Playbook を実行する

Playbook ポリシーがアクティブ化されている場合、Playbook を実行リクエストを送信して、以下を遠隔で実行できます。

  • Windows デバイスの修復または再イメージング

  • 致命的なシステムエラーの結果 Windows のブートに失敗した Windows デバイスの修復

Playbook

現在のリリースでは、4 つの Playbook を利用できます。

ファイル操作 Playbook を選択すると、以下を遠隔で実行できます。

  • サーバーまたは以下のファイルホスティングサービスのいずれかからデバイスにファイルをダウンロードする:
    • Box
    • Dropbox
    • Google Drive
    • OneDrive
  • デバイス上の所定の場所からファイルを削除する

Playbook には最大 20 のファイルアクションを含めることができます。

要件
  • デバイスのドライブが BitLocker Drive Encryption によって暗号化されている場合、デバイスの BitLocker リカバリーキーを Playbook 設定に入力する必要があります。
  • ファイルを追加する場合:
    • デバイスが物理的なイーサネットネットワーク接続を使用している必要があります。

    • ファイルはパスワードで保護されていない場所に保存されている必要があります。

      ファイルの安全を確保するため、AWS 事前署名済み URL を作成することがベストプラクティスです。

ゴールデンイメージの復元 Playbook を選択して、 ゴールデンイメージ オペレーティングシステム、設定、およびお客様の組織で必要とされるインストール済みソフトウェアを含むハードドライブのスナップショット。一貫性のある効果的なデバイスプロビジョニングを確実にするためのテンプレートとして機能します。マスターイメージやベースイメージとも呼ばれます。 を使用して既存デバイスを再イメージングしたり、新しいデバイスをセットアップしたりします。

要件

  • ゴールデンイメージが作成され、アクセス可能な場所に保存されていること。パスワードで保護された場所はサポートされません。

    パスワードで保護された場所の場合、AWS 事前署名済み URL を作成することがベストプラクティスです。

  • ゴールデンイメージのファイル形式は以下のいずれかです。

    以下のファイルが保存場所にアップロードされていることを確認します。

    • Windows インストール ISO ファイル (.iso)
    • 応答ファイル (unattend.xml)

      応答ファイルの作成方法の詳細については、Microsoft のマニュアルを参照してください。

    • JSON (.json) ファイル形式のマニフェストファイル

      このファイルには、上記の各ファイルの URL が含まれます。例:

      コピーする
      { "answer_file": "https://abc.server.com/unattend_win11.xml", "image_file": "https://abc.server.com/win11_business_24h2.iso" }

    以下のファイルが保存場所にアップロードされていることを確認します。

    • Windows イメージ (.wmi)

      イメージをキャプチャするには、Microsoft のマニュアルに記載されている以下の指示に従ってください。

    • JSON (.json) ファイル形式のマニフェストファイル

      このファイルには、デバイスのパーティションをリセット (削除して再作成) するパラメーターが含まれ、Windows イメージファイルへの URLが含まれます。例:

      コピーする
      { "reset_par":true, "image_file": "https://abc.server.com/goldenImage_win11.wim" }

  • デバイスが物理的なイーサネットネットワーク接続を使用している必要があります。

スクリプトを実行 Playbook を選択して、Windows デバイスでバッチスクリプト (.bat) を遠隔で実行します。バッチスクリプトは、スクリプトの実行時に一連のコマンドを実行します。

スクリプトの内容は、「Playbook を実行」ダイアログのテキストフィールドに貼り付けられることに注意してください。ファイルをアップロードすることはできません。

要件

  • スクリプトがバッチスクリプト(.bat) である必要があります。PowerShell など、他のスクリプトのタイプはサポートされません。

  • バッチスクリプトのサイズは 3 KB を超過できません。

  • デバイスのドライブが BitLocker Drive Encryption によって暗号化されている場合、デバイスの BitLocker リカバリーキーを Playbook 設定に入力する必要があります。

変数を定義するために set コマンドを使用するバッチスクリプト (%filepath% など) はサポートされていません。

レジストリーキーの設定/削除 Playbook を選択すると、以下を遠隔で実行できます。

  • レジストリーキーの追加
  • キー値の更新
  • キー値の削除

Playbook には最大 20 のレジストリーキーアクションを含めることができます。

Windows レジストリーを編集する場合は常に注意してください。設定ミスは、システムの不安定さ、アプリケーションエラー、Windows の再起動が不可能になるなど、重大な問題を招くおそれがあります。この Playbook を実行する前に、レジストリーの編集が与える影響全体を把握してください。Windows レジストリーの詳細については、Windows のマニュアルを参照してください。

要件

  • デバイスのドライブが BitLocker Drive Encryption によって暗号化されている場合、デバイスの BitLocker リカバリーキーを Playbook 設定に入力する必要があります。

  • HKEY_LOCAL_MACHINE レジストリーハイブはサポートされます。

    HKEY_CURRENT_USER など、他のレジストリーハイブはサポートされません。

  • レジストリーキーの削除はサポートされません。レジストリーキーの値のみを削除できます。

フォーマットのガイドライン

レジストリーパスを入力する際は、以下を使用してください。

  • レジストリーハイブには HKEY_LOCAL_MACHINEHKLM はサポートされません。

  • バックスラッシュ (\)

例: HKEY_LOCAL_MACHINE\SOFTWARE\TestApp

ユーザー開始 Playbook について

Playbook は、ユーザー開始 Playbook として実行するか、またはシステム開始 Playbook として実行できます。

Playbook の実行リクエストを送信する際は、ユーザー開始 Playbook オプションを設定する必要があります。これにより、Playbook の起動方法が制御されます。次の 2 つのオプションがあります。

オプション 詳細
ユーザー開始

致命的なシステムエラーが発生し、Windows をブートできないデバイスの修復を試みる場合は、ユーザー開始 Playbook オプションをオンにします。

あるデバイスユーザーから、デバイスに BSOD エラー (ブルースクリーンエラー) が発生したため、Windows がブートしないという知らせを受けました。調査の結果、利用可能な Playbook のうち 1 つを設定して実行することで、この問題を解決できると判断しました。

ユーザー開始 Playbook を実行するには、デバイスが物理的なイーサネットネットワーク接続を使用している必要があります。

ユーザー開始 Playbook については、以下の点に注意してください。

  • 最初に、Playbook 設定はデバイスではなく Absolute サーバーに送られます。
  • Playbook を開始するには、デバイスユーザーがデバイスを再起動し、ブート処理中にホットキーを押して、デバイスの Playbook パスコードを入力します。

    詳細な手順を見る

    これらのアクションにより、デバイスはネットワーク接続を確立し、Absolute サーバーから Playbook 設定を取得し、Playbook を実行してデバイスを修復することができます。

  • アクション履歴でリクエストの進捗を追跡することはできません。
システム開始

Playbook を実行してデバイスの修復または再イメージングを行う場合は、ユーザー開始 Playbook オプションをオフに設定したままにします。

システム開始 Playbook を実行するには、デバイスのオペレーティングシステムが完全に動作している必要があります。

ネットワークに保存したゴールデンイメージを使用して、デバイスを遠隔で修復しようとしています。

デバイスが Absolute モニタリングセンターに次回接続した時に、システム開始 Playbook がデバイスに展開され、Playbook が自動的に実行されます。

アクション履歴でリクエストの進捗を追跡できます。

Playbook 実行リクエストを完了させるため、Secure Endpoint Agent がデバイスを強制的に再起動します。

Playbook 実行リクエストがすでにデバイスで進行中である場合、ユーザー開始 Playbook は送信できますが、システム開始 Playbook は送信できません。

Playbook 実行リクエストを送信する

Playbook を実行するには、ユーザー役割に Playbook の実行を実施する権限が付与されている必要があります。

デバイスの「デバイス詳細」ページで以下のインターフェイスの項目を表示するには、ユーザー役割に Playbook の実行を表示または実施する権限が付与されている必要があります。

  • Playbook がリクエストされましたバナー
  • Playbook フィールド

すべてのデフォルトの管理者役割には、この権限が付与されています。

Playbook を実行するには、次の前提条件を満たす必要があります。

  • デバイスがこのアクションのシステム要件を満たしていること。
  • デバイスの盗難届が提出されていないこと。
  • Playbook ポリシーがデバイスのポリシーグループでアクティブ化されていること。
  • デバイスの Playbook フィールドの値が有効と表示されていること。これはデバイスがプロビジョニング済みであることを意味します。もっと見る
  • ポリシーがアクティブ化されてから、少なくとも 24 時間が経過していること。

Playbook を実行する前に、デバイスが Playbook 機能向けにプロビジョニングされていることを検証する必要があります。

デバイスのプロビジョニングステータスを表示するには:

  1. Playbook の実行の表示または実施権限を持つユーザーとして、Secure Endpoint Console へログインします。
  2. Windows デバイスのデバイス詳細ページに移動します。
  3. 詳細タブをクリックします。
  4. 概要ページで、最初の情報テーブルの下部までスクロールし、Playbook フィールドを確認します。可能な値は次のとおりです。

    • 有効: Playbook ポリシーはデバイスでアクティブ化されており、デバイスは Playbook を実行するためにプロビジョニングされています。

      隠されたパスコード () も表示されます。もっと見る

      ポリシーをアクティブ化し、Playbook フィールドを有効に設定した後、デバイスが完全にプロビジョニングされるまで、最大 24 時間かかる場合があります。この期間中に Playbook の実行を試みても、失敗するおそれががあります。

    • 有効ではありません: 以下のいずれかに該当します。
      • Playbook ポリシーはデバイスのポリシーグループでアクティブ化されていますが、デバイスはまだ Playbook を実行するために完全にプロビジョニングされていません。再起動が必要な場合があります。
      • Playbook ポリシーがデバイスのポリシーグループでアクティブ化されていません。
      • デバイスが Playbook 機能のシステム要件を満たしていません。

      デバイスが Playbook を実行するためにプロビジョニングされていません。

Playbook を設定する間に、デバイスのファイルパス、またはデバイスの BitLocker リカバリーキーなど、デバイス固有の情報の入力が必要な場合があります。このタイプの情報を指定するのに、変数を使用することができます。デバイスで Playbook を実行すると、変数はそのデバイスに固有の値に置き換わります。

複数のデバイスに対してリクエストを送信していて、Playbook 設定でデバイス固有の情報が要求される場合、変数の使用が必要になる可能性が高くなります。

Playbook は 3 種類の変数をサポートしています。

サポートされる変数の全リストは、Playbook 実行ダイアログで変数リストの表示をクリックすると確認できます。変数をフィールドに追加するには、変数を挿入フィールドをクリックしてから、変数を検索し、リストから変数を選択します。

スクリプトを実行 Playbook のバッチスクリプト内では変数はサポートされていません。

例:

  • 5 個のデバイスからファイルを削除する必要があります。ファイルは C:\Users\<Username>\AppData\Local フォルダーに格納されており、<Username> は各デバイスに固有です。ファイル操作 (追加または削除) Playbook リクエストを作成し、ファイル削除の下のフィールドに C:\Users\ と入力します。ユーザー名を挿入するには、変数を挿入をクリックし、変数のリストから currentUsername を選択します。その後、残りのファイルパスを入力します。

  • デバイスの BitLocker リカバリーキーを Secure Endpoint Console に保存するため、カスタムデータポイントを作成しました。このデータポイントの名前は BL key です。10 個のデバイスに Playbook 実行リクエストを送信する必要があるため、Playbook の BitLocker リカバリーキーフィールドで変数を挿入をクリックし、変数のリストから BL key を選択します。
  • Playbook リクエストを送信した後でキャンセルすることはできません。
  • デバイスで Playbook 実行リクエストが進行中の場合、デバイスのデバイス詳細ページに Playbook がリクエストされましたバナーが表示されます。このバナーが表示されているときにユーザー開始 Playbook は送信できますが、システム開始 Playbook は送信できません。

Playbook を実行するには:

  1. Playbook の実行の実施権限を持つユーザーとして、Secure Endpoint Console へログインします。

  2. 以下の1つを実行します:

    Windows デバイスのデバイス詳細ページで、 > Playbook を実行をクリックします。

    Playbook を実行の上にカーソルを当てたときに アイコンが表示された場合、デバイスがこの操作に対して適格ではありません。

    1. ナビゲーションバーから、Playbook 実行アクションをサポートするページを開きます。たとえば、デバイスエリアのすべてのデバイスページを開くか、メーカーとモデルレポートを開きます。
    2. 作業エリアで、検索フィールドまたはフィルターを使用して、該当する Windows デバイスを検索します。

    3. 結果グリッドで、リクエストに含めるデバイスをそれぞれ選択します。すべてのデバイスを選択するには、結果グリッドのヘッダーにあるすべて選択チェックボックスを選択します。連続したデバイスを選択するには、最初のデバイスを選択し、Shift キーを長押ししながら最後のデバイスを選択します。すべての選択を削除するには、すべて消去をクリックします。

    4. > Playbook を実行をクリックします。
  3. Playbook の下にあるPlaybook の選択フィールドをクリックし、以下の Playbook から 1 つを選択します:

    各 Playbook のパラメーターフィールドに入力された値は検証されません。Playbook が正常に実行されるようにするには、追加する前にパラメーターを検証し、その後で慎重に入力してください。Playbook が正常に実行されない場合、「Playbook が失敗しました」イベントがイベント履歴に記録されます。

    1. Playbook の要件を確認します。

    2. パラメーターの下で、デバイスのBitLocker リカバリーキーを入力します。変数を使用するには、変数を挿入をクリックし、その後変数を検索して変数を選択します。

      デバイスが BitLocker Drive Encryption によって暗号化されていない場合、この手順はスキップします。

      デバイスが別の暗号化製品によって暗号化されている場合、Playbook は実行できません。

    1. アクションを追加をクリックし、以下のいずれかを実行します。
      1. ファイルの追加をクリックします。

      2. ホストファイル URLフィールドで、ファイルを保存する場所の URL (HTTP または HTTPS プロトコルのみ) を入力します。

        ファイルがファイルホスティングサービスに格納されている場合、ファイル共有用の URL ではなく、直接アクセスできる URL を入力するようにしてください。

      3. ファイルパスフィールドで、ファイルを保存するデバイス上の場所のフルパスおよびファイル名を入力します。元のファイル名を使用することも、お好きなファイル名を使用することもできますが、ファイルの拡張子は変更しないでください

        例えば、C:\Documents\Temp\Filename.txt と入力します。

        以下の点に注意してください。

        • リクエストが複数のデバイス向けである場合、1 つ以上の変数を使用できる場合があります。サポートされる変数のリストから選択するには、フィールドに % を入力します。
        • 環境変数はサポートされていません。
        • 同じファイル名を持つファイルがすでにこの場所に存在する場合、ファイルはダウンロードしたファイルに置き換えられます。
        • 指定したパスにフォルダーが存在しない場合、フォルダーが作成されます。
        • 追加されたファイルの変更日のタイムスタンプは、デバイスのリアルタイムクロック (RTC) に基づきます。デバイスの表示時間を Windows の日時設定で調整していた場合、タイムスタンプが表示名と同期されていない可能性があります。
      1. ファイル削除をクリックします。

      2. 削除するパスとファイル名フィールドで、削除したいファイルへのフルパスを、ファイル名を含めて入力します。例えば、C:\Documents\Textfile.txt と入力します。

      以下の点に注意してください。

      • リクエストが複数のデバイス向けである場合、1 つ以上の変数を使用できる場合があります。サポートされる変数のリストから選択するには、フィールドに % を入力します。
      • 環境変数はサポートされていません。
    2. 他のアクションを追加するには、ステップ c を繰り返します。Playbook には最大 20 のアクションを含めることができます。アクションを削除するには、そのアクションの アイコンをクリックします。

      Playbook のいずれかのアクションが失敗した場合、Playbook のその他すべてのアクションが完了した場合でも、「Playbook が失敗しました」イベントがイベント履歴に記録されます。

    1. Playbook の要件を確認します。
    2. 「パラメーター」の下にあるマニフェストファイル URLフィールドで、マニフェストファイルを保存する場所の URL (HTTP または HTTPS プロトコルのみ) を入力します。
    3. [オプション] サーバーにアクセスするための資格情報が必要な場合、該当するユーザー名資格情報 (パスワード、キーなど) を入力します。
    1. Playbook の要件を確認します。
    2. パラメーターの下で、以下を実行します。

      1. デバイスの BitLocker リカバリーキーを入力します。変数を使用するには、変数を挿入をクリックし、その後変数を検索して変数を選択します。

        デバイスが BitLocker Drive Encryption によって暗号化されていない場合、この手順はスキップします。

        デバイスが別の暗号化製品によって暗号化されている場合、Playbook は実行できません。

      2. ローカルマシンでバッチスクリプトを開き、その内容をコピーします。

      3. バッチスクリプトテキストフィールドをクリックし、スクリプトの内容を貼り付けます。

        スクリプトの内容が 3 KB を超える場合、エラーメッセージが表示されます。

    1. Playbook の要件を確認します。
    2. [オプション] ローカルマシンでレジストリーエディターを開き、更新または削除するキーを探します。例:
      1. Windows の検索フィールドで、regedit と入力します。
      2. レジストリーエディターをクリックし、ユーザーアカウント制御ダイアログではいをクリックします。

      3. レジストリーキーに移動し、レジストリーキー値の名前、タイプ、データをメモします。また、レジストリーキーのパスもメモしてください。

      4. Secure Endpoint Console へ戻ります。

    3. パラメーターの下で、デバイスのBitLocker リカバリーキーを入力します。変数を使用するには、変数を挿入をクリックし、その後変数を検索して変数を選択します。

      デバイスが BitLocker Drive Encryption によって暗号化されていない場合、この手順はスキップします。

      デバイスが別の暗号化製品によって暗号化されている場合、Playbook は実行できません。

    4. Playbook のフォーマットガイドラインを確認します。
    5. アクションを追加をクリックし、以下のいずれかを実行します。
      1. レジストリーキーの設定をクリックします。
      2. レジストリーパスフィールドで、新しいレジストリーキーを追加する場所のパスを入力します。

        例えば、HKEY_LOCAL_MACHINE\SOFTWARE\TestApp と入力します。

      3. レジストリー名フィールドで、追加するレジストリーキー値の名前を入力します。これは、レジストリーエディターでは「名前」の下に表示されます。
      4. レジストリータイプフィールドで、レジストリーキーのタイプを選択します。これは、レジストリーエディターでは「タイプ」の下に表示されます。
      5. レジストリー値フィールドで、値に関連付けられたデータを入力します。これは、レジストリーエディターでは「データ」の下に表示されます。
      1. レジストリーキーの設定をクリックします。
      2. レジストリーパスフィールドで、レジストリーキーのパスを入力します。

        例えば、HKEY_LOCAL_MACHINE\SOFTWARE\TestApp と入力します。

      3. レジストリー名フィールドで、レジストリーキー値の名前を入力します。これは、レジストリーエディターでは「名前」の下に表示されます。
      4. レジストリータイプフィールドで、レジストリーキーに割り当てられたタイプを選択します。これは、レジストリーエディターでは「タイプ」の下に表示されます。
      5. レジストリー値フィールドで、新しいデータ文字列を入力します。レジストリーエディターでは、この値は「データ」の下の値に置き換えられます。
      1. レジストリーキーの削除をクリックします。

      2. レジストリー名フィールドで、削除するレジストリーキー値の名前を入力します。これは、レジストリーエディターでは「名前」の下の値です。

        この (デフォルト) 値は削除できません。

      3. レジストリーパスフィールドで、レジストリーキーのパスを入力します。

        例えば、HKEY_LOCAL_MACHINE\SOFTWARE\TestApp と入力します。

    6. 他のアクションを追加するには、ステップ d を繰り返します。Playbook には最大 20 のアクションを含めることができます。アクションを削除するには、そのアクションの (削除) アイコンをクリックします。
  4. ユーザー開始 Playbook の下で、以下のいずれかを実行します。
    • デバイスのオペレーティングシステムが完全に動作する状態である場合、トグルスイッチをオフ (グレー) のままにします。

      このオプションを無効 (オフ) にすると、デバイスが Absolute モニタリングセンターに次回接続した時に、Playbook 実行リクエストがデバイスに展開され、Playbook が自動的に実行されます。

      Playbook 実行リクエストを完了させるため、Secure Endpoint Agent がデバイスを強制的に再起動します。この時点でデバイスユーザーがログインしている場合、自動的にログアウトされ、データが失われる場合があります。そのため、Playbook 実行リクエストを送信する前に、デバイスユーザーに連絡の上、作業を保存するように指示してください。

      または、デバイスでスクリプトを実行する場合は、スクリプト実行 Playbook ではなく Reach スクリプトを実行することを検討してください。Reach スクリプトでは、再起動が必要ない場合があります。

    • デバイスのオペレーティングシステムが起動しない場合、トグルスイッチをクリックしてオン (グリーン) に設定します。デバイスですでに Playbook が進行中である場合、トグルスイッチはデフォルトでオンに設定され、変更することはできないことに注意してください。

      ユーザー開始 Playbook オプションが有効 (オン) である場合、デバイスは物理的なイーサネットネットワーク接続を使用している必要があります。

      ユーザー開始 Playbook に関する詳細を見る

  5. x 個のデバイスで実行をクリックします。

    リクエストが作成されます。Playbook がリクエストされましたバナーが各デバイスのデバイス詳細ページに追加され、「Playbook がリクエストされました」イベントがイベント履歴に記録されます。

  6. ユーザー開始 Playbook を送信した場合、次のセクションに進みます。

システム開始 Playbook 実行リクエストの進捗状況は、デバイスのアクションページ、またはアクション履歴で追跡できます。リクエストが処理されると、以下のイベントの1つがイベント履歴に記録されます:

  • Playbook が完了しました
  • Playbook が失敗しました

Playbook 実行リクエストでユーザー開始 Playbook オプションを有効している場合、Playbook を開始するには以下のタスクを完了する必要があります。

  1. デバイスの Playbook パスコードを取得する
  2. Playbook をデバイス上でローカルに開始する

最初のタスクは Secure Endpoint Console で管理者によって実行され、2 番目のタスクはデバイスユーザーによってデバイス上でローカルに実行されます。2 番目のタスクのステップを案内するため、デバイスユーザーの連絡先電話番号は維持しておくことがベストプラクティスであることに注意してください。

ユーザー開始 Playbook オプションをオンに設定した状態で Playbook の実行リクエストが送信されていること。もっと見る

ユーザー開始 Playbook を実行できるようにするには、ブート処理中に、デバイスユーザーがデバイスの Playbook パスコードを入力する必要があります。

デバイスのパスコードを取得するには:

  1. Playbook の実行の表示または実施権限を持つユーザーとして、Secure Endpoint Console へログインします。
  2. デバイスのデバイス詳細ページに移動します。
  3. 詳細タブをクリックします。
  4. 概要ページで、最初の情報テーブルの下部までスクロールし、Playbook フィールドを確認します。
  5. 有効の隣にある をクリックしてパスコードを表示します。
  6. ページを開いたまま、次のセクションに進みます。

このタスクのステップは、デバイスユーザーが実行する必要があります。(致命的なシステムエラーにより) デバイスユーザーに書面で指示を送ることができない場合、電話またはテキストメッセージで連絡してください。

ユーザー開始 Playbook を実行するには:

  1. ステップ 5 で取得した Playbook パスコードをユーザーに提供します。ユーザーには一時的にパスコードを記録しておくよう伝えます (オプション)。
  2. ユーザーに以下のように指示します。
    1. デバイスを再起動します。
    2. メーカーロゴが表示されたら、F6 (または Fn+F6) を数回押して、Absolute ブランドロゴを示す画面が開くまで繰り返します。
    3. パスコードフィールドに、ステップ 1 で取得したパスコードを入力し、Enter を押して Playbook を開始します。

      パスコードウィンドウは 2 分間のみ使用できます。ウィンドウが閉じるまでに有効なパスコードを入力できなかった場合、F6 (または Fn+F6) を再度押すようにユーザーに指示します。パスコードの入力に 3 回失敗した場合、デバイスは自動的に Windows を起動することに注意してください。

    4. Playbook が実行されるまで待ちます。リカバリー操作を完了するため、デバイスは自動的に再起動することに注意してください。ゴールデンイメージの復元 Playbook がリクエストされた場合、デバイスは複数回再起動します。Playbook の実行中は、手動再起動は行わないでください。

      再起動後にオペレーティングシステムが読み込まれたら、Playbook は正常に実行されました。

    ユーザー開始 Playbook の場合:

    • Playbook が終了してもイベント履歴にはイベントは記録されません。
    • アクション履歴でリクエストの進捗を追跡することはできません。