Reach スクリプトライブラリーを管理する

お客様のユーザー役割に関連付けられている権限と、アカウントに関連付けられているAbsolute 製品ライセンスに応じて、スクリプトライブラリーが利用できない場合があります。

設定エリアにある Absolute Reach® スクリプトライブラリーは、デバイスで実行するカスタム Reach スクリプトのアップロードや管理に使用できます。カスタム Reach スクリプトを作成する際は、スクリプト設定を指定できます。これはスクリプトと一緒に保存され、スクリプトがデバイスで実行されるときに適用されます。

Microsoft によって課されている制限により、Windows 11 SE では PowerShell はサポートされません。Reach 機能は PowerShell を使用するため、Windows 11 SE を実行しているデバイスではサポートされません。

スクリプトライブラリーでカスタム Reach スクリプトを追加、編集または削除するには、ユーザー役割に Reach スクリプトを管理する権限が付与されている必要があります。スクリプトがアクションルールで参照されている場合、ユーザー役割にルールの管理権限も付与されている必要があります。システム管理者とセキュリティ管理者の役割には、これらの権限がデフォルトで付与されています。

Reach スクリプトライブラリーで Reach スクリプトを確認するには、ユーザー役割に Reach スクリプトを表示する権限が割り当てられている必要があります。デフォルトでは、すべての管理者役割とセキュリティパワーユーザーの役割にこの権限が付与されています。

スクリプトライブラリーでは Absolute Reach スクリプトとカスタム Reach スクリプトに関する情報を表示できます。また、Reach スクリプトに含まれる PowerShell スクリプトと Bash スクリプトのプレビューを表示したり、PowerShell スクリプトの署名を表示したりできます。

スクリプトを表示するには:

  1. Reach スクリプトを管理する権限を持つユーザーとして、Secure Endpoint Console へログインします。
  2. ナビゲーションバーで 設定 > スクリプトライブラリーをクリックします。

  3. 表示したいスクリプトの背景をクリックします。スクリプトを検索するには、名前または説明のすべてまたは一部を検索フィールドに入力します。入力に合わせて、検索結果が動的に更新されます。Absolute または カスタムを選択して、検索結果を絞り込みます。作業エリアの右側でスクリプトの概要が開き、以下の情報が表示されます。

    • スクリプト名
    • スクリプトの作成者
    • サポートされるプラットフォーム
    • スクリプトの説明 (あれば)

    • スクリプトを使用するアクションルール (該当する場合)

      ルール名をクリックすると、ルールの詳細が表示されます。

      アクションルールによって使用されているカスタムスクリプトを削除すると、ルールが無効化されます。

    • スクリプトを表示リンク
    • スクリプトの変数
    • 詳細設定オプション

  4. スクリプトを表示をクリックします。

    スクリプトのプレビューが開きます。

  5. PowerShell スクリプトの署名を表示するには、署名セクションで表示をクリックします。
  6. プレビューを閉じるには、 (閉じる) をクリックします。

  7. スクリプトの概要を閉じるには、 をクリックします。

新しいカスタム Reach スクリプトを作成するには、スクリプトに名前と説明を付け、PowerShell スクリプト、Bash スクリプト、またはその両方をカスタム Reach スクリプトにアップロードし、スクリプトの実行に必要な設定を行います。

カスタム Reach スクリプトを作成するには:

  1. Reach スクリプトを管理する権限を持つユーザーとして、Secure Endpoint Console へログインします。
  2. ナビゲーションバーで 設定 > スクリプトライブラリーをクリックします。
  3. クイックアクセスツールバーで、スクリプトを作成をクリックします。

  4. スクリプト名をクリックし、スクリプトを識別しやすいわかりやすいタイトルを入力します。

    スクリプトの名前を更新しないと、そのスクリプトはカスタムスクリプト - <日付>と呼ばれます。

  5. [オプション] 説明を入力します。

    説明は最大 255 文字とすることができます。

  6. スクリプトが以下の要件およびベストプラクティスを満たしていることを確認します。

    • スクリプトが以下のいずれかの形式であること:

      • PowerShell script (.ps1): Windows デバイス

        スクリプトに Unicode 文字が含まれる場合、UTF-8 エンコードを使用して Byte Order Mark (BOM) を含めます。

        すべての PowerShell スクリプトが BOM 付きの UTF-8 エンコードを使用することを推奨します。

      • Bash スクリプト (.sh): Mac デバイス
    • スクリプトのサイズが 1468 KB を超えないこと

    以下の手順により、Absolute Reach を使用してデバイス群にスクリプトを展開する前に、Reach スクリプトが所望の結果を生成することを確認することができます。

    • 問題が発生した場合は、PowerShell および Bash スクリプトにエラー対応を追加して問題を解決します。スクリプトのリターンコードは、アクションリクエストイベント履歴に表示されます。
    • PowerShell スクリプトをアップロードする前に、Absolute スキーマに関するPowerShell ガイドラインを確認してください。
    • Secure Endpoint Console で、スクリプトを実行オプションを使用して、数台のテストデバイスでスクリプトを展開し、結果を観察します。

  7. アップロードするスクリプトファイルの種類に応じて、以下のいずれかまたは両方を実行します。

    1. Windows デバイスの下で、PowerShell スクリプトをアップロードをクリックし、アップロードしたい PowerShell スクリプトファイル (.ps1) の場所に移動して開くをクリックします。

      スクリプトに署名されていない場合、Absolute がスクリプトに署名するというメッセージが表示されます。

      スクリプトが署名されている場合、署名フォーマットが検証されます。フォーマットが無効な署名である場合、エラーメッセージが表示されます。署名を確認し、スクリプトを再アップロードしてください。スクリプトがスクリプト実行リクエストで使用されるとき、その署名が検証されます。

    2. スクリプトに解析されたパラメーターが含まれる場合、スクリプト変数セクションには、スクリプトの実行ウィザード上でユーザー入力フィールドとして利用可能なパラメーターが表示されます。フィールドラベルとヘルプテキストを見直して、想定通り表示されることを確認します。

    3. スクリプトをデバイスで実行するときに 1 つ以上のコマンドラインパラメーターを指定したい場合、PowerShell のパラメーターフィールドに入力します。

      スクリプトを実行するために使用されるデフォルトパラメーターは、このフィールドの上部に表示されます。指定した PowerShell パラメーターは、デフォルトパラメーターよりも優先されます。

      このフィールドでは、構文の正しさは検証されません。パラメーターは正しく入力してください。

    4. PowerShell スクリプトの詳細設定オプションを設定するには:これらの設定はスクリプトと一緒に保存され、スクリプトがデバイスで実行されるときに適用されます。

      設定 オプション
      権限

      次のいずれかのオプションを選択します。

      • システムアカウント権限で実行: ローカルなシステムアカウントに関連付けられている権限を使用して、スクリプトを実行します。

        PowerShell スクリプトが Absolute .dll ファイルを参照している場合、必ずこのオプションを選択してください。システムアカウント以外にはこれらのファイルにアクセスする権限がないためです。

      • ログインユーザーの権限で実行: スクリプトをログインユーザーの権限で実行します。

        PowerShell スクリプトがデバイスのユーザーデータまたはデバイスユーザーからの情報 (ライセンス契約書への承認など) へのアクセスを要求する場合、必ずこのオプションを選択してください。
      ディスプレイモード

      次のいずれかのオプションを選択します (利用可能な場合)。

      • 非表示: スクリプトをバックグラウンドで実行するため、ユーザーには表示されません。
      • 最大化: デバイス上で Windows PowerShell ダイアログを表示します。
      • 最小化: Windows PowerShell ダイアログを Windows タスクバーに最小化します。
      実行条件

      次のいずれかのオプションを選択します。

      • サインイン中のユーザーなし: ログイン中のユーザーがいない場合のみスクリプトを実行します。
      • ユーザーのサインインを問わない: ユーザーがログイン中かどうかを問わず、スクリプトを実行します。
      • ユーザーがサインイン中: ユーザーがログイン中の場合のみスクリプトを実行します。
      最大実行時間

      終了するまでにスクリプトを実行できる最大分数 (または時間) を指定します。デフォルト設定は 120 分ですが、1 分から 24 時間の間の任意の値に対応しています。

      設定を変更するには、このフィールドに数字を入力します。単位時間を時間に変更するには、フィールドをクリックして時間を選択します。
      32-bit バージョンを実行 PowerShell の 32-bit バージョンを使用して 64-bit Windows デバイスでスクリプトを実行する場合は、このチェックボックスを選択します。チェックボックスを選択しないでおくと、これらのデバイスでスクリプトを実行するには PowerShell の 64-bit バージョンが使用されます。
    1. Mac デバイスの下で、Bash スクリプトをアップロードをクリックし、アップロードしたい Bash スクリプトファイル (.sh) の場所に移動して開くをクリックします。

    2. スクリプトをデバイスで実行するときに 1 つ以上のコマンドラインパラメーターを指定したい場合、Bash のパラメーターフィールドに入力します。

      スクリプトを実行するために使用されるデフォルトパラメーターは、このフィールドの上部に表示されます。指定した Bash パラメーターは、デフォルトパラメーターよりも優先されます。

      このフィールドでは、構文の正しさは検証されません。パラメーターは正しく入力してください。

    3. Bash スクリプトの詳細設定オプションを設定するには:これらの設定はスクリプトと一緒に保存され、スクリプトがデバイスで実行されるときに適用されます。

      設定 オプション
      権限

      次のいずれかのオプションを選択します。

      • システムアカウント権限で実行: ローカルなシステムアカウントに関連付けられている権限を使用して、スクリプトを実行します。
      • ログインユーザーの権限で実行: スクリプトをログインユーザーの権限で実行します。
      ディスプレイモード このフィールドは Bash スクリプトでは利用できません
      実行条件 このフィールドは Bash スクリプトでは利用できません
      最大実行時間

      終了するまでにスクリプトを実行できる最大分数 (または時間) を指定します。デフォルト設定は 120 分ですが、1 分から 24 時間の間の任意の値に対応しています。

      設定を変更するには、このフィールドに数字を入力します。単位時間を時間に変更するには、フィールドをクリックして時間を選択します。
  8. 保存をクリックします。

カスタム Reach スクリプトが Reach スクリプトライブラリーに追加されます。スクリプトに PowerShell スクリプトファイルと Bash スクリプトファイルの両方が含まれる場合、それらはまとめてカスタム Reach スクリプトに保存されます。「スクリプトが作成されました」イベントがイベント履歴に記録されます。

すべてのスクリプト設定が、スクリプトと共にデフォルト値として保存されます。PowerShell パラメーターまたは Bash パラメーターを入力すると、それらもデフォルトとして保存されます。

以下のカスタム Reach スクリプトのプロパティを更新できます。

  • スクリプト名
  • 説明
  • PowerShell および Bash のパラメーター
  • 詳細設定オプション

また、PowerShell または Bash スクリプトを新しいスクリプトファイルと交換したり、カスタム Reach スクリプトに 1 種類のスクリプトのみが含まれる場合、別のスクリプトを追加することもできます。

カスタム Reach スクリプトのプロパティを編集するには:

  1. Reach スクリプトを管理する権限を持つユーザーとして、Secure Endpoint Console へログインします。

    アクションルールによって使用されているカスタムスクリプトを編集するには、ルールの管理権限も必要になります。

  2. ナビゲーションバーで 設定 > スクリプトライブラリーをクリックします。
  3. 名前または説明のすべてまたは一部を検索フィールドに入力して、スクリプトを検索します。入力に合わせて、検索結果が動的に更新されます。カスタムをクリックして、検索結果を絞り込みます。

  4. スクリプトの行にカーソルを合わせ、クイックアクションバーが表示されたら (編集) をクリックします。

    スクリプトの概要で編集をクリックしてスクリプトを編集することもできます。

  5. 以下の1つを実行します:

    • スクリプトの編集ダイアログが開いた場合、スクリプトはアクションルールによって使用されているため、スクリプトを編集するルールを管理する権限がユーザー役割に付与されている必要があります。スクリプトの編集ダイアログで、以下のいずれかを実行します。

      • 必要な権限が付与されている場合は、以下のいずれかを実行します。

        • スクリプトを編集するには、続行をクリックします。

          このタスクの後半で、ルールを再度有効にする前に、見直しのためにルールと編集したスクリプトを無効化するオプションがあります。

        • このスクリプトは変更せず、スクリプトのコピーを作成して編集を加えるには、コピーを作成をクリックします。

      • 必要な権限が付与されていない場合は、以下のいずれかを実行します。

        • スクリプトのコピーを作成して編集を加えるには、コピーを作成をクリックします。

        • ダイアログを閉じてスクリプトライブラリーに戻るには、 をクリックします。

    • スクリプトの編集ダイアログが開かなかった場合、スクリプトはアクションルールによって使用されていません。次のステップに進みます。

  6. スクリプト名または説明を更新するには、そのフィールドをクリックして編集します。

  7. スクリプトの PowerShell パラメーターまたはBash パラメーターを編集するには、フィールドをクリックしてテキストを編集します。

    これらのフィールドでは、構文の正しさは検証されません。パラメーターは正しく入力してください。

  8. 詳細設定オプションを編集するには、必要に応じて各設定を編集します。

    設定 オプション
    権限

    次のいずれかのオプションを選択します。

    • システムアカウント権限で実行: ローカルなシステムアカウントに関連付けられている権限を使用して、スクリプトを実行します。

      PowerShell スクリプトが Absolute .dll ファイルを参照している場合、必ずこのオプションを選択してください。システムアカウント以外にはこれらのファイルにアクセスする権限がないためです。

    • ログインユーザーの権限で実行: スクリプトをログインユーザーの権限で実行します。

      PowerShell スクリプトがデバイスのユーザーデータまたはデバイスユーザーからの情報 (ライセンス契約書への承認など) へのアクセスを要求する場合、必ずこのオプションを選択してください。
    ディスプレイモード

    次のいずれかのオプションを選択します (利用可能な場合)。

    • 非表示: スクリプトをバックグラウンドで実行するため、ユーザーには表示されません。
    • 最大化: デバイス上で Windows PowerShell ダイアログを表示します。
    • 最小化: Windows PowerShell ダイアログを Windows タスクバーに最小化します。
    実行条件

    次のいずれかのオプションを選択します。

    • サインイン中のユーザーなし: ログイン中のユーザーがいない場合のみスクリプトを実行します。
    • ユーザーのサインインを問わない: ユーザーがログイン中かどうかを問わず、スクリプトを実行します。
    • ユーザーがサインイン中: ユーザーがログイン中の場合のみスクリプトを実行します。
    最大実行時間

    終了するまでにスクリプトを実行できる最大分数 (または時間) を指定します。デフォルト設定は 120 分ですが、1 分から 24 時間の間の任意の値に対応しています。

    設定を変更するには、このフィールドに数字を入力します。単位時間を時間に変更するには、フィールドをクリックして時間を選択します。
    32-bit バージョンを実行 PowerShell の 32-bit バージョンを使用して 64-bit Windows デバイスでスクリプトを実行する場合は、このチェックボックスを選択します。チェックボックスを選択しないでおくと、これらのデバイスでスクリプトを実行するには PowerShell の 64-bit バージョンが使用されます。
    設定 オプション
    権限

    次のいずれかのオプションを選択します。

    • システムアカウント権限で実行: ローカルなシステムアカウントに関連付けられている権限を使用して、スクリプトを実行します。
    • ログインユーザーの権限で実行: スクリプトをログインユーザーの権限で実行します。
    ディスプレイモード このフィールドは Bash スクリプトでは利用できません
    実行条件 このフィールドは Bash スクリプトでは利用できません
    最大実行時間

    終了するまでにスクリプトを実行できる最大分数 (または時間) を指定します。デフォルト設定は 120 分ですが、1 分から 24 時間の間の任意の値に対応しています。

    設定を変更するには、このフィールドに数字を入力します。単位時間を時間に変更するには、フィールドをクリックして時間を選択します。
  9. 1 つ以上のアクションルールによって参照されているスクリプトを編集していて、ルール設定の文脈内で新しいスクリプトの見直し中にルールを無効化したい場合、このスクリプトに関連付けられているルールを無効にするの隣にあるチェックボックスを選択します。見直しが完了したら、ルールを再有効化できます。
  10. 保存をクリックします。

スクリプトが更新され、「スクリプトが作成されました」イベントがイベント履歴に記録されます。

すべてのスクリプト設定が、スクリプトと共にデフォルト値として保存されます。パラメーターを入力すると、それらもデフォルトとして保存されます。

カスタム Reach スクリプト内の PowerShell または Bash スクリプトを直接編集することはできません。その代わりに、スクリプトの本文をコピーしてローカルマシン上で変更を行い、その後編集したスクリプトをアップロードする必要があります。署名した PowerShell スクリプトを変更する場合、変更時に必ずスクリプトに再署名してください。署名を更新しなかった場合、フォーマットが有効なためスクリプトは正常にアップロードできますが、署名検証を有効にした状態でスクリプト実行リクエストでスクリプトを使用すると、署名検証が失敗し、スクリプトがデバイスで実行されません。

PowerShell または Bash スクリプトを追加または置き換えるには

  1. Reach スクリプトを管理する権限を持つユーザーとして、Secure Endpoint Console へログインします。

    アクションルールによって使用されているカスタムスクリプトを編集するには、ルールの管理権限も必要になります。

  2. ナビゲーションバーで 設定 > スクリプトライブラリーをクリックします。
  3. 名前または説明のすべてまたは一部を検索フィールドに入力して、スクリプトを検索します。入力に合わせて、検索結果が動的に更新されます。カスタムをクリックして、検索結果を絞り込みます。

  4. スクリプトの行にカーソルを合わせ、クイックアクションバーが表示されたら (編集) をクリックします。

    スクリプトの概要で編集をクリックしてスクリプトを編集することもできます。

  5. 以下の1つを実行します:

    • スクリプトの編集ダイアログが開いた場合、スクリプトはアクションルールによって使用されているため、スクリプトを編集するルールを管理する権限がユーザー役割に付与されている必要があります。スクリプトの編集ダイアログで、以下のいずれかを実行します。

      • 必要な権限が付与されている場合は、以下のいずれかを実行します。

        • スクリプトを編集するには、続行をクリックします。

          このタスクの後半で、ルールを再度有効にする前に、見直しのためにルールと編集したスクリプトを無効化するオプションがあります。

        • このスクリプトは変更せず、スクリプトのコピーを作成して編集を加えるには、コピーを作成をクリックします。

      • 必要な権限が付与されていない場合は、以下のいずれかを実行します。

        • スクリプトのコピーを作成して編集を加えるには、コピーを作成をクリックします。

        • ダイアログを閉じてスクリプトライブラリーに戻るには、 をクリックします。

    • スクリプトの編集ダイアログが開かなかった場合、スクリプトはアクションルールによって使用されていません。次のステップに進みます。

  6. [スクリプトの更新のみ] スクリプトを表示をクリックします。
  7. [スクリプトの更新のみ] スクリプトの本文をコピーし、NotePad++ などのテキストエディターに貼り付けます。
  8. [スクリプトの更新のみ] スクリプトに変更を加え、ローカルコンピューター上の場所に保存します。
  9. [PowerShell スクリプトの更新のみ] スクリプトに署名する場合、再署名します。
  10. <script format> スクリプトをアップロードをクリックして PowerShell または Bash スクリプトをアップロードし、必要な設定を行います。
  11. 1 つ以上のアクションルールによって参照されているスクリプトを編集していて、ルール設定の文脈内で新しいスクリプトの見直し中にルールを無効化したい場合、このスクリプトに関連付けられているルールを無効にするの隣にあるチェックボックスを選択します。見直しが完了したら、ルールを再有効化できます。
  12. 保存をクリックします。

スクリプトが更新され、「スクリプトが作成されました」イベントがイベント履歴に記録されます。

すべてのスクリプト設定が、スクリプトと共にデフォルト値として保存されます。パラメーターを入力すると、それらもデフォルトとして保存されます。

Secure Endpoint Console から実行できるスクリプトが必要なくなった場合、Reach スクリプトライブラリーからカスタム Reach スクリプトを削除できます。

スクリプトを削除しても、保留中のスクリプトの実行リクエストは影響を受けないことに注意してください。これらのリクエストは予定通り実施されます。

アクションルールによって使用されているカスタムスクリプトを削除する場合:

  • ルールが非アクティブ化され、「ルールが更新されました」イベントがイベント履歴に記録されます。
  • ポリシー > ルールエリアで、ルールに アイコンが表示され、ルールで使用される項目が削除されたことを示します。ルールを編集し、削除したスクリプトを別のスクリプトに置き換えます。

スクリプトを削除するには:

  1. Reach スクリプトを管理する権限を持つユーザーとして、Secure Endpoint Console へログインします。

    アクションルールによって使用されているカスタムスクリプトを削除するには、ルールの管理権限も必要になります。

  2. ナビゲーションバーで 設定 > スクリプトライブラリーをクリックします。
  3. 名前または説明のすべてまたは一部を検索フィールドに入力して、スクリプトを検索します。入力に合わせて、検索結果が動的に更新されます。カスタムをクリックして、検索結果を絞り込みます。

  4. スクリプトの行にカーソルを合わせ、クイックアクションバーが表示されたら (削除) をクリックします。

    スクリプトの概要で をクリックしてスクリプトを削除することもできます。

  5. OKをクリックします。

スクリプトがスクリプトライブラリーから削除され、「スクリプトが削除されました」イベントがイベント履歴に記録されます。