PAM360 によるアプリケーション制御

ManageEngine の Application Control Plus を搭載した PAM360 の Application Control は、管理者に高度な権限の昇格と委任管理の権限を与えます。この機能により、組織のエンドポイント上のアプリケーションを効果的に監視できます。管理者は、作成された一連のルールを使用して、PAM360 リソース全体のアプリケーションを簡単に識別および管理し、許可リストとブロックリストをカスタマイズしてアプリケーションの使用を制御できます。さらに、緊急時には、管理者はブロックリスト上のアプリケーションを一時的に承認できます。全体として、この操作により、ユーザーにアプリケーション アクセスを割り当てるプロセスが合理化され、すべてのリソースにわたる PAM360 環境内のセキュリティと効率が向上します。

メモ:

  • Application Control Plus/Endpoint Central を通じて Application Control モジュールをすでに活用している場合は、ヘルプ ドキュメントに進み、PAM360 で Application Control をシームレスに構成してください。
  • Application Controlを初めてご利用になる場合は、Application Control Plusをダウンロードして、最大25個のリソースに対する無料のアプリケーション管理機能をご利用ください。

1.前提条件

  1. PAM360 を介してエンドポイントでアプリケーションを制御するには、ManageEngine を搭載した Application Control Plus アプリケーションが必要です。既にManageEngineのEndpoint Centralをご利用の場合は、Application Control Plusモジュールを有効にすることで、その機能を活用できます。
  2. 所有する Application Control Plus のバージョンは 11.3.2404.1 以上である必要があります。
  3. 構成を担当するユーザーは、Application Control Plus アプリケーションと PAM360 の両方で管理者権限を持っている必要があります。
  4. PAM360 内で Application Control を効果的に活用するには、現在 PAM360 にログインしているユーザーが、同一のユーザー名で Application Control Plus 内に存在することが重要です。ユーザーが Active Directory 経由で認証されている場合、Application Control Plus 内の対応するアカウントは同じドメイン名に一致する必要があります。この同期により、両方のプラットフォーム間でシームレスな統合と機能が保証されます。
  5. この統合を機能させるには、Application Control PlusはセキュアなHTTPSポート/モードでのみ実行されている必要があります。
  6. Application Control PlusはHTTPSモードで動作するため、システムのIDは有効なSSL証明書によって検証される必要があり、その証明書はPAM360の証明書ストアにインポートされなければなりません。以下の手順に従ってください:
    1. PAM360 Serviceを停止します。
    2. コマンドプロンプトを開き、<PAM360_インストールディレクトリ>/bin フォルダに移動し、以下のコマンドを実行してください。
      importCert.bat <Absolute Path of the Application Control Plus' Certificate>
    3. その後、PAM360サービスを再起動してください。

2.ロールと権限

デフォルトでは、特権管理者または管理者の役割が割り当てられたユーザーは、PAM360 で Application Control を構成および管理できます。あるいは、Application Control の管理権限を有効にしたカスタム ロールを作成して、ユーザーに同じ責任を付与することもできます。このカスタム ロールが割り当てられたユーザーは、PAM360 を介して Application Control を構成および管理できるようになります。

3.認証トークンの取得中:

Application Control 機能を有効にするには、Application Control Plus から認証トークンを生成する必要があります。認証トークンを生成するには、次の手順を実行します。

  1. Application Control Plus にログインします。
  2. [管理]→[統合化]→[APIキー管理] に移動し、[キーを生成] ボタンをクリックします。
    application-control-1
  3. 開いたページで、サービス名ドロップダウンからPAM Integrationを選択し、「キーを生成」をクリックします。
    application-control-2
  4. 生成されたAPIキーをコピーしてください。このキーは、PAM360でアプリケーション制御を設定する際に使用されます。
    application-control-2.1

4.PAM360 での Application Control の設定

期待される機能を確保し、PAM360 環境を介してエンドポイント権限管理機能を実行するには、PAM360 で Application Control を構成する必要があります。これを実行するには:

  1. PAM360 ユーザー アカウントにログインします。
  2. [管理] >> [特権昇格] >> [Application Control] の順に移動し、[設定] をクリックします。
  3. 開いたダイアログボックスには、次の内容が表示されます。
    1. Application Control Plus がインストールされているサーバー名を入力します (例: in-qaauto-92dt)。
    2. Application Control Plus に設定されている HTTPS ポート番号を入力します (デフォルトは 8383)。
    3. Application Control PlusアプリケーションからコピーしたAPI Keyを入力してください。
    4. 生成をクリックしてPAM360認証トークンを生成し、生成されたトークンをコピーしてください。
  4. 有効にするをクリックして通信を確立し、PAM360でのセットアップを完了してください。
    application-control-3

    メモ:

    設定が完了したら、左側の Application Control コラムの上部パネルにある [設定の編集] ボタンを使用して上記の詳細を編集することもできます。

  5. PAM360での設定が完了したら、以下の手順に従ってください。

    1. Application Control Plusにログインし、[管理]→[統合化]→[PAM360設定]に移動します。
    2. 開いたページに、以下の詳細情報を入力してください。
      • PAM360サーバーURL - PAM360のサーバーURLを入力します(例:https://<server-name>:<port>)
      • PAM360 APIトークン - PAM360からコピーしたPAM360認証トークンを入力してください。
    3. 「保存」をクリックして統合を完了してください。
      application-control-3.1

    「保存」をクリックすると、証明書の検証のためのポップアップが表示されます。「この証明書を信頼」を選択すると、PAM360サーバーのSSL証明書が承認され、連携処理が続行されます。

    application-control-3.2

5.PAM360 の Application Control

PAM360 と Application Control Plus の間で通信が確立されると、アプリケーション管理をさらに行うために Application Control ウィンドウが読み込まれます。ここでは、PAM360 全体のエンドポイントの許可リストとブロックリストを作成でき、PAM360 インターフェースから直接次のアプリケーション管理アクションを実行できます。

  1. Windows システムの管理
  2. アプリケーションの許可リスト/ブロックリスト
  3. カスタムグループの作成
  4. エンドポイント権限管理
application-control-4

6.構成と管理の障害シナリオ

PAM360 で Application Control を構成または管理する際に問題が発生する場合、さまざまな要因が考えられます。Application Control 機能を効果的かつ効率的に利用するには、これらの問題に対処することが不可欠です。

  1. 特権ロールの不一致:ユーザーが PAM360 経由で Application Control を管理しようとしたが、Application Control Plus で対応する特権ロールを持っていない場合、問題が発生する可能性があります。Application Control にシームレスにアクセスして管理するには、ユーザーは両方のプラットフォームで同様の特権ロールを持っている必要があります。
  2. Endpoint Centralにおけるモジュールの欠落:Endpoint Central で Application Control モジュールが有効になっていない場合、Application Control を構成または管理しようとすると失敗します。適切に機能させるには、Endpoint Central 内で Application Control モジュールがアクティブ化されていることを確認することが重要です。
  3. 不正アクセスと権限:適切な権限なしで Application Control を構成または管理すると、不正なアクセスの試みにつながる可能性があります。PAM360 内で Application Control を構成または管理する際に問題が発生しないように、ユーザーに必要な権限を付与する必要があります。
  4. 認証トークン更新要件:Application Control Plus の担当ユーザーのログイン パスワードを変更すると、PAM360 の Application Control モジュールの機能が中断されます。これは、パスワードを変更すると、以前に生成された認証トークンが無効になるためです。スムーズな操作を確保するには、新しく生成された認証トークンを使用して Application Control 構成を更新することが重要です。
  5. ユーザー名の不一致: Application Control にアクセスしようとするユーザーが PAM360 で同じユーザー名を持っていない場合、問題が発生する可能性があります。Application Control 機能へのシームレスなアクセスと利用を可能にするには、プラットフォーム間でユーザー名の一貫性が必要です。

これらの潜在的な障害シナリオに包括的に対処することで、PAM360 内での Application Control の効果的かつ効率的な展開と使用が保証され、全体的なセキュリティ管理機能が強化されます。