Endpoint Central オンプレミス版 ナレッジベース

ManageEngine > サポート > Endpoint Central オンプレミス版 ナレッジベース > モジュール >  管理対象 > 管理対象ポリシーについて
戻る

管理対象ポリシーについて

  • 作成日:2020年6月3日 | 更新日:2024年10月10日

このナレッジでは、エージェントのインストール/アンインストールを自動化する「管理対象ポリシー」機能について説明しています。
管理対象ポリシー機能を利用することで、Active DirectoryドメインやOU上にコンピューターオブジェクトが追加された場合に、エージェントをプッシュインストールしたり、Endpoint Centralサーバーとの通信が一定期間なかったコンピューターを管理対象から自動的に追加(または管理者に通知)できます。

管理対象ポリシーについて

管理対象ポリシーの概要

Endpoint Centralは、Active Directory環境でドメインコントローラー(Active Directoryサーバー)との同期を有効化している場合、定期的に通信してオブジェクト等の情報を同期します。
管理対象ポリシーを構成することで、「Active Directoryに新しく追加されたがEndpoint Centralでは管理されていないPC」を管理対象に自動的に追加することや、「Active Directoryからすでに削除されているPC」を管理対象から自動的に削除することができます。
また、Active Directory環境 / ワークグループ環境 のどちらにおいても、Endpoint Centralとエージェントの通信が一定期間行われていないエージェントについて、管理者への通知や管理対象からの自動削除ができます。
通知機能を使用するには、メールサーバーが構成済みである必要があります。

管理対象ポリシーができること

  • エージェントの自動インストール:
    Active Directory環境
    Active Directory環境で指定したドメイン/OUへ新規追加されたコンピューターに対して、エージェントを自動インストール(または製品ユーザーへの通知のみ)します。
     
  • 管理対象からの削除(=エージェントのアンインストール + DBからのデータ消去)
    Active Directory環境   WorkGroup環境
    以下に該当する管理対象コンピューターを、管理対象から削除(または製品ユーザーへの通知のみ)します。

    • Active Directory環境で、指定したドメイン/OUからEndpoint Centralの管理対象に登録されているコンピューターオブジェクトが削除された場合
    • ワークグループ環境またはActive Directory環境で、エージェントからのEndpoint Centralサーバーへの通信が一定日数なかった場合

管理対象ポリシーができないこと

  • Active Directoryドメインではない環境で、新規コンピューターを検知してエージェントを自動インストールすることはできません。
  • Active Directoryドメイン環境であっても、ドメインの登録とAD同期を設定していない場合、コンピューターの追加や削除を検知できません。
  • 前提条件を満たさない環境で、エージェントを自動インストールすることはできません。

 

前提条件

管理対象ポリシー機能のうちエージェントの自動インストール機能を利用する場合、以下のエージェントのプッシュインストールに必要な条件をすべて満たす必要があります。

  • エージェントのプッシュインストールは、対象をホスト名で指定します。そのため、Endpoint Centralサーバーにおいて、対象コンピューターのホスト名で名前解決できる必要があります。
  • エージェントのプッシュインストールに必要な通信ポートを管理対象PC側で開放する必要があります。
    「ファイルとプリンターの共有」の有効化によるポート開放
    対象コンピューターにおいて、「スタート」→「コントロールパネル」→「ネットワークとインターネット」→「ネットワークと共有センター」→「共有の詳細設定の変更」→「ドメイン/プライベート/パブリック(※接続するネットワークのプロパティに応じて選択します)」→「ファイルとプリンターの共有」を有効化することで、139,445ポートが開放されます。
  • エージェントのプッシュインストールは、ドメインの追加において、登録されているドメインに対応する資格情報を使用して、実行されます。そのため、ドメイン名およびドメイン管理者権限を持つユーザーの資格情報が登録済みである必要があります。
GPOを利用したエージェントのインストール
管理対象ポリシー機能を使用するエージェントを自動インストールは、Windows OSの共有機能を使用するため、上記の前提条件を満たすことが必要です。また、このWindows OSの共有は様々な要因で失敗することがあり、その原因の切り分けは困難なケースがあります。環境依存の要因による失敗と思われる事象については解消が困難であることから、他の方法も併せてご検討ください。

特に、GPOを利用したエージェントのインストールを特定のドメインやOUに対して設定しておくことでも、エージェントインストールを自動化することが可能です。この方法はActive Directoryのグループポリシー機能を利用しており、エージェントインストーラーをスタートアップスクリプトとして配布します。
既にエージェントインストール済みのコンピューターに対しては二重に配布されることがないため、登録したグループポリシーを有効な状態のままにしておくことで、自動的にエージェントのインストールが可能です。

 

管理対象ポリシーの設定手順

以下の手順で管理対象ポリシーを構成します。
各項目の詳細については、管理対象への自動追加および管理対象からの自動削除をご覧ください(自動追加のみ、または自動削除のみ有効化することも可能です)。

  1. 「エージェント」タブ →「配布」→「管理対象ポリシー」を開きます。
    (すでに設定済みで編集が必要な場合は、右上の「AD同期設定」をクリックします。)
  2. 新規コンピューターへのエージェント自動インストール(通知のみ有効化する場合も含む)を有効化する場合は「新しいコンピューターの検出/追加」にチェックを入れ、詳細を入力します。
  3. コンピューターの自動削除(通知のみ有効化する場合も含む)を有効化する場合は「コンピューターの削除」にチェックを入れ、詳細を入力します。
  4. Active Directoryドメインと同期する場合は、「同期設定」→「同期間隔」で同期を実行する間隔を指定します。鉛筆アイコンをクリックすることで変更可能です。デフォルトでは1日1回で、1日2回 または 6時間ごと に変更できます。1日1回、1日2回の場合は時刻を指定可能です。
  5. Active Directoryドメインと同期する場合は、続いて同期するドメイン/OUを指定します。
    • [+対象の追加]をクリックし、ドメイン・OUを指定する場合は「ドメイン/OUを選択してください」を、グループを指定する場合は「グループ」を選択します。
    • ツリーから追加したいドメイン・OU・グループを選択し、[選択]をクリックします。追加したドメイン・OU・グループを削除する場合は「アクション」列の×をクリックします。
  6. 通知設定において、通知先のメールアドレスを入力します。複数入力する場合は半角カンマ区切りにします。
  7. 「保存」をクリックします。
  8. 設定後、(AD同期の場合は)指定した間隔で同期が実行されます。
    新規追加は、ADオブジェクトの作成時間と同期時刻を比較して必要なオブジェクトを判定しています。そのため、他のOUから対象のOUに移動したコンピューターオブジェクトについては、エージェントのインストール(または製品ユーザーへの通知)の対象にならない場合があります。その場合はAD同期を手動で実行します。
    通知メールは1日1回のみ、同期完了のタイミングで送信されます。1日に複数回の同期をスケジュール設定している場合は、最初の同期完了の直後に送信されます。

 

管理対象への自動追加

上記手順において「新しいコンピューターの検出/追加」にチェックを入れ、詳細を指定します。

A. PCの情報を通知する

「ADにPCを追加した場合」において、「通知を受け取る」を選択します。また右側にカーソルを合わせると表示される「構成」をクリックして、通知メッセージの文面を定義します。

B. エージェントをインストールし、通知する

エージェントのインストール機能を利用するには、前提条件をすべて満たす必要があります。
「ADにPCを追加した場合」において、「PCにエージェントをインストールし通知を受け取る」を選択します。また右側にカーソルを合わせると表示される「構成」をクリックして、通知メッセージの文面を定義します。
デフォルトでは、ローカルオフィスのエージェントがインストールされます。管理対象ポリシー機能ではリモートオフィスを選択できないため、「IPスコープ」機能も併せて利用することをお勧めします。

 

管理対象からの自動削除

上記手順において「コンピューターの削除」にチェックを入れ、詳細を指定します。

1-A. ADから削除されたPCの情報を通知する

「ADからPCを削除した場合」において、「通知を受け取る」を選択します。また右側にカーソルを合わせると表示される「構成」をクリックして、通知メッセージの文面を定義します。

1-B. ADから削除されたPCのエージェントをアンインストールし、登録されている情報を削除しつつ通知する

「ADからPCを削除した場合」において、「管理対象からPCを削除し通知を受け取る」を選択します。また右側にカーソルを合わせると表示される「構成」をクリックして、通知メッセージの文面を定義します。

1-C. ADからPCが削除されても、なにも実行しない

「ADからPCを削除した場合」において、「なにも実行しない」を選択します。

2. 一定期間Endpoint Centralサーバーと通信のないエージェントを管理対象から削除し通知する

この項目はActive Directoryサーバーとの同期を設定していない環境でも利用可能です。
「PCが指定した期間非アクティブの場合」において、「PCが製品サーバーと通信のない場合通知する」にチェックを入れ、日数を指定します。

3. 一定期間Endpoint Centralサーバーと通信のないエージェントを通知する

この項目はActive Directoryサーバーとの同期を設定していない環境でも利用可能です。
「PCが指定した期間非アクティブの場合」において、「次で指定した日数の間、Endpoint Centralサーバーに接続していないPCがある場合、通知する」にチェックを入れ、日数を指定します。

 

Active Directoryドメインコントローラーとの同期のスケジュール

管理タブ > SoM設定 > 管理対象ポリシー > 同期のスケジュール を設定することで、指定した時刻に毎日同期を行います。また、同期対象のドメイン/OUを選択します。

  1. 同期時刻を[hh:mm:ss]形式で入力します。指定した時刻に毎日同期が実行されます。
  2. [同期するドメイン/OUを選択してください]をクリックし、表示されるツリーからドメインまたはOUにチェックを入れます。
  3. 同期するドメイン/OUを削除する場合は、表示されている一覧のアクション列 > [x] をクリックして削除します。
  4. 通知設定に、メール通知を送信する宛先を入力します。複数のメールアドレスはカンマ区切りとします。なお、メールサーバーの設定が完了している必要があります。
  5. 保存 をクリックします。
管理タブ > SoM設定 > 管理対象ポリシー小タブ右上の「同期情報を表示」をクリックして、手動同期が実行可能です。
手動で同期する場合は、前回の同期との差分のみを取得する「変更事項のみ同期」、すべての情報を同期する「すべて同期」を選択できます。変更されたデータのみを同期する場合はPC名にチェックを入れて[変更事項のみ同期]をクリック、すべて同期する場合はPC名にチェックを入れて[変更事項のみ同期]をクリックします。
一部のドメインが表示されない場合、対応する資格情報が登録されていることをご確認ください。

 

このナレッジの総閲覧回数: 1,892

関連ナレッジ:

  1. ドメイン/ワークグループの登録
  2. エージェントのアンインストール/PCの削除 の違い
  3. Windows エージェントのインストール方法
  4. パッチのクリーンアップ設定・パッチ保存場所の変更方法

タグ: