2.24.2 インターネットで接続する場合の機器の管理
在宅勤務やサテライトオフィス勤務などで社外に持ち出した管理対象のコンピュータにVPNの設定をせずにJP1/IT Desktop Management 2で管理することもできます。
この場合、組織ネットワークの非武装地帯(DMZ)にインターネットゲートウェイサーバを設置し、管理用サーバと接続します。管理対象のコンピュータは、インターネットゲートウェイサーバを介して管理用サーバと接続します。管理対象のコンピュータとインターネットゲートウェイサーバはHTTPSで接続します。
![[図データ]](GRAPHICS/ZU070042.GIF)
- 重要
-
インターネットで接続してコンピュータを管理する場合、VPNで接続する場合とは使用できる機能に差異があります。詳細は、「2.24 社外で利用する機器の管理」を参照してください。
- 〈この項の構成〉
(1) 接続機器の管理
インターネット接続での機器の管理について説明します。
前提条件
インターネット接続で管理する機器の前提条件を次に示します。
-
管理できる機器は、OSがWindowsのコンピュータだけです。
-
管理対象コンピュータにエージェントをインストールする必要があります。
-
管理対象コンピュータではネットワークモニタを無効にする必要があります。
- 重要
-
エージェントレスの機器は管理できません。
- 重要
-
管理対象のコンピュータを社外に持ち出して使用する時は、意図せずにコンピュータが起動されることを防ぐために、Wake on LANおよびAMTのBIOSの設定を無効にしてください。
インターネット接続で機器を管理するには:
管理対象コンピュータの設定画面のエージェント設定で、[基本設定]−[インターネットゲートウェイを経由して上位システムとHTTPS通信する]をチェックする必要があります。
この設定をすると、エージェントはインターネットゲートウェイ経由で管理用サーバや中継システムと通信します。
ネットワーク接続の制御
管理対象コンピュータを社外で利用している場合、ネットワーク接続の制御はされません。
また、管理対象コンピュータを社外で利用している場合、社内ネットワークで管理されているIPアドレスと異なるIPアドレスが設定されます。このため、ネットワーク接続の制御をネットワーク制御リストで行い、かつIPアドレスの判定で運用すると、管理対象コンピュータのネットワーク接続の制御が誤作動する恐れがあります。このため、ネットワーク接続の制御をネットワーク制御リストで行う場合は、MACアドレスの判定で運用してください。
社内に持ち帰った管理対象コンピュータの接続先の切り替え
管理対象のコンピュータを社内に持ち帰った時に、インターネットゲートウェイを経由しないで、管理用サーバや中継システムと直接通信する動作となるように運用できます。
管理対象コンピュータが社内からインターネットゲートウェイに通信できないように、ファイアウォールおよびプロキシサーバの設定が必要です。詳細は、マニュアル「JP1/IT Desktop Management 2 運用ガイド」の社外で利用する機器を管理する説明を参照してください。
(2) インターネット接続管理機器の注意事項
インターネット接続での機器の管理について注意事項を次に示します。
インターネットゲートウェイを経由して上位システムと通信する場合
-
セキュリティの自動対策または手動対策は、エージェントからのポーリング時に実行されます。
-
管理者によるコンピュータへの操作は、エージェントからのポーリング時に実行されます。
-
ITDM互換配布でのソフトウェアおよびファイルの配布は、エージェントからのポーリング時に実行されます。
-
リモートインストールマネージャを使用するソフトウェアおよびファイルの配布ジョブは、エージェントからのポーリング時に実行されます。
-
リモートコレクト機能で1GBを超えるような容量の大きいファイルを収集する場合には、エージェント設定の[通信設定]−[通信エラーの設定]−[通信エラーと見なすタイミング]−[指定した時間内に通信ソフトからの応答がない場合、通信エラーと見なす]の設定を120分に変更します。設定を大きくすると、通信障害・サーバ障害など一時障害によりサーバからの応答がない場合にエラーと判断されるまでに時間がかかるため、次のポーリングまでの時間が長くなります。設定変更後、[基本設定]−[上位システムとの通信のタイミング]−[ポーリングの方法]−[システム起動するたびに、定期的にポーリングする]に設定されている時間以上待ってください。
-
リモートインストールマネージャを使用して50MB以上のパッケージを配布する場合、通信のタイムアウトが発生する場合があるため、分割配布で50MB以内にパッケージサイズを分割して配布してください。
-
ITDM互換配布の実行中に通信エラーにより失敗した場合、次のポーリングのタイミングでリトライします。
管理対象のコンピュータが社内ネットワークに接続されている場合
-
社内ネットワークに接続された管理対象のコンピュータが電源OFFの状態で、管理用サーバからWake on LANまたはAMTで自動起動させる設定で要求を通知すると、システム起動時のポーリングによって要求を受信します。このため、電源ONの状態の時よりも低遅延で要求が実行されることがあります。
管理対象のコンピュータが社外ネットワークに接続されている場合
-
セキュリティポリシーの判定結果に応じたネットワーク接続の遮断と許可が実行される場合、ネットワーク制御リストは更新されますが、社外ネットワークで利用しているコンピュータのネットワーク接続は制御されません。
-
社外ネットワークで利用しているコンピュータは、Wake on LANまたはAMTで起動できません。
管理対象のコンピュータの接続ネットワークを切り替える場合
社内ネットワーク環境のコンピュータへのリモートインストールマネージャを使った配布のジョブが完了する前に、コンピュータをインターネット環境に持ち出した場合、ジョブは中断されます。社内ネットワーク環境への接続時に再開されます。
また、インターネット環境のコンピュータへのリモートインストールマネージャを使った配布のジョブが完了する前に、コンピュータを社内ネットワーク環境に持ち帰った場合もジョブは中断されます。インターネット環境への接続時に再開されます。