ポリシー グループ詳細
[ポリシー グループ詳細] ページにアクセスするには、[ポリシー グループ] ページに一覧表示されているグループをクリックします。 そのポリシー グループに属するデバイスおよびデバイス詳細がすべて一覧表示されます。
使用可能な処理:
- アクションとエージェント設定の編集: 選択すると、[ポリシー グループ詳細] パネルが開きます。ここでは、名前、説明、ピア ダウンロード制御、帯域幅使用率、機能、再起動設定、デバイスの資格情報を更新できます。 編集後、[変更の配布] をクリックします。
- デバイスを追加: デバイスリストにチェックボックスを表示する場合に選択します。 エージェント ポリシーのインストール先とするデバイスを選択します。 デバイスの認証資格情報が必要な場合は、認証資格情報を入力するための [ポリシー グループ詳細] パネルが表示されます。 [デバイスを追加] を選択して配布を開始します。
このオプションは配布担当デバイスやコネクタ サーバ デバイスに対しては利用できません。
Linux デバイスおよび macOS デバイスSSH フィンガープリント セキュリティをデバイスに適用できます。 SHA256でハッシュ化されたフィンガープリントがサポートされています。 チェックボックスを選択すると、開いた南京錠アイコンが表示されます。アイコンをクリックして [SSH フィンガープリント] オプション ダイアログを表示します。次のオプションがあります。
- SSH フィンガープリントを使用せずに配布: SSH フィンガープリント検証を使用せずに配布を続行する場合に選択します。
- SSH フィンガープリントの取得: デバイスから SSH フィンガープリントを取得する要求を送信する場合に選択します。
- このオプションが選択されている場合、デバイスのフィンガープリントが受信されると、[ポリシー グループ詳細] ページの [配布ステータス] 列に [SH フィンガープリントを取得済み] アイコン が表示されます。
- アイコン をクリックして、[SSH フィンガープリント] オプション ダイアログを表示します。今回は、このダイアログに [取得したものを使用] オプションがあります。
- [取得したものを使用] オプションを選択して、[フィンガープリント] テキスト ボックスにフィンガープリントを表示します。[SSH フィンガープリントの検証後に配布] オプションも選択されます。
- [OK] を選択してダイアログを閉じます。
- 正しいフィンガープリントを取得し、SSH フィンガープリントの検証後に配布することを選択したので、配布を試行できます。 これを行うには、[ポリシー グループ詳細] ページで、[失敗した配布を再試行] を選択します。
- [失敗した配布を再試行] ダイアログで、必要に応じて認証資格情報と配布担当デバイスを選択します。
- [OK] を選択して配布を開始します。
- SSH フィンガープリントの検証後に配布: 指定された SSH フィンガープリントを使用して配布を続行する場合に選択します。 [フィンガープリント] テキスト ボックスにフィンガープリントを入力します。 フィンガープリントがわからない場合、またはそれが正しいものであることを確認したい場合は、最初に [SSH フィンガープリントの取得] オプションを選択する必要があります。これで、[取得したものを使用] オプションにより [フィンガープリント] テキスト ボックスに自動入力するオプションが表示されます。 詳細については上記をご参照ください。
ヒント: デバイス上の SHA256 SSH フィンガープリントを手動で取得するには、ターミナルを開いて次のように入力します。
sudo ssh-keyscan localhost | ssh-keygen -l -E sha256 -f -
トラブルシューティング: SSH フィンガープリントと配布担当デバイスを使用して配布するときにエラーが発生した場合は、DeploymentEngine.log ファイルに次のエラーが報告されます。
sudo: 申し訳ありませんが、sudo を実行するには tty が必要です
問題を解決するには、「シェルのヒント」を確認してください。変更を加えた後、配布を再試行する必要があります。SSH フィンガープリント セキュリティを使用しているデバイスには、閉じた南京錠アイコン が表示されます。
- デバイスの削除: 選択すると、デバイス リストにチェックボックス列が表示されます。エージェント ポリシーをアンインストールしたい各デバイスのチェックボックスを選択します。選択後、[エージェントの削除とアンインストール] をクリックします。 選択したすべてのデバイスからエージェントがアンインストールされ、配布ステータスが [最新] から [アンインストール済み] に変わります。ページが更新されると、そのデバイスはリストに表示されなくなります。
このアクションが成功するためには、エージェントがチェックインする必要があります。デバイス上にエージェントが存在せず、配布ステータスが [アンインストールしています] から進まない場合は、2回目の [デバイスの削除] を選択して、リストからデバイスを削除します。
配布担当デバイスを削除することはできません。 詳細については、「配布担当デバイス」をご参照ください。
- 失敗した配布を再試行: 選択すると、ポリシー グループを通じて配布している Ivanti Neurons エージェントのインストールが失敗した場合に、インストールが再試行されます。 配布が失敗した理由としては、デバイスの電源が入っていない、デバイスとのネットワーク接続がオフラインになっている、配布の認証資格情報が無効である、などが考えられます。 詳細については、「配布の問題をトラブルシューティングする方法」をご参照ください。
ポリシー グループ詳細
[ポリシー グループ詳細] パネルは、[新しいポリシー グループの作成] を選択するか、または既存のポリシー グループに対して [処理とエージェント設定を編集]を選択すると表示されます。
ポリシー グループ名: ポリシー グループの名前。
説明: ポリシー グループの説明。
ピア ダウンロード制御
これにより、ネットワーク上のデバイスが相互にエージェント、エンジン、構成インストールを共有できるようになります。 あるデバイスが、中継サーバを介さずに、別のデバイスと直接接続できます。 デバイス数の多い環境では、ピアツーピア ネットワークは、ファイル転送負荷がデバイス間で分散されるため、クライアント サーバ ネットワークよりも効率的に実行されます。 信頼性も、サーバ接続の問題が発生しても機能性が維持されるため、クライアント サーバ ネットワークよりも高くなります。
ピアツーピアは、デジタル署名され、サイドロードされたパッチをサポートします。 7-Zip や Core FTP などのベンダから自動的にダウンロードされ、デジタル署名されていないパッチは、ピアツーピアでサポートされません。 サーバ ピアは、OS に適用可能なパッチのみをピア クライアントに共有します。たとえば、Server 2019は、2019のバッチのみ (以降のパッチは含まない) を Windows 11クライアントと共有します。
次のオプションから選択します。
- 無効: ファイルはピアと共有されず、ピアからのファイルのダウンロードも行われません。
- クライアントのみ: ファイルはピアと共有されません。 ピアからのファイルのダウンロードは行われます。
- サーバのみ: ファイルはピアと共有されます。 ピアからのファイルのダウンロードは行われません。
- クライアントとサーバ: ファイルはピアと共有され、ピアからのファイルのダウンロードも行われます。
ピア クライアントはファイルを2日間保持し、ピア サーバはファイルを2週間保持します。 ただし、[クライアントとサーバ] が選択されている場合、これには2週間キャッシュする効果もあります。
ピアダウンロードを使用するときには、ファイアウォールがポート33121および33122の UDP および TCP トラフィックを許可していることを確認してください。
帯域幅使用率
帯域幅使用率を選択します。 この上限によって、Ivanti Neurons エージェントのダウンロードで使用できるネットワーク帯域幅の量が制限されます。 制限された帯域幅接続や従量制の帯域幅接続で使用されるときに、エージェントがすべての帯域幅を使用しないように制限することで、他のリソースが同時にネットワークを利用できるようにします。
- LAN 使用率 (%): 10~100 の範囲で許可される最大割合を設定します。 これにより、Ivanti Neurons エージェントのダウンロードに割り当てられたネットワーク帯域幅と能力が、ローカルエリアネットワーク (LAN) で設定された割合に調整されます。 マルチキャスト ピアの場合、ローカル サブネットのみです。
LAN 範囲は次のように決定されます。- 10.0.0.0~10.255.255.255 (10/8プリフィクス)
- 172.16.0.0~172.31.255.255 (172.16/12プリフィクス)
- 192.168.0.0~192.168.255.255 (192.168/16プリフィクス)
-
インターネット/WAN 使用率 (%): 10~100 の範囲で許可される最大割合を設定します。 これにより、Ivanti Neurons エージェントのダウンロードに割り当てられたネットワーク帯域幅と能力が、ワイドエリアネットワークで設定された割合に調整されます。
機能:
利用可能な機能はライセンス次第です。含まれている製品機能については、お使いの Ivanti Neurons パッケージをご覧ください。 上記オプションの詳細については、該当するヘルプ トピックをご参照ください。
ポリシー グループに対してどのエージェント機能を有効にするかを選択します。
- リモート コントロール: IT アナリストがエンドポイントを安全にリモート コントロールして、問題をトラブルシューティングできるようにします。
- Edge Intelligence: リアルタイムのインサイトに加え、環境に適した修正およびアラートの機能を提供します。 データは、要求したときに、リアルタイムでデバイスから取得されます。
Edge Intelligence が無効になっていると、[デバイス] にトラブルシューティングのデータが表示されません。 [ユーザ] 内の特定の機能 (最新の場所、Active Directory のステータス) にも影響があります。Edge Intelligence や Neurons が、ポリシーの対象となったデバイスに対してデータを返すことはありません。 - 自動化: Neurons プラットフォームは、Neurons プラットフォーム外のさまざまなシステムと通信できます。 情報の取得やタスクの実行に使用できます。 何を、誰が、いつ、という3つの概念を中心にユーザ経験が展開されます。
自動化が無効になっていると、ポリシーがターゲットとしているデバイスに対して、[Ivanti Neurons プラットフォーム] > [デバイス]/[Edge Intelligence]/[Neurons] からアクション (ISM や ServiceNow でのサポート チケットの作成、表示など) を実行できなくなります。 - パッチ管理: ゼロ トラスト セキュリティ機能を提供し、継続的な脆弱性管理エクスペリエンスをもたらすことで、組織による脆弱性の管理を、検出から修復に至るまで支援します。
- パッチ構成: ポリシー グループに適用するパッチ構成を選択します。 パッチ構成は、含まれるパッチのタイプ、配布のスケジュールといった、パッチ配布を制御します。また、エンドポイントの再起動の動作も制御します。 ドロップダウンリストには、利用可能なパッチ構成がすべて表示されます。 構成は、[Ivanti Neurons] > [パッチ管理] > [パッチ設定] で設定します。
Ivanti Neurons エージェントを使用した Windows デバイスへのパッチの配布を成功させるには、Windows Update サービスを無効にするのではなく、[手動] または [自動] のいずれかに設定します。加えて、各ターゲット コンピュータの Windows Update の設定 ([コントロール パネル] > [システムとセキュリティ] > [Windows Update] > [設定の変更]) を [更新プログラムを確認しない] に設定します。詳細については、Ivanti コミュニティの「この記事」をご参照ください。
- アプリの配布: .exe ファイルまたは .msi ファイルを通じてインストールされるサードパーティ エンタープライズ アプリケーションを配布します。
- (システム) 既定: 自動的に選択され、構成可能ではありません。
- Application Control: アプリケーション制御と、権限およびポリシーの管理を提供します。詳細については、「Application Control ヘルプ」をご参照ください。
- 構成: ポリシー グループに適用する Application Control 構成を選択します。この構成は、どの Application Control 設定がエンドポイントに配布されるかを制御します。詳細については、「Ivanti Neurons と Application Control 統合」をご参照ください。
- Environment Manager: オンデマンドの個人用設定と、コンテキスト認識によるポリシー制御を実現します。詳細については、「Environment Manager ヘルプ」をご参照ください。
- 構成: ポリシー グループに適用する Environment Manager 構成を選択します。この構成は、どの Environment Manager 設定がエンドポイントに配布されるかを制御します。詳細については、「Ivanti Neurons と Environment Manager 統合」をご参照ください。
- Performance Manager: IT チームがユーザ密度を最大化し、最適なユーザ エクスペリエンスを実現できるよう、支援します。詳細については、「Performance Manager ヘルプ」をご参照ください。
- 構成: ポリシー グループに適用する Performance Manager 構成を選択します。この構成は、どの Performance Manager 設定がエンドポイントに配布されるかを制御します。詳細については、「Ivanti Neurons と Performance Manager 統合」をご参照ください。
再起動要求
Ivanti Neurons エージェント コンポーネントの更新には再起動が必要になる場合があり、再起動を要求するかどうかと、要求のタイミングを構成できます。 再起動を要求するように追加の Ivanti Neurons エージェント機能を構成できます。 これらの設定を構成するには、関連する機能に移動します。
サーバ デバイスとエンドユーザ デバイスを別々のポリシー グループに含めることをお勧めします。これは、 アクティブなエンドユーザがいないデバイスに対して適切に再起動設定を設定できるようにするためです。
再起動要求後のアクション
Ivanti Neurons エージェントと機能の再起動要求の設定。 これらは、Ivanti Neurons プラットフォーム全体にわたる、このポリシー グループに対して要求されたすべての再起動に適用されます。
- ユーザがサインアウトしたときに再起動: 次回ユーザがサインアウトしたときに再起動する場合に選択します。
- 再起動までの間隔: 次のような構成済みの時間が経過した後に再起動する場合に選択します。
- カウントダウン タイマー: 値と単位 (分、時間、日) を入力します。 最大値は31日です。 カウントダウン タイマーの値は、延長の合計最大時間よりも大きい値にすることはできません。
- シャットダウン メッセージを表示する期間: シャットダウン メッセージを表示する期間を、値と単位 (秒、分) で入力します。 最大値は999秒、または16分です。
- ユーザは再起動を延期できる: 再起動を延長するオプションをユーザに提供する場合に選択します。
- 延長時間: ユーザが選択できる再起動の延長時間を、値と単位 (分、時間、日) で入力します。 最大値は14日です。
- 合計最大時間: ユーザが選択できる再起動の最大延長時間を、値と単位 (分、時間、日) で入力します。 最大値は31日です。 この値は、カウントダウン タイマー値よりも大きい値でなければなりません。 日数を設定するときは、保留中の更新は再起動されるまで有効にならないことに注意してください。
- ユーザはサインアウトまで再起動を延期できる: ユーザが次にサインアウトするまで再起動を延期できるようにする場合に選択します。
- ユーザは再起動をキャンセルできる: ユーザが再起動をキャンセルできるようにする場合に選択します。
エージェント自動更新
Ivanti Neurons エージェントは、自身をバグ修正と機能拡張で自動的に更新します。 更新には再起動が必要になることがあります。
- 必要時に再起動を要求: 再起動が必要なときに再起動を要求する場合に選択します。
- 再起動を要求しない: 再起動を要求しない場合に選択します。 再起動が要求されない場合、一部のエージェント コンポーネントが完全には機能しない場合があります。 手動による再起動が必要になります。
エージェント インストール
新しいポリシー グループの作成時に利用できます。
- Ivanti Neurons エージェントをこのポリシー グループのデバイスにインストールしますか: Ivanti Neurons エージェントをこのポリシー グループ内のデバイスにインストールするかどうかを選択します。
[デバイス認証資格情報を選択] オプションを有効にするには、[はい] を選択し、デバイス アクセスの認証資格情報を選択する必要があります。- デバイス認証資格情報を選択: ポリシー グループ内のデバイスに必要なアクセス認証資格情報を選択します。
- 認証資格情報ストアで認証資格情報を管理します: クリックして、認証資格情報ストアを開きます ([Ivanti Neurons] > [管理者] > [認証資格情報])。 新しい認証資格情報を追加します。 これで、それらの認証資格情報を [ポリシー グループ] > [デバイス認証資格情報を選択] ドロップダウン リストで選択できるようになります。
- 配布担当デバイス: 配布に使用する配布担当デバイスを選択します。 これは、[ローカルの配布担当デバイスを優先させる] を選択すると上書きされます。 ただし、選択したデバイスがローカル サブネット上にある場合を除きます。
- ローカルの配布担当デバイスを優先させる: 上で指定した配布担当デバイスを使用する前に、ローカル サブネット上の配布担当デバイスを検索したい場合に選択します。 ターゲット デバイスと同じサブネット上に配布担当デバイスが見つかった場合、指定したデバイスではなく、その見つかったデバイスが使用されます。 見つからなかった場合は、指定した配布担当デバイスが使用されます。
- デバイス認証資格情報を選択: ポリシー グループ内のデバイスに必要なアクセス認証資格情報を選択します。
- 配布担当デバイス A と C はサブネット1上にあります
- 配布担当デバイス B はサブネット2上にあります
- サブネット3には配布担当デバイスはありません
- 配布担当デバイス A または C は、最初に見つかったものに応じて、サブネット1への配布を試行します。
- 配布担当デバイス B は、サブネット2への配布を試行します。
- 配布担当デバイスが存在しないため、サブネット3での配布は失敗します。
- 配布担当デバイス A は、サブネット1、2、3への配布を試行します。
- 配布担当デバイス A は、サブネット1および3への配布を試行します。
- 配布担当デバイス B は、サブネット2への配布を試行します。
1、2、3という3つのサブネットと、A、B、Cという3つの配布担当デバイスがあります。
シナリオ1: 配布担当デバイスを、既定の [ローカルの配布担当デバイスを使用する] のままにします
シナリオ2: 配布担当デバイス A を選択し、[ローカルの配布担当デバイスを優先させる] チェックボックスをオフのままにします
シナリオ3: 配布担当デバイス A を選択し、[ローカルの配布担当デバイスを優先させる] チェックボックスをオンにします
認証資格情報を提供しないことを選択するには [いいえ] を選択します。グループ作成時には、エージェントがインストールされていないデバイスがグループ内にあることを警告するメッセージが表示されます。
[次の手順 - デバイスの選択]: 新しいポリシー グループの作成時にのみ表示されます。 デバイス リストが表示されます。 このグループ ポリシーの割り当て先となるデバイスを選択し、[配布エージェント] をクリックします。
[変更の配布]: 既存のポリシー グループの編集時にのみ表示されます。 変更内容をポリシー グループ内の全デバイスに配布することを選択します。