グループを一括登録するには

① システム管理者アカウントでコンソールにログインします。

② グループ一括登録用のCSVファイルを作成します。

③ グループツリーのから、［グループ一括登録］を選択します。

④ 「グループ一括登録」画面からCSVファイルをインポートします。

グループ一括登録用CSVファイルの作成については、以下を参照してください。

   11-12. CSVファイルフォーマット

   11-12-6-1. グループ情報

   クライアントに紐付くグループ/ユーザーを一括変更するには

クライアントに紐付くグループ/ユーザーの登録情報を一括で変更できます。［ハードウェア所属一括変更］ボタンを使用した変更手順は次のとおりです。

① システム管理者アカウントでコンソールにログインします。

② ハードウェア所属一括変更用のCSVファイルを作成します。

③ 画面に表示される［ハードウェア所属一括変更］ボタンをクリックします。

④ 「ハードウェア所属一括変更」画面からCSVファイルをインポートします。

ハードウェア所属一括変更用CSVファイルの作成については、以下を参照してください。

   11-12. CSVファイルフォーマット

   11-12-6-4. ハードウェア所属一括変更

(1)

メニューから、を選択します。

(2)

左メニューから、［組織設定］を選択します。

(3)

グループツリーから親グループを選択します。

例：［営業部］を選択

(4)

グループツリーのから、［グループ］を選択します。

「グループ登録」画面が表示されます。

(1)

［グループ名］欄に、グループ名を入力します。

例：“営業-第一課”

(2)

［登録］ボタンをクリックします。

(3)

確認メッセージが表示されますので、［はい］ボタンをクリックします。

登録が完了します。

   グループIDを使用するタイミング

ユーザー情報（所属グループの指定）と管理者情報（管理グループの指定）、グループ情報（親グループの指定）の一括登録用CSVファイル作成時に使用します。

グループIDは、個別登録時に自動で割り振られます。任意のIDに変更する場合は、値を変更してください。

   QS版オプション製品を利用している場合

グループを削除した場合、LogAnalyticsコンソール/DefenderControlコンソール/ふるまい検知コンソール/ソフトウェア配布コンソールで非表示になるまで時間がかかることがあります。

(1)

メニューから、を選択します。

(2)

左メニューから、［組織設定］を選択します。

「グループ設定」画面が表示されます。

(1)

親グループを変更するグループのチェックボックスにチェックを入れます。

機能アイコンが表示されます。

(2)

をクリックします。

「グループ選択」画面が表示されます。

(3)

変更先のグループを選択します。

(4)

［登録］ボタンをクリックします。

(5)

確認メッセージが表示されますので、［はい］ボタンをクリックします。

親グループの変更が完了します。

   ユーザーを一括登録するには

① システム管理者アカウントでコンソールにログインします。

② ユーザー一括登録用のCSVファイルを作成します。

③ グループツリーのから、［ユーザー一括登録］を選択します。

④ 「ユーザー一括登録」画面からCSVファイルをインポートします。

ユーザー一括登録用CSVファイルの作成については、以下を参照してください。

   11-12. CSVファイルフォーマット

   11-12-6-2. ユーザー情報

   ハードウェア管理情報の利用者情報からユーザー登録するには

クライアント導入後、ユーザーに利用者情報（利用者名、メールアドレスなど）を直接入力してもらい、インベントリ収集をします。収集した利用者情報で、ユーザーが登録されます。

なお、この方法でユーザー登録をするには、→［基本ポリシー］→［PC収集］→［ハードウェア管理情報収集］の［利用者情報の入力を許可する］にチェックを入れる必要があります。

なお、すでに登録されている利用者情報がある場合、ユーザーが入力したユーザーIDと、登録済みのユーザーIDが一致したときは、ユーザーが入力した情報で既存の利用者情報が上書きされます。ユーザーが入力したユーザーIDと、すでに登録されているユーザーIDが異なるときは、異なる利用者情報として登録されます。

   クライアントに紐付くグループ/ユーザーを一括変更するには

クライアントに紐付くグループ/ユーザーの登録情報を一括で変更できます。［ハードウェア所属一括変更］ボタンを使用した変更手順は次のとおりです。

① システム管理者アカウントでコンソールにログインします。

② ハードウェア所属一括変更用のCSVファイルを作成します。

③ 画面に表示される［ハードウェア所属一括変更］ボタンをクリックします。

④ 「ハードウェア所属一括変更」画面からCSVファイルをインポートします。

ハードウェア所属一括変更用CSVファイルの作成については、以下を参照してください。

   11-12. CSVファイルフォーマット

   11-12-6-4. ハードウェア所属一括変更

(1)

メニューから、を選択します。

(2)

左メニューから、［組織設定］を選択します。

(3)

グループツリーから、登録するユーザーを所属させるグループを選択します。

(4)

グループツリーのから、［ユーザー］を選択します。

「ユーザー登録」画面が表示されます。

(1)

［ユーザーID］を任意のIDにする場合は、変更します。

(2)

［名前］欄に、姓と名を入力します。

例：［姓］に“山田”、［名］に“花子”と入力

(3)

［メールアドレス］/［アカウント名］/［役職］欄に、必要に応じてユーザーの情報を入力します。

(4)

［従業員区分］で、従業員区分を選択します。

例：［一般従業員］を選択

(5)

労使協定を締結済みの場合は、［労使協定締結］でをクリックします。

に切り替わり、労使協定締結済みになります。

(6)

［タイムゾーン］でユーザーのタイムゾーンを選択します。

例：［(UTC+09:00) 大阪、札幌、東京］を選択

(7)

［登録］ボタンをクリックします。

(8)

確認メッセージが表示されますので、［はい］ボタンをクリックします。

登録が完了します。

   ［アカウント名］

就業時間管理機能で、勤怠データと操作ログを突合させる設定にした場合、［アカウント名］欄にログオンユーザー名を登録すると、そのアカウント名でログオンしたクライアントのPC稼働ログを対象にして勤怠情報の集計が行われます。

(1)

メニューから、を選択します。

(2)

左メニューから、［組織設定］を選択します。

(3)

を選択します。

「ユーザー設定」画面が表示されます。

(1)

所属グループを変更するユーザーのチェックボックスにチェックを入れます。

機能アイコンが表示されます。

(2)

をクリックします。

「グループ選択」画面が表示されます。

(3)

変更先のグループを選択します。

(4)

［登録］ボタンをクリックします。

(5)

確認メッセージが表示されますので、［はい］ボタンをクリックします。

所属グループの変更が完了します。

   Active Directory連携ツールを利用するには

Active Directory連携ツールを利用するには、Active Directory連携ツールを実行するマシンに、次のいずれかがインストールされている必要があります。

･Java SE Runtime Environment 8

･Java SE Development Kit 8

また、サービスプロバイダー/サービス管理者によって、ユーザーコンソール用APIの利用が許可されている必要があります。共通メニューの［（ログイン名）］→［契約情報］→［契約設定（共通）］→［ユーザーコンソール用APIの利用］から確認できます。

Active Directory連携ツールを利用する前には、動作環境を必ず確認してください。

   付録-2-13. Active Directory連携ツール

   Active Directory連携ツールに関する注意点

Active Directory連携ツールの利用について、次の注意点があります。

･ツールで追加した組織単位/ユーザーの情報をユーザーコンソールで編集しても、次回のツール実行時にActive Directoryの情報で上書きされます。

･Active Directoryで組織情報が割り当てられていないユーザーは、ツールで取り込まれません。

･ツールの実行によって出力されるCSVファイル（ad.csv）には、連携に関係のない情報（Users配下のDefaultAccountや管理用アカウント名など）も含まれるため、ツールは管理者のみ参照できる場所で実行してください。

･ツールの実行時にCSVファイル（ad.csv）が他のプロセスで使用されている場合、実行に失敗します。

･Active Directoryの組織名に、シングルクォーテーション（'）、ダブルクォーテーション（"）、エンマーク（\）、バーティカルバー（|）が含まれる場合、ユーザーコンソールではアンダースコア（_）に置き換わって表示されます。
例）Active Directoryの組織名が「組\織」の場合、ユーザーコンソールでは「組_織」と表示されます。

･Active Directoryのユーザーのメールアドレスに本サービスで使用できない文字が含まれる場合、ユーザーコンソールではメールアドレスは空欄になります。

･ユーザーコンソールにログイン中にツールを利用して組織単位/ユーザーを追加した場合、追加した組織単位/ユーザーはユーザーコンソールに表示されません。ツール実行後に再ログインすると表示されます。

(1)

メニューから、を選択します。

(2)

左メニューから、［クライアント導入］→［Windowsユーティリティ］の順に選択します。

(3)

Active Directory連携ツール（ismApi4ADconnect.zip）の［更新日時］からをクリックします。

または、共通メニューの→［その他］タブから、Active Directory連携ツールのをクリックします。

(4)

ファイルの保存画面が表示されますので、保存先を指定します。

Active Directory連携ツールを実行するマシンから接続可能なファイルサーバーなどに保存してください。

(1)

Active Directory連携ツールを実行するマシンで、ダウンロードした圧縮ファイルを解凍します。

(2)

ismApi4ADconnect\ismApi4ADconnect\binフォルダー内のismApi4ADconnect.batを右クリックし、コンテキストメニューから［編集］を選択します。

(3)

Active Directoryへの接続情報を設定します。

設定する項目は、次の表のとおりです。

Active Directory連携ツールを実行するマシンが、対象のActive Directoryサーバーのマシンかどうかによって、設定値が異なります。

表10-2-3-1-1.ツール起動用スクリプトの設定項目

AD_ADDRESS

空文字を指定します。

Active Directoryサーバーのアドレスを指定します。

例）@set AD_ADDRESS=172.16.0.1

AD_PORT

389を指定します。

Active Directoryサーバーの接続ポートを指定します。

例）@set AD_PORT=389

AD_DOMAIN

空文字を指定します。

Active Directoryサーバーのドメインを指定します。

例）@set AD_DOMAIN=DOMAIN

AD_LOGON_ID

空文字を指定します。

Active DirectoryサーバーのログオンIDを指定します。

例）@set AD_LOGON_ID=administrator

AD_LOGON_PASSWORD

空文字を指定します。

Active Directoryサーバーのログオンパスワードを指定します。

例）@set AD_LOGON_PASSWORD=password

(4)

ファイルを保存します。

(1)

ismApi4ADconnectフォルダー内のsetting.propertiesをテキストエディター等で開きます。

(2)

Active Directory連携ツールが本サービスのシステムサーバーに接続するための情報を指定します。

設定する項目は、次の表のとおりです。

表10-2-3-1-2.ツール用設定ファイルの設定項目

api_host

ユーザーコンソールの接続先サーバーのアドレス（ユーザーコンソールのURL のドメイン名）を指定します。

IPv6アドレスを指定する場合は[]で囲んでください。

api_port

ユーザーコンソールの接続先サーバーのポート番号を指定します（デフォルト値：443）。

半角数字以外の値が指定された場合は、443として扱われます。

customer_code

顧客コードを指定します。

account_id

ユーザーコンソールにログインするアカウントのアカウント名を指定します。

システム管理者のアカウント名を指定してください。

account_pw

account_idで指定したアカウントのパスワードを指定します。

proxy_host

Active Directory連携ツールがシステムサーバーに接続する際にプロキシサーバーを経由する必要がある場合は、プロキシサーバーのホスト名、FQDN、またはIPアドレスを指定します。

IPv6アドレスを指定する場合は[]で囲んでください。

プロキシサーバーを使用しない場合は、空欄にします。

proxy_port

Active Directory連携ツールがシステムサーバーに接続する際にプロキシサーバーを経由する必要がある場合は、プロキシサーバーのポート番号を指定します。

プロキシサーバーを使用しない場合は、空欄にします。

半角数字以外の値が指定された場合は、空欄として扱われます。

proxy_user

認証付きプロキシサーバーを使用する場合は、認証に必要なユーザー名を指定します。

プロキシサーバーを使用しない場合は、空欄にします。

proxy_password

認証付きプロキシサーバーを使用する場合は、認証に必要なパスワードを指定します。

プロキシサーバーを使用しない場合は、空欄にします。

ad_group_name

組織設定のグループ名を指定します。

Active Directoryから取り込まれた組織単位/ユーザーの情報は、ここで指定したグループ名の配下に登録され、ユーザーコンソールに表示されます。

csv_file_path

ad.csvを指定します。

Active Directoryの組織単位/ユーザー情報は、このファイル名でCSV出力されます。変更しないでください。

(3)

ファイルを保存します。

(1)

ismApi4ADconnect\ismApi4ADconnect\binフォルダー内のismApi4ADconnect.batを実行します。

Active Directoryの組織単位/ユーザーの情報がCSVファイルに出力され、システムサーバーに取り込まれます。

CSVファイル（ad.csv）は、ismApi4ADconnect\ismApi4ADconnect\binフォルダー内に保存されます。

1行目はヘッダー行です。システムサーバーには2行目以降のデータが読み込まれます。

出力例）

DN,objectClass,ou,description,objectGUID,sAMAccountName,sn,givenName,mail

"OU=開発一部,OU=開発部,DC=yad28,DC=ex,DC=jp",organizationalUnit,開発一部,seagergaerga,
X'4185766556ea24498fd089e40d0a0583',,,,

"CN=田中 三郎 st.,OU=開発一部,OU=開発部,DC=yad28,DC=ex,DC=jp",user,,説明,
X'b0ec25e8dbe4e74b963a266cc306244f',youyou,田中,三郎,tes@test

出力されるデータは、次の表のとおりです。

表10-2-3-1-3.CSVファイルの出力結果

DN

Active Directory上のオブジェクトを一意に識別する名前が出力されます。

Active Directoryの情報のツリー構造にしたがって、オブジェクトの属性を下位階層から上位階層へカンマ（,）区切りで並べたものです。

objectClass

オブジェクトの種別が出力されます。

･user：ユーザー

･organizationalUnit：組織単位

ou

objectClassがorganizationalUnit（組織単位）の場合に組織名が出力されます。

objectClassがuser（ユーザー）の場合は、空欄です。

description

オブジェクトの説明が出力されます。

objectGUID

オブジェクトのGUIDが出力されます。

Active Directoryの32桁のobjectGUID（ハイフンを除く半角英数字0～9、a～f）の先頭に“X'”、末尾に“'”が付加された、合計35桁で出力されます。

sAMAccountName

ユーザーのユーザーログオン名が出力されます。

objectClassがorganizationalUnit（組織単位）の場合は、空欄です。

sn

ユーザーの姓が出力されます。

objectClassがorganizationalUnit（組織単位）の場合は、空欄です。

givenName

ユーザーの名が出力されます。

objectClassがorganizationalUnit（組織単位）の場合は、空欄です。

mail

ユーザーのメールアドレスが出力されます。

objectClassがorganizationalUnit（組織単位）の場合は、空欄です。

   出力されたCSVファイルは編集しないでください！

Active Directoryの組織単位/ユーザーの情報は、CSVファイルのフォーマットを基にシステムサーバーに取り込まれるため、出力されたCSVファイルは編集しないでください。

(1)

メニューから、を選択します。

(2)

左メニューから、［組織設定］を選択します。

「グループ設定」画面が表示されます。

(3)

Active Directoryの組織単位/ユーザーの情報が取り込まれていることを確認します。

   ユーザーコンソールで登録済みの組織単位/ユーザーのActive Directoryとの紐付け

ユーザーコンソールですでに登録済みの組織単位/ユーザーにActive Directoryから取り込む情報を紐付けるには、対象の組織単位/ユーザーのActive Directory上のGUIDを、組織設定のグループ情報、ユーザー情報に追加します。GUIDが設定された組織単位/ユーザーは、次回Active Directory連携ツールの実行時に、更新の対象になります。

各組織単位/ユーザーのGUIDは、Active Directory連携ツール実行時に出力されるCSVファイル（ad.csv）のobjectGUIDを確認します。

グループ情報、ユーザー情報へのGUIDの設定は、CSV一括登録で行います。グループ設定、ユーザー設定の編集画面からは設定できません。

グループ一括登録用CSVファイル、ユーザー一括登録用CSV ファイルの作成については、以下を参照してください。

   11-12. CSVファイルフォーマット

   11-12-6-1. グループ情報

   11-12-6-2. ユーザー情報

   Active Directoryの組織単位/ユーザーが更新・削除された場合

Active DirectoryのobjectGUIDがGUID欄に設定されている組織単位/ユーザーは、Active Directory連携ツール実行時に情報更新の対象になります。

ツール用設定ファイルの「ad_group_name」で指定したグループ名の配下にあり、かつActive DirectoryのobjectGUIDがGUID欄に設定されている組織単位/ユーザーのobjectGUIDがActive Directory上から削除されると、その組織単位/ユーザーはシステムサーバーからも削除されます。

   Active Directoryとの紐付けを解除する場合

組織単位/ユーザーの情報とActive Directoryとの紐付けを解除するには、CSV一括登録で、GUIDが空欄のデータをインポートしてください。

グループ設定、ユーザー設定の編集画面からは紐付けを解除できません。

   11-12. CSVファイルフォーマット

   11-12-6-1. グループ情報

   11-12-6-2. ユーザー情報

   Active Directory連携ツールの実行ログ

Active Directory連携ツールの実行後、ismApi4ADconnect\binフォルダーに“yyyymmdd.log”のファイル名でツールの実行ログが出力されます。

実行ログは自動で削除されませんので、不要な場合は手動で削除してください。

(1)

［Windows］キー+［R］キーを押します。

「ファイル名を指定して実行」画面が表示されます。

(2)

“taskschd.msc”と入力して［OK］ボタンをクリックします。

「タスク スケジューラ」画面が表示されます。

(3)

メニューから［操作］→［タスクの作成］の順に選択します。

「タスクの作成」画面が表示されます。

(1)

［全般］タブの［名前］欄に、任意の名前を入力します。

(2)

［説明］欄に任意の説明を入力します。

(3)

［セキュリティ オプション］で、［ユーザーがログオンしているかどうかにかかわらず実行する］をオンにします。

(4)

［最上位の特権で実行する］、［表示しない］は、チェックが外れていることを確認します。

(1)

［トリガー］タブをクリックします。

(2)

［新規］ボタンをクリックします。

「新しいトリガー」画面が表示されます。

(3)

［タスクの開始］で［スケジュールに従う］を選択します。

(4)

［設定］で［毎日］をオンにします。

(5)

［開始］でスケジュールを開始する日時を選択します。

(6)

［OK］ボタンをクリックします。

「新しいトリガー」画面が閉じ、「タスクの作成」画面に戻ります。

   Active Directory連携ツールの実行時刻

Active Directoryに設定されている組織単位数やユーザー数によっては、ツールの実行に時間がかかる場合があります。そのため、開始時刻を業務時間外に設定することをお奨めします。

(1)

［操作］タブをクリックします。

(2)

［新規］ボタンをクリックします。

「新しい操作」画面が表示されます。

(3)

［操作］で［プログラムの開始］を選択します。

(4)

［プログラム/スクリプト］欄に、Active Directory連携ツールの起動スクリプト（ismApi4ADconnect.bat）の保存場所を入力します。

例：C:\ismApi4ADconnect\bin\
ismA­pi4ADconnect.bat

(5)

［OK］ボタンをクリックします。

「新しい操作」画面が閉じ、「タスクの作成」画面に戻ります。

(1)

［OK］ボタンをクリックします。

(2)

タスクを実行するユーザーアカウント情報を入力します。

(3)

［OK］ボタンをクリックします。

(4)

タスクが登録されていることを確認します。

→［基本ポリシー］→［PC収集］/［スマートデバイス収集］→［ハードウェア管理情報収集］→［項目設定］で、ハードウェア管理情報の項目を設定します。

   11-5-2. PC収集

   11-5-5. スマートデバイス収集

各クライアントを導入します。

   10-3. クライアントを導入する

   ハードウェア管理情報を一括登録するには

① ハードウェア管理情報一括登録用のCSVファイルを作成します。

② ［ハードウェア管理情報一括登録］ボタンをクリックします。

③ 「ハードウェア管理情報一括登録」画面からCSVファイルをインポートします。

ハードウェア管理情報一括登録用CSVファイルの作成については、以下を参照してください。

   11-12. CSVファイルフォーマット

   11-12-6-3. ハードウェア管理情報

   クライアントに紐付くグループ/ユーザーを一括変更するには

クライアントに紐付くグループ/ユーザーの登録情報を一括で変更できます。［ハードウェア所属一括変更］ボタンを使用した変更手順は次のとおりです。

① システム管理者アカウントでコンソールにログインします。

② ハードウェア所属一括変更用のCSVファイルを作成します。

③ 画面に表示される［ハードウェア所属一括変更］ボタンをクリックします。

④ 「ハードウェア所属一括変更」画面からCSVファイルをインポートします。

ハードウェア所属一括変更用CSVファイルの作成については、以下を参照してください。

   11-12. CSVファイルフォーマット

   11-12-6-4. ハードウェア所属一括変更

(1)

メニューから、を選択します。

(2)

左メニューから、［組織設定］を選択します。

(3)

を選択します。

「ハードウェア設定」画面が表示されます。

(1)

ユーザーに関連付けるハードウェアのチェックボックスにチェックを入れます。

機能アイコンが表示されます。

(2)

をクリックします。

「グループ・ユーザー選択」画面が表示されます。

(3)

関連付けるユーザーを選択します。

所属グループの変更の場合は、グループを選択してください。

(4)

［登録］ボタンをクリックします。

   対象のユーザーのグループがグレーアウトしている場合

ほかの管理者が直前に新しいグループを作成していた場合、対象のユーザーのグループがグレーアウトした状態で表示されることがあります。

ユーザーコンソールにログインし直すことで選択できるようになります。

(5)

確認メッセージが表示されますので、［はい］ボタンをクリックします。

ユーザーへの関連付けが完了します。

(1)

クライアントから収集、または管理者が一括登録したハードウェア管理情報を編集するハードウェアをクリックします。

ハードウェア管理情報画面が表示されます。

(2)

をクリックします。

(3)

ハードウェア管理情報を編集します。

(4)

［登録］ボタンをクリックします。

ハードウェア管理情報の編集が完了します。

   ハードウェア管理情報の項目の入力形式を変更する場合

→［基本ポリシー］→［PC収集］/［スマートデバイス収集］→［ハードウェア管理情報収集］→［項目設定］で、登録済みのハードウェア管理情報の編集画面を開き、入力形式の文字列や日付、選択式の項目を変更して［登録］ボタンをクリックすると、収集済みのハードウェア管理情報の値が削除されます。

そのため、事前に→［組織設定］→［ハードウェア設定］から［ハードウェア管理情報一括登録］ボタンをクリックして表示される「ハードウェア管理情報一括登録」画面で、収集済みのハードウェア管理情報をバックアップしてください。