JP1 Version 9 JP1/IT Desktop Management 導入・設計ガイド

2.6.4 エージェントレスでの管理

JP1/IT Desktop Managementでは、エージェントをインストールしない（エージェントレス）でコンピュータを管理対象にできます。コンピュータをエージェントレスで管理することで、研究用のコンピュータや業務用のサーバなどの運用上ソフトウェアをインストールできないコンピュータも、利用者のコンピュータと同じようにJP1/IT Desktop Managementで管理できます。

コンピュータをエージェントレスで管理するためには、探索で発見されたコンピュータを管理対象にしてください。

エージェントレスでの管理には、Windowsの管理共有を利用する方法とSNMPを利用する方法の2種類があります。それぞれの仕組みを次に示します。

Windowsの管理共有を利用したエージェントレス管理

Windowsの管理共有の認証を利用して、定期的に非常駐の実行プログラムをコンピュータに送り込みます。プログラムは、WMIを使用して、機器情報を収集します。

次のタイミングで機器情報を収集できます。

探索を実行するタイミング

［エージェントレス管理の設定］画面で指定した更新間隔でのタイミング

機器画面の機器一覧で、［操作メニュー］から［最新の情報を取得する］を選択したタイミング

参考

コンピュータを右クリックして表示されるポップアップメニューから［最新の情報を取得する］を選択しても、機器情報を収集できます。

注意

OSがWindows XP Home Edition（Service Pack 2、3）の場合は、管理共有が使用できません。

注意

エージェントレスでコンピュータを管理する場合、管理用サーバから機器情報収集用の実行プログラムを送信します。この操作はWindowsのデフォルト設定ではセキュリティブロックされるため、セキュリティレベルの設定を解除する必要があります。セキュリティレベルの設定解除は、環境を十分考慮した上で判断してください。

SNMPを利用したエージェントレス管理

標準的な通信プロトコルであるSNMPの認証を利用して、SNMPによって定期的に機器情報を収集します。機器情報を収集できるタイミングは、Windowsの管理共有を利用したエージェントレス管理方法と同じです。

なお、Windowsの管理共有またはSNMPを利用するためには、コンピュータの設定が必要です。設定の詳細については、「(2) エージェントレスで管理するための条件」を参照してください。

エージェントレスでコンピュータを管理する場合、エージェントをインストールした場合と比較して、管理用サーバから実行できる機能に差異があります。エージェントの有無による機能差異については、「(1) エージェントの有無による機能差異」を参照してください。

この項の構成

(1) エージェントの有無による機能差異

(2) エージェントレスで管理するための条件

(3) エージェントレスの機器の認証情報を設定する手順

(4) エージェントレスでの機器情報の収集

(5) 管理共有による機器情報の収集の仕組み

(1) エージェントの有無による機能差異

エージェント導入済みのコンピュータとエージェントレスのコンピュータには、管理用サーバから実行できる機能に差異があります。

エージェントの有無による機能差異を次の表に示します。

機能管理対象のコンピュータ

エージェント導入済みエージェントレス

機器情報の収集^※1 ○　 △　

セキュリティ状況の診断セキュリティポリシーの割り当て ○　 ○　

セキュリティ状況の診断 ○　 △　^※2

セキュリティポリシーの違反時のアクションセキュリティの自動対策 ○　 ×　

印刷の抑止 ○　 ×　

データの持ち出し抑止 ○　 ×　

ソフトウェアの起動抑止 ○　 ×　

操作ログの取得 ○　 ×　

メッセージの通知 ○　 ×　

電源のONおよびOFF ○　 ×　

資産情報の管理ハードウェアの管理 ○　 △　

ソフトウェアライセンスの管理 ○　 ○　

ソフトウェアの管理 ○　 ○　

契約の管理 ○　 ○　

ソフトウェアまたはファイル配布の管理ソフトウェアの配布 ○　 ×　

ファイルの配布 ○　 ×　

ソフトウェアのアンインストール ○　 ×　

機器のリモートコントロールコンピュータの操作 ○　 ○　^※3

コンピュータからの接続要求 ○　 ×　

ファイル転送 ○　 ×　

チャット ○　 ×　

機器のネットワーク接続の管理ネットワークモニタの有効化 ○　 ×　

ネットワーク接続の制御 ○　 ○　

レポートの作成 ○　 △　

（凡例）○：対象となる　△：収集できる機器情報に依存する　×：対象外

注※1　エージェントの有無によって、収集できる機器情報が異なります。それぞれのコンピュータから収集できる情報の詳細については、「(1) 収集できる機器情報の種類」を参照してください。

注※2　エージェントレスでセキュリティ状況を診断したい場合は、Windowsの管理共有を利用してください。なお、エージェントレスでは、スクリーンセーバーのセキュリティ判定はアカウント単位に実施できません。

注※3　RFBで接続した場合だけ、コンピュータを操作できます。

機能	管理対象のコンピュータ
エージェント導入済み	エージェントレス
機器情報の収集^※1	○	△
セキュリティ状況の診断	セキュリティポリシーの割り当て	○	○
セキュリティ状況の診断	○	△　^※2
セキュリティポリシーの違反時のアクション	セキュリティの自動対策	○	×
印刷の抑止	○	×
データの持ち出し抑止	○	×
ソフトウェアの起動抑止	○	×
操作ログの取得	○	×
メッセージの通知	○	×
電源のONおよびOFF	○	×
資産情報の管理	ハードウェアの管理	○	△
ソフトウェアライセンスの管理	○	○
ソフトウェアの管理	○	○
契約の管理	○	○
ソフトウェアまたはファイル配布の管理	ソフトウェアの配布	○	×
ファイルの配布	○	×
ソフトウェアのアンインストール	○	×
機器のリモートコントロール	コンピュータの操作	○	○　^※3
コンピュータからの接続要求	○	×
ファイル転送	○	×
チャット	○	×
機器のネットワーク接続の管理	ネットワークモニタの有効化	○	×
ネットワーク接続の制御	○	○
レポートの作成	○	△

(2) エージェントレスで管理するための条件

エージェントレスでコンピュータを管理して機器情報を取得する場合、管理用サーバと利用者のコンピュータで設定が必要です。認証状態によって取得できる機器情報が異なります。取得できる情報が少ないと、セキュリティ状況の一部が判定できなかったり、レポート上で集計されなかったりして、正しく運用できなくなるおそれがあります。運用の目的に応じて、適切な認証方法を選択してください。

なお、Active Directoryを利用してコンピュータを管理していると、大部分の機器情報を取得するための設定が容易になります。エージェントレス運用を考えている場合は、まず組織内のコンピュータがActive Directoryで管理されているかどうかを確認することをお勧めします。

注意

NAT環境では、エージェントレスの機器は管理できません。

注意

ネットワークの探索で発見した機器をエージェントレスで管理している場合、その機器に対する探索範囲および認証情報を削除しないでください。また、DHCP環境の場合、機器のIPアドレスが変更され探索範囲外になると、機器情報が取得されなくなります。

また、Active Directoryの探索で発見した機器をエージェントレスで管理している場合は、その機器が登録されているActive Directoryの設定を削除しないでください。削除すると、機器情報が取得されなくなります。

セキュリティ管理をする場合（大部分の機器情報を取得する場合）

利用者のコンピュータで、次の条件をすべて満たしている必要があります。

Windowsファイアウォールが無効になっている。^※

簡易ファイル共有が無効になっている。

ファイルとプリンタの共有が有効になっている。

Windowsの管理共有（ADMIN$）が有効になっている。

プロセス間通信用共有（IPC$）が有効になっている。

注※　有効の場合でも、TCP（ポート番号：445）を許可しておけば条件が満たされます。

また、管理用サーバで、Windowsの管理共有を使用して対象のコンピュータにログオンするための情報が、ネットワークの探索の認証情報として設定されている必要もあります。ただし、OSがWindows VistaまたはWindows Server 2008の場合、UAC（ユーザーアカウント制御）の認証なしにログオンできるようにしてください。

なお、Windowsの管理共有を有効にして機器情報を取得するためには次の表に示すような設定が必要です。

OS 設定内容

Windows 7 UACの無効化

Windows Vista

共有ウィザードの無効化

Administratorユーザーの有効化

Windows XP

簡易ファイル共有の無効化

ファイル共有の追加

Windows Server 2008 ネットワークと共有センターで［ファイル共有］と［プリンタ共有］を有効にする。

Windows Server 2003 設定不要（デフォルトで有効）

Windows 2000 ファイル共有の追加

Windows以外のコンピュータ対象外（設定できない）

ネットワーク装置対象外（設定できない）

これらの条件を満たしている場合、大部分の機器情報を取得できます。コンピュータにエージェントをインストールして管理する場合と、取得できる情報に大きな差異はありません。

機器管理だけをする場合（一部の機器情報を取得する場合）

Active Directoryを利用するとき

次の条件をどちらも満たしている必要があります。

利用者のコンピュータで、Windowsファイアウォールが無効になっている。^※

管理用サーバで、Active Directoryを探索して機器情報を収集できる。

注※　有効の場合でも、設定画面の［他システムとの接続］－［Active Directoryの設定］画面で指定したポート番号での接続を許可しておけば、条件が満たされます。

SNMPを利用するとき

次の条件を満たしている必要があります。

SNMPを利用できる。

コミュニティ名を認証できる。

なお、SNMPを使用して機器情報を取得するためには次の表に示す設定が必要です。

OS 設定内容

Windows 7

SNMPエージェントの導入

SNMPエージェントの設定

Windows Vista

Windows XP

Windows Server 2008

Windows Server 2003

Windows 2000

Windows以外のコンピュータ

ネットワーク装置

これらの条件を満たしている場合、機器種別やコンピュータ名などの一部の機器情報を取得できます。セキュリティ管理が不要な場合は、こちらの方法で機器を管理できます。

機器の存在を確認する場合

ICMPを利用して、機器の存在を確認します。

ICMPを使用して機器情報を取得するためには次の表に示す設定が必要です。

OS 設定内容

Windows 7 ICMPエコー要求の着信許可^※

Windows Vista

Windows XP

Windows Server 2008

Windows Server 2003

Windows 2000

Windows以外のコンピュータ

ネットワーク装置

注※　Windows XP以降では、WindowsファイアウォールでICMPを許可する設定をするか、Windowsファイアウォールを解除する必要があります。

関連リンク

(1) 収集できる機器情報の種類

OS	設定内容
Windows 7	UACの無効化
Windows Vista	共有ウィザードの無効化 Administratorユーザーの有効化
Windows XP	簡易ファイル共有の無効化ファイル共有の追加
Windows Server 2008	ネットワークと共有センターで［ファイル共有］と［プリンタ共有］を有効にする。
Windows Server 2003	設定不要（デフォルトで有効）
Windows 2000	ファイル共有の追加
Windows以外のコンピュータ	対象外（設定できない）
ネットワーク装置	対象外（設定できない）

OS	設定内容
Windows 7	SNMPエージェントの導入 SNMPエージェントの設定
Windows Vista
Windows XP
Windows Server 2008
Windows Server 2003
Windows 2000
Windows以外のコンピュータ
ネットワーク装置

OS	設定内容
Windows 7	ICMPエコー要求の着信許可^※
Windows Vista
Windows XP
Windows Server 2008
Windows Server 2003
Windows 2000
Windows以外のコンピュータ
ネットワーク装置

(3) エージェントレスの機器の認証情報を設定する手順

エージェントレスの機器からは、ネットワークの探索で設定された探索範囲と認証情報の組み合わせを利用して、機器情報が収集されます。機器情報の収集時は、その機器のIPアドレスが含まれる探索範囲に対して設定された認証情報が利用されます。

エージェントレスの機器に対して使用される認証情報は、探索が完了したあとでも設定できます。例えば、探索時にSNMPだけ認証できたコンピュータを管理対象にしている場合に、あとからWindowsの管理共有の認証を設定して認証できます。

エージェントレスの機器の認証情報を設定するには：

機器画面を表示します。

メニューエリアの［機器情報］で任意のグループを選択します。

インフォメーションエリアで、エージェントレスの機器を選択します。

［操作メニュー］の［認証情報を設定する］を選択します。

表示されるダイアログで、認証情報を設定します。

［OK］ボタンをクリックします。

エージェントレスの機器に対して利用される認証情報が設定されます。

参考

設定画面の［探索条件の設定］－［ネットワークの探索］画面から、認証情報を設定することもできます。

注意

機器のIPアドレスが含まれる探索範囲が削除されてしまうと、機器情報が収集できなくなります。このため、エージェントレスで機器を管理する場合は、その機器のIPアドレスが含まれる探索範囲は削除しないでください。

(4) エージェントレスでの機器情報の収集

エージェントレスの機器からは、次に示す方法で機器情報がセキュリティ管理できる機器収集されます。

管理共有　

Windowsの管理共有の認証を利用して、機器情報が収集されます。エージェントをインストールした場合に近い情報量を収集できます。

SNMP　

SNMPプロトコルの認証を利用して、機器情報を収集します。SNMPによって取得できる一部の機器情報だけ収集できます。

ARP　

ARPから機器情報を収集します。ARPから取得できる一部の機器情報だけ収集できます。

ICMP　

ICMP（PING）を利用して、機器の存在を確認します。IPアドレスの情報だけ収集できます。

管理対象のエージェントレスの機器からは、管理共有またはSNMPを利用して機器情報が収集されます。ARPおよびICMPは、ネットワークの探索時の情報収集だけに利用されます。

管理共有とSNMPのどちらが利用されるかは、探索設定で設定した探索範囲と認証情報に依存します。エージェントレスの機器から機器情報が収集されるときは、機器のIPアドレスに対して、そのIPアドレスが含まれる探索範囲に対応した認証情報を利用して、機器情報の収集が実行されます。機器のIPアドレスが探索範囲外にある、認証情報が設定されていない、認証に失敗したなどの場合は、機器情報は収集されません。

なお、エージェントレスの機器は、機器の種類ごとに利用できる収集方法が異なります。機器の種類と収集方法の利用可否を次の表に示します。

収集方法機器の種類

Windowsのコンピュータ Windows以外のコンピュータネットワーク装置

管理共有 ○　 ×　 ×　

SNMP ○　 ○　 ○　

ARP ○　 ○　 ○　

ICMP ○　 ○　 ○　

（凡例）○：利用できる　×：利用できない

エージェントレスの機器から収集できる機器情報を次の表に示します。

機器情報機器の種類

Windowsのコンピュータ Windows以外のコンピュータネットワーク機器

システム情報機器種別 ○　 ○　 ○　

コンピュータ情報 ○　 △（「コンピュータ名」、「ホスト名」だけ） ×　

OS情報 ○　 △（「OS」だけ） ×　

ネットワーク情報 ○　 △（「IPアドレス」、「MACアドレス」、「サブネットマスク」、「デフォルトゲートウェイ」、「ネットワークアダプタ」だけ） △（「IPアドレス」、「MACアドレス」、「サブネットマスク」、「デフォルトゲートウェイ」、「ネットワークアダプタ」だけ）

ハードウェア情報 ○　 ×　 ×　

インストールソフトウェア情報^※ ○　 ×　 ×　

セキュリティ情報 ○　 ×　 ×　

（凡例）○：収集できる　△：一部収集できる　×：収集できない

注※　エージェントレスの場合、［プログラムと機能］に登録されているソフトウェアの情報だけ取得できます。

参考

エージェントレスの機器から収集できる機器情報の詳細については、「(1) 収集できる機器情報の種類」を参照してください。

機器情報が収集されるタイミング

エージェントレスの機器からは、機器情報は定期的に収集されます。収集される間隔を変更したい場合は、設定画面の［エージェント］－［エージェントレス管理の設定］画面で更新間隔を設定します。デフォルトの更新間隔は1時間です。

任意のタイミングでの収集はできません。

また、集中探索が実行されている場合、その期間中は機器情報が収集されません。

注意

エージェントレスの機器の台数が多い場合、設定した更新間隔以内に情報収集が完了しないことがあります。情報収集の間隔は、エージェントレスの機器1,000台ごとに1時間の間隔を設定してください。例えば、エージェントレスの機器が1,500台ある場合は、2時間ごとに更新されるように設定します。なお、エージェントレスの機器の情報収集に掛かっている時間は、JDNMAINn.logに出力されるメッセージ（KDEX5020-IおよびKDEX5021-I）に表示される時刻の差分から確認できます。

関連リンク

(5) 管理共有による機器情報の収集の仕組み

(3) エージェントレスの機器の認証情報を設定する手順

収集方法	機器の種類
Windowsのコンピュータ	Windows以外のコンピュータ	ネットワーク装置
管理共有	○	×	×
SNMP	○	○	○
ARP	○	○	○
ICMP	○	○	○

機器情報	機器の種類
Windowsのコンピュータ	Windows以外のコンピュータ	ネットワーク機器
システム情報	機器種別	○	○	○
コンピュータ情報	○	△（「コンピュータ名」、「ホスト名」だけ）	×
OS情報	○	△（「OS」だけ）	×
ネットワーク情報	○	△（「IPアドレス」、「MACアドレス」、「サブネットマスク」、「デフォルトゲートウェイ」、「ネットワークアダプタ」だけ）	△（「IPアドレス」、「MACアドレス」、「サブネットマスク」、「デフォルトゲートウェイ」、「ネットワークアダプタ」だけ）
ハードウェア情報	○	×	×
インストールソフトウェア情報^※	○	×	×
セキュリティ情報	○	×	×

(5) 管理共有による機器情報の収集の仕組み

エージェントレスのコンピュータから管理共有の認証を利用して機器情報を取得する場合、コンピュータに実行プログラムが送信されます。

送信される実行プログラム名は次の3種類です。

jpngmain.exe

jpnmspushlauncher.exe

jpnmspushservice.exe

これらの実行プログラムによって、収集した機器情報を通知するための管理共有のファイルが、コンピュータ上に生成されます。このファイルが管理用サーバに通知されることで、エージェントレスのコンピュータの機器情報が更新されます。

なお、実行プログラムは自動的には削除されません。管理用サーバをバージョンアップしたときや、実行プログラムのファイルが削除されたときは、実行プログラムが再度送信されます。

注意

上記の実行プログラムは削除しないでください。エージェントレスの機能が正常に動作できなくなるおそれがあります。また、導入しているウィルス対策製品によっては、誤って上記の実行プログラムがウィルスとして検知され、正しく実行できない場合があります。このような場合は、エージェントを導入してコンピュータを管理してください。

参考

Windowsの管理共有の認証が成功した時点で、約2.5メガバイトの実行プログラムがコンピュータに送信されます。

[目次] [前へ] [次へ]

All Rights Reserved. Copyright (C) 2011, 2012, Hitachi, Ltd.
Copyright, patent, trademark, and other intellectual property rights related to the "TMEng.dll" file are owned exclusively by Trend Micro Incorporated.