Clear

Password Manager Pro - MSP Edition の入門

ManageEngine Password Manager Pro は、Managed Service Providersの要件を考慮して特別に設計された MSP Editionでも利用できます。単一の管理コンソールからクライアントの管理パスワードを個別に管理したい、またはクライアントにパスワード管理サービスを提供したい MSP の場合は、MSP Editionを利用できます。

MSP 管理者とそれぞれの顧客の間でパスワードを安全に共有できるため、ユーザーは自分が所有するパスワード、または自分と共有されているパスワードにのみアクセスできるようになります。これにより、パスワードボールトの制御権限をMSP管理者、エンドユーザー、またはその両方に柔軟に付与することができます。

MSP Editionは、Password Manager Pro の基本的なパスワード資格モデルにも準拠しています。つまり、いつでも、所有および共有されているパスワードのみを表示できます。MSP 管理者は、管理している組織の名前を表示できますが、すべての顧客に関するデータは、顧客のリソースを追加するか、顧客があなたとリソースを共有している場合にのみ表示できます。顧客は自分の組織に属するデータのみを表示できます。

必要な手順

  1. 前提条件
  2. インストールステップ
  3. サイレントインストール
    1. 3.1 Windowsの場合
    2. 3.2 Linuxの場合
  4. ユーザーの追加
  5. 組織の追加
    1. 5.1 クライアント組織の追加
    2. 5.2 組織を手動で追加
    3. 5.3 CSV からの組織のインポート
    4. 5.4 クライアント組織間での設定のレプリケート
  6. クライアント組織にアクセスする権限の付与
  7. MSPOrg

1.前提条件

  1. MSP Editionをテストするには、別のマシンを展開する必要があります。Password Manager Pro が実行されているのと同じマシンに MSP Editionをインストールしようとすると、既存の Password Manager Pro インスタンスがアンインストールされます。
  2. ManageEngine_PMP_MSP.exe をダウンロードしてインストールします。

2.インストールステップ

詳細な手順については、ここをクリックしてください。

3.サイレントインストール

サイレント インストールは、UI を操作せずにアプリケーションをインストールするために使用されます。このタイプのインストールは、インストール手順が限られているアプリケーションに役立ちます。サイレントインストールを開始する前に、名前、メールアドレス、パスなどの特定のパラメーターが自動的に設定されるか、手動で入力されます。以下のコマンドを実行すると、アプリケーションが自動的にインストールされます。

3.1 Windows Server に Password Manager Pro をサイレント インストールする手順

3.1.1 プライマリサーバー

  1. ManageEngine_PMP_MSP_64bit.exe のファイルをダウンロードします。
  2. インストール ファイル WindowsPrimaryMSP.iss をダウンロードします。
  3. WindowsPrimaryMSP.iss ファイルをメモ帳で開き、名前、メールアドレス (必須)、電話番号、会社名、国 (必須) を編集して保存します。
  4. WindowsPrimaryMSP.iss ファイルを C:\Windows\ に移動します。
  5. 管理者としてコマンド プロンプトを開き、ManageEngine_PMP_MSP_64bit.exe ファイルの場所に移動します。
  6. 次のコマンドを実行します: 

    ManageEngine_PMP_MSP_64bit.exe -a -s -f1"C:\Windows\WindowsPrimaryMSP.iss" -f2"C:\Windows\WindowsPrimaryMSP.log"

Password Manager Pro がインストールされ、サービスが自動的に開始されます。

3.1.2 セカンダリサーバー

  1. ManageEngine_PMP_MSP_64bit.exe のファイルをダウンロードします。
  2. インストール ファイル WindowsSecondaryMSP.iss をダウンロードします。
  3. WindowsSecondaryMSP.iss ファイルを C:\Windows\ に移動します。
  4. 管理者としてコマンド プロンプトを開き、ManageEngine_PMP_MSP_64bit.exe ファイルの場所に移動します。
  5. 次のコマンドを実行します: 

    ManageEngine_PMP_MSP_64bit.exe -a -s -f1"C:\Windows\WindowsSecondaryMSP.iss" -f2"C:\Windows\WindowsSecondaryMSP.log

Password Manager Pro がインストールされ、サービスが自動的に開始されます。

3.1.3 Windows Server で Password Manager Pro をアンインストールする手順

  1. アンインストール ファイル WindowsUninstallMSP.iss をダウンロードします。
  2. WindowsUninstallMSP.iss ファイルを C:\Windows\ に移動します。
  3. 管理者としてコマンド プロンプトを開き、ManageEngine_PMP_MSP_64bit.exe ファイルの場所に移動します。
  4. 次のコマンドを実行します:

    ManageEngine_PMP_MSP_64bit.exe -a -s -f1"C:\Windows\WindowsUninstallMSP.iss" -f2"C:\Windows\WindowsUninstallMSP.log"

Password Manager Pro がアンインストールされます。

3.2 Linux Server に Password Manager Pro をサイレント インストールする手順

3.2.1 プライマリサーバー

  1. Linux 用のファイル ManageEngine_PMP_MSP_64bit.bin をダウンロードします。
  2. インストール ファイル LinuxPrimaryMSP.txt をダウンロードします。
  3. LinuxPrimaryMSP.txt をメモ帳で開きます。
  4. ユーザーのインストール ディレクトリのパス (USER_INSTALL_DIR) とファイル上書きのパス (-fileOverwrite_) を指定します。
  5. LinuxPrimaryMSP.txtを保存してホームディレクトリに移動します。
  6. コンソールを開き、ManageEngine_PMP_MSP_64bit.bin ファイルの場所に移動します。 
  7. 次のコマンドを実行します:

    chmod a+x ManageEngine_PMP_MSP_64bit.bin

  8. 次のコマンドを実行します: 

    ./ManageEngine_PMP_MSP_64bit.bin -i silent -f /home/LinuxPrimaryMSP.txt

Password Manager Pro がインストールされます。

3.2.2 セカンダリサーバー

  1. Linux 用のファイル ManageEngine_PMP_MSP_64bit.bin をダウンロードします。
  2. インストール ファイル LinuxSecondaryMSP.txt をダウンロードします。
  3. LinuxSecondaryMSP.txt をメモ帳で開きます。
  4. ユーザーのインストール ディレクトリのパス (USER_INSTALL_DIR) とファイル上書きのパス (-fileOverwrite_) を指定します。
  5. LinuxSecondaryMSP.txt を保存してホーム ディレクトリに移動します。
  6. コンソールを開き、ManageEngine_PMP_MSP_64bit.bin ファイルの場所に移動します。 
  7. 次のコマンドを実行します:

    chmod a+x ManageEngine_PMP_MSP_64bit.bin

  8. 次のコマンドを実行します: 

    ./ManageEngine_PMP_MSP_64bit.bin -i silent -f /home/LinuxSecondaryMSP.txt

Password Manager Pro がインストールされます。

4.ユーザーの追加 (MSP 組織)

MSP 管理プロセスは、ユーザー管理から始まります。最初のステップは、MSP 組織にユーザーを追加することです。クライアント組織ごとに 1 人の管理者をアカウント マネージャーとして指名する必要があります。クライアント組織へのユーザーの追加方法については、こちらのリンクをクリックしてご確認ください。

5.組織の追加

5.1 クライアント組織の追加

ユーザーを追加した後、クライアント組織を追加する必要があります。[管理] >> [組織] >> [組織] に移動して、クライアント組織を追加します。MSP によって管理される組織は、ここで Password Manager Pro に登録する必要があります。

クライアント組織を 1 つずつ手動で追加することも、CSV ファイルからすべての組織を一括でインポートすることもできます。

5.2 組織を手動で追加する

  1. [管理]>>[組織]>>[組織]に移動します。
  2. [組織の追加]をクリックします。
  3. 表示されるポップアップで、追加する組織の名前を指定します。
  4. 表示名: 追加される組織を識別するための名前。
    • ここでは、空白を含まない英数字のみを使用できます。
    • 名前は単一の単語である必要があります。
    • ここで入力した名前は、Password Manager ProのGUIの右上にあるドロップダウンに表示されます。
    • さらに、表示名は Password Manager Pro のログイン URL に表示されます。

    (たとえば、表示名として[xyz]を割り当てた場合、組織のログイン URL は https://:/xyz になります)。

  5. アカウントマネージャー:追加される組織のアカウント マネージャーとして、貴社(MSP)の任意の管理者を指定できます。名前が示すように、アカウント マネージャーは管理対象の組織の連絡窓口となり、組織を代表してリソースを追加および管理する権限を持ちます。Password Manager Pro で管理者の役割を持つアカウント マネージャーは、組織のユーザーも管理できるようになります。管理対象の組織ごとにアカウント マネージャーを 1 人だけ指定できます。同じ管理者を複数のクライアント組織のアカウント マネージャーにすることができます。
  6. 必要に応じて、部門、場所などのその他の詳細を入力します。

5.3 CSV からの組織のインポート

インポート ウィザードを使用して、CSV ファイルから複数の組織をインポートできます。CSV には、組織名、表示名、その他の詳細に関するエントリがカンマ区切り形式で含まれている必要があります。各組織のエントリは新しい行に入力する必要があります。CSVファイルのすべてのラインは一貫し、フィールド数が同じである必要があります。拡張子が .txt および .csv の CSV ファイルが許可されます。

組織をインポートするには、

  1. [管理]>>[組織]>>[組織]>>[ファイルからインポート]に移動します。
  2. 開いたポップアップで、
    1. ファイル形式を選択します。
    2. 組織の詳細が含まれる CSV ファイルを参照して選択します。
    3. [次へ]をクリックします。
    4. 表示されるポップアップで、CSV ファイル内のフィールドを選択して、クライアント組織の対応する属性にマッピングできます。
    5. [終了]をクリックします。

インポートされた各クライアント組織の結果は、[監査]タブに監査証跡として記録されます。

5.4 クライアント組織間での設定の複製

Password Manager Pro を使用すると、MSP 管理者は、すべての管理対象クライアント組織にわたってリソース/ユーザー グループの構造と設定を複製できます。

注記:クライアント組織間で設定を複製するオプションは、Password Manager Pro の Enterprise Editionにのみ適用されることに注意してください。

これを設定するには、次の手順に従います。

  1. [管理] >> [組織] >> [クライアント組織間で設定をレプリケート] に移動します。
  2. チェックボックスを使用して必要なオプションを選択します。
  3. [保存]をクリックして変更を保存します。

以下にリストされているのは、MSP 組織に存在するすべてのクライアント組織に適用できるグループ構造や設定です。

  1. すべてのクライアント組織間でユーザーグループを複製 - MSP組織のユーザーグループをすべてのクライアント組織間で複製します。
  2. すべてのクライアント組織間でユーザーグループ設定を複製 - MSP組織のユーザーグループの権限と特権をすべてのクライアント組織間で複製します。
  3. すべてのクライアント組織間でリソースグループを複製 - MSP組織のリソース グループをすべてのクライアント組織間で複製します。
  4. すべてのクライアント組織間でリソースグループからユーザーグループへの共有設定を複製 - MSP組織のリソースグループからユーザーグループへの共有設定をすべてのクライアント組織間で複製します。
  5. すべてのクライアント組織間でリソース/アカウントレベルの追加フィールドの複製 - MSP組織のリソースとアカウントの追加フィールドをすべてのクライアント組織間で複製します。
  6. すべてのクライアント組織間でユーザーの役割を複製 - MSP組織の使用可能なユーザーの役割をすべてのクライアント組織間で複製します。
    • 上書き
    • 名前変更(末尾にMSPを追加)
  7. すべてのクライアント組織間でリソース種別を複製 - 必要に応じて、パスワードリセットリスナーとデータベースプロパティを使用して、MSP組織のリソース種別をすべてのクライアント組織間で複製します。
    • パスワードリセットリスナーをリソース種別とともに複製
    • データベースプロパティをリソース種別とともに複製
  8. すべてのクライアント組織間でパスワードポリシーを複製 - 必要に応じて、デフォルトのパスワードポリシー設定を使用して、MSP組織の使用可能なパスワードポリシーをすべてのクライアント組織間で複製します。
    • デフォルトのパスワードポリシー設定をすべてのクライアント組織間で複製
  9. すべてのクライアント組織間で監査操作タイプの設定を複製 - MSP組織の使用可能な操作タイプをすべてのクライアント組織間で複製します。
  10. すべすべてのクライアント組織間で監査消去設定を複製 - MSP組織の設定済みの監査消去設定をすべてのクライアント組織間で複製します。

6.クライアント組織にアクセスする権限の付与

管理者をアカウントマネージャーとして指定することに加えて、MSP 組織の他のメンバーにクライアント組織へのアクセス権限を付与することができます。この権限を持つ管理者には、クライアント組織内の管理者権限が付与されます。同様に、パスワード管理者またはパスワードユーザーに権限が付与されている場合、それぞれの権限が与えられます。

Password Manager Pro では、セキュリティを強化するためにクライアント組織を管理する前に承認が必要です。MSP の管理者はクライアント組織の組織アクセスを開始できますが、MSP の他の管理者による承認が必要です。リクエストを開始した人または開始された人がリクエストを承認することはできません。これは、管理者が他の管理者の承認なしに自分で管理権限を取得したり、その権限を他の人に付与したりできないようにするためです。これは本質的に、このプロセスを実行するには、MSP組織に少なくとも3名の管理者が必要であることを意味します。

たとえば、管理者 A管理者 B に、組織 ABC のアクセスを提供したいというシナリオを想定します。この場合、管理者 A (提案者)管理者 B (管理者が指定する人) 共に、アクセス許可を承認することはできません。別の管理者 (管理者 C など) が、クライアント組織のリクエストを承認する必要があります。

ユーザー/ユーザー グループ レベルでクライアント組織を管理するには、次の手順を実行します。

  1. MSP アカウントにログインし、[ユーザー/ユーザー グループ] タブに移動します。
  2. 該当のユーザー/ユーザー グループの横にある [ユーザーアクション/アクション] ドロップダウンアイコンをクリックし、[組織アクセスの管理]または、[ユーザー組織アクセスの管理]を選択します。
  3. 開いたポップアップで、組織リストから、アクセスが提供されるユーザー/ユーザー グループに関連する該当のクライアント組織を選択し、それを [アクセスの許可] セクションに移動します。
  4. リクエスト承認者の名前を選択し、[保存]をクリックします。

管理者は、[管理]タブ→[アクセスレビュー]に移動し、[ユーザー組織リクエスト]または、[ユーザーグループ組織リクエスト]を選択して、リクエストを承認できます。

注: 管理者は、インターフェースの上部ペインにある通知アイコンから直接承認を実行することもできます。

該当の組織の横にある[アクション]アイコンをクリックして、[組織]ページから次の操作を実行することもできます。

  • ユーザー組織のアクセスの管理
  • ユーザーグループの組織アクセスの管理
  • ユーザー組織のアクセスリクエストの許可
  • ユーザーグループ組織のアクセスリクエストの許可

クライアント組織が管理されているユーザーおよびユーザー グループについて詳しく知るためのレポートを生成することもできます。これを行うには、[管理] >> [組織] >> [組織] に移動し、該当のクライアント組織の横にあるレポート アイコンをクリックします。開いたウィンドウに、さまざまなレベルで管理されているユーザーとユーザー グループのリストが表示されます。

7.MSPOrg (デフォルト組織)

デフォルトでは、MSPOrg という名前の 1 つの組織が使用可能になります。このデフォルト組織は基本的にあなたの組織 (MSP の組織) です。ここで追加するパスワードは、クライアントの組織ではなく、自分の組織に関連します。

7.1 クライアント組織のパスワードを管理

組織が追加されると、Password Manager ProのGUIの [組織の選択] の上部バンドに、自分が管理している組織 (つまり、自分が管理している組織、または自分がアカウント マネージャーである組織) のリストが表示されます。

必要な組織を選択し、リソースの追加に進みます。その後、パスワードをクライアントと共有できます。一方、パスワード管理サービスを提供している場合は、クライアント自身にパスワードを追加するよう依頼することになります。

7.2 特定のクライアント組織へのアクセス方法

https://<PMP-Host-Name>:7272/ の URL にアクセスすると、通常どおり MSP 組織にアクセスできます。Password Manager ProのGUIの上部バンドから必要なクライアント組織を選択できます。

7.3 クライアントはどのようにして Password Manager Pro にアクセスしますか?

組織を作成した後、クライアントは組織に接続し、以下で説明するように URL を入力してパスワードを表示/管理できます。

https://<Host Name:<port>/<組織名>

たとえば、クライアントの組織の名前が[abc]で、Password Manager Pro がホスト[pmphost]で実行されていると仮定すると、組織に接続するための URL は https://pmphost:7272/abc になります。

さまざまなパスワード管理機能を実行する方法については、ヘルプ ドキュメントの各セクションを参照してください。

7.4 クライアント組織の削除方法

MSPOrg 管理者である場合にのみ、Password Manager Pro でクライアント組織を削除できます。さらに、次のいずれかの権限も必要です。

  1. 削除するクライアント組織のアカウント マネージャーである。
  2. 削除するクライアント組織に対する[組織の管理]権限を保持している。

組織を削除するには、

  1. [管理]>>[組織]>>[組織]に移動します。
  2. 削除するクライアント組織を見つけて、その横にある [アクション] アイコンをクリックし、ドロップダウン メニューから [組織の削除] を選択します。
  3. [OK]をクリックして削除を確認します。

クライアント組織を削除すると、その組織の下に追加されたすべてのリソースとユーザーも削除されることに注意してください。 

       概要