リソースとリソースグループ

PAM360は、お使いの環境から重要なマシンをソリューションに追加して、効率的に管理することができます。PAM360は、ユーザーアカウントとパスワードをPAM360が「リソース」として管理できる重要なアセットを分類します。「リソース」は、お使いの環境において、外部の攻撃から保護および定期管理を行う認証情報を持つサーバー、アプリケーション、ネットワークデバイス、または機器になることがあります。用語アカウントは、「リソース」の一部となる「ユーザーアカウント」と「パスワード」を示します。PAM360では、リソースに関係するすべてのアカウントを追加し、製品内で個別に管理できます。

エンタープライズ大組織のITネットワークには、一般的に、管理面で同様のニーズがある重要なマシンが複数台あります。この場合、マシンを個別ニーズまたは基準にあわせてグループ分けし、まとめて監視するのが効果的です。PAM360には、この課題を解決するリソースグループ機能が付いています。PAM360のリソースグループは、特定リソースが属するグループを示します。例えば、他のいくつかのWindowsサーバーの中にいくつかの Windows 10サーバーがある場合、すべてのWindows 10サーバーを1つのリソース グループとしてグループ化できます。

PAM360セットアップが完了したら、APIを使って、検出から、手動追加、ユーザー追加等の各種手段で、ユーザーとユーザーグループを組織からソリューションにインポートします。PAM360には、Active Directory、Azure AD、LDAP、Radius認証等、選択できる認証方法が複数個あります。また、SAMLシングルサインオンと二要素認証にも利用可能なオプションがいくつかあります。

PAM360のリソースタブは、関連アカウント、および各パスワードとあわせて、あなたが所有および/または他の管理者があなたに共有するすべてのリソースを表示および管理できる膨大な容量の役割を持ちます。リソースタブのリソースエクスプローラーツリーには、属するリソースグループ、アクセス回数等の基準にあわせて、すべてのリソースを連結する各種のオプションが付いています。

本書では、リソースタブで実行できる幅広い操作について説明します。また、PAM360の強力な特権アカウント管理を最大限活用できる方法についても説明します。下のリンクをクリックして、リソースタブを開始します:

  1. リソースタブの説明
  2. パスワードエクスプローラーツリーとは何ですか?
  3. リソースタブで何ができますか?
  4. リソース グループ
  5. リソースタブから可能な操作

1.リソースタブの説明

リソースタブに移動し、PAM360へのリソースの追加を開始します。リソースタブは、大きく3つの部分に分かれます:

  1. あなたが所有および/または共有するすべてのリソースとアカウントのリストビュー。
  2. 左ペインのパスワードエクスプローラー。
  3. 中央の表示エリア - 中央の表示エリアには、パスワードエクスプローラーをクリックするときに個別カテゴリにリソースのリストが表示されます。

左ペインのパスワードエクスプローラーツリーには、すべてのマイパスワード、所有と管理、お気に入り、および最近のアクセス等、カテゴリにあわせて調整した利用可能なリソース群が表示されます。以下の他の2つのセクションも含まれています:管理者操作グループ。下のセクションでは、各カテゴリについて詳細に説明しています。

2.パスワードエクスプローラーツリーとは何ですか?

パスワードエクスプローラーツリーでは、PAM360で利用可能なすべてのリソースを整理し、それぞれのカテゴリで表示します。カテゴリ名をクリックし、選択したカテゴリ別のリソースを表示します。各カテゴリについては、それぞれの詳細をご覧の上ご確認ください:

  1. すべてのマイパスワード - このオプションをクリックして、あなたと共有する、およびあなたが利用できるすべてのリソースを表示します。リソース名をクリックし、選択したリソースに対応するすべてのアカウントを表示します。リソースを検索するには、[検索]アイコンをクリックし、リソース名、説明、またはオペレーティングシステム(OS)タイプを入力します。アクセス権があるリソースとパスワードで実行できる操作はたくさんあります。下のこのセクションで詳細を説明します。
  2. 所有と管理 - このオプションは、管理者権限があるユーザー向けです。管理者が所有し、他のユーザーにより管理者と共有するすべてのリソースがここで利用できます。リソース名をクリックし、選択したリソースに対応するすべてのアカウントを表示します。リソースを検索するには、[検索]アイコンをクリックし、リソース名、説明、またはオペレーティングシステム(OS)タイプを入力します。
  3. お気に入り - 「お気に入り」とマークしたすべてのアカウントがここで利用できます。アカウントをお気に入りとしてマークするには、[すべてのマイパスワード]または[所有と管理]セクションに進み、パスワードタブに切り替え、アカウント名の横のスターアイコン()をクリックします。リソースを検索するには、お気に入りセクションで、[検索]アイコンをクリックし、リソース名またはユーザーアカウント名を入力します。
  4. 最近のアクセス- 最近アクセスしたリソースのすべてがこのオプションに一覧表示され、簡単に参照できます。リソースを検索するには、[検索]アイコンをクリックし、リソース名またはユーザーアカウント名を入力します。
  5. 管理者操作- このセクションは、以下のカテゴリで構成されます:有効期限切れパスワード、パスワードのコンフリクト、ポリシー違反、無効化されたリソース、およびゴミ箱。このセクションでは、パスワードにすぐに注意が必要なすべてのアカウントを取りまとめます。例えば、すべての有効期限切れパスワードの一括パスワードリセットまたはゴミ箱から、誤って削除したリソースの復元ができます。管理者操作で実行できるすべての操作は、このセクション中の下で説明します。.
  6. あなたが追加したリソースグループ - PAM360では、リソースグループを階層構造、すなわち、樹形図で保持できます。例えば、所属組織に階層による部門があるとします。各レベルに属するリソースをグループ分けし、必要の応じてサブグループを作成できます — PAM360には、このセクションに樹形図で表示され、組織内にある階層を表します。
    7. resource-tab

3.リソースタブで何ができますか?

リソースタブの各種セクションには、リソースとアカウントで実行できる幅広い操作が表示されます。下のリンクでは、そのそれぞれについて詳細に説明します:

  1. リソースアカウントベースの操作
  2. 管理者操作

3.1 リソースとアカウントベースの操作

リソースタブには、PAM360でリソースを追加および管理する幅広いオプションがあります。各操作は、その特定機能がどのように作動するかを詳細に説明するリンクとあわせて、下の一覧表示されます:

  1. リソースをPAM360に追加
  2. リソースタイプを管理
  3. パスワードを管理
  4. アカウントとパスワードを管理
  5. リソースとアカウントを共有
  6. 追加リソースの構成

i. リソースをPAM360に追加

PAM360のサーバーやエンドポイント等の特権リソースをリソースとして追加し、そのアカウントとパスワードの管理を開始します。リソースとアカウントをPAM360に追加できる方法は3つあります:手動追加ファイルkらインポートリソースおよびアカウントの自動検出.各リンクをクリックし、各トピックについて詳細を確認します。

ii.リソースタイプの管理

PAM360は、デフォルトでは、幅広いリソースタイプをサポートしています。これ以外に、必要な分のカスタムリソースの種類を追加することができます。各種リソースタイプをPAM360で構成する方法についての詳細は、ここをクリックしてください。

iii.パスワードを管理

PAM360には、リポジトリに追加したリソースを管理するオプションが多数あります。PAM360で実行できるリソースベースの操作を以下に一覧表示します。各リンクをクリックして、トピックについて詳細に確認します。

  1. リソースをエクスポートする
  2. リソースを編集する
  3. リソースを削除する
  4. リソースをコピーする
  5. リソースの所有権を移転する

iv.アカウントとパスワードを管理

PAM360リポジトリに保存されたアカウントとパスワードを管理できる方法はさまざまあります。その操作の一部に、アカウントの表示、編集、コピー、移動、パスワードの変更およびパスワード履歴の表示があります。操作についての詳細は、ここをクリックしてください。

v. リソースとアカウントを共有

PAM360には、リソースとアカウントを他のユーザーおよび/またはユーザーグループと安全に共有するオプションがあります。下のリンクをクリックし、各トピックについて詳細を確認します。

  1. リソースとアカウントをユーザーおよびユーザーグループと共有
  2. リソースとアカウントを一括共有

vi.追加リソースの構成

PAM360には、PAM360に保存したリソースのセキュリティを強化し、効率的に利用するのに使用できる追加リソースの構成がいくつかあります。下のリンクをクリックし、各トピックについて詳細を確認します:

  1. 自動ログオンヘルパーを管理
  2. セッション記録
  3. リモートパスワードのリセット
  4. パスワードアクセスコントロール

3.2 管理者操作

パスワードエクスプローラーツリーの管理者操作セクションには、有効期限切れパスワード、管理者が設定したパスワードポリシーに違反している可能性があるパスワード、無効化されたリソース、およびゴミ箱が連結ビュ―で表示されます。PAM360ダッシュボードは、有効期限切れ/パスワードのコンフリクトおよびポリシー違反のグローバルビューがありますが、管理者操作セクションでは、あなたが所有および管理するパスワードのみを連結表示できます。このセクションから、違反したパスワードを選択的または一括でリセットできます。管理者操作セクションには、Active Directory/LDAPインポート中に、PAM360にインポートされた、無効化されたリソースもっ表示されます。削除中にゴミ箱に移動したリソースは、このセクションのゴミ箱カテゴリに表示されます。管理者操作の各カテゴリについては、下で詳細を説明します:

  1. 有効期限切れパスワード
  2. 競合するパスワード
  3. ポリシー違反
  4. 無効化されたリソース
  5. ゴミ箱

3.2.1 有効期限切れパスワード

パスワードポリシーで指定した最大日数以内にリセットされないパスワードは、有効期限切れとみなされます。
各パスワードポリシーでは、最大パスワード期間(日数単位) がが異なり、PAM360は、この期間に更新されていないパスワードを有効期限切れパスワードとしてフラグ付けします。このセクションには、あなたが所有または管理するアカウントの有効期限切れパスワードがすべて一覧表示されます。

3.2.2 パスワードのコンフリクト

パスワードのコンフリクトは、PAM360リポジトリに保存したアカウントのパスワードがリモートマシンにある同じアカウントのパスワードと同期化されない場合に生じます。PAM360のアカウントのパスワードをリモートリソースに変更を適用しない、またはその逆でリセットしすると、パスワードにコンフリクトが生じます。チェックを外さないままにしておくと、同期していないパスワードは認証失敗となり、セキュリティ問題が生じる可能性があります。安全措置として、PAM360は、定期的にパスワード整合性チェックを実行し、PAM360に保存されているすべてのパスワードが対応するリモートマシンのものと一致していることを確認します。不一致であることが分かったパスワードは、フラグが付き、このセクションに表示されます。

3.2.3 ポリシー違反

PAM360に適用したパスワードポリシーに違反するパスワードは、このセクションに表示されます。デフォルトでは、PAM360には、3つのパスワードポリシーがあります:強、中、低 — これらはすべて、複雑さがそれぞれ異なります。各自のカスタムパスワードポリシーを設定し、お使いのパスワードに適用することができます。PAM360は、定期チェックを実行し、パスワードの複雑さが、選択されたパスワードポリシーで指定した複雑さと一致することを確認し、チェックに合格しないパスワードは、フラグ付けされ、ここに表示されます。

admin-actions

上の3つのセクションに表示されるパスワードは、PAM360が提供するパスワードリセット構成設定を使って、リセットできます。

パスワードリセットの構成

    1. パスワードの選択をリセットするには、各パスワードの横のチェックボックスを使って、必要なパスワードを選択し、上部の[パスワードをリセット]オプションをクリックします。
    2. 表示されるポップアップで、パスワードを手動で指定できます。このパスワードは、すべての選択したアカウントに適用されます。または、PAM360で、各アカウントに一意のパスワードを生成できます。
    3. [パスワード変更をリモートリソースに適用]オプションを選択する場合、PAM360は、ここでパスワードをリセットした後、リモートリソースのパスワードを変更します。このオプションにより、リモートマシンとPAM360に反映されているパスワードの不一致が裂けられます。
    4. パスワードリセットについてのメール通知を他者に送信することもできます。PAM360からユーザーを選択するか、通知送信先のメールアドレスを通知又は指定できます。希望の構成を選択したら、[保存]をクリックします。
    5. このカテゴリでパスワードのすべてをリセットするには、下のリストからパスワードを選択しないで、[すべてのパスワードをリセット]をクリックするだけです。この操作で、有効期限切れのパスワードをすべて一括でリセットします。パスワードリセット操作のステータスは、[監査] >> [リソース監査]でキャプチャされます。
      admin-actions

    3.2.4 無効化されたパスワード

    リソースをActive Directory/LDAPからPAM360にインポートしているとき、無効化されたマシンを含める選択もできます。インポートが完了すると、すべての無効リソースがこのセクションで連結されます。

    3.2.5 ゴミ箱

    PAM360のリソースを削除するとき、完全削除か、ゴミ箱への移動を選択できます。このセクションで、削除中にゴミ箱に移動されるすべてのリソースを表示できます。

    1. 復元: リソースをゴミ箱から復元するには、リソースを選択し、[復元]をクリックします。選択したリソースは、リソースタブに復元されます。
    2. 削除:リソースをゴミ箱から選択して削除するには、必要なリソースの横のチェックボックスを削除するクリックし、[削除]をクリックします。
    3. ゴミ箱を空にする: すべてのリソースをゴミ箱セクションから削除するには、ゴミ箱を空にするオプションをクリックします。この操作では、あなたが所有するゴミ箱に入ったリソースのみ削除されますので、注意してください。

    リソースの削除についての詳細は、ここをクリックしてください。

    4.リソース グループ

    リソースグループへは、リソースタブからアクセスできます。パスワードエクスプローラーに、すべてのリソースグループと、あなたが作成する対応するサブグループがすべて表示されます。リソースグループ内で、このセクションで説明したとおり、すべてのリソースとアカウント関連の操作を実行できます。リソースを検索するには、リソース名、DNS名、またはオペレーティングシステム(OS)タイプを入力します。PAM360では、管理しやすいように、属性が類似したリソースをグループ分けです。

    リソースグル-プは2つのタイプを作成できます:

    • 静的リソースグループ
    • 動的リソースグループ

    静的リソースグループの場合、グループとしてまとめることができる個別リソースにマークを付し、関連する名前と説明のリソースグループを作成する必要があります。リソースはグループに適時、手動で追加できます。

    動的リソースグループの場合、グループの作成中に基準群の指定が必要です。新しいリソースをPAM360に追加するとき、特定グループに指定した基準に合っている場合は、リソースはそのグループに自動的に追加されます。例えば、グループCV-WinDom-01をリソースタプWindows.ドメインについて作成するとしましょう。この場合、このグループの作成後いずれかの時点で追加されたすべてのWindows Domainリソースは、自動的にCV-WinDom-01の一部となります。

    リソースとアカウントの共有共有方法と同様に、リソースグループは、他のユーザーおよびユーザーグループとも共有できます。ただし、リソースがグループに追加またはグループから削除されると、グループ全体で共有されるパスワードアクセスに影響しますので、注意してください。すなわち、特定のリソースグループを共有しているユーザーは、その時点でグループの一部であるリソースのパスワードのみを表示できます。

    PAM360でのリソースグループの作成および管理方法についての詳細は、ここをクリックしてください。

    5.リソースタブから可能な操作

    下のリンクから、詳細な文書に移動します。そこで、各種のリソースタイプを検出、追加、および管理でき、リソースを効率よく管理するためリソースグループを作成し、リソースのパスワードを完全管理できます。各機能についての詳細は、下の各リンクをクリックしてください。

    1. リソースと特権アカウントの検出
    2. リソースを手動で追加する
    3. リソースのインポート
    4. ファイルの保存
    5. リソースの管理
    6. 個別リソースの共有
    7. リソースの一括共有
    8. アカウントとパスワードの管理
    9. リソースの種類の管理
    10. パスワードを使った方法
    11. パスワードリセット
    12. リソースグループの管理
    13. ネストされたリソースグループ
    14. リソースグループのエクスポート
    15. IIS Web構成。検出