PAM360 によるアプリケーション制御

ManageEngine の Application Control Plus を搭載した PAM360 の Application Control は、管理者に高度な権限の昇格と委任管理の権限を与えます。この機能により、組織のエンドポイント上のアプリケーションを効果的に監視できます。管理者は、作成された一連のルールを使用して、PAM360 リソース全体のアプリケーションを簡単に識別および管理し、許可リストとブロックリストをカスタマイズしてアプリケーションの使用を制御できます。さらに、緊急時には、管理者はブロックリスト上のアプリケーションを一時的に承認できます。全体として、この操作により、ユーザーにアプリケーション アクセスを割り当てるプロセスが合理化され、すべてのリソースにわたる PAM360 環境内のセキュリティと効率が向上します。

1.前提条件

1. PAM360 を介してエンドポイントでアプリケーションを制御するには、ManageEngine を搭載した Application Control Plus アプリケーションが必要です。
   

   注記：ManageEngine の Endpoint Central をすでに使用している場合は、Application Control Plus モジュールが有効になっていることを確認することで、これを活用できます。

2. 所有する Application Control Plus のバージョンは 11.3.2404.1 以上である必要があります。
3. 構成を担当するユーザーは、Application Control Plus アプリケーションと PAM360 の両方で管理者権限を持っている必要があります。
4. PAM360 内で Application Control を効果的に活用するには、現在 PAM360 にログインしているユーザーが、同一のユーザー名で Application Control Plus 内に存在することが重要です。ユーザーが Active Directory 経由で認証されている場合、Application Control Plus 内の対応するアカウントは同じドメイン名に一致する必要があります。この同期により、両方のプラットフォーム間でシームレスな統合と機能が保証されます。
5. PAM360 で Application Control を構成するには、Application Control Plus の HTTPS ポートが必要です。

2.ロール - Application Control の管理

デフォルトでは、特権管理者と管理者のロールが割り当てられたユーザーは、PAM360 で Application Control を構成および管理できます。あるいは、Application Control の管理権限を有効にしたカスタム ロールを作成して、ユーザーに同じ責任を付与することもできます。このカスタム ロールが割り当てられたユーザーは、PAM360 を介して Application Control を構成および管理できるようになります。

3.認証トークンの取得中：

Application Control 機能を有効にするには、Application Control Plus から認証トークンを生成する必要があります。認証トークンを生成するには、次の手順を実行します。

1. Application Control Plus にログインします。
2. [管理]→[統合]に移動し、[API エクスプローラー]を選択します。
3. 開いたページの[API リスト]で、[認証]を選択し、[ログイン]を選択します。
4. 必要な認証を選択し、Application Control Plus のユーザー名、パスワード、および・またはドメインを入力します。
5. [実行]をクリックして、PAM360 との通信を確立するために必要な認証トークンを生成します。
6. PAM360 で Application Control を構成するための認証トークンをコピーします。

4.PAM360 での Application Control の設定

期待される機能を確保し、PAM360 環境を介してエンドポイント権限管理機能を実行するには、PAM360 で Application Control を構成する必要があります。これを実行するには:

1. PAM360 ユーザー アカウントにログインします。
2. [管理]に移動し、[権限の昇格]を選択して、[Application Control]を選択します。[構成]をクリックします。
3. 開いたダイアログボックスで、
   1. Application Control Plus がインストールされているサーバー名を入力します (例: in-qaauto-92dt)。
   2. Application Control Plus に設定されている HTTPS ポート番号を入力します (デフォルトは 8383)。
4. [有効にする] をクリックして通信を確立し、セットアップ プロセスを完了します。
   

   注記：設定が完了したら、左側の Application Control 列の上部パネルにある [設定の編集] ボタンを使用して上記の詳細を編集することもできます。

5.PAM360 の Application Control

PAM360 と Application Control Plus の間で通信が確立されると、アプリケーション管理をさらに行うために Application Control ウィンドウが読み込まれます。ここでは、PAM360 全体のエンドポイントの許可リストとブロックリストを作成でき、PAM360 インターフェースから直接次のアプリケーション管理アクションを実行できます。

1. Windows システムの管理
2. アプリケーションの許可リスト/ブロックリスト
3. カスタムグループの作成
4. エンドポイント権限管理

6.構成と管理の障害シナリオ

PAM360 で Application Control を構成または管理する際に問題が発生する場合、さまざまな要因が考えられます。Application Control 機能を効果的かつ効率的に利用するには、これらの問題に対処することが不可欠です。

a. 特権ロールの不一致

ユーザーが PAM360 経由で Application Control を管理しようとしたが、Application Control Plus で対応する特権ロールを持っていない場合、問題が発生する可能性があります。Application Control にシームレスにアクセスして管理するには、ユーザーは両方のプラットフォームで同様の特権ロールを持っている必要があります。

b. Endpoint Central にモジュールが存在しない

Endpoint Central で Application Control モジュールが有効になっていない場合、Application Control を構成または管理しようとすると失敗します。適切に機能させるには、Endpoint Central 内で Application Control モジュールがアクティブ化されていることを確認することが重要です。

c. 不正アクセスと権限

適切な権限なしで Application Control を構成または管理すると、不正なアクセスの試みにつながる可能性があります。PAM360 内で Application Control を構成または管理する際に問題が発生しないように、ユーザーに必要な権限を付与する必要があります。

d. 認証トークンの更新要件

Application Control Plus の担当ユーザーのログイン パスワードを変更すると、PAM360 の Application Control モジュールの機能が中断されます。これは、パスワードを変更すると、以前に生成された認証トークンが無効になるためです。スムーズな操作を確保するには、新しく生成された認証トークンを使用して Application Control 構成を更新することが重要です。

e. ユーザー名の不一致

Application Control にアクセスしようとするユーザーが PAM360 で同じユーザー名を持っていない場合、問題が発生する可能性があります。Application Control 機能へのシームレスなアクセスと利用を可能にするには、プラットフォーム間でユーザー名の一貫性が必要です。

これらの潜在的な障害シナリオに包括的に対処することで、PAM360 内での Application Control の効果的かつ効率的な展開と使用が保証され、全体的なセキュリティ管理機能が強化されます。

関連文書