ポリシーの作成およびデプロイ方法

目次
cminder12902jp
目次
セキュリティまたはシステムの管理者として、
Privileged Identity Manager
エンタープライズ コンソール 中央ポリシー管理機能を使用して、企業全体に対するセキュリティ ポリシーを作成し割り当てます。
Privileged Identity Manager
セキュリティ ポリシーによって、リソースへのアクセス制御、およびエンドポイント アクセス権限の設定が可能になります。
Privileged Identity Manager
エンタープライズ コンソール インターフェースによって、ネイティブ オペレーティング システムで利用可能な機能に加えて、ユーザ、グループおよびリソースに対してカスタマイズされたセキュリティ ポリシーを実装できます。 このインターフェースでは、すべてのホストに展開プロセス ステータスを表示するウィザードを使用して、企業全体にポリシーを割り当てることができます。
以下の図は、ポリシーの作成およびデプロイ方法に関する高レベルの概要を示しています。
How to create and deploy a policy
以下の手順を実行します。
前提条件の確認
管理要件
デプロイメント マップ サーバ(DMS)へのポリシーの格納には、以下の権限が必要です。
DMS の管理に使用するコンピュータ、または policydeploy の実行に使用するコンピュータの DMS 端末権限(TERMINAL クラス)。
  • DMS Subadministration 権限(POLICY、GPOLICY および RULESET クラス)。
ポリシーのホストまたはホスト グループへの割り当てには、以下の権限が必要です。
DMS の管理に使用するコンピュータの DMS 端末権限。
  • DMS subadministration 権限(DEPLOYMENT、GDEPLOYMENT、POLICY、GPOLICY、HNODE および GHNODE クラス)。
注:
端末権限および subadministration 権限の詳細については、「
UNIX エンドポイント管理ガイド
」および「
Windows エンドポイント管理ガイド
」を参照してください。
DMS でのポリシー バージョンの作成および保存
作成するポリシーはすべて DMS に格納され、自動的にバージョン番号を取得します。 最初にポリシーを格納する際に、ポリシーはバージョン番号 "01" を受け取ります。 たとえば、ポリシー 「
myPolicy
」を最初に格納する際に、
Privileged Identity Manager
によって「
myPolicy
」という名前の GPOLICY オブジェクトと「
myPolicy#01
」という名前の POLICY オブジェクトが作成されます。 DMS に既存のポリシーを格納すると、格納されたポリシーの最新バージョンが 1 単位で追加されて、新規ポリシー バージョンが作成されます。 たとえば、
myPolicy
の 28 番目のバージョンを格納する際に、
Privileged Identity Manager
エンタープライズ コンソールは
myPolicy#28
という名前の POLICY オブジェクトを作成します。
以下の手順に従います。
  1. (オプション)selang のデプロイ コマンドが含まれる、スクリプト ファイルを作成します。
    重要:
    ポリシーのデプロイでは、ユーザ パスワードを設定するコマンドはサポートされていません。 そのようなコマンドはデプロイ スクリプト ファイルに含めないでください。 ネイティブ selang コマンドはサポートされていますが、偏差レポートには表示されません。
  2. (オプション)selang デプロイ解除コマンドが含まれる、スクリプト ファイルを作成します。
  3. Privileged Identity Manager
    エンタープライズ コンソールの[ポリシー管理]タブで、[ポリシー]およびポリシー タスクをクリックします。
    タスク メニュー ポリシー ツリーが左側に展開されます。
  4. [ポリシーの作成]をクリックします。
    [ポリシーの作成: ポリシー検索]画面が表示されます。
    注:
    既存のポリシーの新しいバージョンを作成する場合は、[ポリシーの変更]をクリックし、変更するポリシーを検索します。
  5. [ポリシー タイプの新規オブジェクトの作成]をオンにして、[OK]をクリックします。
    [ポリシーの作成]タスク ページおよび[全般]タブが表示されます。
  6. [全般セクション]ボックスで、以下のフィールドに入力します。
    • 名前
      ポリシー(GPOLICY オブジェクト)の名前を定義します。 ポリシー名は、DMS(このルールが適用されます)、およびユーザの企業(このルールは適用されません)で一意である必要があります。 既存の名前を使用して、ホストにポリシーをデプロイすることはできません。
      注:
      ポリシー名が DMS 上で一意でない場合、ポリシーをデプロイできません。
    • 説明
      (オプション)ポリシーの役割説明(形式自由)を定義します。 このフィールドを使用して、ポリシーの識別に役立つポリシーの目的およびその他の情報を記録します。
  7. [ポリシー スクリプト]タブをクリックし、以下の
    いずれか
    の方法を使用してデプロイおよびデプロイ解除スクリプトを提供します。
    • デプロイ スクリプトおよびデプロイ解除スクリプトを適切なフィールドに入力します。
      デプロイメント コマンドでスクリプト ファイルを作成しなかった場合は、このオプションを使用します。
    • 既存の selang スクリプト ファイルからコマンドを以下の手順でロードします。
      1. [参照]をクリックし、使用する selang スクリプトが含まれるファイルの場所を特定します。
      2. [ロード]をクリックして、スクリプト フィールドに選択されたファイルの内容を取り込みます。
  8. (オプション)このポリシー バージョンに関する説明を入力します。
    このポリシーの説明を使用して、このポリシー バージョンに使用するデプロイメント スクリプトに関する特定の情報を提供します。
  9. (オプション)[サブミット時にファイナライズ]を選択します。
    このオプションによって、新規ポリシー バージョンがデプロイ可能であることが指定されます。 デプロイ スクリプトが完成していない場合は、このオプションをオフにします。
    注:
    このオプションを選択していない場合は、デプロイ スクリプトを修正するのに、新しいポリシー バージョンを作成する必要はありません。 ただし、ファイナライズされていないポリシー バージョンはデプロイできません。
  10. [ポリシーの依存関係]タブをクリックし、[追加]をクリックします。
    [メンバの追加]ダイアログ ボックスが表示されます。
  11. 追加するポリシー前提条件を選択し、[選択]をクリックします。
    [メンバの追加] ダイアログ ボックスが閉じ、選択したポリシーはメンバに追加されます。
  12. [サブミット]をクリックします。
    タスクがサブミットされます。 タスクが成功すると、新しいポリシー バージョンが作成されたことを示すメッセージが表示されます。
    注:
    ポリシーが正常に作成されない場合は、その理由が監査ログ レコードに示されます。
ポリシーのファイナライズ
一旦ポリシーが作成されると、[ポリシーの変更]機能の[ポリシー スクリプト]タブを使用して、スクリプトを表示し、ポリシー バージョンをファイナライズします。
注:
ファイナライズされていないポリシー バージョンはデプロイできません。
以下の手順に従います。
  1. Privileged Identity Manager
    エンタープライズ コンソールの[ポリシー管理]タブで、[ポリシー]およびポリシー タスクをクリックします。
    ポリシー タスク ツリーが左側に表示されます。
  2. [ポリシーの変更]をクリックします。
    [ポリシーの変更: ポリシー検索]ページが表示されます。
  3. 検索範囲を定義して、[検索]をクリックします。
    検索範囲に一致するポリシーのリストが表示されます。
  4. 表示するポリシーを選択し、[選択]をクリックします。
    [ポリシーの変更: ポリシー名]ページが表示されます。 このページには、ポリシー プロパティを表示するタブが含まれます。
  5. [ポリシー スクリプト]タブをクリックします。
    [サブミット時にファイナライズ]ボックスが左側の[スクリプトのデプロイ]フィールドの下に表示されます。
  6. [サブミット時にファイナライズ] チェック ボックスをオンにし、[サブミット]をクリックします。
    操作を確認する、[ポリシーの変更: ポリシー名] が表示されます。
注:
[ポリシー スクリプト]フィールドの詳細を使用して、ポリシー ルールを確認できます。
ポリシーのホストへの割り当て
最新のファイナライズされたポリシー バージョンを特定のホストまたはホスト グループへ割り当てて、ポリシー ルールを実装できます。 一旦割り当てられると、ポリシーは自動的にデプロイされ、ユーザは DMS からのポリシー ステータスを監視できます。
注:
この手順は、ログイン ポリシーと設定ポリシーには適用されません。 ログイン ポリシーの詳細については、「
UNAB ログイン権限の管理
」セクションを参照してください。 設定ポリシーの詳細については、「
UNAB ホストまたはホスト グループの設定
」セクションを参照してください。
以下の手順に従います。
  1. Privileged Identity Manager
    エンタープライズ コンソールの[ポリシー管理]タブで、[ポリシー]およびポリシー タスクをクリックします。
    ポリシー タスク ツリーが左側に表示されます。
  2. ポリシー タスク ツリーで、[割り当て]および[ポリシーの割り当て]をクリックします。
    [ポリシーの割り当て]ウィザードが表示されます。
  3. ウィザードを終了し、サマリを読んでから、[完了]をクリックします。
    ポリシーがホスト上にデプロイされ、ポリシー ルールが実装されていることを示す、[ポリシーの割り当て]、[タスク完了]フィールドが表示されます。
注:
policydeploy ユーティリティを使用して、このタスクを実行することもできます。 policydeploy ユーティリティの詳細については、「
リファレンス ガイド
」を参照してください。
ポリシー デプロイメントの検証
ポリシーを作成しデプロイすると、各ポリシー バージョンのポリシー デプロイ ステータスを表示できます。
以下の手順に従います。
  1. Privileged Identity Manager
    エンタープライズ コンソールの[ポリシー管理]タブで、[ポリシー]およびポリシー タスクをクリックします。
    タスク メニュー ポリシー ツリーが左側に展開されます。
  2. メニュー ツリーで、[デプロイメントの作成]および [デプロイ監査]]をクリックします。
    [デプロイメント監査]ページが表示されます。
  3. [デプロイメント]ボックスの[ポリシー]フィールドにポリシー名を入力し、[移動]をクリックします。
    選択されたポリシーが[デプロイメント結果]ボックスに表示されます。
  4. ポリシー名をクリックします。
    ポリシー デプロイメントの詳細が、ポリシー名の下に表示されます。 デプロイメント ステータスは[ステータス]列にリスト表示されます。