構成の管理

このセクションの内容

• 構成の作成
• 構成のインポート
• 構成のエクスポート
• 構成の保存
• 構成のテスト
• グループ ポリシー構成
• 検索設定

構成の作成

新しい構成を作成するには、[ファイル] > [新規] をクリックします。

新しい構成が表示され、次の保護が既定で自動的に提供されます。

• ローカル ハードドライブに保存されていないアプリケーションは禁止されます。たとえば、ネットワーク ドライブとリムーバブル メディアのアプリケーションが禁止されます。管理者が所有していないアプリケーションは禁止されません。たとえば、管理者以外によってコンピュータのハードドライブにコピーされたすべてのアプリケーションが禁止されます。
• すべての管理者はアプリケーションを実行できます。

既定の設定を実装する前に、新しい構成を保存する必要があります。

構成のインポート

構成を Application Control にインポートできます。

1. [ファイル] > [インポート & エクスポート] > [構成を MSI としてインポートする] をクリックします。

   [開く] ダイアログが表示されます。

2. MSI の場所に移動して選択し、[開く] をクリックします。

Application Control コンソールで構成が開きます。

構成のエクスポート

構成を Application Control からエクスポートできます。

1. [ファイル] > [インポート & エクスポート] > [構成を MSI としてエクスポートする] をクリックします。

   [名前を付けて保存] ダイアログが表示されます。

2. MSI を保存する場所に移動し、[保存] をクリックします。

構成の保存

[ファイル] メニューには、構成を保存するための次のオプションがあります。

保存

• 保存して編集を続行 - 構成を保存し、編集用に開いている間はロックを維持します。行われたすべての変更は構成にコミットされていないため、ロック中に配布できません。
• 保存してロック解除 - 構成を保存し、配布用にロック解除します。
• 保存せずにロック解除 - 変更を保存せずに構成をロック解除します。

名前を付けて保存

• このコンピュータのライブ構成 - ローカルコンピュータの構成を現在開いている構成で置換/更新します。
• Management Center の構成 - 選択した管理サーバのパッケージ ストアに構成を保存します。
• System Center Configuration Manager の構成 - 構成を指定された System Center Configuration Manager サーバに保存します。
• グループ ポリシーの構成 - 選択したグループ ポリシー ストアで構成を作成できます。
• ディスクの構成ファイル - 構成をディスクに保存します。

構成のテスト

このタスクを続行する前に、テスト ユーザを設定します。テスト アカウントは、構成の信頼できる所有者のいずれかにすることはできません。

1. 関連する Application Control 構成がインストールされているエンドポイントに、管理者としてログインします。
2. Application Control を起動します。
3. ナビゲーション ツリーで、[ルール] > [ユーザ] に移動します。

4. [ルール] リボンの [ルールの追加] をクリックし、[ユーザ ルール] を選択します。

   [ユーザ ルールの追加] ダイアログが表示されます。

5. [参照] をクリックします。

   [Active Directory ユーザの選択] ダイアログが表示されます。

6. [詳細] をクリックします。

7. [今すぐ検索] をクリックします。

   検索結果はダイアログの下部に表示されます。

8. 下にスクロールしてテスト ユーザを検索して選択し、[OK] をクリックします。

   [ユーザの選択] ダイアログが表示され、オブジェクト名にテスト ユーザが表示されます。

9. OK をクリックします。

   [ユーザ ルール] 作業領域には、新しく作成されたテスト ユーザが表示されます。

10. 構成を保存します。
11. 管理者としてログオフします。
12. テスト ユーザとしてログオンし、Application Control の動作を確認します。

グループ ポリシー構成

グループ ポリシーは、Active Directory 環境でのオペレーティング システム、アプリケーション、ユーザ設定の集中管理と構成を可能にします。Application Control はグループ ポリシー機能を使用して、ドメインの指定された組織単位 (OU) のすべてのコンピュータに構成を保存および配布します。追加のインフラストラクチャは必要ありません。グループ ポリシーを使用するには、最初に、Remote Server Administration Tools をインストールする必要があります。

詳細については、「Remote Server Administration Tools Pack のインストールまたは削除」をご参照ください。

Application Control 構成ファイルを GPO に追加するには、最初に、[ドメインの選択] ダイアログからアクセスされる選択可能なリストにドメインを追加する必要があります。詳細については、「選択可能なドメインをリストに追加する」をご参照ください。

必要に応じて、PowerShell で次のコマンドを使用して、グループ ポリシーをインストールできます。

Import-Module ServerManager (2008 Server 以上)

Add-WindowsFeature -Name GPMC

選択可能なドメインをリストに追加する

[ドメインの選択] ダイアログを使用して、選択可能なドメインのリストにドメインを追加します。ドメインが追加されると、構成をドメインの GPO (グループ ポリシー オブジェクト) に適用できます。

1. [ファイル] メニューで [名前を付けて保存] (または [開く]) を選択し、[グループ ポリシーの構成] を選択します。

   [ドメインの選択] ダイアログが表示されます。

2. ツールバーから [追加] アイコンを選択します。

   [ドメインの追加] ダイアログが表示されます。

3. リストに追加するドメインの名前を入力します。追加しているドメインで適切な権限が必要です。
4. [追加] ボタンをクリックします。

ドメインがリストに追加され、選択できます。

グループ ポリシー オブジェクトを使用した構成の配布

構成が完了し、配布されると、クライアント側拡張は、merge_manifest.xml ファイルとともに構成を Application Control %ProgramData% 構造にコピーします。Application Control エージェントは、更新について通知されます。merge_manfest.xml ファイルがマージ フォルダにコピーされ、マージを実行できます。構成がエンドポイントに適用されます。

構成がグループ ポリシー オブジェクト (GPO) に保存されると、その構成の配布は組織のグループ ポリシー設定に依存します。

Application Control は、グループ ポリシーを使用して配布される複数の構成のマージをサポートします。各 GPO には1つの構成のみを含めることができます。複数の構成を配布するには、同じ数の GPO が必要です。すべての GPO が Active Directory と同じレベルにある場合、リンク順序が構成のマージ方法に影響し、最小数が基本構成になります。

既定では、コンピュータ グループ ポリシーはバックグラウンドで90分ごとに更新され、ランダム オフセットは0～30分です。

構成を GPO に保存する

構成をグループ ポリシー オブジェクトに保存するには、作業している Active Directory (AD) 内の領域で読み書き権限のあるアカウントが必要です。その領域にのみ保存することができ、ポリシーはその中のコンピュータにのみ適用されます。

構成は Application Control コンソールで作成する必要があります。GPO は選択したドメインの組織単位 (OU) 内で作成されている必要があります。

1. Ivanti Application Control 構成ファイル (AAMP) を作成します。

2. [ファイル] > [名前を付けて保存] > [グループ ポリシーの構成] を選択します。

   [ドメインの選択] ダイアログが表示されます。

3. 選択したドメインをハイライト表示し、[接続] をクリックします。

   保存先のドメインがリストにない場合、ドメインを追加する必要があります。

   「選択可能なドメインをリストに追加する」をご参照ください。

4. OU に移動します。選択した OU で適切な権限が必要です。
5. GPO を選択し、[保存] をクリックします。

6. GPO が存在しない場合、ターゲット OU を右クリックし、[このドメインで GPO を作成する] を選択して、ここでリンクします。

   一部のエンドポイントでは、GPO を Active Directory (AD) に保存するときに、遅延が発生する可能性があります。これは、複数のドメイン コントローラで AD レプリケーションを実行する必要があり、Application Control は、レプリケーションが完了するまで GPO を検出できないためです。

   構成を含む GPO は次の場所に保存され、一意の GUID によって特定できます。

   \\<Domain Controller>\SysVol\<domain.fqdn>\Policies\<guid for GPO>\Machine\AppSense

   グループ ポリシーを使用して複数の構成をエンドポイントに配布する場合は、エンドポイント構成マージが発生し、merged_configuration.aamp は既存の構成よりも優先されます。詳細については

「エンドポイント構成マージ」をご参照ください。

検索設定

グループやルールセットが追加されるにつれ、構成は非常に大規模になります。構成内の目的の領域までナビゲートしやすいように、テキスト検索を行って、その項目が構成内のどこで設定されているかを見つけることができます。

構成の検索方法

widget.exe を例にとりましょう。widget.exe 用のルールを構成した後、どのグループまたはルールセットの中にあったか思い出せない場合。

1.[編集] > [オプション] メニューに移動し、[検索設定] を選択します。

[検索設定] ダイアログが表示されます。

2. [検索] フィールドに、検索するテキストを入力します。例: widget

3.構成内のすべてのグループおよびルールセットを対象に widget というテキストが検索され、結果リストにすべてのインスタンスが表示されます。

4.一覧に示された結果をどれでもクリックすると、構成内でのその項目の場所が開きます。

[検索] ダイアログを開いたまま、構成エディタで作業できます。検索結果を保持しておきたいが、ダイアログを一時的にビューから除きたい場合は [閉じる] を選択します。再表示するには [検索設定] を選択します。

関連トピック

グローバル設定

構成