McAfee Drive Encryption 7.x マイグレーションガイド (5.x ユーザー向け ) インテルセキュリティ 2015 年 12 月 Revision 1.0 Page 1 of 23
1 はじめに... 3 2 サポート要件... 4 3 セットアップファイルの入手と準備... 4 4 マイグレーション手順... 5 5 テクニカルサポート窓口... 23 6 変更履歴... 23 Page 2 of 23
1 はじめに < 製品略称に関するご案内 > - Endpoint Encryption for PCs: EEPC - Endpoint Encryption Manager: EEM - McAfee Drive Encryption: MDE - epolicy Orchestrator: epo - McAfee Agent: MA この資料では EEPC 5.2.13 から MDE 7.1.3 へマイグレーションする手順についてご案内いたします 尚 構築に際しては 次の点が事前に満たされていなければなりません 1. サーバーに epo がインストールされている 2. 移行対象のクライアントに MA がインストールされ epo サーバーと一度以上通信をしている 注意 MA をインストール後の初回 epo サーバー接続は 社内 LAN 環境から実施するようにしてください 初回 epo サーバー接続時に VPN 環境の場合 下記 KB52949 の問題が発生する場合があり それに起因して KB80361 の問題が発生し MDE の管理に支障を来たすことがあります ( 関連 KB) VPN 経由で epo 4.0/4.5/4.6 と通信するクライアントが epo ツリーで表示されない (KB52949) https://kc.mcafee.com/corporate/index?page=content&id=kb52949&viewlocale=ja_jp&locale=ja_jp KB52949 は epo 製品の仕様のため 不明な点は epo 製品窓口へお問い合わせ下さい システムを epo のシステムツリー上から削除すると アサインしたユーザー情報が削除される (KB80361) https://kc.mcafee.com/corporate/index?page=content&id=kb80361&locale=ja_jp&viewlocale=ja_jp KB80361 は MDE 製品の仕様のため 不明な点は MDE 製品窓口へお問い合わせ下さい 本ガイドでは以下の環境を利用して手順を記載しております - OS: Windows Server 2012 - epo: 5.3.0 - EEM: 5.2.13 - MA: 5.0.1 - MDE: 7.1.3.547 本ガイドでは以下の条件でのマイグレーション手順を記載しております - EEPC 5.2.13 から MDE 7.1.3 へマイグレーションします - MA 5.0.1 がクライアントマシンにインストールされており epo の管理対象として登録されています - epo に登録されているシステム名とクライアントマシンのコンピュータ名が同一です Page 3 of 23
2 OS サポート要件 <OS サポート要件 > - epo サーバー側 : サポート要件は epo に依存します 以下の KB をご参照ください Supported environments for epolicy Orchestrator on Microsoft Windows https://kc.mcafee.com/corporate/index?page=content&id=kb51569&viewlocale=en_us&locale=en_us - MDE クライアントマシン側 : 以下の KB をご参照ください Supported environments for Endpoint Encryption for PC on Microsoft Windows https://kc.mcafee.com/corporate/index?page=content&id=kb79422&viewlocale=ja_jp&locale=ja_jp 3 セットアップファイルの入手と準備 < 弊社製品ダウンロードページ > http://www.mcafee.com/japan/licensed2/ ログインには MDE の承認番号が必要です 上記 Web ページにログインし ご購入の製品スイート名を展開し [McAfee Drive Encryption 7.1.3] の項目から進みダウンロードします Chrome / FireFox のブラウザでは ダウンロードリンククリック時にエラーが表示される場合があります その場合は IE からお試し下さい ( 補足 ) ダウンロードパッケージについて - McAfeeDriveEncryption713.zip epo へチェックインする拡張ファイルおよびクライアントパッケージ - EETech.zipp リカバリツール - EETechCode.zip リカバリに使用する リカバリコード発行ツール - dpssp-1.2.0.3.zip データ保護セルフサービスポータル ( 必須ではありません ) - de_713_release_notes_en-us_revisionc.pdf MDE 7.1.3 リリースノート - MDE_713_documents.zip 製品ガイド Page 4 of 23
4 マイグレーション手順 STEP1: EEPC 移行ツールの実行 EEM サーバー上で実行します 1. EEM がインストールされたフォルダーに EEMigration.ZIP をコピーして 解凍します 例 ) C:\Program Files (x86)\mcafee\endpoint Encryption Manager 2. ファイルの置換を確認するメッセージが表示されますので SbAdmDll.dll ファイルを置換します 3. EEMigration.exe を実行して [McAfee Endpoint Encryption の移行 ] ウィザードを開始します 4. EEM 管理者アカウント情報を入力して [ 次へ (N)] ボタンをクリックします 5. マシンにチェックを付けて [ 次へ (N)] ボタンをクリックします ( 注 ) マシンにチェックをつけた場合 マシンにアサインされているユーザ ユーザグループのみがエクスポート対象となります Page 5 of 23
6. エクスポートするグループにチェックを付けて [ 次へ (N)] ボタンをクリックします 7. オプションの設定については設定せずに [ 次へ (N)] ボタンをクリックします Page 6 of 23
8. エクスポートするファイルパスを指定して [ 次へ (N)] ボタンをクリックします 9. [ 完了 ] ボタンをクリックして 移行を開始します Page 7 of 23
10. エクスポート完了後 [ 閉じる ] ボタンをクリックして終了します Page 8 of 23
STEP2: 拡張ファイルのチェックイン (DEAdmin) 2. 画面左上の [ メニュー ] アイコンをクリックし [ ソフトウェア ] [ 拡張 ] をクリックします 3. [ 拡張ファイルのインストール ] ボタンをクリックします 4. [ 参照 ] ボタンをクリックします 5. McAfeeDriveEncryption713\MDE epo Extensions\Drive Encryption Admin 7.1.3\EEADMIN- 7.1.3.547.zip を選択して [ 開く (O)] ボタンをクリックします 6. [OK] ボタンをクリックします STEP3: 拡張ファイルのチェックイン (DEPC) 1. 再度 [ 拡張ファイルのインストール ] ボタンをクリックします 2. [ 参照 ] ボタンをクリックします 3. McAfeeDriveEncryption713\MDE epo Extensions\Drive Encryption for PC 7.1.3\ EEPC-7.1.3.547.zip を選択して [ 開く (O)] ボタンをクリックします 4. [OK] ボタンをクリックします 5. 以下の画面が表示されれば チェックインは完了です Page 9 of 23
STEP4: 拡張ファイルのチェックイン ( ヘルプファイル ) 2. 画面左上の [ メニュー ] アイコンをクリックし [ ソフトウェア ] [ 拡張 ] をクリックします 3. [ 拡張ファイルのインストール ] ボタンをクリックします 4. [ 参照 ] ボタンをクリックします 5. McAfeeDriveEncryption713\MDE epo Extensions\Drive Encryption Help\help_DE_710.100.zip を選択して [ 開く (O)] ボタンをクリックします 6. [OK] ボタンをクリックします 7. 以下の画面が表示されれば チェックインは完了です STEP5: 拡張ファイルのチェックイン ( ユーザーディレクトリ ) 8. epo 管理コンソールにログインします 9. 画面左上の [ メニュー ] アイコンをクリックし [ ソフトウェア ] [ 拡張 ] をクリックします 10. [ 拡張ファイルのインストール ] ボタンをクリックします 11. [ 参照 ] ボタンをクリックします 12. McAfeeDriveEncryption713\MDE epo Extensions\User Directory 1.0.0\userdirectory-1.0.0.146.zip を選択して [ 開く (O)] ボタンをクリックします 13. [OK] ボタンをクリックします 14. 以下の画面が表示されれば チェックインは完了です Page 10 of 23
STEP6: クライアント配布用ソフトウェアのチェックイン (DEAdmin) 2. 画面左上の [ メニュー ] アイコンをクリックし [ ソフトウェア ] [ マスターリポジトリ ] をクリックします 3. [ パッケージをチェックイン ] ボタンをクリックします 4. [ 参照 ] ボタンをクリックします 5. McAfeeDriveEncryption713\MDE Software Packages\Drive Encryption Host 7.1.3\MfeEEAgent- 7.1.3.547.zip を選択して [ 開く (O)] ボタンをクリックします 6. [ 次へ ] ボタンをクリックします 7. [ 保存 ] ボタンをクリックします STEP7: クライアント配布用ソフトウェアのチェックイン (DEPC) 1. 再度 [ パッケージをチェックイン ] ボタンをクリックします 2. [ 参照 ] ボタンをクリックします 3. McAfeeDriveEncryption713\MDE Software Packages\Drive Encryption for PC 7.1.3\MfeEEPC- 7.1.3.547.zip を選択して [ 開く (O)] ボタンをクリックします 4. [ 次へ ] ボタンをクリックします 5. [ 保存 ] ボタンをクリックします 6. 以下のようにリポジトリ内にパッケージが追加されれば チェックインは完了です Page 11 of 23
STEP8: LDAP サーバーの登録 ( ドメインユーザーを DE ユーザーとして割り当てる場合 ) 2. 画面左上の [ メニュー ] アイコンをクリックし [ 設定 ] [ 登録済みのサーバー ] をクリックします 3. [ 新規サーバー ] ボタンをクリックします 4. [ サーバータイプ :] 項目で ドロップダウンリストから LDAP サーバーを選択します 5. [ 名前 :] 項目に名前を入力して [ 次へ ] ボタンをクリックします 6. [LDAP サーバータイプ :] 項目では Active Directory を選択します 7. [ サーバー名 :] 項目では 適切なドメイン名もしくはサーバー名を入力します 8. [ ユーザー名 :] 項目では ドメイン \ ユーザー名の形式で入力します 9. [ パスワード :] 項目では パスワードを入力します 10. [ 接続テスト ] ボタンをクリックします 11. LDAP サーバーに正常に接続しました と表示されたら [ 保存 ] ボタンをクリックします Page 12 of 23
STEP9: エクスポートしたファイルの epo へのインポート (MDE ユーザーをマシンへアサイン ) Tips: ユーザーインポートについて MDE の起動前認証で使用する MDE ユーザーは 下記 2 つに分類されマシンへアサインされます 1 LDAP ユーザー 前ページ STEP7 にて登録した LDAP サーバーの接続先ドメインに存在するユーザーです 2 ユーザーディレクトリユーザー 1 に存在しないユーザーは インポート時にユーザーディレクトリに新規作成されます 下記手順実施前に ユーザーディレクトリ内に OU を 1 つ以上 新規作成しておく必要があります 注意 ユーザー名に記号が含まれる場合 ユーザーディレクトリにユーザーがマイグレーションされません https://kc.mcafee.com/corporate/index?page=content&id=kb85538&viewlocale=ja_jp&locale=ja_jp 2. 画面左上の [ メニュー ] アイコンをクリックし [ データ保護 ] [ 暗号化ユーザー ] をクリックします 3. [ タスク ] ボタンをクリックし v5 ユーザーのインポートをクリックします 4. インポート ( アップロード ) するファイルを選択して [ 次へ ] ボタンをクリックします Page 13 of 23
5. ユーザーディレクトリ検索設定で 有効にする にチェックを入れ OU を選択して [ 次へ ] ボタンをクリックします インポートする MDE ユーザーが全て LDAP ユーザーの場合 またはユーザーディレクトリにユーザーを新規作成しない場合は 下記チェックはせずに [ 次へ ] ボタンをクリックします 6. 5.x に登録されているユーザーと LDAP ユーザーを比較するルール設定画面が表示されます ここでは 使用可能なプロパティの v5 ユーザー名から下記のように値として samaccountname を選択して [ 次へ ] ボタンをクリックします Page 14 of 23
7. ユーザーグループをマシンに割り当てていた場合 下図画面が表示されます 下図のようにユーザーグループをマシンへ割り当てるか ユーザーディレクトリに新規作成するか選択可能です 注意 ユーザーディレクトリへユーザーをインポート時にパスワードが初期化される https://kc.mcafee.com/corporate/index?page=content&id=kb86311&viewlocale=ja_jp&locale=ja_jp Page 15 of 23
8. [v5 マシン名 ] と [epo システム名 ] が関連付けられることを確認し [ ユーザータブ ] をクリックします 9. LDAP サーバーに存在する場合は [ 見つかりました ] と表示され 存在しない場合は [ なし ] と表示されます 10. ここで一致しないユーザーをユーザーディレクトリへ追加する場合は 下図の通り [ ユーザーディレクトリにユーザーを作成する ] を選択します Page 16 of 23
11. 下図の通り 作成されますと [ 見つかりました ] と表示が変わりますので [ 次へ ] をクリックします 12. ユーザーのアサインが開始されますので そのまま待機し 下図赤枠のメッセージが消えれば終了です Page 17 of 23
13. 該当マシンを選択して [ アクション ] [Drive Encryption] - [ ユーザーを表示 ] をクリックします 14. ユーザーが正しくアサインされていることを確認します Page 18 of 23
STEP10: 製品配備タスクの作成 (DEAdmin) 2. 画面左上の [ メニュー ] アイコンをクリックし [ ポリシー ] [ クライアントタスクカタログ ] をクリックします 3. [ 新しいタスク ] ボタンをクリックし リストから製品の配備を選択して [OK] ボタンをクリックします 4. [ タスク名 ] に任意のタスク名称を入力します 5. [ 対象プラットフォーム :] 項目では Windows を選択します 6. [ 製品とコンポーネント :] 項目では McAfee Drive Encryption Agent for Windows 7.1.3.547 を選択し [ アクション :] をインストールとします 7. [ 保存 ] をクリックします STEP11: 製品配備タスクの作成 (DEPC) 2. 画面左上の [ メニュー ] アイコンをクリックし [ ポリシー ] [ クライアントタスクカタログ ] をクリックします 3. [ 新しいタスク ] ボタンをクリックし リストから製品の配備を選択して [OK] ボタンをクリックします 4. [ タスク名 ] に任意のタスク名称を入力します 5. [ 対象プラットフォーム :] 項目では Windows を選択します 6. [ 製品とコンポーネント :] 項目では McAfee Drive Encryption for Windows 7.1.3.547 を選択し [ アクション :] をインストールとします 7. [ 保存 ] をクリックします STEP12: Drive Encryption 製品ポリシーの設定 2. 画面左上の [ メニュー ] アイコンをクリックし [ ポリシー ] [ ポリシーカタログ ] をクリックします 3. [ 製品 :] 項目では Drive Encryption 7.1.3 を選択します 4. [ カテゴリ :] 項目では 製品の設定を選択します 5. [My Default] をクリックします 6. 環境に応じて 各設定をカスタマイズします 7. ポリシー設定後 [ 保存 ] をクリックします STEP13: 製品配備タスクの割り当て (DEAdmin) 2. 画面左上の [ メニュー ] アイコンをクリックし [ システム ] [ システムツリー ] をクリックします 3. MDE をインストールするマシンにチェックをつけ [ アクション ] [ エージェント ] [ 単一システムでのタスクの変更 ] をクリックします 4. [ アクション ] [ 新しいクライアントタスクの割り当て ] をクリックします 5. [ 製品 ] は MA を選択し [ タスクの種類 ] は製品配備を選択します 6. STEP10: 製品配備タスクの作成 (DEAdmin) で作成したタスク名を選択して [ 次へ ] ボタンをクリックします 7. スケジュールを設定して [ 次へ ] ボタンをクリックします 8. サマリを確認したら [ 保存 ] ボタンをクリックします Page 19 of 23
STEP14: 製品配備タスクの割り当て (DEPC) 2. 画面左上の [ メニュー ] アイコンをクリックし [ システム ] [ システムツリー ] をクリックします 3. MDE をインストールするマシンにチェックをつけ [ アクション ] [ エージェント ] [ 単一システムでのタスクの変更 ] をクリックします 4. [ アクション ] [ 新しいクライアントタスクの割り当て ] をクリックします 5. [ 製品 ] は MA を選択し [ タスクの種類 ] は製品配備を選択します 6. STEP11: 製品配備タスクの作成 (DEPC) で作成したタスク名を選択して [ 次へ ] ボタンをクリックします 7. スケジュールを設定して [ 次へ ] ボタンをクリックします 8. サマリを確認したら [ 保存 ] ボタンをクリックします STEP15: 製品配備タスクの実行 2. 画面左上の [ メニュー ] アイコンをクリックし [ システム ] [ システムツリー ] をクリックします 3. MDE をインストールするマシンにチェックをつけ [ エージェントウェークアップ ] ボタンをクリックします 4. [OK] ボタンをクリックして ウェークアップを実行します Page 20 of 23
STEP16: インストール後の確認 ( クライアント側 ) 1. インストール後 再起動要求ダイアログが表示されますので [ 再起動 (R)] をクリックします 2. 再起動後 タスクトレイの MA アイコンをクリックし [ クイック設定 ] [McAfee Drive Encryption ステータスを表示 ] をクリックします 3. ステータスが非アクティブとなっていますので タスクトレイ上の MA アイコンをクリックし McAfee Agent ステータスモニタを起動して [ プロパティの収集と送信 ] [ イベントを送信 ] [ 新しいポリシーの確認 ] を実行します ( もしくは STEP15: 製品配備タスクの実行で実行したエージェントウェークアップコールを再度実行します ) Page 21 of 23
4. ステータスが変遷し 最終的にアクティブとなることを確認してください STEP17: インストール後の確認 ( サーバー側 ) 2. 画面左上の [ メニュー ] アイコンをクリックし [ システム ] [ システムツリー ] をクリックします 3. MDE をインストールしたマシンをクリックします 4. 以下のようにアクティブと表示されていることを確認します Page 22 of 23
5 テクニカルサポート窓口 本件に関するお問い合わせにつきましては サポート契約形態に基づいた弊社テクニカルサポート窓口までお問い合わせください マカフィー株式会社東京都渋谷区道玄坂 1-12-1 渋谷マークシティーウエスト 16 階テクニカルサポートセンター サポート Q&A:http://www.mcafeesecurity.com/japan/pqa/pqa.asp 電話と E-mail( ご契約者専用 ): ご契約内容確認書 に記載しているサポート案内ページをご確認ください 6 変更履歴 変更日付 Revision 変更内容 2015/12/25 1.0 新規作成 Page 23 of 23