クライアント証明書を使用したセキュリティ
Ivanti® Endpoint Manager 2016では、Windows デバイス用の新しいクライアント証明書を使用したセキュリティ モデルが導入されました。このセキュリティ モデルがアクティブになると、有効な証明書があるデバイスのみが安全なコアサーバ データを復号化できます。
バージョン2020.1では、このセキュリティは既定で有効です。セットアップでは、有効にするかどうかを確認されません。バージョン2020.1以降にアップグレードしていて、前のバージョンでクライアント証明書に基づくセキュリティを有効にしていない場合は、このトピックの手順に従う必要があります。
バージョン2016以降でクライアント証明書に基づくセキュリティを有効にし、最新の エンドポイント マネージャ バージョンにアップグレードしている場合は、このトピックの手順に従う必要はありません。
エンドポイント マネージャ バージョン2016以降がネットワーク環境に初めてインストールされる エンドポイント マネージャ の場合は、古いエージェント バージョンが存在しないので、クライアント証明書を使用したセキュリティを安全に有効化することができます。
古いエージェント バージョンのデバイスで、クライアント証明書を使用したセキュリティを有効にする場合は、これらのデバイスではコアサーバからの安全なデータを復号化できず、ほとんどのエージェント機能が正常に動作しません。
クライアント証明書を使用したセキュリティを有効にすると、無効にすることができません。
クライアント証明書を使用したセキュリティを有効にする手順
1.準備状況を評価し、古い (9.x) エージェント バージョンを実行するデバイスを更新する
2.クライアント証明書を承認する
3.コアサーバでクライアント証明書を使用したセキュリティを有効にする
4.クライアントが使用するコアサーバ コンポーネント パスワードを再度暗号化する
5.(コア同期を使用する場合):新しい暗号化鍵を他のコアサーバにコピーする
ステップ 1:管理対象の Windows デバイスの準備ができていることを確認する
[セキュリティ設定] ダイアログボックス ([構成] > [セキュリティ]) にはグラフがあり、管理対象デバイスの証明書に基づく認証の成功率を示します。管理対象デバイスがコアサーバへの安全な接続を試行するとき、またはセキュリティ スキャナ (vulscan.exe) が実行されるときに、接続結果がデバイス インベントリに保存されます。新しいセキュリティ モデルがまだ有効でない場合でも、この処理が発生します。
[認証成功] 状態ではないデバイスは、新しいセキュリティ モデルが有効になった後で、完全に管理できません。通常、これは、デバイスを他の状態にする古いデバイス エージェントです。デバイスが準備できるまでは、新しいセキュリティ モデルを有効にしないでください。
このダイアログボックスのグラフは、接続の試行結果を要約しています。
- 認証成功:デバイスのエージェントがバージョン2016で、安全に接続され、新しいセキュリティ モデルの準備ができています。すべてのデバイスがこの状態になることが推奨されます。
- 認証情報なし:デバイスが安全な接続を試行していないか、セキュリティ スキャナが接続結果をまだコアに報告していません。コアサーバにエージェントがインストールされていない場合は、コアがこのリストに表示されますが、問題はありません。
- 認証失敗:デバイスは認証を試行し、何らかの理由で失敗しました。次のセクションで説明するように、通常、デバイスがクライアント証明書承認 ([構成] > [クライアント アクセスの管理]) を受信していないことが原因です。
- クライアント エージェントのアップグレードが必要:古い (9.x) エージェントを実行しているため、デバイスを認証できません。
グラフの項目をダブルクリックすると、関連付けられたデバイスがネットワーク表示に表示されます。ダブルクリックした項目の動的に作成されたクエリが、[クエリ] > [マイクエリ] > [グラフで生成されたクエリ] の下に表示されます。このビューを使用して、より簡単にデバイスを絞り込むか、トラブルシューティングできます。
接続の詳細情報は、[Ivanti Management] > [クライアント証明書を使用したセキュリティ] > [認証ステータス] の下のデバイス インベントリで確認できる場合があります。
ステップ 2:クライアント証明書を承認する
エンドポイント マネージャ 2016エージェント インストールでは、クライアント セキュリティ証明書も自動的に生成されます。従来は、エージェント インストールの後に、管理者が手動で作業する必要がありました。セキュリティ証明書があるデバイスが最初にコアと通信するときに、コアはそのデバイスの「未承認」エントリを [クライアント アクセス] ダイアログボックスの [クライアント証明書の管理] タブに追加します。管理者は、これらの証明書のコア アクセスを承認またはブロックできます。
クライアント証明書を使用したセキュリティが有効ではない場合、未承認のデバイスは正常に動作しますが、承認されるまでは、Cloud Services Appliance (CSA) 経由で通信できません。
クライアント証明書を使用したセキュリティが有効な場合、未承認のデバイスはコアサーバからの安全なデータを復号化できず、ほとんどのエージェント機能は正常に動作しません。
デバイスの証明書を承認しても、セキュリティ スキャンを実行して新しい認証チェックを実行するまでは、コアはそのデバイスから認証ステータスの更新を取得しません。
承認の進捗状況とステータスの詳細については、[証明書承認ステータス] グラフで確認できます ([ツール] > [セキュリティと準拠] > [セキュリティ アクティビティ])。
クライアント証明書の承認を管理するには
1.[構成] > [クライアント アクセスの管理] をクリックします。
2.有効な未承認のデバイスを選択し、[選択したデバイスの承認] をクリックします。
3.[閉じる] をクリックします。
ステップ 3:コアサーバでクライアント証明書を使用したセキュリティを有効にする
環境がクライアント証明書を使用したセキュリティに対応しているかどうか確実ではなく、有効にする準備ができている場合は、次の手順を実行します。
クライアント証明書を使用したセキュリティを有効にするには
1.[構成] > [セキュリティ] をクリックします。
2.グラフを表示し、警告を読みます。内容を理解し、アップグレードする準備ができていることを確認します。
3.[クライアント証明書を使用したセキュリティ] ラジオボタンをクリックし、有効にします。
4.認証と復号化結果を保存する場合は、任意の項目を選択します。
5.[保存] をクリックします。
6.表示されるセキュリティ設定警告ダイアログボックスをよく読みます。
7.[OK] をクリックして、クライアント証明書を使用したセキュリティを有効にします。準備ができているかわからない場合は、[キャンセル] をクリックします。有効にした後は、無効にできません。
ステップ 4:コアサーバ コンポーネント パスワードを再度暗号化する
クライアント証明書に基づく認証を有効にすると、コアサーバは新しい固有の暗号化鍵を作成し、新しいデータの暗号化で使用します。新しいセキュリティ モデルを有効にした後に変更されていないデータは、古い方法で暗号化されます。管理対象デバイスで共有されている重要なコアサーバ コンポーネント パスワードを再度暗号化するには、新しいセキュリティ モデルを有効にした後に変更します。
優先サーバ パスワードを更新するには
1.[ツール] > [配布] > [コンテンツ複製/優先サーバ] をクリックします。
2.各優先サーバのプロパティで、パスワードを変更します。
ソフトウェア パッケージに保存された認証資格情報を更新するには
1.[ツール] > [配布] > [配布パッケージ] の順にクリックします。
2.ツールバーで、[パッケージ認証資格情報の一括更新] をクリックします。
3.ドメイン\ユーザとパスワード情報を入力します。
4.[更新] をクリックします。
配布とパッチ エージェント パスワードを更新するには
1.[ツール] > [構成] > [エージェント構成] の順にクリックします。
2.ツリーで [配布およびパッチ] をクリックします。
3.各配布とパッチ エージェント設定を編集し、MSI 情報ページで MSI と実行する認証資格情報を更新します。
ステップ5 (コア同期を使用する場合):新しい暗号化鍵を他のコアサーバにコピーする
構成しているコアサーバがコア同期を使用する場合、暗号化鍵を他のコアサーバにコピーする必要があるという別の警告が表示されます。新しい暗号化鍵でデータが暗号化されると、ターゲットコアサーバはこの手順を実行するまでデータを復号化できません。
安全な方法で、次のフォルダの .xml 暗号化鍵をコピーし、ターゲットコアの同じフォルダに配置します。
- C:\Program Files\LANDesk\Shared Files\keys\Compatible
暗号化鍵であるため、取り扱いには注意してください。コアサーバのみがこの鍵にアクセスできるようにしてください。