デバイス グループの設定

共通のアクセス方法と機能を共有するデバイスをグループ化できます。 どのデバイスもデバイス グループのメンバに指定できますが、機能が似たデバイスをまとめてグループ化することをお勧めします。 デバイスをグループに追加する前に、デバイスのデバイス タイプとしてパスワード管理を設定してください。
capam32
HID_ManagedDeviceGroupPanel
共通のアクセス方法と機能を共有するデバイスをグループ化できます。 どのデバイスもデバイス グループのメンバに指定できますが、機能が似たデバイスをまとめてグループ化することをお勧めします。 デバイスをグループに追加する前に、デバイスのデバイス タイプとしてパスワード管理を設定してください。
デバイス グループを使用する場合、特に明示しない限り、
拒否
アクションが優先されます。
サービスをグループ レベルで使用できるのは、そのサービスがデバイス レベルで有効な場合だけです。 競合が発生した場合は、最も制約があるポリシーが使用されます。
以下のトピックは、デバイス グループに適用されます。
2
デバイス グループの認証情報ソース
認証情報ソース
は、ユーザ認証情報が格納される特定のターゲット デバイスまたは一連のデバイスです。 Active Directory サーバは、認証情報ソースの一例です。 デバイス グループの認証情報ソースを指定すると、
Symantec PAM
で、そのデバイス グループ内のデバイスに適用可能な認証情報を検索できます。
Symantec PAM
では、これらの認証情報を使用して、ユーザがグループ内のデバイスにログインできるようにします。
複数の認証情報ソースの使用
特定のデバイス グループに複数の認証情報ソースを割り当てることができます。 複数の認証情報ソースを設定すると、
Symantec PAM
では、すべてのソースから利用可能なすべての認証情報が収集されます。 その後、アプライアンスで、特定のユーザ セットまたは多数のユーザのターゲット アカウントとアプリケーションを組み合わせたリストが作成されます。
デバイス グループに認証情報ソース デバイスを含める必要はありません。 グループから認証情報ソースを除外すると、認証情報ソースに直接アクセスできるポリシーの作成を回避できます。 代わりに、グループには、認証に必要となる認証情報ソースに依存するデバイスのみが含まれます。
任意の認証情報ソースに関連付けられた任意のターゲット アカウントの認証情報を使用して、任意のデバイス グループ メンバにアクセスできます。
ポリシー内での認証情報ソースの使用
デバイス グループのポリシーを設定する場合、複数の認証情報ソースのすべてのアカウントを選択できます。 ユーザが接続を開始するときに、管理者が選択したこれらのオプションが表示され、ユーザはそのうちの 1 つを選択できます。 1 つ以上の認証情報ソースを含むデバイス グループ内のデバイスに設定されたすべてのアクセス方法およびサービスを使用できます。
デバイス グループの追加または変更
  1. [デバイス]
    -
    [デバイス グループ管理]
    ページで、
    [追加]
    を選択します。
    [デバイス グループの追加]ウィンドウが開きます。
  2. グループの名前および説明を入力します。 ダブルバイト文字がサポートされています。
  3. AWS を使用している場合は、AWS
    プロビジョニング タイプ
    を選択します。 AWS グループは、[設定]-[サードパーティ]-[AWS]の設定によって決定されます。
    AWS の場合、デバイス グループは、AWS デバイスのインポートの結果として作成されたデバイスのコンテナとして動作します。 各デバイスには、「
    PamGroups
    」のタグキーと、「
    Symantec PAM
    [Group Name]」の値を指定する必要があります。 インポート後、[サードパーティ]-[AWS 設定]がクリアされるか、グループが空になるまで、グループを削除できません。 グループは、[AWS 設定]のスケジュールに従って更新されます。
  4. 必要に応じて、利用可能なデバイス リストから 1 つ以上の認証情報ソースを選択します。
  5. オプションで、[タグ]タブでタグを適用します(利用可能な場合)。
  6. (アクセス タイプ メンバを対象とする)[アクセス方法]と[サービス]で、グループ メンバに対して有効にするアクセス方法とサービスを選択します。
  7. [有効化]タブで、以下のことができます。
    • Provide Credentials for 'Always Prompt for Password' (「常にパスワードを求める」に対して認証情報を提供する)
      : Windows デバイスにこの設定がある場合は、難読化された認証情報を自動的に提供できます。 詳細については、「RDP パスワード適用でのパスワード プッシュの有効化」を参照してください。
    • Windows ログオン画面において「リーガル ノーティス」を設定している場合でも自動ログインを有効にする
      : ログイン時の「リーガル ノーティス」に対応するには、このオプションを選択します。 このオプションは、
      [「常にパスワードを要求」に対して認証情報を提供する]
      が有効な場合にのみ機能します。
Linux/UNIX デバイスでの AWS デバイス グループの作成
AWS では、Linux および UNIX のインスタンスは AWS キー ペアを使用します。 作成する予定のデバイス グループのすべてのインスタンスが同じキー ペアを使用する場合は、そのキー ペアを自動接続に使用するようにグループ ポリシーをプロビジョニングできます。
  1. AWS タイプのデバイス グループを作成します。
  2. デバイスからインポートした、すべてが同じキー ペアを使用する AWS インスタンスをそのグループに割り当てます。
  3. そのデバイス グループでポリシーを作成します。
  4. SSH アプレットの認証情報ポップアップ ボックスから、共有されているキー ペアを選択します。
キー ペアは、グループ内の任意のデバイスの自動接続に使用されます。
[ポリシー管理]ページでのデバイス グループの編集
管理者は、[ポリシー管理]ページからデバイス グループのレコードを直接呼び出して編集できます。
  1. [ポリシー]-[ポリシー管理]ページを開きます。
  2. デバイス(グループ)フィールドにレコード名を入力します。
  3. 名前をダブルクリックして、シャドウ ボックス ウィンドウに編集用テンプレートを表示します。
  4. 終了したら、[保存](または[キャンセル])を選択して[ポリシー管理]ページに戻ります。
LDAP グループのインポートの詳細については、「LDAP デバイス グループのインポート」を参照してください。