管理対象ポリシー
作成日:2021年5月26日 | 更新日:2023年8月10日
このナレッジでは、管理対象の自動追加/自動削除を実行可能な「管理対象ポリシー」機能について説明しています。
管理対象ポリシーについて
管理対象ポリシーの概要
Endpoint Central Cloud では、「管理対象ポリシー」機能を用いて、管理対象の自動追加(エージェントの自動インストール)や、管理対象の自動削除(コンソール画面からの削除およびエージェントの自動アンインストール)が可能です。
管理対象の自動追加と自動削除では、必要な前提条件が異なります(自動削除の場合、ドメインとの同期や配信サーバーが不要な場合があります)。
Active Directory 上に新しく追加されたコンピューターオブジェクトを検出すると、管理者に通知を送信し、必要に応じて自動的にエージェントをプッシュインストールします。
(B) 管理対象の自動削除
次の端末が存在する場合、管理者に通知を送信し、必要に応じて管理対象から自動的に削除します。
- Active Directoryから削除されたコンピューターオブジェクト
- Endpoint Central Cloud との通信が一定期間なかった管理対象(ADドメイン・ワークグループどちらでも可)
(A) 管理対象の自動追加
前提条件
- 配信サーバーを設置する
- ドメインを追加(登録)する
- 配信サーバーをAD Connecterに指定し、Active Directoryドメインと同期する
- 名前解決できる環境が必須になります(エージェントのプッシュインストールは、対象をホスト名で指定します)。
- エージェントのプッシュインストールに必要なポートを管理対象PC側で開放する必要があります。
Endpoint Central Cloud は Active Directory ドメイン環境において、配信サーバーのうち1台を「AD Connecter」に指定することで、指定された配信サーバーがドメインコントローラーと定期的に通信し、オブジェクト等の情報を同期します。
管理対象ポリシーの構成とドメインの登録・Active Directoryの同期をすべて完了することで、「Active Directory に新しく追加されたが Endpoint Central Cloud で管理されていないPC」の把握や管理対象への追加操作を自動化可能です。
Active Directoryに参加していない、ネットワーク内のエージェント未インストールのPCを検出することはできません。
また、通知に加えて管理対象の自動追加(エージェントの自動インストール)を実施する場合は、上記に加えて以下の条件(エージェントのプッシュインストールに必要な条件)をすべて満たす必要があります。
設定方法
以下の手順で管理対象ポリシーを構成します。
- エージェントタブ > 配布 > 管理対象ポリシー > を開きます。
- 「新しいコンピューターの検出/追加」にチェックを入れます。
- Active Directory に PC を追加した場合の動作を選択します。
- PCにエージェントをインストールし通知を受け取る: Active Directory に追加されたPCにエージェントをインストールし、管理者に通知します。なお、IPスコープが未設定の場合、デフォルトリモートオフィスに所属します。カーソルを合わせると右側に表示される「構成」をクリックし、通知の内容を編集します。
- 通知を受け取る: Active Directoryに追加されたPCについて、管理者にメールで通知します。カーソルを合わせると右側に表示される「構成」をクリックし、通知の内容を編集します。
- 管理対象の削除についても設定場合は管理対象の自動削除へ進みます。そうではない場合、同期のスケジュール設定に進みます(入力完了後に一番下の「保存」をクリックします)。
(B) 管理対象の自動削除
前提条件
管理対象の自動削除は、自動追加とは異なり、Active Directoryとの同期を必ずしも必要としません。一定期間通信のない管理対象の削除には、エージェントとの最終接続日時に基づいて通知または削除が実行されるため、「一定期間通信がない管理対象を通知/削除」のみを有効化する場合、以下の前提条件を必要としません。
- (ADから削除されたコンピューターオブジェクトを取得し、管理対象を自動削除する場合のみ)配信サーバーを設置する
- (ADから削除されたコンピューターオブジェクトを取得し、管理対象を自動削除する場合のみ)ドメインを追加する
- (ADから削除されたコンピューターオブジェクトを取得し、管理対象を自動削除する場合のみ)配信サーバーをAD Connecterに指定し、Active Directoryドメインと同期する
設定方法
以下の手順で管理対象ポリシーを構成します。
- エージェントタブ > 配布 > 管理対象ポリシー を開きます。
- 「コンピューターの削除」にチェックを入れます。
- Active Directory からPCを削除した場合の動作を選択します。
- PCにエージェントをインストールし通知を受け取る: (Active Directory 環境のみ)Active Directoryから削除されたPCからエージェントをアンインストールし、管理対象から削除した上で管理者に通知します。
- 通知を受け取る: (Active Directory 環境のみ)Active Directory から削除されたPCについて、管理者に通知します。
- 何もしない: Active DirectoryからPCが削除された際、何も実行しません。ADと同期しない場合にも、こちらを選択します。
- Endpoint Central Cloud との通信が一定期間以上行われないエージェントが検出された際のアクションを指定します (Active Directory環境 / ワークグループ環境どちらでも設定可能)。
- 次で指定した日数の間、Endpoint Central Cloud に接続していないPCを削除し、通知を受け取る(Delete and notify me if a computer has not contact Central Server in): チェックを入れると、指定した日数サーバーとの通信が行われないエージェントすべてを自動的に削除し、管理者に通知します。基準となる日数を入力します。
- 次で指定した日数の間、Endpoint Central Cloud に接続していないPCがある場合、通知する: チェックを入れると、指定した日数サーバーとの通信が行われないエージェントの情報を通知します。基準となる日数を入力します。
(例)PCを削除し、通知を受け取る: 30日、通知する: 14日の場合の挙動 → 14日間クラウドと通信できない管理対象があると管理者に通知し、30日間通信のない管理対象PCをコンソール画面上から削除します(この時点でライセンス課金対象から外れます)。この管理対象のエージェントは次回クラウドと通信したタイミングで自動的にアンインストールされます。
- 同期のスケジュール設定に進みます(入力完了後に一番下の「保存」をクリックします)。
共通の設定項目
同期のスケジュール設定(Active Directoryと同期を実行する場合のみ)
エージェントタブ > 配布 > 管理対象ポリシー > 同期のスケジュール を設定することで、指定した時刻に選択した同期対象のドメイン/OUと毎日同期を行います。Active Directoryと同期しない場合、ダミーの同期時刻を入力して通知設定に進みます。
- 同期時刻を[hh:mm:ss]形式で入力します。指定した時刻に毎日同期が実行されます。
- 基準となるタイムゾーンを選択します。日本時間を基準とする場合は (GMT+9:00) Japan Standard Timeを選択します(プルダウンにおいて Japan または Tokyo と入力することで候補が表示されます)。
- 続いて同期するドメイン/OUに進ます。
同期するドメイン/OU(Active Directoryと同期を実行する場合のみ)
エージェントタブ > 配布 > 管理対象ポリシー > 同期するドメイン/OU において、同期するドメインまたはOUを選択します。
- [Add Targets]をクリックし、表示されるツリーからドメインまたはOUにチェックを入れます。
- 同期するドメイン/OUを削除する場合は、表示されている一覧のアクション列 > [x] をクリックして削除します。
- 続いて、通知設定に進みます。
手動で同期する場合は、前回の同期との差分のみを取得する「変更事項のみ同期」、すべての情報を同期する「すべて同期」を選択できます。変更されたデータのみを同期する場合はPC名にチェックを入れて[変更事項のみ同期]をクリック、すべて同期する場合はPC名にチェックを入れて[変更事項のみ同期]をクリックします。
一部のドメインが表示されない場合、対応する資格情報が登録されていることをご確認ください。
通知設定
通知の宛先メールアドレスを入力します。複数のメールアドレスを入力する場合、カンマ区切りで入力します。
(例)user1@example.com, user2@example.com
必要な項目の入力完了後、「保存」をクリックして設定を保存します。