˄˅

ESET PROTECT CloudをActive Directoryと同期する

ESET Active Directory Scannerを使用して、Active DirectoryコンピューターおよびユーザーをESET PROTECT Cloud Webコンソールと同期します。

前提条件

•Active Directoryに接続されたコンピューターでActive DirectoryユーザーとしてActive Directory Scannerを実行します。

•サポートされているオペレーティングシステム(HTTP/2のサポート):Windows 10、Windows Server 2016以降。

•.NET Core Runtimeをダウンロードしてインストールします。

•ユーザー構成ファイルを準備します。(config.json) (これはActive Directoryユーザー同期でのみ必要です)

•AD Scannerアクセストークンのユーザーアクセス権権限:書き込み

Active Directoryスキャナーの使用

1.ESET PROTECT Cloud Webコンソールで、エージェントGPO展開スクリプトを作成します。

2.Active Directoryユーザーアカウントを使用して、Active Directoryでコンピューターにログインします。上記の前提条件を満たしていることを確認してください。

3.最新のActive Directory Scannerをコンピューターにダウンロードします。

4.ダウンロードしたファイルを解凍します。

5.エージェントGPO展開スクリプト(手順1で作成)をダウンロードし、ActiveDirectoryScannerフォルダー(すべてのActive Directory Scannerファイルが格納されたフォルダー)にコピーします。

Active Directoryコンピューター同期

1.ESET PROTECT Cloud Webコンソールで、コンピューターに移動し、Active Directory構造を同期する静的グループを選択します。

2.選択した静的グループの横の歯車アイコンをクリックし、 Active Directory Scannerを選択して、生成されたアクセストークンをコピーします。

各静的グループには独自のトークンがあります。トークンは、Active Directoryが同期される静的グループを識別します。

セキュリティの理由から現在のトークンを無効にするには、再生成をクリックして、新しいトークンを作成します。ESET PROTECT CloudとのActive Directory同期が既に実行中の場合は、セキュリティトークンの変更後に同期が停止します。新しいトークンを使用してActive Directory Scannerを実行し、Active Directory同期を再有効化する必要があります。

3.Active Directory Scannerを実行します(token_stringを前の手順でコピーしたトークンで置換)。

ActiveDirectoryScanner.exe --token token_string

既定では、最新のActive Directory Scannerは無効なActive Directoryコンピューターを同期しません。無効なActive Directoryコンピューターを同期するには、--disabled-computersパラメーターを使用します。

ActiveDirectoryScanner.exe --token token_string --disabled-computers

4.要求されたときにActive Directoryユーザーパスワードを入力します。

5.Active Directory Scannerが同期を完了した後、Active Directory構造(組織単位とコンピューター)はESET PROTECT Cloud Web コンソールのコンピューターに静的グループとして表示されます。

Active Directory Scannerは、トリガー繰り返し間隔を1時間に設定して、WindowsタスクスケジューラのActive Directory同期タスクを作成します。設定に基づいて、タスクスケジューラでActive Directory同期間隔を調整できます。今後のActive Directory構造の変更は、次回の同期後にESET PROTECT Cloud Webコンソールに反映されます。

Active Directory同期の制限事項:

•Active Directory Scannerは、コンピューターとDNS名を含むActive Directory組織単位のみを同期します。コンピューターを含まない組織単位は同期されません。

•Active Directoryで組織単位名が変更されると、次の同期後に、新しい名前の新しい静的グループがESET PROTECT Cloud Webコンソールに作成されます。古い組織単位名に対応する静的グループはESET PROTECT Cloud Webコンソールに残り、空になります。含まれているコンピューターは新しい名前の静的グループに移動します。

•Active Directoryの組織単位を削除する場合は、ESET PROTECT Cloud Webコンソールの対応する静的グループからその中のすべてのコンピューターが削除されます。

•同期されたActive DirectoryコンピューターをESET PROTECT Cloud Webコンソールから削除する場合は、Active Directoryに残っていても、次の同期の後に再表示されることはありません。

Active Directory Scannerヘルプを表示するには、次のパラメーターのいずれかを使用します-?-h--help。

active_directory_scanner

トラブルシューティング目的では、C:\ProgramData\ESET\ActiveDirectoryScanner\Logsにあるログを表示します。

Active Directoryユーザー同期

1.ESET PROTECT Cloud Webコンソールで、詳細 > コンピューターユーザーに移動し、Active Directory構造を同期するユーザーグループを選択します。

2.選択したユーザーグループの横の歯車アイコンをクリックし、 Active Directory Scannerを選択して、生成されたアクセストークンをコピーします。

各静的グループには独自のトークンがあります。トークンは、Active Directoryが同期される静的グループを識別します。

3.Active Directory Scannerを実行します(token_stringを前の手順でコピーしたトークンで置換)。

ActiveDirectoryScanner.exe --user-token token_string --user-config config.json

--user-tokenと--tokenは同時に使用できます。ツールは、コンピューターとユーザーの両方を同期します。

4.要求されたときにActive Directoryユーザーパスワードを入力します。

5.Active Directory Scannerが同期を完了した後、Active Directory構造(組織単位とコンピューター/ユーザー)はESET PROTECT Cloud Web コンソールのコンピューター/コンピューターユーザーに、コンピューターユーザーにユーザーがあるコンピューター/ユーザーグループを含む静的グループとして表示されます。

Active Directory同期の制限事項:

•Active Directory Scannerは、ユーザーを含むActive Directory組織単位のみを同期します。ユーザーを含まない組織単位は同期されません。

•Active Directoryの組織単位を削除する場合は、ESET PROTECT Cloud Webコンソールの対応する静的グループからその単位のすべてのコンピューターが削除されます。同期された空のグループも削除されます。

•同期されたActive DirectoryユーザーをESET PROTECT Cloud Webコンソールから削除する場合は、Active Directoryに残っていても、一部の同期されたプロパティがソースActive Directoryで変更されるまで、次の同期の後に再表示されません。

Active Directory Scannerヘルプを表示するには、次のパラメーターのいずれかを使用します-?-h--help。

active_directory_scanner

トラブルシューティング目的では、C:\ProgramData\ESET\ActiveDirectoryScanner\Logsにあるログを表示します。

回避策

あるいは、次の回避策のいずれかを使用できます。

•Active Directoryからコンピューターのリストをエクスポートし、ESET PROTECT Cloudにインポートする

•グループポリシーオブジェクトを使用してESET ManagementエージェントをActive Directoryコンピューターに展開する

Active Directoryからコンピューターのリストをエクスポートし、ESET PROTECT Cloudにインポートする

このソリューションは、1回限りのActive Directory同期のみを提供し、将来のActive Directory変更は同期しません。

1.Active Directoryからコンピューターのリストをエクスポートします。Active Directoryを管理する方法によっては、さまざまなツールを使用できます。たとえば、Active Directoryユーザーとコンピューターを開き、ドメインの下でコンピューターを右クリックして、リストのエクスポートを選択します。

cloud_export_ad_computers

2.エクスポートされたActive Directoryコンピューターのリストを.txtファイルとして保存します。

3.コンピューターのリストを修正し、ESET PROTECT Cloudインポートで使用可能な形式にします。各行に1つのコンピューターが入力され、次の形式であることを確認してください。
\GROUP\SUBGROUP\Computer name

4.コンピューターのリストと共に、アップデートされた.txtファイルを保存します。

5.Active DirectoryコンピューターのリストをESET PROTECT Cloud Webコンソールにインポートします。コンピューター > すべての静的グループの横の歯車アイコンをクリックして、インポートを選択します。

cloud_export_import_computers

グループポリシーオブジェクトを使用してESET ManagementエージェントをActive Directoryコンピューターに展開する

1.エージェントGPO展開スクリプトを作成します。

2.グループポリシーオブジェクト(GPO)を使用してESET Managementエージェントを展開します。ナレッジベース記事の手順3から開始します。

3.GPO経由でESET Managementエージェント展開が成功した後、ESET ManagementエージェントはActive Directoryコンピューターにインストールされます。コンピューターはESET PROTECT Cloud Webコンソールのコンピューター画面に表示されます。

今後新しいコンピューターをActive Directoryに追加すると、いつでもESET PROTECT Cloud Webコンソールのコンピューター画面に表示されます。

˄˅