デバイスの機能
2
capam32
2
デバイス タイプ
デバイスは、3 つのタイプに分類されています。デバイス オブジェクトは、これらのタイプの 1 つ以上を使用して、論理的に任意の物理デバイスを表すことができます。
デバイス ライセンス
([ライセンス]ページ)- アクセス デバイス: ネットワーク アドレス可能な計算中のデバイス([全体設定]および[デバイス]テンプレート内のラベル「アクセス」によって識別)
- パスワードデバイス: パスワードが管理対象になっているデバイス(Privileged Access Managerからプッシュされる)は、[全体設定]および[デバイス]テンプレート内のラベル「パスワード管理」によって識別されます。
- A2Aデバイス: パスワードを取得するためにPrivileged Access Managerに接続するアプリケーション クライアントが実行されているデバイス([全体設定]および[デバイス]テンプレート内のラベル「A2A」によって識別)。
デバイス タイプ ライセンスでは、各デバイス タイプに対して最大デバイス数を許可します。各デバイス タイプの最大数と現在の数は、[ライセンス使用状況]の[アクセス ダッシュボード]に表示されます。同じ数が[システム情報]ダイアログ ボックスにも表示されます。
ライセンス使用状況
([ダッシュボード]ページ)- セッション管理ライセンス: アクセス デバイス用(認証情報マネージャ デバイスと共存可能)
- 認証情報マネージャ ライセンス: 認証情報マネージャ デバイス用(アクセス デバイスと共存可能)
- A2A管理ライセンス: A2A デバイス用
アクセス タイプ
Privileged Access Manager
は、デバイスへのアクセスを安全にし、デバイス レベルで承認されるまでデバイスへの接続を許可しません。この承認を完了するには、アクセス方法を選択する必要があります。これは、デバイスを作成または更新するとき、または既存のデバイスの方法を変更するときに選択できます。- Prepackaged (プレパッケージ): 標準のアクセス方法は[アクセス方法]アプレットとして構築されており、追加のソフトウェアをユーザのデスクトップにインストールする必要はありません。
- カスタム: デフォルトのアプレット アクセス権に加えて、ほぼすべての接続アプリケーションはローカルPrivileged Access Managerサービスを設定することによってアクセスを許可する設定ができます。
アクセス方法
VNC、TELNET、SSH、RDP およびシリアル接続のサポートを含めて、いくつかのアクセス方法アプレットが同梱されています。アプリケーションが、指定されたものとは別のポートで実行されている場合、デフォルトのポートを変更できます。
以下のレベルで設定が必要です。
- グローバル レベル: アクセス方法を使用可能にするには、最初に[全体設定]インターフェースを使用して許可する(オンにする)必要があります。
- デバイス レベル: デフォルトのアプレット アクセス権に加えて、ほぼすべての接続アプリケーションへのアクセスを許可するようにPrivileged Access Managerを設定できます。
グラフィカルおよび CLI アプレット
- VNC: VNC (Virtual Networking Computing、仮想ネットワーク コンピューティング)は、キーボードおよびマウスの動きを転送するグラフィカル デスクトップ リモート アクセス アプリケーションです。VNC アプレットのアクセスには、デスティネーション デバイス上で VNC サーバが実行されている必要があります。記録を使用するには、VNC サーバが基本の非暗号化モードで設定されている必要があります。
- Telnet: このツールは、TELNET デーモンを実行している UNIX ホストに接続するため管理者がよく使用します。
- SSH: セキュア シェル プロトコル。SSH アプレットは、SSH デーモンが実行されているサーバに接続します。SSH アプレットでは、クライアント エンド ユーザは Putty などの SSH クライアント ソフトウェアをロードする必要がありません。
- RDP: RDP は、Microsoft Terminal Services に接続するためのアクセス方法であり、Windows サーバの管理によく使用されます。RDP アプレットは、RDP 6.x 圧縮タイプを活用するために最適化されており、RDP 5.2 と比べるとファイル サイズが著しく縮小されています。RDP リモート デバイスのユーザ名は、Privileged Access Managerのログイン ユーザ名から事前入力されません。代わりに、ユーザはページのフィールドを使用してこのユーザ名を入力できます。XRDP 圧縮のサポートに制限があるため、RDP から XRDP へのセッションはより多くの帯域幅を使用します。セッション記録は、RDP から RDP へのセッションの記録よりかなり大きくなることがあります。暗号化のサポートには、XRDP ホスト上での xrdp.ini ファイル内の設定が必要です。
- TLS レベル:リリース 2.6 現在、RDP クライアント(アプレット)は TLS 1.2 接続および TLS_RSA_WITH_AES_256_CBC_SHA256 暗号スイートをサポートしています。
- パフォーマンス: 場合によっては、RDP 記録をその作成中にストレージに書き込むことができません。そのような場合、Privileged Access Managerではやり取りがスロットル調整されます。ユーザから見ると速度が遅くなります。全体のデータ転送速度は低下し、共有領域への書き込みは完了します。
- XRDP:Privileged Access ManagerRDP クライアント アプレットを使用して、管理対象の Linux デバイス上で実行されている XRDP サーバに接続することもできます。
メインフレーム アプレット
TN3270 および TN5250 は、IBM のメインフレーム または AS/400 サーバ用の Telnet クライアントで、3270 と 5250 端末およびプリンタのエミュレーションを行います。
。SSL/TLS をサポートする SSL バージョンを利用できます。AS/400 クラス アプレットの表示名(TN5250 および TN5250SSL のみ)は、[ユーザ情報]ページの[メインフレームの表示名]フィールドでサポートされています。
- TN3270: IBM 3270 Telnet クラス
- TN3270SSL: SSL 対応の IBM 3270 Telnet クラス
- TN5250: IBM 5250 Telnet クラス
- TN5250SSL: SSL 対応の IBM 5250 Telnet クラス
ターゲット メインフレーム アプリケーションの種類が豊富であるため、メインフレーム アプレット用の標準自動ログイン オプションがありません。TN3270 および TN3270SSL については、ユーザ名(Ctrl-U)およびパスワード(Ctrl-P)用の組み込みマクロが用意されています。ユーザはログイン時にこれらのキーの組み合わせを入力し、設定済みのユーザ名とパスワードを入力します。パスワードがユーザに表示されないように、パスワード マクロは、パスワード入力フィールドが非表示のときのみ動作します。
サービス
サービスは、デバイスへのアクセスをカスタマイズする方法です。管理者は、既知のポートで特定のアプリケーションに対してサービスを作成できます。これらのサービスには、TCP または UDP の接続を使用する SQL クエリのフロント エンド、メインフレーム クライアント、独自のアプリケーションなどのファット クライアント アクセスが含まれます。
同梱済みのサービス
製品に同梱されているサービスは、ここで確認できます。
Privileged Access Manager
には、いくつかの事前設定済み SFTP/FTP サービスが付属しています。これらのサービスは、現在、OpenSSH 派生の Linux、AIX、および Solaris SFTP 実装などのいくつかの SFTP/FTP サーバをサポートしています。Microsoft IIS SFTP/FTP 実装も、複数のハード ドライブが存在する場合の既知の制限がある状態で、サポートされています。他の FTP サーバについては、互換性がある可能性はありますが、
Privileged Access Manager
はそれらのテストや検証を行いません。事前設定済みのサービスは、多くのお客様のコンプライアンス要件を満たすため、ターゲット デバイス SFTP/FTP アクティビティの追跡に使用する必要があります。アクティビティはセッション ログで追跡されています。サフィックス「emb
」が付いたサービス名は、FTP クライアント アプリケーションのインストールをしない状態でユーザに WinSCP クライアントを提供します。Privileged Access Manager
と互換性がない任意の FTP サーバへの入力をお勧めします。また、ビジネス ニーズに応じて FTP サーバを増やす追加のサポートもご検討ください。当社の目標は、アクセス コントロールと監査の必要性のバランスをとりながら、お客様にとって最も包括的なアクセス ソリューションを提供することです。Types
- sftpftp:SFTP クライアントを使用して、FTP サーバに/FTP サーバからファイルを転送します。
- sftpsftp:SFTP クライアントを使用して、SFTP サーバに/SFTP サーバからファイルを転送します。
- sftpftpemb: このサービスでは、WinSCP クライアントをユーザ デスクトップにダウンロードします。WinSCP は、Microsoft Windows 用のフリーでオープン ソースの SFTP および FTP のクライアントです。
- sftpsftpemb: このサービスでは、WinSCP クライアントをユーザ デスクトップにダウンロードします。
SFTPFTPemb または SFTPSFTPemb を実行する場合、WinSCP のファイル転送のデフォルト オプションではファイルを部分的に保存します。
[環境設定]
-[Other general options: Preferences]
-[Transfer: Endurance]
-[Enable
transfer resume/transfer to temporary filename
for
]に設定を変更します。「Files above: 100KB」のデフォルト設定を「Disable」に変更すると、リモート サーバに正常にファイルを「PUT」できます。RDP アプリケーション
Microsoft Terminal Services の場合は、デスクトップ全体へのアクセスを許可するのではなく、単一のターゲットでホストされているアプリケーションを RDP で公開できます。この機能は、Microsoft Terminal Server を実行しているサーバでのみ利用可能です。Windows Server 2008 では、さらに多くのセットアップが必要です。