デバイス グループの設定

デバイス グループを作成して、共通のアクセス方法と機能を共有するデバイスをグループ化します。
capam40
HID_ManagedDeviceGroupPanel
デバイス グループを作成して、共通のアクセス方法と機能を共有するデバイスをグループ化します。どのデバイスもデバイス グループのメンバに指定できますが、機能が似たデバイスをグループ化することをお勧めします。デバイスをグループに追加する前に、デバイスのデバイス タイプとしてパスワード管理を設定してください。
デバイス グループを使用する場合、特に明示しない限り、
拒否
アクションが優先されます。
サービスをグループ レベルで使用できるのは、そのサービスがデバイス レベルで有効な場合だけです。競合が発生した場合は、最も制約があるポリシーが使用されます。
以下のトピックは、デバイス グループに適用されます。
2
デバイス グループの認証情報ソース
認証情報ソース
は、ユーザ認証情報が格納される特定のターゲット デバイスまたは一連のデバイスです。Active Directory サーバは、認証情報ソースの一例です。デバイス グループの認証情報ソースを指定すると、
PAM
で、そのデバイス グループ内のデバイスに適用可能な認証情報を検索できます。
PAM
は、これらの認証情報を使用して、ユーザがグループ内のどのデバイスでもログインできるようにします。
複数の認証情報ソースの使用
特定のデバイス グループに複数の認証情報ソースを割り当てることができます。複数の認証情報ソースを設定すると、
PAM
では、すべてのソースから利用可能なすべての認証情報が収集されます。その後、アプライアンスで、特定のユーザ セットまたは多数のユーザのターゲット アカウントとアプリケーションを組み合わせたリストが作成されます。
デバイス グループに認証情報ソース デバイスを含める必要はありません。グループから認証情報ソースを除外すると、認証情報ソースに直接アクセスできるポリシーの作成を回避できます。代わりに、グループには、認証に必要となる認証情報ソースに依存するデバイスのみが含まれます。
任意の認証情報ソースに関連付けられた任意のターゲット アカウントの認証情報を使用して、任意のデバイス グループ メンバにアクセスできます。
ポリシー内での認証情報ソースの使用
デバイス グループのポリシーを設定する場合、複数の認証情報ソースのすべてのアカウントを選択できます。ユーザが接続を開始するときに、管理者が選択したこれらのオプションが表示され、ユーザはそのうちの 1 つを選択できます。1 つ以上の認証情報ソースを含むデバイス グループ内のデバイスに設定されたすべてのアクセス方法およびサービスを使用できます。
デバイス グループの追加または変更
  1. [デバイス]
    -
    [デバイス グループ管理]
    ページで、
    [追加]
    を選択します。
    [デバイス グループの追加]
    ウィンドウが開きます。
  2. グループの
    名前
    および
    説明
    を入力します。ダブルバイト文字がサポートされています。
  3. AWS または Server Control ユーティリティ アプライアンス用のグループを設定しない限り、すべてのデバイス グループの
    [プロビジョニング タイプ]
    をデフォルト(
    [ローカル]
    )のままにします。
    • AWS の場合は、
      [AWS]
      プロビジョニング タイプを選択します。
      AWS グループは、
      [設定] - [
      サードパーティ] - [
      AWS]
      の設定によって実際に決定されます。AWS デバイス グループは、AWS デバイスのインポートによって作成されるデバイスのコンテナとして機能します。各デバイスには、「
      PamGroups
      」のタグキーと、「
      PAM
      [Group Name]」の値を指定する必要があります。インポート後は、
      [設定] - [
      サードパーティ] - [
      AWS]
      がクリアされるか、グループが空になるまでグループを削除できません。グループは、[AWS 設定]のスケジュールに従って更新されます。
    • Server Control ユーティリティ アプライアンスの場合、
      [ユーティリティ グループ]
      プロビジョニング タイプを選択します。詳細については、「ユーティリティ グループへのユーティリティ アプライアンス デバイスの追加」を参照してください。
  4. 必要に応じて、利用可能なデバイス リストから 1 つ以上の
    認証情報ソース
    を選択します。
  5. 必要に応じて、
    [タグ]
    タブでタグを適用します(利用可能な場合)。
  6. (アクセス タイプ メンバを対象とする)
    [アクセス方法]
    タブと
    [サービス]
    タブで、グループ メンバに対して有効にするアクセス方法とサービスを選択します。
  7. [有効化]
    タブでは、以下のことができます。
    • Provide Credentials for 'Always Prompt for Password' (「常にパスワードを要求」に対して認証情報を提供する)
      : Windows デバイスにこの設定がある場合は、難読化された認証情報を自動的に提供できます。詳細については、「RDP パスワード適用でのパスワード プッシュの有効化」を参照してください。
    • Windows ログオン画面において「リーガル ノーティス」を設定している場合でも自動ログインを有効にする
      : ログイン時の「リーガル ノーティス」に対応するには、このオプションを選択します。このオプションは、
      [Provide Credentials for 'Always Prompt for Password' (「常にパスワードを要求」に対して認証情報を提供する)]
      が有効な場合にのみ機能します。
  8. [Server Control]
    タブは、PAM SC デバイスの場合にのみ表示されます。このタブには 2 つのセクションがあります。
    • 割り当て済みポリシー
      : デバイスに割り当てられているポリシーのリストが表示されます。
    • デプロイ済みポリシー
      : デバイスにデプロイされたポリシーのリストが表示されます。
    Server Control デバイスに Server Control ポリシーを割り当てた場合、Server Control デバイスがこのデプロイメント情報を取得するまでに時間がかかる場合があります。割り当て済み(キュー内)ポリシーはすべて、割り当てられたテーブルに表示されます。Server Control がこのデプロイメント情報を受信すると、ポリシーが[デプロイ済みポリシー]リストに表示されます。
  9. [UNAB]
    タブは、UNAB デバイスの場合にのみ表示されます。このタブを使用して、UNAB 設定トークンをデバイス グループに追加します。詳細については、「デバイス グループへの UNAB 設定トークンの追加」を参照してください。
Linux/UNIX デバイスでの AWS デバイス グループの作成
AWS では、Linux および UNIX のインスタンスは AWS キー ペアを使用します。作成する予定のデバイス グループのすべてのインスタンスが同じキー ペアを使用する場合は、そのキー ペアを自動接続に使用するようにグループ ポリシーをプロビジョニングできます。
  1. AWS タイプのデバイス グループを作成します。
  2. デバイスからインポートした、すべてが同じキー ペアを使用する AWS インスタンスをそのグループに割り当てます。
  3. そのデバイス グループでポリシーを作成します。
  4. SSH アプレットの認証情報ポップアップ ボックスから、共有されているキー ペアを選択します。
キー ペアは、グループ内の任意のデバイスの自動接続に使用されます。
[ポリシー管理]ページでのデバイス グループの編集
管理者は、[ポリシー管理]ページからデバイス グループのレコードを直接呼び出して編集できます。
以下の手順に従います。
  1. [ポリシー]-[ポリシー管理]ページを開きます。
  2. デバイス(グループ)フィールドにレコード名を入力します。
  3. 名前をダブルクリックして、シャドウ ボックス ウィンドウに編集用テンプレートを表示します。
  4. 終了したら、[保存](または[キャンセル])を選択して[ポリシー管理]ページに戻ります。
LDAP グループのインポートの詳細については、「LDAP デバイス グループのインポート」を参照してください。
ユーティリティ グループ ステータスの表示
[ステータス]
ボタンを使用すると、ユーティリティ グループおよびそのグループ内で実行されているサービスに関する特定のステータスを表示できます。
[ステータス]
ボタンは、プロビジョニング タイプがユーティリティ グループであるデバイス グループを開いた場合、かつそのステータスを表示する権限を持っている場合に使用できます。
詳細については、「ユーティリティ グループ ステータスの表示 」を参照してください。