Reach スクリプトライブラリーの紹介
お客様のユーザー役割に関連付けられている権限と、アカウントに関連付けられているAbsolute 製品ライセンスに応じて、スクリプトライブラリーが利用できない場合があります。
Reach® スクリプトライブラリーは、一般的なデバイス管理タスクを実施するためにデバイスで実行可能な Absolute Reach スクリプトとカスタム Reach スクリプトを集めたものです。認定ユーザーは、スクリプト実行リクエストを作成し、1 台以上の Windows または Mac デバイス上で実行するための Reach スクリプトをライブラリーから選択できます。スクリプトライブラリーには Absolute Reach スクリプトとカスタム Reach スクリプトがあります。相互運用性を高め、セキュリティを強化するために、Reach スクリプト内の各 PowerShell スクリプトは署名されています。
Microsoft によって課されている制限により、Windows 11 SE では PowerShell はサポートされません。Reach 機能は PowerShell を使用するため、Windows 11 SE を実行しているデバイスではサポートされません。
Absolute Reach スクリプト
Absolute が提供する Absolute Reach スクリプトは、スクリプトライブラリーに自動的に含まれます。Absolute Reach スクリプトには Absolute のロゴ (
) が付き、Absolute が作成者であることを示します。Absolute Reach スクリプトのみを表示するには、Absoluteをクリックします。Absolute Reach スクリプトをスクリプトライブラリーで表示すると、スクリプト変数エリアが含まれることがあります。認定ユーザーが Absolute スクリプトを使用してスクリプト実行リクエストを作成する際は、スクリプト変数エリアのフィールドに、必須およびオプションのパラメーター値を指定することができます。Absolute Reach スクリプトは編集または削除ができます。
利用可能なスクリプトの完全なリストについては、Absolute Reach データシートを参照してください。
カスタム Reach スクリプト
カスタム Reach スクリプトはユーザーが作成して管理します。カスタム Reach スクリプトにはカスタムアイコン (
) が付き、ユーザーが作成者であることを示します。カスタム Reach スクリプトを作成し、そこに PowerShell または Bash スクリプトをアップロードして、スクリプトライブラリーに直接保存することができます。認定ユーザーがスクリプト実行リクエストを送信するときに、カスタムライブラリに保存を選択した場合も、カスタム Reach スクリプトが作成されます。カスタム Reach スクリプトを作成する際は、スクリプト設定を指定できます。これはスクリプトと一緒に保存され、スクリプトがデバイスで実行されるときに適用されます。カスタム Reach スクリプトのみを表示するには、カスタムをクリックします。カスタム Reach スクリプトは追加、編集、削除が可能です。
スクリプトの署名
Reach スクリプトには、PowerShell スクリプト、Bash スクリプト、または PowerShell と Bash スクリプトの両方を含めることができます。セキュリティを向上し、一部のアンチウイルスプログラムが Windows デバイスでスクリプトの実行をブロックしないようにするため、Reach スクリプトの一部であるすべての PowerShellスクリプトは署名付きとなります。Absolute Reach スクリプトでは、Absolute が PowerShell スクリプトに署名します。カスタム Reach スクリプトでは、お客様がアップロード前に PowerShell スクリプトに署名することができます。アップロード時に署名が見つからなかった場合、Absolute がスクリプトに署名します。
ANS コンポーネント スクリプト実行リクエストが処理されるときに、デバイスでスクリプトを実行する役割を果たす、Secure Endpoint Agent の軽量ソフトウェアコンポーネントです。 がスクリプト実行リクエストを Windows デバイス上で実行し、アカウントのスクリプト署名チェックが有効な場合、ANS コンポーネントが PowerShell スクリプトを実行する前に署名を検証します。検証に失敗した場合、デバイスのスクリプト実行リクエストは失敗します。スクリプト署名チェックはデフォルトで無効化されています。セキュリティを改善するため、スクリプトの検証を有効にすることを強く推奨します。
スクリプト署名チェックが
設定 > 
アクションの優先順位で無効化されていても、スクリプトには署名されます。
ユーザーによるスクリプトへの署名
お使いの Windows デバイスで自分が署名したスクリプトを実行し、スクリプトの署名チェックを有効化している場合、スクリプトをスクリプトの実行リクエストで使用する前に、証明書をデバイスの信頼されたルート証明機関および信頼されたパブリッシャーの証明書ストアに追加していることを確認する必要があります。ANS コンポーネントは証明書ストアを使用して PowerShell スクリプトの署名を検証し、スクリプトが署名された後に改ざんされていないことを確認します。
Absolute によるスクリプトへの署名
お使いの Windows デバイスで Absolute が署名したスクリプトを実行し、スクリプトの署名チェックを有効化している場合、ANS コンポーネントは、デバイスの信頼されたルート証明機関の証明書ストアにルート証明機関のパブリックキーをインポートします。その後、ANS コンポーネントは PowerShell スクリプトの署名を検証し、スクリプトが Absolute によって署名された後に改ざんされていないことを確認します。ANS コンポーネントは、デバイスおよびユーザーポリシーに応じて、スクリプトを実行するか、PowerShell スクリプトから信頼されたパブリッシャーの証明書ストアに証明書をインポートして、スクリプトを実行します。
ANS コンポーネントがアンインストールされている場合、証明書は信頼されたルート証明機関および信頼されたパブリッシャーの証明書ストアから削除されます。
デバイスでスクリプトの署名を検証するには、デバイスが Secure Endpoint Agent バージョン9.0 以降を実行している必要があります。
