9.3.9 オフライン管理のコンピュータにセキュリティポリシーを適用する手順
オフライン管理のコンピュータに、セキュリティポリシーを適用することができます。セキュリティ画面の[セキュリティポリシー]画面で、オフライン管理のコンピュータ用に、セキュリティポリシーを作成して管理します。
- 重要
-
オフライン管理のコンピュータ用のセキュリティポリシーは複数作成できますが、 セキュリティポリシーを誤って適用することを防ぐために、システムで1つにすることを推奨します。
- 〈この項の構成〉
(1) セキュリティポリシーを適用するための準備
オフライン管理のコンピュータにセキュリティポリシーを適用するための準備の流れを次に示します。
-
セキュリティポリシーを作成する
-
グループにセキュリティポリシーを割り当てる
-
オフライン用ポリシー適用ツールを作成する
-
オフライン用のエージェント設定を追加する
-
インストールセットを作成する
セキュリティポリシーを適用するための準備の流れについて詳細を説明します。
セキュリティポリシーを作成する:
オフライン管理のコンピュータ用のセキュリティポリシーを作成します。セキュリティポリシーの追加手順については、「9.3.1 セキュリティポリシーを追加する手順」を参照してください。
- 重要
-
-
セキュリティ設定項目の[禁止操作]で、USBデバイスを有効にしてください。
なお、[使用を許可する資産を限定する]は、デフォルトのまま(チェックをしない)にしておいてください。チェックした場合は、すべてのUSBデバイスの使用が抑止されます。
-
セキュリティ設定項目の[操作ログ]と[禁止操作と操作ログの共通設定]は、デフォルトのまま、変更しないでください。
-
グループにセキュリティポリシーを割り当てる:
オフライン管理のコンピュータのグループを作成する場合、グループにセキュリティポリシーを割り当てます。グループにセキュリティポリシーを割り当てる手順については、「9.3.5 セキュリティポリシーを割り当てる手順」を参照してください。
- メモ
-
オフライン管理のコンピュータのグループを作成しない場合は、この手順は不要です。
- ヒント
-
オフライン管理のコンピュータのグループを作成して、グループにセキュリティポリシーを割り当てる場合は、事前に次の操作を実施してください。
-
ハードウェア資産情報に「任意のレジストリ情報を取得する」項目を追加します。
資産管理項目の追加手順は、「15.4.1 資産管理項目を追加する手順」を参照してください。項目名や情報の入力方法の設定例を次に示します。
項目名
Offline識別情報
入力方法
レジストリから取得
データ型
テキスト型
レジストリパス
ルートキー
HKEY_LOCAL_MACHINE
パス
SOFTWARE¥Hitachi¥JP1/IT Desktop Management - Agent
レジストリ名
OfflineInfo
-
ユーザー定義のグループを作成します。
ユーザー定義のグループの追加方法は、「5.5.1 ユーザー定義のグループを追加する手順」を参照してください。ユーザー定義のグループ名およびユーザー定義のグループ条件の設定例を次に示します。
グループ名
OfflinePCグループ
条件
対象項目
Offline識別情報
判定条件
判定値と等しい
判定値
OfflinePC
-
オフライン用ポリシー適用ツールを作成する:
次の手順で作成します。
-
セキュリティ画面を表示します。
-
メニューエリアで[セキュリティポリシー]−[セキュリティポリシー一覧]を選択します。
-
「セキュリティポリシーを作成する:」で作成したセキュリティポリシーを選択し、[操作メニュー]の[オフライン用ポリシー適用ツールを生成する]を選択します。
-
表示されるダイアログを確認してから[保存]ボタンをクリックして、オフライン用ポリシー適用ツールを任意の場所に保存してください。
オフライン用のエージェント設定を追加する:
エージェント設定を追加する手順については、「15.1.2 エージェント設定を追加する手順」を参照してください。
- 重要
-
エージェント設定の情報で、[基本設定]-[上位システムとの通信のタイミング]-[上位システムと通信する]のチェックを外してください。
インストールセットを作成する:
インストールセットの作成手順は、「6.2 インストールセットを作成する手順」を参照してください。
[インストールセットの作成]画面の「自動実行するファイルの設定」で、「オフライン用ポリシー適用ツールを作成する:」で保存したオフライン用ポリシー適用ツール(ZIPファイル)を登録します。[自動実行に必要なファイル情報の追加]ダイアログで次の設定をして、[OK]ボタンをクリックします。
-
展開区分:[この圧縮ファイルを展開して、エージェントのインストール後に、自動実行する]
-
実行ファイル種別:秘文インストーラー以外
-
実行ファイルのパス:[展開先で自動実行するファイルを選択する]をクリックして、「setsecpolicy.vbs」を選択
-
引数:setsecpolicy.vbs(セキュリティポリシー適用コマンド)のオプションを指定
セキュリティポリシー適用コマンドの詳細は、「17.41 setsecpolicy.vbs(オフライン管理のセキュリティポリシー適用と機器情報の収集)」を参照してください。
-
[ファイルの展開先フォルダを指定する]をチェック
-
[展開先フォルダ]:収集したインベントリファイルを格納するフォルダパスを指定
- ヒント
-
オフライン管理のコンピュータのグループを作成して、セキュリティポリシーを適用する場合は、オフライン用ポリシー適用ツールを実行する前に、レジストリの作成が必要です。バッチファイルを利用してレジストリを作成する場合は、次の操作を実施してください。
-
レジストリを作成するバッチファイルを作成します。コマンドの例を次に示します。
reg add "HKLM\SOFTWARE\Hitachi\JP1/IT Desktop Management - Agent" /v OfflineInfo /t REG_SZ /d OfflinePC
-
[自動実行するファイルの設定]画面で、[追加]ボタンをクリックして、[自動実行に必要なファイル情報の追加]ダイアログを表示します。[参照]ボタンをクリックして、手順1で作成したバッチファイルを選択し、[このファイルはエージェントのインストール後実行する]をチェックします。
-
上記のファイルを登録後、[作成]ボタンをクリックして、インストールセットを保存します。保存したインストールセットを、外部記録媒体に格納します。
(2) オフライン管理のコンピュータにセキュリティポリシーを適用する
オフライン管理のコンピュータにセキュリティポリシーを適用する手順を次に示します。
-
インストールセットを実行する。
オフライン管理のコンピュータで、インストールセット(ZIPファイル)を実行します。実行確認画面で、[OK]ボタンをクリックすると、セキュリティポリシーの適用とインベントリ収集が実行されます。
- ヒント
-
インストールセットを作成する時に、引数に「/silent」を指定した場合は、実行確認画面が表示されません。
-
インベントリ情報を管理者に送付する。
setsecpolicy.vbsが格納されたフォルダに、Dataフォルダが作成されています。Dataフォルダを外部記録媒体に格納して、管理者に送付します。
(3) オフライン管理のコンピュータから収集したインベントリ情報を確認する
オフライン管理のコンピュータから収集したインベントリ情報を確認する流れを次に示します。
-
管理用サーバへ収集したインベントリ情報を通知する
-
管理コンソールでオフライン管理のコンピュータを確認する
-
割り当てたポリシーの名前を変更する
オフライン管理のコンピュータから収集したインベントリ情報を確認する流れの詳細を説明します。
管理用サーバへ収集したインベントリ情報を通知する:
収集したインベントリ情報を通知する手順については、「6.14 情報収集用ツールで収集した機器情報を通知する手順」を参照してください。
管理コンソールでオフライン管理のコンピュータを確認する:
機器画面の[機器一覧(機器種別)]にオフラインPCが登録されていることを確認します。
- 重要
-
セキュリティポリシーの適用とインベントリ情報の収集をコマンドで同時に実施するため、[機器一覧(機器種別)]に登録されていることで、セキュリティポリシーが適用されたことを確認します。
割り当てたポリシーの名前を変更する:
グループを作成せずに、コンピュータにセキュリティポリシーを割り当てた場合は、次の手順で割り当てたポリシーの名前を手動で変更してください。
-
[セキュリティ画面]のメニューエリアの[機器のセキュリティ状態]で、[機器一覧(機器種別)]にあるオフライン管理のコンピュータをすべて選択します。
-
[操作メニュー]の[ポリシーを割り当てる]を選択して、表示されるダイアログの[割り当てるポリシー]で、オフライン管理のコンピュータ用のセキュリティポリシーを選択して、[OK]ボタンをクリックしてください。[割り当てたポリシー]が変更されます。
- 重要
-
オフライン管理のコンピュータに割り当てたポリシーの名前を変更する場合は、必ず次の条件でフィルターをかけて、オフライン管理のコンピュータの一覧だけを表示した状態で実施してください。
- フィルター条件
-
・[割り当てたポリシー]-[等しい]-[デフォルトポリシー]
・[管理形態]-[どれかを含む]-[オフライン管理]
(4) オフライン管理のコンピュータにセキュリティポリシーを再適用する
セキュリティ方針が変更された場合は、セキュリティポリシーを再適用する必要があります。再適用の手順を次に示します。
-
セキュリティポリシー適用ツールを再作成します。
セキュリティポリシーを変更したり、オフラインPCで使用するためにUSBデバイスを追加登録したりする場合は、セキュリティポリシー適用ツールを再作成してください。手順の詳細は、「(1) セキュリティポリシーを適用するための準備」の「セキュリティポリシー適用ツールを作成する:」を参照してください。
-
再作成したオフライン用ポリシー適用ツール(ZIPファイル)を解凍し、外部記憶媒体に格納します。
-
オフライン管理のコンピュータに外部記憶媒体を接続して、セキュリティポリシーを適用します。
格納されているsetsecpolicy.vbs(セキュリティポリシー適用コマンド)を実行し、確認画面で、[OK]ボタンをクリックすると、セキュリティポリシーの適用とインベントリ収集が実行されます。
セキュリティポリシー適用コマンドの詳細は、「17.41 setsecpolicy.vbs(オフライン管理のセキュリティポリシー適用と機器情報の収集)」を参照してください。
-
インベントリ情報を管理者に送付します。
setsecpolicy.vbsが格納されたフォルダに、Dataフォルダが作成されています。Dataフォルダを外部記録媒体に格納して、管理者に送付します。
- ヒント
-
オフライン管理のコンピュータの設定を変更した場合、変更した項目によって、インストールセット、セキュリティポリシー適用ツールのどちらかを再作成し、再実行する必要があります。再実行が必要となる設定項目については、「付録A.11 オフライン管理のコンピュータのツール再実行が必要な条件」を参照してください。