1. はじめに

tkitahar · ‎2018-11-06

※ 2018 年 11 月 6 日現在の情報をもとに作成しています

本記事では、ユーザーによる Roaming Client のサービス停止を無効化するといったロックダウンの方法についていくつか紹介します。

※ 本記事では Windows 版のみを取り扱っています

2. サービス停止の無効化

Active Directory 環境のグループポリシー機能を使うことで、ユーザー (管理者を含む) が Roaming Client のサービスを停止することを防ぐことができます。具体的な手順については以下のサポート記事を参照してください。

Locking down the Umbrella Roaming Client on an AD environment using GPO's

この際の注意点としては、グループポリシー管理エディターで当該のポリシーを設定するには、「Roaming Client がインストールされた Windows 端末」で行う必要があることが挙げられます。

もし、Roaming Client がインストールされていないドメインコントローラーなどでグループポリシー管理エディターを起動しても、以下の画像のような Roaming Client のエントリーは表示されません。

なお、Windows クライアント OS 上でグループポリシー管理エディターを起動するには、事前に Remote Server Administration Tools (RSAT) をインストールする必要があります。RSAT の詳細については Window OS の文書を参照してください。

設定が問題なく行われ、クライアント PC に当該のポリシーが適用されると、以下の画像のように、GUI から Roaming Client サービスの停止ができなくなります。

また、コマンドプロンプトからサービスを停止しようとしても、失敗に終わります。

>sc stop Umbrella_RC
[SC] OpenService FAILED 5:

アクセスが拒否されました。

以前の記事で説明しましたが、Roaming Client のインストール時のオプションでコントロールパネルの「アプリと機能 (Windows 10 の場合)」に Roaming Client を表示させなくすることが可能です。

msiexec /i Setup.msi HIDE_ARP=1

ただし、視覚的に見えなくなるだけで、システム的にアンインストールできなくなる訳ではありません。

また、アンインストールの抑制と同様に、インストール時のオプションで画面右下にあるタスクトレイに Roaming Clientを表示させなくすることも可能です。これはユーザーから Roaming Client の存在を隠すという意味で有効です。

msiexec /i Setup.msi HIDE_UI=1

AnyConnect Umbrella Roaming Security Module の場合、AnyConnect 本体のロックダウン機能を利用することができます。詳細については以下のサポート記事のロックダウンに関する項目を参照してください。

AnyConnect Roaming Security Module: Pre-Deployment Tips