Welcome
インストールと構成
ご使用の環境への BigFix MCM と BigFix Mobile のデプロイメントが円滑に行われるようにするための要件と使用可能なインストール・シナリオについて、このガイドをご覧ください。
MCM と BigFix Mobile のサーバーとコンポーネントのインストール
参照情報
このセクションでは、インストールに関する重要な点について詳しく説明します。
トラブルシューティング
このセクションは、BigFix MCM と BigFix Mobile のインストール時に発生する問題を解決する際に役立ちます。
TLS 1.0 を理由として、MDM サーバーの脆弱性を無視する
このセクションでは、MDM サーバのセキュリティ侵害に対処する方法が書かれています。

BigFix 資料ホーム・ページ
Modern Client Management と BigFix Mobile
Modern Client Management と BigFix Inventory 資料にようこそ。ここでは、Modern Client Management と BigFix Mobile のインストール、保守、使用方法に関する情報を参照できます。
概要
このセクションでは、BigFix Modern Client Management (MCM) と BigFix Mobile について説明し、MCM の概念、用語、機能について理解します。
ガイド (PDF 形式)
このセクションには、PDF 版の MCM と BigFix Mobile 全マニュアルへのリンクが掲載されています。
インストールと構成
ご使用の環境への BigFix MCM と BigFix Mobile のデプロイメントが円滑に行われるようにするための要件と使用可能なインストール・シナリオについて、このガイドをご覧ください。
- MCM と BigFix Mobile のサーバーとコンポーネントのインストール
  - 対象読者
    このガイドは BigFix MCM and BigFix Mobile のインストールと構成を行う管理者および IT 管理者を対象としています。各シナリオの前提条件について詳しく説明しているほか、ご使用の環境に本プログラムをデプロイできるインストール手順についても説明しています。また、BigFix MCM and BigFix Mobile コンポーネントの構成および保守についても説明しています。
  - インストールの計画
    BigFix MCM または BigFix Mobile 製品機能のインストールまたはアップデートを始める前に、このセクションをお読みください。効果的な計画とインストール・プロセスの主要な側面の理解が、インストールの成功につながります。
  - オンプレミス・デプロイメントのセットアップ
    このセクションでは、BigFix MDM server および BigFix PlugIn Portal をオンプレミスにインストールするために必要なインストールの前提条件と準備について説明します。
  - オンプレミス・アップグレード
    BigFix MCM や BigFix モバイル 2.x の導入がすでに完了していて、バージョン 3.x へのアップグレードを希望している場合は、ここで説明している手順を参照してください。
  - BigFix MCM および BigFix モバイルの構成
    MCM コンポーネントをセットアップした後に追加の構成オプションを設定することにより、Windows の一括登録、macOS 用の DEP ポリシー、Windows エンドポイントおよび MacOS MDM エンドポイント用の事前ステージ・インストーラーなどの機能を有効にすることができます。
  - 参照情報
    このセクションでは、インストールに関する重要な点について詳しく説明します。
    - WNS 資格情報の生成
      この文書では、Windows MDM サーバーのインストールまたはアップグレード時にアップロードできる、Windows プッシュ通知サービス (WNS) 資格情報を取得する方法について説明します。
    - APN 証明書の生成
      Apple からプッシュ証明書を取得するには、次の手順を実行します。
    - APN 証明書を更新し Apple MDM サービスをアップデートする
      有効期限が切れる前に、有効期間内に APN 証明書を更新できます。
    - 有効期限前に Apple 登録証明書を更新する
      中断なく登録された Apple デバイスを継続的に管理するには、ポリシー・アクションとして Apple 登録プロファイルを期限切れ前に更新する Fixlet をセットアップする必要があります。
    - Windows MDM サーバー設定を更新する
      MCM 2.0 以降の BigFix MDM Service for Windows を更新する方法について説明します。
    - Apple デバイスのブートストラップ・トークン
      macOS 10.5 以降では、ブートストラップ・トークンを使用して、セキュア・トークンをユーザー・アカウントに付与し、特定の操作を実行します。たとえば、Apple シリコンを搭載した Mac コンピューターでは、使用可能な場合にはブートストラップ・トークンを使用して、MDM を使用して管理する際のカーネル拡張とソフトウェア・アップデートの両方のインストールを許可できます。
    - Apple MDM サーバーの登録プロファイル・パラメーターを更新する
      BigFix Apple MDM サーバーのインストール時に最初にセットアップされた Apple デバイスの MDM 登録プロファイル・パラメーターを更新できます。
    - Managed Google Play アカウントエンタープライズに登録する
      Managed Google Play アカウントエンタープライズに登録して、Android デバイスでアプリケーションを管理する方法について説明します。
    - MDM コンポーネントのアンインストール
      MDM コンポーネントをアンインストールする方法について説明します。
    - BigFix MDM サーバー TLS 証明書コンテンツ
      MDM サーバーのインストールに必要な BigFix MDM サーバー TLS 証明書の形式を理解します。
    - ワイルドカード証明書
      複数のシナリオでは、MDM サーバー用のワイルドカード TLS 証明書を使用することができます。
    - TLS 証明書の更新
      MDM サーバーに最初にインストールされた TLS 証明書は更新することができます。さらに、インストール時にアップロードされた、誤った証明書、キー、およびパスワードを置き換えることによって、エラーを簡単に修正できます。このアクションを実行するには、Fixlet 702: BigFix MDM Server - Stage External TrustedCA TLS Certificates を使用します。
    - サポートされるシステム環境
      このセクションでは、MCM でサポートされるシステム環境について説明します。
    - トラブルシューティング
      このセクションは、BigFix MCM と BigFix Mobile のインストール時に発生する問題を解決する際に役立ちます。
      - ロギング
        MCM コンポーネントがログ・ファイルを生成し、問題をトラブルシューティングする場合に追加情報を入手できます。
      - Windows のエラー・コード
        以下に、一般的に発生するエラー・メッセージと関連情報を示します。
      - RHEL8 または RHEL9 への Docker CE と Docker 構成のインストール
        dnf コマンドまたは yum コマンドを使用して、Red Hat Enterprise Linux (RHEL) 8 に Docker CE と Docker 構成をインストールする方法を紹介します。Docker CE コンテナーの接続に関する問題の解決については、このセクションに記載されています。
      - LDAPS 接続のトラブルシューティング
      - Azure 接続のトラブルシューティング
      - DEP のトラブルシューティング
        このセクションでは、DEP 登録のトラブルシューティング情報を示します。
      - MDM デバッグ・ツール
        このコマンド・ライン・ツールを使用して、個別/グループ/すべての MDM モジュールのログ・レベルを設定し、REST API を使用した MDM 登録済みデバイスでのコマンドの実行とポリシー設定の更新ができます。異なる MDM レイヤーで通信障害が発生した場合に、実動時の問題を迅速にデバッグし、実行操作フロー、要求、エンドポイントの応答をトレースするうえで役に立ちます。
      - TLS 1.0 を理由として、MDM サーバーの脆弱性を無視する
        このセクションでは、MDM サーバのセキュリティ侵害に対処する方法が書かれています。
      - MDM サーバー再インストール中のエラー
        このページでは、MDM サーバーのアンインストールしたあと、再インストールした際に発生したエラーのトラブルシューティングについて説明します。
    - BigFix のインストール
      BigFix プラットフォームをインストールするには、ライセンスを取得し、インストール・ウィザードを実行し、ガイドに従って BigFix ルート・サーバー、コンソール、クライアント、WebUI をインストールします。
- 識別情報サービスの構成
  MCM は UEM3.0 以降、ユーザーに基づいてデバイスを識別および管理する機能を拡張しています。名前、役割、グループ・メンバーシップ、配信リスト・メンバーシップ、物理的な場所など、関連する属性に基づいてユーザーを識別できます。ユーザーに基づいて識別されたデバイスは、各種の構成を通じてターゲットとして設定し管理することができます。これにより、条件付きアクセス権を付与して、コンプライアンス、エンドポイントのセキュリティー、アプリケーションの保護を実現します。
- SCEP (Simple Certificate Enrollment Protocol) の構成
  BigFix MCM は、SCEP (Simple Certificate Enrollment Protocol) による、証明書の管理と証明書ベースの認証をサポートしています。SCEP を使用すると、すべての MCM 管理対象デバイスに証明書を最も速く安全にプロビジョニングできます。SCEP により、IT 管理者はエンドポイントへの証明書の発行を自動化できます。これにより、暗号化を介して企業の Wi-Fi、VPN、および安全な電子メールへのアクセスを提供できます。
- ドメイン参加のインストールと構成
  このセクションでは、ODJ サービスのインストールによって、Windows デバイスを登録し、Active Directory ドメイン、または Active Directory と Azure AD ドメインの両方に参加する環境を構成するための前提条件とタスクについて説明します。
- SAML 認証の構成
  MCM and BigFix Mobile Security Assertion Markup Language (SAML) 認証に基づいてデバイスを登録することで、機密データを保護することができ、企業リソースに安全にアクセスできるようにします。
クイック・スタート
このクイック・スタート・ガイドを使用すると、BigFix MCM および BigFix Mobile ソリューションを簡単に使い始めることができます。モバイル・デバイスを迅速かつ効率的に保護、設定、管理するのに役立ちます。
ユーザー・ガイド
管理者ガイド
このガイドでは、BigFix MCM および BigFix Mobile を使用したエンドポイントの登録、管理、トラブルシューティングについて説明します。
用語集
この用語集は、BigFix の最新のクライアント管理ソフトウェアおよび製品の用語と定義を記載しています。

TLS 1.0 を理由として、MDM サーバーの脆弱性を無視する

このセクションでは、MDM サーバのセキュリティ侵害に対処する方法が書かれています。

問題

MCM 2.1 へのバージョンでは、MDM サーバーの脆弱性スキャンによって、MDM サーバーが TLS 1.0 および TLS 1.1を使った接続を受け入れていることを原因とした、侵害が明らかになる。

原因

この脆弱性の露出は、ポート 5671 に限定されます。MCM 2.1 までは、ポート 5671 は内部通信に TLS 1.0 を使用します。

TLS 1.0 による暗号化は、セキュリティ上の問題により、2021 年 3 月に正式に廃止されました。TLS 1.0 を使用しているウェブサイトは、2018 年 6 月30 日以降、PCI に準拠していないものとみなされています。PCI データ・セキュリティ基準 (PCI DSS) では、TLS 1.0 はウェブサイトを行き来する機密情報を保護するのに十分な強度を持っているとはみなされていません。

そのため、脆弱性スキャンでは、この脆弱性が検出されます。

これはポート 443 または 8443 には影響しません。これらのポートを介した通信では、TLS V1.2 以降の使用が強制されているからです。

解決策

TLS 1.0 の使用に関する脆弱性アラートは、無視しても問題ありません。

この脆弱性は、RabbitMQ と MDM プラグイン間の内部通信にのみ使用される、ポート 5671 にだけ影響を及ぼすからです。このポートは、インターネットに露出していません。この接続は、クライアント/サーバー証明書によって制御されるため、特定のクライアント/サーバー証明書を持つ MDM プラグインのみが内部通信のための接続を確立できます。適切なクライアント証明書がないと、内部通信であっても、接続を確立することができません。

TLS V1.2 以降はすべてのポートを介した通信が強制されており、内部通信でも TLS 要件を完全に満たすため、MCM 2.1 以降のバージョンでは、これは問題とはなりません。