JP1/IT Desktop Managementでは、エージェントをインストールしない(エージェントレス)でコンピュータを管理対象にできます。コンピュータをエージェントレスで管理することで、研究用のコンピュータや業務用のサーバなどの運用上ソフトウェアをインストールできないコンピュータも、利用者のコンピュータと同じようにJP1/IT Desktop Managementで管理できます。
コンピュータをエージェントレスで管理するためには、探索で発見されたコンピュータを管理対象にしてください。
エージェントレスでの管理には、Windowsの管理共有を利用する方法とSNMPを利用する方法の2種類があります。それぞれの仕組みを次に示します。
なお、Windowsの管理共有またはSNMPを利用するためには、コンピュータの設定が必要です。設定の詳細については、「(2) エージェントレスで管理するための条件」を参照してください。
エージェントレスでコンピュータを管理する場合、エージェントをインストールした場合と比較して、管理用サーバから実行できる機能に差異があります。エージェントの有無による機能差異については、「(1) エージェントの有無による機能差異」を参照してください。
(1) エージェントの有無による機能差異
エージェント導入済みのコンピュータとエージェントレスのコンピュータには、管理用サーバから実行できる機能に差異があります。
エージェントの有無による機能差異を次の表に示します。
機能 | 管理対象のコンピュータ | ||
---|---|---|---|
エージェント導入済み | エージェントレス | ||
機器情報の収集※1 | ○ | △ | |
セキュリティ状況の診断 | セキュリティポリシーの割り当て | ○ | ○ |
セキュリティ状況の診断 | ○ | △ ※2 | |
セキュリティ ポリシーの違反時のアクション | セキュリティの自動対策 | ○ | × |
印刷の抑止 | ○ | × | |
データの持ち出し抑止 | ○ | × | |
ソフトウェアの起動抑止 | ○ | × | |
操作ログの取得 | ○ | × | |
メッセージの通知 | ○ | × | |
電源のONおよびOFF | ○ | × | |
資産情報の管理 | ハードウェアの管理 | ○ | △ |
ソフトウェアライセンスの管理 | ○ | ○ | |
ソフトウェアの管理 | ○ | ○ | |
契約の管理 | ○ | ○ | |
ソフトウェアまたはファイル配布の管理 | ソフトウェアの配布 | ○ | × |
ファイルの配布 | ○ | × | |
ソフトウェアのアンインストール | ○ | × | |
機器のリモートコントロール | コンピュータの操作 | ○ | ○ ※3 |
コンピュータからの接続要求 | ○ | × | |
ファイル転送 | ○ | × | |
チャット | ○ | × | |
機器のネットワーク接続の管理 | ネットワークモニタの有効化 | ○ | × |
ネットワーク接続の制御 | ○ | ○ | |
レポートの作成 | ○ | △ |
(凡例)○:対象となる △:収集できる機器情報に依存する ×:対象外
注※1 エージェントの有無によって、収集できる機器情報が異なります。それぞれのコンピュータから収集できる情報の詳細については、「(1) 収集できる機器情報の種類」を参照してください。
注※2 エージェントレスでセキュリティ状況を診断したい場合は、Windowsの管理共有を利用してください。なお、エージェントレスでは、スクリーンセーバーのセキュリティ判定はアカウント単位に実施できません。
注※3 RFBで接続した場合だけ、コンピュータを操作できます。
(2) エージェントレスで管理するための条件
エージェントレスでコンピュータを管理して機器情報を取得する場合、管理用サーバと利用者のコンピュータで設定が必要です。認証状態によって取得できる機器情報が異なります。取得できる情報が少ないと、セキュリティ状況の一部が判定できなかったり、レポート上で集計されなかったりして、正しく運用できなくなるおそれがあります。運用の目的に応じて、適切な認証方法を選択してください。
なお、Active Directoryを利用してコンピュータを管理していると、大部分の機器情報を取得するための設定が容易になります。エージェントレス運用を考えている場合は、まず組織内のコンピュータがActive Directoryで管理されているかどうかを確認することをお勧めします。
セキュリティ管理をする場合(大部分の機器情報を取得する場合)
利用者のコンピュータで、次の条件をすべて満たしている必要があります。
注※ 有効の場合でも、TCP(ポート番号:445)を許可しておけば条件が満たされます。
また、管理用サーバで、Windowsの管理共有を使用して対象のコンピュータにログオンするための情報が、ネットワークの探索の認証情報として設定されている必要もあります。ただし、OSがWindows VistaまたはWindows Server 2008の場合、UAC(ユーザーアカウント制御)の認証なしにログオンできるようにしてください。
なお、Windowsの管理共有を有効にして機器情報を取得するためには次の表に示すような設定が必要です。
OS | 設定内容 |
---|---|
Windows 7 | UACの無効化 |
Windows Vista |
|
Windows XP |
|
Windows Server 2008 | ネットワークと共有センターで[ファイル共有]と[プリンタ共有]を有効にする。 |
Windows Server 2003 | 設定不要(デフォルトで有効) |
Windows 2000 | ファイル共有の追加 |
Windows以外のコンピュータ | 対象外(設定できない) |
ネットワーク装置 | 対象外(設定できない) |
これらの条件を満たしている場合、大部分の機器情報を取得できます。コンピュータにエージェントをインストールして管理する場合と、取得できる情報に大きな差異はありません。
機器管理だけをする場合(一部の機器情報を取得する場合)
OS | 設定内容 |
---|---|
Windows 7 |
|
Windows Vista | |
Windows XP | |
Windows Server 2008 | |
Windows Server 2003 | |
Windows 2000 | |
Windows以外のコンピュータ | |
ネットワーク装置 |
機器の存在を確認する場合
ICMPを利用して、機器の存在を確認します。
ICMPを使用して機器情報を取得するためには次の表に示す設定が必要です。
OS | 設定内容 |
---|---|
Windows 7 | ICMPエコー要求の着信許可※ |
Windows Vista | |
Windows XP | |
Windows Server 2008 | |
Windows Server 2003 | |
Windows 2000 | |
Windows以外のコンピュータ | |
ネットワーク装置 |
注※ Windows XP以降では、WindowsファイアウォールでICMPを許可する設定をするか、Windowsファイアウォールを解除する必要があります。
関連リンク
(3) エージェントレスの機器の認証情報を設定する手順
エージェントレスの機器からは、ネットワークの探索で設定された探索範囲と認証情報の組み合わせを利用して、機器情報が収集されます。機器情報の収集時は、その機器のIPアドレスが含まれる探索範囲に対して設定された認証情報が利用されます。
エージェントレスの機器に対して使用される認証情報は、探索が完了したあとでも設定できます。例えば、探索時にSNMPだけ認証できたコンピュータを管理対象にしている場合に、あとからWindowsの管理共有の認証を設定して認証できます。
エージェントレスの機器の認証情報を設定するには:
エージェントレスの機器に対して利用される認証情報が設定されます。
(4) エージェントレスでの機器情報の収集
エージェントレスの機器からは、次に示す方法で機器情報がセキュリティ管理できる機器収集されます。
管理対象のエージェントレスの機器からは、管理共有またはSNMPを利用して機器情報が収集されます。ARPおよびICMPは、ネットワークの探索時の情報収集だけに利用されます。
管理共有とSNMPのどちらが利用されるかは、探索設定で設定した探索範囲と認証情報に依存します。エージェントレスの機器から機器情報が収集されるときは、機器のIPアドレスに対して、そのIPアドレスが含まれる探索範囲に対応した認証情報を利用して、機器情報の収集が実行されます。機器のIPアドレスが探索範囲外にある、認証情報が設定されていない、認証に失敗したなどの場合は、機器情報は収集されません。
なお、エージェントレスの機器は、機器の種類ごとに利用できる収集方法が異なります。機器の種類と収集方法の利用可否を次の表に示します。
収集方法 | 機器の種類 | ||
---|---|---|---|
Windowsのコンピュータ | Windows以外のコンピュータ | ネットワーク装置 | |
管理共有 | ○ | × | × |
SNMP | ○ | ○ | ○ |
ARP | ○ | ○ | ○ |
ICMP | ○ | ○ | ○ |
(凡例)○:利用できる ×:利用できない
エージェントレスの機器から収集できる機器情報を次の表に示します。
機器情報 | 機器の種類 | |||
---|---|---|---|---|
Windowsのコンピュータ | Windows以外のコンピュータ | ネットワーク機器 | ||
システム情報 | 機器種別 | ○ | ○ | ○ |
コンピュータ情報 | ○ | △(「コンピュータ名」、「ホスト名」だけ) | × | |
OS情報 | ○ | △(「OS」だけ) | × | |
ネットワーク情報 | ○ | △(「IPアドレス」、「MACアドレス」、「サブネットマスク」、「デフォルトゲートウェイ」、「ネットワークアダプタ」だけ) | △(「IPアドレス」、「MACアドレス」、「サブネットマスク」、「デフォルトゲートウェイ」、「ネットワークアダプタ」だけ) | |
ハードウェア情報 | ○ | × | × | |
インストールソフトウェア情報※ | ○ | × | × | |
セキュリティ情報 | ○ | × | × |
(凡例)○:収集できる △:一部収集できる ×:収集できない
注※ エージェントレスの場合、[プログラムと機能]に登録されているソフトウェアの情報だけ取得できます。
機器情報が収集されるタイミング
エージェントレスの機器からは、機器情報は定期的に収集されます。収集される間隔を変更したい場合は、設定画面の[エージェント]-[エージェントレス管理の設定]画面で更新間隔を設定します。デフォルトの更新間隔は1時間です。
任意のタイミングでの収集はできません。
また、集中探索が実行されている場合、その期間中は機器情報が収集されません。
関連リンク
(5) 管理共有による機器情報の収集の仕組み
エージェントレスのコンピュータから管理共有の認証を利用して機器情報を取得する場合、コンピュータに実行プログラムが送信されます。
送信される実行プログラム名は次の3種類です。
これらの実行プログラムによって、収集した機器情報を通知するための管理共有のファイルが、コンピュータ上に生成されます。このファイルが管理用サーバに通知されることで、エージェントレスのコンピュータの機器情報が更新されます。
なお、実行プログラムは自動的には削除されません。管理用サーバをバージョンアップしたときや、実行プログラムのファイルが削除されたときは、実行プログラムが再度送信されます。