Ivanti クラウド サービス アプライアンスの構成
Ivanti Cloud Services Appliance (CSA) はインターネット アプライアンスであり、インターネット上での安全な通信と機能を提供します。これは、ファイアウォール使用時やプロキシ経由でインターネットにアクセスしているような場合であっても、インターネット接続を使ってコンソールと管理デバイスが接続する経由点として機能します。
このトピックでは次の項目について説明します。
追加の CSA 情報については、Ivanti コミュニティで以下の CSA 関連記事をご参照ください。
- LANDesk Cloud Service Appliance をインストールして構成するための既知の最も良い方法
- サード パーティ証明書を Cloud Service Appliance に追加する方法
- Ivanti クラウド サービス アプライアンス情報
複数の Cloud Services Appliance の使用
複数の CSA をインストールできます。たとえば、複数の CSA により、負荷を分散できます。コア サーバを構成し、複数の CSA を使用するときには、任意の構成された CSA を管理デバイスで使用し、コアに接続できます。管理デバイスが使用する CSA は、デバイスのエージェント構成で指定された CSA によって異なります。自動負荷分散またはフェールオーバーはありません。CSA 負荷を分散する場合は、各 CSA のカスタム エージェント構成を作成し、これらのエージェント構成を選択的に配布します。
Cloud Services Appliance を使用するためのコア サーバの構成
クラウド サービス アプライアンス (CSA) は VMWare 仮想マシン イメージとして個別に購入できます。CSA をインストールした時点で、使用するためにコアを構成する必要があります。
[構成] > [Cloud Services Appliance の管理] オプションは、コア サーバのManagement コンソールからのみ使用できます。他のコンソールにはこのオプションがありません。Ivanti 管理者権限を持つユーザのみが CSA 構成を変更できます。
Cloud Service Appliance をコア サーバに接続するには
- コア サーバのManagement コンソールで、[構成] > [Cloud Service Appliance の管理] をクリックします。
- [Cloud Service Appliance] タブで、CSA 情報を指定します。
- CSA が公開アドレスと異なる内部アドレスを使用している場合 (DMZ タイプの環境に配置されている場合など) は、[CSA 内部アドレス] および [CSA 内部 IP アドレス] を指定します。
- コア サーバがプロキシを使って CSA に接続されている場合は、[プロキシを使用する] を選択してプロキシ設定を指定します。
- [適用] をクリックします。CSA 設定が正しい場合、新しい CSA がリストに表示されます。
また、リストで CSA を選択し、右側の設定を変更できます。変更が完了したら、[適用] をクリックします。コア サーバが CSA に接続し、コアのセキュリティ証明書を CSA にインストールして登録します。
クライアント証明書の管理
各管理デバイスが CSA に接続するには、それぞれ有効なデジタル証明書が必要です。コアのクライアント証明書を使用したセキュリティが有効な場合は、管理対象のデバイスの Ivanti エージェントでも安全なコア データを復号化するために、有効な証明書が必要です。これらの証明書はエージェント インストール中に自動的に生成されますが、既定では未承認状態であり、CSA 経由での通信と安全なコア データの復号化ができなくなっています。
証明書が付与されたデバイスのリストを管理するには、これらのデバイス証明書をブロックまたは削除します。検索ボックスを使用すると、リストを簡単に絞り込むことができます。
デバイス証明書を承認し、CSA アクセスと安全なコア データの暗号化を許可します。既定では、未承認の証明書数が10以上になると、コアサーバが通知します。ダイアログボックスの下部では、この通知をカスタマイズまたは無効にできます。
CSA を使用したコア サーバとの通信または安全なコア データの復号化を一時的に停止するには、デバイス証明書をブロックします。アクセスを復元する場合は、後からブロック解除できます。
デバイス証明書を削除する場合は、リストから削除されます。証明書はデバイスに残ります。デバイスが後から再接続を試みる場合、またはセキュリティ スキャンを実行する場合 (再接続の試みをトリガする)、リストに再表示されます。
デバイスがコア サーバと同じネットワーク上にあり、[クライアント接続設定] の下の [エージェント設定] ツールで [動的に接続ルートを決定する] オプションの設定が選択されている場合、ブロックまたは削除されたデバイスでもコア サーバと通信できます。
また、[新しい証明書を自動的に承認する] オプションもあります。すべての新しいデバイスにコアへのアクセス権を付与するため、このオプションは推奨されません。ただし、大量のデバイスの登録など、特定の状況では、管理者が短時間の間このオプションを有効にすることができます。
デバイス証明書を承認、ブロック、または削除するには
- コア サーバのManagement コンソールで、[構成] > [Cloud Service Appliance の管理] をクリックします。
- [クライアント証明書の管理] タブで、承認、ブロック、または削除するデバイスを選択します。Shift + クリックまたは Ctrl + クリックで複数のデバイスを使用できます。
- [選択した証明書の承認] をクリックすると、選択したデバイス証明書を承認します。
- [選択した証明書のブロック] をクリックすると、選択したデバイス証明書をブロックします。
- [選択した証明書の削除] をクリックすると、選択したデバイス証明書をコアサーバから削除します。
- 終了したら、[適用] をクリックします。
オンデマンドのリモート コントロール エージェント パッケージの作成
まだ CSA 経由での接続が構成されていないデバイスからダウンロードできる、オンデマンド リモート コントロール エージェント実行可能ファイル パッケージを作成できます。これにより、CSA からのリモート コントロールが可能になります。
リモート コントロール ダウンロード可能エージェントには 2 つの部分があります。
- 使用する CSA。
- 許可するリモート コントロール機能を指定するリモート コントロール設定ファイル。
リモート コントロール パッケージを作成するときに、[セキュリティ設定] で [ローカル テンプレート] または [Windows NT セキュリティ] を選択していることを確認します。CSA は統合セキュリティをサポートしません。
オンデマンドのリモート コントロール エージェントを作成するには
- [構成] > [Cloud Services Appliances の管理] をクリックします。
- [リモート コントロール エージェント] タブで、使用する CSA およびリモート コントロール設定プロファイルを選択します。
- [作成] をクリックします。
- リモート コントロール エージェントを保存する場所を指定します。
- [保存] をクリックします。
リモート コントロール エージェントを作成したら、USB ドライブで配布するか、管理デバイスがダウンロード可能な場所に提示することができます。