SCCMを介してログインエージェントをインストールする方法
作成日:2023年5月10日 | 更新日:2024年5月31日
本ナレッジでは、SCCM(System Center Configuration Manager)を介してログインエージェントをインストールする方法をご案内いたします。
本ナレッジは、本社ページ(Installing ADSelfService Plus client software using System Center Configuration Manager)を参照しております。
前提条件
エンドポイントMFAのご利用にはオプションライセンスが必要です。詳細はオプションライセンスの概要をご参照ください。
手順
設定の流れ
ステップ1:ネットワーク共有フォルダーの新規作成
ステップ2:msiパッケージの作成
ステップ3:msiパッケージのデプロイ
(補足)
・パラメーターリスト
ステップ1:ネットワーク共有フォルダーの新規作成
- 製品インストールフォルダー配下のbinフォルダーへ移動
- ADSelfservicePlusClientSoftware.msiファイル(*1)をネットワーク共有フォルダー(*2)に配置
*1: デフォルトパスは次のとおりです。
C:\Program Files\ManageEngine\ADSelfService Plus\bin\ADSelfservicePlusClientSoftware.msi
*2: SCCM管理者は、ADSelfservicePlusClientSoftware.msiファイルを配置するネットワーク共有フォルダーに対する
読み取りアクセス権限が必要です。
ステップ2:MSIパッケージの作成
- System Center Configuration Manager(SCCM)コンソールへログイン
- 「Software Library」-->「Application Management」のドロップダウン-->「Packages」-->「Create Package」をクリック
- Create Package and Program Wizardの「Package」タブにてパッケージ名を入力
- 次の項目を入力
・Description
・Manufacturer name
・Language
・Version - 「Source folder」の横にある「Browse」をクリック
- Source folderにて、ADSelfServicePlusClientSoftware.msiファイルが存在するネットワーク共有上のパスを入力を入力
(例 \\Server\share\ ADSelfServicePlusClientSoftware.msi) - 「OK」-->「Next」をクリック
- 「Program Type」タブにて「Standard program」を選択-->「Next」をクリック
- パッケージ名を入力
- ADSelfServicePlusClientSoftware.msiファイルをインストールするためのコマンドを実行
コマンドは、次の手順にてご確認いただけます。
1. ADSelfService Plusに管理者としてログイン
2. [設定]タブ-->[管理ツール]-->[GINA/Mac/Linux(Ctrl+Alt+Del)]をクリック
3. [インストールヘルプガイド]にある[GINAログインエージェントをSCCM(System Center Configuration Manager)を使ってインストールする]の[ビューコマンド]をクリック
コマンドの例:
msiexec /i "\\ADSelfServicePlusClientSoftware.msi"
SERVERNAME="abc.selfservice.com" PORTNO="443" PROTOCOL="https"
INSTALLATION_KEY="19d82629b4e540fc873df8775d3630cb" BUTTONTEXT="Reset
Password / Unlock Account" BYPASS="true" FRAMETEXT="Can't log on? Please click on
the Reset Password/Unlock Account button to reset your password or unlock your
account" GINAHOSTEXCLUDE="okta,onelogin"
MFAENROLLMENTWINDOWTITLE="Multi-Factor Authentication - Enrollment"
MFAWINDOWTITLE="Multi-Factor Authentication" PPE_POPUP="true"
PROD_TITLE="ADSelfService Plus" RESTRICTBADCERT="false" SERVERUNREACH="This
action requires you to be verified with MFA. Please make sure the ADSelfService Plus
server is reachable, has a proper SSL certificate, and is connected to the domain
controller." SHOWADSSPLINK="true" SHOWADSSPTILE="true"
WINDOWSLOGONTFA="true" MACHINEMFAUSAGESCENARIO="31"(補足)
- ログインエージェントのデフォルト設定を使用する場合は、上記コマンド(デフォルト)のみを入力します。
ログインエージェントのデフォルト設定は、次のとおりです。
・Windowsログインページのリセット/ロック解除リンク
・MFA機能
・クライアントマシンからADSSPサーバーへ接続できない場合、MFAプロンプトを非表示にする
・適用した証明書が無効な場合、またはWindoes OSで推奨されないCAを利用した場合、
MFAはユーザーマシンにアクセスできないプロンプトを表示する - デフォルト設定以外をご利用の場合は、他のパラメータを使用してカスタマイズできます。
詳細は、本ナレッジのパラメーターリストをご参照ください。
- ログインエージェントのデフォルト設定を使用する場合は、上記コマンド(デフォルト)のみを入力します。
- 「run」のドロップダウンから「Hidden」を選択
- 「Program can run」のドロップダウンから「Only when a user is logged on」オプションを選択
- 「Run mode」のドロップダウンから「Run with administrative rights」を選択
- 「Requirements」タブにて「This Program can run on any platform」オプションを選択-->「Next」をクリック
- 「Summary」タブにて選択されている設定を確認後「Next」をクリック
- 「Close」をクリック
ステップ3:msiパッケージのデプロイ
- 「Packages」タブで作成したパッケージをクリック-->「Deploy」をクリック
- 「Deploy Software 」ウィザードにて「Collection」の横にある「Browse」をクリック
- 「Select Collection」画面にてADSelfServicePlusClientSoftware.msiをダウンロードするマシンを選択-->「OK」-->「Next」をクリック
- 「Content」タブにて「Add」のドロップダウンから「Distribution Point」を選択
- リストの中から「Distribution Points」を選択-->「Next」をクリック
- 選択した「Distribution Points」がリストに表示されていることを確認-->「Next」をクリック
- インストールスケジュールをカスタム設定するため「Deployment Settings」タブにて「Required」を選択
- 「 Scheduling」タブにてスケジュールを設定-->「Next」をクリック
- 必要に応じて「User Experience」タブで設定変更-->「Next」をクリック
- 「Distribution Points」タブにて「Download content from distribution point」を選択-->「Next」をクリック
- 選択した設定を確認-->「Close」をクリック
パラメーターリスト
必要に応じて、各パラメーターをご参照ください。
・デフォルト設定以外を使用する場合
・オフラインMFA関連
デフォルト設定以外を使用する場合
クライアントソフトウェアにデフォルト設定以外を使用する場合は、下記表のとおりです。
- 黒字のパラメーター:強制ステータスは、ADSelfService Plusで設定された「ポリシー設定」の内容に準拠します。
- 赤文のパラメーター:サーバーがオフラインまたは到達不能な場合にのみ使用できます。
- 複数のMFAを利用する場合、合計値をMACHINEMFAUSAGESCENARIOパラメーターで指定する必要があります。
たとえば、「マシンへのログイン」および「マシンのロック解除」の両方でMFAを有効化したい場合、
それぞれの値(1 + 2)を追加し、結果(3)をパラメーターとして渡します。
パラメーター名 | MATCHINGREGISTRYの値 | デフォルトパラメーターの値 | 説明 | |
SERVERNAME | ServerName | ADSelfService Plusが稼働しているサーバー (設定された「アクセスURL」に基づく) |
マシンのログイン中またはセルフサービス (パスワードリセット/アカウントロックの解除)にてログインエージェント起動時、接続するADSelfService PlusのDNSホスト名を指定します |
|
PORTNO | PortNumber | ADSelfService Plusサーバーのポート番号 (設定された「アクセスURL」に基づく) |
ADSelfService Plusサーバーの設定された ポート番号を指定します |
|
PROTOCOL | Protocol | 設定された「アクセスURL」のHTTP/HTTPS | ADSelfService Plusサーバーの送受信に 指定されたプロトコルを指定します |
|
INSTALLATION_ KEY(※1) |
InstallationKey | なし | ADSelfService Plusサーバーとクライアントを安全にリンクするインストールキーを指定します (詳細は、ログインエージェントインストールキーをご参照ください) |
|
BUTTONTEXT | ButtonText | パスワードリセット/アカウントロックの解除 | パスワード/アカウントのロック解除の ウィザードを起動するためにWindowsログインに表示するボタンテキストを指定します |
|
BYPASS | Bypass | FALSE | マシンへログイン中にADSelfService Plus サーバーへアクセスできない場合、MFAをバイパスする/バイパスしない設定をします |
|
FRAMETEXT | FrameText | Can't logon? Please click Reset Password / Unlock Account button to reset your password or unlock your account |
表示する、パスワードリセット/アカウントロックの解除の説明を指定します(Windows XPのみ対応) | |
GINAHOSTEXCLUDE | GinaHostExclude | okta, onelogin | ログインエージェントから接続を確立できる ホストを指定します (デフォルトでは、ADSelfService Plusサーバーを除くすべてのホストが制限されます。 ただし、SAML 認証がMFA に対して有効であり、サードパーティのIdP を設定している場合は、このパラメーターを使用する必要があります ) |
|
MFAENROLLMENT WINDOWTITLE |
MFAEnrollment WindowTitle |
登録済みのMFA (Multi-Factor Authentication) |
MFA登録ウィンドウのタイトルを指定します (マシンログインのMFAに対して登録を強制している場合のみに適用されます) |
|
MFAWINDOWTITLE | MFAWindowTitle | MFA (Multi-Factor Authentication) |
ログインエージェントを介したMFA登録 ウィンドウに表示するタイトルを指定します |
|
PPE_POPUP | PpePopUp | TRUE | 「Ctrl+Alt+Del」のパスワード変更画面上でのパスワードポリシーを表示/非表示に設定します | |
PROD_TITLE | ProductTitle | ADSelfService Plus | セルフサービス/MFAに表示するログインエージェントウィンドウのタイトルを指定します | |
RESTRICTBADCERT | RestrictBadCert | TRUE | SSL証明書が以下に該当する場合、アクセスを制限する/しないを設定します。 ・期限切れ ・無効 ・自己署名 |
|
SERVERUNREACH | ServerUnreach | Server unreachable due to intermittent network connectivity or improper SSL certification, or as the Domain Controller configured in ADSelfService Plus is down. Please contact your administrator |
セルフサービスまたはMFA実行中にサーバーへ到達不能な場合に表示するエラーメッセージを指定します | |
SHOWADSSPLINK | ShowADSSPLink | TRUE | 「Ctrl-Alt-Del」画面上に表示する ADSelfService Plusのリンクを指定します |
|
SHOWADSSPTILE | ShowADSSPTile | TRUE | ログイン画面の資格情報タイルに「パスワードのリセット/アカウントのロック解除」ボタンを表示/非表示にする設定をします | |
WINDOWSLOGONTFA | WindowsLogonTFA | FALSE | マシンログインMFAの有効化/無効化を 指定します |
|
MACHINEMFAUSAGESCENARIO | MFAUsage ScenarioMask |
5 | 特定の場合にマシンログインMFAを有効化/無効化するか設定します | |
MFAが必要な場合 | 対応するパラメータ値 | |||
マシンログイン | 1 | |||
ロックされたマシン | 2 | |||
RDPサーバー | 4 | |||
UAC | 8 | |||
RDPクライアント | 16 | |||
ISMACHINEMFAENFORCED | isMFAEnforced | FALSE | TRUEに設定した場合、認証登録ステータス、対象のポリシー、ADSelfService Plusへの接続ステータスに関係なく、すべてのユーザーを対象に、マシンへのアクセス時のMFAを強制します | |
IS_VPN_ENABLED | IsVpnEnabled | なし | キャッシュされた認証情報の更新機能の有効化/無効化を設定します | |
IS_TP_VPN_ ENABLED |
ISTPVPNEnabled | なし | サードパーティのVPN(WindowsネイティブVPN以外のVPNプロバイダー)の有効化/無効化を指定します | |
VPN_SERVER_ NAME |
VpnServerName | なし | VPNサーバー名を指定します | |
VPN_PORT_NO | VpnPortNo | なし | VPN接続時のADSelfService Plusサーバーの ポート番号を指定します |
|
PRE_SHARED_KEY | PreSharedKey | なし | キャッシュされた資格情報の更新機能用に WindowsネイティブVPNをセットアップ時に設定された事前共有キーの値を指定します |
|
VPN_GROUP_ NAME |
VpnGroupName | なし | VPN経由のキャッシュされた資格情報の更新機能を設定時に使用するVPNグループ名を指定します (Cisco AnyConnect VPNを使用する場合のみに必要です) |
|
VPN_DOMAIN_ NAME |
VpnDomainName | なし | キャッシュされた資格情報の更新中にVPN接続するドメイン名を指定します (SonicWall NetExtenderまたはカスタムVPNプロバイダーを使用する場合のみ対象です) |
|
VPN_TYPE | VpnType | なし | 使用されるプロバイダーに基づいて、 キャッシュされた資格情報の更新に対するVPN接続の動作を指定します この事前設定された数字キーは、VPNプロバイダーを示すために使用されます |
|
VPNプロバイダー | 数値 | |||
カスタムVPN | 0 | |||
FortinetおよびCisco IPSec | 1 | |||
Windows Native VPN | 2 | |||
Cisco AnyConnect | 3 | |||
SonicWall NetExtender | 4 | |||
Checkpoint Remote Access VPNおよび SonicWall Global VPN |
5 | |||
Open VPN | 7 | |||
VPN_CLIENT_ LOCATION |
VpnClientLocation | なし | VPNクライアントの場所を指定します (例 C:\Program Files (x86)\ Fortinet\FortiClient\ FortiSSLVPN client.exe) |
|
VPN_CONNECT_ CMD |
VpnConnectCmd | なし | キャッシュ資格情報の更新中にVPN接続するために使用するVPNプロバイダー固有のコマンドです | |
VPN_ DISCONNECT _ CMD |
VpnDisconnectCmd | なし | キャッシュ認証情報の更新中にVPNから切断時に使用するVPNプロバイダー固有のコマンドです | |
WRAPPINGPROVIDER | WrappingProvider | なし | サードパーティのGINA/CP拡張機能のGUIDです | |
IMAGEPATH | GPOスクリプトのパラメーター | クライアントソフトのアイコンとして使用するBMPファイルのファイルパスを入力します ファイル名はreset_icon.bmpである必要があります |
||
CUSTOMTITLEICONPATH | GPOスクリプトのパラメーター | クライアント ソフトウェアのファビコンとして使用されるアイコンファイルのネットワーク共有フォルダーまたはパスを指定します カスタムアイコンのタイトルが下記にアップロードされている必要があります C:\\Windows\\ System32\\ADSSPDesktop.ico. The filename should be ADSSPDesktop.ico |
パラメーター設定後、引き続き手順11以降をご参照ください。
オフラインMFA関連
次のパラメータは、オフラインMFAのインストールとカスタマイズに関係します。
パラメーター名 | MATCHING REGISTRY VALUEの値 | デフォルトパラメーターの値 | 説明 | |
OFFLINEMFA | OfflineMFA | FALSE | オフラインMFAの有効化/無効化を設定します | |
LOCALE_ID | LocaleId | なし | ログインエージェントの一部に使用される表示言語を指定します | |
言語 | キー | |||
中国語 | zh-cn | |||
日本語 | ja | |||
フランス語 | fr-fr | |||
ドイツ語 | de-de | |||
トルコ語 | tr | |||
スペイン語 | es-mx | |||
ポーランド語 | pl | |||
OFFLINE_WEB_LOGO_NAME | OfflineWebLogoName | なし | オフラインMFA中に表示されるカスタムロゴのファイル名および形式を指定します ・ファイル名:customLogo.png形式 ・サポートされている形式:jpg、jpeg、bmp、png、gif |
|
LOGOIMAGEPATH | GPOスクリプトパラメーター | なし | オフラインMFAに使用するカスタムロゴのネットワーク共有フォルダーパスです (以下のパスにコピーされます C:\\Windows\\ System32\\ folder location) |
パラメーター設定後、引き続き手順11以降をご参照ください。
ログインエージェントインストールキー
インストールキーを使用することで、ADSelfService Plusサーバーおよびクライアントへ安全に通信できます。
新しいインストールキーを生成するには、次の手順をご参照ください。
- ADSelfService Plusに管理者としてログイン
- [設定]タブ-->[管理ツール]-->[GINA/Mac/Linux(Ctrl+Alt+Del)]をクリック
- [手動インストールステップ(GINA/Mac/Linux)]をクリック
- 表示された画面上に記載の④にてリンクをコピー
- インストールキーは機密情報であるため、共有しないでください。
現在のインストールキーが漏えいした場合は、製品GUIから新しいインストールキーを再生成してください。 - 新しいインストールキーを再生成した場合は、製品GUIから新しいインストールキーを含むコマンドをコピーし、
すべての新規インストールの新しいコマンドで[インストール コマンド]フィールドを更新してください。 - マシン上に既存のログインエージェントに影響を与えることなく、新しいインストールキーを再生成できます。