ホーム
構成ガイド
必要に応じて BigFix の構成方法について習得します。
LDAP との統合
Lightweight Directory Access Protocol (LDAP) の関連付けを BigFix に追加することができます。
LDAP グループの関連付け
既存の Active Directory ディレクトリーまたは LDAP ディレクトリーで定義されている LDAP ユーザーまたは LDAP グループを、コンソールのオペレーターまたは役割に関連付けることができます。

構成ガイド
必要に応じて BigFix の構成方法について習得します。
- 概要
  このガイドでは、インストール後に環境で実行できる追加の構成手順について説明します。
- BigFix サイト管理者およびコンソール・オペレーター
  BigFix には、次の 2 つの基本的なユーザー・クラスがあります。
- LDAP との統合
  Lightweight Directory Access Protocol (LDAP) の関連付けを BigFix に追加することができます。
  - 汎用 LDAP との統合
    既存の LDAP ドメインをコンソールに追加して、汎用 LDAP との統合を構成する方法。
  - Active Directory との統合
    Microsoft Active Directory (AD) を使用して、BigFix での認証を処理することができます。
  - LDAP オペレーターの追加
    既存の Active Directory アカウントまたは LDAP アカウントを使用して、コンソールにアクセスするオペレーター用のアカウントを作成することができます。
  - LDAP グループの関連付け
    既存の Active Directory ディレクトリーまたは LDAP ディレクトリーで定義されている LDAP ユーザーまたは LDAP グループを、コンソールのオペレーターまたは役割に関連付けることができます。
- LDAP オペレーター用の SAML V2.0 認証の有効化
  BigFix のバージョン 9.5.5 以降では、LDAP を基盤とした SAML ID プロバイダー経由の SAML V2.0 認証をサポートしています。
- ローカル・オペレーターの無効化
  BigFix バージョン 10.0.8 以降では、ローカル・オペレーターが BigFix コンソールにログインできないようにして、代わりに LDAP オペレーターを使用できます。
- 複数サーバー (DSA) の使用
  複数のサーバー・インストールの一部の重要な要素。
- サーバー・オブジェクト ID
  BigFix サーバーは、Fixlet、タスク、ベースライン、プロパティー、分析、アクション、ロール、カスタム・サイト、コンピューター・グループ、管理権限、サブスクリプションなど、作成するオブジェクトの一意の ID を生成します。
- 収集のための HTTPS のカスタマイズ
  HTTPS プロトコルをサーバー上またはエアー・ギャップ環境内で使用すると、ライセンス更新および外部サイトを収集できます
- DHE/ECDHE 鍵交換方式の使用
  デフォルトでは、BigFix 10.0 パッチ 1 コンポーネントは、SSL 通信の反対側の BigFix コンポーネントのバージョンで DHE/ECDHE 鍵交換方式が許可されている場合に、この方式を使用します。
- セキュア通信の構成
- リアルタイム AV 除外
  BigFix アーキテクチャーのコンソール、サーバー、およびリレー・コンポーネントは、大量のファイル操作を実行します。このアクティビティーは、これらの BigFix アーキテクチャー・コンポーネントが提供する機能の重要な部分です。
- エアー・ギャップ環境でのファイルのダウンロード
  エアー・ギャップ環境で、メインの BigFix サーバーにファイルをダウンロードおよび転送するには、Airgap ユーティリティーおよび BES Download Cacher ユーティリティーを使用します。
- BigFix Query の使用によるクライアント情報の取得
  BigFix Query 機能により、WebUI BigFix Query アプリケーションから、または REST API を使用して、クライアント・ワークステーションに関する情報を取得して関連度の照会を実行できます。
- プラグイン・ポータル
  プラグイン・ポータルは、BigFix 10 に導入された新しいコンポーネントであり、クラウド・デバイスや、BigFix に登録されている Windows 10 や MacOS のエンドポイントなどの最新デバイスを管理するのに役立ちます。最新のクライアント管理の詳細については、最新のクライアント管理の資料を参照してください。
- BigFix 管理機能の拡張
  BigFix 10 は、デバイスが物理デバイスか仮想デバイスかに関係なく、ネットワーク上のデバイスの可視性と管理を強化するいくつかの重要な新機能を備えています。
- 永続的な接続
  永続的な接続を確立する機能が製品に追加されました。
- DMZ 内のリレー
  より安全なゾーンにある親リレーと DMZ ネットワーク内のその子リレーの間に永続的な TCP 接続を確立する機能が製品に追加されました。この機能を使用することで、非武装地帯 (DMZ ネットワーク) 内のシステムを管理できます。
- PeerNest を使用した作業
  BigFix クライアントには PeerNest という新機能が搭載されており、この機能を使用すると、同じサブネット内にあるクライアント間でバイナリー・ファイルを共有できます。この機能は、BigFix バージョン 9.5 パッチ 11 以降で使用可能です。
- BigFix でのクライアント・ファイルのアーカイブ
  BigFix クライアントから複数のファイルを 1 つのアーカイブに収集し、それらをリレー・システム経由でサーバーに移動することができます。
- BigFix 構成設定
  BigFix には、BigFix スイートの動作を実質的に制御する手段として使用できる詳細な構成設定がいくつかあります。これらのオプションを使用することで、ネットワーク内の BigFix サーバー、リレー、およびクライアントの動作をカスタマイズできます。
- 追加の構成手順
  これ以降の各トピックでは、現在の環境で実行できる追加の構成手順について説明します。
- BigFix サーバーのマイグレーション (Windows/MS-SQL)
  このセクションでは、BigFix サーバーを既存のハードウェアから新しいコンピューター・システムにマイグレーションするために必要なステップと操作手順について詳しく説明します。
- BigFix サーバーのマイグレーション (Linux)
  このセクションでは、BigFix サーバーを既存の Linux ハードウェアから新しいシステムにマイグレーションするための基本情報ついて説明します。
- サーバー監査ログ
  BigFix サーバーは、サーバー監査ログ・ファイルを生成します。このファイルには、アクセス情報 (ログイン/ログアウト) と、各ユーザーがコンソールまたは WebUI を通じて実行したアクションに関する情報が含まれます。
- 詳細オプションのリスト
  次のリストは、詳細オプションを示しています。
- セキュリティー構成シナリオ
  BigFix から、拡張セキュリティー・オプションを構成して NIST セキュリティー標準に準拠する機能を提供しています。
- クライアント認証
  最新の業界標準に準拠するため、製品バージョン 10.0.7 以降での BigFix エージェントのクライアント証明書の有効期間は 13 カ月となります。
- クライアント認証
  クライアント認証 (バージョン 9 で導入) は、BigFix で使用されるセキュリティー・モデルを拡張して、信頼できるクライアント・レポートおよびプライベート・メッセージを実現します。
- メンテナンスおよびトラブルシューティング
  Windows サイトのパッチをサブスクライブすると、SQL Server データベース・サーバーに最新のアップグレードとパッチを確実に適用することができます。

LDAP グループの関連付け

既存の Active Directory ディレクトリーまたは LDAP ディレクトリーで定義されている LDAP ユーザーまたは LDAP グループを、コンソールのオペレーターまたは役割に関連付けることができます。

このようなグループを追加するには、以下の手順を実行します。

必要な Active Directory または LDAP ディレクトリーが BigFix 環境に追加されていることを確認してください。
「ツール」>「役割の作成」を選択するか、作業域で右クリックして「役割の作成」を選択して、新規グループを受け入れるための役割を作成します。グループの名前を入力して「OK」をクリックします。
「役割」パネルが表示されます。「LDAP グループ」タブをクリックします。
この役割に割り当てる LDAP グループを選択し、「LDAP グループの割り当て」をクリックします。
変更内容を保存するには、「変更の保存」をクリックします。

LDAP グループを役割に割り当てると、そのグループのすべてのユーザーがコンソールにログインできるようになります。実際にログインしたユーザーだけがアカウントを提供され、オペレーターのリストに表示されます。これにより、不要なアカウントが作成されることがなくなります。オペレーターには、ユーザーのすべての役割とアクセス許可のうち、最も高い特権が付与されます。例えば、あるユーザーが役割 1 からコンピューター・セット A とサイト X にアクセスでき、役割 2 からコンピューター・セット B とサイト Y にアクセスできる場合、オペレーターには、コンピューター・セット A と B の両方でサイト X と Y に対するアクセス許可が付与されます。