Password Manager Pro スタートアップガイド

著作権について本ガイドの著作権はゾーホージャパン株式会社が所有しています注意事項本ガイドの内容は改良のため予告なく変更することがありますゾーホージャパン株式会社は本ガイドに関しての一切の責任を負いかねます当社はこのガイドを使用することにより引き起こされた偶発的もしくは間接的な損害についても責任を負いかねます商標一覧 Cisco は, 米国 Cisco Systems, Inc. の米国および他の国々における登録商標です Linux は Linus Torvalds の登録商標です Oracle と Java は Oracle Corporation 及びその子会社関連会社の米国及びその他の国における登録商標です文中の社名商品名等は各社の商標または登録商標である場合があります Windows は, 米国およびその他の国における米国 Microsoft Corp. の登録商標です ManageEngine は ZOHO Corporation 社の登録商標ですなお本ガイドでは (R) TM 表記を省略しています 2

目次 1 はじめに... 6 1.1 本ガイドについて... 6 1.2 対象読者... 6 1.3 本ガイドの見方... 6 2 Password Manager Pro について... 7 3 利用前提条件... 7 4 システム要件... 8 4.1 サポート対象リソースについて... 8 5 インストール... 8 6 起動と停止... 8 6.1 Windows 版... 8 6.2 Linux 版... 9 7 各画面の説明... 10 7.1 ログイン画面... 10 7.2 ホーム画面 ( 初回ログイン時 )... 10 7.3 リソース画面... 11 7.4 リソースグループ画面... 11 7.5 リモート接続画面... 11 7.6 ユーザー画面... 12 7.7 管理画面... 12 7.8 監査画面... 12 7.9 レポート画面... 13 7.10 パーソナル画面... 13 7.11 リンク画面... 13 7.12 権限毎の表示可能なタブ... 14 8 Password Manager Pro への接続... 15 8.1 Password Manager Pro 管理画面の表示... 15 8.2 CA 機関に承認された証明書の設定... 15 8.3 初回ログイン... 15 3

9 初期設定項目... 16 9.1 メールサーバーの設定... 16 9.2 Password Manager Pro を使用するユーザーを設定... 16 9.3 パスワードを管理するリソースを設定... 17 9.4 ディザスタリカバリのセットアップ... 17 9.5 ライセンスの適用... 17 9.6 暗号化鍵バックアップファイル設定... 17 9.7 PMP ログインユーザーの追加... 18 10 PMP ログインユーザーの追加... 19 10.1 パスワードポリシーの追加... 19 10.2 PMP ログインユーザーの追加 ( 手動で追加 )... 20 10.3 PMP ログインユーザーの追加 (AD 連携 )... 21 11 リソースアカウントの追加... 23 11.1 リソースの追加... 23 11.2 リソースのアカウントの追加... 25 11.3 PMP ユーザーにパスワードを共有... 26 11.4 PMP ユーザーにリソースを共有... 27 11.5 PMP ユーザーにリソースグループを共有... 27 11.6 ドメインアカウントの共有利用... 28 12 アクセス制御... 31 12.1 アクセス制御の設定... 31 12.2 アクセス管理 ( ワークフロー機能 )... 33 12.3 アクセス制御 ( 備考 )... 38 13 踏み台サーバーとしての機能... 39 13.1 踏み台機能について... 39 13.2 自動ログオンゲートウェイについて... 39 13.3 PMP からの RDP 利用のための事前準備... 40 13.4 セッション記録の参考事例... 41 13.5 セッション記録を管理者側で参照する... 42 13.6 ワンクリック自動ログオンについて... 43 13.7 HA 構成のセットアップ... 44 13.8 パスワードのエクスポートスケジュール設定... 44 13.9 2 段階認証の設定... 44 4

13.10 チケット連携システムの設定... 45 5

1 はじめに 1.1 本ガイドについて本ガイドは Password Manager Pro のインストール方法から初期設定の内容について説明しています 1.2 対象読者本ガイドはネットワーク運用担当者及びシステム管理者を対象としています 1.3 本ガイドの見方本ガイドでは文字の書体を次のように区別して記載しています表 1 文字の書体について字体または記号 AaBbCc123 AaBbCc123 説明例ファイル名ディレクトリ名 ManageEngine_PasswordManagerPro.exe 画面上の出力を示します実行してくださいユーザーが入力する文字を # su 画面上のコンピューター出力 password: と区別して示します AaBbCc123 変数を示します実際に使用 PMP_Home/bin する特定の名前または値で置き換えます参照する章節を示します 1 はじめにを参照してください [] ボタンやメニュー名強調す [ホーム]タブ画面る単語を示します 6 を

2 Password Manager Pro について ManageEngine Password Manager Pro マネージエンジンパスワードマネージャープロは必要な時だけ必要な人だけが使える特権 ID のパスワードの申請/承認/貸出/返却のワークフロー自動化オペレーター操作画面録画パスワード定期変更が可能です図 1 Password Manager Pro 全体像 3 利用前提条件本製品のインストール可能な環境は Windows / Linux です (Linux に本製品をインストールした場合には Windows OS のリモートパスワード変更は実施できません ) ブラウザのポップアップブロックを解除する必要があります Internet Explorer バージョン 11 は利用可能ですが互換表示を有効にする必要がありますリモートアクセスを実施するには CA 署名付き SSL 証明書を組み込み設定する必要があります Google Chrome, Mozilla FireFox は上記の問題無く利用可能です (但し CA 署名付き SSL 証明書の組み込み設定をしない限りログイン時にはセッション毎に信頼できない証明書を手動で承認する必要があります ) 7

4 システム要件 4.1 サポート対象リソースについてサポート対象 OS は製品詳細ページでご案内しています以下の URL をご参照ください https://www.manageengine.jp/products/password_manager_pro/system-requirements.html 5 インストールインストール手順は以下の URL で案内していますのでご参照ください https://www.manageengine.jp/support/kb/password_manager_pro/?p=37 Password Manager Pro にて使用するポート番号は以下の URL でご案内していますのでご参照ください https://www.manageengine.jp/support/kb/password_manager_pro/?p=24 ビルド 9.4 以降評価版インストール後に SSL 証明書 SSH 鍵の管理製品 ManageEngine Key Manager Plus の機能が自動的に表示されますただし Key Manager Plus は日本法人で販売していない製品となりますそのため以下の URL に従って Key Manager Plus の機能を無効にご設定下さい https://www.manageengine.jp/support/kb/password_manager_pro/?p=2701 6 起動と停止 6.1 Windows 版 (1) スタートメニューを使用する場合スタートプログラム Password Manager Pro から以下の操作が可能です PMP サービスの開始 PMP サービスの停止トレイアイコンの起動ヘルプドキュメントの表示製品のアンインストール (2) トレイアイコンを使用 PMP をインストールするとタスクバーのタスクトレイに PMP のアイコンが常駐しますトレイアイコンを右クリックするとメニューが表示され以下の操作が可能です PMP サービスの開始 8

PMP サービスの停止 PMP Web コンソール 6.2 Linux 版 (1) スタートアップサービスとして登録する手順 (2) root ユーザーとしてログインします (3) ターミナルを開き [PMP_Home]/bin ディレクトリに移動します (4) コマンド "sh pmp.sh install" を実行します (Ubuntu の場合 "bash pmp.sh install" を実行します ) (5) 製品をアンインストールする場合は "sh pmp.sh remove" を実行します (6) Linux で PMP をサービスとして起動する 1. root ユーザーとしてログインします 2. コマンド /etc/rc.d/init.d/pmp-service start を実行します 3. PMP サーバーがバックグラウンドでサービスとして起動します (7) Linux で動作中の PMP サービスを停止する root ユーザーでコマンド /etc/rc.d/init.d/pmp-service stop を実行します 9

7 各画面の説明 7.1 ログイン画面ログイン画面下にある言語を選択するとその言語を利用することが可能です図 2 ホーム画面 7.2 ホーム画面(初回ログイン時) 初回ログイン時には初期設定が必要な内容を記載しています図 3 ホーム画面 10

7.3 リソース画面リソース画面でパスワード管理対象のリソースやアカウントの登録を行います図 4 リソース画面 7.4 リソースグループ画面グループ画面ではリソースグループごとにリソースを確認可能です図 5 リソースグループ画面 7.5 リモート接続画面接続画面ではリモート接続方法別にリソースを確認可能です図 6 リモート接続画面 11

7.6 ユーザー画面ユーザー画面で PMP を利用するユーザーを登録します図 7 ユーザー画面 7.7 管理画面 Password Manager Pro の各種設定が可能です図 8 管理画面 7.8 監査画面 Password Manager Pro 内でのパスワード取得や申請ログインなどの履歴が参照可能です図 9 監査画面 12

7.9 レポート画面各種レポートの参照が可能です図 10 レポート画面 7.10 パーソナル画面 [管理] > [一般設定] > 個人用パスワードのチェックをオフにするとパーソナルタブは表示しなくなります図 11 パーソナル画面 7.11 リンク画面頻繁に使用する機能をリンクとして追加しています図 12 リンク画面 13

7.12 権限毎の表示可能なタブ表 2 権限毎の表示可能なタブパスワード権限管理者パスワード管理者ダッシュボードリソースリソースグループリモート接続ユーザー管理監査レポートパーソナルリンク 14 監査担当者パスワードユーザー

8 Password Manager Pro への接続 8.1 Password Manager Pro 管理画面の表示 [PMP]\conf の server.conf の中に記載されているホスト名を確認してください URL はホスト名を指定してください (PMP をインストールしたサーバー上のブラウザから接続する場合でもホスト名を指定し localhost としないでください) 正式な証明書を設定するとこの画面は表示されません正式な証明書を使用しない場合には内部的に生成した証明書を使って SSL の設定がされます公的 CA 機関に承認されたものではないためブ図 13 SSL 証明書の警告メッセージ画面 8.2 CA 機関に承認された証明書の設定ユーザー様が CA 機関から取得された正式な SSL 証明書を本製品に組み込んで利用いただくことも可能です手順は以下の URL でご紹介しております <自社で取得した正式 SSL 証明書を組み込む手順> https://www.manageengine.jp/support/kb/password_manager_pro/?p=66 8.3 初回ログインデフォルトの PMP ログインアカウントは以下となります初回ログイン時にパスワードを変更してくださいデフォルトのユーザー名とパスワードは admin となります 15

9 初期設定項目 Password Manager Pro をインストール後に必要な設定項目を説明します 9.1 メールサーバーの設定 Password Manager Pro からメール通知を送信するために使用する SMTP サーバーを設定します [管理]タブ > [メールサーバー設定]より送信メールサーバーを指定してください図 14 SMTP サーバー設定画面 9.2 Password Manager Pro を使用するユーザーを設定 (本資料での解説対象外となります ) 既定の 'admin' ユーザーのパスワードを変更するかあるいは他の管理ユーザーアカウント追加後に削除します手動でユーザーを追加あるいは Active Directory LDAP ディレクトリ CSV ファイルからユーザー情報をインポートします Password Manager Pro ユーザーに適切なアクセス役割とパスワードポリシーを指定します一括操作を容易にするためユーザーをグループ化します LDAP またはローカルに認証方法をセットアップします 16

9.3 パスワードを管理するリソースを設定 (本資料での解説対象外となります ) 必要に応じリソースとユーザーアカウントに追加フィールドを追加します強力なパスワードパスワード経過期間パスワード再利用のコントロールを実施するためパスワードポリシーを設定します手動でリソースを追加あるいはユーザーアカウントとパスワードの情報を CSV ファイルからインポートしますリソースをグループ化し定期的なパスワードリセットやパスワードイベントの処理を行うアクションを設定します他の Password Manager Pro ユーザーやユーザーグループにリソースグループやパスワードを共有します所有するあるいは共有されたパスワードへアクセスし変更を行います 9.4 ディザスタリカバリのセットアップ Password Manager Pro データベースのすべての内容をバックアップするためにデータベースバックアップのスケジュールを設定します 9.5 ライセンスの適用管理者ユーザーでログイン後画面右上のアイコンよりライセンスをクリックしますライセンスファイルを選択し [アップグレード]をクリックします以上でライセンスが適用されますサービスの再起動は必要ありません 9.6 暗号化鍵バックアップファイル設定ライセンスファイルの適用後に暗号化鍵の設定を求められた場合は以下の操作を行ないます本画面が表示されましたら [PMP_HOME]/conf 配下の pmp_key.key の配置場所を変更してください配置場所を変更後 pmp_key.key のデフォルトのフォルダのパス値(C:\ManageEngine\PMP\conf)を移動設定したフォルダに変更してください図 15 暗号化鍵の保存設定 17

9.7 PMP ログインユーザーの追加 Password Manager Pro のログインユーザーを追加しますユーザー権限毎に利用可能な機能を制限しています表 3-ユーザー権限一覧権限管理者ユーザーリソースパスワードパスワード監査レポート管理管理管理参照参照〇〇〇〇〇〇〇〇 - - 管理者 (承認者) パスワード管理者パスワード利用者ユーザー (申請者) パスワード監査担当者 - - - - 〇 - - - 〇 18 〇

10 PMP ログインユーザーの追加 10.1 パスワードポリシーの追加デフォルトのパスワードポリシーが必要な場合には PMP ログインユーザー追加前に追加設定しておく必要があります (1)[管理]をクリックします (2)[パスワードポリシー]をクリックします (3)[ポリシーを追加]をクリックします図 16 パスワードポリシー追加画面 (4)各項目を設定します図 17 パスワードポリシー追加画面 19

10.2 PMP ログインユーザーの追加(手動で追加) (1) [ユーザー]をクリックします (2)[ユーザー追加]で[手動で追加]をクリックします図 18 ログインユーザー追加画面 (4)名姓ユーザー名を入力し [パスワードポリシー]を運用に合わせて選択します [アクセスレベル]を管理者パスワード管理者監査担当者パスワードユーザーから選択します必要に応じてその他の項目を設定し最後に[保存]をクリックします図 19 ログインユーザー追加画面 20

10.3 PMP ログインユーザーの追加 AD 連携 Active Directory 上のユーザー情報を取り込むことも可能です (1)[管理]をクリックします (2)[Active Directory]をクリックします図 20 ログインユーザーの追加(AD 連携) (3)各項目を設定します図 21 ログインユーザーの追加(AD 連携) (4)[列挙]をクリックして Active Directory からインポートするユーザーを選択します (5)ユーザーへ適切な役割を指定しますデフォルトではインポートしたユーザーはパスワードユーザーへ割当てられます (6)Active Directory 認証やシングルサインオン機能を設定します 21

詳細については以下の URL をご覧ください <PMP へのログイン認証に Active Directory 認証を行う > https://www.manageengine.jp/support/kb/password_manager_pro/?p=688 22

11 リソースアカウントの追加 11.1 リソースの追加 (1)[リソース]をクリックします (2)[リソース追加]をクリックします図 22 リソースの追加 (3) ひとつずつ追加する場合リソースを追加します [リソース名] 表示名 [FQDN/IP アドレス] ホスト名 / IP アドレス [リソース種別] [パスワードポリシー]は最低限設定が必要です図 23 リソースの追加 (4)アカウント(リソース上の特権 ID)を追加しますここで複数のアカウントを追加可能です [ユーザーアカウント] [パスワード] [パスワード確認]は最低限設定が必要です 23

(5)[追加]をクリックすると設定内容が下の一覧に移動します設定後 [完了]をクリックします図 24 リソースの追加-アカウントの追加リソース種別によってリソースの登録の仕方が異なりますリソース種別が Windows の場合は以下の URL をご参照ください <リソースの接続/パスワード変更方法(Windows)> https://www.manageengine.jp/support/kb/password_manager_pro/?p=1368 リソース種別が Linux の場合は以下の URL をご参照ください <利用者が Linux サーバーへ SSH アクセスする場合の手順> https://www.manageengine.jp/support/kb/password_manager_pro/?p=1472 リソース種別が MySQL Server MS SQL Server Oracle DB Serve の場合は以下の URL をご参照ください <DB デバイスの登録方法について> https://www.manageengine.jp/support/kb/password_manager_pro/?p=1478 24

11.2 リソースのアカウントの追加追加済みのリソースにアカウント(特権 ID とは限らず)を追加します (1)[リソース]をクリックします (2)当該リソースをクリックします (3)[追加]をクリックします図 25 アカウントの追加 (4)[ユーザーアカウント] [パスワード] [パスワード確認]は最低限設定が必要です図 26 アカウントの追加 (5)[追加]をクリックすると設定内容が下の一覧に移動します設定後 [保存]をクリックします 25

11.3 PMP ユーザーにパスワードを共有 (1)設定対象のリソースをクリックします (2)当該のユーザーアカウント上の[アカウントアクション]より[ユーザーに共有]をクリックしますユーザーグループごとに共有する場合には [ユーザーグループに共有]をクリックしてください図 27 パスワードの共有 (3)アクセス権限の付与が可能なユーザー一覧が表示されるため [アクセス権の付与]より共有方法を選択して共有します共有方法としてはパスワード利用のみ可能な[パスワードの表示]とパスワード利用変更が可能な[パスワードの変更]があります複数ユーザーに一括でアクセス権限を付与する場合には設定するユーザーのチェックボックスにチェックを入れてユーザー一覧上部の[アクセス権の付与]より設定してください図 28 パスワードの共有 26

11.4 PMP ユーザーにリソースを共有 (1) 設定対象のリソース上の [ リソースアクション ] より [ ユーザーに共有 ] をクリックしますユーザーグループごとに共有する場合には [ ユーザーグループに共有 ] をクリックしてください (2) アクセス権限の付与が可能なユーザー一覧が表示されるため [ アクセス権の付与 ] より共有方法を選択して共有します共有方法としてはパスワード利用のみ可能な [ パスワードの表示 ] とパスワード利用変更が可能な [ パスワードの変更 ] があります複数ユーザーに一括でアクセス権限を付与する場合には設定するユーザーのチェックボックスにチェックを入れてユーザー一覧上部の [ アクセス権の付与 ] より設定してください 11.5 PMP ユーザーにリソースグループを共有 (1) 設定対象のリソースグループの [ アクション ] より [ ユーザーに共有 ] をクリックしますユーザーグループごとに共有する場合には [ ユーザーグループに共有 ] をクリックしてください (2) アクセス権限の付与が可能なユーザー一覧が表示されるため [ アクセス権の付与 ] より共有方法を選択して共有します共有方法としてはパスワード利用のみ可能な [ パスワードの表示 ] とパスワード利用変更が可能な [ パスワードの変更 ] があります複数ユーザーに一括でアクセス権限を付与する場合には設定するユーザーのチェックボックスにチェックを入れてユーザー一覧上部の [ アクセス権の付与 ] より設定してください 27

11.6 ドメインアカウントの共有利用 (1)ドメインコントローラーを追加します [FQDN]には完全修飾ドメイン名または IP アドレスを入力しますリソース種別ドメイン名などを設定します図 29 ドメインアカウントの共有利用 (2)ドメインコントローラーに対して以下のアカウントを追加します *ローカルの administrator *利用するドメインアカウント (ここでドメインアカウントは複数追加可能ですが 1 つのメンバーサーバーで指定できるドメインアカウントは 1 つのみとなります) (3)メンバーサーバーを追加します [FQDN]には完全修飾ドメイン名または IP アドレスを入力しますリソース種別ドメイン名などを設定します (4)メンバーサーバーに対して以下のアカウントを追加します *ローカルの administrator または他のアカウント 28

(5)メンバーサーバーで自動ログオンヘルパーを設定します [リソースアクション]の[パスワード変更用資格情報を設定]をクリックします [自動ログオンヘルパーを設定]で [ドメイン]はドメインコントローラーの登録リソース名になります [ユーザー名]はドメインコントローラーにて追加されたドメインアカウントからいずれかひとつ選択しますパスワードのチェックイン(返却)後にパスワードリセットさせる場合は [Windows パスワード変更用の資格情報を設定]にチェックを入れ当該メンバーサーバーのローカル administrator を設定します図 30 ドメインアカウントの共有利用 (6)パスワードユーザーにドメインアカウントを共有する場合以下のものをそのユーザーに共有します *共有対象ドメインアカウント *そのドメインアカウントで作業する対象のメンバーサーバー 29

(7)自動ログオンヘルパーによりドメインアカウントを選択してメンバーサーバーにアクセスします [接続]の[RDP VNC 接続先]で当該メンバーサーバーをフォーカスしドメインアカウントのリンクをクリックします図 31 ドメインアカウントの共有利用 30

12 アクセス制御 12.1 アクセス制御の設定 (1) 設定対象のリソースの[リソースアクション]より [アクセス制御を設定]をクリックします (2) パスワードのアクセス要求を承認する承認者を設定しますパスワードアクセス要求を承認できる 1 人以上の管理者を選択し [ ]ボタンをクリックして [承認者]に移動しますこの操作をしない場合当該リソース利用に申請は不要です (3) 以下の例を参照しチェックボックスにチェックしてコントロール設定を行います [パスワードアクセスを承認する管理者は 2 人以上必要] 2 人の承認者が必要とする場合 [排他的パスワードアクセスは最大時間後に無効とする] チェックアウト後指定時間のみアクセス可能とする場合 [排他的使用の後パスワードが他のユーザーによってチェックインされる場合にパスワードをリセット] 返却後パスワード変更を実施する場合 [要求の自動承認] 指定した時間であれば承認を不要とする場合図 32 アクセス制御 31

図 33 アクセス制御図 34 アクセス制御 32

図 35 アクセス制御 (4) [保存&アクティブ化]をクリックすることでアクセス制御が実施されます実施しない場合には [非アクティブ化]をクリックします 12.2 アクセス管理ワークフロー機能利用者がパスワードを要求した際に一時的に貸出しを行い返却後はパスワードを自動で変更します図 36 アクセス管理 33

(1) 申請申請者側 1.[リソース]をクリックします 2.[すべての自分のパスワード]をクリックします 3.リソース名をクリックします 4.[要求]をクリックします図 37 アクセス管理 5.任意でコメントを記入し [送信]をクリックします即時承認を求める場合には今を選択します図 38 アクセス管理 34

日時指定して申請する場合には後でを選択します図 39 アクセス管理 6.表示が[承認待ち]に変わります図 40 アクセス管理 (2) 申請通知承認者側 1.ベルアイコンをクリックします 2.[1 パスワードアクセス要求]を選択します図 41 アクセス管理 35

3.[要求]をクリックして作業内容を確認後 [承認]または[拒否]をクリックします図 42 アクセス管理承認申請者側 4.[アクション]で表示が[未使用]となります図 43 アクセス管理 (3) 貸し出し申請者側 1.[リソース]をクリックし [すべての自分のパスワード]を選択します 2.リソースを選択します 3.[チェックアウト]をクリックします図 44 アクセス管理 4.[チェックアウト]をクリックします図 45 アクセス管理 36

5. [チェックアウト]すると当該ユーザーアカウントでリソースにアクセス可能となります [パスワード]で表示が[チェックイン]に変わります図 46 アクセス管理 (4) 利用申請者側 1.[接続をオープン]でマシンアイコンをクリックします 2.[Windows Remote Desktop]をクリックします図 47 アクセス管理 (5) 返却申請者側 1.[パスワード]で [チェックイン]をクリックします図 48 アクセス管理 37

2.[パスワード]で表示が[要求]に変わります図 49 アクセス管理 12.3 アクセス制御備考パスワードユーザー側で貸し出されたパスワードを非表示(アスタリスク列をクリックしてもパスワードを表示しない)にすることも可能です (1)管理者権限でログインし [管理]をクリックします (2)[一般設定]の[パスワード取得]で [自動ログオン設定済みのパスワードをユーザーが取得することを許可]のチェックを外し保存します図 50 アクセス制御 38

13 踏み台サーバーとしての機能 13.1 自動ログオン機能について PMP の自動ログオンゲートウェイ機能を使用することで PMP を踏み台としてサーバーOS やネットワーク機器データベース等に接続することが可能ですまた Web アプリケーションはブラウザの拡張機能を使用することで対象 Web アプリケーションへログオンする際に ID とパスワードが自動入力がされパスワードを参照せずに Web アプリケーションへログオンが可能です表 4 自動ログオン機能機能名実行内容対象リソース録画機能自動ログオンゲートウ RDP, Windows Remote OS, ネットワーク機器, 有りェイ(*) Desktop, Telnet, SSH, VNC, データベース SQL ワンクリック自動ログアカウント/パスワード入力ロオングオン Web アプリケーション (*)HTML5 互換のブラウザの利用が必要 13.2 自動ログオンゲートウェイについて PMP 経由でサーバーへ接続可能です図 51 自動ログオンゲートウェイ 39 無し

RDP や Windows Remote Desktop 接続ではビデオ形式により全ての画面操作を記録し Telnet や SSH SQL ではテキスト形式で操作を記録します Windows OS の場合作業者のローカル端末とリモート接続先の間でファイルの転送が出来ます詳細は以下の URL をご参照ください <ファイル転送機能> https://www.manageengine.jp/support/kb/password_manager_pro/?p=2620 13.3 PMP からの RDP 利用のための事前準備 (管理対象リソースである Windows OS にて) (1)[スタート]メニューで[コンピューター]を右クリックします (2)[プロパティ]を選択し [リモートの設定]をクリックします (3)[システムのプロパティ]画面の[リモート]タブ(デフォルト)に移動します [リモートデスクトップを実行しているコンピューターからの接続を許可する (セキュリティのレベルは低くなります)(L)]が選択されている場合 [PMP_HOME]/conf/gateway.conf credssp=false へ変更します (4) [リソース]タブをクリックします (5)[リモート接続機能について何かお困りですか ]リンクをクリックします (6)[https://ホスト名:7273/rdp.html/locale=ja]リンクをクリックします (7)[このまま続行] をクリックします (8)下記の画面が表示されたら [OK]ボタンをクリックします図 52 RDP 利用の事前準備 40 にて credssp= true を

13.4 セッション記録の参考事例 (1) その１下記の図のように PMP 経由でパスワード管理対象リソースにリモート接続しリモート接続時の操作内容をセッション記録として取得可能です図 53 セッション記録 (2) その 2 Password Manager Pro をインストールした Windows サーバー自体をリソースとして追加した場合下記の方法で接続します 1.リソース名をクリックします 2.[接続をオープン]でマシンアイコンをクリックし RDP 画面を開きます図 54 セッション記録 41

3. RDP 画面は別画面(タブ)で開くので元のタブでは各リソースのパスワードを参照することも可能です図 55 セッション記録 13.5 セッション記録を管理者側で参照する図 56 セッション記録 1.[監査]をクリックします 2.[記録済みセッション]をクリックします 3.[再生]でマシンアイコンをクリックします図 57 セッション記録 42

13.6 ワンクリック自動ログオンについて管理対象リソースが Web アプリケーションの場合 PMP のブラウザの拡張機能を使用することでユーザー名やパスワードを入力することなくアクセスすることが可能です (1)[リソース種別]として Web Site Accounts を選択し接続するリソースの URL を[リソース URL]に入力する図 58 ワンクリック自動ログオン (2)アカウント名とパスワードを入力します (3)ブラウザの拡張機能をご利用いただくブラウザにあわせてインストールします (4)インストール後ブラウザのツールバー内に PMP のアイコンが表示されますので PMP をインストールしているサーバーのホスト名とポート番号を入力し PMP にログオンします (5)ログオン後自動ログオンを行うリソースを選択し [Auto Logon]をクリックすることでアカウントやパスワードを入力することなく Web アプリケーションへ接続しますブラウザ拡張機能の詳細については下記のナレッジをご参照ください <ブラウザ拡張機能について> https://www.manageengine.jp/support/kb/password_manager_pro/?p=1197 43

13.7 HA 構成のセットアップ Password Manager Pro では障害が生じた場合に備えて HA 構成の構築が可能です HA 構成時の動作仕様とセットアップ手順については以下の URL をご参照ください <HA 構成の動作仕様 > https://www.manageengine.jp/support/kb/password_manager_pro/?p=149 <HA 構成のセットアップ > https://www.manageengine.jp/support/kb/password_manager_pro/?p=348 13.8 パスワードのエクスポートスケジュール設定 Password Manager Pro では管理しているパスワードを暗号化し DB へ保管していますが Password Manager Pro が起動しないなど事態に備えて暗号化した HTML ファイルへ定期的にエクスポートすることが可能ですスケジュール設定対象は各リソースグループ単位での設定が可能です < パスワードのエクスポートスケジュール設定 > https://www.manageengine.jp/support/kb/password_manager_pro/?p=1294 13.9 2 段階認証の設定 Password Manager Pro ではさらに高度なセキュリティ実現のため 2 段階認証の利用が可能です現在 Password Manager Pro と連携が可能な 2 段階認証システムを以下に示します 1. PhoneFactor 2. RSA SecurID 3. Google Authenticator 4. RADIUS Authenticator 5. 設定したアドレスにワンタイムパスワードを送信各 2 段階認証の設定手順については以下の URL をご参照ください <2 段階認証の設定 > https://www.manageengine.jp/products/password_manager_pro/help/two-factor-authenti cation.html 44

13.10 チケット連携システムの設定 Password Manager Pro では特権アクセスに関連したサービス要求を自動的に検証するためにチケットシステムと連携する機能を提供しています連携によりユーザーが有効な一意のチケット ID でのみ特権アカウントのパスワードにアクセスできるようになりますチケット連携システムの設定手順については以下の URL をご参照ください < チケット連携システムの設定 > https://www.manageengine.jp/support/kb/password_manager_pro/?p=1056 < サービスデスク製品と特権 ID 管理製品の連携 > http://download.manageengine.jp/password_manager/passwordmanagerpro_servicedesk Plus.pdf 45

製品に関するお問い合わせゾーホージャパン株式会社 ManageEngine&WebNMS 事業部 222-0012 神奈川県横浜市西区みなとみらい三丁目 6 番 1 号みなとみらいセンタービル 13 階 TEL 050-2018-7405 FAX 045-330-4149 E-mail jp-mesales@zohocorp.com ホームページ https://www.manageengine.jp/ 製品ページ https://www.manageengine.jp/products/password_manager_pro/ 46