自動検出 - Active Directory 同期 (旧「管理対象ポリシー」)
確認ビルド: Endpoint Central 11.5.2600.38
この記事では、Active Directoryに追加または削除されたコンピューターを自動検出して、そのコンピューターをEndpoint Centralによる管理の対象として追加または削除する、「自動検出 - Active Directory 同期」の設定について説明しています。
※ 旧「管理対象ポリシー」機能は、本記事で説明している「自動検出 - Active Directory 同期」と、「非アクティブコンピューターポリシー」とに分割されました。
Active Directoryとの同期に基づく自動検出の設定
概要
Endpoint CentralをActive Directory環境で使用する場合、Endpoint CentralにADドメインの資格情報を登録してActive Directoryと同期することで、新しくADに追加/削除されたコンピューターを通知したり、自動登録/自動削除を実行することが可能です。
新しいコンピューターの検出/追加:
Active Directory上に新しくコンピューターオブジェクトが追加されたことを検出すると、管理者に通知を送信し、必要に応じて自動的にエージェントをプッシュインストールします。
削除されたコンピューターを検出して削除:
Active Directoryからコンピューターオブジェクトが削除されたことを検出すると、管理者に通知を送信し、必要に応じてEndpoint Centralによる管理の対象から自動的に削除します。
一方で、「Active Directoryに参加していない、ネットワーク内のエージェント未インストールのコンピューター」を検出することはできませんのでご注意ください。
前提条件
本機能を利用するには、以下の前提条件を満たしている必要があります。
- Endpoint Central が Active Directory と同期されていること
- Endpoint CentralにADドメインの資格情報を登録することで、ドメインコントローラーとの定期的な通信を実行し、オブジェクト等の情報を自動同期することができます。
- 対象のコンピューターが、エージェントの自動インストール(プッシュインストール)に対応していること
(Active Directoryに新しく追加されたコンピューターをEndpoint Centralによる管理の対象として自動追加したい場合のみ)- エージェントのプッシュインストールは、対象をホスト名で指定します。そのため、対象コンピューターのホスト名で名前解決できる必要があります。
- エージェントのプッシュインストールに必要な通信ポートを対象のコンピューター側で開放する必要があります。
「ファイルとプリンターの共有」の有効化によるポート開放
対象コンピューターにおいて、「スタート」→「コントロールパネル」→「ネットワークとインターネット」→「ネットワークと共有センター」→「共有の詳細設定の変更」→「ドメイン/プライベート/パブリック(※接続するネットワークのプロパティに応じて選択します)」→「ファイルとプリンターの共有」を有効化することで、139,445ポートが開放されます。
設定方法(Endpoint Central 11.5.2600.38以降)
以下の手順で「自動検出 - Active Directory 同期」を構成します。
- [エージェント]タブ →[自動検出]→[Active Directory 同期] を開きます。
- (PCの一覧が表示されている場合は)右上の「AD同期設定」をクリックすることで、設定画面に移動します。
- 「新しいコンピューターの検出/追加」にチェックを入れ、Active DirectoryにPCを追加した場合の動作を選択します。
- PCにエージェントをインストールし通知を受け取る: Active Directoryに追加されたコンピューターにエージェントをインストールし、管理者にメールで通知します。
- 通知を受け取る: Active Directoryに追加されたコンピューターについて、管理者にメールで通知します。
- 「削除されたコンピューターを検出して削除」にチェックを入れ、Active DirectoryからPCを削除した場合の動作を選択します。
- 管理対象からPCを削除し通知を受け取る: Active Directoryから削除されたPCからエージェントをアンインストールし、コンソール画面上から(Endpoint Centralサーバーから)情報を削除した上で、管理者にメールで通知します。
- 通知を受け取る: Active Directory から削除されたPCについて、管理者にメールで通知します(Endpoint Centralの管理対象となっているPCがADから削除された場合のみ、通知が行われます)。
- 必要に応じて、「同期設定」内の「同期の詳細の変更」をクリックします(「エージェント」タブ →「管理対象」→「ドメイン」が表示されます)。
- 同期したいADドメインの「アクション」列の三点リーダー(...)アイコン → 「同期の詳細の変更」を選択し、同期間隔と時刻を選択して「変更」をクリックします。
- 元の画面(「エージェント」タブ →「自動検出」→「Active Directory 同期」)を再度開きます。
- 「同期するドメイン/OU」において、「+ 対象の追加」をクリックします。
- ドメイン/OUまたはグループを選択し、表示されるツリーから同期対象を選択します。
- 必要に応じて、「ブランチオフィス」の列のプルダウンからリモートオフィスを選択(変更)します。
- 同期するドメイン/OUを削除する(同期を解除する)場合は、表示されている一覧の「アクション」列 → [×] をクリックして削除します。
- 通知の宛先メールアドレスを指定します。アドレスを入力後にエンターキーを押すことで、入力が確定されます。メールアドレスを複数指定することも可能です。
- 「保存」をクリックして設定を保存します。
設定方法(Endpoint Central 11.3.2400.33以前)
以下の手順で、上記と同様のポリシーを構成します。
- [エージェント]タブ →[配布]→[管理対象ポリシー]を開きます。
- (PCの一覧が表示されている場合は)右上の「AD同期設定」をクリックすることで、設定画面に移動します。
- 「新しいコンピューターの検出/追加」にチェックを入れ、Active DirectoryにPCを追加した場合の動作を選択します。
- 詳細は上記(Endpoint Central 11.5.2600.38以降の場合の設定方法)と同様です。
- 「コンピューターの削除」にチェックを入れ、Active DirectoryからPCを削除した場合の動作を選択します。
- 詳細は上記(Endpoint Central 11.5.2600.38以降の場合の設定方法)と同様です。
- 「PCが指定した期間非アクティブの場合」の項目については、「非アクティブコンピューターのポリシー」をご参照ください。
- 必要に応じて、「同期設定」内の鉛筆アイコンをクリックして編集します。頻度や時刻を設定できます。
- 「同期するドメイン/OU」において、「+ 対象の追加」をクリックします。
- ドメイン/OUまたはグループを選択し、表示されるツリーから同期対象を選択します。
- 同期するドメイン/OUを削除する(同期を解除する)場合は、表示されている一覧の「アクション」列 → [×] をクリックして削除します。
- 通知の宛先メールアドレスを指定します。メールアドレスを複数指定する場合は、カンマ区切りで入力します。
- 「保存」をクリックして設定を保存します。