Windows エージェントをインストールする

デバイスを Absolute で管理するには、まず Secure Endpoint Agent を各デバイスにダウンロードしてインストールする必要があります。エージェントがインストールされると、Absolute モニタリングセンターに接続して一意の識別子を受信します。その後データベースにデバイスの記録が作成され、エージェントが検出したデバイス情報が Secure Endpoint Console で利用できるようになります。

Windows デバイスでは、以下の方法を使用して Secure Endpoint Agent をインストールできます。

  • 直接インストール: ネットワークを通じて接続されていない個別のデバイスにエージェントをインストールするために使用します。この方法では、対象の各デバイスで直に作業する必要があります。
  • バッチインストール: エージェントを複数のデバイスにインストールするために使用します (ローカルまたはリモート)。

ご使用のWindowsデバイスにエージェントとの互換性があることを確認するには、 以下の要件を満たす必要があります。

エージェントが事故による、または悪意のある改ざんに耐え得ることを確実にするには、ご使用のWindowsデバイスが Persistence Technology をサポートしていることを確認してください。

BitLocker Drive Encryption (BitLocker) は、ほとんどのバージョンの Windows オペレーティングシステムに含まれるフルディスク暗号化機能です。BitLocker は、オペレーティングシステムのドライブと固定データドライブを暗号化することでデータを保護するように設計されています。

BitLocker の一時的な停止

Secure Endpoint Agent は BitLocker と互換性があります。ただし、デバイスのファームウェアに埋め込まれた Persistence® Absolute Persistence® Technology は、ほとんどの Windows デバイスの BIOS に、製造プロセスの間に組み込まれています。Persistence モジュールは、Secure Endpoint Agent の Absolute モニタリングセンターへの初回接続時にアクティブ化されます。このソフトウェアは、エージェントのステータスを確認し、エージェントが所在不明である、ダメージを受けた、または改ざんされた場合、自己修復を開始してエージェントを回復させます。 のバージョンによっては、Persistence のアクティブ化および非アクティブ化中に、BitLocker を一時的に停止させることが必要な場合があります。

  • Persistence 2.0 デバイス

    Absolute Persistence 2.0 を搭載したデバイスで BitLocker を有効にした場合、Persistence のアクティブ化と無効化の間に BitLocker は一時停止されません。

  • Persistence 1.0 デバイス

    Absolute Persistence 1.0 を搭載したデバイスで BitLocker を有効にした場合、Persistence のアクティブ化時に BitLocker は一時停止されます。これはエージェントのインストール後、始めてのエージェントコールの間に発生します。デバイスが再起動すると、BitLocker は自動的に有効になります。このプロセスは、Persistence の無効化時にも使用されます。これはデバイスがアカウントから削除されたときに発生します。

    Persistence 1.0 のアクティブの間にユーザーがデバイスにログインすると、再起動が必要なことを示すメッセージが表示されます。ユーザーが再起動の延期を選んだ後、再起動の前にログアウトした場合、デバイスは延期のタイマーが過ぎてから再起動します。同様に、Firmware Persistence を無効化している間にユーザーがデバイスにログインすると、同じメッセージが表示されます。

    詳細については、ナレッジベース記事000001587を参照してください。

エージェントはフルディスク暗号化製品、ファイルとフォルダーの暗号化製品と完全に互換性があります。BitLocker 以外のフルディスク暗号化製品、例えば McAfee Drive Encryption™ などを使用している場合、フルディスク暗号化をデバイス上にインストールして有効化する前に、エージェントをインストールしてください。詳細については、ナレッジベース記事000001446を参照してください。

以下のいずれかのインストーラーを使用して、Windows デバイスに Secure Endpoint Agent を展開できます。

  • フルエージェントインストーラー
  • コアエージェントインストーラー

インストーラーの選び方は、ネットワーク設定や、エージェントをローカルでインストールするか遠隔でインストールするかなど、いくつかの要因によって決まります。

2 種類のインストーラーの詳細とそのダウンロード方法については、Secure Endpoint Agent をダウンロードするを参照してください。

エージェントのインストールプロセスを始める前に:

  • ウィルススキャン用プログラムを使用して、ハードウェアがウィルスに感染していないことを確認します。
  • デバイスがインターネットに接続していることを確認します。
  • フルエージェントインストーラーを使用してエージェントをインストールしている場合、デバイスで PowerShell が有効なことを確認してください。PowerShell が無効な場合、インストールは失敗します。

インストーラーを展開するには:

  1. 選択した Windows インストーラーのダウンロード手順を実行します。

    アカウント固有のインストーラーが以下の zip ファイルにダウンロードされます。

    • フルエージェント:AbsoluteWinFullAgent-<agent version>-<account_id>.zip
    • コアエージェント:AbsoluteWinCoreAgent-<agent version>-<account_id>.zip

  2. ダウンロードした .zip ファイルを保存した場所から、その内容をローカルフォルダー、またはネットワークドライブ、あるいは USB デバイスなどのリムーバブル媒体に展開します。

    各ダウンロードパッケージには、以下のファイルが含まれます:

    インストーラー パッケージの内容
    フルエージェント
    • AbsoluteFullAgent.msi:フルエージェント用の Windows MSI インストーラー
    • AbsoluteCoreAgent.msi:コアエージェント用の Windows MSI インストーラー
    • AbsoluteAgent.dat: アカウントのメタデータを含むテキストファイル
    • AbsoluteAgent.sig: 署名ファイル
    • AbtPS_SDK_<version>.zip: Persistence ステータスモニターを含む zip ファイルこのツールを使用して Absolute モニタリングセンターへの強制コールを行うことができます。
    • エージェントインストールパッケージの内容についての情報と、エージェントをインストールしてテストする方法が記載された、サポート言語ごとのreadme.txt ファイル。

    • AbsoluteAgent.checksums: インストーラーの SHA-256 ハッシュを含むファイル

      CertUtil などのハッシュ検証ツールを使用して、AbsoluteFullAgent.msi および AbsoluteCoreAgent.msi インストーラーの内容がダウンロード中に変更されていないことを確認することができます。Windows デバイスでの SHA-256 ファイルハッシュの検証について詳しくは、Microsoft のマニュアルを参照してください。

    コアエージェント
    • AbsoluteCoreAgent.msi:コアエージェント用の Windows MSI インストーラー 
    • AbsoluteAgent.dat: アカウントのメタデータを含むテキストファイル
    • AbsoluteAgent.sig: 署名ファイル

    • AbsoluteAgent.checksums: インストーラーの SHA-256 ハッシュを含むファイル

      CertUtil などのハッシュ検証ツールを使用して、AbsoluteCoreAgent.msi インストーラーの内容がダウンロード中に変更されていないことを確認することができます。Windows デバイスでの SHA-256 ファイルハッシュの検証について詳しくは、Microsoft のマニュアルを参照してください。

    インストーラーを実行する前に、AbsoluteAgent.dat ファイルと AbsoluteAgent.sig ファイルが .msi ファイルと同じフォルダーに展開されていることを確認します。これらのファイルが存在しない場合、エージェントのインストールを完了できません。

コマンドラインまたは InstallShield ウィザードを使用して、Windows デバイスでインストーラーをローカルで実行することができます。

エージェントをインストールするには、管理者権限を保有している必要があります。

コマンドラインを使用して Windows デバイスにエージェントをサイレントインストールすると、InstallShield ウィザードのプロンプトに反応する必要がなくなります。

コマンドラインを使用してエージェントをインストールするには:

  1. 管理者としてコマンドプロンプトウィンドウを開きます。例:

    1. 開始をクリックし、cmd と入力します。
    2. cmd または コマンドプロンプト を右クリックし、管理者として実行をクリックします。
    3. ユーザーアクセス制御ダイアログではいをクリックします。管理者:コマンドプロンプトウィンドウが開きます。

    管理者としてコマンドプロンプトウィンドウを開く他の方法については、Windows のドキュメントを参照してください。

  2. ダウンロードした zip ファイルを展開した場所に移動します。

    .msi ファイルを別の場所にコピーした場合、AbsoluteAgent.dat ファイルと AbsoluteAgent.sig ファイルが .msi ファイルと同じフォルダーにあることを確認します。これらのファイルが存在しない場合、エージェントのインストールを完了できません。

  3. 使用するインストーラーに応じて、以下のいずれかを実行します。

    インストーラー コマンド

    フルエージェント

    • サイレントモードでインストーラーを実行する場合、以下を入力します:

      コピーする 
      msiexec.exe -i AbsoluteFullAgent.msi /qn

    • インストーラーを実行してインストールログを指定するには、以下を入力します:

      コピーする 
      msiexec.exe -i AbsoluteFullAgent.msi /L*v <path to log file>
    コアエージェント

    • サイレントモードでインストーラーを実行するには、以下を入力します:

      コピーする 
      msiexec.exe /i AbsoluteCoreAgent.msi /qn

    • インストーラーを実行してインストールログを指定するには、以下を入力します:

      コピーする 
      msiexec.exe /i AbsoluteCoreAgent.msi /L*v <path to log file>

InstallShield ウィザードを使用してデバイスにエージェントをインストールするには:

  1. ダウンロードした zip ファイルを展開した場所に移動します。

    .msi ファイルを別の場所にコピーした場合、AbsoluteAgent.dat ファイルと AbsoluteAgent.sig ファイルが .msi ファイルと同じフォルダーにあることを確認します。これらのファイルが存在しない場合、エージェントのインストールを完了できません。

  2. 使用するインストーラーに応じて、以下のいずれかのファイルを右クリックし、管理者として実行をクリックします。

    • AbsoluteFullAgent.msi
    • AbsoluteCoreAgent.msi

    InstallShield ウィザードが開きます。

    右クリックのメニューに管理者として実行オプションがない場合、コマンドラインを使用するのステップに従ってエージェントをインストールします。

  3. ユーザーアカウント制御ダイアログが開いた場合、はいをクリックしてインストールファイルのインストールを許可します。
  4. 次へをクリックしてからインストールをクリックし、インストールを開始します。
  5. 終了をクリックしてインストールを完了し、InstallShield ウィザードを終了します。

インストール後にエージェントは Absolute モニタリングセンターに接続して一意の識別子を受信します。以下の方法を使用して、エージェントが正常にインストールされていることを確認できます。

Persistence ステータスモニターをダウンロードし、エージェントコールをトリガーすることで、エージェントがアクティブ化されていることを確認できます。

フルエージェントインストーラーをダウンロードした場合、ダウンロードパッケージに Persistence ステータスモニターが含まれているため、個別にダウングレードする必要はありません。ツールの実行方法の詳細については、ヘルプトピックまたはダウンロードしたパッケージに含まれるユーザーガイドを参照してください。

Secure Endpoint Console のアクティベーションレポートを確認することで、エージェントがアクティブ化されていることを確認できます。

コンソールを使用してエージェントのインストールを確認するには:

  1. 管理者として Secure Endpoint Console へログインします。
  2. ナビゲーションバーで レポート をクリックします。
  3. カテゴリーの下で、デバイスアクティブ化の順にクリックしてアクティベーションレポートを開きます。

デバイスの情報を処理してコンソールで利用できるようになるには数分かかります。アクティベーションレポートの日付はアクティベーション日ごとに降順でソートされます。つまり、新たにアクティブ化されたデバイスは結果グリッドの上部 (またはその近く) に表示されます。日付が表示されない場合、デバイスは Absolute モニタリングセンターへの連絡に失敗しています。この場合、エージェントコールをトリガーすることができます。

複数のデバイスに Secure Endpoint Agent をインストールするには、いくつかの方法があります。

ディスクイメージを作成して、アクティブ化されていない Secure Endpoint Agent を、新しいデバイスまたは再利用デバイスに展開することができます。

Secure Endpoint Agent をディスクイメージに追加する詳細な方法については、Windows 画像準備ツールを操作するおよび以下のナレッジベースの記事を参照してください。Secure Endpoint Agent を展開用のディスクイメージに追加する

Microsoft System Center Configuration Manager (SCCM) または Microsoft Intune を使用して、ネットワーク上にあるコンピューター群にエージェントを展開することができます。どちらの Secure Endpoint Agent インストーラーもサポートされています。

お客様の組織がこれらのいずれかのツールを使用してエージェントを展開する予定であれば、AbsoluteAgent.dat ファイルと AbsoluteAgent.sig ファイルが .msi ファイルと同じフォルダーにあることを確認してください。

詳細については、それぞれのツールのマニュアルを参照してください。

フルエージェントインストーラーおよびコアエージェントインストーラーはどちらも、MSI ファイル用の業界標準に合致しており、ネットワーク管理者は Active Directory を使用してエージェントをご使用のデバイスに展開できます。

お客様の組織がこのツールを使用してエージェントを展開する予定であれば、AbsoluteAgent.dat ファイルと AbsoluteAgent.sig ファイルが .msi ファイルと同じフォルダーにあることを確認してください。

詳細については、Active Directory のマニュアルを参照してください。

アクティブな Secure Endpoint Agent を搭載したデバイスのバックアップは、避けることがベストプラクティスです。バックアップを復元すると、バックアップを取得したデバイスに展開されたポリシー、アクション、ルールによっては、想定外の結果につながるおそれがあります。

バックアップを作成する場合は、以下を確認してください。

  • 以下のフォルダー/ファイルはバックアップから除外してください。
    • <System directory>\rpcnet.exe
    • ProgramData\CTES\
  • バックアップを復元した後、Secure Endpoint Agent を再インストールしてください。