新機能

アプリ コントロールの成功を左右するのは「信頼できる所有権」です。この「信頼できる所有権」により、信頼できるアカウント (管理者や信頼できるインストーラなど) によって所有されている実行ファイルは別として、実行ファイルを実行できないようにします。 つまり、ユーザがインストールした、または変更したものはどれも、実行できません。 成熟した組織において、これは、ユーザがインストールしたアプリケーションがブロックされることの正当化につながる可能性があります。 これを防ぐため、アプリ コントロールでは、ブロックされる可能性のあるアプリをユーザが特定し、許可ルールと呼ばれる例外を作成できるようになっています。これにより、生産性に影響を与えることなく、セキュリティを維持できます。 これらのルールは、特定のソフトウェア バージョン、場所、ユーザ、デバイス、または IP アドレスに適用されるように構成できます。

信頼できる所有権の影響を受ける可能性のあるソフトウェアを特定するには、[監査のみ] モードで構成を開始することをお勧めします。 これにより、アプリ コントロールは、何が実行されているかについての情報を、何ら制限を課すことなく収集できます。 収集されたデータはグラフで表され、管理者は、どのような許可ルールを作成するかを決定できます。

さらに、信頼できる所有者によって所有されているアプリケーションであっても、特定の環境下では実行されないようにする、拒否ルールを作成できます。 これは、自動的にすべてのデバイスにインストールされるが、特定のユーザによってのみアクセスされることを意図している、機密アプリケーションの場合に役立ちます。

信頼できる所有権についての関連動画を見る (4:39)

アプリ コントロールの2つ目の主要機能は、必要なタスクや特定のユーザに対してのみ権限の昇格を可能にすることで、環境内の管理者の数を削減する機能です。 アプリのブロックと同様、アプリ コントロールは、現在誰が何に対して管理者権限を必要としているのかについて、データを収集できます。 この情報は管理者にとって、特定のアクティビティに対して昇格された権限を必要としているユーザがそれらのタスクを、永久的な管理者アクセスを持たずに実行できるようにするためのルールを作成する上で役立ちます。

昇格された権限についての関連動画を見る (2:00)

ユーザは、10GB の無料ストレージにアクセスできます。 このスペースへのファイルのアップロードとファイルの削除は、アプリ パッケージ内で [ダウンロード] アクションからアクセスできる、クラウド ストレージ エクスプローラを通じて管理します。

Neurons エージェントがプロキシ サーバを使用するように構成されている場合に、アプリの配布が正しく機能するようになりました。

ユーザはアプリ ポータルを Windows デバイスに配布できます。 これには、エンド ユーザに割り当てられたアプリが含まれ、エンドユーザはそれらのアプリを必要に応じてインストールできます。 これは段階的なロールアウトとなり、限定数のお客様にご利用いただけます。 完全なロールアウトは11月末を予定しています。

これらの新規クエリは、デバイス上で構成されているすべての Ivanti Application Control (AC) 構成および Environment Manager (EM) 構成の概要を示します。 このクエリは、AC/EM 構成が Neurons AC/EM (Hybrid) 配布を通じて配布されている場合にのみ、データを返します。

デバイス上の Ivanti Environment Manager (EM) イベントを問い合わせることができる新規センサーが追加されています。 たとえば Ivanti Environment Manager のイベント要約センサー、イベント概要センサー、詳細センサー、アクション パフォーマンス センサー、アクション パフォーマンス詳細センサーなどです。 これらのセンサーが機能するための前提条件として、デバイスに EM エージェントがインストールされている必要があります。

Edge Intelligence 設定にある位置情報設定が Mac デバイスでサポートされるようになりました。 つまり、Edge Intelligence 設定で位置情報設定の完全な構成ができるようになりました。 Edge Intelligence UI の古い設定は不要になったため削除されました。

詳細については、Edge Intelligence 設定をご参照ください。

さまざまなクエリで、パラメータとして「開始日」と「終了日」を指定することで時間範囲を定義していました。 これが、「過去x日間」という日付/時刻範囲を指定するためのいくつかの組み込みオプションをサポートする、「日付範囲」という1つのパラメータに変更されています。 従来どおりカスタム範囲を定義することも可能です。

さまざまなクエリが機能拡張されています。 [オペレーティング システム] という追加のプロパティが、ランディング ページ [エージェントの概要] に追加されました。 [デバイス ダッシュボード] クエリは、ローカルのデバイス時刻を表示するようになりました。 BIOS 情報クエリは、特性がより明確になるように再構成されました。

ボット入力を使用する場合に、新しい「テキスト/文字列のリスト」タイプが追加されており、実行時に値のリストをボットに渡せるようになっています。 さらに、「Web リクエスト」ステージのポイント先が、応答の一部として複数のフィールド レベルの配列を返す API である場合は、ボットを利用してその応答を処理できるようになりました。

Web リクエスト ステージで、既定では、データ型 (日付、番号、ブールなど) が自動的に判別され、get コマンドに対する JSON 応答のチェックボックスへの自動マッピングが試行されるようになったため、管理者は、ボットで使用するデータ型を選択しておくだけで、出力として利用できるようになります。

Edge Intelligence センサーを介して Windows イベント ログから取得された、最近使用されたリムーバブル ストレージ デバイスの詳細を返す、新しいクエリ ステージが追加されました。 必要に応じて特定の日付でフィルタリングできる、デバイスの履歴も表示されます。

リスト データを処理する際の柔軟性を加えるためのフィールド レベル配列のサポートに伴い、数多くの新しいリスト ステージが追加されました。 リストの平均値を求める、リストをフィルタリングする、リスト内を検索する、リストを含むリストを平坦化する、長さをリストする、リスト内の1番目を選択する、リストをソートする、リストを合計する、といった新しいステージがあります。 For-Each ステージも、パフォーマンスが最適化され、ステージのリスト セクションに移されています。 ステージに関するさらなる詳細は、ステージ情報の説明内にあります。

詳細については、リスト機能ステージをご参照ください。

該当するステージで人間が判読可能な日付を生成できるようにする新機能が追加されました。 この機能は、互換性があるステージの [詳細設定] 領域にあり、テキスト ボックス挿入 (トークン) や電子メール本文で使用できます。

構築プロセスを合理化し、パブリック グループに不要なテスト デバイスを含める必要を回避するため、ボットの構築時と [今すぐ実行] 機能の使用時にプライベート グループをターゲットとする機能が追加されています。

ボットのホーム画面に新しいエクスペリエンスが追加されました。 実行済みのボットを経時的に、実行されたエンドポイント対話数に関する詳細も含め、ボット別に分類して表示できます。 また、負荷を最適化し、ネットワーク上の要求の急増を軽減するため、実行が多少長い期間にわたる影響の大きいスケジュール済みボットに対する可視性も提供します。 影響の大きいボットとは、5分という時間枠で数千回の対話を実行するボットであり、処理されるステージの数をターゲットとなるエンドポイントの数で乗じた働きです。 人間がトリガしたボットは、このメカニズムをバイパスします。

レポート UI は、トリガ別にフィルタリングできるため、デバイス ビューやユーザ ビューからのカスタム アクションの使用状況を経時的に表示するのにも役立ちます。

詳細については、「エンドポイント連携」をご参照ください。

ボットのホーム ページに新しい [設定] 領域が追加されました。 管理者はこの領域で、実行中の、成功した、または失敗したスケジュール済みボットのオプションに基づいて電子メール通知を受け取るべきメンバーが属するロール、またはユーザを選択できます。

デバイスとユーザのインベントリ ステージが新たに作成されました。 これにより、ボットを通過するデバイス データやユーザ データの強化が可能になり、そのデータを、電子メール レポート、Web 要求、ITSM チケットなど他のステージに分岐または挿入するためのフィルタで活用できます。 これらは早期アクセスとして利用可能であり、フィードバックに基づいてより広く展開されていきます。

ServiceNow を活用するユーザ向けに、ボットを使用してチケットを作成または更新できるようになりました。 資産をチケットにリンクするオプションや、デバイス/ユース ケースに対して既にチケットが存在する場合に重複して作成しないようにするオプションがサポートされています。 チケットのライフサイクル全体を1つのボットで管理するためなどにも使用できます。たとえば、 問題を検出し、チケットを開き、診断を実行して、チケットに記録できます。 アクションを実行して、結果をチケットに記録し、問題が解決した場合はチケットをクローズ状態に移します。 または、必要に応じてチケットをワークフローに再割り当てするか、優先順位などの他のメタデータを変更します。

管理者がボット (ユーザ モード) を使用して任意の Entra ID アカウントを無効化できる新しいステージが追加されました。 これは、数多くのシナリオを対象としてよりパワフルな修復の可能性を持たせるための数多くの新しいユーザ アクション ステージのうちの最初のステージです。

パッチ中心型、デバイス中心型、および配布履歴という、すぐに使える3つのレポート テンプレートを含む、新しいレポート機能がパッチ管理に導入されました。

ユーザはさまざまなフィルタを適用してレポートをカスタマイズし、PDF、Excel、または CSV 形式でレポートをエクスポートできます。 これらの機能により、準拠の追跡や、セキュリティ関連の問題に対する効率的な対処を、簡単に行えるようになります。

詳細については、レポートをご参照ください。

2つのパッチ管理データセットがダッシュボード デザイナーに追加されています。 一方のデータセットは配布履歴に焦点を当てたものであり、もう一方はデバイス パッチのスキャンに関するデータを提供します。 これらの新しいデータセットを使用して、ユーザは、デバイス、パッチ、脆弱性、配布履歴など、パッチ適用の鍵となる側面をカバーする、対話式で包括的なダッシュボードを作成できます。

以前は、直近に実行されたコネクタ レポートによって、パッチ インストールのステータスが判別されていました。 パッチのインストール ステータスは、Neurons パッチ エンジンからの最新のスキャンから取得されるようになりました (入手可能な場合)。 Ivanti Endpoint Manager コネクタからのスキャンのほうが Neurons スキャンよりも新しい場合は、前者が使用され、他のコネクタからのスキャンは、前回の Neurons スキャンからの経過日数が7日を超えている場合にのみ使用されます。

時の経過とともに脆弱性やエクスプロイトによるリスクは悪化の一途をたどり、組織全体にわたるデバイス群に継続的にパッチを適用することが課題となっているため、情報技術チームおよび情報セキュリティチームは、最も重大なパッチの後に最も重要なパッチが確実に適用されるようにしなければなりません。

Ivanti Neurons for Patch Management では、さまざまなリスク モデルに基づいて配布条件を設定できるようになりました。

• VRR (脆弱性リスク評価) – このスコアリング モデルは、共通脆弱性スコアリング システム(CVSS)、共通脆弱性タイプ一覧 (CWE) データ、OWASP (オープン ウェブ アプリケーション セキュリティ プロジェクト)、オープンソースの脅威インテリジェンス、特定分野の専門知識、傾向情報などに加えて、エクスプロイト発生のリスクや積極的なエクスプロイトの可能性を考慮します。 パッチ構成中に選択条件としてカスタムの VRR スコアを入力できます。
• CVSS (共通脆弱性スコアリング システム) – このスコアリング システムは、脆弱性を評価するための標準として広く受け入れられており、さまざまな要因を使用してスコアを決定します。 ただし、このスコアは大部分が固定的であり、進化した攻撃や経時的なエクスプロイトのシナリオは説明されません。 パッチ構成中に選択条件としてカスタムの CVSS スコアを入力できます。
• 悪用された脆弱性 – この条件は、収集されたインテリジェンスに基づいて、積極的に悪用されている既知の脆弱性の第一のターゲットとなるパッチを考慮します。

必要に応じて、これら3つの条件をすべて同時に適用できます。

詳細については、構成動作をご参照ください。

セキュリティ パッチと非セキュリティ パッチの両方について、パッチ構成内で、Linux 重要度レベル (重大、重要、標準など) に基づいて、配布条件を設定できるようになりました。

詳細については、構成動作をご参照ください。

Windows 10と Windows 11の一部のバージョンでは、同じコア オペレーティング システムおよびファイル システムが共有されています。 新しいバージョンで公表された数多くの機能が、休止状態の以前のバージョンにも存在しています。 そのため、有効化パッケージを配布して、1回の再起動を必要とするだけで、これらの機能をライセンス認証できます。

Windows デバイス用の有効化パッケージを、[定期メンテナンス] でコンソールを通じて、直接配布できるようになりました。 置き換えられたパッチを表示および選択するオプションにより、デバイスの OS バージョンに基づいて複数のパッケージを選択できます。

例: 有効化パッケージ MSNS20-12-W10-4562830を使用して、Win 10バージョン20H2でリリースされた新しい機能を Win 10バージョン2004でライセンス認証できます。

詳細については、構成動作をご参照ください。

対話式フィルタと、配布の成功、失敗、進行中に関連するステータス カードにより、配布履歴が強化されています。 多くのオプション (過去1時間、4時間、24時間、7日、カスタム範囲) を含むドロップダウンを使用して、パッチ ビューとデバイス ビューの期間を変更できます。 グリッドに表示されている配布履歴データは、選択された期間に応じて動的に変化します。

失敗した配布の影響を受けたデバイスが下のグリッドに表示されている間、失敗した配布の上位10を、その理由とともに、対話式棒グラフで確認できます。

詳細については、「配布履歴」をご参照ください。

再起動は、Ivanti Neurons エージェント内の共有リソースです。 エージェント プラットフォームは、再起動の遅延またはエンドポイントの即時再起動を要求する機能を、各エンジンに提供します。

これの実質的影響は、再起動が妨げられている間、複数の再起動要求を積み重ねることができる点です。 このシナリオにおいて、エージェントは、1回の再起動を実行するだけで、それら個々の要求すべてを満たします。

各種エンジンがさまざまな再起動スケジュールを要求することで、操作の一部として再起動を要求するエンジン内での隠れた失敗につながることがあります。

そのため、再起動が優先されるタイミングを決定する重要度レベルを導入しました。

各製品機能または構成が、中央の再起動メカニズムに対し、それぞれ独自の重要度レベルを通知します。

以下のレベルがあります。

• 重大: 重大な依存関係を解決するため今すぐ再起動が必要な項目 (例: ゼロデイ パッチ) 向け。
• 必須: 新規/更新された機能を正常に機能させるために (例: 新規エンジン更新) 再起動が必要な場合向け
• 推奨: 何らかが再起動を要求する可能性はあるが、緊急ではない場合向け。

遅延、メッセージング、および再起動のタイミングを構成するという観点で、各重要度レベルがどのように処理されるかを、エージェント ポリシー内でお客様が決定できます。

ポリシーごとに最小重要度レベルを構成する、望ましい緊急レベルだけに再起動を制限する、「再起動を要求しない」設定にする、といったことが可能です。

これにより、ユーザには、次のような既存の既知の再起動制限に対処する、一元的な、標準化された再起動メカニズムが提供されます。

• パッチ管理のユーザは、配布前および配布後の再移動を、ユーザ インターフェイスの同じ領域から、できれば異なる再起動オプションを使用して構成する必要がある。
• ゼロデイ パッチの設定では、即時の再起動が必要であり、既に保留中の再起動延期があればすべて上書きする必要がある。
• 多くのユーザは、ドメイン コントローラや SQL クラスタなどの重要なサーバはオンライン状態のままであることを求め、したがってこれらのデバイス用の、再起動を完全に防止するためのオプションを必要とする。

詳細については、「エージェント ポリシー: 再起動エクスペリエンス」をご参照ください。

すぐに実施可能な内容を特定できるよう、ヘルプ トピック「必須の URL、IP アドレス、ポート」および「オペレーティング システム互換性マトリクス」に改定履歴が含まれています。

以前のバージョンでは、デバイスのグループ化において1レベルのグループ化のみが許されていました。 今回、「条件のグループ化」、つまりグループ内でのグループ化がサポートされています。 これにより、グループ化がより強力になり、目的のデバイスをフィルタリングしやすくなっています。

以前のバージョンでは、グループ フィルタリングにおいて日付を1つしかフィルタに入力できませんでした。 日数を入力できる新しいフィルタ オプションが用意されています。 こにより、より動的なフィルタを設定できます。

削除ボタンを非表示にする権限が用意されています。 これにより、デバイス ビューからデバイスを削除できるユーザ、できないユーザを限定して、セキュリティを高めることができます。

パブリック グループを作成/変更するメンバーに割り当てることができる権限が用意されています。 これにより、組織内でパブリック グループを作成および変更できるユーザ、できないユーザを限定できます。

電源管理設定を作成し、その設定をポリシーを通じてデバイスに配布できるようになりました。 以下の設定があります。

• ハードディスクの電源を切る
• 次の時間経過後にスリープ
• 次の期間経過後、休止状態：
• ウェイク タイマーを許可する

デバイスの DEX スコア、ユーザの DEX スコア、組織の DEX スコアという3つの DEX スコアのデータセットがダッシュボードデザイナーに追加されました。 3つすべてのデータセットで、Neurons Bots 経由で実施された調査からのスコアも利用できます。 さらに、組織の DEX スコアに関しては、スコアが日々追跡されるようになり、経時的な傾向分析が可能になっています。