Hardware Password Manager バージョン 1.0 デプロイメント・ガ … · 2009. 7. 21. ·...

Hardware Password Manager バージョン 1.0デプロイメント・ガイド

日付: 2009年7月10日

第1版第1刷 2009.6

© Copyright Lenovo 2009.

まえがき

本書は、IT 管理者、または組織のコンピューターへの Lenovo™ Hardware Password

Manager™ プログラムのデプロイを担当する方を対象としています。本書の目的は、Hardware Password Manager を 1 台以上のコンピューターにインストールするために必要な情報を提供することです。なお、各ターゲット・コンピューターのための本ソフトウェアのライセンスがあることが必要です。 Hardware Password Manager

アプリケーションには、アプリケーション・ヘルプが用意されており、管理者とユーザーはアプリケーション自体の使用法について調べることができます。

Lenovo Hardware Password Manager は IT プロフェッショナル向けに開発されたもので、IT プロフェッショナルが直面する可能性がある固有の課題に対応しています。このデプロイメント・ガイドには、Hardware Password Manager を扱うための指示と解決策が記載されています。ご提案またはご意見は、Lenovo™ 認定担当員にご連絡ください。 TCO の削減に役立つテクノロジーについてさらに詳しく知るには、また本書の定期的更新を確認するには、次の Web サイトにアクセスしてください。

www.lenovo.com

© Copyright Lenovo 2009 iii

http://www.lenovo.com

iv Hardware Password Manager バージョン 1.0 デプロイメント・ガイド

目次まえがき . . . . . . . . . . . . . . iii

第 1 章概要 . . . . . . . . . . . . . 1

第 2 章 LANDesk Management Suite への Hardware Password Manager のインストール. . . . . . . . . . . . . . . 3前提条件 . . . . . . . . . . . . . . . . 3LANDesk Management Suite コア・サーバーへのHardware Password Manager のインストール . . . . 4LDMS サーバーのセットアップ . . . . . . . . 5新しい LDAP サーバーへのマイグレーション . . . 6Lenovo デバイスへの Hardware Password Manager のインストール . . . . . . . . . . . . . . 6

第 3 章 LANDesk Management Suite による Hardware Password Manager デバイスの管理 . . . . . . . . . . . . . . 9Hardware Password Manager デバイスおよびそのプロパティーの表示 . . . . . . . . . . . . . 9

Hardware Password Manager デバイスでの登録済みユーザーの管理 . . . . . . . . . . . 11LDAP サーバー接続の構成 . . . . . . . . 11Hardware Password Manager ユーザーおよびそのプロパティーの表示 . . . . . . . . . . 12Hardware Password Manager デバイスに対するユーザーのアクセス権限の取り消し . . . . . . 13Hardware Password Manager グループの管理 . . 13

Hardware Password Manager デバイスのリモート・アクションおよびポリシー設定の管理 . . . . . . 15クライアント・ポリシーのグローバルな更新 . . . 17ハードウェア・パスワードのグローバルな更新 . . 18緊急アカウントの更新 . . . . . . . . . . . 19サーバー・ポリシー設定の変更 . . . . . . . . 20

第 4 章 Hardware Password Managerクライアント . . . . . . . . . . . . 23Hardware Password Manager デバイスのセットアップ 23Hardware Password Manager サーバーへのデバイスの登録と最初のユーザーの登録 . . . . . . . . 24Hardware Password Manager デバイスでの追加ユーザーの登録 . . . . . . . . . . . . . . . 25Hardware Password Manager デバイスからのユーザーの登録解除 . . . . . . . . . . . . . . 26Hardware Password Manager サーバーからのデバイスの登録抹消 . . . . . . . . . . . . . . 26Hardware Password Manager デバイス上の資格情報の更新 . . . . . . . . . . . . . . . . . 27

第 5 章デプロイメント . . . . . . . . 29指紋機能の組み込み . . . . . . . . . . . 29Safe Guard Easy/Safe Guard Enterprise の互換性 . . 31ワンタッチ登録 . . . . . . . . . . . . . 31事前登録 . . . . . . . . . . . . . . 32事前登録されたシステムでのユーザー登録 . . . 32

クライアント・ポリシーの設定 . . . . . . . . 33

第 6 章シナリオ . . . . . . . . . . 35保守関連シナリオ (構成変更) . . . . . . . . 35シナリオ 1 - ハードウェア構成変更 . . . . . 35シナリオ 2 - CMOS エラー . . . . . . . . 36シナリオ 3 - 指紋認証デバイスの交換 . . . . 36シナリオ 4 - 既にハードウェア・パスワードが設定されている . . . . . . . . . . . . . 37シナリオ 5 - オペレーティング・システム下のセットアップ (リモート BIOS 設定) . . . . . . 37シナリオ 6 - システム・ボードの交換 . . . . 37シナリオ 7 - ハードディスク・ドライブの追加 38シナリオ 8 - ハードディスク・ドライブの交換 39シナリオ 9 - システム内のハードディスクの場所の変更 . . . . . . . . . . . . . . . 39シナリオ 10 - ハードディスク・ドライブの取り外し . . . . . . . . . . . . . . . . 39シナリオ 11 - BIOS のフラッシュ . . . . . 39シナリオ 12 - 登録されたシステムが LDMS サーバーにアクセスできなくなる . . . . . . . 40シナリオ 13 - BIOS セットアップに入る . . . 40シナリオ 14 - BIOS セットアップにデフォルト設定をロードする . . . . . . . . . . . 41シナリオ 15 - すべてのハードディスク・ドライブを保護することはしない . . . . . . . . 41

ユーザー関連シナリオ . . . . . . . . . . . 41シナリオ 1 - ハードウェア・アカウント資格情報を忘れた (ネットワーク接続あり) . . . . . . 41シナリオ 2 - ハードウェア・アカウント資格情報を忘れた (ネットワーク接続なし) . . . . . . 41シナリオ 3 - コーポレート・パスワードを忘れた 42シナリオ 4 - 異なるキーボードの型を使用した手動ログイン . . . . . . . . . . . . . 42シナリオ 5 - 複数の起動パーティションからの登録の取り扱い . . . . . . . . . . . . . 43シナリオ 6 - BitLocker . . . . . . . . . 43

付録 A. ヒントおよび制限事項 . . . . . 45

付録 B. 特記事項 . . . . . . . . . . 53商標 . . . . . . . . . . . . . . . . . 54

© Copyright Lenovo 2009 v

vi Hardware Password Manager バージョン 1.0 デプロイメント・ガイド

第 1 章概要

Hardware Password Manager がインストールされると、LANDesk Management Suite

コア・サーバーは Hardware Password Manager サーバーとして機能して、Hardware

Password Manager デバイスの管理および認証を行います。さらに、LDAP サーバーが Hardware Password Manager の認証サーバーとして機能します。 Hardware

Password Manager サーバーは LDAP サーバー上のデータに対してユーザー資格情報を検査します。

管理者は、Lenovo Hardware Password Manager BIOS チップを搭載したクライアント・デバイスに Hardware Password Manager ドライバーを含む LANDesk エージェントをインストールします。クライアント・デバイスはブートすると、UDP チャネルを介して LDMS コア・サーバー上の Hardware Password Manager サーバー・モジュール (Windows サービス) と通信します。

クライアントはオペレーティング・システムにブートした後に、PSI.DLL (LANDesk

エージェントと共にインストールされる) を使用して LDMS コア・サーバー上のWeb サービスと通信します。この通信は、HTTPS チャネルを介して行われます。

管理者は LANDesk Management Suite 内の Hardware Password Manager 機能を使用して、 Hardware Password Manager デバイスを管理し、それらのデバイスに対するポリシーを作成およびデプロイします。これらのポリシーによって、Hardware

Password Manager がデバイスのために実装される方法が決まります。例えば、管理者は Hardware Password Manager デバイスでポリシー定義の一部としてどのユーザー・オプションを選択可能にするかを選択します。

© Copyright Lenovo 2009 1

2 Hardware Password Manager バージョン 1.0 デプロイメント・ガイド

第 2 章 LANDesk Management Suite への HardwarePassword Manager のインストール

LANDesk Management Suite 8.8 で Hardware Password Manager 機能を使用するには、LANDesk コア・サーバーに Hardware Password Manager パッチをインストールします。このインストールを構成する際、LDAP (Lightweight Directory Access

Protocol) サーバーを、Hardware Password Manager の LDAP 認証サーバーとして機能するようにセットアップします。次に、Hardware Password Manager BIOS が搭載されている個々の Lenovo デバイスに Hardware Password Manager クライアント・ソフトウェアをインストールします。

これらのインストール・タスクの完了後、Hardware Password Manager サーバー(LANDesk コア・サーバー) への Lenovo Hardware Password Manager デバイスの登録を開始して、それらのデバイスにユーザーを登録できるようになります。

前提条件サーバーに LANDesk Management Suite 製品をインストールする前に、以下の項目を検討する必要があります。

v 前提ソフトウェアを取得し、インストール完了後に活動化するために、サーバーはインターネットにアクセス可能でなければなりません。

v サーバーに固定 IP アドレスが必要です。

v サーバーはドメイン・コントローラーになることができません。しかし、サーバーをドメインに加えることは推奨されています。

v コア・サーバーのインストールを実行するためにログインするアカウントに、サーバーに対する完全読み取り/書き込み権限付きの管理者特権が必要です。このアカウントがドメイン管理者アカウントでもあれば理想的です。このアカウントは、LANDesk コンソールへのログインに使用される最初の管理者レベルのアカウントを作成するために使用されます。

LANDesk Management Suite 製品のインストールが新規インストールとなり、それを確実に動作させるために、以下のインストール順序が推奨されています。

1. Windows Server 2003 SP1 か、SP4 と IIS 5 付きの Windows 2000 Server または Windows 2000 Advanced Server をインストールします。

2. Windows コンポーネントのインターネット・インフォメーション・サービス(IIS) をインストールします。

注: これは必ず ASP.Net をインストールする前に行う必要があります。

3. 以下の Windows コンポーネントをインストールします。

v ASP.Net

v SNMP

4. Windows Update を使用して、入手可能なすべての重要な更新をインストールします。


5. Microsoft® .NET Framework® 2.0 以降をインストールします。

6. Web Services Enhancements (WSE) 2.0 SP3 for Microsoft .NET (LANDesk

Process 6. Manager のみ) をインストールします。

注: この特定のバージョンが必要です。

LANDesk 製品をインストールした後、Security and Patch Manager を有効にして、LANDesk 製品の更新を入手することをお勧めします。コンソール・アプリケーションの「ヘルプ (Help)」->「 LANDesk® ヘルプ・ウィザード (LANDesk® HelpWizard)」->「セキュリティーの更新 (Security Updates)」をクリックすると、Security and Patch Manager の構成のガイドが得られます。

LANDesk Management Suite コア・サーバーへの Hardware PasswordManager のインストール

LANDesk Management Suite の要件については、以下を参照してください。

http://www.landesk.com/SolutionServices/product.aspx?id=670

1. 推奨されるプラットフォームは、Windows Server 2003 R2 SP2 です。 Windows

コンポーネントのインストールには Windows Server 2003 インストーラーも必要です。

a. 「スタート」->「コントロールパネル」->「プログラムの追加と削除」に移動します。

b. 「Windows コンポーネントの追加と削除」をクリックします。

c. 以下のコンポーネントを追加します。

1) アプリケーション・サーバー

v ASP.NET

v インターネット・インフォメーション・サービス (IIS)

2) 管理とモニタツール

v 簡易ネットワーク管理プロトコル

d. 「次へ」をクリックします。

e. 「オプションネットワークコンポーネント」で「はい」を選択します。

f. 「完了」をクリックします。

g. Microsoft .NET Framework 2.0 をインストールします (Windows Server 2003

R2 の場合)。

h. システムを再始動します。

2. イーサネットのドライバーがインストールされます。

3. Web Services Enhancements (WSE) 2.0 SP3 をインストールします。

a. 以下から入手できる WSE 2.0 SP3 をインストールします。

http://www.microsoft.com/downloads/details.aspx?FamilyID=1ba1f631-c3e7-420a-bc1e-ef18bab66122&DisplayLang=en

b. 「セットアップ・タイプ (Setup Type)」として「ランタイム (Runtime)」を選択します。


http://www.landesk.com/SolutionServices/product.aspx?id=670



4. 以下から入手できる LDMS Integration Toolkit (toolkit3103.exe) をインストールします。

http://www-307.ibm.com/pc/support/site.wss/document.do?sitestyle=lenovo&lndocid=LDMS-TVT

LDMS サーバーのセットアップHardware Password Manager の LDAP 認証サーバーとして機能する LDAP サーバー (MS Active Directory または Novell eDirectory) を準備し、適切に機能するようにします。

1. ThinkManagement Autorun.exe を実行し、「コア・サーバーへのインストール(Install on Core Server)」を選択します。インストール・ウィザードのプロンプトに従い、インストール後に「今すぐ再起動する (Reboot Now)」を選択します。

2. コア・サーバーを有効にします。LANDesk コンタクト名およびパスワードを使ってコア・サーバーを有効にすることを選択するか、または 45 日間の体験版を選択します (インターネット接続が必要)。

3. 以下のように LDAP サーバーを構成します。

a. LDMS サーバーと LDAP 認証サーバーをネットワークに接続します。

b. ThinkManagement コンソールを起動します。

c. ツールボックスに、「登録済みユーザー (Enrolled Users)」、「イントラネット・アカウント・グループ (Intranet Account Groups)」、「リモート・アクションとポリシー設定 (Remote Actions and Policy Settings)」という 3 つの項目を持つ ThinkVantage Hardware Password Manager グループが表示されます。「イントラネット・アカウント・グループ (Intranet Account Groups)」をクリックし、ツールバーの「LDAP サーバーの構成 (Configure LDAP

server)」ボタン (3 番目のボタン) をクリックします。

d. 認証サーバーとして機能する LDAP サーバーの情報を入力します。 LDAP

サーバーに関して以下の項目を定義する必要があります。

v ホスト名 (Hostname): LDAP サーバーの名前。

v ポート (Port): サーバーと通信するためのポート番号。 MS Active

Directory のデフォルト・ポートは 389 です。LDAP サーバーとしてNovell eDirectory を選択した場合、デフォルト・ポートは 636 です。

v サーバー・タイプ (Server type): タイプ (MS Active Directory またはNovell eDirectory のいずれか) を選択します。

v 暗号化タイプ (Encryption type): サーバーとの通信に使用する暗号化のタイプを選択します。

v 許可ユーザー (Authorized user):

– Microsoft Active Directory サーバーにログインするためのユーザー名。

– domain name¥username または単に username の形式。

– Novell eDirectory サーバーにログインするためのユーザー名。cn=admin name, o=admin context の使用が勧められています。「バインド制限 (Bind Restrictions)」が「なし (None)」に設定される場合、admin

name.admin context は機能する可能性がありますが、「バインド制限

第 2 章 LANDesk Management Suite への Hardware Password Manager のインストール 5



(Bind Restrictions)」が「匿名単純バインドの禁止 (Disallow anonymous

simple bind)」に設定される場合、admin name.admin context は機能しません。

v パスワード (Password): LDAP サーバーの許可ユーザーのパスワード。

e. 情報をすべて入力した後、「OK」をクリックします。

これで、LDMS サーバーのセットアップが完了しました。

新しい LDAP サーバーへのマイグレーションLDAP サーバーの IP アドレスまたはホスト名を変更しなければならない場合があります。また、異なる IP アドレスを持つ新しいサーバーに変更しなければならなかったり、異なるタイプの LDAP サーバーに変更しなければならないことさえあります。

これらいずれかの変更が行われる場合、LANDesk データベースから古いデータを消去し、新しい LDAP サーバー構成を作成することにより、LDAP サーバー・データのマイグレーションを行う必要があります。これを行うには、¥program

files¥landesk¥ManagementSuite¥ にある HpmDbUtil.exe ユーティリティーを実行し、上記のステップ 3 の LDAP 構成タスクを繰り返します。このユーティリティーはデータベースで必要な変更を行い、LANDesk Management Suite が新しい LDAP サーバーと通信できるようにします。

HpmDbUtil.exe を実行する際、次のことが起こります。

v データベース内にある以前の Hardware Password Manager データがすべて除去されます。これには、登録済みデバイス、登録済みユーザー、リモート・アクションが含まれます。

v すべてのハードウェア・パスワードが除去されます。

v ポータル・サービスの場合を除き、グローバル・サーバー設定がデフォルト値にリセットされます。 IIS とポータル・サービスはどちらも再始動します。

重要: HpmDbUtil.exe を使ってデータを消去する前に、ハードウェア・パスワードで保護されているすべてのデバイスをロック解除可能にする必要があります。

新しい LDAP サーバーにマイグレーションした後、企業アカウント認証を渡せるようにするためにサーバーを再始動します。

Lenovo デバイスへの Hardware Password Manager のインストールLenovo デバイスに Hardware Password Manager 機能を追加するには、Hardware

Password Manager クライアント・コンポーネントが組み込まれているデバイスにLANDesk エージェントをデプロイします。これは、LANDesk エージェントをノートブックに (スケジュール済みタスクなどを使って) プッシュするか、エージェントをプルすることによって行えます。


Hardware Password Manager クライアント機能を持つエージェントをデプロイするには、次のようにします。

1. LANDesk Management Suite コンソールで、「ツール (Tools)」->「構成(Configuration)」->「エージェントの構成 (Agent Configuration)」をクリックします。

2. 「エージェントの構成 (Agent Configuration)」ツールバーで「新規作成(New)」をクリックし、「インストールするエージェント・コンポーネント(Agent Components to Install)」セクションで「ThinkVantage HPM クライアント (ThinkVantage HPM client)」が選択されていることを確認します。

3. 構成を保存し、プッシュ方式を使ってエージェントを Lenovo デバイスにデプロイします。詳しくは、オンライン・ヘルプにある LANDesk の「始めに (Getting

Started)」ヘルプ・ウィザードおよび「エージェントのディスカバーとインストール (Discovering and Installing Agents)」ヘルプ・ウィザードを参照してください。「始めに (Getting Started)」で必要なのは、「サービス・ツールの構成の起動 (Launch the Configure Services Tool)」ステップと「スケジューラー資格情報の構成 (Configure Scheduler Credentials)」ステップを実行することだけです。

注:

1. デバイスのディスカバリー・プロセスを単純化するために、Windows® ファイアウォールをオフにします。

2. Windows XP の場合、Lenovo デバイスでの簡易ファイルの共有を無効にする必要があります。ドメインにログインするデバイスでは通常、これはデフォルトで無効になっています。このオプションは Windows エクスプローラからオフにすることができます。「ツール」->「フォルダオプション」->「表示」をクリックし、リストの下部にスクロールして、「簡易ファイルの共有を使用する」のチェック・マークを外します。

3. Windows Vista® の場合、ユーザー・アカウント制御をオフにすることをお勧めします。

エージェントがデプロイされると、クライアント・ポータルおよび関連 .dll ファイルがデバイスにインストールされます。クライアント・ポータルのファイル名はcmp_portal.exe で、これは C:¥Program Files¥Lenovo¥Hardware Password Manager フォルダーにあります。

第 2 章 LANDesk Management Suite への Hardware Password Manager のインストール 7

第 3 章 LANDesk Management Suite による HardwarePassword Manager デバイスの管理

Hardware Password Manager デバイスの管理に役立つインターフェース・エレメントがコンソールに追加されています。ネットワーク・ビューで、発見されて管理された Hardware Password Manager デバイスは別個の Hardware Password Managed

デバイス・グループ内にリストされます。これらのデバイスおよびそのプロパティーをネットワーク・ビューに表示できます。またネットワーク・ビューで、デバイスのリストに Hardware Password Manager デバイスが含まれるとき、Hardware

Password Manager デバイスを右クリックして Hardware Password Manager 機能のコンテキスト・メニューを使用できます。

ツールボックスで、Hardware Password Manager グループは 3 つの項目と共に追加されます。それらは、登録済みユーザー、イントラネット・アカウント・グループ、およびリモート操作とポリシーの設定です。

インターフェース内のオプションについては、以下のセクションで詳しく説明されています。

v 『Hardware Password Manager デバイスおよびそのプロパティーの表示』

v 11ページの『Hardware Password Manager デバイスでの登録済みユーザーの管理』

v 11ページの『LDAP サーバー接続の構成』

v 12ページの『Hardware Password Manager ユーザーおよびそのプロパティーの表示』

v 13ページの『Hardware Password Manager デバイスに対するユーザーのアクセス権限の取り消し』

v 13ページの『Hardware Password Manager グループの管理』

v 15ページの『Hardware Password Manager デバイスのリモート・アクションおよびポリシー設定の管理』

v 17ページの『クライアント・ポリシーのグローバルな更新』

v 18ページの『ハードウェア・パスワードのグローバルな更新』

v 19ページの『緊急アカウントの更新』

v 20ページの『サーバー・ポリシー設定の変更』

Hardware Password Manager デバイスおよびそのプロパティーの表示LANDesk Management Suite ネットワーク・ビューで、発見されて管理されるHardware Password Manager デバイス用に、「デバイス (Devices)」フォルダーの下に別個のフォルダーが追加されます。この「Hardware Password Managed デバイス(Hardware Password Managed devices)」フォルダーを開いて、Lenovo Hardware

Password Manager デバイスのリストを表示します。


Hardware Password Manager デバイスのプロパティーを表示する方法

1. LDMS ネットワーク・ビューで、「デバイス (Devices)」フォルダーを拡張して「Hardware Password Managed デバイス (Hardware Password Manageddevices)」フォルダーをクリックします。

2. Hardware Password Manager デバイスの名前を右クリックして、「HPM プロパティー (HPM properties)」を選択します。

プロパティー・ダイアログでのオプションは、以下に要約されています。これらのオプションは、このダイアログから編集できません。

要約

このタブにリストされるパスワードは、ポリシーがどのように定義されているかに応じて、自動的に生成することも、デバイスごとに設定することもできます。

v 登録の時間および状況 (Registration time and status): 登録の日時および現在の状況をリストします。

v BIOS パスワード (BIOS passwords): 各 BIOS プロファイルのパスワードと、最後にプロファイルがバックアップされた日時を表示します。このセクションには、管理者権限でデバイスにログオンするためのスーパーバイザー・パスワード(SVP) と、ユーザーとしてデバイスにログオンするためのパワーオン・パスワード (POP) が含まれます。

v ハードディスク・パスワード (Hard disk passwords): デバイス上の各ハードディスクにアクセスするためのパスワードをリストします。このセクションは、ハードディスクのマスター・パスワード、ユーザー・パスワード、およびバックアップ・パスワードを表示します (バックアップ・パスワードを表示するには「表示(View)」ボタンをクリックします)。

v 緊急管理アカウント (Emergency Admin Account): Hardware Password Manager

デバイスにアクセスできる管理アカウントの資格情報をリストします。緊急管理アカウントは、各デバイス上に作成されます。この資格情報を使用して、緊急時にデバイスの BIOS に管理者特権でアクセスできます。

登録済みユーザー (Enrolled users):

Hardware Password Manager デバイスにアクセスするために登録されたすべてのユーザーは、このタブにリストされています。イントラネット・アカウント・ユーザー名は、LDAP ユーザー・アカウント・ログインに使用される名前です。ハードウェア・アカウント・ユーザー名は、ハードウェア・アカウント (コンピューターのBIOS によってのみアクセスできる、不揮発メモリーのセキュア領域) にデータを保存するために使用される名前です。 LDAP パスは、LDAP サーバー・ツリーでのユーザーの位置を示します (例えば、CN=ADMINISTRATOR,CN=USERS,DC=TESTLAB)。

メンバー (Member of):

このタブは、デバイスがメンバーになっているイントラネット・アカウント・グループをリストします。 LDAP パスは、LDAP サーバー・ツリーでのグループの位置を示します。


リモート・アクション (Remote Actions):

「リモート・アクション (Remote Actions)」は、この Hardware Password Manager

デバイスに適用された過去のリモート・アクションをすべてリストします。「ユーザー・リモート・アクションの取り消し (Revoke user remote actions)」セクションは、デバイスに登録されていてもアクセスが取り消されたユーザーをリストします。

クライアント・ポリシー (Client Policy):

「Windows ポリシー (Windows policy)」リストは、現在デバイスに適用されている、オペレーティング・システムに関連したポリシー設定の状況を表示します。「BIOS ポリシー (BIOS policy)」リストは、現在デバイスに適用されている、BIOS

に関連したポリシー設定の状況を表示します。これらの設定は、「クライアント・ポリシーの更新 (Update Client Policy)」ダイアログで選択されます。詳しくは、 18

ページの『ハードウェア・パスワードのグローバルな更新』を参照してください。

Hardware Password Manager デバイスでの登録済みユーザーの管理

Lenovo Hardware Password Manager デバイスが Hardware Password Manager サーバーに登録されると、そのデバイスのメイン・ユーザーは Hardware Password

Manager デバイスの許可ユーザーとして登録されます。デバイス上でクライアント・ポータルを使用するか、またはユーザーをそのデバイスへの権限を持つHardware Password Manager グループに組み込むことにより、追加のユーザーを各Hardware Password Manager デバイスに登録できます。

Hardware Password Manager デバイスのユーザーを管理するには、Management Suite

ツールボックスの「登録済みユーザー (Enrolled users)」オプションを使用します(または、Management Suite コンソールで、「ツール (Tools)」->「HardwarePassword Manager」->「登録済みユーザー (Enrolled Users)」とクリックします)。

登録済みユーザー・ツールを使用して、以下を行うことができます。

v LDAP サーバー接続の構成

v Hardware Password Manager ユーザーのリストの表示

v Hardware Password Manager ユーザーのプロパティーの表示

v Hardware Password Manager デバイスに対するユーザーのアクセス権限の取り消し

LDAP サーバー接続の構成登録済みユーザーおよびイントラネット・アカウント・グループのビューでは、ユーザーおよびグループがツリー構造でリストされて、Hardware Password Manager

認証のために使用する LDAP サーバーのユーザーおよびグループが表示されます。そのツリー構造を表示するには、最初に LDAP サーバー接続を構成する必要があります。

このダイアログに入力する情報によって、Hardware Password Manager サーバーはLDAP サーバーに接続できます。これは、Microsoft Active Directory サーバーまたは Novell eDirectory サーバーのどちらかです。

第 3 章 LANDesk Management Suite による Hardware Password Manager デバイスの管理 11

LDAP サーバーから別の LDAP サーバーに、データを失うことなくマイグレーションできます。 LDAP 認証のために別のサーバーを使用する必要が生じた場合、その新しいサーバー用の構成データを入力します。

LDAP サーバー接続を構成するには、次のようにします。

1. ツールボックスの「登録済みユーザー (Enrolled users)」をクリックします (または、「ツール (Tools)」->「Hardware Password Manager」->「登録済みユーザー (Enrolled Users)」とクリックします)。

2. 「LDAP サーバー (LDAP server)」ボタンをクリックします。

3. LDAP サーバーの「ホスト名 (Hostname)」を入力します。

4. デフォルト以外のポートを使用してサーバーにアクセスする場合、「デフォルトのポートを使用 (Use default port)」チェック・ボックスをクリアして、別のポート番号を入力します。

5. 「サーバー・タイプ (Server type)」のタイプを選択します (MS Active Directory

または Novell eDirectory)。

6. サーバーの「暗号化タイプ (Encryption type)」を選択します。

7. LDAP サーバーへのアクセスに使用される資格情報を「許可ユーザー(Authorized user)」および「パスワード (Password)」テキスト・ボックスに入力します。ユーザーは、domain¥username の形式か、または単にユーザー名とすることができます。

Hardware Password Manager ユーザーおよびそのプロパティーの表示

「登録ユーザーの管理 (Manage enrolled users)」ツールによって、 Lenovo

Hardware Password Manager デバイスへのアクセスが登録されたすべてのユーザーを表示できます。すべてのユーザーのリストを表示することも、LDAP ディレクトリー・ツリー内のグループを選択してリストのサブセットを表示することもできます。 Hardware Password Manager ユーザーごとに、ユーザー ID、LDAP パス、ユーザーを含むグループ、ユーザーが登録されたデバイスなど、すべてのプロパティーを表示できます。これらのプロパティーは、プロパティー・ダイアログでは編集できません。

登録済み Hardware Password Manager ユーザーおよびそのプロパティーを表示するには、次のようにします。


2. すべての登録済みユーザーを表示するには、ツリー構造で「すべてのユーザー(All users)」をクリックします。

3. ユーザーのサブセットを表示するには、ツリー構造にリストされたいずれかのグループを拡張して、グループ名をクリックします。

4. ユーザーのプロパティーを表示するには、ユーザー・リストでユーザーを右クリックしてから、「プロパティー (Properties)」を選択します。

注: ユーザーを選択して、ツールバーの「プロパティー (Properties)」ボタンをクリックすることもできます。


プロパティー・ダイアログでのオプションは、以下に要約されています。

要約 (Summary):

このタブは、ユーザーの ID および共通名、ユーザーが存在する LDAP ツリー内のパス、およびユーザーの現在の状況をリストします。さらに、ユーザーが Hardware

Password Manager ユーザーとして登録された日付と時刻をリストします。

メンバー (Member of):

ユーザーが属する Hardware Password Manager グループを、各グループの LDAP

パスと共にリストします。

登録済みデバイス (Enrolled devices):

ユーザーが登録されたデバイスをリストして、デバイス名およびマシン ID を示します。

リモート・アクション (Remote actions):

ユーザーに対して実行されたユーザー取り消しアクションを、ユーザーが取り消されたデバイスの名前や最後に状況が変更された日付と時刻と共にリストします。

Hardware Password Manager デバイスに対するユーザーのアクセス権限の取り消し

ユーザーが Hardware Password Manager デバイスに登録された後に、デバイスに対するユーザーのアクセスを中止する必要が生じた場合、その登録を取り消すことができます。ユーザーを取り消すには、指定する各デバイスに適用されるリモート・アクションを作成します。デバイスが次に Hardware Password Manager サーバーに連絡してポリシーを更新するときに、そのユーザーはデバイスに対するユーザーのリストから除去されます。

ユーザーを Hardware Password Manager デバイスから取り消すには、次のようにします。


2. ユーザー・リストで、ユーザーを選択します。

3. ツールバーの「ユーザーの取り消し (Revoke user)」ボタンをクリックします。

4. 「リモート・アクションの作成 (Create Remote Action)」ダイアログで、ユーザーを取り消す 1 つ以上のデバイスのチェック・ボックスをクリアします。

5. 「OK」をクリックします。

Hardware Password Manager グループの管理Hardware Password Manager グループは、(LDAP サーバーに定義された) ユーザー・グループを Hardware Password Manager デバイスとリンクします。 Hardware

Password Manager グループは、各ユーザーを各デバイスに個別に登録しなくても、複数のユーザーを 1 つ以上のデバイスにアクセス可能にできるので便利です。デバ


イスをグループに追加すると、そのグループのすべてのメンバーがデバイスに対するアクセス権限を持ち、イントラネット・アカウント・ログインを使用してデバイスにログインできるようになります。

「イントラネット・アカウント・グループ (Intranet Account Groups)」ツールを開くと、グループが LDAP ツリー・ビューにリストされます。各グループは、LDAP

サーバーに作成されます。グループを LANDesk Management Suite に作成することはできません。ただし、グループを編集 (グループ役割を定義) して、デバイスをグループにドラッグすることにより、それらのデバイスをグループのメンバーに関連付けることができます。

イントラネット・アカウント・グループは、以下のようにグループ内のユーザーに定義された役割によって区別されます。

v ユーザー (User): Hardware Password Manager デバイスのエンド・ユーザー。

v サービス技術者 (Service Tech): IT 技術者で、サービス提供のためにデバイスに対する制限されたアクセスが許可されます。アクセスをある時間フレーム (期間)

に制限したり、技術者に対して特定の数のログインを許可したりすることができます。

v 管理者 (Administrator): デバイスへのアクセスが許可される、管理ユーザー。

例えば、「サービス技術者 (Service Tech)」役割で定義されたグループのすべてのメンバーは、グループ内のデバイスに指定の回数ログインできます。ユーザーがデバイスに 2 回だけログインできるように役割が定義された場合、ユーザーのデバイスへのアクセス権限は 2 回目のログインの後に有効でなくなります。

Hardware Password Manager グループを編集するには、次のようにします。

1. ツールボックスの「イントラネット・アカウント・グループ (Intranet accountgroups)」をクリックします (または、「ツール (Tools)」->「HardwarePassword Manager」->「イントラネット・アカウント・グループ (Intranetaccount groups)」とクリックします)。

2. LDAP ツリー・ビューで、グループ名をクリックしてから、ツールバーの「イントラネット・アカウント・グループの編集 (Edit intranet account group)」ボタンをクリックします。「イントラネット・アカウント・グループの編集 (Editintranet account group)」ダイアログのほとんどの項目は、編集できません。グループの役割は選択できます。「サービス技術者 (Service Tech)」を選択した場合、Hardware Password Managed デバイスへのアクセスを制限できます。

3. コンボ・ボックスから「HPM 役割 (HPM role)」を選択します。

4. デバイスに対するアクセス権限をある長さの期間または特定の回数のログインに制限する場合は、「満了あり (with expiration)」チェック・ボックスにチェック・マークを付けます。 (これは「サービス技術者 (Service Tech)」ユーザーにのみ適用されます。)

5. 「満了あり (with expiration)」を選択した場合、「期間 (Duration)」を選択してHardware Password Managed デバイスにアクセスできる開始時刻と終了時刻を選択するか、または「残りのログイン数 (Login count remaining)」を選択してログインの回数を選択します。

6. 「OK」をクリックします。


デバイスをグループに関連付けるには、次のようにします。

1. ツールボックスの「イントラネット・アカウント・グループ (Intranet accountgroups)」をクリックするか、または「ツール (Tools) 」->「 HardwarePassword Manager」->「イントラネット・アカウント・グループ (Intranetaccount groups)」をクリックします。

2. デバイスをグループに関連付けるには、デバイスをネットワーク・ビューからLDAP ツリー・ビュー内のグループ名にドラッグします。

3. グループに関連付けられたデバイスを表示するには、グループ名をクリックして、ツールバーの「コンピューターの表示 (View computers)」ボタンをクリックします。

ダイアログは、グループの LDAP 識別名を表示して、グループに関連付けられたデバイスをリストします。グループのメンバーは、グループをグループ・アクセスの満了がある「サービス技術者 (Service Tech)」グループとして定義していてその関連が満了した場合を除き、ここにリストされたすべてのデバイスにログインできます。

Hardware Password Manager デバイスのリモート・アクションおよびポリシー設定の管理

リモート・アクションは、管理者によって 1 つ以上のデバイスに適用される、Hardware Password Manager デバイスの設定に対する変更です。アクションには、資格情報管理、デバイスの登録と登録抹消、およびユーザーの登録と取り消しが含まれます。

リモート・アクションは、Hardware Password Manager デバイスにすぐには適用されません。管理者が 1 つ以上のリモート・アクションをデバイスに適用した後で、デバイスの電源が次にオンになるまで、それらのアクションは保留になります。電源がオンになると、デバイスは Hardware Password Manager サーバーに接続して、保留中のアクションを要求します。アクションはクライアントによって完了されて、新しい設定が有効になります。

1 つのリモート・アクションは、Hardware Password Manager デバイスのポリシー設定を変更するためのものです。ポリシーには次の 2 つのタイプがあります。オペレーティング・システム・レベルで適用されるポリシー (Windows ポリシー)、および BIOS レベルで適用されるポリシー (BIOS ポリシー) です。ポリシーによって、デバイスが資格情報を管理する方法が決まり、デバイスの電源がオンになるときに登録およびユーザー登録を自動的に開始するかどうかが決まります。さらに、複数のユーザーを Hardware Password Manager デバイスに登録できるかどうか、およびBIOS メニューでユーザー・ログインを処理する方法が決まります。

リモート・アクションを管理する際に、アクションは個別に、またはグローバルに適用できます。リモート・アクションおよびポリシー設定ツールが開いているとき、Hardware Password Manager デバイスをネットワーク・ビューからドラッグして、特定のリモート・アクションにドロップできます。または、ツールバーのボタンを使用して、アクションをグローバルに適用できます。


リモート・アクションには、以下が含まれます。

v ハードウェア・アカウントの更新 (Renew hardware account): BIOS ハードウェア・パスワードを、Hardware Password Manager サーバーによって生成された資格情報の新しいセットに置き換えます。新しい資格情報は、コンピューターのBIOS によってのみアクセスできる不揮発メモリーのセキュア領域であるハードウェア・アカウントに保管されます。

v ハードウェア・アカウントの復元 (Restore hardware account): BIOS ハードウェア・パスワードを、Hardware Password Manager サーバーに保管されたバックアップの資格情報と共にハードウェア・アカウントに復元します。これには、システムおよびユーザー・パスワードのバックアップが含まれます。

v コンピューターの登録抹消 (Deregister computer): ハードウェア・パスワードをクリアし、クライアント・デバイスの状況を「登録済み (Registered)」から「使用可能 (Enable)」に変更し、登録済み Hardware Password Manager デバイスのリストからデバイスを除去します。

v ユーザーの取り消し (Revoke user): ユーザーを Hardware Password Manager デバイスへのアクセスが許可されたユーザーのリストから除去します。

v クライアント・ポリシーの更新 (Update client policy): 更新されたポリシーをデバイスの Hardware Password Manager BIOS に保管して、以前のポリシーを置き換えます。

v 共通ハードウェア・パスワードの更新 (Update common hardware password): 新しい共通ハードウェア・パスワードを Hardware Password Manager デバイスに保存します。共通ハードウェア・パスワードは、Hardware Password Manager サーバーによって管理されるすべての Hardware Password Manager デバイスで有効です ( 18ページの『ハードウェア・パスワードのグローバルな更新』を参照してください)。

v 緊急アカウントの更新 (Update emergency account): 緊急アカウントの資格情報を Hardware Password Manager デバイスに保存します。緊急ユーザー名およびパスワードは、ユーザーがログインできない場合に、デバイスへのアクセスを復元するために使用できます ( 19ページの『緊急アカウントの更新』を参照してください)。

リモート・アクションを Hardware Password Manager デバイスに適用するには、次のようにします。

1. ツールボックスの「リモート・アクションおよびポリシー設定 (Remote actionsand policy settings)」をクリックします (または、「ツール(Tools)」->「Hardware Password Manager」->「リモート・アクションおよびポリシー設定 (Remote actions and policy settings)」とクリックします)。

2. リモート・アクションを個々のデバイスに適用するには、デバイス名をネットワーク・ビューから次のいずれかのアクションにドラッグします。「ハードウェア・アカウントの更新 (Renew hardware account)」、「ハードウェア・アカウントの復元 (Restore hardware account)」、「コンピューターの登録抹消(Deregister computer)」、または「クライアント・ポリシーの更新 (Updateclient policy)」。

3. ユーザーを取り消すには、ターゲット・ユーザーを「リモート・アクション(Remote Actions)」ツリーの「ユーザー・アクションの取り消し (Revoke user


action)」にドラッグします。 (「登録ユーザーの管理 (Manage enrolled users)」ツールでユーザーを取り消すこともできます。)

4. 更新されたクライアント・ポリシーをすべての Hardware Password Manager デバイスに適用するには、ツールバーの「クライアント・ポリシーのグローバルな更新 (Update client policy globally)」ボタンをクリックします。有効にするポリシー項目を「Windows ポリシー (Windows policy)」および「BIOS ポリシー(BIOS policy)」タブから選択して、「OK」をクリックします。詳しくは、『クライアント・ポリシーのグローバルな更新』を参照してください。

5. 共通パスワードをすべての Hardware Password Manager デバイスに適用するには、ツールバーの「共通パスワードの更新 (Update common passwords)」ボタンをクリックします。すべての Hardware Password Manager デバイスに適用する各タイプのパスワードの横にあるチェック・ボックスを選択します。すべてのデバイスに同じパスワードを使用するには、選択したパスワード・タイプに対するパスワードをテキスト・ボックスに入力します。テキスト・ボックスをブランクのままにした場合、デバイスごとに固有のパスワードが生成されます。

6. すべての Hardware Password Manager デバイスで緊急 (管理) アカウントを変更するには、ツールバーの「緊急アカウントの更新 (Update emergency account)」ボタンをクリックします。新しいユーザー名をテキスト・ボックスに入力します。すべてのデバイスに同じパスワードを使用するには、パスワードをテキスト・ボックスに入力します。テキスト・ボックスをブランクのままにした場合、デバイスごとに固有のパスワードが生成されます。

クライアント・ポリシーのグローバルな更新「クライアント・ポリシーの更新 (Update client policy)」ダイアログでポリシーを選択することにより、どのクライアント・ポリシーがすべての管理対象 Lenovo

Hardware Password Manager デバイスに適用されるかを決めることができます。選択できるポリシーには、以下の OS レベルの項目が含まれます。

v ハードウェア・アカウントが Windows 資格情報と等しい (Hardware accountequals Windows credentials): Hardware Password Manager BIOS のハードウェア・アカウントに保管されたログイン資格情報は、ユーザーの Windows 資格情報と同じです。

v Windows ログインでのユーザー登録の自動開始 (Auto-start user enrollment atWindows login): Hardware Password Manager デバイスが Hardware Password

Manager サーバーによって管理されてから初めてユーザーが Windows にログインすると、 Hardware Password Manager 登録が自動的に開きます。

デバイスが登録済みで、登録されていないユーザーがログインすると、 Hardware

Password Manager 登録は自動的に開きます。

v 単一デバイスでの複数ユーザーの登録を許可 (Allow multiple users to enroll ona single device): 1 つのデバイスに複数のユーザーが登録できます。このチェック・ボックスがクリアされた場合、デバイスに登録される最初のユーザーだけが登録ユーザーとなります (ただし、管理者およびサービス技術者のユーザーは、必要に応じて引き続きデバイスにアクセスできます)。


以下の BIOS レベルのポリシーを選択できます。

v ハードウェア・アカウントに対する最後のログオン・アカウントを表示 (Showlast logon account for hardware account): BIOS ユーザー・ログオン画面で、BIOS にログオンした最後のユーザー・アカウントがデフォルトとして表示されます。

v ウォーム・ブートでハードウェア・アカウントを求めるプロンプトを出す(Prompt for hardware account on warm boot): デバイスを再始動する場合、BIOS が再始動の後に同じユーザーがデバイスにアクセスしていることを確認するために、ユーザー・ログインを要求します。

「クライアント・ポリシーの更新 (Update client policy)」ダイアログには、どのデバイスで次の開始時に新しいポリシーが適用されるかを示す、デバイスのリストがあります。このダイアログには、デフォルトで選択されたポリシー設定が示されています。設定を変更した後に元のデフォルトに戻るには、「デフォルトにリセット(Reset to default)」ボタンをクリックします。

更新オプションは、「クライアント・ポリシーの更新 (Update Client policy)」ウィンドウにあります。以下の 3 つのオプションがあります。

1. サーバー設定への適用のみ (Apply to Server Setting only)

2. リモート・アクションの生成のみ (Generate Remote Actions only)

3. 両方 (Both) (デフォルト)

ハードウェア・パスワードのグローバルな更新LANDesk Management Suite の Lenovo Hardware Password Manager 機能には、Hardware Password Manager デバイスのさまざまなハードウェア・パスワードに対するグローバルな管理が含まれます。すべての Hardware Password Manager デバイスによって使用される同じパスワードを指定することも、それぞれのデバイス用に異なるパスワードを自動生成することもできます。この機能は、以下の種類のパスワードを管理します。

v SVP - スーパーバイザー・パスワードは、BIOS 設定の構成を含むデバイスに対する完全な管理者権限をユーザーに付与します。これはパワーオン・パスワードのスーパーセットです。

v POP - パワーオン・パスワードは、ユーザーが通常のユーザー特権でデバイスの電源をオンにしてそれにアクセスできるようにします。

v MHDP - マスター・ハードディスク・パスワードは、ユーザーがハードディスクにアクセスしてユーザー・ハードディスク・パスワードをリセットできるようにします。これは UHDP のスーパーセットです。

v UHDP - ユーザー・ハードディスク・パスワードは、ユーザーがハードディスクにアクセスできるようにします。

管理対象の Hardware Password Manager デバイスに適用するために、これら 4 つのタイプのパスワードのいずれかを選択できます。パスワード・タイプを選択して、すべてのデバイスで同じパスワードが使用されるようにするには、そのパスワードをテキスト・ボックスに入力します。各デバイスが固有のパスワードを持つようにするには、そのパスワード・タイプのチェック・ボックスを選択して、テキスト・ボックスはブランクのままにします。


変更した後にデフォルトに戻す場合には、「デフォルトにリセット (Reset todefault)」ボタンをクリックします。デフォルトでは、4 つのパスワードすべてに対して、各デバイスのために生成された固有のパスワードが設定されます。

これらの設定を変更して「OK」をクリックした後、リモート・アクション・タスクがリモート・アクション・ツリー・リスト (「共通ハードウェア・パスワードの更新 (Update common hardware passwords)」フォルダー内) に作成されます。タスクをクリックして、Hardware Password Manager デバイスに適用されるタスクの状況を表示できます。ツリー内でタスクの下に、デバイスが状況 (アクティブ、保留、失敗、または成功) ごとにリストされます。「すべてのデバイス (Alldevices)」フォルダーを表示してすべてのデバイスを見ることもできます。

Hardware Password Manager デバイスのための現在のハードウェア・パスワードを表示するには、次のようにします。

1. ツールボックスの「リモート・アクションおよびポリシー設定 (Remote actionsand policy settings)」をクリックするか、「ツール (Tools)」->「HardwarePassword Manager」->「リモート・アクションおよびポリシー設定 (Remoteactions and policy settings)」とクリックします。

2. 「リモート・アクション (Remote actions)」ツリー・ビューで、「タイプごとのリモート・アクション (Remote actions by type)」を展開します。

3. 「共通ハードウェア・パスワードの更新 (Update common hardwarepasswords)」を展開します。

4. 「すべてのデバイス (All devices)」フォルダーまたは状況フォルダーの 1 つの、どちらかをクリックします。デバイスのリストで、デバイス名をダブルクリックします。

「ハードウェア・パスワードの表示 (View hardware passwords)」ダイアログは、リモート・アクション・タスクによって変更された現在のデバイス用のパスワード設定、およびパスワードが変更された日付と時刻を示します。

更新オプションは、「共通ハードウェア・パスワードの更新 (Update Common

Hardware Password)」ウィンドウにあります。以下の 3 つのオプションがあります。




緊急アカウントの更新各 Lenovo Hardware Password Manager デバイスには、ユーザーがログインできない場合に、デバイスにログインするために使用できる緊急アクセス・アカウントがあります。「緊急アカウントの更新 (Update emergency account)」機能を使用することにより、このアカウントの資格情報を変更して、その変更をすべての Hardware

Password Manager デバイスに適用できます。

デフォルトで、ユーザー名は Admin で、パスワードはクライアントごとに固有に生成されます。ユーザー名、パスワード、またはその両方を変更できます。ユーザー名を指定して、パスワード・フィールドをブランクのままにした場合、デバイスご


とに固有のパスワードが生成されます。変更した後にデフォルトに戻す場合には、「デフォルトにリセット (Reset to default)」ボタンをクリックします。

Hardware Password Manager デバイスのための現在の緊急アカウントの資格情報を表示するには、次のようにします。


2. 「リモート・アクション (Remote actions)」ツリー・ビューで、「タイプごとのリモート・アクション (Remote actions by type)」を展開します。

3. 「緊急アカウントの更新 (Update emergency account)」を展開します。

4. 「すべてのデバイス (All devices)」フォルダーまたは状況フォルダーの 1 つの、どちらかをクリックします。デバイスのリストで、デバイス名をダブルクリックします。

「緊急アカウントの表示 (View emergency account)」ダイアログは、リモート・アクション・タスクによって変更された現在のデバイス用の緊急アカウントの資格情報、および資格情報が変更された日付と時刻を示します。

更新オプションは、「緊急アカウントの更新 (Update Emergency Account)」ウィンドウにあります。以下の 3 つのオプションがあります。




サーバー・ポリシー設定の変更サーバー・ポリシー設定には、ユーザー登録、資格情報、および管理対象の Lenovo

Hardware Password Manager デバイスのクライアント・ポータルと BIOS 設定を管理するさまざまな方法が含まれます。これらの設定は、LDMS コア・サーバー・コンソールから変更されます。個々のデバイスに影響を与える項目は、各デバイスが次にブートされて更新済みポリシーを要求するまで、保留キューの中で保持されます。

サーバー・ポリシー設定を変更するには、次のようにします。


2. ツールバーで、「サーバー・ポリシー設定の更新 (Update Server PolicySettings)」ボタンをクリックします。

3. ダイアログの 4 つのタブで変更を行ってから、完了したときに「OK」をクリックします。


「サーバー・ポリシー設定 (Server policy settings)」ダイアログのタブについて、以下に説明します。

v 一般 (General) - このタブは、Hardware Password Manager ユーザーの認証に使用される LDMS サーバーの名前、IP アドレス、および UDP ポートをリストします。

「ポータル・サービスの状況 (Status of portal service)」セクションは、LDMS

サーバー上のポータル・サービスが実行しているかどうかを示します。ポータル・サービスは、Hardware Password Manager サーバーのコンポーネントの 1 つである UDP サーバーです。これはユーザーが「イントラネット・アカウント・ログイン (Intranet Account Login)」を使用してログオンするときに、Hardware

Password Manager デバイス BIOS と通信するために使用されます。このダイアログから、必要に応じてサービスを開始、停止、または再開できます。

1 つのイントラネット・アカウントが複数の Hardware Password Manager デバイスに登録できるようにするには、「ユーザーが複数のデバイスに登録できるようにする (Allow users to enroll on multiple devices)」にチェック・マークを付けます。このチェック・ボックスがクリアされている場合、1 つのイントラネット・アカウントは 1 つのデバイスにのみ登録できます。

Lenovo のワンタッチ機能を使用して新しい Hardware Password Manager デバイスを事前登録するには、「ワンタッチ登録を使用可能にする (Enable one-touchregistration)」にチェック・マークを付けます。ワンタッチ登録は、ユーザーがWindows にログインするときに、自動的にデバイスを登録して緊急管理アカウントを作成します。

最初に登録されたユーザーが BIOS の管理者特権を持つようにするには、「マシンに最初にログオンするユーザーを管理者として有効にする (Enable First Userlogged on a machine as Administrator)」にチェック・マークを付けます。

v 資格情報 (Credentials) - このタブは、自動生成されるパスワードの長さ、および保持するパスワード・バックアップの数を決めます。バックアップは暗号化されて、LDMS データベースに保管されます。

デフォルトで、自動生成のハードウェア・パスワードおよび緊急管理アカウント・パスワードの長さは、32 から 64 文字までとなります。両方のタイプのパスワードで、最小数および最大数を変更できます。ハードウェア・パスワード用に保存するバックアップの数も指定できます。

v クライアント・ポータル (Client Portal) - このタブは、管理対象の Hardware

Password Manager デバイスのクライアント・ポータル・メニューでどのメニュー項目の表示を有効にするかを指定します。デバイスのユーザーは Windows の「スタート」メニューからポータルにアクセスします (「スタート」->「すべてのプログラム」-> ->「ThinkVantage」->「Hardware Password Manager」)。クライアント・ポータル・メニュー項目は、常に選択されています。「ユーザー(User)」、「サービス技術者 (Service Tech)」、および「管理者 (Administrator)」役割に関連するインターネット資格情報を入力した後に、ユーザー除去などのタスクを実行する場合、クライアント・ポータル権限を持たない場合にはエラーになります。ユーザーは Hardware Password Manager デバイスに、ユーザーが属するユーザー・グループに関連した、割り当てられた役割でログインします。 (役割についての説明は、 13ページの『Hardware Password Manager グループの管


理』を参照してください。) そのため、例えばあるユーザーには、クライアント・ポータル上ですべてのオプションが表示されていても、サービス技術者には限定されたオプションのセットしか使用可能でないということもあります。ユーザーが、その役割に対してチェック・マークを付けられていないオプションを使おうとすると、エラー・メッセージが表示されます。

v BIOS - このタブは、管理対象の Hardware Password Manager デバイスの「BIOS」メニューでどのメニュー項目の表示を有効にするかを指定します。また、Hardware Password Manager デバイス管理から除外される BIOS のバージョンを指定できるようにします。

BIOS のメニュー項目は、3 つのユーザー役割 (「ユーザー (User)」、「サービス技術者 (Service Tech)」、「管理者 (Administrator)」) に対して別々に選択されます。ユーザーは Hardware Password Manager デバイスに、ユーザーが属するユーザー・グループに関連した、割り当てられた役割でログインします。 (役割についての説明は、 13ページの『Hardware Password Manager グループの管理』を参照してください。) そのため、例えばあるユーザーには HPM BIOS メニュー上ですべてのオプションが表示されていても、サービス技術者には限定されたオプションのセットしか使用可能でないということもあります。

注: クライアント・ポリシーが「ハードウェア・アカウントが Windows 資格情報と等しい (Hardware Account equals Windows Credentials)」に設定されているとき、「ハードウェア・アカウント・パスワードの変更 (Change HardwareAccount password)」オプションは、それが役割に対してチェックされているかどうかには関係なく表示されません。

「BIOS バージョンの除外リスト (BIOS version exclude list)」セクションでは、Hardware Password Manager 管理から除外する BIOS のバージョンをリストできます。リストされた BIOS のあるデバイスでリモート・アクションを実行しようとすると、そのリモート・アクションは失敗します。同様に、リストされたBIOS のある Hardware Password Manager デバイスを登録しようとすると、その登録は実行されません。


第 4 章 Hardware Password Manager クライアント

Hardware Password Manager BIOS チップを搭載する Lenovo デバイスは、管理サーバー (Hardware Password Manager サーバーと呼ばれる) に登録する必要があります。デバイスの登録処理は、デバイスにエージェントをインストールすることから始まります。ユーザーが BIOS レベルのプログラムを実行するとデバイスが登録され、その後 1 人以上のユーザーがそのデバイスに認証済みユーザーとして登録されます。 Hardware Password Manager がインストールされると、デバイスにログインできるのは登録済みユーザー (またはデバイスが関連付けられたグループ内のユーザー) だけになります。デバイスへのアクセス、さらにはハードディスク・ドライブへのアクセスは、Hardware Password Manager が実行されている限り、登録済みユーザー (またはデバイスと同じグループ内のユーザー) に制限されます。

LANDesk Management Suite コア・サーバーが、Hardware Password Manager サーバーの役割を果たします。管理機能には LDMS コンソールを通してアクセスします。管理者はこれらの機能を使用して、Hardware Password Manager デバイスの管理、Hardware Password Manager BIOS 対応デバイスへのエージェントのインストール、これらのデバイスに関する登録の管理を行えます。

Hardware Password Manager デバイス上で、管理機能には BIOS メニュー (OS 始動前にアクセス) およびクライアント・ポータル・メニュー (Windows ログイン時に、または「スタート」メニュー・オプションからアクセス) を通してアクセスします。管理者は、これらのメニューをカスタマイズして使用可能な機能を決定できます。

この章では、Hardware Password Manager デバイスと Lenovo Hardware Password

Manager の使用について説明します。この内容は、デバイスを Hardware Password

Manager サーバーに登録し、ユーザーとして登録するエンド・ユーザー向けに書かれています。このガイドには、以下のセクションがあります。

v 『Hardware Password Manager デバイスのセットアップ』

v 24ページの『Hardware Password Manager サーバーへのデバイスの登録と最初のユーザーの登録』

v 25ページの『Hardware Password Manager デバイスでの追加ユーザーの登録』

v 26ページの『Hardware Password Manager デバイスからのユーザーの登録解除』

v 26ページの『Hardware Password Manager サーバーからのデバイスの登録抹消』

v 27ページの『Hardware Password Manager デバイス上の資格情報の更新』

Hardware Password Manager デバイスのセットアップHardware Password Manager 用にデバイスを登録する前に、以下のように BIOS の設定の一部を変更する必要があります。

1. システムの電源をオンにします。

2. F1 キーを押して Bios セットアップ・ウィンドウにブートします。

3. 「Security」タブで、「Password」を選択します。


4. 「Hardware Password Manager」を選択し、「Enabled」に設定します。

5. F10 キーを押して保存して閉じます。

Hardware Password Manager サーバーへのデバイスの登録と最初のユーザーの登録

デバイスを Hardware Password Manager サーバーに登録するためには、Hardware

Password Manager クライアントがデバイスにインストールされていて、BIOS で有効になっていなければなりません。この操作は、デバイスに Hardware Password

Manager クライアントと共にエージェントをインストールする LANDesk 管理者によって行われます。

クライアントがインストールされると、クライアントは Hardware Password

Manager サーバーと通信してデバイスを認証します。次にクライアントは、Hardware Password Manager サーバーに Hardware Password Manager ポリシー設定を要求できます。その後ユーザーがデバイスにログオンするための資格情報を入力した時点で、登録処理が完了します。

登録が行われるためには、Hardware Password Manager サーバーのあるネットワークにデバイスが接続されていなければなりません。

管理者には、Hardware Password Manager デバイスの登録を開始するためのオプションとして、次の 2 つがあります。

v ユーザーが Windows にログオンすると自動的に登録が開始される。このオプションの場合、管理者は Hardware Password Manager デバイスに適用されるクライアント・ポリシーの Windows ログイン・オプションで、自動開始登録を選択します。

v ユーザーがクライアント・ポータルを開いて登録を開始する。

デバイスを Hardware Password Manager サーバーに登録し、ユーザーを登録するには、以下のようにします。

1. 「スタート」->「すべてのプログラム」->「ThinkVantage」->「HardwarePassword Manager」をクリックしてクライアント・ポータルを開きます。 (管理者が自動開始をセットアップしている場合、ユーザーがログインするとこのポータルが自動的に開きます。)

2. 「システムの登録」をクリックします。

3. 「次へ」->「再起動」->「OK」をクリックして、デバイスを再起動します。

4. BIOS が実行されると、登録を続けるかどうかを確認するメッセージが HPM

初期化プロセスから出されます。「OK」を選択します。 Windows が始動してログインすると、クライアント・ポータル・ダイアログが開きます。

5. 「イントラネット・アカウントの資格情報を入力してください (Enter YourIntranet Account Credentials)」のフィールドに、ドメインにログインするためのユーザー名とパスワードを入力します。

6. 「Windows 資格情報を入力してください (Enter your Windows Credentials)」のフィールドに、このデバイス上の Windows にログインするためのユーザー名、パスワード、ドメインを入力します。


7. サーバー・ポリシーに従って「ハードウェア・アカウントを入力してください(Enter your Hardware Account)」がポップアップする場合があります。「完了」をクリックします。

8. カウントダウン・ウィンドウ・ポップアップを中断して 30 秒待つか、または「OK」をクリックして中断します。

9. デスクトップにログオンすると、再起動を求めるプロンプトが出されます。

10. 「OK」をクリックしてデバイスを再起動します。

11. BIOS ログイン・プロンプトで、Windows 資格情報またはデバイスのハードウェア・アカウント資格情報を使用してログインします。

「マシンの最初の登録ユーザーを管理者として有効にする (Enable First Userenrolled on a machine as Administrator)」のチェック・マークを外した場合、最初に登録されたユーザーは BIOS のユーザー特権を持ちます。「マシンの最初の登録ユーザーを管理者として有効にする (Enable First User enrolled on a machine asAdministrator)」にチェック・マークを付けた場合、最初に登録されたユーザーはBIOS の管理者特権を持ちます。

Hardware Password Manager デバイスでの追加ユーザーの登録LANDesk 管理者が複数のユーザーを有効にしている場合は、複数のユーザーがシングル・サインオン保護を使用して Hardware Password Manager デバイスにログインできます。登録済みユーザーの誰がデバイスにログインしても、クライアント・ポータルが実行され、シングル・サインオンでデバイスにアクセスできます。これには、LANDesk Management Suite コンソールによって登録された管理ユーザーが含まれます。

デバイスに追加ユーザーを登録するには、以下の要件を満たす必要があります。

v デバイスに適用されるクライアント・ポリシーで、「単一デバイスでの複数ユーザーの登録を許可 (Allow multiple users to enroll on a single device)」が選択されていなければなりません。

v 追加ユーザーごとに、デバイスにアカウントを作成する必要があります。

v 「Hardware Password Manager デバイス (Hardware Password Manager devices)」下のデバイスを、「 Active Directory」または「eDirectory」グループにドラッグする必要があります。

管理者がデバイスに対して複数のユーザーを可能にしている場合、複数のユーザーを登録するには、以下のステップを完了します。

Hardware Password Manager デバイスに追加ユーザーを登録する方法:

1. Windows にログインします。

2. 「スタート」->「すべてのプログラム」->「ThinkVantage」->「HardwarePassword Manager」をクリックしてクライアント・ポータルを開きます。 (管理者が自動開始をセットアップしている場合、このポータルが自動的に開きます。)

3. 「追加ユーザーの登録」をクリックします。

4. サーバーのポリシーに従って、ユーザーのイントラネット資格情報、Windows

資格情報、またはハードウェア・アカウント資格情報を入力します。

第 4 章 Hardware Password Manager クライアント 25

5. カウントダウン・ウィンドウ・ポップアップを中断して 30 秒待つか、または「OK」をクリックして中断します。

6. デスクトップにログオンすると、再起動を求めるプロンプトが出されます。

7. BIOS ログイン・プロンプトで、このデバイスの追加ユーザーの Windows 資格情報を使用してログインします。

注: ボールト < > Windows (ボールトが Windows と同じでない) 場合は、追加ユーザーのハードウェア・アカウント資格情報を使用してログインします。

登録された追加ユーザーは、グループの役割 (ユーザー、管理者、またはサービス技術員) に従って、BIOS のユーザー権限または管理者権限を持ちます。

Hardware Password Manager デバイスからのユーザーの登録解除Hardware Password Manager デバイスに対するユーザーのアクセス権限が必要なくなった場合、ユーザーを登録解除してアクセス権限を終了させることができます。ユーザーを登録解除すると、そのユーザーの資格情報のみがハードウェア・アカウントから削除されます。ハードウェア資格情報はデバイス上に残っており、他のユーザーの資格情報は影響を受けません。

Hardware Password Manager デバイスからユーザーを登録解除するには、次のようにします。

1. Windows にログインします。

2. 「スタート」->「すべてのプログラム」->「ThinkVantage」->「HardwarePassword Manager」をクリックしてクライアント・ポータルを開きます。

3. 「ユーザーの削除」をクリックします。

4. プロンプトが出されたらイントラネット・アカウント資格情報を入力します。

5. 「OK」をクリックしてシステムが中断することを確認します。

システムが中断してユーザーの登録解除が完了すると、システムは自動的に再開されます。

Hardware Password Manager サーバーからのデバイスの登録抹消Hardware Password Manager サーバーからデバイスを登録抹消するには、次の 2 つの方法があります。

v ユーザーが BIOS の Hardware Password Manager ログイン・メニューを開いてデバイスを登録抹消できます。 (Hardware Password Manager ログイン・メニューを開く方法についての説明を参照してください。)

v 管理者が LANDesk Management Suite の Hardware Password Manager 管理ツールを使用して、デバイスを登録抹消できます。

デバイスを登録抹消すると、Hardware Password Manager サーバーに再登録されない限り、Hardware Password Manager 機能は無効になります。


Hardware Password Manager デバイス上の資格情報の更新デバイスの Hardware Password Management を有効にすると、Hardware Password

Manager ログイン・メニューにアクセスしてパスワード管理に変更を加えることができます。クライアント・ポータルにアクセスして登録操作を行うこともできます。

これらのメニューには、デバイスで使用可能なパスワード管理オプションが表示されます。これらのメニューで使用可能なオプションは、管理者が Hardware Password

Manager サーバー上に構成したものです。管理者が Hardware Password Manager をどのようにセットアップしたかによっては、以下に示すオプションのうちに使用可能でないものがある場合があります。

以下のオプションは、ハードウェア・アカウントを参照します。これはコンピューターの BIOS によってのみアクセスできる不揮発メモリーのセキュア領域です。ハードウェア資格情報とすべてのユーザー資格情報は、ハードウェア・アカウントに保管されます。ユーザーがハードウェア・アカウントに直接アクセスすることはありませんが、資格情報が追加または変更されるとハードウェア・アカウントに書き込まれます。

Hardware Password Manager ログイン・メニューとして、以下の操作があります。

v Windows の開始

v ハードウェア・アカウントの復元 (ハードウェア・アカウントに保管されている資格情報の復元)

v PC の登録抹消

v ハードウェア・アカウント・パスワードの変更

v Hardware Password Manager サーバーからのデバイスの登録抹消

クライアント・ポータル・メニューとして、以下の操作があります。

v デバイスの登録

v 最初のユーザーの登録

v 追加ユーザーの登録

v ユーザーの登録解除

v ユーザーの削除

v ハードウェア・アカウントの更新

v ハードウェア・アカウントの復元

Hardware Password Manager ログイン・メニューを開くには、次のようにします。

1. デバイスの電源をオンにします。

2. 「ユーザー・ログイン (User Login)」プロンプトで、Esc キーを押します。

3. 「イントラネット・アカウント・ログイン (Intranet account login)」を選択してHPM BIOS メニューを開きます。

4. 有効なコーポレート資格情報を入力します。

5. Hardware Password Manager メニューが開きます。

第 4 章 Hardware Password Manager クライアント 27

クライアント・ポータルを開くには、次のようにします。

1. Windows で、「スタート」->「すべてのプログラム」->「ThinkVantage」->「Hardware Password Manager」をクリックします。


第 5 章デプロイメント

この章では、Hardware Password Manager デバイスと Hardware Password Manager

を使用するための追加のデプロイメント情報について説明します。対象読者は、Hardware Password Manager サーバーを使用してデバイスを管理し、それらのデバイスを他のデバイスと共に構成する管理者です。このガイドには、以下のセクションがあります。

v 『指紋機能の組み込み』

v 31ページの『Safe Guard Easy/Safe Guard Enterprise の互換性』

v 31ページの『ワンタッチ登録』

v 33ページの『クライアント・ポリシーの設定』

指紋機能の組み込みHardware Password Manager ユーティリティーは、Lenovo 推奨の指紋認証ユーティリティー (Authentec および UPEK) と完全な互換性があります。 Windows XP® クライアントでは、Hardware Password Manager クライアントを Hardware Password

Manager GINA なしでインストールすることをお勧めします。これにより、ユーザーは指紋を使用して Windows へのシングル・サインオンを行うことができます。GINA なしで Hardware Password Manager クライアント・アプリケーションをインストールするには、以下のインストール・コマンドを使用します。

CMPInstall.exe /vNOGINA=1

さらに、Hardware Password Manager を指紋認証ユーティリティーと共に使用するときには登録の順序が重要です。最初に Hardware Password Manager に登録して、ハードウェア・パスワードを設定します。次に指紋設定ユーティリティーを使用して、ユーザーの指紋を開始前アクセスのために登録します。指紋を初めて登録したときには、コンピューターをシャットダウンしてから再起動します。指紋を読み取らせると、資格情報を入力してデスクトップにログインするためのユーザー・ログインのプロンプトが表示されます。 2 回目にコンピューターを再起動した後に、指紋を読み取らせると、実際のハードウェア・パスワードがリリースされます。 BIOS

指紋プロンプトが表示されたときに登録済みの指紋を読み取らせると、BIOS プログラムは実際のハードウェア・パスワードをハードウェア・アカウントからリリースします。

Windows オペレーティング・システムにログインした後に、指紋登録ウィザードおよび Hardware Password Manager 登録ウィザードが同時に表示された場合は、最初に Hardware Password Manager 登録ウィザードを実行してください。ただし、最初に指紋を登録した場合でも、ハードウェア・パスワードをまだ設定していなければ、その指紋を Hardware Password Manager に設定することができます。


イメージを作成している場合、イメージで以下のステップを使用することにより、システムが Hardware Password Manager ユーティリティーに登録されるまで指紋登録ウィザードを抑止できます。

1. デフォルトで、指紋登録ウィザードを使用不可にします。

Authentek:

HKEY_CURRENT_USER¥Software¥Authentic Biometric Suite¥bFingerprintSoftwareStartUp

UPEK:

HKEY_CURRENT_USER¥Software¥Protector Suite¥Control Center¥1.0¥ShowOnStartup

2. システムが Hardware Password Manager ユーティリティーに登録されて、現在のユーザーが Hardware Password Manager に登録された場合に、指紋登録ウィザードを使用可能にするスクリプトを作成します。スクリプト内で登録状況を取得するために IT 管理者が使用できるユーティリティーが、 Hardware Password

Manager プログラム・フォルダーに用意されています。

スクリプト・インターフェースは、以下のように定義されます。

v ユーティリティー名:

cmp_util.exe

v 前提条件:

psadd.sys デバイス・ドライバー、cmp_server_dll.dll

v 使用法:

cmp_util.exe <command>、ここで <command> は以下のいずれかです。

– supported* - ユーティリティーが現行システムでサポートされるかどうかを返します。

– registered - 現行システムがユーティリティーに登録されているかどうかを返します。

– enrolled - 現在の Windows システム・ユーザーがユーティリティーに登録されているかどうかを返します。

– enabled - ユーティリティーが BIOS プログラムで使用可能かどうかを返します。

– show - 上記のすべてのコマンドの結果をコンソールに表示します。

v 戻りコード

– 0 - 偽

– 1 - 真

– 2 - エラー

v 例:

cmp_util.exe -supported

指紋登録の動作は、Hardware Password Manager に登録されたシステムと登録されていないシステムとで少し異なります。登録されたシステムでは、BIOS プログラムは実際のハードウェア・パスワードの代わりに、 Hardware Password Manager User

Login 資格情報 (ハードウェア・アカウント ID およびパスワード) を求めるプロン


プトを出します。指定のユーザー・ログイン資格情報を検証した後、BIOS プログラムは実際のハードウェア・パスワードをハードウェア・アカウントから取得して、それらを指紋デバイスに保存します。

検討する必要のある他の指紋シナリオ:

1. ユーザーが開始前アクセス用に指紋を登録した後に Hardware PasswordManager に登録する (ハードウェア・パスワードは設定済み) このシナリオでは、ユーザーは POP を設定済みで、開始前の指紋アクセス用に登録しています。クライアント・ポータルは、Hardware Password Manager への登録前に開始前パスワードが設定されるときと同様の方法で、このシナリオを処理します。この場合、クライアント・ポータルはユーザーにすべてのハードウェア・パスワードを除去するように指示します。

2. ユーザーが開始前アクセス用に指紋を登録した後に Hardware PasswordManager に登録する (ハードウェア・パスワードは消去済み) このシナリオでは、ユーザーは開始前の指紋アクセス用に登録済みですが、(直前のシナリオで要求されたように) POP および HDP を手動で消去しています。システムは開始して、ユーザーは Hardware Password Manager ユーティリティーに登録できます。ただし、ユーザーが次にシステムを開始して指を読み取らせると、BIOS プログラムは 1 つまたは複数の古いパスワードを指紋デバイスから取り出して、それらが無効であると判断します。その後 BIOS プログラムは、ユーザー・ログイン資格情報を求めるプロンプトを出します。ユーザーがハードウェア・アカウントによって検証される場合、ハードウェア・パスワードは BIOS プログラムによってシステム・ハードウェア・アカウントから取り出されて、パスワードが検証されます。それらが確認された場合、新しいパスワードが自動的に指紋デバイスに保管されます。

Safe Guard Easy/Safe Guard Enterprise の互換性Safe Guard Easy/Safe Guard Enterprise ユーティリティーを使用する環境では、Hardware Password Manager クライアントは Safe Guard Easy/Safe Guard Enterprise

ユーティリティーの後にインストールする必要があります。

また、Safe Guard Easy/Safe Guard Enterprise ユーティリティーがインストールされている場合、Hardware Password Manager シングル・サインオン機能が機能しないという制約もあります。そのため、ユーザーが通常の Hardware Password Manager

ユーザー・ログインを実行しても、ユーザーは自動的に Windows オペレーティング・システムにログインしません。

ワンタッチ登録管理者として、システムを Hardware Password Manager ユーティリティーに登録することにより、デプロイメントおよび配布のプロセス中にそれらを許可されていないユーザーから保護することができます。これは、管理者が共通のローカル管理者アカウントを使用してすべてのシステムを Hardware Password Manager ユーティリティーに登録できるようにすることで実現します。このプロセスを完了するには、サービス妨害攻撃を防止するために必要な、単一の手動ステップ (ワンタッチ) が必要です。

第 5 章デプロイメント 31

このプロセスはポリシーによって開始され、管理者コーポレート資格情報は、ポリシー設定として提供される Hardware Password Manager サーバーから取得されます。ワンタッチ登録を使用可能にすると、管理コンソールは登録プロセスで使用するコーポレート資格情報を求めるプロンプトを自動的に出します。

注: ワンタッチとは、管理者がシステムを Hardware Password Manager ユーティリティーに登録するために必要な 1 つの手動のステップのことです。システムが登録されてユーザーに送達されると、ローカルまたはドメイン・ログインによりシステム上の Windows システムに正常にログインするユーザーに対して、登録を (ポリシーに基づいて) 自動的に開始させることができます。システムが既に登録されている場合、「ワンタッチ」登録プロセスは無視されます。

事前登録このプロセスは、以下の相違点を除いて通常の登録プロセスと同じです。

1. ポリシーに基づいて、クライアント・ポータル (Windows にログインするときに自動的に起動される) は、ワンタッチ・ポリシー設定に基づいてワンタッチHardware Password Manager 登録機能を開始します。

2. クライアント・ポータルは、登録を続行する確認を求めるプロンプトを出しません。

3. クライアント・ポータルは、ユーザーの存在を確認する前の再起動を確認するプロンプトを出しません。

再起動の後に、「登録の確認 (Confirm Registration)」で「Enter」を押します。

4. クライアント・ポータルは、コーポレート、Windows、またはハードウェア・アカウントの資格情報を求めるプロンプトを出しません。使用されるコーポレート資格情報は、管理者によって提供される管理者レベルの資格情報です。ユーザー・アカウントが作成されないので、Windows およびハードウェア・アカウントの資格情報は必要ありません。共通の管理者アカウントだけが登録されます。

5. クライアント・ポータルは、ユーザーに通知せずに中断および再開操作を行います。

6. クライアント・ポータルは、呼び出しプロセスに成功コードまたは失敗コードを返します。成功コードまたは失敗コードを返して自動的に再起動することはありません。

ワンタッチ登録処理が完了すると、システムはパスワードで保護されて、単一のローカル・ハードウェア・アカウントが存在するようになります。このハードウェア・アカウントは、共通の管理者ハードウェア・アカウント資格情報に設定されます。管理者はこれらのシステムを、それらがハードウェア・パスワードによって保護されていることを知っているので、エンド・ユーザーに安全に配布することができます。

事前登録されたシステムでのユーザー登録システムがユーザーに配達される時に、ユーザーはシステムに対するアクセス権限を取得するために、Hardware Password Manager ログイン (ネットワーク・アクセスが必要) を行う必要があります。ネットワーク・アクセスが使用できない場合、ま


たは Hardware Password Manager サーバーが VPN の背後にある場合、管理者には共通管理者ハードウェア・アカウント資格情報を提供してシステムへのアクセスを許可するオプションがあります。

このフローは、以下の相違点を除いて通常の「追加ユーザーの登録 (Enroll

Additional Users)」フローと同じです。

1. ユーザーが Windows システムにログインすると、クライアント・ポータルが自動的に開始して、ユーザーが Hardware Password Manager に登録するように求めるプロンプトを出します。

注: 自動登録は、ポリシーによって管理できます。

2. クライアント・ポータルは、ユーザーに対して、「ユーザー登録 (User

Enrollment)」ウィンドウにコーポレート資格情報の入力を求めるプロンプトを出します。

クライアント・ポリシーの設定以下は、Hardware Password Manager サーバーによって管理されるクライアント固有のポリシー設定です。

表 1. Hardware Password Manager サーバーによって管理されるポリシー設定

設定説明デフォルト

ハードウェア・アカウントをWindows アカウントと同期させる (同じユーザー名およびパスワード) (Synchronize

Hardware account with

Windows account (same user

name and password))

クライアントがハードウェア・アカウント資格情報をユーザーの Windows 資格情報と同期させる必要があるかどうかを定義します。

有効にした場合、ユーザーがWindows パスワードを変更するとハードウェア・アカウントも更新されます。詳しくは、新しい Windows パスワードがハードウェア・アカウント (シングル・サインオン用) に保管されて、ハードウェア・アカウント・パスワードが新しい Windows パスワードと同じになるように更新されます。

真

第 5 章デプロイメント 33

表 1. Hardware Password Manager サーバーによって管理されるポリシー設定 (続き)

設定説明デフォルト

Windows ログイン時に登録を自動始動 (Auto-start

registration at Windows login)

以下の条件が存在するとき、Windows ログイン時にHardware Password Manager

登録が自動的に開始するかどうかを定義します。

v Hardware Password

Manager ユーティリティーが有効

v ローカルのハードウェア・アカウントが存在しない

v Hardware Password

Manager サーバーへのネットワーク接続が存在する

システムが登録されているときは、Windows ログイン時に登録プロンプトがユーザーに表示されません。

真

Windows ログイン時にユーザー登録を自動始動 (Auto-start

user enrollment at Windows

login)

以下の条件が存在するとき、Windows ログイン時にHardware Password Manager

ユーザー登録が自動的に開始するかどうかを定義します。

v Hardware Password

Manager ユーティリティーが有効

v 対応する Windows アカウントに対するローカルのハードウェア・アカウントが存在しない

v Hardware Password

Manager サーバーへのネットワーク接続が存在する

真

注: クライアント・ポリシー設定は、グローバルに、または特定のシステムに対して個別に適用することができます。クライアント・ポリシー設定は、Windows ログイン時に自動的に更新されます。


第 6 章シナリオ

この章では、ハードウェアおよびユーザーの構成変更に関連するシナリオを説明します。これらのシナリオにおいては、すべてのシステムが Hardware Password

Manager に登録されているものとします。

保守関連シナリオ (構成変更)このセクションでは、ハードウェアに関するシナリオを説明します。

シナリオ 1 - ハードウェア構成変更ハードウェア変更を行うと BIOS エラーが発生し、BIOS セットアップに入るための管理者パスワード (PAP/SVP) の入力を求めるプロンプトが出されます。 BIOS

セットアップに入ったら、変更を受け入れることで BIOS エラーはクリアされます。

管理者パスワードのプロンプトをスキップし、システムを再起動することもできます。この場合、BIOS エラーはクリアされません。BIOS セットアップに入ってメモリー変更を受け入れるまで、その後のすべての再起動で、管理者パスワードを求めるプロンプトがその都度出されます。

システムのハードウェア変更が行われると、BIOS エラーが発生し、「ユーザー・ログイン (User Login)」ウィンドウが表示されます。以下のいずれかの操作を行います。

v 「ユーザー・ログイン (User Login)」ウィンドウで、Hardware Password Manager

管理者特権を持つアカウントを使用して、ハードウェア・アカウント資格情報を入力します。 Hardware Password Manager ユーザー特権を持つハードウェア・アカウント資格情報を入力すると、管理者パスワードを求める別のプロンプトがBIOS から出されます。

v 「ユーザー・ログイン (User Login)」ウィンドウで、Esc キーを押して「ログイン・メニュー (Login Menu)」ウィンドウを開き、「インターネット・アカウント・ログイン (Internet Account Login)」を選択してウィンドウを開きます。管理者のコーポレート資格情報を入力して PAP/SVP をリリースします。

v 「ユーザー・ログイン (User Login)」ウィンドウで、Esc キーを押して「ログイン・メニュー (Login Menu)」ウィンドウに進みます。次に「パスワードの手動入力 (Manually Enter Passwords)」を選択して手動ログインに進み、PAP/SVP を入力します。 PAP/SVP は、Hardware Password Manager 管理コンソールから入手できます。

注:

1. デスクトップ・システムでは、PAP が不明の場合は、CMOS バッテリーを取り外せば POP と PAP が両方とも消去されます。

2. Lenovo ThinkPad では、ハードウェア変更を行っても、ホット・スワップまたはウォーム・スワップを可能にするために BIOS エラーは発生しません。したがって、PAP/SVP を必要としません。


シナリオ 2 - CMOS エラーCMOS メモリー内の BIOS 設定を保護するために、エラー検出用のチェックサムが計算されて保存されます。システムが起動するたびにこの数値が再計算され、保管されている値と照合されます。両者が一致しない場合はエラー通知が生成され、CMOS の内容が破損している可能性があるので誤った設定があるかもしれないということが、ユーザーに通知されます。 CMOS のチェックサム・エラーの最も一般的な原因は、バッテリーの電力がなくなっているか、ウィルスあるいはシステム・ボードの問題です。

CMOS エラーになった場合、システムがオペレーティング・システムを始動できるようにするには、BIOS セットアップに入り、「Load Default Settings」を選択する必要があります。 BIOS セットアップに入るためには、SVP を指定する必要があります。

CMOS エラーが起きた場合、この BIOS エラーが発生すると「ユーザー・ログイン(User Login)」ウィンドウが表示されます。以下のいずれかの操作を行います。

v Hardware Password Manager 管理者特権を持つハードウェア・アカウント資格情報を入力して、緊急時管理者アカウントなどの SVP/PAP を発行します。Hardware Password Manager ユーザー特権を持つハードウェア・アカウント資格情報を入力すると、PAP/SVP を求めるプロンプトが BIOS から出されます。

v 以下の方法でコーポレート資格情報を入力します。

1. Esc キーを押して「ログイン・メニュー (Login Menu)」ウィンドウを開きます。

2. 「イントラネット・アカウント・ログイン (Intranet Account Login)」を選択して「インターネット・アカウント・ログイン (Internet Account Login)」ウィンドウを開きます。

3. 「インターネット・アカウント・ログイン (Internet Account Login)」ウィンドウでユーザー名とパスワードを入力します。

v 「ユーザー・ログイン (User Login)」ウィンドウで、Esc キーを押して「ユーザー・ログイン (User Login)」ウィンドウを開き、「パスワードの手動入力(Manually Enter Passwords)」を選択します。手動ログインで、PAP/SVP を入力します。この情報は、Hardware Password Manager 管理コンソールから入手できます。

注: デスクトップ・システムの場合は、F2 キーを押してシステムを起動することによって CMOS エラーをスキップできます。 BIOS セットアップに入って F9 キーを押してデフォルト設定をロードするまでは、次の起動時も同じエラーになります。

シナリオ 3 - 指紋認証デバイスの交換ユーザーは Hardware Password Manager を使用して、シングル・サインオン機能用に自分の指紋を登録することができます。開始前アクセスのために指紋を登録すると、読み取られた指紋にハードウェア・パスワードが関連付けられ、ハードウェア・パスワードは指紋認証デバイス内に保管されます。プロンプトでユーザーが登録済みの指紋をセンサーに読み取らせると、BIOS はハードウェア・アカウントの実際のハードウェア・パスワードをリリースします。システムの起動時、BIOS はまず指紋読み取りプロンプトを表示します。「ユーザー・ログイン (User Login)」ウィ


ンドウを開くには、ユーザーは ESC キーを押す必要があります。指紋認証デバイスを除去すると、指紋読み取りプロンプトは表示されなくなり、「ユーザー・ログイン (User Login)」ウィンドウが最初に表示されます。

不良の指紋認証デバイスを取り替えた場合、登録済みの指紋および関連付けられたハードウェア・パスワードは消失します。ユーザーが自分の指紋を使用できなくなることを除いて、Hardware Password Manager は影響を受けません。指紋読み取りプロンプトが表示されなくなり、「ユーザー・ログイン (User Login)」ウィンドウが最初に表示されます。

指紋によるアクセスを再開するには、ユーザーは Fingerprint Setup Utility を使用して、Windows および開始前資格情報のために自分の指紋を登録する必要があります。指紋認証デバイスを指紋とパスワードが既に登録されている別の指紋認証デバイスに取り替えた場合、ユーザーが手動、「ユーザー・ログイン (User

Login)」、「Hardware Password Manager ログイン (Hardware Password Manager

Login)」のいずれかを使用して正しいパスワードを指定しさえすれば、BIOS は登録済みのパスワードを上書きします。 Hardware Password Manager 管理者特権を持たないハードウェア・アカウント資格情報を指定した場合、指紋認証デバイス内のパワーオン・パスワードとハードディスク・パスワードのみが更新されます (ユーザーが Hardware Password Manager 管理者資格情報を使用してログインするか、正しい PAP/SVP を手動で入力するまでは、指紋認証デバイスに PAP/SVP が追加されません)。

シナリオ 4 - 既にハードウェア・パスワードが設定されているハードウェア・パスワードが登録前に既に設定されていると、ユーザーは Hardware

Password Manager に登録することはできません。登録するにはハードウェア・パスワードを手動で消去する必要があるというメッセージが、登録処理の開始時にクライアント・ポータルからユーザーに通知されます。ユーザーがハードウェア・パスワードを消去すると、登録は正常に進みます。

シナリオ 5 - オペレーティング・システム下のセットアップ (リモート BIOS 設定)

このシナリオは、新しいマシンを入手し、シリアル・ポートの無効化や管理者パスワードの設定など、デフォルトの BIOS 設定をロールアウトする場合が該当することがあります。

マシンが Hardware Password Manager に登録されている場合、現在のパスワード(LDMS コンソールを使用して入手可能) を指定しない限り、OS 下のセットアップでハードウェア・パスワードを変更することはできません (ハードウェア・パスワードは HPM サーバーによって管理されているため)。ユーザーが Hardware

Password Manager に登録されたマシンで (BIOS セットアップを使って手動で、または OS 下のセットアップを使用して) Hardware Password Manager を無効にした場合、BIOS はハードウェア・パスワードを消去し、ローカル・ハードウェア・アカウントと SST を削除します。

シナリオ 6 - システム・ボードの交換システム・ボードを取り替えると、POP、SVP、ハードウェア・アカウント、サーバー資格情報は、システム上に存在しなくなります。 HDP の設定のみが残ります。

第 6 章シナリオ 37

この場合は、BIOS セットアップで HDP を手動で消去し、マシンを起動し、クライアント・ポータルを使用して Hardware Password Manager に再登録する必要があります。 HDP を消去するためには、手動で入力する必要があります。この情報はLDMS コンソールから入手できます。

正しい HDP を見つけるためには、ハードディスクの HDD ID が必要です。 HDD

ID は、Lenovo 提供の Hardware Password Manager DOS ユーティリティーを使用して取得できます。

あるシステムから別のシステムへシステム・ボードを移動した場合、そのシステム・ボードは Hardware Password Manager に登録されていないと見なされます。システム・ボードをフィールドに再デプロイする前に、Hardware Password Manager

をクリアするか無効にする必要があります。

v デスクトップ・システム - システム・ボードが登録抹消されていない場合は、CMOS バッテリーを取り外して POP/SVP を消去した後、BIOS セットアップに入って Hardware Password Manager を無効にします。

v ThinkPad - CMOS バッテリーを取り外しても SVP は消去されません。BIOS セットアップに入って Hardware Password Manager を無効にするためには、LDMS

コンソールから SVP を入手する必要があります。

注: システム・ボードを交換する場合は、Hardware Password Manager に登録する前に、マシン・タイプ/モデルとシリアル番号を再設定して、正しい値に合わせる必要があります。

新しいシステム・ボードを搭載したクライアント・システムを同じ Hardware

Password Manager サーバー・ドメインに再登録する場合、サーバーはそのマシンが既に登録されている (すなわちマシン/ユーザー/HDD インスタンスとハードウェア・アカウント・バックアップが既に存在する) ことを認識し、サーバー上のすべての構造をクリアした後に登録を進めます。

シナリオ 7 - ハードディスク・ドライブの追加Hardware Password Manager に登録されたシステムにハードディスクを追加する場合、Hardware Password Manager が新しいハードディスクにパスワードを割り当てることができるように、ハードウェア・アカウントを更新する必要があります。「ハードウェア・アカウントの更新」では、マシン内のハードディスクが再番号付けされ、検出されたすべてのドライブにパスワードが設定されます。

ハードディスクに HDP が既に設定されている場合は、「ハードウェア・アカウントの更新」を実行する前に、HDP を手動で消去する必要があります。 HDP が不明の場合、そのハードディスクは使用できなくなります。

HDP を消去するためには、正しい HDP と SVP を入手するための HDD ID とシステム ID が必要です。 HDD ID とマシン ID は、Lenovo 提供の Hardware

Password Manager DOS ユーティリティーを使用して取得できます。

注: ThinkPad システムの場合、HDP の消去に SVP を必要としません。

Hardware Password Manager に登録されたシステムに保護されていないハードディスクが追加されると、BIOS はそのハードディスクが保護されていないことを検出します。この場合、Windows にログインすると、保護されていないデバイス (HDD)


が検出されたというメッセージがクライアント・ポータルからユーザーに通知され、ユーザーはこのハードウェアを更新するかどうかを尋ねられます。

シナリオ 8 - ハードディスク・ドライブの交換交換ハードディスクに HDP が設定されていなければ、このシナリオは、『シナリオ 7 - ハードディスク・ドライブの追加』と同じです。

ハードディスクがこれまで Hardware Password Manager によって管理されていたために LDMS サーバーに認識されていて HDP が設定されている場合は、BIOS セットアップを使用して HDP を手動で消去する必要があります。 HDP を消去すれば、このシナリオは『シナリオ 7』と同じです。

HDP を消去するためには、正しい HDP と SVP を入手するための HDD ID とシステム ID が必要です。 HDD ID とマシン ID は、Lenovo 提供の Hardware

Password Manager DOS ユーティリティーを使用して取得できます。

HDD ID とマシン ID を入手したら、LDMS 管理コンソールを使用して HDP とSVP を入手できます。これで、BIOS セットアップを使用して HDP を消去できるようになりました。

注: ThinkPad システムの場合、HDP の消去に SVP を必要としません。

シナリオ 9 - システム内のハードディスクの場所の変更このシナリオは、ハードディスク 1 と 2 のバス上の物理位置を交換する場合が該当します。サーバー上の HDD インスタンス内ではハードディスクの位置は維持されないので、Hardware Password Manager への影響はありません。

シナリオ 10 - ハードディスク・ドライブの取り外しハードディスクを取り外す場合、推奨される解決策は、ハードディスクを取り外す前にシステムを登録抹消し、ハードディスクを取り外した後にシステムを再登録することです。こうすることで、ハードディスクに HDP が設定されなくなります。

取り外すハードディスクを今後使用しない場合は、ハードディスクを取り外す前にHDP を消去するかどうかは問題になりません。システムの次の起動時に、「ハードウェア・アカウントの更新」を実行してローカル・ハードウェア・アカウントを更新します。

注: 最初に登録抹消せずにハードディスクを取り外すと、サーバー上に孤立 HDD

インスタンスが残ることになります。こうしたレコードを将来その HDP が必要になった場合に備えてそのまま残しておくか、LDMS 管理コンソールを使用してクリーンアップするかを選択できます。

シナリオ 11 - BIOS のフラッシュこのシナリオでは、BIOS をフラッシュ・イメージ (フラッシュ・ユーティリティーを使用して適用) で更新する場合の Hardware Password Manager への影響について説明します。フラッシュ・ユーティリティーは DOS にも Windows にもあるので、両方のタイプのユーティリティーですべてのフラッシュ・シナリオをテストする必要があります。 Hardware Password Manager のハードウェア・アカウント構造


はフラッシュに保管されますが、フラッシュ・ユーティリティーが更新されてHardware Password Manager の関連構造を上書きしないようになりました。

v 前方フラッシュ - Hardware Password Manager に登録されたシステムの BIOS を新しいバージョンにフラッシュする際は、ハードウェア・アカウントを乱さないようにしてください (例えば、ユーザーの Hardware Password Manager 登録状況やハードウェア・アカウント資格情報が変わらないようにする)。

v 後方フラッシュ - Hardware Password Manager をサポートする BIOS を前のバージョンに戻してフラッシュする際は、ハードウェア・アカウントを乱さないようにしてください (例えば、ユーザーの Hardware Password Manager 登録状況やハードウェア・アカウント資格情報が変わらないようにする)。

Hardware Password Manager をサポートする BIOS フラッシュ・ユーティリティーを、Hardware Password Manager サポートが組み込まれていない前の BIOS バージョンにフラッシュすべきではありません。後方フラッシュの前に、システムを登録抹消する必要があります。

シナリオ 12 - 登録されたシステムが LDMS サーバーにアクセスできなくなる

Hardware Password Manager に登録されたシステムを、LDMS サーバーにネットワーク接続されていない場所に再割り当てまたは移動する場合、ハードウェア・アカウントとハードウェア・パスワードをクリアしてシステムを使用可能にできなければなりません。

そのためには、緊急時アカウントにログインして SVP とすべての HDP へのアクセス権限を取得し、Hardware Password Manager を無効にする必要があります。Hardware Password Manager を無効にすると、BIOS はハードウェア・アカウント構造、SST、およびすべてのハードウェア・パスワードをクリアします。

緊急時アカウントが不明の場合、Hardware Password Manager を無効にするためには、LDMS コンソールを使用して SVP と HDP を入手する必要があります。

この場合、LDMS サーバーには孤立項目 (マシン・インスタンスやハードウェア・アカウント・バックアップなど) が残ることになります。 LDMS コンソールを使用してこうした孤立項目を識別し、必要であればクリーンアップできます。

シナリオ 13 - BIOS セットアップに入るユーザーは、次のいずれかの方法で BIOS セットアップに入ることができます。

v ユーザー・ログイン (User Login) - ユーザーは、Hardware Password Manager

Administrator グループのメンバーであるローカル・アカウントを持っていなければなりません。

v Hardware Password Manager ログイン (Hardware Password Manager Login) -

ユーザーは、Service Tech または Hardware Password Manager Administrator グループのメンバーであるコーポレート・アカウントを持っていなければなりません。

v 手動ログイン - ユーザーは、LDMS 管理コンソールを使用して管理者の SVP を入手する必要があります。


シナリオ 14 - BIOS セットアップにデフォルト設定をロードするこのシナリオでは、Hardware Password Manager を使用するシステムにデフォルトの BIOS 設定をロードする場合の考慮点を説明します。 CMOS が消去されたり破損したりした場合、ユーザーはデフォルトの BIOS 設定をロードすることがあります。

デフォルト設定をロードしても、POP および SVP の設定と、Hardware Password

Manager のすべての構造は元のままです。

シナリオ 15 - すべてのハードディスク・ドライブを保護することはしない

このシナリオでは、ユーザーが自分のシステムを Hardware Password Manager に登録したが、その後で保護されない追加ハードディスク・ドライブを使用する場合のシナリオを説明します。このハードディスク・ドライブはほとんどの場合、外付けハードディスク・ドライブか、ドッキング・ステーションに取り付けられたものになります。

注: システムが Hardware Password Manager に登録されている場合は、ハードディスク・ドライブを接続すべきではありません。そうしないと、ハードディスク・ドライブに HDP が割り当てられることになります。

ユーザー関連シナリオこのセクションでは、ユーザーが直面する可能性のあるシナリオを説明します。

シナリオ 1 - ハードウェア・アカウント資格情報を忘れた (ネットワーク接続あり)

このシナリオは、ユーザーが自分のハードウェア・アカウント資格情報を忘れたが、LDMS サーバーにはネットワーク接続されている場合が該当します。これを解決するには、ユーザーは以下の操作を行う必要があります。

v Hardware Password Manager ログインを行います。

v 「Hardware Password Manager Services」メニューから Windows を始動します。

v Windows 資格情報を手動で入力して Windows にログインします。

v クライアント・ポータルを起動し、「ユーザーの削除」を選択します。

v Hardware Password Manager にアカウントを再登録します。

シナリオ 2 - ハードウェア・アカウント資格情報を忘れた (ネットワーク接続なし)

このシナリオは、ユーザーが自分のハードウェア・アカウント資格情報を忘れ、しかも LDMS サーバーにネットワーク接続されていない場合が該当します。解決するには、ユーザーは以下の操作を行う必要があります。

1. IT 管理者に問い合わせて、ローカル管理者アカウント資格情報を入手します。システムの電源をオンにし、「ユーザー・ログイン (User Login)」プロンプトで管理者アカウント資格情報を入力します。

2. Windows 資格情報を手動で入力して Windows にログインします。


3. クライアント・ポータルを起動し、「ユーザーの削除」を選択します。

4. Hardware Password Manager に自分のアカウントを再登録します。

別の方法は、ユーザーが管理者アカウント資格情報を指定して BIOS セットアップに入り、Hardware Password Manager を無効にするというものです。これによって、ハードウェア・アカウント、SST、ハードウェア・パスワードがクリアされます。この後ユーザーは、LDMS サーバーにネットワーク接続された場所に戻ったときに、Hardware Password Manager を開始してシステムを再登録できます。

シナリオ 3 - コーポレート・パスワードを忘れたこのシナリオは、ユーザーが自分のコーポレート・パスワードを忘れた場合が該当します。この場合でも、ユーザーはユーザー・ログインでシステムを使用できます。ユーザーは、コーポレート・プロセス (Web サイトまたは IT 管理者による手動再設定) を使って、コーポレート・パスワードを再設定できます。

コーポレート・パスワードが再設定されたら、ユーザーは新しいコーポレート資格情報を使用して、今までどおり Hardware Password Manager ログインを行えます。

シナリオ 4 - 異なるキーボードの型を使用した手動ログインBIOS が扱う POP、SVP、HDP などのハードウェア・パスワードを、キーボードの型が異なるシステム間で移植することはできません。 BIOS レベルのテキストはスキャン・コードとして認識され、ASCII などのより移植性のある形式との双方向の変換が BIOS 内ではできないためです。スキャン・コードとして保管されるパスワードを管理しようとすると、あるキーボードの型で入力されたパスワードが、別のキーボードの型ではまったく異なるスキャン・コードのセットになる場合がありえます。例えば、azw というパスワードを考えてみましょう。英語キーボードでは、スキャン・コード表記は 0x1E、0x2C、0x11 になります。一方、ドイツ語キーボードでは、スキャン・コード表記は 0x1E、0x15、0x11 になります。

さまざまな言語をサポートするために、キーボードの型として以下の 3 つのタイプが使用されています。

v フランス語、ベルギー語

v ドイツ語、スイス語、ハンガリー語、ポーランド語、チェコスロバキア語、スロベニア語、スロバキア語

v その他のすべての言語

サーバーから POP、SVP、HDP などのハードウェア・パスワードをデプロイする場合、サーバーはターゲット・システムのキーボードの型に基づいて、ASCII テキストをスキャン・コードに変換します。これらのパスワード (スキャン・コードで表される) が、クライアントに送信されてハードウェアに設定されます。

パスワードの手動入力では、キーボードの型を変更することは、サポートされていません。ユーザーがキーボードの型を変更する場合、ベスト・プラクティスは以下の操作を行うことです。

1. Hardware Password Manager から登録抹消します。

2. キーボードを変更します。

3. Hardware Password Manager に再登録します。


シナリオ 5 - 複数の起動パーティションからの登録の取り扱いこのシナリオは、ユーザーがある起動パーティション (例えば Vista) に登録し、別の起動パーティション (例えば XP) 上で Hardware Password Manager に登録する場合が該当することがあります。この場合は、Hardware Password Manager クライアント・コードを各起動パーティションにインストールする必要があります。ユーザーは、1 つの起動パーティションから Hardware Password Manager に登録する必要があります。いったん登録すると、すべての起動パーティションで Windows ログイン資格情報が同じであれば、Hardware Password Manager クライアント・コードがインストールされたすべての起動パーティションで、Hardware Password Manager

が正常に機能します。 Windows ログイン資格情報が異なる場合、ユーザーは、Hardware Password Manager に登録したときに使用した起動パーティション以外の起動パーティションを使用するときは、Windows Gina/CP で自分の Windows 資格情報を手動で入力する必要があります。

シナリオ 6 - BitLockerBitLocker と Hardware Password Manager には互換性があります。つまり、Hardware Password Manager (POP、SVP、HDP の BIOS パスワードによる保護) に登録されたクライアントは、BitLocker (ロジカル・ボリューム暗号化) を使用してデータをさらに保護できます。 BitLocker の登録と鍵の取得は、お客様の現在の操作と同じ方法で行われます (Hardware Password Manager の範囲外)。

両方のテクノロジーを使用する場合のベスト・プラクティスは、BitLocker を有効にする前に Hardware Password Manager に登録することです。ユーザーが最初にBitLocker を有効にしてから Hardware Password Manager に登録した場合、BIOS パスワードを設定されているという事実が BitLocker の整合性チェック失敗の原因になり (BIOS パスワードは PCR1 内で検証される)、BitLocker 回復モードが開始されます。 BitLocker が有効になっている場合、Hardware Password Manager は登録の流れの中でこの問題をユーザーに警告します。この時点で、ユーザーは登録を続けるか取り消すかを選択できます。続行する場合は、BIOS パスワード (PCR1) に対する整合性チェックが失敗したために、次の起動時に BitLocker 回復モードが実行されます。


付録 A. ヒントおよび制限事項

以下は、Hardware Password Manager バージョン 1.0 に関連したヒントのリストです。

v 症状: BitLocker 暗号化を使用中の Hardware Password Manager にシステムを登録すると、Bitlocker 回復モードが起動されます。

問題記述: ユーザーが最初に BitLocker 暗号化を有効にしてから Hardware

Password Manager に登録した場合、BIOS パスワードを設定されているという事実が BitLocker の整合性チェック失敗の原因になり (BIOS パスワードは PCR1

内で検証される)、次のブートで BitLocker 回復モードが開始されます。

解決策: BitLocker 暗号化を有効にする前に Hardware Password Manager への登録を行います。

v 症状: オフラインで登録抹消したシステムが、引き続き ThinkManagement コンソールに登録されているものとして表示されます。

問題記述: BIOS セットアップで Hardware Password Manager を無効にしてシステムを登録抹消したときに、システムが登録抹消されたことが Hardware

Password Manager サーバーに通知されていません。そのため、Hardware Password

Manager サーバーではシステムが引き続き登録されているものとして表示されます。管理者がポリシー設定を更新するか、または登録抹消されたシステムをリモート・アクションの宛先にすると、アクションの状態は、システムが Hardware

Password Manager に再登録されるまで保留状態のままとなります。そして、システムのリモート・アクションは長期間保留状態のままとなります。これは、システムを再登録できないこと、または長期間イントラネットに接続されていないことを示します。

注: ユーザーは、サービス技術者または管理者グループのメンバーでなければ、BIOS セットアップでの登録抹消を行えません (SVP が必要であり、これはサービス技術者ユーザーおよび管理者ユーザーに対してのみリリースされているからです)。

解決策: ユーザーが BIOS セットアップでシステムを登録抹消した後、再登録を行うと、サーバーは再びクライアントと同期し、正しい登録の状況を表示します。管理者がそのシステムを再試行し、再登録不可能と判断する場合は、そのシステムを Hardware Password Manager サーバーから削除できます。


v 症状: ユーザーが Hardware Password Manager 登録済みシステムの間でハードディスクの移動を行う場合、移動先のシステムでハードディスクのパスワードが認識されないためにユーザー・ログインを行えません。

問題記述: パスワードが設定されているハードディスクは、登録済みシステムの間で共有することができません。ハードディスク・パスワードは、次のように扱われます。

1. デスクトップとモバイルの間の一貫性を保つために、モバイル BIOS はシステム内で異なる HDP をサポートできるがありますが、特定のシステム内のHDP はすべて同じになります。

2. HDP はシステムごとに異なります (ポリシーによって共通 HDP が設定されているのでない限り)。

3. ステップ 1 と 2 が当てはまる場合、異なる登録済みシステムで HDD を共有できません (HDP はシステム A 上のすべてのドライブ間で共通であり、それをシステム B に移動すると、ボールトに格納される HDP は異なるという前提だからです)。

解決策: 管理コンソールを介してユーザーの間で共有できるのはシステムだけです (HDD は共有できません)。そのため、ユーザーが 2 つ以上のシステム間でドライブを共有する場合、そのドライブ上の HDP を (BIOS セットアップを介して手動で) 除去するか、または最初に登録するときにドライブを除去することでHDP がそのドライブで設定されないようにすることをお勧めします。

v 症状: HPM クライアントのインストールが失敗します。

問題記述: HPM クライアントをインストールする際、ファイアウォール・ソフトウェアがアクティブになっていると、LTAPI.DLL が見つからないというエラーで、インストールが失敗します。

解決策:「LANDesk Installation Guide」で説明されているように、クライアント・エージェントをインストールする際にアンチウィルスとファイアウォールの保護を無効にします。

v 症状:「CTRL+ALT+DEL を必要としない」という Windows ポリシーが無効になっているときに、Windows への Hardware Password Manager シングル・サインオンを行えません。ユーザーは Windows 資格情報の入力を求められます。

問題記述: ログインのために Ctrl+Alt+Delete を押すことをユーザーに求めるWindows ポリシー設定が有効になっている場合、Windows へのシングル・サインオンを行えません。このセキュリティー設定によって、ユーザー・ログインの際に、事前に CTRL+ALT+DEL を押すことが求められるかどうかが決まります。コンピューターでこのポリシーが有効になっていると、ユーザーはログインのために CTRL+ALT+DEL を押すことを求められません。このポリシーが無効になっている場合、Windows にログオンする前に、すべてのユーザーに CTRL+ALT+DEL

を押すことが求められます (Windows ログオンにスマート・カードを使用していない場合)。

ドメイン・コンピューターでのデフォルトは「無効」です。スタンドアロン・コンピューターでのデフォルトは「有効」です。


解決策: Windows ポリシー「CTRL+ALT+DEL を必要としない」を有効にします。

v 症状: クライアントをインストールする際にアンチウィルス・メッセージを受け取ります。

問題記述: アンチウィルスとファイアウォールを無効にしてクライアント・エージェントをインストールする必要があります。インストール後、再び有効にすることができます。これについては、「LANDesk User’s Guide」でインストール要件として説明されています。

解決策: クライアント・エージェントをインストールする際、アンチウィルスとファイアウォールの保護を無効にします。

v 症状: 登録済み Hardware Password Manager システム内のハードディスク・パスワード (HDP) はすべて同じになっています。しかし、Hardware Password

Manager サーバーでパスワード (例えば、非共通 HDP) を生成するようにポリシーが設定されているシステムの間ではパスワードが異なります。

問題記述: Hardware Password Manager サーバーで、マシンに接続するすべてのハードディスクについて (デスクトップ BIOS 機能に準拠するために) 同じ HDP

が登録の際に生成されます。

注: 1 つのドライブで MHDP と UHDP は異なるかもしれませんが、単一システム内で接続されるドライブではすべての MHDP は同じで、すべての UHDP は同じになります。

解決策: ありません。

v 症状: Hardware Password Manager に登録した後、Windows パスワードをブランク・パスワードに変更する際、クライアント・アプリケーションはユーザーが登録されていることを認識せず、ユーザーに再登録を求めるプロンプトを出します。

問題記述: Vista には CAPI の実装に関する制限があるため、ブランク・パスワードを使用すると問題が発生します。詳しくは、以下を参照してください。

http://support.microsoft.com/default.aspx/kb/30940

この問題が発生すると、ユーザーがパスワードを再び非ブランク値に変更しようとしても、状況は修復されません (登録を求めるプロンプトがユーザーに出され続けます)。ユーザーは、(BIOS セットアップ経由で) 登録抹消して、再登録を行う必要があります。

解決策: ブランクの Windows パスワードを許可しないように Windows ポリシーを設定します。ブランクの Windows パスワードの使用を強く希望する場合、Vista SP2 にこの問題を解決するフィックスが組み込まれています。

v 症状: ユーザーは、イントラネット・ログインを実行して、未登録のシステムを登録抹消する (ハードウェア・パスワードを除去する) ことができます。

問題記述: ワンタッチ登録プロセスでシステムを登録すると (緊急管理アカウントの作成のみが行われる)、ユーザーはイントラネット・ログインを実行することができ、「PC の登録抹消 (Deregister PC)」オプションが表示されます。このオプ

付録 A. ヒントおよび制限事項 47

http://www.support.microsoft.com/default.aspx/kb/30940

ションにより、ユーザーの登録の前に保護された PC の登録抹消ができてしまうので、このオプションはデフォルトで表示されないのが本来理想的です。

解決策: 管理者は、管理コンソールのポリシー設定として、BIOS メニューから「PC の登録抹消 (Deregister PC)」を無効にすることができます。これを行うことで、「PC の登録抹消 (Deregister PC)」オプションは表示されなくなります。

v 症状: ポリシーでハードウェア・アカウント資格情報と Windows 資格情報の同期を維持するように指定されていると、「イントラネット・ログイン (Intranet

Login)」メニュー経由でのボールト・パスワードに対する変更がクライアント・アプリケーションによって検出されません。

問題記述: ボールト・パスワードに対する変更の結果として、クライアント・ポータルは Windows パスワードを更新できなくなります。 Windows のブート後、クライアント・ポータルはボールト・パスワードに対する変更を正確かつ安全にモニターできないからです (例えば、クライアントはパスワードが変更されたことだけを検知でき、パスワード変更の実際の内容は認識できません)。

注: ユーザーが Windows パスワードを変更すると、クライアント・アプリケーションはユーザーが次回 Windows にログインするときにボールト・パスワードを更新することを要求します。

解決策: 管理者は「ハードウェア・アカウント・パスワードの変更 (Change

Hardware Account password)」ポリシー設定 (BIOS メニュー設定) を無効にすることで、これを回避できます。

v 症状: Hardware Password Manager の登録中に「暗号鍵の生成に失敗しました(Failed to generate encryption key)」というエラー・メッセージを受け取ります。

問題記述: Windows ユーザー名に !@#$%^&*() のいずれかの文字が含まれるユーザーは、登録試行時にエラーを受け取ります。

解決策: 上記の特殊文字が含まれないようにユーザー名を変更します。

v 症状: Hardware Password Manager 登録ウィザードは、Windows パスワードがブランクの際にその設定を求めるプロンプトを出しません。

問題記述: Hardware Password Manager は登録に Windows パスワードを必要とするので、Windows パスワードが設定されていない場合には本来、Hardware

Password Manager クライアントによってその設定を求めるプロンプトが出されるはずです。その代わりに、HPM クライアントは、Windows パスワードがブランクの場合に、ユーザーが「次へ」をクリックできないようにします。

解決策: Hardware Password Manager で登録を行う前に、ユーザーの Windows パスワードを設定する必要があります。

v 症状: Hardware Password Manager クライアントがインストールされていると、SGE または SGN のインストールが失敗します。

問題記述: Hardware Password Manager クライアントがインストールされているときに SGN または SGE を Windows XP にインストールすると、Lenovo GINA

がアクティブであることを示すエラーが表示され、インストールが失敗します。


解決策: Hardware Password Manager クライアントをアンインストールし、システムを再始動し、SGE または SGN をインストールし、もう一度再始動した後、クライアントを再インストールします。

v 症状: BIOS バージョンを ThinkCentre システムの BIOS バージョン除外リストに入力する際、BIOS バージョンの最後の文字を管理コンソールのテキスト・ボックスに入力できません。

問題記述: この問題は、Hardware Password Manager サーバーでサポートされるBIOS バージョンの最大文字数が 8 文字であるために生じます。 ThinkCentre システムの BIOS バージョンの文字数は 9 文字です。完全に一致している必要はないので、これは問題にならないはずです (9 番目の文字に関係なく、最初の 8

文字は一致します)。

解決策: ありません。

v 症状: 「PSI.DLL が見つかりません (PSI.DLL is missing)」というエラー・メッセージを受け取りました。

問題記述: クライアント・エージェントが正しくインストールされなかった場合、「PSI.DLL が欠落しています (PSI.DLL is missing)」というエラー・メッセージが表示されます。

解決策: クライアント・エージェントをアンインストールし、システムを再始動した後、クライアント・エージェントを再インストールします。そのシステムでHardware Password Manager を使用する場合は、クライアント・エージェントをインストールする際に「Hardware Password Manager」チェック・ボックスを選択します。

v 症状: 1 つの Windows アカウントに関連付けられた 2 つのハードウェア・アカウントを作成できます。

問題記述: Hardware Password Manager への登録を行う前に取られたバックアップからシステムを復元する際に、この問題が発生します。 Hardware Password

Manager に登録する際、ユーザーの Windows 資格情報が Windows CAPI 鍵ストア内のセキュア・ストレージに保管されます。さらに、Windows 資格情報とイントラネット・アカウントの間の関連付けが保持されます。

ユーザーが Hardware Password Manager に登録される前の時点までシステムを復元すると、CAPI 鍵ストア Windows レジストリーに保管されるため、失われることがあります。このことは、システムは実際に登録されているのに、Windows 資格情報およびイントラネット・アカウントとの関連付けが失われることを意味します。この場合、クライアント・アプリケーションは登録を求めるプロンプトを出し続けます (ポリシーによってそうするように指示されている場合)。さらに、登録を試行し、以前登録に使用したイントラネット・アカウントと同じものを指定すると、既に登録済みであることを示してクライアント・アプリケーションは失敗します。異なるイントラネット・アカウントを使用して再び登録を行うと、クライアント・アプリケーションはその登録を完了することを許可しますが、同じ Windows アカウントに関連付けられる 2 つのハードウェア・アカウントを持つことになります (これは推奨されません)。


解決策: この問題の発生を回避するために、システムを Hardware Password

Manager に登録した後、バックアップを取っておきます (例えば Rescue and

Recovery、またはディスクの完全バックアップを実行するいずれかのバックアップ・ツールを使用している場合)。

システムが既に復元されている (例えば、CAPI 鍵ストアが失われた) 場合は、Hardware Password Manager で登録抹消を行い、再登録を行います。

v 症状: Hardware Password Manager で登録を行う際、中断/再開操作中にネットワーク接続が失われ、ネットワーク接続の再開前にユーザーがログオフしても、クライアント・アプリケーションは登録プロセスを正常に完了します。しかし、Hardware Password Manager サーバーでは、PC が登録に失敗したことが示されます。

問題記述: この問題は、クライアント・アプリケーションが登録の正常終了をHardware Password Manager サーバーに報告できないために生じます。

解決策: Hardware Password Manager で登録抹消を行い、再登録を行います。

v 症状: Windows パスワードを更新するときに「ハードウェア・アカウントは存在しません (Hardware account does not exist)」というメッセージを受け取りました。

問題記述: この問題は、次のような条件下で生じます。

1. サーバー・ポリシーで、Windows アカウントとハードウェア・アカウントを同期しないように設定されています。

2. Windows ユーザー名と異なるハードウェア・アカウント名でユーザーが登録されています。

3. Windows アカウントとハードウェア・アカウントの同期が強制的に行われるように IT 管理者がサーバー・ポリシーを変更します。

4. ユーザーが後で Windows パスワードを変更します。

5. ユーザーが次回 Windows にログインするときに、クライアント・アプリケーションは、新しい Windows パスワードを反映するためにハードウェア・アカウントを更新する必要があることをユーザーに通知します。

6. ハードウェア・アカウントを更新する前に、イントラネットの資格情報をActive Directory に対して認証することをユーザーに求めます。

7. クライアント・アプリケーションは、ハードウェア・アカウントが存在しないことを示すメッセージを表示します。これは、ユーザーの Windows ユーザー名がハードウェア・アカウント名と一致しないためです (現行のポリシー設定に基づいて一致することが期待されています)。

解決策: この問題が発生した場合、Hardware Password Manager で登録抹消を行った後、登録を行うことをお勧めします。

この問題の発生を回避するために、IT 管理者は Windows 資格情報とイントラネット・アカウント資格情報の同期に関する望ましいポリシー設定を決定し、それを遵守する必要があります (ユーザーは、登録後に変更してはなりません)。

v 症状: BIOS でのワイヤレス・サポートの範囲についてヘルプ・ファイルに情報がありません。


問題記述: Hardware Password Manager は、ワイヤレス接続経由によるすべてのWindows ベースの機能をサポートします。この機能には、登録、ボールトの更新、ボールトの復元、リモート・アクションの実行などが含まれます。しかし、BIOS はワイヤレス・ネットワーク接続をサポートしていません。そのため、イントラネット・ログイン (ユーザーがユーザー・ログイン資格情報を忘れた場合にのみ必要) など、ネットワーク接続を必要とする BIOS ベースの機能がある場合は、配線式のネットワーク接続がコンピューターで必要になります。

解決策: BIOS からイントラネット・ログインを実行する場合、ユーザーは配線式のネットワーク接続を使用する必要があります。

v 症状: イントラネットのユーザー名またはパスワード、またはその両方が正しいが、長さが 63 文字を超える場合、「指定されたユーザー名またはパスワードが間違っています」というメッセージを受け取ります。

問題記述: BIOS では、イントラネット・ログイン (例えばユーザー名とパスワードそれぞれに対して 63 文字) の実行時に最大 64 バイトのユーザー名およびパスワード (ヌル終了を含む) の入力が許可されています。一貫性を保つために、クライアント・アプリケーションは同じ制限を実施しなければなりません。

解決策: イントラネットのユーザー名とパスワードの長さを最大 63 文字に制限するように Active Directory ポリシーを設定します。

v 症状: Hardware Password Manager クライアント・アプリケーションは、ユーザーが既に登録されている場合でも登録を求めるプロンプトを出します。

問題記述: ドメイン・ユーザーがハードコーディングされた DNS サーバー・アドレスで構成され (自動検出ではない)、Windows およびユーザー・ログインを同期するように Hardware Password Manager ポリシーが設定されていると、Hardware Password Manager クライアント・アプリケーションは、ドメイン・アカウントのパスワードが管理者によって変更またはリセットされた場合に、ユーザーが既に登録されていることを認識できないことがあります。

解決策: BIOS セットアップまたは BIOS の「イントラネット・ログイン(Intranet Login)」メニューを介して、システムを登録抹消した後、再登録を行います。

v 症状: Hardware Password Manager クライアント・アプリケーションをインストールする前に取られたバックアップからの復元後、ユーザーは Hardware Password

Manager サーバーに対して再登録を行えません。ユーザーは「内部エラー(internal error)」を示すメッセージを受け取ります。

問題記述: ユーザーが Hardware Password Manager に登録を行った後、Hardware

Password Manager クライアント・アプリケーションがインストールされていなかったバックアップから復元すると、システムは BIOS によって登録済みとして認識されている状態のままとなりますが (セキュア・ボールトが割り振られ、ハードウェア・パスワードが設定されている)、クライアント・アプリケーションはインストールされません。

解決策: BIOS セットアップまたは BIOS の「イントラネット・ログイン(Intranet Login)」メニューを介して、システムを登録抹消した後、再登録を行います。


v 症状: Novell サーバー (LDAP) を使用した Hardware Password Manager ログインが失敗します。これは、イントラネット・アカウントの認証が要求される場合(登録、更新、または BIOS プロンプトでのイントラネット・ログインを行う際)

に起きることがあります。

問題記述: = (等号) や . (ピリオド) などの特殊文字を使ってログインすることはできません。これは、以下のシナリオのいずれかで起こり得ます。

– LDAP オプション/接続/バインドの制限が「なし (None)」に設定され、ユーザー名の形式が user1.novell の場合

– LDAP オプション/接続/バインドの制限が「匿名単純バインドの禁止 (Disallowanonymous simple bind)」に設定され、ユーザー名の形式が cn=user1,

o=novell の場合

解決策: - ありません。


付録 B. 特記事項

本書に記載の製品、サービス、または機能が日本においては提供されていない場合があります。日本で利用可能な製品、サービス、および機能については、レノボ・ジャパンの営業担当員にお尋ねください。本書で Lenovo 製品、プログラム、またはサービスに言及していても、その Lenovo 製品、プログラム、またはサービスのみが使用可能であることを意味するものではありません。これらに代えて、Lenovo

の知的所有権を侵害することのない、機能的に同等の製品、プログラム、またはサービスを使用することができます。ただし、Lenovo 以外の製品とプログラムの操作またはサービスの評価および検証は、お客様の責任で行っていただきます。

Lenovo は、本書に記載されている内容に関して特許権 (特許出願中のものを含む)

を保有している場合があります。本書の提供は、お客様にこれらの特許権について実施権を許諾することを意味するものではありません。実施権についてのお問い合わせは、書面にて下記宛先にお送りください。

Lenovo (United States), Inc

1009 Think Place

Building One

Morrisville, NC 27560

USA

Attention: Lenovo Director of Licensing

Lenovo およびその直接または間接の子会社は、本書を特定物として現存するままの状態で提供し、商品性の保証、特定目的適合性の保証および法律上の瑕疵担保責任を含むすべての明示もしくは黙示の保証責任を負わないものとします。国または地域によっては、法律の強行規定により、保証責任の制限が禁じられる場合、強行規定の制限を受けるものとします。

この情報には、技術的に不適切な記述や誤植を含む場合があります。本書は定期的に見直され、必要な変更は本書の次版に組み込まれます。 Lenovo は予告なしに、随時、この文書に記載されている製品またはプログラムに対して、改良または変更を行うことがあります。

本書で説明される製品は、誤動作により人的な傷害または死亡を招く可能性のある移植またはその他の生命維持アプリケーションで使用されることを意図していません。本書に記載される情報が、Lenovo 製品仕様または保証に影響を与える、またはこれらを変更することはありません。本書におけるいかなる記述も、Lenovo あるいは第三者の知的所有権に基づく明示または黙示の使用許諾と補償を意味するものではありません。本書に記載されている情報はすべて特定の環境で得られたものであり、例として提示されるものです。他の稼働環境では、結果が異なる場合があります。

Lenovo は、お客様が提供するいかなる情報も、お客様に対してなんら義務も負うことのない、自ら適切と信ずる方法で、使用もしくは配布することができるものとします。


本書において Lenovo 以外の Web サイトに言及している場合がありますが、便宜のため記載しただけであり、決してそれらの Web サイトを推奨するものではありません。それらの Web サイトにある資料は、この Lenovo 製品の資料の一部ではありません。それらの Web サイトは、お客様の責任でご使用ください。

この文書に含まれるいかなるパフォーマンス・データも、管理環境下で決定されたものです。そのため、他の操作環境で得られた結果は、異なる可能性があります。一部の測定が、開発レベルのシステムで行われた可能性がありますが、その測定値が、一般に利用可能なシステムのものと同じである保証はありません。さらに、一部の測定値が、推定値である可能性があります。実際の結果は、異なる可能性があります。お客様は、お客様の特定の環境に適したデータを確かめる必要があります。

商標以下は、Lenovo Corporation の米国およびその他の国における商標です。

Access Connections

Lenovo

ThinkVantage

ThinkPad

IBM は、世界の多くの国で登録された International Business Machines Corp. の商標です。

Microsoft、Windows® 2000、Windows XP、および Windows Vista は、Microsoft

Corporation の米国およびその他の国における商標です。

Intel® は、Intel Corporation または子会社の米国およびその他の国における商標または登録商標です。

他の会社名、製品名およびサービス名等はそれぞれ各社の商標です。


Printed in USA

Hardware Password Manager バージョン 1.0 デプロイメント・ガ … · 2009. 7. 21. ·...

Documents

Transcript of Hardware Password Manager バージョン 1.0 デプロイメント・ガ … · 2009. 7. 21. ·...