Playbook を実行する

このトピックは、Tech Preview プログラムに参加しているアカウントにのみ該当します。アドオンライセンス (リハイドレートアドオン) が必要です。プログラムへの参加方法の詳細については、Absolute の営業担当者にお問い合わせください。

Extended Resilience ポリシーがアクティブ化されている場合、Playbook を実行リクエストを送信して、以下を遠隔で実行できます。

  • Windows デバイスの修復または再イメージング

  • 致命的なシステムエラーの結果 Windows のブートに失敗した Windows デバイスの修復

Playbook

現在のリリースでは、4 つの Playbook を利用できます。

ファイル操作 Playbook を選択すると、以下を遠隔で実行できます。

  • サーバーまたはファイル共有サイト (Dropbox、OneDrive、Box、または Google Drive など) からデバイスへのファイルのダウンロード
  • デバイス上の所定の場所からのファイルの削除

Playbook には最大 20 のファイルアクションを含めることができます。

要件
  • デバイスのドライブが BitLocker Drive Encryption によって暗号化されている場合、デバイスの BitLocker リカバリーキーを Playbook 設定に入力する必要があります。
  • ファイルを追加する場合:
    • デバイスが物理的なイーサネットネットワーク接続を使用している必要があります。
    • ファイルがパスワードで保護されていない場所に保存されている必要があります。

      ファイルの安全を確保するため、AWS 事前署名済み URL を作成することがベストプラクティスです。

レジストリーキーの設定/削除 Playbook を選択すると、以下を遠隔で実行できます。

  • レジストリーキーの追加
  • キー値の更新
  • キー値の削除

Playbook には最大 20 のレジストリーキーアクションを含めることができます。

Windows レジストリーを編集する場合は常に注意してください。設定ミスは、システムの不安定さ、アプリケーションエラー、Windows の再起動が不可能になるなど、重大な問題を招くおそれがあります。この Playbook を実行する前に、レジストリーの編集が与える影響全体を把握してください。Windows レジストリーの詳細については、Windows のマニュアルを参照してください。

要件

  • デバイスのドライブが BitLocker Drive Encryption によって暗号化されている場合、デバイスの BitLocker リカバリーキーを Playbook 設定に入力する必要があります。

  • HKEY_LOCAL_MACHINE レジストリーハイブはサポートされます。

    HKEY_CURRENT_USER など、他のレジストリーハイブはサポートされません。

  • レジストリーキーの削除はサポートされません。レジストリーキーの値のみを削除できます。

フォーマットのガイドライン

レジストリーパスを入力する際は、以下を使用してください。

  • レジストリーハイブには HKEY_LOCAL_MACHINEHKLM はサポートされません。

  • バックスラッシュ (\)

例: HKEY_LOCAL_MACHINE\SOFTWARE\TestApp

ゴールデンイメージの復元 Playbook を選択して、ゴールデンイメージを使用して既存デバイスを再イメージングしたり、新しいデバイスを設定したりします。

要件

  • ゴールデンイメージが作成され、アクセス可能な場所に保存されていること。パスワードで保護された場所はサポートされません。

    パスワードで保護された場所の場合、AWS 事前署名済み URL を作成することがベストプラクティスです。

  • ゴールデンイメージのファイル形式は以下のいずれかです。

    以下のファイルが保存場所にアップロードされていることを確認します。

    • Windows インストール ISO ファイル (.iso)
    • 応答ファイル (unattend.xml)

      応答ファイルの作成方法の詳細については、Microsoft のマニュアルを参照してください。

    • JSON (.json) ファイル形式のマニフェストファイル

      このファイルには、上記の各ファイルの URL が含まれます。例:

      コピーする
      { "answer_file": "https://abc.server.com/unattend_win11.xml", "image_file": "https://abc.server.com/win11_business_24h2.iso" }

    以下のファイルが保存場所にアップロードされていることを確認します。

    • Windows イメージ (.wmi)

      イメージをキャプチャするには、Microsoft のマニュアルに記載されている以下の指示に従ってください。

    • JSON (.json) ファイル形式のマニフェストファイル

      このファイルには、デバイスのパーティションをリセット (削除して再作成) するパラメーターが含まれ、Windows イメージファイルへの URL が含まれます。例:

      コピーする
      { "reset_par":true, "image_file": "https://abc.server.com/goldenImage_win11.wim" }

  • デバイスが物理的なイーサネットネットワーク接続を使用している必要があります。

スクリプトを実行 Playbook を選択して、Windows デバイスでバッチスクリプト (.bat) を遠隔で実行します。バッチスクリプトは、スクリプトの実行時に一連のコマンドを実行します。

スクリプトの内容は、「Playbook を実行」ダイアログのテキストフィールドに貼り付けられることに注意してください。ファイルをアップロードすることはできません。

要件

  • スクリプトがバッチスクリプト(.bat) である必要があります。PowerShell など、他のスクリプトのタイプはサポートされません。

  • バッチスクリプトのサイズは 3 KB を超過できません。

  • デバイスのドライブが BitLocker Drive Encryption によって暗号化されている場合、デバイスの BitLocker リカバリーキーを Playbook 設定に入力する必要があります。

ユーザー開始 Playbook について

Playbook は、ユーザー開始 Playbook として実行するか、またはシステム開始 Playbook として実行できます。

Playbook の実行リクエストを送信する際は、ユーザー開始 Playbook オプションを設定する必要があります。これにより、Playbook の起動方法が制御されます。次の 2 つのオプションがあります。

オプション 詳細
ユーザー開始

致命的なシステムエラーが発生し、Windows をブートできないデバイスの修復を試みる場合は、ユーザー開始 Playbook オプションをオンにします。

あるデバイスユーザーから、デバイスに BSOD エラー (ブルースクリーンエラー) が発生したため、Windows がブートしないという知らせを受けました。調査の結果、利用可能な Playbook のうち 1 つを設定して実行することで、この問題を解決できると判断しました。

ユーザー開始 Playbook を実行するには、デバイスが物理的なイーサネットネットワーク接続を使用している必要があります。

ユーザー開始 Playbook については、以下の点に注意してください。

  • 最初に、Playbook 設定はデバイスではなく Absolute サーバーに送られます。
  • Playbook を開始するには、デバイスユーザーがデバイスを再起動し、ブート処理中にホットキーを押して、デバイスの Extended Resilience パスコードを入力します。

    詳細な手順を見る

    これらのアクションにより、デバイスはネットワーク接続を確立し、Absolute サーバーから Playbook 設定を取得し、Playbook を実行してデバイスを修復することができます。
システム開始

Playbook を実行してデバイスの修復または再イメージングを行う場合は、ユーザー開始 Playbook オプションをオフに設定したままにします。

システム開始 Playbook を実行するには、デバイスのオペレーティングシステムが完全に動作している必要があります。

ネットワークに保存したゴールデンイメージを使用して、デバイスを遠隔で修復しようとしています。

デバイスが Absolute モニタリングセンターに次回接続した時に、システム開始 Playbook がデバイスに展開され、Playbook が自動的に実行されます。

Playbook 実行リクエストを完了させるため、Secure Endpoint Agent がデバイスを強制的に再起動します。

Playbook 実行リクエストがすでにデバイスで進行中である場合、ユーザー開始 Playbook は送信できますが、システム開始 Playbook は送信できません。

Playbook 実行リクエストを送信する

Playbook を実行するには、ユーザー役割に Playbook と Extended Resilience ポリシーの両方を管理する権限が付与されている必要があります。

デバイスの Playbook がリクエストされましたバナーを表示するには、ユーザー役割に Playbook の実行を表示または管理する権限が付与されている必要があります。

Extended Resilience フィールドを表示するには、ユーザー役割に Extended Resilience ポリシーを表示または管理する権限が付与されている必要があります。

すべてのデフォルトの管理者役割には、この権限が付与されています。

Playbook を実行するには、次の前提条件を満たす必要があります。

  • デバイスがこのアクションのシステム要件を満たしていること。
  • デバイスの盗難届が提出されていないこと。
  • Extended Resilience ポリシーがデバイスのポリシーグループでアクティブ化されていること。
  • デバイスの Extended Resilience フィールドの値が有効と表示されていること。これはデバイスがプロビジョニング済みであることを意味します。もっと見る
  • ポリシーがアクティブ化されてから、少なくとも 24 時間が経過していること。

Playbook を実行する前に、デバイスが Extended Resilience 向けにプロビジョニングされていることを検証する必要があります。

デバイスのプロビジョニングステータスを表示するには:

  1. Extended Resilience ポリシーの表示または管理権限を持つユーザーとして、Secure Endpoint Console へログインします。
  2. Windows デバイスのデバイス詳細ページに移動します。
  3. 詳細タブをクリックします。
  4. 概要ページで、最初の情報テーブルの下部までスクロールし、Extended Resilience フィールドを確認します。可能な値は次のとおりです。

    • 有効: Extended Resilience ポリシーはデバイスでアクティブ化されており、デバイスは Playbook を実行するためにプロビジョニングされています。

      隠されたパスコード () も表示されます。もっと見る

      ポリシーをアクティブ化し、Extended Resilience フィールドを有効に設定した後、デバイスが完全にプロビジョニングされるまで、最大 24 時間かかる場合があります。この期間中に Playbook の実行を試みても、失敗するおそれががあります。

    • 有効ではありません: 以下のいずれかに該当します。
      • Extended Resilience ポリシーはデバイスのポリシーグループでアクティブ化されていますが、デバイスはまだ Playbook を実行するために完全にプロビジョニングされていません。再起動が必要な場合があります。
      • Extended Resilience ポリシーがデバイスのポリシーグループでアクティブ化されていません。
      • デバイスが Extended Resilience のシステム要件を満たしていません。

      デバイスが Playbook を実行するためにプロビジョニングされていません。

  • Playbook リクエストを送信した後でキャンセルすることはできません。
  • Playbook 実行リクエストは、デバイス詳細ページから個別のデバイス向けに送信できます。デバイスレポートで複数のデバイスを選択して、リクエストを送信することはできません
  • デバイスで Playbook 実行リクエストが進行中の場合、デバイスのデバイス詳細ページに Playbook がリクエストされましたバナーが表示されます。このバナーが表示されているときにユーザー開始 Playbook は送信できますが、システム開始 Playbook は送信できません。

Playbook を実行するには:

  1. Playbook の実行と Extended Resilience ポリシーの両方の管理権限を持つユーザーとして、Secure Endpoint Console へログインします。

  2. Windows デバイスのデバイス詳細ページに移動します。

  3. > Playbook を実行をクリックします。

    Playbook を実行の上にカーソルを当てたときに アイコンが表示された場合、デバイスがこの操作に対して適格ではありません。

  4. 次のいずれかの Playbook を選択します。

    各 Playbook のパラメーターフィールドに入力された値は検証されません。Playbook が正常に実行されるようにするには、追加する前にパラメーターを検証し、その後で慎重に入力してください。Playbook が正常に実行されない場合、「Playbook が失敗しました」イベントがイベント履歴に記録されます。

    1. Playbook の要件を確認します。
    2. パラメーターの下で、デバイスのBitLocker リカバリーキーを入力します。デバイスが BitLocker Drive Encryption によって暗号化されていない場合、この手順はスキップします。

      デバイスが別の暗号化製品によって暗号化されている場合、Playbook は実行できません。

    3. アクションを追加をクリックし、以下のいずれかを実行します。
      1. ファイルの追加をクリックします。
      2. ホストファイル URLフィールドで、ファイルを保存する場所の URL (HTTP または HTTPS プロトコルのみ) を入力します。

      3. ファイルパスフィールドで、ファイルを保存するデバイス上の場所のフルパスおよびファイル名を入力します。元のファイル名を使用することも、お好きなファイル名を使用することもできますが、ファイルの拡張子は変更しないでください

        例えば、C:\Documents\Temp\Filename.txt と入力します。

        以下の点に注意してください。

        • 環境変数はサポートされていません。

        • 同じファイル名を持つファイルがすでにこの場所に存在する場合、ファイルはダウンロードしたファイルに置き換えられます。

        • 指定したパスにフォルダーが存在しない場合、フォルダーが作成されます。

        • 追加されたファイルの変更日のタイムスタンプは、デバイスのリアルタイムクロック (RTC) に基づきます。デバイスの表示時間を Windows の日時設定で調整していた場合、タイムスタンプが表示名と同期されていない可能性があります。

      1. ファイル削除をクリックします。

      2. 削除するパスとファイル名フィールドで、削除したいファイルへのフルパスを、ファイル名を含めて入力します。例えば、C:\Documents\Textfile.txt と入力します。

        環境変数はサポートされていないことに注意してください。

    4. 他のアクションを追加するには、ステップ c を繰り返します。Playbook には最大 20 のアクションを含めることができます。アクションを削除するには、そのアクションの (削除) アイコンをクリックします。

      Playbook のいずれかのアクションが失敗した場合、Playbook のその他すべてのアクションが成功した場合でも、「Playbook が失敗しました」イベントがイベント履歴に記録されます。

    1. Playbook の要件を確認します。
    2. [オプション] ローカルマシンでレジストリーエディターを開き、更新または削除するキーを探します。例:
      • Windows の検索フィールドで、regedit と入力します。
      • レジストリーエディターをクリックし、ユーザーアカウント制御ダイアログではいをクリックします。

      • レジストリーキーに移動し、レジストリーキー値の名前、タイプ、データをメモします。また、レジストリーキーのパスもメモしてください。

      • Secure Endpoint Console へ戻ります。
    3. パラメーターの下で、デバイスのBitLocker リカバリーキーを入力します。デバイスが BitLocker Drive Encryption によって暗号化されていない場合、この手順はスキップします。

      デバイスが別の暗号化製品によって暗号化されている場合、Playbook は実行できません。

    4. Playbook のフォーマットガイドラインを確認します。
    5. アクションを追加をクリックし、以下のいずれかを実行します。
      1. レジストリーキーの設定をクリックします。
      2. レジストリーパスフィールドで、新しいレジストリーキーを追加する場所のパスを入力します。

        例えば、HKEY_LOCAL_MACHINE\SOFTWARE\TestApp と入力します。

      3. レジストリー名フィールドで、追加するレジストリーキー値の名前を入力します。これは、レジストリーエディターでは「名前」の下に表示されます。
      4. レジストリータイプフィールドで、レジストリーキーのタイプを選択します。これは、レジストリーエディターでは「タイプ」の下に表示されます。
      5. レジストリー値フィールドで、値に関連付けられたデータを入力します。これは、レジストリーエディターでは「データ」の下に表示されます。
      1. レジストリーキーの設定をクリックします。
      2. レジストリーパスフィールドで、レジストリーキーのパスを入力します。

        例えば、HKEY_LOCAL_MACHINE\SOFTWARE\TestApp と入力します。

      3. レジストリー名フィールドで、レジストリーキー値の名前を入力します。これは、レジストリーエディターでは「名前」の下に表示されます。
      4. レジストリータイプフィールドで、レジストリーキーに割り当てられたタイプを選択します。これは、レジストリーエディターでは「タイプ」の下に表示されます。
      5. レジストリー値フィールドで、新しいデータ文字列を入力します。レジストリーエディターでは、この値は「データ」の下の値に置き換えられます。
      1. レジストリーキーの削除をクリックします。

      2. レジストリー名フィールドで、削除するレジストリーキー値の名前を入力します。これは、レジストリーエディターでは「名前」の下の値です。

        この (デフォルト) 値は削除できません。

      3. レジストリーパスフィールドで、レジストリーキーのパスを入力します。

        例えば、HKEY_LOCAL_MACHINE\SOFTWARE\TestApp と入力します。

    6. 他のアクションを追加するには、ステップ d を繰り返します。Playbook には最大 20 のアクションを含めることができます。アクションを削除するには、そのアクションの (削除) アイコンをクリックします。
    1. Playbook の要件を確認します。
    2. 「パラメーター」の下にあるホストファイル URLフィールドで、マニフェストファイルを保存する場所の URL (HTTP または HTTPS プロトコルのみ) を入力します。
    3. [オプション] サーバーにアクセスするための資格情報が必要な場合、該当するユーザー名資格情報 (パスワード、キーなど) を入力します。
    1. Playbook の要件を確認します。

    2. ローカルマシンでバッチスクリプトを開き、その内容をコピーします。

    3. 「パラメーター」の下にあるバッチスクリプトテキストフィールドをクリックし、スクリプトの内容を貼り付けます。

      スクリプトの内容が 3 KB を超える場合、エラーメッセージが表示されます。

  5. ユーザー開始 Playbook の下で、以下のいずれかを実行します。
    • デバイスのオペレーティングシステムが完全に動作する状態である場合、トグルスイッチをオフ (グレー) のままにします。

      このオプションを無効 (オフ) にすると、デバイスが Absolute モニタリングセンターに次回接続した時に、Playbook 実行リクエストがデバイスに展開され、Playbook が自動的に実行されます。

      Playbook 実行リクエストを完了させるため、Secure Endpoint Agent がデバイスを強制的に再起動します。この時点でデバイスユーザーがログインしている場合、自動的にログアウトされ、データが失われる場合があります。そのため、Playbook 実行リクエストを送信する前に、デバイスユーザーに連絡の上、作業を保存するように指示してください。

      または、デバイスでスクリプトを実行する場合は、スクリプト実行 Playbook ではなく Reach スクリプトを実行することを検討してください。Reach スクリプトでは、再起動が必要ない場合があります。

    • デバイスのオペレーティングシステムが起動しない場合、トグルスイッチをクリックしてオン (グリーン) に設定します。デバイスですでに Playbook が進行中である場合、トグルスイッチはデフォルトでオンに設定され、変更することはできないことに注意してください。

      ユーザー開始 Playbook オプションが有効 (オン) である場合、デバイスは物理的なイーサネットネットワーク接続を使用している必要があります。

      ユーザー開始 Playbook に関する詳細を見る

  6. Playbook を実行をクリックします。

    リクエストが作成されます。Playbook がリクエストされましたバナーがデバイスのデバイス詳細ページに追加され、「Playbook がリクエストされました」イベントがイベント履歴に記録されます。

  7. ユーザー開始 Playbook を送信した場合、次のセクションに進みます。

システム開始 Playbook 実行リクエストの進捗状況は、デバイスの履歴ページ、またはイベント履歴で追跡できます。以下のいずれか 1 つのイベントが記録されます。

  • Playbook が成功しました
  • Playbook が失敗しました

Playbook 実行リクエストでユーザー開始 Playbook オプションを有効している場合、Playbook を開始するには以下のタスクを完了する必要があります。

  1. デバイスの Extended Resilience パスコードを取得
  2. Playbook をデバイス上でローカルに開始する

最初のタスクは Secure Endpoint Console で管理者によって実行され、2 番目のタスクはデバイスユーザーによってデバイス上でローカルに実行されます。2 番目のタスクのステップを案内するため、デバイスユーザーの連絡先電話番号は維持しておくことがベストプラクティスであることに注意してください。

ユーザー開始 Playbook オプションをオンに設定した状態で Playbook の実行リクエストが送信されていること。もっと見る

ユーザー開始 Playbook を実行できるようにするには、ブート処理中に、デバイスユーザーがデバイスの Extended Resilience パスコードを入力する必要があります。

デバイスのパスコードを取得するには:

  1. Extended Resilience ポリシーの表示または管理権限を持つユーザーとして、Secure Endpoint Console へログインします。
  2. デバイスのデバイス詳細ページに移動します。
  3. 詳細タブをクリックします。
  4. 概要ページで、最初の情報テーブルの下部までスクロールし、Extended Resilience フィールドを確認します。
  5. 有効の隣にある をクリックしてパスコードを表示します。
  6. ページを開いたまま、次のセクションに進みます。

このタスクのステップは、デバイスユーザーが実行する必要があります。(致命的なシステムエラーにより) デバイスユーザーに書面で指示を送ることができない場合、電話またはテキストメッセージで連絡してください。

ユーザー開始 Playbook を実行するには:

  1. ステップ 5 で取得した Extended Resilience パスコードをユーザーに提供します。ユーザーには一時的にパスコードを記録しておくよう伝えます (オプション)。
  2. ユーザーに以下のように指示します。
    1. デバイスを再起動します。
    2. メーカーロゴが表示されたら、F6 (または Fn+F6) を数回押して、Absolute ブランドが表示されたウィンドウが開くまで繰り返します。
    3. パスコードフィールドに、ステップ 1 で取得したパスコードを入力し、Enter を押して Playbook を開始します。

      パスワードウィンドウは 2 分間のみ使用できます。ウィンドウが閉じるまでに有効なパスコードを入力できなかった場合、F6 (または Fn+F6) を再度押すようにユーザーに指示します。

    4. Playbook が実行されるまで待ちます。リカバリー操作を完了するため、デバイスは自動的に再起動することに注意してください。ゴールデンイメージの復元 Playbook がリクエストされた場合、デバイスは複数回再起動します。Playbook の実行中は、手動再起動は行わないでください。

      再起動後にオペレーティングシステムが読み込まれたら、Playbook は正常に実行されました。

    ユーザー開始 Playbook では、Playbook の実行が終了しても Secure Endpoint にはイベントは記録されません。