条件管理
このセクションの内容
条件
条件を使用して、ユーザと場所、またはユーザがコンピュータまたはアプリケーションに接続する方法に基づいて、処理の実行を可能にするルールを作成できます。ディレクトリ メンバーシップ、ユーザ、コンピュータ、セッションとクライアントに基づく条件を使用して、組織全体でコンピュータの使用状況を定義できる構成を作成することができます。
これらはトリガーと処理間をつなぎ、処理を適用するためのコンテキストを提供します。例:
| トリガー | 条件 | アクション |
|---|---|---|
| ユーザ > ログオン | ユーザ > ユーザ名 | ドライブのマッピング |
ユーザがログオンすると、ドライブをマッピングします。条件により、ユーザを指定できるため、特定のユーザのみでドライブがマッピングされます。条件がないと、ログイン時にすべてのユーザのドライブがマッピングされます。
条件内の基準がユーザまたはコンピュータで真または偽のときに、処理を実行するように設定できます。たとえば、関連付けられた処理を指定されたコンピュータに適用する条件を作成できます。あるいは、指定されたコンピュータ以外のコンピュータに対して実行するように処理を設定できます。正規表現と範囲を使用して、複数の一致に適用される詳細条件を作成することもできます。
[abc] などの簡易正規表現を使用できます。これは、括弧内の任意の文字を含むすべての文字と一致します。より複雑なクエリを使用することもできます。たとえば、^[a-f]+ は a から f までの文字で始まるすべてのユーザ名と一致します。
詳細については、「ワイルドカードと正規表現」をご参照ください。
ポリシー構成ナビゲーション ツリーの条件の位置は、条件が適用される方法を決定します。ツリー内の同じレベルの条件が同時に評価されます。他の条件の子である条件は、親条件が正常に実行された後にのみ評価されます。カウンタを除き、すべての条件は、ほとんどのトリガーの [環境] タブに追加できます。
Active Directory を照会するすべての条件については、Environment Manager 管理者がターゲット ドメインのメンバーであるか、ドメインにアクセスして照会するための十分な権限を有している必要があります。
条件の作成
このセクションは、ディレクトリ メンバーシップ、ユーザ、コンピュータ、およびセッション & クライアント条件のみを作成する際に適用されます。これらの条件が使用するダイアログボックスは、同じ形式に従うためです。
- [ポリシー構成] ナビゲーションツリーで、ノードを追加するか、条件を適用するトリガー内で新しいノードを作成します。
条件は、直接、[環境] タブのトリガーに追加できます。
- [条件] リボンで、必要な条件を選択します。
条件タイプに固有の条件タブが既定で表示されます。このタブでは、オプションとフィールドの共通グループを使用して、パラメータを設定できます。詳細については、「条件変数」をご参照ください。
- 使用可能なフィールドとチェックボックスを使用して、条件を定義します。
- [一般] タブを選択します。
- 説明と任意のメモを入力します。説明は条件の表示名として使用されます。このフィールドが空欄の場合、表示名は構成された条件から自動的に設定されます。
- [OK] をクリックして、条件を保存します。
Environment Manager エージェントは条件を使用して、ログオン ユーザについて、同じ条件との一致を検索します。一致が見つかった場合、条件に関連付けられた処理が実行されます。
作成した後は、ノード作業領域の [失敗時にサブノードを停止する] チェックボックスをオンにすると、失敗した処理が依存サブノードを実行できないようにすることができます。既定では、[失敗時にサブノードを停止する] は新しい条件で有効です。
条件変数
次のフィールド、ドロップダウン、チェックボックスのバリエーションを使用すると、各タイプの条件を指定できます。
- 等しい - [一致] フィールドの内容との比較が行われ、条件を満たすユーザまたはコンピュータを対象とします。条件を [一致] フィールドに入力するか、省略記号 (...) を使用して、必要に応じて検索するか選択します。
- 等しくない - [一致] フィールドの条件を満たさないすべてのユーザまたはコンピュータを対象とします。条件を [一致] フィールドに入力するか、省略記号を使用して、必要に応じて検索するか選択します。
- クエリ - [クエリ] フィールドで指定された条件と一致するすべてのユーザまたはコンピュータを対象にします。クエリでワイルドカードを使用すると、次のようなさまざまな一致が可能になります。
- *Windows - 文字 Windows で終わるユーザまたはコンピュータを対象にします。
- Windows* - 文字 Windows で始まるユーザまたはコンピュータを対象にします。
- *Windows* - 文字 Windows を含むユーザまたはコンピュータを対象にします。
- 正規表現 - 正規表現を使用して、ユーザまたはコンピュータの高度なクエリを指定します。
- 間 - 値の範囲を設定できる条件で使用されます。たとえば、条件を作成し、選択した IP アドレスの範囲に適用できます。
- セッションごとに1回評価する - 選択する、条件が評価され、結果がキャッシュに保存されます。条件がもう一度実行されると、条件をもう一度評価するのではなく、結果がキャッシュから取得されます。同じ条件の複数のインスタンスを1回だけ評価する場合は、再利用可能な条件が作成され、複数回参照されます。複数の条件を作成する場合、それぞれ1回実行されます。再利用可能なノードが複数回参照される場合は、セッションで1回だけ評価が実行されます。
- このオプションは、プロセス開始およびプロセス停止トリガー内の条件では使用できません。
このオプションに関連する動作は8.1で変更されました。8.1より前では、条件が解析され、セッションのキャッシュに格納されたときに、オプションが評価されていました。8.1以降のバージョンでは、セッション全体の結果がキャッシュに格納されるときに、トリガーが実行されるまで、オプションは評価されません。
たとえば、calc.exe のプロセス開始条件が作成され、[セッションごとに1回評価する] チェックボックスが選択されます。8.0では、ログオン時に構成が解析されるときに、セッションの結果がキャッシュに保存されます。8.x では、calc.exe が実行されるまで、結果はキャッシュに保存されません。
条件構成の例
次の簡易構成は、Endpoint 1のログオン時に、Printer 1をマッピングします。ログオン時に、Environment Manager エージェントは、条件で指定されたコンピュータ Endpoint 1に対して管理されたコンピュータを確認します。条件が満たされた場合は、プリンタをPrinter 1にマッピングする処理が実行されます。管理されたコンピュータが Endpoint 1以外である場合、処理は無視されます。
Environment Manager コンソールでは、次のような例になります。
同じレベルでその他の条件を追加すると、OR 条件が作成されます。この構成は、Endpoint 1 OR Endpoint 5で、ログオン時にPrinter 1をマッピングします。コンピュータが指定されたコンピュータのいずれかである場合は、プリンタをPrinter 1にマッピングする処理が実行されます。管理されたコンピュータが Endpoint 1または Endpoint 5以外である場合、処理は無視されます。
条件が別の条件の子の場合、AND 条件が作成されます。ユーザが管理者であるかどうかを確認する条件が別の条件の子として追加されました。これを追加すると、指定されたコンピュータで処理が実行され AND ユーザは管理者です。
AND および OR 文を組み合わせて、AND OR 条件を作成できます。この構成は、管理者権限を有するユーザの Endpoint 1 OR Endpoint 5で、ログオン時にPrinter 1をマッピングします。
AND および OR 条件に追加できる条件数、または使用できる AND OR 条件数に制限はありません。
AND OR ラベルと項目の背景色は、[オプション] リボンでオン/オフにできます。
フィールド検証
以下の表は、さまざまな条件のフィールドで使用可能な文字列の一覧です。
| 条件 | フィールド | 許可された文字列 | 例 |
|---|---|---|---|
| ユーザ グループ | 一致 | domain\group | ivanti/sales は ivanti ドメインの「sales」グループと一致します |
| LDAP | CN=sales, DC=ivanti, DC=com は ivanti ドメインの「sales」グループと一致します | ||
| クエリ | domain\gro* | ivanti\sal* は ivanti ドメインの「sal」で始まるグループ名と一致します。 | |
| domain\*gro | ivanti\*les は ivanti ドメインの「les」で終わるグループ名と一致します。 | ||
| domain\*gro* | ivanti\*ale* は ivanti ドメインの「ale」を含むグループ名と一致します。 | ||
| ユーザ名 | 一致 | domain\user | ivanti\smithj は ivanti ドメインのユーザ名「smithj」と一致します |
| クエリ | domain\use* | ivanti\smit* は ivanti ドメインの「smit」で始まるグループ名と一致します。 | |
| domain\*use | ivanti\*ith は ivanti ドメインの「ith」で終わるグループ名と一致します。 | ||
| domain\*use* | ivanti\*ith* は ivanti ドメインの「ith」を含むグループ名と一致します。 | ||
| コンピュータ グループ | 一致 | domain\group | ivanti\sales は ivanti ドメインの「sales」グループと一致します |
| LDAP | CN=sales, DC=ivanti, DC=com は ivanti ドメインの「sales」グループと一致します | ||
| クエリ | domain\gro* | ivanti\sal* は ivanti ドメインの「sal」で始まるグループ名と一致します。 | |
| domain\*gro | ivanti\*les は ivanti ドメインの「les」で終わるグループ名と一致します。 | ||
| domain\*gro* | ivanti\*ale* は ivanti ドメインの「ale」を含むグループ名と一致します。 | ||
| コンピュータ名 | 一致 | computer | SalesDesk01 はコンピュータ名「SalesDesk01」と一致します。 |
| クエリ | comp* | SalesDesk* は「SalesDesk」で開始するすべてのコンピュータ名と一致します。 | |
| *comp | Desk01* は「Desk01」で終わるすべてのコンピュータ名と一致します。 | ||
| *comp* | Desk* は「Desk」を含むすべてのコンピュータ名と一致します。 | ||
| コンピュータ ドメイン | 一致 | domain | ivanti.com はドメイン名「ivanti」と一致します |
| domain | ivanti.com はドメイン名「ivanti.com」と一致します | ||
| クエリ | dom* | iva* は「iva」で開始するすべてのコンピュータ ドメインと一致します。 | |
| *dom | *nti は「nti」で終わるすべてのコンピュータ ドメインと一致します。 | ||
| *dom* | *ant* は「ant」を含むドメインと一致します。 | ||
| コンピュータ NETBIOS | 一致 | computer | SalesDesk01 はコンピュータ NETBIIOS 名「SalesDesk01」と一致します。 |
| クエリ | comp* | SalesDesk* は「SalesDesk」で開始するすべてのコンピュータ名と一致します。 | |
| *comp | Desk01* は「Desk01」で終わるすべてのコンピュータ名と一致します。 | ||
| *comp* | Desk* は「Desk」を含むすべてのコンピュータ名と一致します。 | ||
| コンピュータ IP アドレス | 一致 | xxxx.xxxx.xxxx.xxxx | 192.168.0.1は IP アドレス192.168.0.1と一致します。 |
| 次の間 | xxxx.xxxx.xxxx.xxxx yyyy.yyyy.yyyy.yyyy | IP Address 1: 192.168.0.1, IP Address 2: 192.168.0.254 は「192.168.0.1」~「192.168.0.254」の範囲のすべての IP アドレスと一致します。 | |
| ユーザ OU メンバーシップ | 一致 | LDAP | CN=sales, DC=ivanti, DC=com は ivanti.com ドメインのユーザ OU「sales」のディレクトリ メンバーシップと一致します。 |
| クエリ | ou* | sales* は「sales」で開始するユーザ OU 名と一致します。 | |
| *ou | sales* は「sales」で終わるユーザ OU 名と一致します。 | ||
| *ou* | sales* は「sales」を含むユーザ OU 名と一致します。 | ||
| コンピュータ OU メンバーシップ | 一致 | LDAP | CN=sales, DC=ivanti, DC=com は ivanti.com ドメインのコンピュータ OU「sales」のディレクトリ メンバーシップと一致します。 |
| クエリ | ou* | sales* は「sales」で開始するコンピュータ OU 名と一致します。 | |
| *ou | sales* は「sales」で終わるコンピュータ OU 名と一致します。 | ||
| *ou* | sales* は「sales」を含むコンピュータ OU 名と一致します。 | ||
| ディレクトリ サイト | 一致 | sitename | testsiteはサイト名「testsite」と一致します。 |
子ドメインのデバイスの Active Directory に基づく条件
Active Directory (AD) ベースのクライアント条件は、Windows Terminal Server (または Citrix など) から取得されたクライアントの NetBIOS 名を AD の照会で使用される FQDN に変換します。ターミナル サーバが親ドメインで、子ドメインのデバイスに接続する FQDN を解決しようとしている場合は、FDQN を解決できません。これはデバイスおよびカスタム ルールに影響します。また、ルート ドメインでターミナル サーバおよび VDI に適用された Active Directory ベースのクライアントにも影響します。
ターミナル サーバは、すべての子ドメインの DNS サフィックスを使用して構成される必要があります。子ドメインで接続するために名前を解決する必要があるすべてのターミナル サーバで、検索リストを構成する必要があります。
たとえば、親 domain.local の場合、AD に基づく条件が正常に評価されるには、子ドメイン childa.domain.local および childb.domain.local をターミナル サーバで構成する必要があります。
ドメイン サフィックス検索リストの構成については、https://support.microsoft.com/en-gb/kb/275553をご参照ください。