Lenovo ThinkPad T400 (Japanese) Hardware Password Manager Deployment Guide - Page 37

ワンタッチ登

録

管理者として、システムを Hardware Password Manager に登録することにより、デプロイメントおよび配布

のプロセス中にそれらを許可されていないユーザーから保護することができます。これは、管理者が共通

のローカル管理者アカウントを使用してすべてのシステムを Hardware Password Manager サーバーに事前

登録できるようにすることで実現します。このプロセスを完了するには、サービス妨害攻撃を防止す

るために必要な、単一の手動ステップ (ワンタッチ) が必要です。

このプロセスはポリシーに基づいてクライアント・システム上で自動的に開始され、管理者コーポレー

ト資格情報は Hardware Password Manager サーバーから取得されます。このため、ユーザー操作を必

要とせずに登録処理を進めることができます。

注：「ワンタッチ」とは、管理者がシステムを Hardware Password Manager に登録するために必要な 1 つの

手動のステップのことです。システムが登録されてユーザーに送達されると、ローカルまたはドメイ

ン・ログインによりシステム上の Windows に正常にログインするユーザーに対して、登録を (ポリシー

に基づいて) 自動的に開始させることができます。システムが既に登録されている場合、「ワンタッ

チ」登録プロセスは無視されます。

事前登

録

このプロセスは、以下の相違点を除いて通常の登録プロセスと同じです。

1. ポリシーに基づいて、クライアント・ポータル (Windows にログインするときに自動的に起動さ

れる) は、ワンタッチ・ポリシー設定に基づいてワンタッチ Hardware Password Manager 登録機能

を開始します。

2. クライアント・ポータルは、登録を続行する確認を求めるプロンプトを出しません。

3. 再起動後、「登録の確認 (Confirm

(Confirm

(Confirm Registration)

Registration)

Registration)」で Enter キーを押します。

4. クライアント・ポータルは、コーポレート、Windows、またはハードウェア・アカウントの資格情報

を求めるプロンプトを出しません。登録要求の認証に使用されるコーポレート資格情報は、管理コン

ソールで LDAP を構成するときに管理者によって提供される管理者レベルの資格情報です。ユー

ザー・アカウントが作成されないので、Windows およびハードウェア・アカウントの資格情報は必

要ありません。共通の管理者アカウントだけが登録されます。

5. クライアント・ポータルは、ユーザーに通知せずに中断および再開操作を行います。

6. クライアント・ポータルは、呼び出しプロセスに成功コードまたは失敗コードを返し、自動的に

再起動します。

ワンタッチ登録処理が完了すると、システムはパスワードで保護されて、単一のローカル・ハードウェ

ア・アカウントが作成されます。このハードウェア・アカウントは、共通の管理者ハードウェア・アカウ

ント資格情報に設定されます。管理者はこれらのシステムを、それらがハードウェア・パスワードによっ

て保護されていることを知っているので、エンド・ユーザーに安全に配布することができます。

事前登

録

されたシステムでのユーザー登

録

システムがユーザーに配達される時に、ユーザーはシステムに対するアクセス権限を取得するために、

Hardware Password Manager ログイン (有線ネットワーク接続が必要) を行う必要があります。ネットワーク

接続が使用できない場合、または Hardware Password Manager サーバーが VPN の背後にある場合、管理者

には共通管理者ハードウェア・アカウント資格情報を提供してシステムへのアクセスを許可するオプショ

ンがあります。このフローは、通常の「追加ユーザーの登録 (Enroll Additional Users)」フローと同じです。

第

5

章

.

デプロイメント

29

Section	Page
序文	7
第 1 章 . 概要	9
第 2 章 . ThinkManagement Console への Hardware Password Manager のインストール	11
前提条件	11
コア・サーバーの準備	12
ThinkManagement Console と HPM サーバーのセットアップ	13
新しい LDAP サーバーへのマイグレーション	15
Lenovo デバイスへの Hardware Password Manager のインストール	15
第 3 章 . ThinkManagement Console による Hardware Password Manager デバイスの管理	17
Hardware Password Manager デバイスおよびそのプロパティーの表示	17
Hardware Password Manager デバイスでの登録済みユーザーの管理	18
LDAP サーバー接続の構成	19
Hardware Password Manager ユーザーおよびそのプロパティーの表示	19
Hardware Password Manager デバイスに対するユーザーのアクセス権限の削除	20
Hardware Password Manager グループの管理	20
Hardware Password Manager デバイスのリモート・アクションおよびポリシー設定の管理	22
クライアント・ポリシーのグローバルな更新	23
ハードウェア・パスワードのグローバルな更新	24
緊急アカウントの更新	25
サーバー・ポリシー設定の変更	26
コンソール・ユーザーのスコープと役割の定義	27
第 4 章 . Hardware Password Manager クライアント	29
Hardware Password Manager デバイスのセットアップ	29
Hardware Password Manager サーバーへのデバイスの登録と最初のユーザーの登録	29
Hardware Password Manager デバイスでの追加ユーザーの登録	30
Hardware Password Manager デバイスからのユーザーの削除	31
Hardware Password Manager サーバーからのデバイスの登録抹消	31
Hardware Password Manager デバイス上の資格情報の更新	32
第 5 章 . デプロイメント	35
指紋機能の組み込み	35
Safe Guard Easy/Safe Guard Enterprise の互換性	36
ワンタッチ登録	37
事前登録	37
事前登録されたシステムでのユーザー登録	37
第 6 章 . シナリオ	39
保守関連シナリオ (構成変更)	39
シナリオ 1 - ハードウェア構成変更	39
シナリオ 2 - CMOS エラー	39
シナリオ 3 - 指紋認証デバイスの交換	40
シナリオ 4 - 既にハードウェア・パスワードが設定されている	40
シナリオ 5 - オペレーティング・システム下のセットアップ (リモート BIOS 設定)	41
シナリオ 6 - システム・ボードの交換	41
シナリオ 7 - ハードディスク・ドライブの追加	41
シナリオ 8 - ハードディスク・ドライブの交換または移動	42
シナリオ 9 - システム内のハードディスクの場所の変更	42
シナリオ 10 - ハードディスク・ドライブの取り外し	43
シナリオ 11 - BIOS のフラッシュ	43
シナリオ 12 - 登録されたシステムから Hardware Password Manager サーバーにアクセスできない	43
シナリオ 13 - BIOS セットアップに入る	43
シナリオ 14 - BIOS セットアップにデフォルト設定をロードする	44
シナリオ 15 - すべてのハードディスク・ドライブを保護することはしない	44
ユーザー関連シナリオ	44
シナリオ 1 - ハードウェア・アカウント資格情報を忘れた (ネットワーク接続あり)	44
シナリオ 2 - ハードウェア・アカウント資格情報を忘れた (ネットワーク接続なし)	44
シナリオ 3 - コーポレート・パスワードを忘れた	45
シナリオ 4 - 異なるキーボードの型を使用した手動ログイン	45
シナリオ 5 - 複数の起動パーティションからの登録の取り扱い	45
シナリオ 6 - BitLocker	46
付録 A. セキュリティーと使いやすさ	47
付録 B. 災害復旧	49
付録 C. ヒント	53
付録 D. 特記事項	59

Lenovo ThinkPad T400 (Japanese) Hardware Password Manager Deployment Guide - Page 37

ワンタッチ登, 事前登

Page 37 highlights