Application Resilience ポリシーを設定する

Windows デバイスのグループ上で Application Resilience ポリシーを有効にする前に、ポリシーを設定する必要があります。

これを行うには、組織が設定したアプリケーションの展開要件に適合するポリシー設定を選択します。Secure Endpoint Agent は、アプリケーションのステータスを確認するときに、Application Resilience ポリシーの設定に対してデバイスのアプリケーション設定を検証し、アプリケーションが適合しているかどうかを判断します。

一部のアプリケーションでは、Application Resilience ポリシーの設定により、アプリケーションが機能していない場合は修復し、アプリケーションが存在しないまたは修復できない場合は再インストールを試みるようにすることができます。アプリケーションの状態が非適合である場合、 RAR コンポーネント オペレーティングシステムでデバイスに割り当てられた名前。Chromebooks ではデバイス名は適用されないため、Secure Endpoint Console では「Chrome」と表示されます。 はアプリケーションの修復または再インストールの試行を最大 3 回実行します。デバイスが再起動すると、この数はリセットされます。

お客様のアカウントに関連付けられているAbsolute 製品ライセンスに応じて、Application Resilience ポリシーがサポートされていない、または設定できるアプリケーションの数または種類が制限される場合があります。例えば、Absolute Ransomware Response ライセンス (基本またはアドオン) がポリシーグループに割り当てられている場合、最大 2 つのエンドポイント管理アプリケーションまたはエンドポイント保護アプリケーションのポリシーをアクティブ化できます。

Microsoft によって課されている PowerShell の制限により、健全性チェックを実行するために PowerShell が必要なアプリケーションは、特に明記されていない限り、Windows 11 SE を実行しているデバイスではサポートされません。

アプリケーションごとに Application Resilience ポリシーを設定するには、通常と同じ手順を踏みます。一部のアプリケーションでは、設定を完了するために追加の手順が必要です。既存の設定をそのまま使用するには、ポリシーを有効にします

Application Resilience ポリシーを設定するには:

  1. ポリシーおよびライセンスの管理権限を持つユーザーとして、Secure Endpoint Console へログインします。

  2. 下記のいずれかを実行します。

    ポリシーグループエリア
    1. ナビゲーションバーで ポリシー > ポリシーグループをクリックします。
    2. ポリシーグループのサイドバーで、設定したいポリシーを含むポリシーグループを検索してクリックします。
    3. ポリシーグループのデバイスページが作業エリアで開いた場合、設定をクリックしてポリシーグループのポリシー設定を表示します。

    4. Application Resilience の隣にある設定をクリックします。

      Application Resilience ダイアログが開き、すべてのサポートされるアプリケーション、現在のポリシー設定、バージョン、アクティブ化ステータスが表示されます。

    5. アクティブなポリシーのみを表示するには、非アクティブを表示チェックボックスをオフにします。
    6. 検索に更新したいアプリケーションの名前を入力するか、アプリケーションのリストをスクロールします。更新するアプリケーションが見つかったら、クリックします。
    Resilience エリア
    1. ナビゲーションバーで ポリシー > Resilienceをクリックします。
    2. Resilience サイドバーで、設定したいアプリケーションを検索して、クリックします。
    3. ポリシーグループのリストとその現在のポリシー設定を確認して更新したいポリシーグループを探し、そのポリシーグループの隣にある設定をクリックします。

    アプリケーションのポリシー設定の編集ダイアログが開きます。

  3. 以下の1つまたは両方を実行することで、アプリケーションバージョンを設定します:

    • アプリケーションバージョンの下にドロップダウンボックスが表示された場合、デバイスで想定されるアプリケーションのバージョンを選択します。一部のアプリケーションでは、1つのバージョンのみ利用できます。

      アプリケーションのバージョンは慎重に選択してください。新しいバージョンを選択した場合、ポリシー設定を編集しようとしたときに古いバージョンは利用できなくなります。この動作は、ダウングレードがサポートされていないために発生します。

    • アプリケーション設定の下にバージョン用のテキストフィールドが表示された場合、デバイスで想定されるバージョン番号を入力します。

    ドロップダウンボックスとテキストフィールドの両方が表示された場合、テキストフィールドに入力するバージョンが、ドロップダウンボックスで選択した範囲内に含まれる必要があります。

    Secure Endpoint Agent は、これらの設定を使用して各デバイス上でバージョンチェックを実行します。その他のアプリケーションバージョンが検出された場合、非適合ステータスが返されます。

    各アプリケーションのシステム要件セクションでは、どのバージョンがサポートされるかを指定しています。一部のアプリケーションでは、バージョンの後に以降という単語が続くことがあります。これらのバージョンでは、上位バージョンのすべてをテストしているわけではありません。以降のバージョンでソフトウェアに重大な変更があった場合、アプリケーションに使用される健全性チェックが有効でなくなる場合があります。ポリシーで設定したバージョンが上位のバージョンである場合、アプリケーションが「非適合」と報告され、修復および再インストールアクションでは問題を解決できない場合があります。

    健全性チェックの対象であるサービスが上位バージョンで使用されなくなった場合、そのサービスが検出されないため、健全性チェックは失敗します。レポートと修復レポートと再インストールまたはレポート、修復、および再インストールを選択した場合、 Application Resilience (RAR) コンポーネント デバイスにインストールされたサードパーティアプリケーションのステータスを検出する、Secure Endpoint Agent の軽量ソフトウェアコンポーネントです。このコンポーネントがサードパーティアプリケーションを修復するように試みる場合もあります (適合していない場合)。RAR コンポーネントは、デバイスがカスタムポリシーグループに関連付けられ、ポリシーグループのApplication Resilience ポリシーがアクティブになった場合のみデバイスに展開されます。 がアプリケーションの修復または再インストールを試みます。修復または再インストールが完了しても、サービスはまだなく、アプリケーションは引き続き「非適合」と報告されます。

  4. 以降のバージョンを「適合」とレポートチェックボックスが表示され、ポリシーグループに、選択したバージョン以降のアプリケーションを実行しているデバイスが含まれる場合、そのチェックボックスを選択できます。

    このチェックボックスは、アプリケーションとバージョンによって異なる動作を引き起こします。必ずチェックボックスの下の説明を読み、動作を確認してください。

    • 健全性チェックを実行せずに、それ以降のバージョンを「適合」としてレポートする場合にこのオプションを選択と表示されている場合、それ以降のすべてのバージョンが、追加の健全性チェックなしで「適合」と報告されます。

    • すべての健全性チェックに合格した場合、それ以降のアプリケーションを「適合」としてレポートする場合にこのオプションを選択と表示されている場合、それ以降のすべてのバージョンが、アプリケーションの健全性チェックに合格した場合のみ、「適合」と報告されます。

      以降のバージョンを適合と報告するには、すべての健全性チェック (バージョンチェック以外) に合格する必要があります。なお、これらの健全性チェックは選択したバージョンでのみ検証されますので、以降のバージョンでソフトウェアに重大な変更があった場合、健全性チェックではアプリケーション全体の健全性を適切にテストできない可能性があります。

  5. 署名者が表示される場合、健全性チェックに使用するファイルの署名者の名前を入力します。複数の署名者はセミコロン (;) で区切ります。例:

    コピーする 
    NetMotion Software, Inc;NetMotion Software, Inc.;Absolute Software Corp.;Microsoft Windows Hardware Compatibility Publisher

    署名者には、デフォルトで健全性チェックの署名者のリストが含まれます。ただし、新しいバージョンのアプリケーションがリリースされ、署名者が更新された場合、更新された署名者をここに追加できます。アプリケーションの健全性チェックを表示するには、各アプリケーションのページにアクセスしてください。

    1. File Explorer で、ファイルの場所に移動します。
    2. ファイルを右クリックし、プロパティを選択します。
    3. デジタル署名タブをクリックします。署名者の名前に一覧表示されている署名者をメモします。

    このフィールドは、すべてのアプリケーションの全バージョンに適用されるわけではありません。

  6. 次のいずれかのオプションを選択します。

    オプション 説明
    レポートのみ
    • アプリケーションに関するステータス情報を収集し、Application Resilience レポートで表示します。
    レポートと修復
    • アプリケーションに関するステータス情報を収集し、Application Resilience レポートで表示します。
    • Secure Endpoint Agent は、アプリケーションが機能していないことを検出した場合、そのアプリケーションの修復を試みます。
    レポートおよび再インストール
    • アプリケーションに関するステータス情報を収集し、Application Resilience レポートで表示します。

    • Secure Endpoint Agent は、アプリケーションが機能していない、またはアンインストールされたことを検出した場合、そのアプリケーションをダウンロードして再インストールします。

      アプリケーションがそれまでにデバイスにインストールされたことがなければ、Secure Endpoint Agent がインストールします。そのため、続行する前に、新しいインストールに対応できるようにアプリケーションのライセンスが十分にあることを確認してください。
    レポート、修復、および再インストール
    • アプリケーションに関するステータス情報を収集し、Application Resilience レポートで表示します。
    • Secure Endpoint Agent は、アプリケーションが機能していないことを検出した場合、そのアプリケーションの修復を試みます。

    • アプリケーションが修復できない、またはアンインストールされた場合に、アプリケーションをダウンロードして再インストールします。

      アプリケーションがそれまでにデバイスにインストールされたことがなければ、Secure Endpoint Agent がインストールします。そのため、続行する前に、新しいインストールに対応できるようにアプリケーションのライセンスが十分にあることを確認してください。

    ポリシーグループに関連付けられている Absolute 製品と、選択したアプリケーションに応じて、レポートと修復レポートと再インストール、およびレポート、修復および再インストールオプションが利用できない場合があります。

  7. 前のステップでレポートと再インストールまたはレポート、修復、および再インストールを選択した場合、このページに追加の設定が表示されます。以下のいずれかを実行して、インストールファイルの場所を設定します。

    1. インストーラーをアップロードを選択します。
    2. アップロードまたは管理ボタンが表示されますので、表示されたボタンをクリックします。

    3. アプリケーションが 64-bit および 32-bit インストーラーの両方をサポートする場合、64-bit インストーラー32-bit インストーラー、または両方を選択します。ポリシーグループに 64-bit および 32-bit Windows デバイスの両方が含まれる場合、両方を選択します。デバイスはオペレーティングシステムに適したインストーラーを自動的にダウンロードします。選択を解除するには、そのチェックボックスをオフにします。

    4. 以下の1つを実行します:

      • 参照をクリックします。アップロードするファイルに移動して、選択します。
      • アップロードするファイルに移動して選択し、作業エリアにドラッグします。

      ファイルはアプリケーションでサポートされるファイルタイプとする必要があります。

      ポリシーが 64-bit および 32-bit インストーラーの両方をサポートする場合、64-bit インストーラーと32-bit インストーラーを同時に 1 つずつアップロードできます。

      ファイルがすでにアップロードされている場合、新しいファイルがアップロードされると、その他のバージョンドロップダウンに移動されます。

    5. ファイルがアップロードされるまで待ちます。
    6. [オプション] 説明を追加 (オプション)をクリックし、説明を入力します (必要な場合)。
    7. 追加したいファイルごとに、これまでのステップを繰り返します。

    8. ファイルのアップロードが終了したら、保存をクリックします。

    選択したファイルの名前がインストーラーのアップロードの下に表示されます。

    このオプションはすべてのアプリケーションで利用できるわけではありません。

    ファイルの管理やサポートされるアプリケーションについての詳細は、Application Resilience インストーラーをホストするを参照してください。

    1. インストーラーをアップロードを選択します。

    2. アップロードまたは管理ボタンが表示されますので、表示されたボタンをクリックします。

      現在選択されているファイルが作業エリアに表示されます。ファイル名、サイズ、説明(任意)、アップロード日、SHA-256 ハッシュが表示されます。

    3. その他のバージョンをクリックします。

    4. ドロップダウンメニューから、以前にアップロードしたファイルのいずれかを選択します。

    5. 保存をクリックします。

    選択したファイルの名前がインストーラーのアップロードの下に表示されます。

    このオプションはすべてのアプリケーションで利用できるわけではありません。

    ファイルの管理やサポートされるアプリケーションについての詳細は、Application Resilience インストーラーをホストするを参照してください。

    1. 自分のインストーラーファイルをホストを選択します。

    2. インストーラータイプの下で、32-bit インストーラーと 64-bit インストーラーのどちら (または両方) を設定するか指定します。デフォルトでは、両方のタイプが選択されています。ポリシーグループに 32-bit および 64-bit Windows デバイスの両方が含まれる場合、この設定をそのまま残すことができます。デバイスはオペレーティングシステムに適したインストーラーを自動的にダウンロードします。選択を解除するには、そのチェックボックスをオフにします。少なくとも 1 つのインストーラータイプを選択しておく必要があります。

      インストーラータイプはすべてのアプリケーションに当てはまるわけではありません。

    3. <アプリケーション> インストーラーの場所で、インストーラーの場所を URI 形式で入力します。インストーラーは任意の Web サーバーでホストできます。HTTP および HTTPS プロトコルの両方がサポートされます。必要であれば、HTTP 基本認証をサーバーで有効にすることで、インストーラーへのアクセスを制限できます。
    4. 各インストーラーで、URI に移動をクリックして、場所を適切に入力したことを確認します。

    5. ユーザー名とパスワード (必要な場合)で、インストーラーが常駐する場所にアクセスできるユーザーのユーザー名パスワードを入力します。

      パスワードを正しく入力したことを確認するため、 アイコンを選択します。パスワードを再び非表示にするには、 アイコンをクリックします。

      複数のインストーラーを設定する場合、各フィールドに正確な情報を入力してください。

      指定した場所にアクセスするための認証が必要なければ、このステップはスキップできます。

    6. 以下を実行して、SHA-256 ハッシュを各アプリケーションのインストーラーに割り当てます。

      1. お好きなハッシュ生成ツールを使用して、SHA-256 ハッシュを生成します。たとえば、ほとんどの Windows オペレーティングシステムに含まれている CertUtil.exe コマンドラインユーティリティを使用することができます。

      2. 以下の1つを実行します:

        • アプリケーションが 64-bit および 32-bit インストーラーの両方をサポートしない場合、SHA-256 ハッシュフィールドにハッシュを入力します。誤ってハッシュと一緒にフィールドに空白文字を挿入していないことを確認します。
        • アプリケーションが 64-bit および 32-bit インストーラーの両方をサポートする場合、32 ビットインストーラーのハッシュ64 ビットインストーラーのハッシュフィールドに適切なハッシュを入力します。

    複数のインストーラーを設定する場合、各フィールドに正確な情報を入力してください。

    インストーラーのバージョンは、アプリケーションバージョンで選択したバージョンに一致する必要があります。

  8. アプリケーション固有の設定を完了します。固有の設定を完了することの詳細については、各アプリケーションのページを参照してください。

  9. レポートおよび再インストール、またはレポート、修復、および再インストールを選択した場合、ページ下部近くにある文章を確認し、以下を実行します。

    1. 利用条件を確認します。
    2. 利用条件に合意するには、チェックボックスをオンにします。
  10. 保存をクリックします。

Application Resilience ポリシーが設定され、「Application Resilience ポリシーが変更されました」イベントがイベント履歴に記録されます。

Application Resilience ポリシーを有効にするには、ポリシーをアクティブ化します。

ポリシーグループエリアまたはResilience エリアから、アクティブ化ステータスを変更できます。

ポリシーグループエリアからアクティブ化ステータスを変更するには:

  1. ポリシーおよびライセンスの管理権限を持つユーザーとして、Secure Endpoint Console へログインします。

  2. 以下の1つを実行します:

    1. ナビゲーションバーで ポリシー > ポリシーグループをクリックします。
    2. ポリシーグループのサイドバーで、設定したいポリシーを含むポリシーグループを検索してクリックします。
    3. ポリシーグループのデバイスタブが作業エリアで開いたら、設定をクリックしてポリシーグループのポリシー設定を表示します。

    4. Application Resilience の隣にある設定をクリックします。

      Application Resilience ダイアログが開き、すべてのサポートされるアプリケーション、現在のポリシー設定、バージョン、アクティブ化ステータスが表示されます。

    5. アクティブなポリシーのみを表示するには、非アクティブを表示チェックボックスをオフにします。
    6. 検索に更新したいアプリケーションの名前を入力するか、アプリケーションのリストをスクロールして、更新するアプリケーションを探します。

    7. Application Resilience のダイアログで、以下のいずれかを実行します:

      • ポリシーがアクティブでなく、今すぐアクティブ化したい場合、スライダーをクリックしてオン (緑色) に設定します。

        ポリシー設定がアップロードしたファイルを使用している場合、ファイルは検証済みです。以前にアップロードしたファイルが削除されている場合、アプリケーションのポリシー設定ダイアログが開きます。必要なファイルをアップロードするか、インストーラーを自分でホストするための情報を提供します。

        Absolute Ransomware Response ライセンス (基本またはアドオン) がポリシーグループに割り当てられている場合、最大 2 つのポリシーをアクティブ化できます。2 つのポリシーをアクティブ化した後、その他すべてのアクティブ化スライダーは無効になります。

      • ポリシーが有効であり、今すぐ無効化したい場合、スライダーをクリックしてオフ (グレー) に設定します。
    1. ナビゲーションバーで ポリシー > Resilienceをクリックします。
    2. Resilience サイドバーで、設定したいアプリケーションを検索して、クリックします。

    3. 更新したいポリシーグループを検索して、以下のいずれかを実行します:

      • ポリシーがアクティブでなく、今すぐアクティブ化したい場合、ポリシーグループ名の隣にあるアクティブ化をクリックします。

        ポリシー設定がアップロードしたファイルを使用している場合、インストーラーは検証済みです。以前にアップロードしたインストーラーが削除されている場合、アプリケーションのポリシー設定ダイアログが開きます。必要なインストーラーをアップロードするか、インストーラーを自分でホストするための情報を提供します。

        Absolute Ransomware Response ライセンス (基本またはアドオン) がポリシーグループに割り当てられている場合、最大 2 つのポリシーをアクティブ化できます。2 つのポリシーをアクティブ化した後、その他すべてのアクティブ化スライダーは無効になります。

      • ポリシーがアクティブで、今すぐ非アクティブ化したい場合、ポリシーグループ名の隣にある非アクティブ化をクリックします。

ポリシーのアクティブ化ステータスが更新され、「Application Resilience ポリシーがアクティブ化されました」または「Application Resilience ポリシーが非アクティブ化されました」イベントがイベント履歴に記録されます。

ポリシーを有効にすると、Secure Endpoint Agent の RAR コンポーネント デバイスにインストールされたサードパーティアプリケーションのステータスを検出する、Secure Endpoint Agent の軽量ソフトウェアコンポーネントです。このコンポーネントがサードパーティアプリケーションを修復するように試みる場合もあります (適合していない場合)。RAR コンポーネントは、デバイスがカスタムポリシーグループに関連付けられ、ポリシーグループのApplication Resilience ポリシーがアクティブになった場合のみデバイスに展開されます。 が Absolute モニタリングセンターへの次回の接続時にアクティブ化されます。その後、このコンポーネントがサードパーティアプリケーションの機能ステータスをチェックするスクリプトを実行します。それに続いて、各システムの再起動後 10 分以内、その後は 15 分ごとにコンポーネントがアプリケーションのステータスを確認します。その結果は安全な接続を使用してデータベースにアップロードされます。結果は、Application Resilience レポートApplication Resilience イベントレポートで表示できます。

サードパーティ製アプリケーションの機能ステータスやコンプライアンスに関するレポートを作成するために使用される一部の健全性チェックでは、PowerShell スクリプトが実行されます。一部のアンチウイルスプログラムや一部の実行ポリシーによって Windows デバイスでのスクリプトの実行がブロックされないようにするため、RAR コンポーネントが使用するすべての PowerShell スクリプトは Absolute によって署名されます。