今回のテーマ
EnterpriseServerからServiceをインストールするには?
Question: やりたいこと
DeviceLockを導入する予定ですが、DeviceLock Enterprise Serverの利用も考えています。
DeviceLock Enterprise Serverには、クライアントに対して、リモートでDeviceLock Serviceをインストールできる機能があるようですが、これができれば、多数のクライアントへのサービス展開が楽になると思います。
どのように設定するのでしょうか。
Answer: こうすればできる
DeviceLock Enterprise Serverには、リモートコンピューター(クライアント)をリアルタイムで監視する「モニターリング」という機能があります。
モニターリングでできることは以下となります。
- クライアントのDeviceLock Serviceの状態(起動中、停止中、アクセス不可など)やバージョン番号を確認する
- クライアントのDeviceLock Serviceに適用されているポリシーの整合性を確認し、現在のポリシーが古かったり、壊れたりしていた時に、自動的にマスターポリシーを適用させる
- DeviceLock Serviceをクライアントにインストール/アップデートまたはアンインストールする
本書では、モニターリング機能を利用してクライアントにDeviceLock Serviceをインストール/アップデートまたはアンインストールする方法について説明します。
Step: 操作方法
DeviceLock Enterprise Serverを利用するためには、DeviceLock製品のSetup.exeを起動してインストールし、必要な設定をします。
インストールや設定については、製品マニュアル等をご覧ください。
本書では、DeviceLock Enterprise Serverが正しくインストール・設定され、利用可能になっていることを前提とします。
- DeviceLock Enterprise Serverを設定するにはDeviceLock管理コンソールが必要です。
インストール時の「セットアップタイプ」選択時に[サーバー + コンソール]を選択するか、[カスタム]を選択して[DeviceLock Consoles]と[DeviceLock Enterprise Server]のインストールを指定してください。
ここからは、モニターリング機能を利用して、クライアントにDeviceLock Serviceをインストール/アップデートまたはアンインストールする方法について説明します。
- DeviceLock管理コンソールを起動し、DeviceLock Enterprise Serverに接続します。
- 左ペインで[モニターリング]を右クックして、表示されるコンテキストメニューから[タスクの新規作成...]を選択し実行すると、[タスクの新規作成]設定画面が開きます。
- [タスクの新規作成]設定画面で、以下を設定します。タスク設定の詳細については、製品のユーザーマニュアルをご覧ください。
- 名前
タスクに任意の名前を付けます。 - アクティブ
タスクを有効にするにはチェックします。
チェックを外すことで、運用中のモニターリングを一時停止することができます。 - コンピューター
指定方法を[静的リスト][動的リスト]から選択し、さらに[編集]ボタンをクリックしてモニターリング対象のクライアントを指定します。 - ネットワーク検知方法
モニターリング対象クライアントのステータス(接続可能または接続不可)を判定するためのネットワークスキャン方法を指定します。
[詳細設定]ボタンをクリックすると、リトライ数とタイムアウト時間が設定できます。 - Service接続設定
モニターリング対象クライアント上のDeviceLock Serviceに接続する際のTCPポートを指定します。
Service側で固定ポートを設定している場合はここで同じポートを指定します。 - Service設定の確認
モニターリングタスクに登録されたマスターポリシーの設定(マスター用のDeviceLock Service設定ファイルを用意しておく必要があります)と、クライアントコンピューター上のDeviceLock Serviceのポリシー設定を比較します。
ポリシーが壊れている、変更されている、改ざんされているなど、ポリシーが一致しない場合、マスターポリシーの設定に強制的に置き換えることもできます。 - スキャン間隔
タスクが完了した後、同じタスクを再度起動するまでの間隔を指定します。 - スキャンスレッド数
このタスクで同時に使用できる最大スレッド数を指定します。 - クライアントコンピューターに対して、リモートでDeviceLock Serviceをインストール/アップデート、または既にインストールされているDeviceLock Serviceをアンインストールするためには、以下の設定をします。
- DeviceLockサービスを自動的にインストール/アップデート
モニターリング対象のコンピューターにDeviceLock Serviceをインストール、または古いバージョンを新しいバージョンでアップデートします。 - DeviceLockサービスを自動的に削除
モニターリング対象のコンピューターからDeviceLock Serviceをアンインストールします。
- インストール/アップデート、アンインストールの実行結果を確認するには、[モニターリングログビューアー]を参照します。
Reference: 注意
DeviceLock Enterprise Serverサービスがローカルシステムアカウントで実行するように設定されている場合、モニターリングタスクを用いてリモートコンピューターにDeviceLock Serviceをインストール/アップデート、アンインストールすることはできません。
ローカルシステムアカウントが、別のコンピューターに対する、プログラムのインストール/アンインストール権限を持たないことがその理由です。
この機能を利用するには、対象のコンピューターに対する管理者権限を持つユーザーでDeviceLock Enterprise Serverサービスを実行するように設定してください。
- DeviceLock Enterprise Serverサービスの実行ユーザーをドメイン管理者(Administrator)に設定した例
(DeviceLock管理コンソールから [DeviceLock Enterprise Server]–[Serverオプション]–[サービス起動アカウント])
Reference: 参考
DeviceLock Enterprise ServerのモニターリングタスクによるリモートコンピューターへのDeviceLock Serviceのインストールが成功すると、モニターリングログビューアーに、以下のようなログが生成されます。
また、DeviceLock Enterprise Serverサービスがローカルシステムアカウントで実行されている場合など、モニターリングタスクによるリモートコンピューターへのDeviceLock Serviceのインストールが失敗すると、モニターリングログビューアーに、以下のようなログが生成されます。
DeviceLockテクニカルガイドとは?
DeviceLockテクニカルガイドは、組織のシステム管理者やセキュティ担当者の皆さんがDeviceLockをご利用になるうえでの、役に立つテクニカル情報をご提供するものです。
例えば、DeviceLockを使って組織のセキュリティ要件を満たしたいがどういう設定をしたらよいのか、DeviceLockの機能を使いたいが設定の仕方が分からない、DeviceLockでどんなことができるのか知りたい、DeviceLockのこの機能は何のためにあるのか、など、DeviceLockに係るテクニカル相談窓口となることを目指しています。
このガイドでは、無作為に設定した特定の目的に対し、それを実現するための準備や設定方法を順を追って説明します。併せて、関連する情報についても掲載し、ユーザー様のスキルアップを図ります。ぜひご活用ください。
なお、本ガイドはDeviceLockを実際にご利用になっている方を対象としていますので、DeviceLockにおける「普通の」操作についての説明は省略させて頂きます。また、DeviceLockについての体系的な説明よりも、特定の機能に絞ったピンポイントの説明を指向しますので、体系的・包括的な情報を参照したい場合は製品添付の「DeviceLockユーザーマニュアル」をご利用ください。
本ガイドでは、効率的な説明のため、DeviceLockをはじめ、Windows、Macintosh、 コンピューター(ハードウェア)、周辺機器(デバイス)、ネットワーク等についての専門用語が使用されることが多々ありますが、一般的な用語についてはガイド中での説明を省略させていただくことがあります。
投稿日:2020年06月29日
How to DeviceLock 記事一覧
- 45:クライアントのServiceがアンインストールされたことを知るには
- 44:ログの保存場所について
- 43:Enterprise Serverに監査ログを集積するには
- 42:EnterpriseManagerからDeviceLockServiceをインストールするには?
- 41:EnterpriseManagerで監査ログを保存・ロードするには?
- 40:OneDrive以外のクラウドストレージ利用を禁止するには?
- 39:アクセス制御ポリシーの変更箇所を確認するには?
- 38:Mac版DeviceLockのインストール後のブロック解除
- 37:Mac版DeviceLockをアンインストールするには?
- 36:Mac版DeviceLockを利用する際の準備(NTLM認証)
- 35:DeviceLockの通信で使用するポートについて
- 34: ハードディスクのアクセス制御について
- 33:スマートフォンへのファイル書き出しを禁止するには?
- 32:マイナンバーを含むファイルの書き出しを禁止するには?
- 31:DeviceLockのログ日付を和暦で表示するには?
- 30:EnterpriseServerからServiceをインストールするには?
- 29:EnterpriseServerのDB作成でエラーが発生する?
- 28:インストール中に現れる[チャネルのロック]画面とは?
- 27:DeviceLockの現在の設定を一覧で確認するには?
- 26:アクセスを拒否した監査ログのみを抽出するには?
- 25:EnterpriseServerからSQLServerに接続できない?
- 24:特定のタイプのファイルだけ書き込みを許可するには?
- 23:イベントの発生を電子メールで通知するには?
- 22:Mac版DeviceLockをコマンドでインストールするには?
- 21:BitLocker To Goデバイスのみアクセスを許可するには?
- 20:シャドウログのローテーションを設定するには?
- 19:DeviceLock管理者を設定するには?
- 18:インストールされているバージョンとライセンスを知るには?
- 17:PC持ち出し時に自動で制御ポリシーを変えるには?
- 16:特定の時間帯だけ制御を有効にするには?
- 15:USB Devices Databaseを手作業で作成するには?
- 14:EnterpriseManagerのPCリストを作成するには?
- 13:カスタムMSIインストーラーを作成するには?
- 12:DeviceLockServiceと固定ポートで通信するには?
- 11:USBデバイスをブロックしたことをユーザーに通知するには?
- 10:DeviceLockをサイレントインストールするには?
- 09:Enterprise Managerでクライアント認証を設定するには?
- 08:ポリシーをエクスポート/インポートするには?
- 07:USBデバイスをデバイスクラス単位で使用許可するには?
- 06:インストール後にライセンスを適用するには?
- 05:適用済みのライセンスをクリアするには?
- 04:USBデバイスの利用を一時的に許可するには?
- 03:スタンドアロンクライアントのポリシーを変更するには?
- 02:DeviceLock証明書を生成するには?
- 01:監査ログのローテーションを設定するには?
- How to DeviceLockとは?