Collector レベルの匿名化の設定
匿名化機能
Nexthinkは、ユーザーのプライバシーを保護するための細かい制御と共に、データを匿名化するさまざまな方法を提供しています。 この記事で説明されているアプローチは、データ保存層 によって提供される類似の機能を補完し、Microsoft WindowsまたはmacOSデバイスから出るデータが匿名化されることを保証します。
コレクター レベルでユーザー名とアクティビティのデータ匿名化が有効になっている場合、サーバー側の同等の設定を有効にする必要はありません。
ユーザー名
デバイスから報告されたユーザーのログオン名。
cleartext
コレクターはユーザー名を平文で報告します。
hashed
コレクターはユーザー名をハッシュ化してからバックエンドに送信します。
no_import
コレクターはユーザー名を全く収集しません。
注: Data Enricher (classic) を使用した Microsoft Active Directory および Microsoft Entra ID とそのコネクタ との連携 は、このコレクターの設定とは独立しています。 Data Enricher (classic) および Microsoft Entra ID 用のコネクタによって取得される AD フィールドのリストが適切に構成されていることを確認してください。
cleartext
ユーザープリンシパル名 (UPN)
通常はメールアドレスの形式をとる標準化されたユーザー識別子。 UPNはシステム間でユーザーを一意に識別するためにシステムで使用されます。 Nexthinkはまた、サードパーティサービスのデータでユーザーオブジェクトを強化するためにUPNを使用します。
cleartext
コレクターはUPNを平文で報告します。
hashed
コレクターはUPNをハッシュ化してからバックエンドに送信します。
no_import
コレクターはUPNを全く収集しません。
no_import
フォーカスタイム
アプリケーションのウィンドウがフォーカスされている間のアプリケーションフォーカスの期間を報告します。
enable
実行イベントはアプリケーションがフォーカスされていた期間に関する情報を含む。
disable
実行イベントはアプリケーションがフォーカスされていた期間に関する情報を含まない。
disable
ユーザー活動
ユーザーがマウス、タッチパッド、キーボードと対話していたときの報告を制御します。
enable
コレクターはユーザーがデバイスを積極的に使用している期間を報告します。
disable
コレクターはユーザーがデバイスを積極的に使用している期間を報告しません。
enable
Wi-Fiネットワーク
SSIDおよびBSSIDとWi-Fiパフォーマンスメトリクスに関する識別詳細の報告を管理します。
enable
コレクターはパフォーマンスメトリクスや接続属性のみを報告します。
disable
コレクターはパフォーマンスメトリクスと接続属性に加え、接続されたホットスポットのSSIDおよびBSSIDも報告します。
注: Windows 11バージョン24H2以降では、位置情報サービス設定を有効にして、Wi-Fiデータの報告を許可します。
enable
ネットワーク接続
ネットワーク接続データの報告を管理します。
enable
コレクターは全てのバイナリに対して、宛先属性と接続メトリクスを含むネットワーク接続を報告します。
disable
コレクターはネットワーク接続データを報告しません。
enable
ドメイン名
ネットワーク接続の宛先ドメイン名の報告を管理します。
enable
コレクターは宛先のドメイン名を報告します。
disable
コレクターはネットワーク接続に対してドメイン名を報告しません。
disable
ネットワーク接続のデータプラーバシーフィルター
ユーザー定義の ALLOW
/ BLOCK
ルールに従ってネットワーク接続を報告します。
詳細については、データプラバシーフィルター セクションを参照してください。
コレクターは全てのネットワーク接続を報告します
デフォルトのプライバシーオプションの変更
各データタイプのデフォルトのプライバシー設定を変更するためのさまざまな構成オプションがあります。 環境と状況に合った方法を見つけるために、異なるオプションを確認してください。
Remote Actions
既存のインストール
✓
✓
✓
✓
✓
✓
✓
✓
Windowsコレクターインストーラー
新しいインストール
✓
✓
✓
✓
✓
✓
✓
✓
Windowsレジストリ
既存のインストール
✓
✓
✓
✓
✓
✓
✓
✓
macOSコレクターインストーラー
新しいインストール
✓
✓
✓
✓
✓
✓
✓
✓
macOSコレクター構成
既存のインストール
✓
✓
✓
✓
✓
✓
✓
✓
Remote Actions
リモートアクション_Set_匿名化機能_を使用してWindowsおよびmacOSオペレーティングシステム上のユーザー名、Wi-Fiネットワーク、およびUPNのコレクター構成パラメーターを変更します。
リモートアクション_Set_コレクター構成_を使用して、WindowsおよびmacOSオペレーティングシステム上のフォーカスタイムとユーザー活動を設定します。
リモートアクション_Set_アプリケーション接続構成_を使用して、Microsoft WindowsおよびmacOSオペレーティングシステム上のネットワーク接続、ドメイン名、およびデータプライバシーフィルターを設定します。
リモートアクションは、適切なレジストリキーと構成フィールドを設定します。
Windowsコレクターインストーラー
以下のオプショナルパラメーターを使用して、各データタイプのデフォルト値を変更します。
ユーザー名
パラメータ名: ANONYMIZE_USERNAME
パラメーター値:
クリアテキスト
ハッシュ化
インポートしない
例: ANONYMIZE_USERNAME=no_import
ユーザープリンシパル名(UPN)
パラメータ名: UPN_PRIVACY
パラメーター値:
クリアテキスト
ハッシュ化
インポートしない
例: UPN_PRIVACY=hashed
フォーカスタイム
パラメータ名: WINDOW_FOCUS_TIME_MONITORING
パラメーター値:
有効にする
無効にする
例: WINDOW_FOCUS_TIME_MONITORING=enable
ユーザー活動
パラメータ名: USER_INTERACTION_TIME_MONITORING
パラメーター値:
有効にする
無効にする
例: USER_INTERACTION_TIME_MONITORING=disable
Wi-Fiネットワーク
パラメータ名: ANONYMIZE_WIFI_NETWORK
パラメーター値:
有効にする
無効にする
例: ANONYMIZE_WIFI_NETWORK=disable
ネットワーク接続
パラメータ名: CONNECTIONS_REPORTING
パラメーター値:
有効化
無効化
例: CONNECTIONS_REPORTING=disable
ドメイン名
パラメータ名: DOMAIN_NAME_REPORTING
パラメータ値:
有効化
無効化
例: DOMAIN_NAME_REPORTING=enable
データプライバシーフィルター
パラメータ名: DATA_PRIVACY_FILTER
パラメータ値: [許可/ブロックルールのカンマ区切りリスト]
例: DATA_PRIVACY_FILTER="ALLOW *.nexthink.com, ALLOW nexthink.eu.nexthink.cloud, ALLOW 100.64.0.0/16, ALLOW [fe80::1ff:fe23:4567:890a]:8080"
詳細については、データプライバシーフィルターセクションを参照してください。
Windows レジストリ
Windowsレジストリを使用して、関連するキーのデフォルト値を調整します。
ユーザー名
AnonymizedDataキーのUserName値を調整します。
キー名: HKEY_LOCAL_MACHINE\SOFTWARE\Nexthink\Collector\AnonymizedData
データタイプ: DWORD (32-bit)
値名: UserName
値のデータ:
0
→ 平文1
→ ハッシュ済み2
→ インポートしない
ユーザープリンシパル名 (UPN)
AnonymizedDataキーのUpnPrivacy値を調整します。
キー名: HKEY_LOCAL_MACHINE\SOFTWARE\Nexthink\Collector\AnonymizedData
データタイプ: DWORD (32-bit)
値名: UpnPrivacy
値のデータ:
0
→ インポートしない1
→ ハッシュ済み2
→ 平文
フォーカスタイム
WindowFocusTimeMonitoringキーのEnabled値を調整します。
キー名: HKEY_LOCAL_MACHINE\SOFTWARE\Nexthink\Collector\WindowFocusTimeMonitoring
データタイプ: DWORD (32-bit)
値名: Enabled
値のデータ:
0
→ 無効化1
→ 有効化
ユーザーアクティビティ
UserInteractionTimeMonitoringキーのリDisabled値を調整します。
キー名: HKEY_LOCAL_MACHINE\SOFTWARE\Nexthink\Collector\UserInteractionTimeMonitoring
データタイプ: DWORD (32-bit)
値名: Disabled
値のデータ:
0
→ 無効化1
→ 有効化
Wi-Fiネットワーク
AnonymizedDataキーのWifiNetwork値を調整します。
キー名: HKEY_LOCAL_MACHINE\SOFTWARE\Nexthink\Collector\AnonymizedData
データタイプ: DWORD (32-bit)
値名: WifiNetwork
値のデータ:
0
→ 無効化1
→ 有効化
ネットワーク接続
AppConnectivityキーのConnectionsReporting値を調整します。
キー名: HKEY_LOCAL_MACHINE\SOFTWARE\Nexthink\Collector\AppConnectivity
データタイプ: DWORD (32-bit)
値名: ConnectionsReporting
値のデータ:
0
→ 無効化1
→ 有効化
ドメイン名
AnonymizedDataキーのDomainNameReporting値を調整します。
キー名: HKEY_LOCAL_MACHINE\SOFTWARE\Nexthink\Collector\AnonymizedData
データタイプ: DWORD (32-bit)
値名: DomainNameReporting
値のデータ:
0
→ 無効化1
→ 有効化
データプライバシーフィルター
AppConnectivityキーのDataPrivacyFilter値を調整します。
キー名: HKEY_LOCAL_MACHINE\SOFTWARE\Nexthink\Collector\AppConnectivity
データタイプ: 文字列 (REG_SZ)
値名: DataPrivacyFilter
値のデータ例: "ALLOW * .nexthink.com, ALLOW nexthink.eu.nexthink.cloud, ALLOW 100.64.0.0/16, ALLOW [fe80::1ff:fe23:4567:890a]:8080"
詳細については、データプライバシーフィルターセクションを参照してください。
変更を有効にするには、以下の順序を従ってください:
コレクタを停止します。
レジストリを修正します。
コレクタを起動します。
macOSコレクタインストーラー
次のオプションパラメータを使用して、それぞれのデータタイプのデフォルト値を変更します:
ユーザー名
パラメータ名: anonymize_username
パラメータ値:
平文
ハッシュ済み
インポートしない
例: anonymize_username=hashed
ユーザープリンシパル名 (UPN)
パラメータ名: upn_privacy
パラメータ値:
平文
ハッシュ済み
インポートしない
例: upn_privacy=hashed
フォーカスタイム
パラメータ名: windows_focus_time_monitoring
パラメータ値:
有効化
無効化
例: windows_focus_time_monitoring=enable
ユーザーアクティビティ
パラメータ名: user_interaction_time_monitoring
パラメータ値:
有効化
無効化
例: user_interaction_time_monitoring=disable
Wi-Fiネットワーク
パラメータ名: anonymize_wifi_network
パラメータ値:
有効化
無効化
例: anonymize_wifi_network=disable
ネットワーク接続
パラメータ名: connections_reporting
パラメータ値:
真
偽
例: connections_reporting=false
ドメイン名
パラメータ名: domain_name_reporting
パラメータ値:
真
偽
例: domain_name_reporting=true
データプライバシーフィルター
パラメータ名: data_privacy_filter
パラメータ値: [許可/ブロック・ルールのカンマ区切りリスト]
例: data_privacy_filter="ALLOW *.nexthink.com, ALLOW nexthink.eu.nexthink.cloud, ALLOW 100.64.0.0/16, ALLOW [fe80::1ff:fe23:4567:890a]:8080"
詳細については、データプライバシーフィルターセクションを参照してください。
macOSコレクタ構成
macOSコレクタ構成ファイルconfig.json
を/Library/Application Support/Nexthink
フォルダに保存し、ファイルの末尾の閉じ中括弧の前に次のパラメータを新しい行に追加します:
ユーザー名
パラメータ名: AnonymizeUserName
パラメータ値:
平文
ハッシュ済み
インポートしない
構成ファイルの末尾の例:
ユーザープリンシパル名 (UPN)
パラメータ名: UpnPrivacy
パラメータ値:
平文
ハッシュ済み
インポートしない
構成ファイルの末尾の例:
フォーカスタイム
パラメータ名: EnableWindowFocusTimeMonitoring
パラメータ値:
偽
真
構成ファイルの末尾の例:
ユーザーアクティビティ
パラメーター名:DisableUserInteractionTimeMonitoring
パラメータ値:
false
true
設定ファイルの終わりの例:
Wi-Fiネットワーク
パラメーター名:AnonymizeWifiNetwork
パラメータ値:
false
true
設定ファイルの終わりの例:
ネットワーク接続
パラメーター名:ConnectionsReporting
パラメータ値:
false
true
設定ファイルの終わりの例:
ドメイン名
パラメーター名:DomainNameReporting
パラメータ値:
false
true
設定ファイルの終わりの例:
データプライバシーフィルター
パラメーター名:DataPrivacyFilter
パラメータ値:[許可/ブロックルールのカンマ区切りリスト]
設定ファイルの終わりの例:
詳細はデータプライバシーフィルター セクションを参照してください。
変更を反映させるための手順:
コレクターを停止します。
設定ファイルを変更します。
コレクターを再起動します。
データプライバシーフィルター
特定の宛先への接続のみを報告するように、コレクターを構成します。 詳細は[Windowsレジストリ] と[macOSコレクター構成]セクションを参照してください。
DataPrivacyFilter
構成パラメーターには、ALLOW
および BLOCK
フィルタールールのカンマ区切りリストを使用します。 各フィルタールールは次の形式です:ALLOW | BLOCK [PATTERN]
[PATTERN]
には次の4つのオプションがあります:
ドメイン名とオプションのポート番号、例:
abc.intra.nexthink.com:443
先頭にワイルドカード( * )とオプションのポート番号が付いたドメイン名、例:
*.nexthink.com:443
IPアドレス(IPv4またはIPv6)とオプションのポート番号、例:
192.0.2.123:443
サブネットマスク、例:
192.0.2.0/24
ワイルドカード付きドメイン名
ドメイン名に基づくパターンで、“*” を使用して、ゼロ、一、または複数のサブドメインに一致させます。
例えば、ALLOW *.nexthink.com
は以下のドメイン名と一致します:
nexthink.com
intra.nexthink.com
abc.intra.nexthink.com
ワイルドカード「 * 」付きのドメイン名ベースのパターンは、サブドメインの代わりにワイルドカード「 * 」から始める必要があります。
ALLOW *.nexthink.com
-> OKALLOW intra.*.nexthink.com
-> NGALLOW nexthink.*
-> NGALLOW *nexthink.com
-> NG
デフォルトルール
デフォルトで2つのルールがあります:
システムデフォルトルール:
BLOCK *
("他はすべてブロック")。 少なくとも1つのユーザー定義ルールがある場合、自動でこのルールが追加されます。ユーザー定義デフォルトルール:
ALLOW *
("他はすべて許可")。
ユーザー定義のデフォルトルールは、システムデフォルトルールを上書きします。
これらのデフォルトは次のケースに適用されます:
DataPrivacyFilterが未設定、またはパラメータ値が空です。
コレクターはすべての接続を報告します。
DataPrivacyFilterが構成され、少なくとも1つのユーザー定義ルールがあります。
コレクターはユーザー定義ルールに基づいて ALLOW
/ BLOCK
接続報告を行い、他をすべてブロック。
フィルタルールの評価
コレクターは、より具体的なものからより一般的なものの順で評価します:
ポート番号を含むIPアドレス。
ポート番号なしのIPアドレス。
多くのサブドメインを持つドメイン名は、少ないものよりも前に評価されます。
ポートを持つドメイン名は、ポートを持たないドメイン名より前に評価されます。
ワイルドカード (
*
)のないドメイン名は、ワイルドカード付きのものより前に評価されます。サブネットマスク。
ユーザー定義デフォルトルール(
ALLOW *
)は、システムデフォルトルール(BLOCK *
)の前にあります。
考慮事項
最大1,000フィルタルールを構成できます。 フィルタルールが1,000を超えると、システムは最初の1,000のみを評価します。
ドメイン名に基づくルールは、ドメイン名のない接続には適用されません。
複数のドメイン名 が関わる接続で矛盾するマッチングルール(
ALLOW
/BLOCK
)がある場合、「ALLOW」ルールが「BLOCK」パターンに優先されます。コレクターは、IPv6形式のIPv4アドレスをサポートしていません。 IPv6形式のIPv4フィルタールールは、対応するIPv4アドレスでの接続と一致しません。
Last updated
Was this helpful?