2.6.5 エージェントレスでの管理
JP1/IT Desktop Management 2では、エージェントをインストールしない(エージェントレス)でコンピュータを管理対象にできます。コンピュータをエージェントレスで管理することで、研究用のコンピュータや業務用のサーバなどの運用上ソフトウェアをインストールできないコンピュータも、利用者のコンピュータと同じようにJP1/IT Desktop Management 2で管理できます。
コンピュータをエージェントレスで管理するためには、探索で発見されたコンピュータを管理対象にしてください。
- 重要
-
エージェントレスで管理するための設定は、セキュリティに関わる設定のため、影響範囲を十分に考慮した上で、エージェントレスで管理するかどうかを判断してください。
エージェントレスでの管理には、Windowsの管理共有を利用する方法、SNMPを利用する方法、およびActive Directoryを利用する方法の3種類があります。それぞれの仕組みを次に示します。
- Windowsの管理共有を利用したエージェントレス管理
-
Windowsの管理共有の認証を利用して、定期的に非常駐の実行プログラムをコンピュータに送り込みます。プログラムは、WMIを使用して、機器情報を収集します。
次のタイミングで機器情報を収集できます。
-
探索を実行するタイミング
-
[エージェントレス管理の設定]画面で指定した更新間隔でのタイミング
-
機器画面の機器一覧で、[操作メニュー]から[最新の情報を取得する]を選択したタイミング
- ヒント
-
コンピュータを右クリックして表示されるポップアップメニューから[最新の情報を取得する]を選択しても、機器情報を収集できます。
- 重要
-
エージェントレスでコンピュータを管理する場合、管理用サーバから機器情報収集用の実行プログラムを送信します。この操作はWindowsのデフォルト設定ではセキュリティブロックされるため、セキュリティレベルの設定を解除する必要があります。セキュリティレベルの設定解除は、環境を十分考慮した上で判断してください。
-
- SNMPを利用したエージェントレス管理
-
標準的な通信プロトコルであるSNMPの認証を利用して、SNMPによって定期的に機器情報を収集します。機器情報を収集できるタイミングは、Windowsの管理共有を利用したエージェントレス管理方法と同じです。
- Active Directoryを利用したエージェントレス管理
-
Active Directoryで管理している機器情報を収集します。
次のタイミングで機器情報を収集できます。
-
探索を実行するタイミング
-
機器画面の機器一覧で、[操作メニュー]から[最新の情報を取得する]を選択したタイミング
- 重要
-
Active Directoryを利用したエージェントレス管理は、ドメインコントローラ上の情報を収集します。ドメインコントローラと管理対象機器の情報の同期が取れていない場合は、収集した情報が管理対象の機器と異なる場合があります。
-
なお、Windowsの管理共有、SNMP、またはActive Directoryを利用するためには、コンピュータの設定が必要です。設定の詳細については、「4.2.8 エージェントレスで管理するための前提条件」を参照してください。
エージェントレスでコンピュータを管理する場合、エージェントをインストールした場合と比較して、管理用サーバから実行できる機能に差異があります。エージェントの有無による機能差異については、「(1) 管理形態による機能差異」を参照してください。
- 重要
-
エージェントレスでセキュリティ管理をしたい場合は、Windowsの管理共有を利用してください。
- 〈この項の構成〉
(1) 管理形態による機能差異
エージェント導入済みのコンピュータとエージェントレスのコンピュータには、管理用サーバから実行できる機能に差異があります。エージェント導入済みのコンピュータの場合は、オンライン管理のときとオフライン管理のときでも差異があります。
管理形態による機能差異を次の表に示します。
|
機能 |
管理対象のコンピュータ |
|||||
|---|---|---|---|---|---|---|
|
エージェント導入済み |
エージェントレス |
|||||
|
オンライン管理 |
オフライン管理※1 |
|||||
|
Windows |
UNIX |
Mac OS |
||||
|
機器情報の収集※2 |
○ |
△ |
△ |
○ |
△ |
|
|
セキュリティ状況の診断 |
セキュリティポリシーの割り当て |
○ |
○ |
○ |
○ |
○ |
|
セキュリティ状況の診断 |
○ |
× |
△ |
○ |
△ ※3 |
|
|
セキュリティポリシーの違反時のアクション |
セキュリティの自動対策 |
○ |
× |
× |
△ ※9 |
× |
|
印刷の抑止 |
○ |
× |
× |
○ |
× |
|
|
データの持ち出し抑止 |
○ |
× |
× |
△※10 |
× |
|
|
ソフトウェアの起動抑止 |
○ |
× |
× |
○ |
× |
|
|
操作ログの取得 |
○ |
× |
× |
× |
× |
|
|
メッセージの通知 |
○ |
× |
× |
× |
× |
|
|
電源のONおよびOFF |
○ |
× |
× |
× |
× |
|
|
資産情報の管理 |
ハードウェアの管理 |
○ |
△ ※4 |
△ ※4 |
○ ※5 |
△ |
|
ソフトウェアライセンスの管理 |
○ |
○ |
○ |
○ |
△ |
|
|
ソフトウェアの管理 |
○ |
○ |
○ |
○ |
○ |
|
|
契約の管理 |
○ |
○ |
○ |
○ |
○ |
|
|
ソフトウェアおよびファイルの配布 |
ソフトウェアの配布 |
○ |
○ ※6 |
× |
○ ※6 |
× |
|
ファイルの配布 |
○ |
○ ※6 |
× |
○ ※6 |
× |
|
|
ソフトウェアのアンインストール |
○ |
× |
× |
× |
× |
|
|
機器のリモートコントロール |
コンピュータの操作 |
○ |
× |
○ ※7 |
× |
○ ※7 |
|
コンピュータからの接続要求 |
○ |
× |
× |
× |
× |
|
|
ファイル転送 |
○ |
× |
× |
× |
× |
|
|
チャット |
○ |
× |
× |
× |
× |
|
|
機器のネットワーク接続の管理 |
ネットワークモニタの有効化 |
○ |
× |
× |
× |
× |
|
ネットワーク接続の制御 |
○ |
○ |
○ |
× |
○ |
|
|
レポートの作成 |
○ |
△ ※8 |
△ ※8 |
○ |
△ |
|
(凡例)○:対象となる △:収集できる機器情報に依存する ×:対象外
注※1 UNIXエージェント、Macエージェントは除きます。
注※2 管理形態によって、収集できる機器情報が異なります。それぞれのコンピュータから収集できる情報の詳細については、次を参照してください。
注※3 エージェントレスでセキュリティ状況を診断したい場合は、Windowsの管理共有を利用してください。なお、エージェントレスでは、スクリーンセーバーのセキュリティ判定はアカウント単位に実施できません。
注※4 情報によって対象となるかどうかが異なります。詳細については、「(4) ハードウェア情報」を参照してください。
注※5 USBデバイスの登録はできません。
注※6 リモートインストールマネージャを使用した配布だけ実行できます。ITDM互換配布は実行できません。
注※7 RFBで接続した場合だけ、コンピュータを操作できます。
注※8 情報によって対象となるかどうかが異なります。ソフトウェアや機器の管理状況などは対象となりますが、セキュリティ状況は対象外です。
注※9 自動対策できるのは、更新プログラムの自動更新、使用禁止ソフトウェアの起動抑止、サービスまたはOSのセキュリティ設定だけです。
注※10 「登録済みUSBデバイスの使用許可」の設定で、「使用を許可する資産の限定」は設定できません。
(2) エージェントレスで管理するための前提条件
エージェントレスでコンピュータを管理して機器情報を取得する場合、管理用サーバと利用者のコンピュータで設定が必要です。認証状態によって取得できる機器情報が異なります。取得できる情報が少ないと、セキュリティ状況の一部が判定できなかったり、レポート上で集計されなかったりして、正しく運用できなくなるおそれがあります。運用の目的に応じて、適切な認証方法を選択してください。
なお、Active Directoryを利用してコンピュータを管理していると、大部分の機器情報を取得するための設定が容易になります。エージェントレス運用を考えている場合は、まず組織内のコンピュータがActive Directoryで管理されているかどうかを確認することをお勧めします。
取得できる機器情報の差異については、「2.6.2 機器情報の収集」を参照してください。
- 重要
-
NAT環境では、エージェントレスの機器は管理できません。
- 重要
-
ネットワークの探索で発見した機器をエージェントレスで管理している場合、その機器に対する探索範囲および認証情報を削除しないでください。また、Active Directoryの探索で発見した機器をエージェントレスで管理している場合は、その機器が登録されているActive Directoryの設定を削除しないでください。削除すると、機器情報が取得されなくなります。削除してしまった場合は、探索範囲、認証情報、またはActive Directoryの設定を追加したあとにネットワークの探索またはActive Directoryの探索を再実行して、機器を発見してください。
- 重要
-
DHCP環境の場合、機器のIPアドレスが変更され探索範囲外になると、機器情報が取得されなくなります。
Windowsの管理共有を利用してエージェントレス管理する場合
次の条件をすべて満たしている必要があります。
-
利用者のコンピュータで、Windowsファイアウォールが無効になっている。※1
-
利用者のコンピュータで、簡易ファイル共有が無効になっている。
-
利用者のコンピュータで、Windowsの管理共有(ADMIN$)が有効になっている。
-
利用者のコンピュータで、プロセス間通信用共有(IPC$)が有効になっている。
-
管理用サーバで、Windowsの管理共有を使用して対象のコンピュータにログオンするための情報が、ネットワークの探索の認証情報として設定されている。※2
注※1 有効の場合でも、TCP(ポート番号:445)を許可しておけば条件が満たされます。
注※2 Windowsの管理共有を使用して対象のコンピュータにログオンするための認証情報は、次の条件のどちらかを満たしている必要があります。
-
利用者のコンピュータのビルトインAdministratorアカウントとパスワードを使用する。
-
利用者のコンピュータのUAC機能が無効になっている。
管理用サーバからWindowsの管理共有にアクセスできるようにする設定は、利用者のコンピュータのOSによって異なります。Windowsの管理共有にアクセスするためには、次の表に示す設定が必要です。
|
OS |
設定内容 |
|---|---|
|
Windows 10 |
|
|
Windows 8.1 |
|
|
Windows 8 |
|
|
Windows 7 |
|
|
Windows Vista |
|
|
Windows XP※2 |
|
|
Windows Server 2019 |
ネットワークと共有センターの、[ファイル共有]または[ファイルとプリンタの共有]の有効化 |
|
Windows Server 2016 |
|
|
Windows Server 2012 |
|
|
Windows Server 2008 |
|
|
Windows Server 2003 |
設定不要(デフォルトで有効) |
|
Windows 2000 |
ファイル共有の追加 |
|
Windows以外のコンピュータ |
対象外(設定できない) |
|
ネットワーク装置 |
対象外(設定できない) |
注※1 エディションがないWindows 8.1およびWindows 8の場合は、コマンドプロンプトでnet userコマンドを実行して有効化してください。WindowsのコントロールパネルからはAdministratorユーザーを有効にできません。
注※2 Windows XP Home Edition(Service Pack 2、3)の場合は、管理共有が使用できません。
これらの条件を満たしている場合、大部分の機器情報を取得できます。コンピュータにエージェントをインストールして管理する場合と、取得できる情報に大きな差異はありません。
SNMPを利用してエージェントレス管理する場合
次の条件を満たしている必要があります。
-
SNMPを利用できる。
-
コミュニティ名を認証できる。
なお、SNMPを使用して機器情報を取得するためには次の表に示す設定が必要です。
|
OS |
設定内容 |
|---|---|
|
Windows 10 |
|
|
Windows 8.1 |
|
|
Windows 8 |
|
|
Windows 7 |
|
|
Windows Vista |
|
|
Windows XP |
|
|
Windows Server 2019 |
|
|
Windows Server 2016 |
|
|
Windows Server 2012 |
|
|
Windows Server 2008 |
|
|
Windows Server 2003 |
|
|
Windows 2000 |
|
|
Windows以外のコンピュータ |
|
|
ネットワーク装置 |
Active Directoryを利用してエージェントレス管理する場合
次の条件をどちらも満たしている必要があります。
-
利用者のコンピュータで、Windowsファイアウォールが無効になっている。※
-
Active Directory連携機能を使用して、管理用サーバでActive Directoryが管理する機器情報を収集できる。
注※ 有効の場合でも、設定画面の[他システムとの接続]−[Active Directoryの設定]画面で指定したポート番号での接続を許可しておけば、条件が満たされます。
ICMPを利用してエージェントレス管理する場合
ICMPを利用できる必要があります。
なお、ICMPを使用して機器情報を取得するためには、次の表に示す設定が必要です。
|
OS |
設定内容 |
|---|---|
|
Windows 10 |
ICMPエコー要求の着信許可※ |
|
Windows 8.1 |
|
|
Windows 8 |
|
|
Windows 7 |
|
|
Windows Vista |
|
|
Windows XP |
|
|
Windows Server 2019 |
|
|
Windows Server 2016 |
|
|
Windows Server 2012 |
|
|
Windows Server 2008 |
|
|
Windows Server 2003 |
|
|
Windows 2000 |
|
|
Windows以外のコンピュータ |
|
|
ネットワーク装置 |
注※ Windows XP以降では、WindowsファイアウォールでICMPを許可する設定をするか、Windowsファイアウォールを解除する必要があります。
関連リンク
(3) エージェントレスの機器の認証情報を設定する手順
エージェントレスの機器からは、ネットワークの探索で設定された探索範囲と認証情報の組み合わせを利用して、機器情報が収集されます。機器情報の収集時は、その機器のIPアドレスが含まれる探索範囲に対して設定された認証情報が利用されます。
エージェントレスの機器に対して使用される認証情報は、探索が完了したあとでも設定できます。
エージェントレスの機器の認証情報を設定するには:
-
機器画面を表示します。
-
メニューエリアの[機器情報]で任意のグループを選択します。
-
インフォメーションエリアで、エージェントレスの機器を選択します。
-
[操作メニュー]の[認証情報を設定する]を選択します。
-
表示されるダイアログで、認証情報を設定します。
-
[OK]ボタンをクリックします。
エージェントレスの機器に対して利用される認証情報が設定されます。
- ヒント
-
設定画面の[探索条件の設定]−[ネットワークの探索]画面から、認証情報を設定することもできます。
(4) エージェントレスでの機器情報の収集
エージェントレスの機器からは、次に示す方法で機器情報が収集されます。
- 管理共有
-
Windowsの管理共有の認証を利用して、機器情報が収集されます。エージェントをインストールした場合に近い情報量を収集できます。
- SNMP
-
SNMPプロトコルの認証を利用して、機器情報を収集します。SNMPによって取得できる一部の機器情報だけ収集できます。
- Active Directory
-
Active Directoryで管理している機器情報を参照して、機器情報を収集します。Active Directoryで取得できる一部の機器情報だけ収集できます。
- ARP
-
ARPから機器情報を収集します。ARPから取得できる一部の機器情報だけ収集できます。
- ICMP
-
ICMP(PING)を利用して、機器の存在を確認します。IPアドレスの情報だけ収集できます。
管理対象のエージェントレスの機器からは、管理共有またはSNMPを利用して機器情報が収集されます。ARPおよびICMPは、管理共有またはSNMPの認証に失敗している機器だけに利用されます。管理共有またはSNMPの認証に成功している機器に対しては、ARPおよびICMPは利用されません。
管理共有とSNMPのどちらが利用されるかは、探索設定で設定した探索範囲と認証情報に依存します。エージェントレスの機器から機器情報が収集されるときは、機器のIPアドレスに対して、そのIPアドレスが含まれる探索範囲に対応した認証情報を利用して、機器情報の収集が実行されます。機器のIPアドレスが探索範囲外にある、認証情報が設定されていない、認証に失敗したなどの場合は、機器情報は収集されません。
なお、エージェントレスの機器は、機器の種類ごとに利用できる収集方法が異なります。機器の種類と収集方法の利用可否を次の表に示します。
|
収集方法 |
機器の種類 |
||
|---|---|---|---|
|
Windowsのコンピュータ |
Windows以外のコンピュータ |
ネットワーク装置 |
|
|
管理共有 |
○ |
× |
× |
|
SNMP |
○ |
○ |
○ |
|
Active Directory |
○ |
× |
× |
|
ARP |
○ |
○ |
○ |
|
ICMP |
○ |
○ |
○ |
(凡例)○:利用できる ×:利用できない
機器情報が収集されるタイミング
エージェントレスの機器からは、機器情報は次のタイミングで収集されます。
-
機器の探索を実行したとき
-
機器画面の機器一覧で、[操作メニュー]から[最新の情報を取得する]を選択したとき
なお、収集される間隔を変更したい場合は、設定画面の[エージェント]−[エージェントレス管理の設定]画面で更新間隔を設定します。デフォルトの更新間隔は1時間です。
機器画面の[最新の情報を取得する]を実行することで、任意のタイミングで機器情報を収集することもできます。
また、集中探索が実行されている場合、その期間中は機器情報が収集されません。
- 重要
-
Active Directoryを利用する場合は、Active Directoryに登録されている機器の探索を実行したときに機器情報を収集します。
関連リンク
(5) エージェントレスでの管理共有による機器情報の収集の仕組み
エージェントレスのコンピュータから管理共有の認証を利用して機器情報を取得する場合、コンピュータに実行プログラムが送信されます。
送信される実行プログラム名は次の3種類です。
-
jpngmain.exe
-
jpnmspushlauncher.exe
-
jpnmspushservice.exe
これらの実行プログラムによって、収集した機器情報を通知するための管理共有のファイルが、コンピュータ上に生成されます。このファイルが管理用サーバに通知されることで、エージェントレスのコンピュータの機器情報が更新されます。
なお、実行プログラムは初回およびバージョンアップ時だけ配信されます。また、実行プログラムは自動的には削除されません。管理用サーバをバージョンアップしたときや、実行プログラムのファイルが削除されたときは、実行プログラムが再度送信されます。
- 重要
-
上記の実行プログラムは削除しないでください。エージェントレスの機能が正常に動作できなくなるおそれがあります。また、導入しているウィルス対策製品によっては、誤って上記の実行プログラムがウィルスとして検知され、正しく実行できない場合があります。このような場合は、エージェントを導入してコンピュータを管理してください。
- ヒント
-
Windowsの管理共有の認証が成功した時点で、約2.5メガバイトの実行プログラムがコンピュータに送信されます。