4.8. テクニカルサポート

4.8.1. 役立つヒント

ローカルからリモートのみにコピー/ペーストを設定する

リモートブラウザからローカルデバイスへの1方向のコピー/貼り付けを設定するには、以下のように構成します:

管理コンソールで、「設定 | クリップボードオプション」に移動します。

  • コピー制限を「1」に設定すると、1 文字のテキストをローカルデバイスからリモートブラウザにコピーできるようになります。これは実質的にブロックすることになります。
  • ペースト制限を 100000 のような大きな数値に設定すると、リモートブラウザからローカルデバイスへのテキストのコピーが許可されます。
  • 画像のペーストを許可を「Yes」に設定すると、ローカルデバイスからリモートブラウザへの画像のコピー/ペーストが許可されます。
  • 画像のペーストを許可を「No」に設定すると、リモートブラウザからローカルデバイスへの画像のコピー/貼り付けがブロックされます。
../_images/sc2111_techsupport01.jpg

リモートからローカルのみにコピー/ペーストを設定する

リモートブラウザからローカルデバイスへの1方向のコピー/貼り付けを設定するには、以下のように構成します:

管理コンソールで、「設定 | クリップボードオプション」に移動します。

  • コピー制限を 100000 のような大きな数値に設定すると、ローカルデバイスからリモートブラウザへのテキストコピーが許可されます。
  • ペースト制限を 1に設定すると、1 文字をリモートブラウザからローカルデバイスにコピーできるようになります。これは実質的にブロックすることになります。
  • 画像のペーストを許可を「No」に設定すると、ローカルデバイスからリモートブラウザへの画像のコピー/ペーストがブロックされます。
  • 画像のペーストを許可を「Yes」に設定すると、リモートブラウザからローカルデバイスへの画像のコピー/ペーストが許可されます。
../_images/sc2111_techsupport02.jpg

Gmailのファイル保護機能を許可モードにする

Gmailが許可モードになっている場合、ファイルのダウンロードを保護することができます。

  • ドメイン : mail-attachment.googleusercontent.com に対して新しいポリシーを作成します
  • アクセス : 許可する
  • ダウンロード : [プレビューとより高いファイル保護モード]
../_images/sc2204_techsupport04.jpg

ユーザーがファイルをダウンロードすると、ユーザー用のランディングページが作成され、ダウンロードされます。 ユーザーはランディングページを開き、ファイルスキャンの進行状況を確認する必要があります。

../_images/sc2204_techsupport05.jpg

スキャンが完了すると、ユーザーはスキャンされたファイルをダウンロードすることができます。

../_images/sc2207_techsupport01.jpg

注意

[プレビュー]モードでは、ランディングページはオリジナルファイルのPDF出力をダウンロードします。

プロテクションマトリックスのダウンロード

利用可能なファイルダウンロード保護機能については、このマトリックスで説明します。

../_images/sc2211_techsupport01.jpg

Access = Allowモードでは、Gmailファイルドメインのみが「ダウンロード」オプションでサポートされます。Allowモードで他のすべてのドメインのファイルスキャンを行うには、「Antivirus in White」オプションが必要です。

SkypeとVMIの活用

Ericom VMIでSkypeの音声・ビデオ会議を利用するには、Accessで以下のドメインを設定する必要があります。Shield とレンダリングエンハンスドフレーム

  • web.skype.com
  • lw.skype.com
  • login.live.com

注意

上記のいずれかが「ストリーム」モードを使用している場合、エラーが発生します。

注意

音声および会議機能を使用するには、VMIライセンスが必要です。VMIライセンスがない場合でも、Skypeチャットやメディア関連以外の機能は使用できます。

エンドユーザーデバッグバー

RBIの問題をEricomのサポートでデバッグする場合、詳細なセッション情報を提供することが有効な場合があります。

アクティブなRBIセッション中にこの情報にアクセスするには、Ctrl - Shift - ~ をクリックしてください。

../_images/sc2207_techsupport02.jpg

このバーを展開すると、次のような詳細情報を表示することができます。

  • リモートブラウザのセッション

  • 関連するRBIポリシー

  • ユーザーと認証の情報

    ../_images/sc2207_techsupport03.jpg

4.8.2. サポート FAQ

エラー: 「Oops, something is wrong」(エラーが発生しました)

このエラーメッセージの考えられる理由:

  • Websocket 接続の失敗。プロキシと Shield サービスへのファイアウォールで WebSocket が有効になっていることを確認します。ブラウザの開発者ツールを開いて関連するエラーを検索し、コンソールに移動して、動作を再現します。
../_images/sc2111_techsupport03.jpg
  • このメッセージは、リダイレクションモードを使用していて、「セキュアリダイレクションモードのみ」を有効にしている場合にも発生する可能性があります。 この設定を有効にしている場合は、無効にしてみてください。 特定のサードパーティソリューションのみが「セキュア」モードをサポートしています。

分離されたセッションが「遅い」と感じる

可能な解決策:

  • レンダリングモードを「ピクセル/フレーム」から「クリスタル」モードに変更し、Chrome または Edge でテストしてください。

Ericom Shield を使用すると「ログインしてください」(Please login)というメッセージが表示される:

可能な解決策:

お使いの Shield テナントが見つからないか、識別できません。 以下を試してみてください:

  • Ericom に連絡して、お使いのテナントがアクティブな状態であることを確認してください
  • SAML 認証を使用している場合は、プロンプトにメールアドレスを入力して、認証プロセスを開始します。
  • IP 認証を使用している場合は、Ericom に連絡して、IP アドレスがテナントで構成されていることを確認してください。
  • ヘッダ認証を使用している場合は、テナントIDがヘッダ x-ns-ext-tenant-id で渡されていることを確認してください。
  • URL リダイレクトを使用している場合は、Shield-TenantID パラメータが URL に含まれていることを確認するか、IP 認証が有効になっていることを確認してください。

エラーメッセージ: 「resources.ericomcloud.net refused to connect」(resources.ericomcloud.net により接続が拒否されました)

このエラーメッセージは、resources.ericomcloud.net がインターネットに到達できないことを示しています。

../_images/sc2111_techsupport04.jpg
  • 「* .ericomcloud.net」がファイアウォールを通過できるようにするか、プロキシサーバを使用している場合はバイパスリストに追加してください。

他のProxyから接続した場合、Webサイトが分離されない

別の(下流の)プロキシからShieldに接続しているが、ポリシーが正しく設定されているにもかかわらず、Webサイトが分離されない。

可能な解決策:

Shieldに流入するトラフィックがブラウザのトラフィックとして認識されていない可能性がありますが、これは以下のように実行することで解決できます。

  • Ericom社にテナントでアプリケーションを有効にするよう依頼
  • 新しいアプリケーションルールを設定します。 これにより、Shieldがすべてのトラフィックをブラウザトラフィックとして扱うように設定されます。
  • /.*/でドメインを設定する
  • ユーザーエージェントを/.*/で設定する
  • 以下の構成例を参照してください。
../_images/sc2202_techsupport06.jpg

ルールを保存して、再度テストします。変更をテストするために、新しいブラウザセッションを開始するか、Incognitoモードを使用する必要がある場合があります。

「License agreement has not been accepted」(使用許諾契約が同意されていません)というエラーがユーザに表示される

解決策: 管理コンソールにログインして、使用許諾契約に同意してください。

分離された Web サイトのコンテンツではなく空白のウィンドウがユーザに表示される

解決策: Websocket をブロックするファイアウォールまたはプロキシがユーザの前にないことを確認してください。

一部のニュースおよびメディアサイトは、広告ブロッカーが無効にされていないと表示されません。

解決策: 広告ブロッカーは、管理コンソールの「ポリシー」で無効にできます。

分離の通知(ブラウザタブのアイコンと赤いフレーム)をオフにできますか?

はい、これらは RBI 管理コンソールの「設定 | エンドユーザオプション」のShieldインジケータまたはインジケータフレームでオンとオフを切り替えることができます。

リダイレクションモードで、後続のすべてのサイトを分離しておくことはできますか?

はい、管理コンソールで「設定 | Shield セッションを継続する」に移動し、これを「Yes」に設定します。

プロキシモードでセッションがループし続ける

ブラウザの開発者ツールを開き(管理コンソールの「エンドユーザ設定」でこれが有効になっていることを確認してください)、エラーを探します。

解決策: 「* .service.consul」で Web 検査を実行しないように、エンドポイントのアンチウイルスに除外を追加します。

../_images/sc2111_techsupport05.jpg

ローカルでSAML認証を行い、リモートでセッションを立ち上げたい

ユーザがローカル(隔離された場所以外)で認証する必要があり、隔離された場所でウェブサイトを開きたい場合、明示的なプロキシを使用する必要があります。 これはURLリダイレクト(プロキシレス)モードではサポートされていません。

ローカルブラウザでCookieをブロックしたいが、Office 365に単独でログインしたい

ローカルブラウズでCookieをブロックしている場合、Microsoft Office 365に単独でログインすることはできません。

../_images/sc2202_techsupport07.jpg

Office 365に単独でログインするには、これらのサイトへのCookieを許可する必要があります。

[*.]office.com
[*.]microsoftonline.com
[*.]live.com

../_images/sc2202_techsupport08.jpg

この設定が完了したら、再度、Office 365への分離ログインを試してみてください。

Proxyが有効な場合、Office 365アプリケーションにログインできない

プロキシが有効な場合、ExcelなどのOffice 365アプリケーションにログインすると、このエラーが表示されることがあります。

../_images/sc2202_techsupport09.jpg

この現象は、アプリケーションが組み込みのブラウザを使用しており、そのトラフィックが分離されているために発生します。 これを解決するには、アプリケーションポリシーを追加して、アクセスを「許可」します。

[アプリケーション]に移動して、新しいポリシーを追加します。

  • Name: Microsoft Apps O365 Login

  • Domain: odc.officeapps.live.com

  • User Agent: /.*/

  • Action: Allow

    ../_images/sc2202_techsupport10.jpg

[保存]をクリックし、設定が反映されるまで数分待ってから、Officeアプリケーションを再度テストしてください。

それでも問題が解決しない場合は、アプリケーションログのドメインが上記の例と異なる可能性があるため、確認してください。また、proxy-alt.ericomcloud.netのポート3130でプロキシアドレスを使用してみてください。

Microsoft O365 アプリケーションがブラウザとして認識される件

Microsoft O365アプリケーションを使用する場合、サインインプロセスで埋め込みブラウザを使用することがあります。 この通信が分離され、ユーザーのログインがブロックされている可能性があります。 これを解決するには、アプリケーションのユーザーエージェントにアプリケーションポリシーを追加します。

アプリケーションレポートを開き、ブロックされたログインに対応するエントリーを見つけ、ユーザーエージェント文字列をコピーします。

User agentは変換する必要があります。Edge,18.19043 は /Edge/18.19043/i に変換されます。

[アプリケーション]に移動し、新しいポリシーを追加します。

  • Name: Microsoft O365 Login

  • Domain: login.microsoftonline.com

  • User Agent: /Edge/18.19043/i

  • Action: Allow

    ../_images/sc2202_techsupport11.jpg

[保存]をクリックし、設定が反映されるまで数分待ち、再度Office 365のログインをテストします。

それでも問題が解決しない場合は、アプリケーションログのユーザーエージェントが上記の例と異なる可能性があるため、確認してください。 また、proxy-alt.ericomcloud.netのポート3130を使用してみてください。

ファイルをダウンロードすると、ポリシー設定が使用されない(Outlook Web)

分離されたウェブサイトからファイルをダウンロードする場合、ファイルの起源がオリジナルとは異なり、異なるポリシーを使用している可能性があります。

たとえば、Outlook Webmail に対して、ファイルをプレビューするポリシーが定義されている場合、代わりにファイルがダウンロードされることがあります。 ファイル転送|ダウンロード] レポートを開き、イベントを見つけます。 ファイルの場所までスクロールして、ファイルがダウンロードされたドメインを特定します。

../_images/sc2204_techsupport01.jpg

ファイルダウンロードのドメイン (office.net) は Web メール (office365.com) と異なるため、office.net に対して office365.com と同じ設定の別のポリシーを作成する必要があります。 または、すべてのOutlook URLのカスタムドメインリストを作成します。

../_images/sc2204_techsupport02.jpg

そして、このDomain listにポリシーを割り当てます。

../_images/sc2204_techsupport03.jpg

Whatsappの再スキャンが必要

2022年4月、Whatsappは、Shieldがセッション間でセッションデータを保存できないようにするアップデートを行いました。これにより、ユーザーはWhatsappにアクセスするたびにQRコードを再スキャンすることを余儀なくされます。

この制限を回避するための推奨事項

  • Whatsappのサスペンドを10時間に設定します
  • WhatsappのCookieを無効にしてください。これにより、少なくとも再スキャンがより速くなります

RBIのGmail / GoogleログインがChrome Incognitoでループし続ける

IncognitoモードのGoogle Chromeは、サードパーティのCookieをブロックします。これにより、ブラウザ分離でGoogleが正常に認証されないようにブロックされます。

解決方法:Google Chromeで「すべてのCookieを許可する」に設定する(設定|プライバシーとセキュリティ|Cookieとその他のサイトデータ|一般設定)

../_images/sc2211_techsupport02.jpg

「広告のブロック」を有効にしても、ブロックされない広告があります

一部のウェブサイトは、自身のウェブサイトコードの一部として広告を埋め込みます。これは、「スポンサー」または「プロモーション」コンテンツとして表示されることがあります。 Ericomアドブロッカーは、コンテンツが密接に統合されているため、このような広告をブロックしない場合があります。

RBIセッションで灰色の空白ページが返される

RBIセッションに移動すると、以下のような空白のグレーのページが表示されます。

../_images/sc2211_techsupport03.jpg

カスタムランディングページが正しく設定されていることを確認します。カスタムURLを使用している場合、そのURLが有効であることを確認します。

4.8.3. SAML のエラーコード

SAML のエラーコードの定義については、以下の表を参照してください。

Shield SAML 認証エラーコード

Shield はエンドユーザに認証エラーを表示しません。代わりに、ユーザは一般的なテキストとエラーコードを含むエラーページにリダイレクトされます。

エラーコード 認証の失敗 推奨されるアクション
1001 テナントはテナントログインダイアログで正常に認識されましたが、非アクティブであるか、SAML が無効になっているか、正しく構成されていません SAML 設定を確認してください
1002 IdP で使用するログイン URL の作成に失敗しました IdP ログイン URL を確認してください
1005 IdP SAML 応答が無効です: パラメータが欠落しています SAML パラメータ設定を確認してください
1006 SAML が正しく構成されていないため、IdP SAML応答の処理に失敗しました SAML 設定を確認してください
1007 IdP SAML応答が無効です: RelayState がありません SAML 設定を確認してください
1008 復号化されていて、復号化鍵が設定されていないため、アサーションの処理に失敗しました 構成済みの IdP 復号化鍵
1009 IdP が SAML 要求を拒否したか、Shield が SAML 応答の処理に失敗しました ユーザがこのアプリケーションの使用を許可されているかどうかを確認してください。次のフィールドが IdP と互換性があるかどうかを確認してください: 署名証明書、復号化証明書、またはオーディエンス.IdP により拒否される別の理由があるかどうかを確認します。
1010 無効なパラメータによりテナントログインページが返されました 該当なし
1011 パラメータが欠落しているためテナントログインページが表示されます 該当なし
1012 Shield-IDP パラメータにテナント ID がありません 該当なし
1013 クライアント IP がテナントで許可されていません IP を許可する必要がある場合は、それをテナント設定に追加します
1015 SAML が正しく構成されていません(プロキシレス) SAML 設定を確認してください
1016 SAMLが正しく構成されていません(プロキシ) SAML 設定を確認してください
1018 SAML アサーションにユーザ名または名前 ID が含まれていません IdP で、ユーザ名の要求を追加します
1019 Shield-IDP パラメータのデコードに失敗しました SAML 設定を確認してください
1020 IdP SAML 応答が無効です: RelayState が破損しています IdP で、管理 SAML アプリケーションの ACS(Assertion Consuming endpoint)を確認し、https://<proxyless-address>/saml/assert ではなく https://<shield-tenant-admin-url>/api/auth/samlLoginRes_API を指していることを確認してください。
1021 IdP SAML 応答が無効な URL に送信されました IdPで、ACS(Assertion Consuming endpoint)を https://<proxyless-address>/saml/assert に構成します

4.8.4. DLP FAQ

DLPログに同じイベントが複数記録されているのはなぜですか?

一部の Web サイトでは、1 つのトランザクションで複数の POST 操作を送信します。DLP は各 POST で有効になるため、各トランザクションで複数のログエントリが発生する場合があります。

カスタムRegexルールが失敗するのはなぜですか?

Ericom DLPは現在Regexのlookaheadとlookbehindをサポートしていません(例: \b(?!666|000|9d{2})\d{3}[ -]*?(?!00)\d{2}[ -]*?(?!0{4})\d{4}\b))。このルールでは、Requestは正常に動作しません。これらのルールはEricom DLPでは正しく動作しません。

ALLOWモードのdrivegoogle.comでDLPに失敗する。

Google driveは、クラウドにアップロードする前にファイルをエンコードするため、DLPによるスキャンができなくなります。その結果、DLPはファイル内の違反データを検出することができません。