コレクターレベルの匿名化の設定

匿名化機能

Nexthinkは、ユーザーのプライバシーを細かく制御するための様々なデータ匿名化手段を提供しています。この記事で説明されているアプローチは、データストレージレイヤーが提供する類似の機能を補完し、Microsoft WindowsやmacOSデバイスから送信されるデータが匿名化されていることを保証します。

Collectorレベルでユーザー名とアクティビティのデータ匿名化が有効になっている場合、サーバー側で同様の設定を有効にする必要はありません。

データ

説明

利用可能なプライバシーオプション

デフォルトのプライバシーオプション

ユーザー名

デバイスから報告されるユーザーのログオン名。

cleartext Collectorはユーザー名を平文で報告します。

hashed Collectorはユーザー名をハッシュ化してバックエンドに送信します。

no_import Collectorはユーザー名をまったく収集しません。

注意: を使用したMicrosoft Active Directoryとの統合、またはを使用した統合は、このCollector設定とは独立しています。データエンリッチャー (クラシック) と Microsoft Entra ID用コネクタで取得したADフィールドリストが正しく設定されていることを確認します。

cleartext

ユーザープリンシパル名 (UPN)

通常メールアドレスの形式を取る標準化されたユーザー識別子。 UPNはシステムがユーザーを一意に識別することを可能にします。 NexthinkはUPNを使用してサードパーティサービスからデータを取得し、ユーザーオブジェクトを強化します。

cleartext CollectorはUPNを平文で報告します。

hashed CollectorはUPNをハッシュ化してバックエンドに送信します。

no_import CollectorはUPNをまったく収集しません。

no_import

フォーカスタイム

アプリケーションウィンドウがフォーカスされている間のアプリケーションフォーカス持続時間を報告します。

enable 実行イベントはアプリケーションがどれだけ長くフォーカスされていたかの情報を含んでいます。

disable 実行イベントはアプリケーションがどれだけ長くフォーカスされていたかの情報を含んでいません。

disable

ユーザーアクティビティ

ユーザーがマウス、タッチパッド、またはキーボードで操作していた時間の報告を制御します。

enable Collectorはユーザーがアクティブにデバイスを使用している期間を報告します。

disable Collectorはユーザーがアクティブにデバイスを使用している期間を報告しません。

enable

Wi-Fiネットワーク

SSIDおよびBSSIDの識別情報とWi-Fiパフォーマンスメトリクスの報告を管理します。

enable Collectorはパフォーマンスメトリクスと接続属性のみを報告します。

disable Collectorはパフォーマンスメトリクスおよび接続属性に加えて接続されたホットスポットのSSIDおよびBSSIDを報告します。

enable

ネットワーク接続

ネットワーク接続データの報告を管理します。

enable Collectorは、すべてのバイナリのネットワーク接続と宛先属性および接続メトリクスを報告します。

disable Collectorはネットワーク接続データを報告しません。

enable

ドメイン名

ネットワーク接続の宛先のドメイン名の報告を管理します。

enable Collectorは宛先のドメイン名を報告します。

disable Collectorはネットワーク接続でドメイン名を報告しません。

disable

ネットワーク接続のデータプライバシーフィルター

ユーザー定義のALLOW / BLOCKルールによってネットワーク接続を報告します。

詳細については、セクションを参照してください。

Collectorはすべてのネットワーク接続を報告します

デフォルトのプライバシーオプションの変更

各データタイプのデフォルトプライバシー設定を変更するためのさまざまな設定オプションがあります。環境や状況に応じて適切な方法を見つけるために、さまざまなオプションを確認してください。

設定方法

使用用途

ユーザー名

UPN

フォーカスタイム

ユーザーアクティビティ

Wi-Fiネットワーク

ネットワーク接続

ドメイン名

データプライバシーフィルター

リモートアクション

既存のインストール

✓

Windows Collectorインストーラー

新しいインストール

✓

Windowsレジストリ

既存のインストール

✓

macOS Collectorインストーラー

新しいインストール

✓

macOS Collector構成

既存のインストール

✓

リモートアクション

WindowsおよびmacOSオペレーティングシステムでのユーザー名、Wi-Fiネットワーク、およびUPNに対するCollector構成パラメーターを_Set anonymization features_リモートアクションで変更します。

WindowsおよびmacOSオペレーティングシステムでのフォーカスタイムとユーザーアクティビティを_Set Collector configuration_リモートアクションで設定します。

WindowsおよびmacOSオペレーティングシステムでのネットワーク接続、ドメイン名、およびデータプライバシーフィルターを_Set application connectivity configuration_リモートアクションで設定します。

リモートアクションは、適切なレジストリキーと構成フィールドを設定します。

Windows Collectorインストーラー

各データタイプに対してデフォルト値を変更するために以下のオプションパラメーターを使用します：

ユーザー名

パラメーター名：ANONYMIZE_USERNAME

パラメーター値：

cleartext
hashed
no_import

例：ANONYMIZE_USERNAME=no_import

ユーザープリンシパル名 (UPN)

パラメーター名：UPN_PRIVACY

パラメーター値：

cleartext
hashed
no_import

例：UPN_PRIVACY=hashed

フォーカスタイム

パラメーター名：WINDOW_FOCUS_TIME_MONITORING

パラメーター値：

enable
disable

例：WINDOW_FOCUS_TIME_MONITORING=enable

ユーザーアクティビティ

パラメーター名：USER_INTERACTION_TIME_MONITORING

パラメーター値：

enable
disable

例：USER_INTERACTION_TIME_MONITORING=disable

Wi-Fiネットワーク

パラメーター名：ANONYMIZE_WIFI_NETWORK

パラメーター値：

enable
disable

例：ANONYMIZE_WIFI_NETWORK=disable

ネットワーク接続

パラメーター名: CONNECTIONS_REPORTING

パラメーター値:

enable
disable

例: CONNECTIONS_REPORTING=disable

ドメイン名

パラメーター名: DOMAIN_NAME_REPORTING

パラメーター値:

enable
disable

例: DOMAIN_NAME_REPORTING=enable

データプライバシーフィルター

パラメーター名: DATA_PRIVACY_FILTER

パラメーター値: [許可 / ブロックルールのカンマ区切りリスト]

例: DATA_PRIVACY_FILTER="ALLOW *.nexthink.com, ALLOW nexthink.eu.nexthink.cloud, ALLOW 100.64.0.0/16, ALLOW [fe80::1ff:fe23:4567:890a]:8080"

Refer to section for more information.

Windowsレジストリ

Windowsレジストリを使用して、関連するキーのデフォルト値を調整します。

ユーザー名

AnonymizedDataキーのUserName値を調整します。

キー名: HKEY_LOCAL_MACHINE\SOFTWARE\Nexthink\Collector\AnonymizedData

データ型: DWORD (32 ビット)

値の名前: UserName

値データ:

0 → クリアテキスト
1 → ハッシュ化
2 → no_import

ユーザープリンシパル名 (UPN)

AnonymizedDataキーのUpnPrivacy値を調整します。

キー名: HKEY_LOCAL_MACHINE\SOFTWARE\Nexthink\Collector\AnonymizedData

データ型: DWORD (32 ビット)

値の名前: UpnPrivacy

値データ:

0 → no_import
1 → ハッシュ化
2 → クリアテキスト

フォーカスタイム

WindowFocusTimeMonitoringキーのEnabled値を調整します。

キー名: HKEY_LOCAL_MACHINE\SOFTWARE\Nexthink\Collector\WindowFocusTimeMonitoring

データ型: DWORD (32 ビット)

値の名前: Enabled

値データ:

0 → 無効
1 → 有効

ユーザーアクティビティ

UserInteractionTimeMonitoringキーのDisabled値を調整します。

キー名: HKEY_LOCAL_MACHINE\SOFTWARE\Nexthink\Collector\UserInteractionTimeMonitoring

データ型: DWORD (32 ビット)

値の名前: Disabled

値データ:

0 → 無効
1 → 有効

Wi-Fiネットワーク

AnonymizedDataキーのWifiNetwork値を調整します。

キー名: HKEY_LOCAL_MACHINE\SOFTWARE\Nexthink\Collector\AnonymizedData

データ型: DWORD (32 ビット)

値の名前: WifiNetwork

値データ:

0 → 無効
1 → 有効

ネットワーク接続

AppConnectivityキーのConnectionsReporting値を調整します。

キー名: HKEY_LOCAL_MACHINE\SOFTWARE\Nexthink\Collector\AppConnectivity

データ型: DWORD (32 ビット)

値の名前: ConnectionsReporting

値データ:

0 → 無効
1 → 有効

ドメイン名

AnonymizedDataキーのDomainNameReporting値を調整します。

キー名: HKEY_LOCAL_MACHINE\SOFTWARE\Nexthink\Collector\AnonymizedData

データ型: DWORD (32 ビット)

値の名前: DomainNameReporting

値データ:

0 → 無効
1 → 有効

データプライバシーフィルター

AppConnectivityキーのDataPrivacyFilter値を調整します。

キー名: HKEY_LOCAL_MACHINE\SOFTWARE\Nexthink\Collector\AppConnectivity

データ型: 文字列 (REG_SZ)

値の名前: DataPrivacyFilter

Value data example: "ALLOW *.nexthink.com, ALLOW nexthink.eu.nexthink.cloud, ALLOW 100.64.0.0/16, ALLOW [fe80::1ff:fe23:4567:890a]:8080" Refer to section for more information.

変更を有効にするには、次の手順に従います:

Collectorを停止します。
レジストリを変更します。
Collectorを開始します。

macOS Collector インストーラー

各データタイプのデフォルト値を変更するための以下のオプションパラメーターを使用します。

ユーザー名

パラメーター名: anonymize_username

パラメーター値:

クリアテキスト
ハッシュ化
no_import

例: anonymize_username=hashed

ユーザープリンシパル名 (UPN)

パラメーター名: upn_privacy

パラメーター値:

クリアテキスト
ハッシュ化
no_import

例: upn_privacy=hashed

フォーカスタイム

パラメーター名: windows_focus_time_monitoring

パラメーター値:

有効
無効

例: windows_focus_time_monitoring=enable

ユーザーアクティビティ

パラメーター名: user_interaction_time_monitoring

パラメーター値:

有効
無効

例: user_interaction_time_monitoring=disable

Wi-Fiネットワーク

パラメーター名: anonymize_wifi_network

パラメーター値:

有効
無効

例: anonymize_wifi_network=disable

ネットワーク接続

パラメーター名: connections_reporting

パラメーター値:

false
true

例: connections_reporting=false

ドメイン名

パラメーター名: domain_name_reporting

パラメーター値:

false
true

例: domain_name_reporting=true

データプライバシーフィルター

Parameter name: data_privacy_filter

Parameter values: [a comma separated list of ALLOW / BLOCK rules]

Example: data_privacy_filter="ALLOW *.nexthink.com, ALLOW nexthink.eu.nexthink.cloud, ALLOW 100.64.0.0/16, ALLOW [fe80::1ff:fe23:4567:890a]:8080"

Refer to section for more information.

macOS Collector 構成

フォルダ/Library/Application Support/Nexthink内のconfig.jsonに以下のパラメーターをファイルの最後に追加します。

ユーザー名

パラメーター名: AnonymizeUserName

パラメーター値:

クリアテキスト
ハッシュ化
no_import

構成ファイルの最後の例:

...
"AnonymizeUserName": "no_import"
}

ユーザープリンシパル名 (UPN)

パラメーター名: UpnPrivacy

パラメーター値:

クリアテキスト
ハッシュ化
no_import

構成ファイルの最後の例:

...
"UpnPrivacy": "cleartext"
}

フォーカスタイム

パラメーター名: EnableWindowFocusTimeMonitoring

パラメーター値:

false
true

構成ファイルの末尾の例:

...
"EnableWindowFocusTimeMonitoring": "true"
}

ユーザーアクティビティ

パラメーター名: DisableUserInteractionTimeMonitoring

パラメーター値:

false
true

構成ファイルの末尾の例:

...
"DisableUserInteractionTimeMonitoring": "true"
}

Wi-Fiネットワーク

パラメーター名: AnonymizeWifiNetwork

パラメーター値:

false
true

構成ファイルの末尾の例:

...
"AnonymizeWifiNetwork": "false"
}

ネットワーク接続

パラメーター名: ConnectionsReporting

パラメーター値:

false
true

構成ファイルの末尾の例:

...
"ConnectionsReporting": "false"
}

ドメイン名

パラメーター名:DomainNameReporting

パラメーター値:

false
true

構成ファイルの末尾の例:

...
"DomainNameReporting": "true"
}

データプライバシーフィルター

パラメーター名: DataPrivacyFilter

パラメーター値:[ALLOW / BLOCKルールのカンマ区切りリスト]

構成ファイルの末尾の例:

...
"DataPrivacyFilter": "ALLOW *.nexthink.com, ALLOW nexthink.eu.nexthink.cloud, ALLOW 100.64.0.0/16, ALLOW [fe80::1ff:fe23:4567:890a]:8080"
}

詳細については、セクションを参照してください。

変更を有効にするには、この手順に従ってください:

Collectorを停止します。
構成ファイルを変更します。
Collectorを起動します。

データプライバシーフィルター

Collectorを構成して、特定の宛先への接続のみを報告します。詳しくは、Windows registryおよびmacOS Collector設定セクションを参照してください。

DataPrivacyFilter構成パラメーターは、ALLOWおよびBLOCKフィルタールールのカンマ区切りリストを取ります。各フィルタールールは次の形式を取ります: ALLOW | BLOCK [PATTERN]

[PATTERN]には4つのオプションがあります:

例: abc.intra.nexthink.com:443 のようなオプションのポート番号が付いたドメイン名
A domain name with a leading wildcard (“*”) and an optional port number, for example: *.nexthink.com:443
An IP address (IPv4 or IPv6) with optional port number, for example: 192.0.2.123:443
例: 192.0.2.0/24 のようなサブネットマスク

ユーザーはポート番号を組み合わせるためにIPv6アドレスを角括弧で囲む必要があります。例えば: ALLOW [fe80::1ff:fe23:4567:890a]:8080 IPv6ベースのルールにはポート番号がない場合、角括弧はオプションです。

ワイルドカード付きドメイン名

In domain name based patterns, use a “*” wildcard to match zero, one, or multiple sub-domains.

例えば、ALLOW *.nexthink.com は次のすべてのドメイン名に一致します:

nexthink.com
intra.nexthink.com
abc.intra.nexthink.com

ワイルドカード「*」を使用したドメイン名ベースのパターンは、サブドメインの代わりにワイルドカード「*」で始める必要があります。

ALLOW *.nexthink.com -> OK
ALLOW intra.*.nexthink.com -> NG
ALLOW nexthink.* -> NG
ALLOW *nexthink.com -> NG

既定のルール

既定のルールが2つあります:

システムの既定のルール: BLOCK * (「他のすべてをブロック」)。システムは、少なくとも1つのユーザー定義のルールがある場合、このルールを自動的に追加します。
ユーザー定義の既定のルール: ALLOW * (「他のすべてを許可」)。

ユーザー定義の既定のルールがシステムの既定のルールを上書きします。

これらの既定ルールは、次のケースに適用されます:

ケース

既定

DataPrivacyFilterが構成されていないか、パラメーター値が空です。

Collectorはすべての接続を報告します。

DataPrivacyFilterが構成されており、少なくとも1つのユーザー定義のルールがあります。

Collectorはユーザー定義のルールに基づいて接続をALLOW / BLOCKし、他のすべてをブロックします。

BLOCKルールのみを定義した場合、Collectorは接続を報告しません。

フィルタールールの評価

Collectorは、より具体的なルールからより一般的なルールへと順に評価します。

ポート番号のあるIPアドレス。
ポート番号のないIPアドレス。
少ないサブドメインを持つドメイン名よりも多くのサブドメインを持つドメイン名。
ポートのあるドメイン名がポートのないドメイン名よりも先。
Domain name without wildcard (*) before domain name with a wildcard.
サブネットマスク。
User-defined default rule (ALLOW *) before system default rule (BLOCK *).

考慮事項

You can configure up to 1,000 filter rules. The system only evaluates the first 1,000 if there are more filter rules.
ドメイン名に基づくルールは、ドメイン名のない接続には適用されません。
In case of a connection with multiple domain names and conflicting matching rules (ALLOW / BLOCK), the ALLOW rule overrules the BLOCK pattern.
CollectorはIPv6形式のIPv4アドレスをサポートしていません。 IPv6形式のIPv4フィルタールールは、対応するIPv4アドレスの接続に一致しません。

Last updated 29 days ago