Active Directory

Vulnerability ProtectionDeep Security Managerでは、Microsoft Active Directoryによるコンピュータの検出をサポートします。検出されたコンピュータはVulnerability ProtectionDeep Security Managerにインポートされ、Active Directoryの構造に従ってグループ化および表示されます。

Microsoft Active Directoryをインポートするには

1. ナビゲーションパネルで [コンピュータ] を右クリックし、[ディレクトリの追加] を選択します。
2. インポートするディレクトリの名前と説明 (Active Directoryのものと一致していなくてもかまいません)、Active DirectoryサーバのIPとポート、および最後にアクセス方法と資格情報を入力します。
   [ユーザ名] フィールドのユーザ名には、ドメイン名を含める必要があります。
   [次へ] をクリックして続行します。
3. ディレクトリの追加ウィザードの2番目の画面で、スキーマの詳細を入力するよう求められます (初期設定値のままにすることができます)。
   Vulnerability ProtectionDeep Security Managerでは、各コンピュータの [詳細] 画面に [説明] フィールドがあります。Active Directoryの「コンピュータ」オブジェクトクラスの属性を使用して [説明] フィールドに入力するには、[コンピュータの詳細の属性] テキストボックスに属性名を入力します。
   Vulnerability ProtectionDeep Security Managerのこの構造とActive Directoryサーバとの同期を自動的に維持する場合は、[このディレクトリとの同期をとる予約タスクの作成] チェックボックスをオンにします。このチェックボックスをオンにすると、ディレクトリの追加が完了したときに予約タスクウィザードが表示されます(この設定は、予約タスクウィザード ([管理]→[予約タスク]) を使用して、後から行うことができます)。[次へ] をクリックして続行します。
4. Managerによるディレクトリのインポートが完了すると、追加されたコンピュータのリストが表示されます。[完了] をクリックします。

これで、[コンピュータ] 画面にディレクトリ構造が表示されます。

Active Directoryのその他のオプション

Active Directory構造を右クリックすると、次のオプションが表示されます。これらのオプションは、[コンピュータ] の下に一覧表示されている通常のコンピュータグループには使用できません。

• ディレクトリの削除
• 今すぐ同期

ディレクトリの削除

Vulnerability ProtectionDeep Security Managerからディレクトリを削除するときは、次のオプションを使用できます。

• ディレクトリおよびすべての下位コンピュータ/グループをDeep Security ManagerVPMから削除します: ディレクトリのデータをすべて完全に削除します。
• ディレクトリを削除しますが、コンピュータのデータおよびグループの階層は維持します: インポートされたディレクトリ構造を、同じ構成の通常のコンピュータグループに変換します。Active Directoryサーバとのリンクは解除されます。
• ディレクトリを削除し、コンピュータのデータを維持しますが、グループの階層は削除します: Active Directoryサーバへのリンクを削除し、ディレクトリ構造を破棄し、すべてのコンピュータを同じコンピュータグループに配置します。

今すぐ同期

Vulnerability ProtectionDeep Security Managerのディレクトリ構造をActive Directoryサーバと同期します。

Vulnerability ProtectionDeep Securityでは、Active Directoryの情報を利用してコンピュータを検出したり、ユーザアカウントや連絡先を作成したりできます。

ポートの要件

Active Directoryとの統合の性質に応じて、次のポートが必要になることがあります。

• ポート389: 非SSLベースのアクセス方式に使用
• ポート636: SSLベースのアクセス方式に使用

サーバ証明書を使用する

コンピュータの検出にはSSLベース方式とクリアテキスト方式どちらも使用できますが、ユーザおよび連絡先に使用できるのは非匿名SSL方式のみです。この制限により、ユーザアカウントおよびその使用は保護されます。SSLベースのアクセス方法はSSL対応のActive Directoryサーバを使用する場合のみ有効です。したがって、ユーザおよび連絡先は適切に設定されたサーバからインポートする必要があります。

SSL対応のActive Directoryサーバには、サーバ証明書をインストールする必要があります。サーバ証明書には、自己署名証明書またはサードパーティの認証局が発行した証明書を使用できます。

証明書の有無を確認するには、Active DirectoryサーバでInternet Information Services (IIS) Managerを開いて、[サーバー証明書] を選択します。

Active Directoryオブジェクトをフィルタする

Active Directoryオブジェクトをインポートする場合は、検索フィルタを使用して、返されるオブジェクトを管理することができます。初期設定では、グループのみが表示されます。フィルタにパラメータを追加して、検索内容を絞り込むことができます。検索フィルタ構文の詳細については、http://msdn.microsoft.com/ja-jp/library/aa746475(v=vs.85).aspxを参照してください。

ユーザおよび連絡先をインポートする

Vulnerability ProtectionDeep Securityでは、Active Directoryからユーザアカウント情報をインポートして、対応するVulnerability ProtectionDeep Securityのユーザまたは連絡先を作成できます。この機能には次の利点があります。

• ユーザはActive Directoryで定義されたネットワークパスワードを使用できる。
• 管理者はActive Directoryからアカウントを一元的に無効にできる。
• Active Directory内の既存情報を利用できるため、連絡先情報 (メール、電話番号など) の保守が簡単になる。

ユーザと連絡先の両方をActive Directoryからインポートできます。ユーザにはVulnerability ProtectionDeep Security Managerの設定権限が付与されます。連絡先はVulnerability ProtectionDeep Security Managerの通知のみ受信することができます。同期ウィザードを使用すると、ユーザとしてインポートするActive Directoryオブジェクトと、連絡先としてインポートするActive Directoryオブジェクトを選択できます。

ユーザまたは連絡先をインポートするには

1. Managerで、[管理]→[ユーザ管理]→[ユーザ] または [連絡先] 画面に進みます。
2. [ディレクトリとの同期] をクリックします。ユーザまたは連絡先情報をはじめてインポートする場合は、サーバ情報の画面が表示されます。この画面のオプションの設定方法については、前出のコンピュータのインポートに関するセクションを参照してください。それ以外の場合は、ディレクトリとの同期ウィザードが表示されます。
3. 適切なアクセスオプションを選択し、ログオン資格情報を入力します。[次へ] をクリックします。
4. [同期するグループの選択] 画面で、各グループの同期オプションを指定します。初期設定は [同期しない] です。グループをVulnerability ProtectionDeep Security Managerと同期するには、[ユーザとして同期する] または [連絡先として同期する] を選択します。
5. [新しいユーザ/連絡先のオプションの選択] 画面で、インポートしたアカウントに設定される初期設定のユーザ役割を定義します。誤って各ユーザに不適切な権限を設定しないように、最小限のアクセス権限が付与された役割を選択します。[次へ] をクリックします。
6. 同期後、インポートしたオブジェクト数を示すレポートが生成されます。[完了] をクリックします。

インポートしたアカウントは、Vulnerability ProtectionDeep Securityアカウントと異なり、アカウントの一般情報を変更できません。

Active Directoryオブジェクトの同期を維持する

一度インポートしたActive Directoryオブジェクトは、Active Directoryサーバと継続的に同期して、最新のアップデートを反映させる必要があります。その結果、たとえばActive Directoryでコンピュータを削除した場合、Vulnerability ProtectionDeep Security Managerでも該当するコンピュータが削除されます。Vulnerability ProtectionDeep Security ManagerにインポートされたActive Directoryオブジェクトが引き続きActive Directoryと同期されるようにするには、Active Directoryのデータを同期する予約タスクを設定することが必要です。ホストのインポートウィザードには、これらの予約タスクを作成するためのオプションが用意されています。

このタスクは予約タスクウィザードを使用して作成することもできます。必要に応じて同期を実行するには、ホストの場合は [今すぐ同期] オプションを使用し、ユーザおよび連絡先の場合は [ディレクトリとの同期] ボタンを使用します。

ManagerからActive Directoryを削除する

コンピュータの検出およびユーザと連絡先に関するVulnerability ProtectionDeep Security ManagerとActive Directoryの統合を解除できます。

コンピュータリストからのActive Directoryの削除

コンピュータリストからActive Directoryを削除する場合は、次のオプションが表示されます。

• ディレクトリおよびすべての下位コンピュータ/グループをVulnerability ProtectionDeep Security Managerから削除します: コンピュータリストからホストレコードがすべて削除されます。
• ディレクトリを削除しますが、コンピュータのデータおよびグループの階層は維持します: 既存のActive Directory構造は維持されますが、Active Directoryと同期しなくなります。構造は影響を受けないため、フォルダやホストに対するユーザおよび役割のアクセス権限は維持されます。
• ディレクトリを削除し、コンピュータのデータを維持しますが、グループの階層は削除します: ホストのレコードは元の階層から削除されますが、以前のActive Directoryに基づく名前の付いたグループにすべて格納されます。Active Directoryに対するユーザおよび役割のアクセス権限はこのグループに転送されるため、すべてのホストに対するアクセス権限は維持されます。

Active Directoryを削除するには、次の手順を実行します。

1. [コンピュータ] 画面でActive Directoryを右クリックし、[ディレクトリの削除] を選択します。
2. [ディレクトリの削除] ダイアログボックスで削除オプションを選択します。
3. この後に表示されるダイアログボックスで処理について確認します。Active Directoryの削除が完了します。

Active Directoryのユーザおよび連絡先の削除

Active Directoryを削除する場合は特定のタイプの情報を維持することもできますが、ユーザおよび連絡先を削除する場合はこれらのレコードがすべて削除されます。したがって、インポートされたユーザアカウントを使用してVulnerability ProtectionDeep Security Managerコンソールにログオンしている場合は、この処理を実行できません。この処理を実行すると、エラーが表示されます。

ユーザおよび連絡先を削除するには、次の手順を実行します。

1. [ユーザ] または [連絡先] 画面で [ディレクトリとの同期] をクリックします。
2. [同期を中止する] を選択して、[OK] をクリックします。ウィザードに、変更の概要を示す画面が表示されます。
3. [完了] をクリックします。