Endpoint Central オンプレミス版 ナレッジベース

【構成】「構成」機能について


この記事は、管理対象コンピューターの様々な設定を一括で適用する「構成」機能について説明しています。
※ ビルドによっては、「構成」タブの日本語表示が「設定」となっている場合があります。
 

「構成」機能について

 

構成機能とは

Endpoint Centralはの「構成」は、アプリケーション設定やセキュリティポリシーなど、管理対象コンピューターの各種設定をポリシーとして一括適用させる機能です。Windows/Macの一部の構成は適用対象をユーザー単位またはコンピューター単位で選択できるほか、Windows/Mac/Linuxの各構成はドメインやOU、カスタムグループなどを対象に指定できるため、柔軟で手間の少ない運用が可能です
複数のコンピューターに設定内容を強制的に配布することに加え、Windows/Mac/Linuxの各OSに対して単一コンソールでポリシーの配布/適用状況の確認が完結するため、セキュリティやガバナンスの強化を実現できます。

複数のコンピューターに構成を配布する際の便利な使い方

  • コレクション機能
    複数の構成をまとめて1つのパッケージとして登録し、再利用しやすくする<コレクション機能が利用できます。構成タブ > 構成の追加 > コレクション より登録しておくことで、PCのキッティング/初期設定を自動化し、かかる工数を大幅に削減します。  
  • テンプレート
    Windowsコンピューターに適用可能な構成を目的別にまとめたテンプレートが「構成」タブ → 「構成の追加」 > 「テンプレート」よりご利用いただけます(一部のテンプレートにはOSによる制限があります)。
     
  • 配布対象の定義
    構成の配布対象としてドメインやOU、カスタムグループを指定できます。こうした集合をカスタムグループの対象に定義することで、構成の配布後にエージェントが集合に追加されると、当該の構成が自動的に適用されます。

ユーザーに対して適用可能な構成 / コンピューターに対して適用可能な構成は、以下の各構成名の隣に[U]=ユーザーに対する構成 / [C]=コンピューターに対する構成 として記載しています。

 


構成の作成 / 適用 / 解除
構成の作成

構成を作成するには、「構成」タブ →「構成の追加」→「構成」をクリックして表示される各項目をクリックして作成するか、またはコレクション / テンプレートを開いて作成します。
構成を作成する際、共通する手順を以下で説明します。なお詳細な手順は、Windowsの構成機能 / Macの構成機能 / Linuxの構成機能の各項目をご覧ください。

  1. 名前/説明の追加
    構成を作成する場合、かならず名前を入力する必要があります。この名前は、構成レポートに表示されるため、必要に応じて編集します(デフォルトでは「MyConfiguration+数字」となります)。また、必要に応じて説明を追加します。
     
  2. 配布/適用対象の設定
    構成を配布する対象を指定します。リモートオフィスまたはドメインを指定し、必要に応じてフィルター条件を追加します。フィルターアイコンをクリックするとフィルター条件が、マウスカーソルを合わせた時に表示される[+]をクリックすると対象を追加します。
     
  3. 実行設定
    配布対象の一部のPCにおいて、何らかの原因で構成の適用に失敗した場合、構成を再度配布することになります。「実行設定」において再試行回数を設定すると、適用失敗時の再試行を自動化します。

    • 構成 > 構成の追加 > (各構成) > 「実行設定」において、以下の項目にチェックを入れると自動再試行の回数および通知が有効化されます。
      • 構成を失敗した対象に再試行: チェックを入れ、再試行の頻度にて回数を指定すると、構成適用が失敗した場合に指定された回数再試行されます。必要に応じて、再試行タイミングと再試行回数をそれぞれ指定します。
      • 通知の有効化: チェックを入れメールアドレスを入力すると、Desktop Centralは指定した頻度でステータスを送信します。ただし、構成のステータスが「実行準備完了」状態となり、かつステータスが前回からに変化があった場合のみ通知します。
構成の適用

作成された構成はリフレッシュサイクル時または(ユーザー構成の場合)ユーザーログイン時/(コンピューター構成の場合)コンピューター起動時 に適用されるほか、コンピューター構成の一部は「今すぐ配布」に対応しています。また、Windows/Macのエージェントトレイアイコンから「構成の適用」を実行することも可能です。
適用した構成は、構成レポートからご確認いただけます。

  • 構成適用までの挙動
    構成を作成して「配布」または「今すぐ配布」をクリックすると、構成設定と必要なファイルがEndpoint Centralサーバー内に生成されます。配信サーバーがある場合、配信サーバーは定期的にEndpoint Centralサーバーの構成を複製し、配信サーバー内に保存します。管理対象内のEndpoint CentralエージェントはリフレッシュサイクルにおいてEndpoint Centralサーバー(または配信サーバー)にアクセスし、格納された構成設定および必要なファイルを取得します。構成の作成において、最後に「配布」を選択した場合、構成は配布ポリシーで指定した時間帯内の以下のタイミングで適用されます。

    構成の作成において、最後に「今すぐ配布」を選択した場合、配布ポリシーで実行時間帯を制限しておらず、サーバーとエージェント間の通信が正常であれば、エージェントはただちにEndpoint Centralサーバー/配信サーバーにアクセスし、構成設定と必要なファイルを取得します。詳細は配布と今すぐ配布の違いをご覧ください。なお、他の構成が実行中であるような場合は、その構成の完了後に構成を実行します。

  • 適用の再試行
    構成の適用が何らかの理由で失敗した場合、再試行を自動的に実行するオプションが利用可能です。
構成の解除

Endpoint Centralは作成した構成の内容をバックアップしないため、作成した構成を解除したいような場合、以前適用した構成を発見するのは困難な場合が多く考えられます(これまで配布した構成は構成レポートから確認できますが、構成のクリーンアップを有効化すると定期的に削除されます)。そのため、構成を解除するのではなく、以前適用した構成を解除するような新たな構成を作成し、配布します
(例)
USBディスクドライブの使用をすべて禁止する「USB制御」構成を配布 → USBディスクドライブの登録デバイスのみ使用する「USB制御」構成を作成して配布
ソフトウェア配布をインストールする「ソフトウェア配布」構成を配布 → ソフトウェア配布をアンインストールする「ソフトウェア配布」構成を配布
ログイン前に注意事項を表示する「法的通知」構成を配布 → 表示を削除する「法的通知」構成を配布

セキュリティポリシー構成の解除に関して
セキュリティポリシー構成の内容を変更する場合は、既存の構成を編集します。

 


Windowsの構成機能について

コンピューターに対して構成を適用する項目と、Windowsユーザーに対して構成を適用する項目があります。グループポリシーで設定可能な項目を中心に、様々な端末設定についてEndpoint Centralでも設定することができます。Endpoint Centralは、エージェントがレジストリやローカルグループポリシーを編集することで、これらの設定を配布します(そのため、Active Directoryのグループポリシーで上書きされる可能性があります)。
なお、コンピューターに対する構成とユーザーに対する構成の対象が重複する場合、ユーザーに対する構成が優先されます。また、構成を即時適用する「今すぐ配布」はコンピューターに対する構成でのみ利用可能です。

Endpoint Central UEM Edition以上では、Windowsコンピューターのモダンマネジメントに対応します。モダンマネジメントではMDMポリシーを配布することで、Windowsコンピューターをモバイルデバイスと同様に設定を制限・反映することが可能です。もしMDMポリシーと構成機能の両方で実現可能な設定がある場合、可能な限りMDMポリシーとして設定することをお勧めします。

[C]=コンピューターに対する構成 / [U]=ユーザーに対する構成

セキュリティ
  • [C] ファイアウォール
    管理対象のWindowsコンピューターに対して、Windowsファイアウォールのルール追加や、プロパティの変更が可能です。
     
  • [C][U] セキュリティ ポリシー
    Windowsコンピューターに対してセキュリティポリシーを設定します。ユーザーによる一部の操作を制限します。
     
  • [C][U] USB制御
    管理対象PCにおいて、USBデバイスの種類とデバイスインスタンスパスを基準に、USBデバイスの使用を禁止/許可/ホワイトリスト方式で許可する機能です。
     
  • [C][U] 権限管理
    ファイル/フォルダー/レジストリキーへの権限を各ユーザー/コンピューターに対して設定します。
    なお、ローカルユーザーの管理は以下の「グループ管理」、「ユーザー管理」をご覧ください。
     
  • [C][U] 証明書の配布
    SSL証明書やAD CAルート証明書などの証明書を指定した対象に配布できます。
     
  • [C] パッチのインストール/アンインストール
    パッチ管理機能として、パッチのインストール/アンインストールを実行します(パッチ管理機能を使用してパッチを配布する場合、パッチ配布構成を作成することになります)。詳細はパッチ配布機能に関するナレッジをご覧ください。
     
  • [U] アラート
    ネットワークパスワードの有効期限、システムドライブの空き領域、一時ファイルのサイズにより、アラート通知を各ユーザーに対して通知します。
     
  • [U] ブラウザー
    Internet Explorer, Google Chrome, Mozilla Firefox, Microsoft Edgeに対して、一部の機能制限を設定可能です。なお、Desktop Central 10.0.479以降はブラウザー管理アドオン(Browser Security Plusアドオン)がご利用いただけます。
     
各種設定
  • [C][U] カスタムスクリプト
    任意のスクリプトを複数の管理対象で実行することが可能です。作成したスクリプトを登録可能なほか、テンプレートから選択して実行することも可能です。
     
  • [C][U] 電源管理
    スリープまでの時間やログオフまでの時間を設定可能です。
     
  • [C][U] レジストリ
    レジストリを編集します。なお、リモート制御ツール > システムマネージャー を使用してレジストリを編集することも可能です。
     
  • [C][U] 環境変数
    環境変数を編集可能です。
     
  • [C][U] パス
    パスを編集可能です。
     
  • [C][U] ソフトウェアのインストール/アンインストール
    ソフトウェア配布機能として、ソフトウェアのインストール/アンインストールを実行します。詳細についてはソフトウェア配布機能の使用方法をご覧ください。
     
  • [C][U] IPプリンター
    IPプリンター接続を追加または削除する機能です。
     
  • [U] ネットワークプリンター
    特定のユーザーに対してプリンタ―を共有する機能です。
     
  • [C][U] ショートカット
    コンピューターのデスクトップやスタートアップフォルダーなど、任意のパスに、ショートカットを配置できる機能です。
     
  • [C][U] WiFi
    ワイヤレスアダプターの有効/無効化や、WiFiプロファイルの配布が可能です。
     
  • [C] スケジューラー
    Windowsタスクスケジューラの編集や作成が可能です。なお、類似の機能として下記の「アプリケーション実行」があります。
     
  • [C] フォルダーバックアップ
    指定したフォルダーの内容をネットワーク上の共有フォルダー等にコピーするバックアップ機能です。
     
  • [C] サービス
    特定のサービスの開始/停止/再起動や、スタートアップの種類の変更が可能です。
     
  • [U] ドライブ マッピング
    ネットワーク上のフォルダーにドライブレターを割り当てることが可能です。
     
デスクトップ設定
  • [C] フォルダーリダイレクト(☆アイコン)
    ユーザープロファイル内のフォルダーに別の場所を指定する「フォルダーリダイレクト」機能が使用可能です。
     
  • [U] フォルダーリダイレクト(⇒アイコン)
    ユーザープロファイル内のフォルダーに別の場所を指定する「フォルダーリダイレクト」機能が使用可能です。
     
  • [C][U] ディスプレイ設定
    画面の解像度や拡大/縮小表示、壁紙、スクリーンセーバー、を設定します。
     
  • [C][U] ファイル/フォルダー操作
    ファイルの配布や、ファイル/フォルダーの移動/名前の変更/削除といった操作を実行します。
     
  • [C] フォント
    管理対象のWindows端末に対して、フォントファイルを追加します。フォントファイルは .otf形式 / .ttf / .fon / .zip 形式 に対応しています。
     
  • [C] 一般機能
    コンピューターの所有者や企業名、最後のログインユーザー名の表示などを設定します。
     
  • [C] グループ管理
    ローカルグループの追加や編集が可能です。
     
  • [C] 法的通知
    管理対象PCに対して、ログオンメッセージを表示させる機能です。
     
  • [C] ユーザー管理
    ローカルユーザーの追加やパスワードの変更などが可能です。
     
  • [C][U] メッセージボックス
    デスクトップ画面に、指定したメッセージウィンドウを表示させる機能です。
     
アプリケーション
  • [C][U] アプリケーション実行
    起動時またはユーザーログイン時に、特定のアプリケーションを実行する構成を作成可能です。なお、類似の機能としてタスクスケジューラーがあります。
     
  • [U] MS Office
    デフォルトの保存フォルダー等を編集します。
     
  • [U] MS Outlook
    Outlookに関する設定を編集します。
     
  • [U] MS Outlook Exchange プロファイル
    Outlook Exchangeに関する設定を編集します。
     
こちらに記載のない機能についても、テンプレートを用いて設定可能な場合があります。構成タブ > 設定 > テンプレート よりご確認ください。

 


Macの構成機能について

コンピューターに対して構成を適用する項目と、ユーザーに対して構成を適用する項目があります。なお、コンピューターに対する構成とユーザーに対する構成の対象が重複する場合、ユーザーに対する構成が優先されます。また、構成を即時適用する「今すぐ配布」はコンピューターに対する構成でのみ利用可能です。

MacエージェントへのMDMプロファイル配布について
Appleによる仕様変更に対応するため、Desktop Central 10.1.2137.11 以降およびEndpoint CentralにおいてはMacエージェントのインストール完了後にMDMプロファイルを自動的に配布します。MDMプロファイルを使用することで、一部のMac向け構成が使用可能になります。
[C]=コンピューターに対する構成 / [U]=ユーザーに対する構成 / 【MDM】=MDMプロファイルを使用

  • [C] パッチのインストール/アンインストール
    パッチのインストール/アンインストールを実行します。詳細はパッチ管理機能に関するナレッジをご覧ください。
     
  • [C] ソフトウェアのインストール/アンインストール
    ソフトウェアのインストール/アンインストールを実行します。詳細は、ソフトウェア配布機能に関するナレッジをご覧ください。
     
  • [U] ウェブショートカット
    URLと初期画像を指定し、Webクリップを作成する機能です。
     
  • [C][U] カスタムスクリプト
    任意のスクリプトを複数の管理対象で実行することが可能です。作成したスクリプトを登録可能なほか、テンプレートから選択して実行することも可能です。
     
  • [C] ゲートキーパー【MDM】
    ゲートキーパーはMac OSのセキュリティ設定で、アプリケーションの入手先によって実行許可を区別します。デフォルトでは「App Storeと確認済みの開発元からのアプリケーションを許可する」設定になっており、変更が可能です。参考: Mac で App を安全に開く(Apple)
     
  • [C][U] システム環境設定の制限(コンピューター向け配布のみ【MDM】)
    Mac端末の設定を変更できる「システム設定(システム環境設定)」へのアクセスを制限することで、ユーザーによる環境設定の変更を制限します。項目別に制限を設定することが可能です。
     
  • [U] ネットワーク共有
    起動時/ユーザーのログオン時にマウントするネットワーク共有ディレクトリを構成できます。
     
  • [C][U] フォント(コンピューター向け配布のみ【MDM】)
    管理対象のMac端末に対して、フォントファイルを追加します。フォントファイルは .otf形式 / .ttf形式 に対応しています。
     
  • [C][U] メッセージボックス
    デスクトップ画面に、指定したメッセージウィンドウを表示させる機能です。
     
  • [C] ログインウィンドウ【MDM】
    ログインウインドウは、ユーザーアカウントにログインする時に表示される画面です。ログインウィンドウに表示される画面を変更可能なほか、スリープ後にパスワード入力を必須にするなどの設定も可能です。
     
  • [C][U] ログイン項目(コンピューター向け配布のみ【MDM】)
    「ログイン項目」は、起動時/ユーザーログイン時に自動的に開くアプリケーションを管理するMac OSの機能です。管理者は、ユーザーがログオンするときにマウント/削除する必要があるログイン項目を構成できます。また、端末のユーザーによるログイン項目の変更を制限します。
     
  • [C] 省エネルギー設定【MDM】
    省エネルギー設定は、バッテリー駆動時/電源接続時それぞれにおいて、スリープに移行するまでの時間を設定します。
     
  • [C] ファイル/フォルダー操作
    ファイルの配布や、ファイル/フォルダーの移動/名前の変更/削除といった操作を実行します。
     
  • [C] ユーザー管理
    ローカルユーザーの追加やパスワードの変更などが可能です。
     
  • [C] WiFi【MDM】
    無線接続プロファイルを作成して配布します。
     
  • [C] VPN【MDM】
    VPNに関する設定を配布します。
     
  • [C] グローバルHTTPプロキシ【MDM】
    プロキシサーバーに関する設定を配布します。
     
  • [C] グローバルHTTPプロキシ【MDM】
    プロキシサーバーに関する設定を配布します。
     
  • [C] AirPrint【MDM】
    ワイヤレスで印刷するAirPrintの設定を配布します。
     
  • [C] パスコード【MDM】
    ユーザーがログイン時に使用するパスコードについて、長さや複雑さ、自動ロックの上限時間、アカウントロックまでのログイン失敗の上限回数などを設定できます。参考:AppleデバイスのパスコードMDMペイロードの設定(Apple)
     
  • [C] ADのアセットバインド【MDM】
    MacコンピューターをADに連携し、ログイン認証にADアカウントを使用できるようになります。参考AD Asset binding(英語)
     
  • [C] システム拡張【MDM】
    カーネル拡張、ネットワーク拡張、ドライバ拡張、セキュリティ拡張の有効化が可能です。なお一部のOSバージョンにおいては利用できません。
     
  • [C] PPPC【MDM】
    プライバシーポリシー優先制御に関する設定を配布します。
     
  • [C] アプリごとのVPN【MDM】
    アプリケーションごとにVPNを設定できます。
     
  • [C] 制限【MDM】
    各種制限を設定できます。
     
こちらに記載のない機能についても、カスタムスクリプトのテンプレートを用いて設定可能な場合があります。構成タブ > 設定 > スクリプトリポジトリ > テンプレート より、フィルター条件: プラットフォームにMacを選択し、ご確認ください。

 


Linuxの構成機能について

コンピューターに対して構成を適用する項目があります。
[C]=コンピューターに対する構成

こちらに記載のない機能についても、カスタムスクリプトのテンプレートを用いて設定可能な場合があります。構成タブ > 設定 > スクリプトリポジトリ > テンプレート より、フィルター条件: プラットフォームにLinuxを選択し、ご確認ください。

以下のナレッジも合わせてご確認ください。
構成の進行ステータスについて
「配布」と「今すぐ配布」の違いについて
Endpoint Centralで使われている用語