デバイスでスクリプトを実行する

お客様のアカウントに関連付けられているAbsolute 製品ライセンスに応じて、Absolute Reach の一部の機能が利用できない場合があります。

Absolute Reach® 機能を使用すると、Secure Endpoint Console に独自のスクリプトをアップロードするか、または Absolute Reach スクリプトライブラリからスクリプトを選択して、Windows または Mac デバイスでそのスクリプトを実行するリクエストを送信できます。次回対象の適格デバイスが Absolute モニタリングセンター デバイスの Persistence エージェントとの2方向通信を維持する役割を果たすサーバーであり、Secure Endpoint Agent が削除または改ざんされた場合は自己修復を開始し、デバイスのデータを送信して命令を受信します。に接続すると、デバイスの Secure Endpoint Agent がスクリプトをスタートアップフォルダーにダウンロードし、スクリプトの署名を検証して、この場所からスクリプトをデバイス上で実行します。リクエストが完了すると、エージェントはスタートアップフォルダーからスクリプトを削除します。

Secure Endpoint Console で確認できるユーザー入力情報を収集する場合、スクリプトの代わりにメッセージ送信リクエストを使用することを推奨します。スクリプトを使用すると、カスタムデバイスフィールドにユーザーの応答が入力されない場合があります。

スクリプトの実行リクエストは、デバイスページまたはデバイスのデバイス詳細ページから送信できます。また、デバイスグループ、デバイスグループフォルダー、またはデバイスレポートでデバイスを選択し、選択したすべてのデバイスに対してリクエストを送信することもできます。あるいは、一度に多数のデバイスでスクリプトを実行したい場合は、デバイス識別子のファイルをアップロードして、単独のスクリプト実行リクエストを送信できます。

Absolute Reach は、Absolute モニタリングセンターに定期的に連絡しているアクティブな Secure Endpoint Agent を搭載した Windows および Mac デバイスでサポートされます。

以下のデバイスではサポートされません

スクリプト実行リクエストを送信するには、ユーザー役割に Reach スクリプトの実行権限が付与されている必要があります。デフォルトでは、すべての管理者役割とセキュリティパワーユーザーの役割にこの権限が付与されています。

スクリプトをアップロードしてスクリプト実行リクエストでそれを使用するには、ユーザー役割に Reach スクリプトの管理権限が付与されている必要があります。デフォルトでは、システム管理者とセキュリティ管理者の役割に、この権限が付与されています。

アクションリクエストでスクリプト実行リクエストのステータスを確認するには、ユーザー役割に Reach スクリプトの表示権限が割り当てられている必要があります。デフォルトでは、すべての管理者役割とセキュリティパワーユーザーの役割にこの権限が付与されています。

以下の手順により、Absolute Reach を使用してデバイス群にスクリプトを展開する前に、Reach スクリプトが所望の結果を生成することを確認することができます。

  • 問題が発生した場合は、PowerShell および Bash スクリプトにエラー対応を追加して問題を解決します。スクリプトのリターンコードは、アクションリクエストイベント履歴に表示されます。
  • PowerShell スクリプトをアップロードする前に、Absolute スキーマに関するPowerShell ガイドラインを確認してください。
  • Secure Endpoint Console で、スクリプトを実行オプションを使用して、数台のテストデバイスでスクリプトを展開し、結果を観察します。

スクリプトの実行リクエストを送信するには:

  1. Reach スクリプトの実行権限を持つユーザーとして、Secure Endpoint Console へログインします。

  2. 以下の1つを実行します:

    デバイスのデバイス詳細ページで、 スクリプトを実行をクリックします。

    1. ナビゲーションバーから、スクリプト実行アクションをサポートするページを開きます。たとえば、デバイスエリアのすべてのデバイスページを開くか、メーカーとモデルレポートを開きます。
    2. 作業エリアで、検索フィールドまたはフィルターを使用して、該当するデバイスを検索します。

    3. 結果グリッドで、リクエストに含めるデバイスをそれぞれ選択します。すべてのデバイスを選択するには、結果グリッドのヘッダーにあるすべて選択チェックボックスを選択します。連続したデバイスを選択するには、最初のデバイスを選択し、Shift キーを長押ししながら最後のデバイスを選択します。すべての選択を削除するには、すべて消去をクリックします。

    4. スクリプトを実行をクリックします。

    または、デバイス識別子のファイルをアップロードし、リクエストを送信することができます。

    Windows または Mac デバイスが選択されていない場合、メッセージが表示されます。 をクリックしてダイアログを閉じます。

  3. 下記のいずれかを実行して、リクエストにスクリプトを追加します。

    1. Windows と Mac デバイスのどちらが選択されたかに基づいて、スクリプトのリストが事前にフィルタリングされます。実行したいスクリプトの名前または説明の一部を、スクリプトの検索に入力します。Absolute または カスタムを選択して、検索結果を絞り込みます。入力に合わせて、検索結果が動的に更新されます。

      適格性チェックが 10 秒以上かかる場合、スクリプトはデバイスタイプによってフィルタリングされません。

    2. 実行したいスクリプトをクリックします。
    3. [オプション] ダイアログの上部にあるスクリプトを実行 - <日付> をクリックし、このリクエストをアクションリクエストで特定および追跡しやすくなるようなリクエスト名を入力します。
    4. [オプション] 説明を追加 (オプション)をクリックし、リクエストの説明を入力します。
    5. Windows と Mac の両方のデバイスを選択したが、スクリプトを実行するのは Windows または Macのいずれかのデバイスである場合、Windows または Mac の隣りにあるチェックボックスをオフにします。

    1. スクリプトを作成をクリックします。

      スクリプトの作成オプションは、Reach スクリプトの管理権限のあるユーザーとしてログインしている場合のみ利用できます。

    2. [オプション] ダイアログの上部にあるスクリプトを実行 - <日付> をクリックし、このリクエストをアクションリクエストで特定および追跡しやすくなるようなリクエスト名を入力します。
    3. [オプション] 説明を追加 (オプション)をクリックし、リクエストの説明を入力します。

    4. このスクリプトを今後のリクエストでも使用できるようにしたくない場合は、カスタムライブラリに保存を消去します。

      カスタムライブラリに保存を選択した場合、PowerShell のパラメーターBash のパラメーター、および次のステップで設定した詳細設定オプションが、スクリプトと一緒にスクリプトライブラリーに保存されます。PowerShell スクリプトと Bash スクリプトの両方をアップロードする場合、それらは一緒に保存されます。

    5. スクリプトが以下の要件を満たしていることを確認します。

      • スクリプトが以下のいずれかの形式であること:

        • PowerShell script (.ps1): Windows デバイス

          スクリプトに Unicode 文字が含まれる場合、UTF-8 エンコードを使用して Byte Order Mark (BOM) を含めます。

          すべての PowerShell スクリプトが BOM 付きの UTF-8 エンコードを使用することを推奨します。

        • Bash スクリプト (.sh): Mac デバイス
      • スクリプトのサイズが 1468 KB を超えないこと
      • ファイル名にスペースが使用されていないこと

    6. 以下の1つまたは両方を実行します:

      1. PowerShell スクリプトをアップロードをクリックします。

        PowerShell スクリプトをアップロードは、Windows デバイスを選択した場合のみ利用できます。

      2. アップロードしたい PowerShell スクリプトファイル (.ps1) の場所に移動して、開くをクリックします。

        スクリプトに署名されていない場合、Absolute がスクリプトに署名するというメッセージが表示されます。

        スクリプトが署名されている場合、署名フォーマットが検証されます。フォーマットが無効な署名である場合、エラーメッセージが表示されます。署名を確認し、スクリプトを再アップロードしてください。スクリプトが検証されるのは、そのスクリプトがスクリプト実行リクエストで使用されるときです。

        デバイスでスクリプトの署名を検証するには、デバイスが Secure Endpoint Agent バージョン9.0 以降を実行している必要があります。

      1. Bash スクリプトをアップロードをクリックします。

        Bash スクリプトをアップロードは、Mac デバイスを選択した場合のみ利用できます。

      2. アップロードしたい Bash スクリプトファイル (.sh) の場所に移動して、開くをクリックします。

  4. 選択またはアップロードしたスクリプトの種類に応じて、以下のいずれかまたは両方を実行し、スクリプトの構成を設定します。

    1. Windows デバイスセクションで、スクリプトを表示をクリックしてスクリプトのプレビューを確認します。

      プレビューボックスのテキストは編集できません。カスタムスクリプトの編集が必要な場合、コンピューター上でスクリプトファイルを開いて編集します。PowerShell スクリプトをアップロードをクリックして、編集したスクリプトファイルを選択することで、アップロードした元のスクリプトを編集済のスクリプトと置換することができます。

    2. スクリプト変数セクションが表示される場合、必須と表示されているフィールドに値を入力します。その他すべての該当するフィールドに、値を入力します。必須フィールドは左側の境界線が太く表示されます ()。

    3. スクリプトに 1 つ以上のパラメーターを指定したい場合、PowerShell のパラメーターフィールドに入力します。

      PowerShell のパラメーターフィールドでは、構文の正しさは検証されません。パラメーターを正しく入力してください。

    4. スクリプトの詳細設定オプションを設定するには:

      設定 オプション
      権限

      次のいずれかのオプションを選択します。

      • システムアカウント権限で実行: ローカルなシステムアカウントに関連付けられている権限を使用して、スクリプトを実行します。

        PowerShell スクリプトが Absolute .dll ファイルを参照している場合、必ずこのオプションを選択してください。システムアカウント以外にはこれらのファイルにアクセスする権限がないためです。

      • ログインユーザーの権限で実行: スクリプトをログインユーザーの権限で実行します。

        PowerShell スクリプトがデバイスのユーザーデータまたはデバイスユーザーからの情報 (ライセンス契約書への承認など) へのアクセスを要求する場合、必ずこのオプションを選択してください。
      ディスプレイモード

      次のいずれかのオプションを選択します (利用可能な場合)。

      • 非表示: スクリプトをバックグラウンドで実行するため、ユーザーには表示されません。
      • 最大化: デバイス上で Windows PowerShell ダイアログを表示します。
      • 最小化: Windows PowerShell ダイアログを Windows タスクバーに最小化します。
      実行条件

      次のいずれかのオプションを選択します。

      • サインイン中のユーザーなし: ログイン中のユーザーがいない場合のみスクリプトを実行します。
      • ユーザーのサインインを問わない: ユーザーがログイン中かどうかを問わず、スクリプトを実行します。
      • ユーザーがサインイン中: ユーザーがログイン中の場合のみスクリプトを実行します。
      最大実行時間

      終了するまでにスクリプトを実行できる最大分数 (または時間) を指定します。デフォルト設定は 120 分ですが、1 分から 24 時間の間の任意の値に対応しています。

      設定を変更するには、このフィールドに数字を入力します。単位時間を時間に変更するには、フィールドをクリックして時間を選択します。
      32-bit バージョンを実行 PowerShell の 32-bit バージョンを使用して 64-bit Windows デバイスでスクリプトを実行する場合は、このチェックボックスを選択します。チェックボックスを選択しないでおくと、これらのデバイスでスクリプトを実行するには PowerShell の 64-bit バージョンが使用されます。

    1. Mac デバイスセクションで、スクリプトを表示をクリックしてスクリプトのプレビューを確認します。

      プレビューボックスのテキストは編集できません。カスタムスクリプトの編集が必要な場合、コンピューター上でスクリプトファイルを開いて編集します。Bash スクリプトをアップロードをクリックして、編集したスクリプトファイルを選択することで、アップロードした元のスクリプトを編集済のスクリプトと置換することができます。

    2. スクリプトに 1 つ以上のパラメーターを指定したい場合、Bash パラメーターフィールドに入力します。

      Bash のパラメーターフィールドでは、構文の正しさは検証されません。パラメーターを正しく入力してください。

    3. スクリプトの詳細設定オプションを設定するには:

      設定 オプション
      権限

      次のいずれかのオプションを選択します。

      • システムアカウント権限で実行: ローカルなシステムアカウントに関連付けられている権限を使用して、スクリプトを実行します。
      • ログインユーザーの権限で実行: スクリプトをログインユーザーの権限で実行します。
      ディスプレイモード このフィールドは Bash スクリプトでは利用できません
      実行条件 このフィールドは Bash スクリプトでは利用できません
      最大実行時間

      終了するまでにスクリプトを実行できる最大分数 (または時間) を指定します。デフォルト設定は 120 分ですが、1 分から 24 時間の間の任意の値に対応しています。

      設定を変更するには、このフィールドに数字を入力します。単位時間を時間に変更するには、フィールドをクリックして時間を選択します。
  5. x 個のデバイスで実行をクリックします。

リクエストが送信され、スクリプトがリクエストされましたイベントがイベント履歴に記録されます。アクションリクエストでスクリプトの実行リクエストの進捗を追跡できます。

リクエストは、Absolute モニタリングセンターへの次回の正常な接続時に各デバイスに展開されます。これは、デバイスがオンラインであると仮定して、Absolute Resilience アカウントでは数分以内、Absolute Control アカウントでは 15 分以内に発生します。リクエストにデュアル認証が必要な場合、リクエストはアクションリクエストの承認保留中セクションに残ります。リクエストが承認されるまで、このアクションはデバイスに送信されません。デバイスがリクエストを受け取ると、リクエストはデバイスのジョブキューに入ります。アクションリクエストでは、デバイスのアクションステータスが「処理中」に設定されます。

スクリプトがデバイス上で実行されたら、アクションステータスは「成功」に設定されます。不適格であったり最大実行時間を超過しているなど、スクリプトが何らかの理由で実行されなかった場合、アクションステータスは「失敗」に設定され、理由がアクション > ステータス詳細に表示されます。

スクリプト実行リクエストを作成した後にそのリクエストをキャンセルする必要がある場合、リクエストがまだ保留中であれば、デバイスでリクエストのキャンセルを試みることができます。

  • 単独のデバイスで保留中のすべてのスクリプト実行リクエストをキャンセルするには、デバイスのデバイス詳細ページに移動します。もっと見る
  • 1つ以上のデバイスで保留中の単独のリクエストをキャンセルするには、アクションリクエストに移動します。もっと見る