2.6.5 エージェントレスでの管理
JP1/IT Desktop Managementでは、エージェントをインストールしない(エージェントレス)でコンピュータを管理対象にできます。コンピュータをエージェントレスで管理することで、研究用のコンピュータや業務用のサーバなどの運用上ソフトウェアをインストールできないコンピュータも、利用者のコンピュータと同じようにJP1/IT Desktop Managementで管理できます。
コンピュータをエージェントレスで管理するためには、探索で発見されたコンピュータを管理対象にしてください。
- 注意事項
-
エージェントレスで管理するための設定は、セキュリティに関わる設定のため、影響範囲を十分に考慮した上で、エージェントレスで管理するかどうかを判断してください。
エージェントレスでの管理には、Windowsの管理共有を利用する方法とSNMPを利用する方法の2種類があります。それぞれの仕組みを次に示します。
- Windowsの管理共有を利用したエージェントレス管理
-
Windowsの管理共有の認証を利用して、定期的に非常駐の実行プログラムをコンピュータに送り込みます。プログラムは、WMIを使用して、機器情報を収集します。
次のタイミングで機器情報を収集できます。
-
探索を実行するタイミング
-
[エージェントレス管理の設定]画面で指定した更新間隔でのタイミング
-
機器画面の機器一覧で、[操作メニュー]から[最新の情報を取得する]を選択したタイミング
- ポイント
-
コンピュータを右クリックして表示されるポップアップメニューから[最新の情報を取得する]を選択しても、機器情報を収集できます。
- 注意事項
-
OSがWindows XP Home Edition(Service Pack 2、3)の場合は、管理共有が使用できません。
- 注意事項
-
エージェントレスでコンピュータを管理する場合、管理用サーバから機器情報収集用の実行プログラムを送信します。この操作はWindowsのデフォルト設定ではセキュリティブロックされるため、セキュリティレベルの設定を解除する必要があります。セキュリティレベルの設定解除は、環境を十分考慮した上で判断してください。
-
- SNMPを利用したエージェントレス管理
-
標準的な通信プロトコルであるSNMPの認証を利用して、SNMPによって定期的に機器情報を収集します。機器情報を収集できるタイミングは、Windowsの管理共有を利用したエージェントレス管理方法と同じです。
なお、Windowsの管理共有またはSNMPを利用するためには、コンピュータの設定が必要です。設定の詳細については、「4.2.7 エージェントレスで管理するための前提条件」を参照してください。
エージェントレスでコンピュータを管理する場合、エージェントをインストールした場合と比較して、管理用サーバから実行できる機能に差異があります。エージェントの有無による機能差異については、「(1) 管理形態による機能差異」を参照してください。
- 〈この項の構成〉
(1) 管理形態による機能差異
エージェント導入済みのコンピュータとエージェントレスのコンピュータには、管理用サーバから実行できる機能に差異があります。エージェント導入済みのコンピュータの場合は、オンライン管理のときとオフライン管理のときでも差異があります。
管理形態による機能差異を次の表に示します。
機能 |
管理対象のコンピュータ |
|||
---|---|---|---|---|
エージェント導入済み |
エージェントレス |
|||
オンライン管理 |
オフライン管理 |
|||
機器情報の収集※1 |
○ |
○ |
△ |
|
セキュリティ状況の診断 |
セキュリティポリシーの割り当て |
○ |
○ |
○ |
セキュリティ状況の診断 |
○ |
○ |
△ ※2 |
|
セキュリティポリシーの違反時のアクション |
セキュリティの自動対策 |
○ |
× |
× |
印刷の抑止 |
○ |
× |
× |
|
データの持ち出し抑止 |
○ |
× |
× |
|
ソフトウェアの起動抑止 |
○ |
× |
× |
|
操作ログの取得 |
○ |
× |
× |
|
メッセージの通知 |
○ |
× |
× |
|
電源のONおよびOFF |
○ |
× |
× |
|
資産情報の管理 |
ハードウェアの管理 |
○ |
○ ※3 |
△ |
ソフトウェアライセンスの管理 |
○ |
○ |
△ |
|
ソフトウェアの管理 |
○ |
○ |
○ |
|
契約の管理 |
○ |
○ |
○ |
|
ソフトウェアまたはファイル配布の管理 |
ソフトウェアの配布 |
○ |
× |
× |
ファイルの配布 |
○ |
× |
× |
|
ソフトウェアのアンインストール |
○ |
× |
× |
|
機器のリモートコントロール |
コンピュータの操作 |
○ |
× |
○ ※4 |
コンピュータからの接続要求 |
○ |
× |
× |
|
ファイル転送 |
○ |
× |
× |
|
チャット |
○ |
× |
× |
|
機器のネットワーク接続の管理 |
ネットワークモニタの有効化 |
○ |
× |
× |
ネットワーク接続の制御 |
○ |
× |
○ |
|
レポートの作成 |
○ |
○ |
△ |
(凡例)○:対象となる △:収集できる機器情報に依存する ×:対象外
注※1 管理形態によって、収集できる機器情報が異なります。それぞれのコンピュータから収集できる情報の詳細については、次を参照してください。
注※2 エージェントレスでセキュリティ状況を診断したい場合は、Windowsの管理共有を利用してください。なお、エージェントレスでは、スクリーンセーバーのセキュリティ判定はアカウント単位に実施できません。
注※3 USBデバイスの登録はできません。
注※4 RFBで接続した場合だけ、コンピュータを操作できます。
(2) エージェントレスで管理するための前提条件
エージェントレスでコンピュータを管理して機器情報を取得する場合、管理用サーバと利用者のコンピュータで設定が必要です。認証状態によって取得できる機器情報が異なります。取得できる情報が少ないと、セキュリティ状況の一部が判定できなかったり、レポート上で集計されなかったりして、正しく運用できなくなるおそれがあります。運用の目的に応じて、適切な認証方法を選択してください。
なお、Active Directoryを利用してコンピュータを管理していると、大部分の機器情報を取得するための設定が容易になります。エージェントレス運用を考えている場合は、まず組織内のコンピュータがActive Directoryで管理されているかどうかを確認することをお勧めします。
- 注意事項
-
NAT環境では、エージェントレスの機器は管理できません。
- 注意事項
-
ネットワークの探索で発見した機器をエージェントレスで管理している場合、その機器に対する探索範囲および認証情報を削除しないでください。また、Active Directoryの探索で発見した機器をエージェントレスで管理している場合は、その機器が登録されているActive Directoryの設定を削除しないでください。削除すると、機器情報が取得されなくなります。削除してしまった場合は、探索範囲、認証情報、またはActive Directoryの設定を追加したあとにネットワークの探索またはActive Directoryの探索を再実行して、機器を発見してください。
- 注意事項
-
DHCP環境の場合、機器のIPアドレスが変更され探索範囲外になると、機器情報が取得されなくなります。
セキュリティ管理をする場合(大部分の機器情報を取得する場合)
利用者のコンピュータで、次の条件をすべて満たしている必要があります。
-
Windowsファイアウォールが無効になっている。※
-
簡易ファイル共有が無効になっている。
-
ファイルとプリンタの共有が有効になっている。
-
Windowsの管理共有(ADMIN$)が有効になっている。
-
プロセス間通信用共有(IPC$)が有効になっている。
注※ 有効の場合でも、TCP(ポート番号:445)を許可しておけば条件が満たされます。
また、管理用サーバで、Windowsの管理共有を使用して対象のコンピュータにログオンするための情報が、ネットワークの探索の認証情報として設定されている必要もあります。ただし、OSがWindows7、Windows Vista、またはWindows Server 2008の場合、UAC(ユーザーアカウント制御)の認証なしにログオンできるようにしてください。
なお、Windowsの管理共有を有効にして機器情報を取得するためには次の表に示すような設定が必要です。
OS |
設定内容 |
---|---|
Windows 8 |
|
Windows 7 |
|
Windows Vista |
|
Windows XP |
|
Windows Server 2012 |
ネットワークと共有センターの、[ファイル共有]または[ファイルとプリンタの共有]の有効化 |
Windows Server 2008 |
|
Windows Server 2003 |
設定不要(デフォルトで有効) |
Windows 2000 |
ファイル共有の追加 |
Windows以外のコンピュータ |
対象外(設定できない) |
ネットワーク装置 |
対象外(設定できない) |
注※ エディションがないWindows 8の場合は、コマンドプロンプトでnet userコマンドを実行して有効化してください。WindowsのコントロールパネルからはAdministratorユーザーを有効にできません。
これらの条件を満たしている場合、大部分の機器情報を取得できます。コンピュータにエージェントをインストールして管理する場合と、取得できる情報に大きな差異はありません。
機器管理だけをする場合(一部の機器情報を取得する場合)
- Active Directoryを利用するとき
-
次の条件をどちらも満たしている必要があります。
-
利用者のコンピュータで、Windowsファイアウォールが無効になっている。※
-
管理用サーバで、Active Directoryを探索して機器情報を収集できる。
注※ 有効の場合でも、設定画面の[他システムとの接続]−[Active Directoryの設定]画面で指定したポート番号での接続を許可しておけば、条件が満たされます。
-
- SNMPを利用するとき
-
次の条件を満たしている必要があります。
-
SNMPを利用できる。
-
コミュニティ名を認証できる。
なお、SNMPを使用して機器情報を取得するためには次の表に示す設定が必要です。
OS
設定内容
Windows 8
-
SNMPエージェントの導入
-
SNMPエージェントの設定
Windows 7
Windows Vista
Windows XP
Windows Server 2012
Windows Server 2008
Windows Server 2003
Windows 2000
Windows以外のコンピュータ
ネットワーク装置
これらの条件を満たしている場合、機器種別やコンピュータ名などの一部の機器情報を取得できます。セキュリティ管理が不要な場合は、こちらの方法で機器を管理できます。
-
機器の存在を確認する場合
ICMPを利用して、機器の存在を確認します。
ICMPを使用して機器情報を取得するためには次の表に示す設定が必要です。
OS |
設定内容 |
---|---|
Windows 8 |
ICMPエコー要求の着信許可※ |
Windows 7 |
|
Windows Vista |
|
Windows XP |
|
Windows Server 2012 |
|
Windows Server 2008 |
|
Windows Server 2003 |
|
Windows 2000 |
|
Windows以外のコンピュータ |
|
ネットワーク装置 |
注※ Windows XP以降では、WindowsファイアウォールでICMPを許可する設定をするか、Windowsファイアウォールを解除する必要があります。
関連リンク
(3) エージェントレスの機器の認証情報を設定する手順
エージェントレスの機器からは、ネットワークの探索で設定された探索範囲と認証情報の組み合わせを利用して、機器情報が収集されます。機器情報の収集時は、その機器のIPアドレスが含まれる探索範囲に対して設定された認証情報が利用されます。
エージェントレスの機器に対して使用される認証情報は、探索が完了したあとでも設定できます。
エージェントレスの機器の認証情報を設定するには:
-
機器画面を表示します。
-
メニューエリアの[機器情報]で任意のグループを選択します。
-
インフォメーションエリアで、エージェントレスの機器を選択します。
-
[操作メニュー]の[認証情報を設定する]を選択します。
-
表示されるダイアログで、認証情報を設定します。
-
[OK]ボタンをクリックします。
エージェントレスの機器に対して利用される認証情報が設定されます。
- ポイント
-
設定画面の[探索条件の設定]−[ネットワークの探索]画面から、認証情報を設定することもできます。
(4) エージェントレスでの機器情報の収集
エージェントレスの機器からは、次に示す方法で機器情報がセキュリティ管理できる機器収集されます。
- 管理共有
-
Windowsの管理共有の認証を利用して、機器情報が収集されます。エージェントをインストールした場合に近い情報量を収集できます。
- SNMP
-
SNMPプロトコルの認証を利用して、機器情報を収集します。SNMPによって取得できる一部の機器情報だけ収集できます。
- ARP
-
ARPから機器情報を収集します。ARPから取得できる一部の機器情報だけ収集できます。
- ICMP
-
ICMP(PING)を利用して、機器の存在を確認します。IPアドレスの情報だけ収集できます。
管理対象のエージェントレスの機器からは、管理共有またはSNMPを利用して機器情報が収集されます。ARPおよびICMPは、ネットワークの探索時の情報収集だけに利用されます。
管理共有とSNMPのどちらが利用されるかは、探索設定で設定した探索範囲と認証情報に依存します。エージェントレスの機器から機器情報が収集されるときは、機器のIPアドレスに対して、そのIPアドレスが含まれる探索範囲に対応した認証情報を利用して、機器情報の収集が実行されます。機器のIPアドレスが探索範囲外にある、認証情報が設定されていない、認証に失敗したなどの場合は、機器情報は収集されません。
なお、エージェントレスの機器は、機器の種類ごとに利用できる収集方法が異なります。機器の種類と収集方法の利用可否を次の表に示します。
収集方法 |
機器の種類 |
||
---|---|---|---|
Windowsのコンピュータ |
Windows以外のコンピュータ |
ネットワーク装置 |
|
管理共有 |
○ |
× |
× |
SNMP |
○ |
○ |
○ |
ARP |
○ |
○ |
○ |
ICMP |
○ |
○ |
○ |
(凡例)○:利用できる ×:利用できない
機器情報が収集されるタイミング
エージェントレスの機器からは、機器情報は次のタイミングで収集されます。
-
機器の探索を実行したとき
-
機器画面の機器一覧で、[操作メニュー]から[最新の情報を取得する]を選択したとき
なお、収集される間隔を変更したい場合は、設定画面の[エージェント]−[エージェントレス管理の設定]画面で更新間隔を設定します。デフォルトの更新間隔は1時間です。
[機器]画面の[最新の情報を取得する]を実行することによって、任意のタイミングで機器情報を収集することもできます。
また、集中探索が実行されている場合、その期間中は機器情報が収集されません。
関連リンク
(5) エージェントレスでの管理共有による機器情報の収集の仕組み
エージェントレスのコンピュータから管理共有の認証を利用して機器情報を取得する場合、コンピュータに実行プログラムが送信されます。
送信される実行プログラム名は次の3種類です。
-
jpngmain.exe
-
jpnmspushlauncher.exe
-
jpnmspushservice.exe
これらの実行プログラムによって、収集した機器情報を通知するための管理共有のファイルが、コンピュータ上に生成されます。このファイルが管理用サーバに通知されることで、エージェントレスのコンピュータの機器情報が更新されます。
なお、実行プログラムは初回およびバージョンアップ時だけ配信されます。また、実行プログラムは自動的には削除されません。管理用サーバをバージョンアップしたときや、実行プログラムのファイルが削除されたときは、実行プログラムが再度送信されます。
- 注意事項
-
上記の実行プログラムは削除しないでください。エージェントレスの機能が正常に動作できなくなるおそれがあります。また、導入しているウィルス対策製品によっては、誤って上記の実行プログラムがウィルスとして検知され、正しく実行できない場合があります。このような場合は、エージェントを導入してコンピュータを管理してください。
- ポイント
-
Windowsの管理共有の認証が成功した時点で、約2.5メガバイトの実行プログラムがコンピュータに送信されます。