デバイスの設定

以下の手順に従います。
capam32
HID_ManagedDevicePanel
CSV インポート」以外の方法をご紹介します。 このトピックでは、[デバイス管理]ページを使用してデバイスを追加する方法について説明します。
2
デバイスを追加するための前提条件
アクセス タイプは、デバイスのセットアップ前にセットアップする必要がある場合があります。 タイプには以下のものが含まれます。
  • アクセス方法
    は、
    CA Privileged Access Manager
    からローカル クライアント コンピュータにダウンロードされた独自の Java アプレットを呼び出します。 詳細については、「アクセス方法」を参照してください。
  • TCP/UDP サービス:
    詳細については、「TCP/UDP サービスの作成」を参照してください。
  • ネイティブ サービス
    は、ローカル クライアント コンピュータの常駐アプリケーションを呼び出します。
  • Web ポータル
    は、HTTP/HTTPS Web サイトを呼び出します。 詳細については、「Web ポータルへの自動ログインの設定」を参照してください。
  • RDP アプリケーション
    は、ターゲット RDP デバイスの常駐アプリケーションを呼び出します。 詳細については、「RDP アプリケーションの設定」を参照してください。
基本情報の設定
以下の手順に従います。
  1. UI にログインします。
  2. [デバイス]
    -
    [デバイス管理]
    を選択します。
  3. 新しいデバイスを指定するには、
    [追加]
    を選択します。
  4. 基本情報
    ]タブのフィールドに入力します。 必須フィールドは赤色のアスタリスクで強調表示されます。
    名前:
    このフィールドには、[アクセス]ページに表示される名前を指定します。 ダブル バイト文字を入力することができます。
    アドレス:
    デバイスの IP アドレスまたは FQDN。
    • FQDN の場合、DNS は、[
      設定
      ]、[
      ネットワーク
      ]、[
      ネットワーク設定
      ]ページで適切にセットアップされる必要があります。
    • 指定された FQDN は 255 文字以内にすることができます。
    • AWS、Azure、または VMware からインポートされるデバイスを更新している場合は、
      [アドレスのオーバーライド]
      チェックボックスが表示されます。 たとえば、プライベート IP アドレスを使用するようにアドレスを編集するには、[アドレスのオーバーライド]チェックボックスをオンにします。
    スキャン:
    このオプションを選択してポート スキャンを実行します。 スキャンでは、設定されているサービスを検出します。 検出されたサービスは[アクセス方法]および[サービス]のタブに表示されます。
    説明:
    説明を任意で入力します。
    場所:
    場所を任意で入力します。 デバイス リストの整理に役立つように、この列のエントリを並べ替えることができます。
    オペレーティング システム:
    デバイスのオペレーティング システムを選択します。 デバイス リストの整理に役立つように、この列のエントリを並べ替えることができます。
    デバイス タイプ:
    デバイスに適用する機能を選択します。
    • アクセス
      : リモート システムにアクセスします。
    • パスワード管理
      : 認証情報管理のターゲット デバイスとしてデバイスを指定します。
    • A2A:
      A2A (Application-to-Application)認証情報管理を行います。 A2A クライアントはリモート システムにインストールする必要があります。以下の追加の A2A フィールドが必要です。
      • アクティブ:
        A2A クライアントが認証情報を受け取れるようにするには、
        [アクティブ]
        を選択します。
      • ホスト名を保持:
        このボックスをオンにすると、A2A クライアントが登録されるたびにリクエスト サーバのホスト名が上書きされることを防ぎます。 このオプションを選択しない場合、既存のホスト名を上書きできます。
  5. OK
    ]を選択します。
タグの作成と割り当て
デバイス タグは、デバイスのグループ化および検索に使用できる任意のフォームおよび長さのテキスト文字列です。 タグは、それらのデバイスの他の特性には依存しません。 デバイス タグは、特定のデバイス レコード内に作成します。 作成したタグは、他のデバイスにコピーできます。 デバイスには複数のタグを割り当てることができるため、さまざまなグループ化ができます。
タグは、デバイス レコードに適用されます。 タグを適用する方法はタグが既に存在するか、タグを作成するかによります。
  • 既存のタグは、タグのドロップダウン リストから選択します。 既存のタグを少なくとも 1 つのデバイス レコードで使用する必要があります。 入力を始めると、ドロップダウン リストに使用可能なタグのリストが表示されます。
  • 新しいタグには、タグ名を入力します。
タグを表示および編集するには、「タグ管理」を参照してください。
デバイスおよびデバイス グループにタグ付けする場合は、以下のガイドラインが適用されます。
  • デバイス グループのデバイスは、デバイス グループに割り当てられているタグを継承しません。
  • デバイスとデバイス グループに同じタグが付いている場合、
    Symantec PAM
    は単一のデバイスをデバイス グループの一部として扱います。 単一のデバイスにデバイス グループと同じタグが付いている場合、デバイス グループに適用されるすべてのポリシーは、そのデバイスにも適用されます。
タグの使用例:
多くのデバイスが Windows オペレーティング システムを使用していますが、使用しないものもあります。 ネットワーク メンテナンス目的で、すべての Windows デバイスをグループ化したいとします。 すべてのデバイスに
Windows
のタグを付けます。 そうすることで、[デバイス管理]および[アクセス]ページで、「windows」と検索してすべてのインスタンスを集めることができるようになります。
アクセス方法の指定
アクセス方法
]タブで、デバイスへのアクセスを取得するメソッドを指定します。 デフォルトの方法は、RDP、SSH、Telnet、および VNC です。 メインフレーム ライセンスも、TN3270、TN3270SSL、TN5250 TN5250SSL の各方法を備えています。
以下の手順に従います。
  1. アクセス方法
    ]オプションを選択します。
  2. プラス記号を選択して、メソッドを追加します。
  3. 名前
    ]フィールドのプルダウン メニューからアクセス メソッドを選択します。
    SSH
    ]アクセス メソッドは、SSH を使用して X11 転送を行うことができます。 X11 転送を有効にするには、
    [X11]
    チェックボックスをオンにします。 転送が機能するように、クライアント コンピュータに OpenText Exceed などの X11 サーバを設定する必要があります。
    X11 では以下の制限事項に注意してください。
    • この製品では、SSH アプレット内で行われるすべてのアクティビティに対するキーストローク ログおよびコマンド フィルタをサポートしています。 ただし、X11 サーバはローカル クライアント上で実行されているため、転送されるグラフィカル アプリケーションに対してグラフィカル セッション記録やコマンド フィルタはサポートされていません。
    • X11 機能は、デバイス グループには現在適用できません。
    RDP
    には、
    デバイス コンソール インターフェースを介してアクセスすることを指定するための
    [コンソール]
    チェックボックスがあります。
  4. 必要に応じて、
    カスタム名を指定します。
    デフォルト名は、アクセス方法(SSH など)です。 デバイスが 2 つの異なるポートで同じアクセス方法を使用している場合には、カスタム名が必要です。 たとえば、デバイスがポート 22 およびポート 2200 で SSH 接続をリスンする場合は、それぞれのポートに対して SSH アクセス方法を定義します。 両方のアクセス方法を同じ名前にすることはできないため、少なくとも 1 つをカスタム名にする必要があります。 また、カスタム名を使用すると、非標準の名前をこのデバイスのこのメソッド用の[アクセス]ページに表示できます。
  5. [ポート]
    フィールドで、デフォルトのポートを使用するか、別のポート番号を指定します。
  6. 各メソッドを追加するには、前の手順を繰り返します。
  7. [OK]
    を選択して選択内容を保存するか、次のタブに進みます。
サービスの選択
サービスは、デバイスへのアクセスをカスタマイズする方法です。
以下の手順に従います。
  1. [サービス]
    オプションを選択します。
  2. 目的の各サービスで、チェック ボックスを選択します。
  3. 矢印を選択して、サービスを[選択されたサービス]リストに移動します。
  4. [OK]
    を選択して選択内容を保存するか、次のタブに進みます。
デバイスへの端末アクセスのカスタマイズ
デバイスへの端末アクセスを設定して、すべてのユーザに対して管理者の推奨する画面が表示されるように指定することができます。 端末の外観の設定は、推奨される設定が不明なユーザに役立ちます。
ユーザは、ユーザ指定の端末設定を指定することにより、このカスタム設定をオーバーライドすることができます。
以下の手順に従います。
  1. 端末
    ]オプションを選択します。
  2. プルダウン リストを使用して各フィールドを設定します。 ほとんどのフィールドは自明です。
    [[End] キーで選択操作]チェック ボックス機能は廃止されました。
トランスペアレント ログイン
トランスペアレント ログインを使用すると、ユーザは、パスワードがユーザにとって不明なパスワード適用コマンドを発行できます。 トランスペアレント ログインを使用するには、ユーザはターゲット デバイスにログオンしている必要があります。
RDP および SSH サービスでは、トランスペアレント ログインをサポートしています。 Windows マシンでのグラフィカル RDP トランスペアレント ログイン機能のサポートについては、「サービス」ページを参照してください。 SSH アプレットおよび SSH プロキシのサポートも、[サービス]ページで定義します。
pbrun
または
sudo
という UNIX/Linux アプリケーションのいずれかまたは両方を指定します。 これらのアプリケーションは、呼び出されるとサイレント モードで表示されます。管理される認証情報が有効になっていて、これは自動トランスペアレント ログインに影響を与えます。
実行時に sudo/pbrun を使用するには、このデバイス用のポリシーの自動接続の認証情報を指定し、[トランスペアレント ログイン]チェック ボックスを選択します。
以下の手順に従います。
  1. [トランスペアレント ログイン]タブを選択します。
  2. ドロップダウン リストで、sudo/pbrun を選択します。
    sudo/pbrun
    ]フィールドが表示されます。
  3. フル パス
    ]フィールドに、アプリケーション実行可能ファイルが存在しているターゲット デバイス上でパスを入力します。 例: /usr/bin
  4. パスワード プロンプト
    ]フィールドで、ユーザに対して表示されるテキストのサブストリングを指定します。 指定した文字列一致を厳密にするほど、セキュリティが高くなります。 たとえば、ユーザへのフル プロンプトはユーザの sudo パスワード
    である可能性があります。ここで、
    ユーザ
    に動的に適用されるユーザ名が表示されます。 適用可能な最大のリテラルは「[sudo] password for」になります。
トランスペアレント ログインのコマンド文字列
一連のコマンド文字列およびプロンプトも指定できます。 セキュリティ上の理由から、この機能はデフォルトでは無効です。 有効にするには、
[構成]
-
[セキュリティ]
-
[アクセス]
に移動し、
[コマンド文字列]
に対して
[有効]
を選択します。
コマンド文字列機能を使用するには、以下の手順に従います。
  1. [構成]
    -
    [セキュリティ]
    -
    [アクセス]
    ページ上で
    [コマンド文字列]
    を有効にします。
  2. [トランスペアレント ログイン]タブを選択します。
  3. ドロップダウン リストで[
    コマンド文字列
    ]を選択します。
    [コマンド文字列]
    フィールドが表示されます。
  4. 認証のプロンプト
    ]フィールドに、ユーザに対して表示されるテキストのサブストリングを指定します。 指定した文字列一致を厳密にするほど、セキュリティが高くなります。 たとえば、ユーザへのフル プロンプトは
    ユーザ
    のパスワードある可能性があります。ここで、
    ユーザ
    に動的に適用されるユーザ名が表示されます。 適用可能な最大のリテラルが「password for」になります。
  5. プラス アイコンを選択して、実際のコマンド文字列を追加します。 ユーザは、コマンド文字列と正確に一致する必要があります。 コマンド文字列の省略バージョンをサポートするには、それらを個別のコマンド文字列として追加します。 たとえば、"ENABLE" は 1 つのコマンド文字列、"EN" は別のコマンド文字列になります。
  6. OK
    ]を選択して設定を保存します。
  7. トランスペアレント ログイン機能を使用するデバイスおよびアカウント用のポリシーをセットアップします。 Sudo/pbrun とは異なり、自動接続設定はコマンド文字列のトランスペアレント ログインの必要はありません。
    以下の条件下で、指定されたターゲット アカウントのパスワードが送信されます。
    • 指定されたコマンド文字列に一致する文字列を入力する
    • SSH アプレットまたは SSH プロキシのどちらを使用している場合でも、指定されたプロンプトが SSH によって返される
ポリシーからのデバイスの編集
管理者は、[ポリシー管理]ページからデバイスを編集できます。
  1. [ポリシー]
    -
    [ポリシー管理]
    ページを開きます。
  2. 指定されたデバイスについて
    更新
    するポリシーを選択します。
  3. [ポリシー]ウィンドウの
    [デバイス管理]
    ボタンを選択します。
    対応する
    [デバイス]
    ウィンドウが表示されます
[デバイス管理]ページからターゲットを編集
管理者は、[デバイス管理]ページからターゲット アプリケーションを追加できます。
  1. リストからデバイスを選択し、[
    ターゲット アプリケーションの管理
    ]ボタンを選択します。
    デバイス レコードがすでに開いている場合は、デバイス ウィンドウ下部にある[
    ターゲット アプリケーションの保存と追加
    ]を選択します。
  2. [ターゲット アプリケーションの追加]ウィンドウが
    [ターゲット
    アプリケーション]
    リストの前面に表示されます。 [ターゲット]-[ターゲット アプリケーション]に移動すると、GUI コントロールが表示されます。
  3. 完了したら、[
    OK
    ]を選択します。
CSV ファイルを使用したデバイスのインポートについて、また、AWS デバイスおよび VMware デバイスのインポートについては「デバイスのインポートおよびエクスポート」を参照してください。