CLOMO PANEL の「Settings」を選択します。

2. 「Mobile Device Management」の「OneBe 設定」より、「...新規 OneBe 設定を作成」を選択します。

3. 表示された画面の「監視ポリシーのテンプレート」を選択すると、テンプレートの XML ファイルがダウンロードされます。

4. 各指定を加え編集した XML ファイルを「アップロード」します。

※ XML ファイルの詳細は、次項目以降に記載しています。

5. 「保存」を選択して完了です。

設定したい監視項目にあわせて、XML ファイル(文字コード:UTF-8)を修正します。

※ XML ファイルの修正はエディタからおこなってください。
編集したい XML ファイルにカーソルを合わせ、右クリックをします。 表示されたメニューから 「プログラムから開く(H)」→「メモ帳」を選択してください。

XML を構成する設定項目

XML は、大きく「監視関連」「セキュリティアクション関連」「その他」の3つから構成されています。

XML を構成する設定項目

監視関連監視対象の項目を設定します。
セキュリティアクション関連ポリシー違反となった場合、取るべきアクションを設定します。
その他強制ロック / アンロック、外部アプリケーション、消去設定実行を設定します。

タグ指定の型について

XML ファイルの各タグの設定を編集することで、目的に合った監視ポリシーを作成できます。

タグ指定の型

数値整数値のみを設定できます。
小数値整数、小数を設定できます。
文字列機種依存文字を除いた任意の文字列を設定できます。
プール値true / false の2つの値を設定できます。

本ページに記載していないタグの変更は、おこなわないでください。正常に設定ファイルが作成されない可能性があります。

監視関連

XML を構成する要素として、まず監視関連の情報を設定します。構成できる項目は、以下のとおりです。各タグを選択すると、詳細へと移動します。

タグ名タイプ概要
Policies数値(8桁)8桁のピットフラグによって管理対象項目を設定します。
Ssid文字列監視対象とする SSID を登録します。 SsidWaitPeriod タグと併用します。
SsidWaitPeriod数値(0〜24時間)監視対象とする SSID が検出できなくなってから、アクションを発動させるまでの時間を設定します。 Ssid タグを併用します。
DevName文字列監視対象とする Bluetooth デバイスの名称を登録します。 MinToLock タグと併用します。
MinToLock数値(0〜10分)Bluetooth デバイスの切断が発生してから、アクションを取るまでの時間を指定します。 DevName タグと併用します。
DefaultGateway文字列監視対象とするデフォルトゲートウェイの IP アドレスを登録します。
GeoFence< Location >タグ監視対象とする位置情報を登録できます。
Location< Location >タグ監視対象とする位置情報を登録できます。
Latitude数値監視対象とする位置情報の起点となる地点の緯度を登録します。
Longitude数値監視対象とする位置情報の起点となる地点の経度を登録します。
Radius数値(1〜10km)監視対象とする位置情報の起点となる地点からの距離(km)を登録します。
Bypassプール値位置情報を使用するか否かを登録します。
Server文字列定期的に疎通確認をおこなうサーバーの「ホスト名」または「IP アドレス」を登録します。 DaysToLock タグ、Poling タグと併用します。
DaysToLock数値(0.5〜14日)疎通確認が取れない場合に、ロックするまでの日数を登録します。 Server タグ、Poling タグと併用します。
Poling数値(10〜60分)疎通確認をおこなう間隔を登録します。 Server タグ、DaysToLock タグと併用します。
PassMiss数値(3〜10回)連続でパスワードの入力を間違えられる回数を登録します。

Policies(数値)

8 桁のビットフラグによって、監視対象項目を設定します。

Policies タグに設定する値は、監視対象のビットフラグ値の加算(10進数表記)です。

※ 2進数として表記した場合に、1となっている桁の設定を有効とします。

タグ指定例

AC アダプターとネットワーク接続を設定する場合、「1 + 8 = 9」を Policies タグに設定します。
→<Policies>9</Policies>

監視対象項目項目説明ビットフラグ10進数表
AC アダプターAC アダプターが接続されているかどうかを監視します。アダプターとの接続が切れたらポリシー違反になります。000000011
SSIDポリシーファイルに書かれた無線 LAN の SSID が Windows デバイス上で見える SSID に含まれているかどうかを監視します。ポリシーファイル内に10個まで登録でき、そのいずれも検知できなければポリシー違反になります。000000102
Bluetooth端末とペアリングしているマウスなどの Bluetooth デバイスとの接続を監視します。接続が切れて一定時間が経つと、ポリシー違反になります。000001004
ネットワーク接続端末がネットワークに接続されているかどうかを監視し、接続が切れたらポリシー違反になります。000010008
Default Gatewayポリシーファイルに書かれたデフォルトゲートウェイのアドレスと、Windows デバイスが実際に接続しているネットワークのデフォルトゲートウェイのアドレスとが一致するかを監視します。ポリシーファイル内に3個まで登録でき、いずれも一致しなければポリシー違反になります。0001000016
位置情報Windows が取得した位置情報が、ポリシーファイルに書かれた緯度/経度から一定の距離を離れるとポリシー違反になります。0010000032
疎通確認ポリシーファイル内に書かれた企業内の特定サーバーに対して一定期間(×日)疎通確認をおこなえなかった場合は、ポリシー違反になります。ネットワークに接続されていない状態やサーバーのアドレスの名前確認ができない場合では疎通確認はおこなえませんが、疎通できなかった期間の加算はおこなわれます。ポリシー違反になると5分間隔で疎通確認をおこないます。0100000064
パスワードチェックWindows のログオン画面やロック画面で、入力するパスワードをポリシーファイルで指定した回数を連続で間違えた場合にポリシー違反となります。10000000128

Ssid(文字列)

監視対象とする SSID を登録します。複数登録したい場合はカンマで区切り、最大10個まで登録できます。監視対象である SSID の無線 LAN に接続する必要はなく、検知さえできていれば有線 LAN に接続していてもポリシー違反にはなりません。

「監視対象アクセスポイントの電源を OFF にする」「アクセスポイントの圏外に移動する」など、管理対象の Windows デバイスから該当 SSID 名が検知できないとポリシー違反になります。

※ SSID の文字にスペースとカンマは、使用できません。
※ ステルス SSID は、検知できません。
※ Policies の SSID とは、異なります。
※ SsidWaitPeriod タグと併用します。

タグ指定例

  • 単一の場合
    <Policies>2</Policies>
    <Ssid>office1-wifi-ssid</Ssid>
    <SsidWaitPeriod>0</SsidWaitPeriod>
  • 複数の場合
    <Policies>2</Policies>
    <Ssid>office1-wifi-ssid,office2-wifi-ssid</Ssid>
    <SsidWaitPeriod>0</SsidWaitPeriod>

SsidWaitPeriod(小数値:0~24時間)

監視対象とする SSID が検出できなくなってから、アクションを発動させるまでの時間を登録します。

※ Ssid タグと併用します。

タグ指定例

<Policies>2</Policies>
<Ssid>office1-wifi-ssid</Ssid>
<SsidWaitPeriod>0</SsidWaitPeriod>

DevName(文字列)

監視対象とする Bluetooth デバイスの名称を登録します。
「接続していた監視対象の Bluetooth デバイスの電源が切れる」など Bluetooth デバイスと切断状態になるとポリシー違反となります。

※ MinToLock タグと併用します。

タグ指定例

<Policies>4</Policies>
<DevName>Microsoft Wedge Touch Mouse</DevName>
<MinToLock>1</MinToLock>

MinToLock(数値:0~10分)

Bluetooth デバイスの切断が発生してから、アクションが取られるまでの時間(分)を指定します。切断状態が指定した時間以上続いた場合のみ、アクションを取ります。一度でも再接続されると、リセットされます。

また、数値を「0」を設定すると、即時にポリシー違反とすることができます。

※ DevName タグと併用します。

タグ指定例

<Policies>4</Policies>
<DevName>Microsoft Wedge Touch Mouse</DevName>
<MinToLock>1</MinToLock>

DefaultGateway(文字列)

監視対象とするデフォルトゲートウェイの IP アドレスを登録します。
複数登録したい場合はカンマで区切ります。最大3個まで登録できます。

※ IPv4 のみで IPv6 は非サポートです。
※ ネットワークに接続されていない状態では、ポリシー監視の対象外です。

タグ指定例

単一の場合

<Policies>16</Policies>
<DefaultGateway>192.168.28.1</DefaultGateway>

複数の場合

<Policies>16</Policies>
<DefaultGateway>192.168.28.1,192.168.1.10</DefaultGateway>

GeoFence

監視対象とする位置情報を登録します。位置情報は、Location タグ1つで1箇所を指定でき、複数箇所の指定ができます。

※ Windows の位置情報設定を有効にする必要があります。Windows の位置情報取得機能については、 http://windows.microsoft.com/ja-jp/windows-10/location-service-privacy をご参照ください。

タグ指定例

単一の場合

<Policies>32</Policies>
<GeoFence>
 <Location>
  <Latitude>35.65863</Latitude>
  <Longitude>139.745407</Longitude>
  <Radius>1</Radius>
  <Bypass>false</Bypass>
 </Location>
</GeoFence>

複数の場合

<Policies>32</Policies>
<GeoFence>
 <Location>
  <Latitude>35.65863</Latitude> 
  <Longitude>139.745407</Longitude>
  <Radius>1</Radius>
  <Bypass>false</Bypass>
 </Location>
 <Location>
  <Latitude>35.65863</Latitude>
  <Longitude>139.745407</Longitude>
  <Radius>2</Radius>
  <Bypass>false</Bypass>
 </Location>
</GeoFence>

Location

監視対象とする位置情報を登録します。Location タグ1つで1箇所を指定できます。
Location は「Latitude」「Longitude」「Radius」「Bypass」の4つのタグから構成されます。ポリシー違反と検知される距離は、ポリシーファイルに書かれた距離と取得した位置情報に付随する精度を加えたものです。ただし、精度が1000m を越えた場合は無効なデータとして扱い、ポリシー判断の対象外とします。また、位置情報が取得できない場合はポリシー監視の対象外となり、判断はおこなわれません。

※ Windows が取得した位置情報の精度が500m で、「Radius」に指定した距離設定が1km だった場合には、指定した座標から1.5km 以上離れた場合に範囲外と判定されます。

タグ指定例

<Policies>32</Policies>
<GeoFence>
 <Location>
  <Latitude>35.65863</Latitude>
  <Longitude>139.745407</Longitude>
  <Radius>1</Radius>
  <Bypass>false</Bypass>
 </Location>
</GeoFence>

Latitude(小数値)

起点となる地点の緯度を登録します。

タグ指定例

<Policies>32</Policies>
<GeoFence>
 <Location>
  <Latitude>35.65863</Latitude>
  <Longitude>139.745407</Longitude>
  <Radius>1</Radius>
  <Bypass>false</Bypass>
 </Location>
</GeoFence>

Longitude(小数値)

起点となる地点の経度を登録します。

タグ指定例

<Policies>32</Policies>
<GeoFence>
 <Location>
  <Latitude>35.65863</Latitude>
  <Longitude>139.745407</Longitude>
  <Radius>1</Radius>
  <Bypass>false</Bypass>
 </Location>
</GeoFence>

Radius(数値:1~10km)

起点となる地点から距離(km)を登録します。

タグ指定例

<Policies>32</Policies>
<GeoFence>
 <Location>
  <Latitude>35.65863</Latitude>
  <Longitude>139.745407</Longitude>
  <Radius>1</Radius>
  <Bypass>false</Bypass>
 </Location>
</GeoFence>

Bypass(プール値)

位置情報を使用するか否かを登録します。
「true」を登録した場合、このBypass タグを含む Location タグは監視対象に含まれません。

使用例

新規にオープンする店舗で位置情報のみを監視対象として Windows デバイスを管理下に設定しておきたいが、オープンする店舗の位置情報を設定するとポリシー違反となってしまう。そのような場合は、あらかじめ Bypass タグを「true」にし、Windows デバイスが店舗に設置されてから「false」に設定を変更する。

タグ指定例

<Policies>32</Policies>
<GeoFence>
 <Location>
  <Latitude>35.65863</Latitude>
  <Longitude>139.745407</Longitude>
  <Radius>1</Radius>
  <Bypass>false</Bypass>
 </Location>
</GeoFence>

Server(文字列)

定期的に疎通確認をおこなうサーバーの「ホスト名」、または「IP アドレス」を登録します。

※ DaysToLock タグ、Polling タグと併用します。

タグ指定例

<Policies>64</Policies>
<Server>192.168.28.1</Server>
<DaysToLock>10</DaysToLock>
<Polling>60</Polling>

DaysToLock(小数値:0.5~14日)

疎通確認が取れない場合に、ロックするまでの日数を登録します。

※ Server タグ、Polling タグと併用します。

タグ指定例

<Policies>64</Policies>
<Server>192.168.28.1</Server>
<DaysToLock>10</DaysToLock>
<Polling>60</Polling>

Polling(数値:10~60分)

疎通確認をおこなう間隔を登録します。

※ Server タグ、DaysLock タグと併用します。

タグ指定例

<Policies>64</Policies>
<Server>192.168.28.1</Server>
<DaysToLock>10</DaysToLock>
<Polling>60</Polling>

PassMiss(数値:3~10回)

連続でパスワードの入力を間違えることができる回数を登録します。

※ この設定に限り、シャットダウンのみのアクションです。

タグ指定例

<Policies>128</Policies>
<PassMiss>3</PassMiss>

セキュリティアクション関連

次にセキュリティアクション関連の情報を設定します。構成できる項目は、以下のとおりです。

タグタイプ概要
LockType数値監視ポリシーに違反した場合のアクションを登録します。
LockMessage1文字列(最大50文字)HID ロック中に画面に表示するメッセージ(メイン)を登録します。
LockMessage2文字列(最大75文字)HID ロック中に画面に表示するメッセージ(サブ)を登録します。
NoUnlockプール値アンロック使用不可フラグを登録します。
UseSoundArarmプール値サウンドアラーム使用フラグを登録します。
UnlockKey文字列(4〜64文字)強制アンロック用パスワードを登録します。
UseQrプール値アンロック用 QR コードを使用するか否かを登録します。 Interval タグと併用します。
Interval数値(10〜120分)QR コードによるアンロックの解除時間を登録します。 UseQr タグと併用します。

LockType(数値)

監視ポリシーに違反した場合のアクションを登録します。

※ HID ロック(設定値:1)を推奨します。
※ Windows 画面ロックをこ利用の場合は、お客さま自身での管理・運用をお願いします。

タグ指定例

<LockType>1</LockType>

設定値説明
0Windows のロック画面(ログオン画面)に表示させます。
パスワード認証が通った場合でも、20秒ごとにロック画面の表示をおこないます。この場合、CLOMO にてロック状態の検知はできません。
1HID ロックをおこないます。Human Interface Device と呼ばれるキーボード、マウス、トラックパッド、タッチパネル等の入力デバイスに対してロックをおこないます。

LockMessage1(文字列:最大50文字)

HID ロック中に画面上に表示するメッセージ(メイン)を登録します。

※ 指定がない場合は、ロック中の画面ごと表示をおこないません。

タグ指定例

<LockMessage1>システムがロックされました</LockMessage1>

LockMessage2(文字列:最大75文字)

HID ロック中に画面上に表示するメッセージ(サブ)を登録します。

タグ指定例

<LockMessage2>システム管理者に連絡して下さい(090-1234-5678)</LockMessage2>

NoUnlock(プール値)

アンロック使用不可フラグを登録します。「true」を設定した場合、ロック後にポリシーの条件を満たしてもアンロックをおこないません。ただし、QR コードによるアンロック実施後、 Interval タグ(後述)で指定した値(分)を経過する、もしくは、QR コードによるアンロック中に PC の再起動をおこなう場合は再びロックとなります。

なお、「false」を設定した場合、ポリシーの条件を満たす状態に復帰した場合は、QR コードによるアンロック中であったとしても、再びロックされることはありません。

タグ指定例

<NoUnlock>false</NoUnlock>

UseSoundArarm(プール値)

サウンドアラーム使用フラグです。
「true」を設定した場合、ロック時にアラームが鳴ります。

※ 実際の音量は、デバイス側のスピーカーの設定に依存します。

タグ指定例

<UseSoundArarm>true</UseSoundArarm>

UnlockKey(文字列:4〜64文字)

強制アンロック用パスワードを登録します。

※ Unlockkey に設定した値の使用方法は、「監視ポリシー違反からの回復方法」をご参照ください。

タグ指定例

<UnlockKey>P@ssw0rd</UnlockKey>

UseQr(プール値)

アンロック用 QR コードを使用するか否かを登録します。「true」を設定した場合、アンロック方法に QR コードを使用できるようになり、一定時間アンロックされます。

※ Interval タグと併用します。

タグ指定例

<UseQr>true</UseQr>

Interval(数値:10〜120分)

QR コードによるアンロックの解除時間を登録します。

※ UserQr タグと併用します。

タグ指定例

<Interval>10</Interval>

その他

最後に、その他の情報を設定します。構成できる項目は、以下の通りです。

LockNow(数値)

強制的にロック/アンロックをおこないます。

タグ指定例

<LockNow>0</LockNow>

設定値説明
0何もおこないません。
1ロック中か否かの状態に関わらず、HID ロックを強制的に実行します。他のポリシー要因によるロックであっても、上書きしてロックをおこないます。また、ポリシーを満たしていても、ロック状態は継続されます。LockType で0(Windows ロック)を設定している場合でも、HID ロックをおこないます。
2HID ロック中の場合、一旦ロックを解除します。ロック解除後、他のポリシー要因によるロックはおこなわれます。HID ロックがかかっていない場合は、何もおこなわれません。

※ LockNow によるロックの解除は、「監視ポリシー違反からの回復方法」の「LockNow を使用する場合」をご参照ください。

EraseNow(数値)

消去の設定にもとづき、消去を実行します。

※ テンプレートでは、コメントアウトしています。

タグ指定例

<EraseNow>0</EraseNow>

設定値説明
0何もおこないません。
1消去設定にもとづいて、ファイル / フォルダー / レジストリーの消去をおこないます。