Desktop Central オンプレミス版 ナレッジベース

禁止ソフトウェアの設定


この記事では、管理対象PCにおいて特定のアプリケーション実行を禁止する方法について説明しています。

禁止アプリケーションの設定

Desktop Centralには、管理対象PCにおいて、特定のアプリケーションの使用を禁止する「禁止ソフトウェア」機能があります。また、検出された場合に、管理者に対してメールで通知を送信したり、自動的に強制アンインストールを実行したりすることも可能です。禁止アプリケーションの実行を許可する例外デバイスを追加することもできます。


禁止ソフトウェアの追加/解除

管理対象で禁止したいソフトウェアを追加/解除する場合は、以下の手順を実行します。設定すると、指定したソフトウェアの「アクセスタイプ」がただちに「禁止済み」カテゴリに移動されます。追加/変更した禁止ソフトウェアは、対象の再起動後に管理対象に適用されます。
禁止ソフトウェアの設定に加えて、自動アンインストールポリシー/ユーザー通知を設定します。

  1. インベントリタブ > アプリケーション制御 > 禁止ソフトウェア をクリックします。
  2. [+ 禁止ソフトウェアの追加]をクリックします。
  3. 「利用可能なソフトウェア」から、禁止したいソフトウェアを「選択したソフトウェア」に移動させ、保存をクリックします。

    「利用可能なソフトウェア」に表示されるのは、インベントリスキャンを管理対象のWindows PCに対して実行し、検出されたソフトウェアのみとなります。
    検出されていないソフトウェアや実行ファイルをブロックするには、実行ファイルのブロック機能を使用します。
  4. 禁止ソフトウェアの一覧に、先ほど追加したソフトウェアが表示されました。「管理中のインストール数」または「ネットワーク上のインストール数」の数字をクリックするか、「禁止ソフトウェアのあるシステム」小タブをクリックすると、禁止ソフトウェアがインストールされている管理対象PCが表示されます。続けて、自動アンインストール/ユーザー通知やアラートを設定します。
  5. ソフトウェアを禁止ソフトウェアの指定から解除する場合は、チェックを入れて[禁止ソフトウェアの削除]をクリックします。
禁止ソフトウェアは、インベントリタブ > ソフトウェア 等でソフトウェア一覧を表示した際に「アクセスタイプ」列が「禁止済み」となります。
何も設定していないソフトウェアは「未割当て」と表示されます。明示的に使用を許可するソフトウェアがある場合は、インベントリタブ > ソフトウェア からソフトウェアを選択して ソフトウェアを移動する: [アクセスタイプ] をクリックし「許可済み」に変更します。
Windows / Mac / Linux ソフトウェアを禁止ソフトウェアとして登録できますが、自動アンインストールポリシーやユーザー通知を構成できるのは Windows のみです。

 


自動アンインストールポリシー/ユーザー通知の設定

禁止したソフトウェアの使用を制限するため、自動アンインストールの実行やユーザーへの通知を設定します。

前提条件

自動アンインストールを実行するには、対象のソフトウェアがサイレントアンインストールに対応している EXE 形式 または MSI 形式 である必要があります。

自動アンインストールに対応していないソフトウェアをアンインストールしたい場合、ユーザー通知を設定して、ユーザーにアンインストールを実行するようメッセージを表示します。
(または、リモート制御機能を使用して、管理者が遠隔から端末を操作し、アンインストールを手動で実行します)
設定手順

自動アンインストールポリシーを設定すると、禁止ソフトウェアの設定・検出から指定日数後のリフレッシュサイクルにおいて、ソフトウェアのアンインストールが実行されます(時間帯は指定できません)。

  1. インベントリタブ > アプリケーション制御 > 禁止ソフトウェア をクリックして開き、自動アンインストールポリシータブを開きます。
  2. 自動アンインストールの有効化にチェックを入れ、続いて以下の項目を設定します。
    • システム起動時にアンインストールするソフトウェア数: 禁止ソフトウェアが複数インストールされたコンピューターから、一度にアンインストールする禁止ソフトウェアの上限数を設定します。多数のソフトウェアを指定すると、アンインストールプロセスにより対象コンピューターのリソースが圧迫される可能性があります。上限を超える数の禁止ソフトウェアが発見された場合、次の起動時にアンインストールされます。
    • 次で指定した日数後、ソフトウェアを削除する: 禁止ソフトウェア検出からアンインストール実行されるまでの日数を指定します。最小は1日です。
    • ユーザー通知設定: 有効化すると、禁止ソフトウェアが検出されたエンドユーザーにポップアップで通知します。通知は、検出されたすべての禁止ソフトウェアがアンインストールされるか、管理者によって使用が許可されるまで、PCの起動時に毎回表示されます。また、禁止ソフトウェアの対象に変更があった場合は、変更後次のリフレッシュサイクル時にも通知が表示されます。
    • 通知メッセージ: 通知する内容を簡潔に入力します。
  3. 保存をクリックします。
  4. 自動アンインストールのステータスは、「自動アンインストールのステータス」タブから確認可能です。
  5. 続いて、インベントリタブ > アプリケーション制御 > 禁止ソフトウェア > 禁止ソフトウェアタブを開きます。
  6. 禁止ソフトウェアの「インストーラーの種類」列がEXE形式の場合、アンインストールコマンドを指定する必要があります。自動アンインストールを実行したいソフトウェアの「アンインストールのコマンド」列の「未設定」をクリックし、アンインストールコマンドの追加/編集ウィンドウを表示させます。
  7. アンインストールストリングを生成: アンインストールコマンドとサイレント引数を指定します。完了後、「保存」をクリックします。
    • アンインストールコマンドを事前設定: このオプションを選択すると「プログラムの追加と削除」からアプリケーションのアンインストールコマンドを自動取得します。サイレントスイッチのみを指定する必要があります。
    • 自ら指定する: アンインストールコマンドおよびサイレント引数を指定する必要があります。
    アンインストールコマンドとサイレント引数は検証されていないため、別途アンインストールコマンドを検証することを推奨します。
  8. インベントリタブ > アプリケーション制御 > 禁止ソフトウェア > 自動アンインストールのステータスタブ を開き、表示の切り替え にて「詳細ビュー」を選択してステータスを確認します。 自動アンインストールは、自動アンインストールポリシーで設定した内容に基づいて実行されます。
自動アンインストールは、指定日数後のリフレッシュサイクルにおいて実行されます。実行に失敗した場合、次のリフレッシュサイクルにおいて再試行されます。
自動アンインストールポリシーのみを指定し、ユーザー通知を有効にしない場合、ユーザーへの通知は一切ありません。

 


アラートの設定

アラートを設定すると、管理者やエンドユーザーにメール通知を自動的に送信します(任意)。

  1. インベントリタブ > アプリケーション制御 > 禁止ソフトウェア > [アラートの設定] をクリックし、アラートの構成画面を開きます。
  2. Desktop Centralユーザーへのメール通知を有効化する場合は、「禁止ソフトウェアをインストールした場合、以下のメールアドレスにメールを送信する」にチェックを入れ、続いて以下の項目を設定します。
    • 送信者名: 必要に応じて入力します(英数字のみ対応)。
    • 宛先: 宛先となるメールアドレスを入力します。複数ある場合は、カンマ区切りにします。
    • 件名: 通知メールの件名を設定します。
    • カスタムメッセージ: 通知メールの本文を指定します。
    • 見本メールを送信する: メールサーバー設定が完了している場合、指定した宛先にサンプルメールを送信します。
  3. エンドユーザーへの警告メールを有効化する場合は、「禁止ソフトウェアをインストールした場合、ユーザーに警告メールを送信する」にチェックを入れ、続いて以下の項目を設定します。
    • 送信者名: 必要に応じて入力します(英数字のみ対応)。
    • 宛先: 以下から選択します。ワークグループ環境の場合は「手動で設定されたメールIDを使用する」を選択します。
      • ADで設定されたメールIDを使用する: Active Directoryで対象のPCオブジェクトに設定されているメールアドレスへ送信します。
      • 手動で設定されたメールIDを使用する: Active Directoryで設定されている以外のメールアドレスへ送信します。
      メールアドレスを手動で設定する方法は次の通りです。

      1. インベントリタブ > ビュー > PC を開き、メールアドレス列があることを確認します(「メールアドレス」列が表示されない場合は、右上の表アイコンをクリックし、「メールアドレス」にチェックを入れて Save をクリックします)。
      2. 編集したいPCにチェックを入れて鉛筆アイコンをクリック、または[一括編集]をクリックします(または、[CSVのインポート]をクリックし、CSVファイルから一括して登録することも可能です)。
      3. 「メールアドレス」列にメールアドレスを入力します。
      4. 保存をクリックします。

      上記は、管理タブ > インベントリの設定 > カスタムデータの追加 から実行することもできます。

    • 件名: 警告メールの件名を設定します。
  4. [保存] をクリックします。

 


除外設定

除外されたPC/静的カスタムグループでは、禁止ソフトウェアの使用が可能になり、アラートも送信されません。除外設定を追加するには、以下の手順を実行します。

  1. インベントリタブ > アプリケーション制御 > 禁止ソフトウェア を開きます。
  2. 禁止ソフトウェアの一覧から、除外設定したいソフトウェアの「除外」列の「未設定」をクリックします。複数またはすべての禁止ソフトウェアの例外とする場合は、ソフトウェアにチェックを入れて[+除外設定]をクリックします。
  3. ドメイン/ワークグループを選択し、除外登録するPCまたはカスタムグループをAll ResourcesからExcluded Resourcesにドラッグ&ドロップで移動させます。
  4. 追加をクリックします。

既知の不具合をご覧ください。

 


ユーザー通知と禁止ソフトウェアの使用リクエスト

この機能は、Desktop Central10.0.192以降で使用可能です。
禁止ソフトウェアの通知を有効にすると、禁止ソフトウェアが検出されたコンピューターが起動し、ユーザーがログインするたびに禁止ソフトウェアに関するポップアップが表示されます。

ユーザーはこのメッセージを閉じることができますが、アンインストールが実行されるか、管理者によって許可されない限りログインごとに再度表示されます。
また、エージェントトレイアイコンを右クリック > 禁止ソフトウェアの表示 を選択することで、再度表示することができます。
詳細は「禁止ソフトウェア」のポップアップメッセージが表示されました。どうすればよいでしょうか。」をご覧ください。
禁止ソフトウェアの表示後、エンドユーザーは、禁止されているソフトウェアの使用リクエストをDesktop Centralユーザーに送信できます。送信されたリクエストは、インベントリタブ > アプリケーション制御 > 禁止ソフトウェア > 「ユーザーのリクエスト」タブから確認できます。

  1. エンドユーザーがユーザー通知を受け取ります。

     
  2. エンドユーザーが禁止ソフトウェアの使用リクエストしたい場合、メールの詳細を入力します。

     
  3. 要求を送信すると、以下の画面が表示されます。Desktop Centralユーザーからの許可が得られるまで待ちます。

     
  4. Desktop Centralユーザーは、インベントリタブ > アプリケーション制御 > 禁止ソフトウェア > 「ユーザーのリクエスト」タブ > 「アクション」列 の 承認または拒否の一方をクリックして送信されたリクエストを承認または拒否します。

     

 


監査履歴/レポート

禁止ソフトウェアに関するレポートを生成します。レポートタブ > インベントリレポート > ソフトウェアのレポート > 禁止ソフトウェア より、情報を確認できます。適宜表示を「詳細ビュー」に切り替えます。

禁止ソフトウェアの設定変更等の履歴は、インベントリタブ > アプリケーション制御 > 禁止ソフトウェア > 「監査履歴」タブから確認できます。
なお禁止ソフトウェアに関する監査履歴は、アクションログ設定に基づいており、ログの保持期間のデフォルトは30日です。保持期間を変更するには、管理タブ > 監査 > アクションログビューア > アクションログ設定 より変更します。