ネットワークで Active Directory を実行している場合、Active Directory の同期を使用して、システム ツリーの一 部を作成、追加および管理することができます。
定義後は、Active Directory 内の新しいシステム (およびサブコンテナー) に対してシステム ツリーを更新できま す。
Active Directory の統合を使用して、次のシステム管理タスクを実行します。
• システムと Active Directory のサブコンテナーを (システム ツリー グループとして) インポートし、Active
Directory に対してそれらを常に最新の状態にすることで、Active Directory 構造の完全な同期を実現できます。
同期するたびにシステム ツリー内のシステムと構造の両方が更新され、Active Directory のシステムと構造が反 映されます。
• Active Directory コンテナー (およびそのサブコンテナー) からシステムをフラットリストとして同期グループ にインポートできます。
• 重複する可能性のあるシステムの処理方法を制御できます。
• Active Directory からインポートされるシステムの説明を使用できます。
以下を実行してシステム ツリーを Active Directory のシステム構造と統合します。
1 システム ツリー内のマッピング ポイントとなる各グループに対して同期を設定します。同じ場所で以下を設定 できます。
• エージェントを検出されたシステムに配備するかどうか。
• Active Directory からシステムが削除されるときにシステム ツリーからも削除する。
• システム ツリー内にすでに同じシステム エントリが存在している場合、重複を許可するかどうか。
2 [今すぐ同期を実行] アクションを使用して、同期の設定に基づき Active Directory システム (およびその構造)
をシステム ツリーにインポートするかどうか。
3 NT ドメインと Active Directory の同期サーバー タスクを実行し、同期の設定に基づきシステム (および
Active Directory 構造) をシステム ツリーと定期的に同期させるかどうか。
Active Directory の同期化の種類
Active Directory の同期化には、システムのみとシステムと構造の 2 種類があります。どちらを選択するかは、
Active Directory との統合レベルによって異なります。
各種類で同期化を制御するには、次を選択します。
• ePolicy Orchestrator に対して新規のシステムにエージェントを自動的に配備するかどうか。帯域幅が限られ ている状況で多数のシステムをインポートする場合、最初の同期化時ではこの設定を無効にすることをお勧めし ます。エージェント MSI のサイズは約 6 MB です。ただし、その後の同期化では、Active Directory で検出さ れた新しいシステムに対するエージェントの配備を自動化することをお勧めします。
• Active Directory からシステムが削除された場合、ePolicy Orchestrator からシステムを削除するかどうか (ま た、エージェントを削除するかどうか)。
• システム ツリー内にシステムが存在する場合にグループへのシステムの追加を回避するかどうか。これにより、
システムを別の場所に手動で移動したりソートする場合に、システムの重複を避けることができます。
• 特定の Active Directory コンテナーを同期から除外するかどうか。これらのコンテナーおよびシステムは同期 時に無視されます。
システムと構造
この種類の同期化を使用すると、次の同期で Active Directory 構造の変更がシステム ツリー構造と同期されます。
Active Directory でシステムまたはコンテナーが追加、移動、削除されると、システム ツリーの対応する場所で追 加、移動、削除が行われます。
この種類の同期化を実行する条件
この種類の同期化を使用する場合、システム ツリー (またはその一部) が Active Directory 構造とまったく同じで あることを確認します。
Active Directory の編成がシステム ツリーのセキュリティ管理要件に一致し、対応する Active Directory 構造と同 じ構造を維持する場合、その後の同期化でこの種類の同期化を使用します。
システムのみ
Active Directory コンテナーからシステム (除外されてないサブコンテナーのシステムを含む) を対応するシステム ツリー グループにフラット リストとしてインポートするには、この同期化の種類を使用します。ソート条件をグル ープに割り当てて、これらをシステム ツリーの該当の場所に移動します。
この種類の同期化を選択した場合、システム ツリーにすでに存在するシステムを追加しないようにします。これによ り、システム ツリーにあるシステム エントリの重複を回避できます。
この種類の同期化を実行する条件
この種類の同期化を使用すると、ePolicy Orchestrator のシステムの通常のソースとして Active Directory を使用 することができますが、セキュリティ管理要件の編成と Active Directory のコンテナーおよびシステムの編成が一 致しません。
NT ドメインの同期化
NT ドメインをソースとして使用し、システム ツリーに追加します。グループを NT ドメインと同期させる場合、そ のドメインのすべてのシステムをフラット リストとしてグループに追加します。単一のグループでシステムを管理 するか、またはより細かい編成要件を実現するのであれば、サブグループの作成後に自動ソートを実行して、そのサ ブグループにシステムを自動的に追加するなどの方法を使用します。
システムをシステム ツリーの他のグループまたはサブグループに移動する場合、システム ツリーの他の場所にすで にそのシステムが存在する場合は追加しないようにします。これにより、システムツリーにあるシステムエントリ の重複を回避できます。
Active Directory の同期化と異なり、NT ドメインの同期化で同期されるのはシステム名のみです。システムの説明
は同期されません。
条件によるソート
IP アドレス情報を使用して自動的に管理対象のシステムを特定のグループにソートできます。また、タグ (システム に割り当てられるラベル) に基づいたソート条件を作成することもできます。条件のどちらか一方または両方を使用 して、システムがシステム ツリー内の対象の場所に存在することを確認できます。
グループにソート条件を追加したら、今すぐソート アクションを実行できます。このアクションにより、自動的に選 択したシステムを適切なグループに移動できます。グループのソート条件に一致しないシステムは「未分類」に移動 します。
新しいシステムは、最初のサーバー通信時に適切なグループに自動的に追加されます。ただし、最初のエージェント/
サーバー間通信の後にソート条件を定義した場合、該当するシステムに対して 今すぐソート アクションを実行して 即座に適切なグループに移動させるか、次のエージェント/サーバー間通信まで待つ必要があります。
システムのソート ステータス
システムまたはシステムの集合に対して、システム ツリーのソートを有効または無効にすることができます。あるシ ステムに対してシステム ツリーのソートを無効にした場合、[ソート テスト] アクションが実行される場合を除き、
そのシステムをソート アクションの実行から除外することができます。ソート テストが実行されると、システムま たは集合のソート ステータスが考慮され、[ソート テスト] ページから移動またはソートされます。
McAfee ePO サーバーに対するシステム ツリーのソート設定
ソートを実行する場合、サーバーおよびシステムに対してソートが有効になっている必要があります。デフォルトで は、システムのソートが有効になっています。このため、システムは最初のエージェント/サーバー間通信時にソート され (既存のシステムに変更がある場合は次回の通信)、再度ソートされることはありません。
システムのソート テスト
この機能を使用して、ソート アクション時にシステムが配置される場所を確認します。[ソート テスト] ページに、
システムとシステムがソートされる場所へのパスが表示されます。このページにはシステムのソート ステータスは 表示されませんが、このページでシステム (ソートが無効化されているシステムも可) を選択して [システムを移動]
をクリックすると、特定した場所にシステムが配置されます。
ソート設定による影響
システムのソートの有無とそのタイミングを決定するサーバー設定には 3 種類あります。また、システム ツリー内 の選択したシステムに対して、システム ツリーのソートを有効または無効にすることでソート対象となるシステムを 選択することができます。
サーバーの設定
サーバーには以下の 3 つの設定があります。
• [システム ツリーのソートの無効化] - 条件に基づいたソートがセキュリティ管理要件に一致せず、他のシステ ム ツリー機能を使用してシステムを編成する場合、この設定を選択して ePolicy Orchestrator ユーザーが誤っ てグループに対してソート条件を設定したり、システムを該当の場所以外に移動することを回避します。
• [エージェントとサーバー間の通信時にシステムをソート] - 各エージェント/サーバー間通信時にシステムがソ ートされます。グループに対するソート条件を変更すると、システムは次のエージェント/サーバー間通信で新し いグループに移動します。
• [システムを一度ソート] - 次のエージェント/サーバー間通信時にシステムがソートされると、この設定が選択 されている間はエージェント/サーバー間通信時にソートされなくなります。ただし、システムを選択し [今すぐ ソート] クリックすると、このようなシステムをソートすることができます。
システム設定
任意のシステムに対して、システム ツリーのソートを無効または有効にすることができます。あるシステムに対して 無効にした場合、ソートが実行されてもそのシステムはソートされません。ただし、[ソート テスト] アクションを 実行するとこのシステムがソートされます。あるシステムで有効にした場合、そのシステムは手動での [今すぐソー ト] アクション実行時やエージェント/サーバー間通信時に常にソートされます。どのタイミングでソートされるか は、サーバーのシステム ツリーのソートの設定によって異なります。