パスワード コンシューマのセットアップ方法

目次
cminder12901jp
目次
以下のプロセスでは、パスワード コンシューマをセットアップするために組織内のユーザが完了する必要があるタスクについて説明します。 各プロセス手順を完了するには、指定されたロールが必要です。 システム マネージャ管理ロールが割り当てられたユーザは、このプロセスのすべての
Privileged Identity Manager
エンタープライズ コンソール タスクを実行できます。
パスワード コンシューマをセットアップするには、以下の手順に従います。
  1. システム管理者は、以下のようにエンドポイントを設定します。
    1. データベース、Windows 実行ユーザ、および Software Development Kit パスワード コンシューマを使用する
      Privileged Identity Manager
      エンドポイントにインストールします。
      システム管理者は、インストール処理中に SAM の統合機能を有効にできます。
      注:
      Windows スケジュール タスクまたは Windows サービス パスワード コンシューマを使用するのに、
      Privileged Identity Manager
      をエンドポイントにインストールする必要はありません。
    2. 以下のパスワード コンシューマを使用するエンドポイント上で、追加の設定手順を実行します。
    エンドポイントはパスワード コンシューマを使用するように設定されます。
  2. SAM のターゲット システム マネージャ ロールは、
    Privileged Identity Manager
    エンタープライズ コンソールでパスワード ポリシーを作成します。 パスワード ポリシーによって、特権およびサービス アカウント用のパスワード ルールおよびパスワード失効間隔を設定します。
  3. SAM ターゲット システム マネージャは、
    Privileged Identity Manager
    エンタープライズ コンソールでエンドポイントを作成します。 エンドポイントは、特権およびサービス アカウントによって管理されるデバイスです。
    Privileged Identity Manager
    エンタープライズ コンソールでエンドポイントを作成するか、SAM フィーダを使用して、エンドポイントをインポートできます。
    注:
    特権アカウントのセットアップ時にすでにエンドポイントを作成している場合は、この手順を完了しません。
  4. データベース、Windows 実行ユーザ、または Software Development Kit パスワード コンシューマを作成するには、以下の手順に従います。
    1. SAM ターゲット システム マネージャは、
      Privileged Identity Manager
      エンタープライズ コンソール内の特権アカウントを検出または作成します。
      このユーザは、
      Privileged Identity Manager
      エンタープライズ コンソール内での特権アカウントを検出して作成するか、または SAM フィーダを使用して特権アカウントをインポートできます。
    2. システム マネージャは、
      Privileged Identity Manager
      エンタープライズ コンソール内で、データベース、Windows 実行ユーザ、および Software Development Kit パスワード コンシューマを作成します。
      システム マネージャは、パスワード コンシューマ 作成タスクの一部として、データベース、Windows 実行ユーザ、および Software Development Kit パスワード コンシューマを特権アカウントに関連付けます。
  5. Windows スケジュール タスクまたは Windows サービス パスワード コンシューマを作成するには、SAM ターゲット システム マネージャがサービス アカウントを検出します。
    Privileged Identity Manager
    エンタープライズ コンソールにより、検出される各サービスおよびスケジュール済みタスクについて、パスワード コンシューマが作成されます。
    注:
    Privileged Identity Manager
    エンタープライズ コンソールでは、ユーザがパスワード変更可能なアカウントによって実行されるサービスのみが検出されます。 たとえば
    Privileged Identity Manager
    エンタープライズ コンソールにより、ユーザのコンピュータの Administrator アカウントまたはドメイン アカウントによって実行されるサービスが検出されますが、NT AUTHORITY\Local Service アカウントによって実行されるサービスは検出されません。
    これで、ユーザの組織のパスワード コンシューマがセットアップされます。
以下の図に、各プロセス手順を実行する特権アクセス ロールを示します。
Privileged access roles process
サービス アカウントの検出
サービス アカウント
は、Windows サービスによって使用される内部アカウントです。 これらのサービスは、オペレーティング システムの中核的およびその他の機能をコンピュータに提供します。
Privileged Identity Manager
エンタープライズ コンソールからサービス アカウント パスワードを管理することによって、潜在的な攻撃からこれらのサービスを保護できます。
Windows エージェントレス エンドポイント上のサービスおよびスケジュール済みタスクを管理するサービス アカウントを検出できます。 サービス アカウントの検出により、
Privileged Identity Manager
エンタープライズ コンソール内に複数のサービス アカウントを同時に作成し、パスワード コンシューマをサービス アカウントに割り当てることができます。 サービス アカウントのパスワード コンシューマを作成しない場合は、[特権またはサービス アカウントの作成]タスクを使用してサービス アカウントを作成します。
注:
特権アカウントを検出するには、特権アカウント検出ウィザードを使用します。
サービス アカウント検出ウィザードによってエンドポイント上のすべてのサービスが検出されるわけではありません。 検出されるサービスは、ユーザがパスワードを変更可能なアカウントによって実行されるサービスのみです。 たとえば、
Privileged Identity Manager
エンタープライズ コンソールにより、ユーザのコンピュータの Administrator アカウントまたはドメイン アカウントによって実行されるサービスが検出されますが、NT AUTHORITY\Local Service アカウントによって実行されるサービスは検出されません。
以下の手順に従います。
  1. (オプション)ドメイン アカウントであるサービス アカウントを検出するには、アカウントが存在するドメイン コントローラ(DC)が、
    Privileged Identity Manager
    エンタープライズ コンソール内で、以下の属性を使用して定義されていることを確認します。
    • エンドポイント タイプ -- Windows エージェントレス
    • Active Directory -- True
    • ホスト ドメイン名 -- DC がメンバであるドメイン名
    • NetBios ドメイン名 -- DC 上で定義されたユーザがメンバであるドメイン名
      注:
      アカウントが存在するドメインとは異なるドメインから管理者アカウントを使用する場合にのみ、NetBios ドメイン名を指定します。
    サービス アカウント検出ウィザードは、ドメイン アカウントであるサービス アカウントを検出できるようになりました。
  2. Privileged Identity Manager
    エンタープライズ コンソールで、[
    特権アカウント
    ]-[
    検出
    ]-[
    サービス アカウント検出ウィザード
    ]をクリックします。
    [サービス アカウント検出ウィザード]ウィンドウが表示されます。
    注:
    SAM は Windows Agentless エンドポイント上でのみサービス アカウントを管理するため、[エンドポイント タイプ]フィールドの値は「Windows Agentless」です。
  3. 検索属性を選択し、フィルタ値を入力し、
    [検索]
    をクリックします。
    フィルタ条件に一致するサービス アカウントのリスト、そのサービス アカウントを使用する Windows サービスおよびスケジュール済みタスクのリストが表示されます。 ウィザード検出したアカウントのドメインが不明な場合、警告メッセージが表示されます。
    注:
    このプロセスは完了するまで、ある程度の時間がかかる場合があります。 サービスおよびスケジュール済みタスクは、[パスワード コンシューマ]列にリスト表示されます。 この列のアイコンによって、どのパスワード コンシューマがサービスであり、どのパスワード コンシューマがスケジュール済みタスクであるかが一目で分かります。
  4. パスワード コンシューマを使用して管理するサービスおよびスケジュール済みタスクを選択し、
    [次へ]
    をクリックします。
    [一般アカウント プロパティ]ウィンドウが表示されます。
  5. サービスおよびスケジュール済みタスクに割り当てるパスワード ポリシーを選択し、
    [次へ]
    をクリックします。
    [サマリ]ウィンドウが表示されます。
  6. サマリを確認して、
    [完了]
    をクリックします。
    エラーがない場合、
    Privileged Identity Manager
    エンタープライズ コンソールはタスクをサブミットし、サービス アカウントを追加します。
    Privileged Identity Manager
    エンタープライズ コンソールによりサービス アカウントが追加された後、ユーザが選択した各サービスおよびスケジュール済みタスクについて、パスワード コンシューマが自動的に作成されます。 パスワード コンシューマを表示および変更するために、適切なパスワード コンシューマ タスクを使用できます。
パスワード コンシューマの作成
パスワード コンシューマはアプリケーション、Windows サービスおよび Windows スケジュール タスクであり、特権アカウントおよびサービス アカウントを使用して、スクリプトの実行、データベースへの接続、あるいは Windows サービス、スケジュール タスク、RunAs コマンドを管理します。
パスワード コンシューマには 2 つのグループがあります。
  • オンデマンドでパスワードを取得するパスワード コンシューマ -- Software Development Kit、データベース、Windows 実行ユーザ
注:
Shared Account Management の統合機能を使用して、Shared Account Management エンドポイントに
Privileged Identity Manager
をインストールする必要があります。この統合機能により、オンデマンドでパスワードを取得するパスワード コンシューマを使用できるようになります。
  • パスワード変更時にパスワードを取得するパスワード コンシューマ -- Windows スケジュール タスク、Windows サービス
各グループからパスワード コンシューマを作成するには、異なる情報を提供します。 デフォルトでは、パスワード コンシューマを作成するには、「システム マネージャ」ロールが必要です。
: Software Development Kit、データベース、および Windows 実行ユーザ タイプのパスワード コンシューマを作成する場合は、このタスクを完了します。 サービス アカウント検出ウィザードを使用して、Windows スケジュール タスクまたは Windows サービス パスワード コンシューマを作成することをお勧めします。
以下の手順に従います。
  1. Privileged Identity Manager
    エンタープライズ管理で、[特権アカウント]-[パスワード コンシューマ]-[パスワード コンシューマの作成]をクリックします。
    [パスワード コンシューマの作成: パスワード コンシューマ検索]画面ページが表示されます。
  2. (オプション)既存のパスワード コンシューマを選択し、そのコピーとしてパスワード コンシューマを以下のように作成します。
    1. [パスワード コンシューマ タイプのオブジェクトのコピーの作成]を選択します。
    2. 検索属性を選択し、フィルタ値を入力し、[検索]をクリックします。
      フィルタ条件に一致するパスワード コンシューマのリストが表示されます。
    3. 新規パスワード コンシューマのベースとして使用するオブジェクトを選択します。
  3. [OK]をクリックします。
    [パスワード コンシューマの作成]タスク ページが表示されます。 パスワード コンシューマを既存のオブジェクトから作成した場合、ダイアログ ボックスのフィールドには、既存オブジェクトの値がすでにロードされています。
  4. [全般]タブで以下のフィールドに入力します。
    • 名前
      このパスワード コンシューマの参照に使用する名前を定義します。
    • 説明
      (オプション)パスワード コンシューマに関して、記録する情報を定義します(書式自由)。
    • コンシューマ タイプ
      パスワード コンシューマのタイプを指定します。
    • アプリケーション パス
      (Software Development Kit、データベース、Windows 実行ユーザ、Windows スケジュール タスク)エンドポイント上のパスワード コンシューマの完全パス名を定義します。
      • Software Development Kit パスワード コンシューマについては、パスワード要求を実行するアプリケーションのパス名を指定します。
      • データベース パスワード コンシューマについては、データベースに接続するアプリケーションのパス名を指定します。
      • Windows 実行ユーザ パスワード コンシューマについては、ユーザが実行するアプリケーションのパス名を指定します。
      • Windows スケジュール タスク パスワード コンシューマについては、スケジュール タスクのパス名を指定します。
      : パス名では、ワイルドカード(*)や CA ControlMinder の変数を使用できます。たとえば、「<!AC_ROOT_PATH>\bin\acpwd.exe」のように記述できます。
    • サービス名
      (Windows サービス)Windows サービスのパス名を定義します。 [Windows サービス]プロパティ ページに表示される通りに、パス名を正確に指定します。
    • 有効
      パスワード コンシューマが有効である、つまり、Shared Account Management でこのコンシューマからのリクエストを受け入れるか、このコンシューマにパスワードの変更を強制することを指定します。
    • ステータス
      (Windows スケジュール タスクまたは Windows サービス)前回のパスワード変更が成功したか失敗したかを示します。
    • 最終同期日
      (Windows スケジュール タスクまたは Windows サービス)前回の成功したパスワード同期を表示します。
    • 再起動
      (Windows サービス)パスワード変更後に、Windows サービスを再起動するかどうかを指定します。
  5. [特権アカウント]タブをクリックして、パスワード コンシューマに関連付けられている特権アカウントを指定します。
    Software Development Kit、データベース、または Windows 実行ユーザ パスワード コンシューマを作成する場合、パスワード コンシューマは指定する特権アカウントのパスワードを取得できます。
    Windows スケジュール タスクまたは Windows サービス パスワード コンシューマを作成する場合、これらの特権アカウントのパスワード変更時に、Shared Account Management によってパスワード コンシューマのパスワード変更が強制されます。
  6. パスワード コンシューマを使用できるエンティティを指定します。 以下の
    いずれか
    を実行します。
    • Software Development Kit、データベースまたは Windows 実行ユーザ パスワード コンシューマを作成するには、以下の手順に従います。
      1. [ホスト]タブをクリックし、[すべてのホスト]を選択して、すべてのホストまたはホスト グループに特権アカウント パスワードへのアクセスを許可します。
        : [名前]フィールドにはホストまたはホスト グループの名前を入力できます。また[...]をクリックすると、CA ControlMinder のホストまたはホスト グループ(HNODE または GHNODE オブジェクト)を検索できます。
      2. [ユーザ]タブをクリックして特権アカウント パスワードをリクエストできるユーザまたはユーザ グループを指定するか、[すべてのユーザ]を選択して各ユーザが特権アカウント パスワードを要求することを許可します。
        ユーザまたはグループの名前をエンドポイントに表示されているように指定します。たとえば、「DOMAIN\user1」のように指定します。 CA ControlMinder エンタープライズ管理のユーザまたはグループは指定しないでください。
    • Windows スケジュール タスクまたは Windows サービス パスワード コンシューマを作成するには、[エンドポイント]タブをクリックし、パスワード コンシューマを作成するエンドポイントを指定します。
  7. [サブミット]をクリックします。
パスワード コンシューマの例: Windows 実行ユーザ
Windows 実行ユーザ アプリケーションを使用すると、特定のタスクを実行するために特権アカウントから権限を借用することができます。 RunAs を実行する際に、SAM エージェントにより RunAs アプリケーションに特権アカウント パスワードが直接提供されるように、Windows 実行ユーザ パスワード コンシューマを作成できます。 Windows 実行ユーザ パスワード コンシューマにより、管理タスクを実行する場合に特権アカウント パスワードを知る必要がなくなります。
Windows 実行ユーザ パスワード コンシューマは、Windows エージェントレス エンドポイント上でのみ作成できます。
以下の例では、バックアップ タスクは週単位で実行されるようにスケジュールされています。 このタスクは C:\backup\backup.exe にあり、Administrator によって実行されます。 スケジュールされたバックアップが失敗する場合、システム管理者 Steve はユーザ John にバックアップを手動で開始させたいと考える場合があります。 Steve は、Windows 実行ユーザ パスワード コンシューマを使用して、 John に Administrator パスワードなしでバックアップ タスクを開始させることができます。
以下のプロセスでは、win123_PUPM という名前のエンドポイント上で Windows 実行ユーザ パスワード コンシューマを作成および使用するために、Steve と John が実行する手順について説明します。
  1. Steve は、SAM 統合機能を有効にして、
    Privileged Identity Manager
    を win123_PUPM にインストールします。
  2. Steve は
    Privileged Identity Manager
    エンタープライズ コンソールで、以下を実行します。
    1. win123_PUPM という名前の Windows エージェントレス エンドポイントを作成します。
    2. win123_PUPM エンドポイントで管理者特権アカウントを検索します。
    3. 以下のパラメータを使用して、Windows 実行ユーザ パスワード コンシューマを作成します。
      • 名前 -- win123_PUPM Backup RunAs
      • コンシューマ タイプ -- Windows 実行ユーザ
      • アプリケーション パス -- C:\backup\backup.exe
      • アカウント -- Administrator
      • ホスト -- win123_PUPM
      • ユーザ -- Domain1\John
        注:
        Steve は John のユーザ名をエンドポイントで表示されるとおりに入力します。
    Windows 実行ユーザ パスワード コンシューマが作成されます。
  3. スケジュールされたバックアップ タスクが失敗すると、John は win123_PUPM にログオンして、手動でバックアップを開始します。 John は、以下のパラメータを使用して、バックアップ タスクを開始する RunAs コマンドを実行します。
    • アカウント -- Administrator
    • パスワード -- パスワードなし
      注:
      SAM エージェントでは、John がパスワードに指定するすべての値が無視されます。
    SAM エージェントでは、John による前回のバックアップ タスク開始の要求がキャッシュで確認されます。 ジョンによるこの要求は初めてのものだったので、要求はキャッシュされていません。 SAM エージェントでは、
    Privileged Identity Manager
    エンタープライズ コンソールから特権アカウント パスワードが取得され、これが RunAs アプリケーションに提供されます。 バックアップ タスクが開始します。
パスワード コンシューマの例: Windows スケジュール タスク
Windows スケジュール タスクおよび Windows サービス パスワード コンシューマは、サービス アカウント用のパスワードの変更の自動化に役立ちます。 サービス アカウントは Windows サービスによって使用される内部アカウントです。 たとえば、ソフトウェアの更新を定期的にチェックするスケジュール タスクを設定する場合、スケジュール タスクではサービス アカウントを使用してエンドポイントにログインし、タスクが実行されます。
Windows スケジュール タスクと Windows サービスのパスワード コンシューマは、Windows エージェントレス エンドポイント上でのみ作成できます。 Windows サービスと Windows スケジュール タスク パスワード コンシューマを使用するために、エンドポイントに
Privileged Identity Manager
をインストールする必要はありません。
パスワードを変更できるアカウントにより実行されるサービスに対してのみ、Windows サービス パスワード コンシューマを作成できます。 たとえば、コンピュータの管理者アカウントにより実行されるサービスに対してはパスワード コンシューマを作成できますが、NT AUTHORITY\Local Service アカウントにより実行されるサービスに対してパスワード コンシューマを作成することはできません。
以下に、システム管理者の Steve が、win456 という名前の Windows エンドポイント上のソフトウェア更新を確認するスケジュール タスクに対するパスワード コンシューマを作成する例を示します。 スケジュール タスクでは、win456\ServiceAdmin アカウントを使用してエンドポイントにログインされます。
Steve は
Privileged Identity Manager
エンタープライズ コンソールで、以下を行います。
  1. スティーブは、30days という名前のパスワード ポリシーを作成します。 このパスワード ポリシーにより、
    Privileged Identity Manager
    エンタープライズ コンソールによりサービス アカウントのパスワードが 30 日ごとに変更されること、パスワードは日曜日の午前 1 時から 3 時の間にしか変更できないことが指定されています 。
  2. スティーブは、win456 という名前の Windows エージェントレス エンドポイントを作成します。
  3. スティーブは、サービス アカウント検出ウィザードを使用して win456 エンドポイント上の win456\ServiceAdmin アカウントを検出し、30days パスワード ポリシーをサービス アカウントに適用します。
  4. Privileged Identity Manager
    エンタープライズ コンソールにより、以下のパラメータを使用して Windows スケジュール タスク パスワード コンシューマが作成されます。
    • 名前 -- win456 の UpdateTask (C:\WINDOWS\Tasks\UpdateTask.bat)
    • コンシューマ タイプ -- Windows スケジュール タスク
    • アプリケーション パス -- C:\WINDOWS\Tasks\UpdateTask.bat
    • 特権アカウント -- win456\ServiceAdmin
    • エンドポイント -- win456
    スティーブはパスワード コンシューマを作成しました。
    Privileged Identity Manager
    エンタープライズ コンソールにより win456\ServiceAdmin アカウント用のパスワードが変更されるたびに、JCS では win456 エンドポイントにログインして、ソフトウェア更新のスケジュール タスクで使用するパスワードが変更されます。 パスワードの変更が成功しない場合、スティーブは、パスワードの変更を再試行するために[パスワード コンシューマの同期]タスクを使用できます。