エージェント設定:リモート コントロール
[ツール] > [構成] > [エージェント設定] > [リモート コントロール]
[リモート コントロール設定] ダイアログボックスを使用し、複数のリモート コントロール設定を指定および保存できます。
[一般設定] ページについて (2022以降)
- リモート コントロールを許可する: リモート コントロール エージェントがリモート コントロール要求を受信できるようにします。
- リモート コントロール:デバイスの制御を許可します。
- 表示のみ: リモート コントロール セッションは表示のみになります。リモート コントロール ビューアではリモート コンピュータを表示できますが、制御することはできません。
- プログラムをリモート デバイスで実行する:デバイス上でのプログラムの実行を許可します。
- 管理者として実行する:管理者権限でプログラムを起動します。
- ファイル転送:リモート コントロール ビューアによって、ファイルをリモート コンピュータと交換できます。
[一般設定] ページについて (2021.1以降)
[リモート コントロール設定] ダイアログ ボックスの [一般設定] ページには、次の機能が含まれます。
- HTML アクセスを許可: リモート コントロール エージェントが HTML リモート コントロール要求を受信できるようにします。
- HTML アクセスを許可: リモート コントロール エージェントがレガシ リモート コントロール要求を受信できるようにします。
許可
- リモート コントロール:デバイスの制御を許可します。
- ドロー:デバイス上でのビューア ウィンドウのドロー ツールの使用を許可します。
- 表示のみ: リモート コントロール セッションは表示のみになります。リモート コントロール ビューアではリモート コンピュータを表示できますが、制御することはできません。
- プログラムをリモート デバイスで実行する:デバイス上でのプログラムの実行を許可します。
- 管理者として実行する:管理者権限でプログラムを起動します。
- 再起動:リモート コントロール ビューアによって、リモート コンピュータを再起動できます。
- ファイル転送:リモート コントロール ビューアによって、ファイルをリモート コンピュータと交換できます。
- チャット:デバイスとのチャットを許可します。
[インジケータ設定] ページについて (2022以降)
[リモート コントロール設定] ダイアログ ボックスの [インジケータ設定] ページには、次の機能が含まれます。
- 浮動デスクトップ ウィンドウ: 有効にすると、小さなリモート コントロール通知ウィンドウがデスクトップに表示されます。
- リモート コントロール時のみ表示する: 通知ウィンドウは、アクティブはリモート コントロール セッションがあるときにのみ表示されます。
- 常に表示する: 通知ウィンドウが常に表示されます。
[インジケータ設定] ページについて (2021.1以前)
[リモート コントロール設定] ダイアログ ボックスの [インジケータ設定] ページには、次の機能が含まれます。
- 浮動デスクトップ アイコン:デバイス画面上に常時またはリモート コントロールされているときに [リモート コントロール エージェント] を表示します。コンソールで制御されているときには、アイコンが変わって拡大鏡が表示され、アイコンのタイトルバーが赤くなります。
- システム トレイ アイコン:システム トレイに [リモート コントロール エージェント] アイコンを配置します。この場合でも、アイコンは常時またはリモート コントロールされているときに表示されます。
[アクセス権設定] ページについて
[リモート コントロール設定] ダイアログ ボックスの [アクセス権設定] ページには、次の機能が含まれます。
- アクセス権は不要、フル アクセス
- エンド ユーザはアクセス権を持ち、ログインする必要がある
- エンド ユーザはログインしている場合にのみアクセス権が必要
- エンド ユーザはアクセス権が必要
- カスタム メッセージを表示:
ここで作成した、次のいずれかを実行する権限を求めるカスタム メッセージを、ユーザに表示します。:
- リモート コントロール
- リモート実行
- ファイル転送
- すべてのアクセス権
- 録画
- 次の時間経過後にアクセス権メッセージボックスを閉じる:ユーザは管理デバイスに対するアクセス権 (秒数) を許可または拒否できます。この構成可能な時間設定は、管理デバイスをリモート コントロールするアクセス権を要求するときに、アクセス権ウィンドウが開いている時間を示します。
[セキュリティ設定] ページについて
リモート コントロールを配布するときは、使用するセキュリティ モデルについて検討する必要があります。次の選択肢があります。
- Windows NT セキュリティ/ローカル テンプレート :コンソールからリモート デバイスにリモート コントロール接続を開始できるユーザをリモート コントロール オペレータ グループのメンバだけに制限します。この場合でも、許可されたユーザは、このダイアログ ボックスの [権限設定] ページの許可セットを使用する必要があります。
リモート コントロール オペレータ グループはローカル グループなので、各デバイスは独自のグループのコピーを持っています。各デバイスのリモート コントロール オペレータ グループを個々に管理することを避けるには、各ローカル グループを含むグローバル (ドメイン レベル) グループを含めます。許可されたユーザであっても、デバイスのリモート コントロール設定 (必要な許可など) を使用します。
このモデルでは、コア サーバと通信する必要がありません。リモート コントロール オペレータとリモート デバイスの間では認証資格情報が交換されるため、このオプションではセキュリティが低下する可能性があります。 - Windows NT セキュリティ サーバ認証。 このオプションはバージョン2019 SU2で追加されました。このオプションは Windows NT セキュリティ/ローカル テンプレート オプションに似ています。主な違いは、リモート コントロール アカウント認証資格情報を管理する方法です。サーバ認証オプションでは、リモート デバイスがリモート コントロール グループ メンバーのリストをコア サーバに送信します。コア サーバはリモート コントロール グループ メンバーシップと認証を検証します。認証資格情報をリモート デバイスに送信する必要がなく、このオプションの安全性が高まります。
コア サーバが認証を処理しているため、このモデルはコア サーバと通信する必要があります。 - 統合セキュリティ:これはデフォルトの最も安全なオプションです。統合セキュリティについては、次の項で説明します。
統合セキュリティについて
統合セキュリティは新しい既定のセキュリティ モデルです。統合セキュリティ リモート コントロールの通信フローを次に示します。
- リモート コントロール ビューアが管理デバイスのリモート コントロール エージェントに接続しますが、エージェントは統合セキュリティ認証が必要であると応答します。
- ビューアは、コア サーバからリモート コントロール権限を要求します。
- コア サーバは、ビューアのスコープ、役割ベース管理権限、および Active Directory 権限にもとづいてリモート コントロール権限を計算します。コア サーバは、セキュアな署名済みドキュメントを作成してビューアに返します。
- ビューアにより、管理デバイス上のリモート コントロール エージェントにこのドキュメントが送信され、ここで署名済みドキュメントが検証されます。すべて正しい場合には、エージェントがリモート コントロールの開始を許可します。
WARNING: 統合セキュリティには、コア サーバが必要です
統合セキュリティ リモート コントロールでコア サーバが使用できない場合、コンソールはデバイスをリモート コントロールできません。統合セキュリティ リモート コントロールを行うには、コア サーバが必要です。
Windows NT セキュリティ オプション
セキュリティ モデルとして [Windows NT セキュリティ/ローカル テンプレート] または [Windows NT セキュリティ サーバ認証] を選択した場合、コンソールのユーザまたは選択した Windows NT ドメインのユーザが [リモート コントロール オペレータ グループ] ボックスと [表示のみグループ] ボックスに一覧表示されます。ここで選択するユーザは、この構成設定ファイルで定義されている設定を受け取るデバイスへのリモート コントロール アクセスが可能となります。[表示のみグループ] のユーザは、リモート デバイスの表示のみが許可されます。マウスまたはキーボードを制御することはできません。
ユーザをいずれかのリモート コントロール グループに追加するとき、コンソールは、Ivanti コンソールのユーザの認証資格情報ではなく、ログオンしているユーザの Windows 認証資格情報を使用して、ドメインのユーザを一覧表示します。[以下のユーザの一覧] ボックスに必要なドメインが表示されていない場合は、そのドメインの権利を持つユーザとして Windows にログインしてください。
既存のサーバまたはドメインから選択するには
- [リモート コントロール] ページで、[Windows NT セキュリティ/ローカル テンプレート] または [Windows NT サーバ認証] をクリックしてから [追加] ボタンをクリックします。
- [ユーザを一覧表示] ボックスで、コア サーバ名またはユーザ アカウントを含む Windows NT ドメイン名のいずれかを選択します。
- ユーザ リストで、1 人以上のユーザを選択して [挿入] をクリックし、選択したユーザを [挿入した名前] リストに追加します。
- [OK] をクリックして、これらの構成設定を受け取る各デバイスのリモート コントロール オペレータ グループに選択した名前を追加します。
- これらのユーザを [表示のみグループ] に追加するには、該当するユーザを選択して移動させます。ユーザが属すことができるグループはどちらか 1 つだけです。
手動で名前を入力するには
[挿入された名前] リストをクリックし、次の形式を使用して名前を入力することにより、手動で名前を入力できます。複数の名前を区切るには、セミコロンを使用します。
- DOMAIN\<ユーザ名>: DOMAIN はターゲット デバイスにアクセスできるドメインの名前です。
- MACHINE\<ユーザ名>: MACHINE はターゲット デバイスと同じドメインにあるデバイスの名前です。
- DOMAIN\<グループ名>: DOMAIN はターゲット デバイスにアクセスできるドメインの名前です。<グループ名> はそのドメインの管理グループの名前です。
- MACHINE\<グループ名>: MACHINE は管理ノードと同じドメインにあるデバイスの名前です。<グループ名> はそのデバイスの管理グループの名前です。
ドメインまたはデバイス名を指定しない場合、対象となるユーザまたはグループはローカル デバイスに属するものと見なされます。
[OK] をクリックして、名前をターゲット デバイスのリモート コントロール オペレータ ユーザ グループに追加します。
[セッション設定] ページについて (2022以降)
[リモート コントロール設定] ダイアログ ボックスの [セキュリティ設定] ページには、次の機能が含まれます。
- エンド ユーザがセッションを終了できる:このオプションが選択されている場合、現在リモート コントロール対象のユーザはリモート コントロール フローティング アイコンまたはシステム トレイのアイコンを使用し、アクティブなリモート コントロール セッションを停止できます。このオプションが選択されていない場合、ユーザはアクティブなセッションを停止できません。
[セッション設定] ページについて (2021.1以前)
[リモート コントロール設定] ダイアログ ボックスの [セキュリティ設定] ページには、次の機能が含まれます。
- セッション終了時にリモート コントロール コンピュータをロック:ユーザのログイン状況に関係なく、管理デバイスをセキュア モードの状態にロックします。
- ユーザがログアウトまたはコンピュータをロックする場合にリモート アクセスを終了する:ユーザがログアウトまたはコンピュータをロックする場合、リモート コントロール セッションを自動的に終了します。
- エンド ユーザがセッションを終了できる:このオプションが選択されている場合、現在リモート コントロール対象のユーザはリモート コントロール フローティング アイコンまたはシステム トレイのアイコンを使用し、アクティブなリモート コントロール セッションを停止できます。このオプションが選択されていない場合、ユーザはアクティブなセッションを停止できません。
- 次の時間経過後に非アクティブのセッションを終了:このタイムアウト時間中に、マウスまたはキーボード操作がリモート コントロール ビューア経由で送信された場合、セッションが終了します。
[録画設定] ページについて (2020.1以降)
詳細については、「リモート コントロール セッションの録画 (2020.1 SU3)」をご参照ください。
[通知] ページについて
このページを使用して、ユーザのデバイスに表示されることになるリモート コントロール通知をプレビューします。[プレビュー] ボタンをクリックすると、ローカル コンピュータ上にサンプル通知が表示されます。通知の外観を変更したい場合は、「管理されたデバイスでの通知メッセージのカスタマイズ」をご参照ください。