Hitachi

JP1 Version 12 JP1/IT Desktop Management 2 運用ガイド

1.1.1 組織内の機器を把握する

エージェントを導入するコンピュータを決定するために、組織内の機器の現状を把握する必要があります。

管理台帳がメンテナンスできていない、管理台帳が手もとにないなど、機器の現状を把握できていない場合は、JP1/IT Desktop Management 2を利用して機器を探索してください。探索によって組織内の機器の情報を収集できます。組織内の機器を把握したら、エージェントの導入計画を立案します。なお、探索と同時にエージェントを自動配信することもできます。

管理台帳などで組織内の機器の現状を把握できている場合は、機器を探索する必要はありません。エージェントの導入計画を立案します。

関連リンク

〈この項の構成〉

(1) Active Directoryに登録されている機器を探索する手順

機器を探索する方法の一つです。Active Directoryに登録されている機器を探索できます。

設定画面の[他システムとの接続]−[Active Directoryの設定]画面で、探索するActive Directoryのドメイン情報を設定したあと、設定画面の[機器の探索]−[探索条件の設定]−[Active Directoryの探索]画面で探索スケジュールなどを設定します。[探索を開始]ボタンをクリックすると、設定したスケジュールに従って探索が開始されます。

Active Directoryに登録されている機器を探索するには:

  1. 設定画面の[他システムとの接続]−[Active Directoryの設定]画面を表示します。

  2. 接続するActive Directoryのドメイン情報を設定します。

    [接続テスト]ボタンをクリックすると、設定したActive Directoryに接続できるかどうかを確認できます。

    重要

    複数サーバ構成の場合、異なる管理用サーバに同じActive Directoryのドメイン情報を設定しないでください。それぞれの管理用サーバが機器を発見したタイミングで、機器情報の管理元が意図しないで変更されるため、機器情報を正常に管理できなくなるおそれがあります。

  3. 設定画面の[機器の探索]−[探索条件の設定]−[Active Directoryの探索]画面を表示します。

  4. [探索スケジュール]で探索スケジュールを設定します。

  5. [発見した機器への操作]で、発見した機器を自動的に管理対象にするかどうか、エージェントを自動配信するかどうかを設定します。

  6. 探索の完了を管理者にメールで通知したい場合は、[完了通知]で通知先を設定します。

  7. 画面右上の[探索を開始]ボタンをクリックします。

設定画面の[機器の探索]−[探索履歴の確認]−[Active Directoryの探索]画面に移動し、設定した探索スケジュールに従って探索が実行されます。

関連リンク

ページの先頭へ

(2) ネットワークに接続されている機器を探索する手順

機器を探索する方法の一つです。ネットワークに接続されている機器を探索できます。

設定画面の[機器の探索]−[探索条件の設定]−[ネットワークの探索]画面で、探索するIPアドレスの範囲や探索時に使用する認証情報などを設定します。[探索を開始]ボタンをクリックすると、設定したスケジュールに従って探索が開始されます。

ネットワークに接続されている機器を探索するには:

  1. 設定画面の[機器の探索]−[探索条件の設定]−[ネットワークの探索]画面を表示します。

  2. [探索範囲の設定内容]で、探索したいIPアドレスの範囲を設定します。

    デフォルトで、「管理用サーバセグメント」という名称の探索範囲が設定されています。管理用サーバセグメントとは、管理用サーバが含まれるネットワークセグメントのことです。

    重要

    期間を指定して集中的に探索する場合は、探索範囲に含まれるIPアドレスの数が50,000件以下になるように設定してください。IPアドレスの数が50,000件よりも多いと、ネットワーク探索が停止することがあります。

    50,000件より多いIPアドレスを探索する場合は、「期間を指定して集中的に探索する」を設定しないでネットワーク探索を実施してください。

    重要

    複数サーバ構成の場合、異なる管理用サーバに同じ探索範囲を設定しないでください。それぞれの管理用サーバが機器を発見したタイミングで、機器情報の管理元が意図しないで変更されるため、機器情報を正常に管理できなくなるおそれがあります。

  3. [認証情報]で、探索時に使用する認証情報を設定します。

  4. [探索範囲の設定内容]で、各探索範囲に使用する認証情報を設定します。

    重要

    探索範囲の機器に、ログオンを一定回数失敗し、アカウントをロックするような設定がされている場合は、探索範囲ごとに特定の認証情報を割り当ててください。[すべて]を選択すると、機器に対してすべての認証情報を試します。そのため、利用者が知らないうちにアカウントがロックされてしまうおそれがあります。

    重要

    [すべて]を選択すると、認証情報を1つずつ使用して機器にアクセスを試みます。そのため、通信回数が増えネットワークの負荷が高くなります。ネットワークの負荷を考慮した上で選択してください。

  5. [探索スケジュール]で探索スケジュールを設定します。

  6. [発見した機器への操作]で、発見した機器を自動的に管理対象にするか、エージェントを自動配信するかを設定します。

  7. 探索の完了を管理者にメールで通知したい場合は、[完了通知]で通知先を設定します。

  8. 画面右上の[探索を開始]ボタンをクリックします。

  9. 表示されるダイアログで探索の範囲を確認して、[OK]ボタンをクリックします。

    [期間を指定して集中的に探索する]をチェックすると、指定した期間は探索が終了したらすぐに次の探索が開始され、絶え間なくネットワークが探索されるようになります。このため、運用の初期段階で、できるだけ多くの機器を発見したい場合にチェックすることをお勧めします。例えば、1回目の探索時に電源がOFFのため発見できなかった機器があっても、探索を繰り返すことで、2回目以降の探索で発見できる可能性が高くなります。

    重要

    [期間を指定して集中的に探索する]をチェックすると、探索が終了したらすぐに次の探索を繰り返します。そのため、設定した期間中はネットワークの負荷が高くなります。ネットワークの負荷を考慮した上で選択してください。

[機器の探索]−[探索履歴の確認]−[ネットワークの探索]画面に移動し、設定したスケジュールに従って探索が実行されます。

ヒント

冗長構成のネットワーク機器に対してネットワーク探索を実施した場合、機器が二重登録される場合があります。どちらかの機器を管理したくない場合は、それを除外対象機器として設定してください。

関連リンク

ページの先頭へ

(3) ネットワーク監視機能による機器の検知

機器画面の[機器情報]−[機器一覧(ネットワーク)]画面に表示される各ネットワークセグメントのグループで、ネットワークモニタを有効にすると、新規にネットワークに接続しようとした機器を検知できます。検知された機器には、自動的にネットワークの探索が実行されます。発見された機器は、ネットワークモニタ設定に従って、ネットワーク接続が制御されます。

重要

ネットワークモニタ機能は、ネットワーク接続を許可する機器、および許可しない機器を十分に確認してから使用してください。ネットワークへの接続を制御する方法を誤ると、業務に使用している機器の接続が遮断されるなど、トラブルにつながるおそれがあります。

重要

ネットワークモニタ機能は、共有型VDIの仮想コンピュータでは利用できません。

ヒント

管理用サーバ、中継システム、およびネットワークモニタが有効になっているコンピュータは、ネットワーク制御によって接続を遮断できません。

ヒント

機器を検知するためには、1つのネットワークセグメントに対して1台のエージェント導入済みコンピュータのネットワークモニタを有効にしてください。複数のネットワークカードを使って複数のネットワークに接続できるコンピュータであれば、ネットワークモニタを有効にしたエージェント導入済みコンピュータ1台で、複数のネットワークセグメントを監視できます。また、ネットワークセグメントの範囲の探索範囲を設定し、認証情報を対応づけてください。なお、探索範囲に含まれないネットワークアドレスで機器が検知された場合、認証情報を使用しない探索が実行されるため、MACアドレスとIPアドレスの情報だけ取得されます。

ネットワークに接続した機器を検知し、JP1/IT Desktop Management 2に登録する仕組みについて次の図に示します。

[図データ]

  1. 機器がネットワークに接続しようとすると、ネットワークモニタが有効になったエージェント導入済みのコンピュータが、その機器を検知します。

  2. ネットワークモニタが有効になったエージェント導入済みのコンピュータから機器を検知したことが管理用サーバに通知されます。

  3. 通知された情報を基に、その機器に対してネットワークの探索を実行します。

    重要

    機器の探索(ネットワーク探索)がすでに実行されている場合は、終了するまで待ちます。ネットワーク監視機能の機器の検知に時間が掛かる場合は、機器の探索(ネットワーク探索)の探索範囲を縮小するなどで対処してください。

    ヒント

    発見時にエージェントレスの認証をしたい場合は、ネットワークモニタによって監視されるIPアドレスを含む探索範囲と認証情報をあらかじめ設定してください。

  4. 探索の結果、発見された機器は、探索条件によって自動的に管理対象になったりエージェントが自動配信されたりします。

重要

NATを経由したネットワークなど、管理用サーバから直接通信できないネットワークセグメントは、ネットワークモニタ機能を利用しても機器を検知できません。

NATを経由したネットワークでネットワークモニタ機能を利用したい場合は、ネットワークセグメントごとに管理用サーバを設置した複数サーバ構成システムを構築してください。

重要

ネットワークの探索で発見した機器に、自動でエージェントを配信するように設定している場合、発見されたコンピュータがネットワーク接続を許可されなくても、そのコンピュータにエージェントは配信されます。

このため、ネットワーク接続が許可されないコンピュータにエージェントが導入された場合、セキュリティポリシーのネットワーク制御の設定およびセキュリティの判定結果によっては、そのコンピュータがネットワーク接続できてしまうことがあります。

重要

ネットワークモニタ機能によって発見された機器を削除した場合、ネットワークをいったん切断して再接続しないと、その機器は再発見できません。また、ネットワークを切断してから再接続するまでの時間が短か過ぎた場合、機器を再発見できないことがあります。

ヒント

ネットワークモニタ設定が許可する/許可しないのどちらの設定でも、ネットワーク接続した機器を発見できます。ネットワークモニタによって発見された機器には、自動的にネットワークの探索が実行されます。このため、ネットワークの探索で、自動的に管理対象とする、またはエージェントを自動配信するよう設定されている場合は、ネットワークモニタによって機器が発見されると、自動的に管理対象になるか、エージェントが自動配信されます。この場合、機器が管理対象になって、製品ライセンスが消費されます。

自動で管理対象にしたくない場合は、探索条件の設定で[自動的に管理対象とする]および[エージェントを自動配信する]のチェックを外して、手動で管理対象にするようにしてください。

ネットワーク監視機能の監視対象は次のとおりです。

ページの先頭へ

(4) エージェントの導入計画を立案する

組織内の機器を把握したら、どのコンピュータにエージェントを導入するか、どのような方法でエージェントを導入するかを検討します。

エージェントを導入するコンピュータ

組織内で利用されているコンピュータのうち、JP1/IT Desktop Management 2によるセキュリティ管理やソフトウェア配布の対象としたいコンピュータにエージェントを導入します。

エージェントを導入したコンピュータは、自動的にJP1/IT Desktop Management 2の管理対象になります。コンピュータを管理対象にするとJP1/IT Desktop Management 2のライセンスが消費されるため、ライセンス数を考慮して、エージェントを導入するコンピュータを決定してください。

ヒント

管理用サーバをセキュリティ管理の対象にする場合、利用者のコンピュータと同様にエージェントをインストールします。

ヒント

JP1/IT Desktop Management 2では、ライセンス保有数はOSごと(Windows用、Linux用、UNIX用の3種類)に管理されますが、ライセンス使用数はOSの種類に関係なくまとめて管理されます。なお、Mac OSはWindows用のライセンスを共用できます(Windows用として購入したライセンスをMac OSのコンピュータに割り当てられます)。ただ、Mac OSのコンピュータに割り当てた分、Windowsのコンピュータに割り当てられるライセンスは減少します。

例えば、次のとおり合計520のライセンスを登録したとします。

  • Windows用エージェントのライセンス:500

  • Linux用エージェントのライセンス:10

  • UNIX用エージェントのライセンス:10

このとき、Windowsのコンピュータ510台を管理対象にすると、合計のライセンス保有数(520)は超過しませんが、Windows用エージェントのライセンス保有数(500)を超過してしまいます。このような場合は、次のどちらかの方法で対処する必要があります。

  • Windows用エージェントのライセンスを追加で10以上登録する

  • 超過しているWindowsの機器(10台以上)を除外対象にする

OSごとのライセンス使用数が超過しているかどうかは、設定画面の[製品ライセンス]−[製品ライセンスの設定]に表示される[ライセンス保有数]と、機器画面の[機器一覧(機器種別)]に表示されるOSごとの管理対象機器の台数で確認してください。

エージェントの導入方法

エージェントの導入方法には、手動でインストールする方法と自動でインストールする方法があります。

どのインストール方法を選択するかは、インストールする際に重視するポイントによって異なります。各方法を確認して、ご使用の環境に合ったインストール方法を決定してください。

エージェントを手動でインストールする

まずインストールセットを作成します。その後、インストールセットを利用してコンピュータにエージェントをインストールします。手動でインストールするには、次の7種類の方法があります。

  • Webサーバでエージェントを公開する

  • ファイルサーバでエージェントを公開する

  • エージェントインストール用の媒体(CD-RやUSBメモリ)を配布する

  • メールの添付ファイルでエージェントを配布する

  • ログオンスクリプトを利用してエージェントをインストールする

  • ディスクコピーでエージェントをインストールする

  • エージェントを提供媒体からインストールする

エージェントを自動でインストールする

管理用サーバから各コンピュータに対して、エージェントを自動で配信します。自動でインストールするには、次の2種類の方法があります。

  • 探索と同時にエージェントを自動配信する

  • エージェント未導入のコンピュータに個別配信する

関連リンク

ページの先頭へ

Copyright (C) 2019, 2022, Hitachi, Ltd.

Copyright (C) 2019, 2022, Hitachi Solutions, Ltd.

Copyright, patent, trademark, and other intellectual property rights related to the "TMEng.dll" file are owned exclusively by Trend Micro Incorporated.