自動ポリシー割り当ての構成

自動ポリシー割り当て (APA) は、構成可能なルールに基づいてポリシーを管理し、環境内のデバイスに自動的に割り当てます。 詳細については、「よくある質問 (FAQ)」セクションをご参照ください。

自動ポリシー割り当ての構成では、以下のことを行います。

APA を構成する前に、Ivanti Neurons でデバイス グループを設定し、以下のことを確認します。

  • デバイスとデバイス グループは、Neurons のデバイス ビューで管理します。 デバイスのグループ化の詳細については、「デバイス」をご参照ください。
  • デバイスは、ゼロ個以上のグループに属している場合があります。
  • APA 用には、パブリック デバイス グループのみを選択できます。 これらは動的または静的である可能性があります。
  • 同様のデバイス タイプを分類するようにデバイス グループを構成すると、継続的なメンテナンスを簡素化するために、デバイス グループにポリシーを適用できます。

割り当てルールの設定

割り当てルールを設定するには、次の手順に従います。

  1. [エージェント] > [エージェント管理] に移動します。
    [エージェント配布] ページが表示され、既定で 「自動ポリシー割り当て」 タブが表示されます。
  2. [構成] をクリックしてこの機能を有効にします。
    これにより、APA 構成ページが表示されます。 この手順は、初めて APA を設定する場合にのみ表示されます。
  3. [編集] をクリックして、各デバイスまたはデバイス グループに割り当てるルールとポリシーを定義します。
  4. [既定のポリシー] セクションの [既定のポリシー割り当てを選択] ドロップダウン リストからポリシーを選択します。
    選択したポリシーがデバイス グループに割り当てられます。 ポリシーの作成の詳細については、「エージェント ポリシー」をご参照ください。

    選択したポリシーは、既定ではテナントに接続されているすべてのエージェント エンドポイントに自動的に適用され、自動ポリシー割り当てが使用されます。 このポリシーから特定のデバイスまたはデバイス グループを除外するには、例外を設定します。

    既定のポリシー ドロップダウン リストには、Active Discovery、コネクタ サーバ、配布、優先サーバの同期など、インフラストラクチャ機能を持つポリシーはリストされません。 これらの機能を使用するには、セキュリティで保護された認証資格情報が必要であるため、それらを Ivanti Neurons インフラストラクチャ デバイスの一部である特定のデバイスに配布してください。

  5. [保存] をクリックします。

    評価プロセスがあるため、変更がエンドポイントに適用されるまで最大24時間かかる場合があります。

既存のポリシー割り当ての移行

自動ポリシー割り当てが有効になる前にエージェントエンドポイントで構成されていた既存のポリシー割り当ては、自動ポリシー割り当てが構成されたときに、デバイス例外に自動的に移行されます。 時間の経過とともに、デバイス例外をデバイス グループ例外に置き換えることをお勧めします。 これにより、多数のデバイスのエンドポイント管理が簡素化されます。

インフラストラクチャ機能を含むポリシーを持っているエージェントエンドポイントについては、既定のポリシーまたはデバイス グループ例外ではそれらを管理できないため、デバイス例外を保持することを推奨します。

デバイス例外の構成

このセクションでは、テナントに接続されている個々のデバイスの既定のポリシー設定を上書きするように、例外を構成できます。 デバイス例外を構成するには、次の手順に従います。

  1. [自動ポリシー割り当て] タブで、[デバイス例外] セクションに移動します。
    編集モードになっていることを確認します。 なっていない場合は、[編集]をクリックします。
  2. [デバイスの例外を追加] をクリックします。
    [デバイスの例外を追加] ウィンドウが表示され、テナントに接続されているエンドポイントが一覧表示されます。
  3. [エージェント ポリシー] ドロップダウン リストからポリシーを選択します。
    このドロップダウン リストには、インフラストラクチャ機能を持つポリシーも含まれます。
  4. デバイス リストからエンドポイントを選択するか、検索ボックスを使用してテナントに接続されているデバイスを検索し、[追加] をクリックします。
    または、デバイスを選択し、[削除] をクリックしてエンドポイントを除外します。

    例外として含まれているデバイスは、[含まれている] 列の下の緑色のチェックマークで示されます。

  5. [確認] をクリックします。
    変更は、[デバイスの例外] セクションの下に表示されます。

    各デバイスは一度に1つの例外にのみ所属できます。 別の例外にデバイスを追加しようとすると、[保存] を選択して確定する前に、追加および削除される内容が UI に表示されます。

    6. [デバイスの例外] セクションにリストされているデバイスは、優先順位に従っていません。 デバイス名に基づく例外は、既定のポリシーとデバイス グループの例外のどちらよりも優先されます。

デバイス グループ例外の構成

このセクションでは、テナントに接続されているデバイスのグループに対して設定されている既定のポリシーを上書きするように、例外を構成できます。 グループ デバイス例外を構成するには、次の手順に従います。

  1. [自動ポリシー割り当て] タブで、[デバイス グループ例外] セクションに移動します。
    編集モードになっていることを確認します。 なっていない場合は、[編集]をクリックします。
  2. [デバイス グループ例外を追加] をクリックします。
    [デバイス グループ例外を追加] ウィンドウが表示され、[利用可能なデバイス グループ] セクションの下に、テナントに接続されているデバイス グループが一覧表示されます。
  3. [エージェント ポリシー] ドロップダウン リストからポリシーを選択します。
  4. [利用可能なデバイス グループ] セクションからデバイス グループを選択するか、検索ボックスを使用してテナントに接続されているデバイス グループを検索し、[追加] をクリックします。
    含まれているデバイス グループが、[含まれているデバイス グループ] セクションに移動します。
    または、[含まれているデバイス グループ] セクションでグループを選択し、[削除] をクリックしてエンドポイントを除外します。 または、[すべて削除] をクリックして、例外リストからすべてのデバイス グループを削除します。
  5. [確認] をクリックします。
    変更は [デバイス グループ例外] セクションの下に表示されます。

    1つのデバイス グループを1つ以上のデバイス グループ例外のメンバーとすることができます。 デバイス グループ例外は既定のポリシーのみを上書きし、個々のデバイス例外はデバイス グループ例外よりも優先されます。

  6. [デバイス グループ例外] セクションでは、デバイス グループを並べ替えて優先順位を付けることができます。 優先順位を付けるには、左側のハンドルを使用してグループを上下にドラッグします。
  7. 画面の右上にある [保存] をクリックして変更を更新します。

APA 構成を保存すると、ルールは次のように評価されます。

  • 更新された自動ポリシー割り当てルールと変更はシステム構成に保存されますが、すぐには実装されません。
  • ポリシー ルールは、システムのスケジュールに基づいて評価および実装されますが、これは通常、頻繁なまたは不必要なポリシーの再割り当てを防止するためのクールダウン期間により、24時間ごとです。
  • 新しいルールまたは更新されたルールが保存され、次の評価サイクルで有効になります。
  • デバイス ポリシーの再割り当てにつながる変更は、クールダウン期間の対象となります。 アクションは、各デバイスのクールダウン期間が経過した後にのみ処理されます。

(オプション) 構成を今すぐ配布

通常の評価サイクル外に、または特定の状況で変更を適用するには、画面の右上隅にある [今すぐ実行] オプションを選択して、標準の24時間の評価期間を上書きします。 このアクションにより、通常の評価サイクルを迂回して、自動ポリシー割り当てのプロセスがトリガされます。 ただし、[今すぐ実行] を使用した場合でも、評価プロセスが完了するまで、デバイスに対するポリシー割り当ては実施されません。

保留中または実行中の要求がある場合、または前回の評価が最近完了した場合、システムは実行要求をキューに入れます。 評価が現在進行中の場合は、現在の実行が最初に終了し、最初の要求の後に新しい要求が実行されます。

エージェントへの配布

APA 構成が完了した後、Neurons のプッシュ インストールおよび手動インストール方法を使用して、エンドポイントにエージェントを配布できます。 これらの方法では、自動ポリシー割り当てを利用してエンドポイント管理を簡素化できます。

Neurons のプッシュ インストールまたは手動インストール方法を使用してエージェント エンドポイントに自動ポリシー割り当てを配布するには、「エージェント配布」トピックをご参照ください。

(オプション) エージェント ポリシーの再割り当て

エージェント管理の一部として構成された自動ポリシー割り当てを使用して、多数のデバイスにポリシーを再割り当てできるようになりました。 その他のエージェント管理機能の詳細については、「エージェント管理」をご参照ください。

自動ポリシー割り当て構成を使用してエージェント ポリシーを再割り当てすると、既存のデバイス例外が削除され、ポリシー評価プロセスが完了したときに、それぞれのポリシーに自動的に新しいポリシーが割り当てられます。

エンドポイントに構成済みの自動ポリシー割り当てを再割り当てするには、次の手順に従います。

  1. ポリシーを再割り当てするエージェント エンドポイントの横のチェック ボックスをオンにします。
  2. [エージェント] > [ポリシーの再割り当て] を選択します。
    [ポリシーの再割り当て] パネルが表示されます。
  3. ドロップダウン リストから [自動ポリシー割り当てを使用] を選択します。
  4. [保存] をクリックします。
    [ポリシーの再割り当て] パネルが閉じます。
  5. [エージェント管理] ページで、ステータスが [ポリシーの再割り当てが要求されました] に更新されます。 ステータスにカーソルを置くと、ポリシー変更を要求したユーザ、要求日、割り当てられたポリシーの名前が表示されます。

例外の削除

個々のデバイス例外またはデバイス グループ例外を削除するには、次の手順に従います。

  1. [自動ポリシー割り当て] タブで、編集モードになっていることを確認します。 なっていない場合は、[編集]をクリックします。

  2. 次のように例外を削除します。

    • デバイス例外の削除: [デバイス例外] セクションで、リストからデバイスを選択します ([デバイス例外を編集] ウィンドウが表示されます)。 次に、[デバイス例外を削除] をクリックします。

    • デバイス グループ例外を削除: [デバイス グループ例外] セクションで、リストからデバイスを選択します ([デバイス グループ例外を編集] ウィンドウが表示されます)。 次に、[デバイス グループ例外を削除] をクリックします。

  3. [保存] をクリックします。

よくある質問 (FAQ)

まず、実用的な既定のポリシーを作成します。 これは、例外を指定しない限り、ネットワーク上のすべてのエージェント エンドポイントに適用されます。 デバイスのタイプと場所を確認して、特定の例外が必要な場所を把握します。

自動ポリシー割り当て機能を使用して、デバイス グループまたは個々のデバイスの例外を追加します。 個々のデバイスの例外は常にグループ例外よりも優先されます。 デバイスが複数のデバイス グループに属している場合は、優先順位を手動で設定できます。

新しいエンドポイントが作成され、自動ポリシー割り当てを使用するように設定されると、自動的に既定のポリシーを取得します。 これは、定義した例外に当てはまらない限り発生します。 つまり、手動で何かを設定する必要はありません。

はい、移行は簡単です。 既に Ivanti エージェントを使用している場合は、現在の構成用にデバイス例外が自動的に [自動ポリシー割り当て] の下で作成されるため、現在の構成は期待どおりに機能し続けます。

属性 (タイプや場所など) を見て、例外や複数のグループに一致するかどうかを確認します。 例外の優先順位を確認します。 適用すべき例外を調整する必要がある場合があります。

既定のポリシーを定義し、例外の優先度を確認します。 例外が矛盾する場合は、意図しないポリシーの適用を避けるため、優先順位がどのように設定されているか再確認してください。

はい。自動ポリシー割り当ては、構成の欠落や間違いのリスクを低減し、手作業の工数を減らしながらエンドポイントを一貫して保護し、準拠を維持します。