ビュー:
Server & Workload Protection 環境に多数のオフラインコンピュータがあり、 Server & Workload Protectionと通信していない場合は、まずコネクタを使用してみてください (「 Microsoft Azureアカウントを Server & Workload Protectionに追加する、またはGoogle Cloud Platformアカウントの追加)。コネクタを使用すると、コンピュータのライフサイクル全体が自動的に管理されます。つまり、クラウドアカウントから削除されたコンピュータは Server & Workload Protectionからも自動的に削除されます。環境内でコネクタを使用できない場合は、非アクティブなエージェントのクリーンナップを使用して、非アクティブなコンピュータを自動的に削除できます。使用頻度の低いエージェントのクリーンナップでは、指定された期間 (2週間から12か月) オフラインで使用されていないコンピュータを1時間ごとに確認し、削除します。
注意
注意
非アクティブなエージェントのクリーンナップでは、1時間ごとのチェックで最大1000台のオフラインコンピュータが削除されます。オフラインコンピュータの数がこれより多い場合は、すべてのオフラインコンピュータが削除されるまで、連続するチェックごとに1,000台のコンピュータが削除されます。
非アクティブなAgentのクリーンナップを有効にした後には、次のことも行えます。
注意
注意
非アクティブなAgentのクリーンナップでは、クラウドコネクタによって追加されたオフラインコンピュータは削除されません。

非アクティブなAgentのクリーンナップを有効にする 親トピック

手順

  1. [管理] ページに移動します。
  2. 未満[システム設定] [エージェント] [非アクティブなAgentのクリーンナップ][非アクティブなエージェントの削除]を選択します。
  3. 非アクティブな期間がどのくらい続いているコンピュータを削除するかをリストから選択します。
  4. アクティブなオフラインコンピュータが Server & Workload Protectionに再接続できることを確認する(オプションですが、推奨)。
  5. [保存]をクリックします。

次に進む前に

Server & Workload Protectionで長時間オフラインのコンピュータを保護 親トピック

アクティブなオフラインコンピュータがあり、それらのコンピュータが Server & Workload Protectionと不規則に通信している場合、非アクティブなエージェントのクリーンナップは、定義した非アクティブ期間内に通信しない場合にそれらのコンピュータを削除します。これらのコンピュータが Server & Workload Protectionに確実に再接続するには、 [Agentからのリモート有効化][不明なAgentの再有効化]の両方を有効にすることをお勧めします。そのためには、[システム設定] [エージェント] [Agentからの有効化] 、最初に [Agentからのリモート有効化を許可] を選択し、次に [不明なエージェントの再有効化]を選択します。
注意
注意
削除されたコンピュータが再接続すると、ポリシーがなくなり、新しいコンピュータとして追加されます。コンピュータへの直接リンクはすべて、 Server & Workload Protection イベントデータから削除されます。
ヒント
ヒント
Agentからのアクティベーション時に、コンピュータに割り当てられたポリシーを自動的に割り当てることができます。イベントベースのタスク

特定のコンピュータが削除されないように上書きを設定する 親トピック

コンピュータまたはポリシーレベルでオーバーライドを設定すると、非アクティブなAgentのクリーンナップによってコンピュータが削除されるのを明示的に回避できます。
オーバーライドを設定するには、次の手順に従います。

手順

  1. 上書きを設定するコンピュータまたはポリシーのコンピュータエディタまたはポリシーエディタを開きます。
  2. に移動[設定] [一般]
  3. [非アクティブなAgentのクリーンナップのオーバーライド][はい]を選択します。
  4. [保存]をクリックします。

次に進む前に

非アクティブなクリーンナップジョブによって削除されたコンピュータの監査証跡を確認する 親トピック

非アクティブなAgentのクリーンナップジョブの実行時には、削除されたコンピュータの追跡に利用できるシステムイベントが生成されます。
次のシステムイベントを確認する必要があります。

システムイベントを検索する 親トピック

非アクティブなAgentのクリーンナップジョブによって生成されたシステムイベントを表示するには、次のように、それらのイベントを表示するためのフィルタ条件を追加した検索を作成する必要があります。

手順

  1. [イベントとレポート] ページに移動します。
  2. 右上の [検索フィールド] リストをクリックし、 [詳細検索を開く]を選択します。
    advanced-search-filt.png
  3. [期間]で、リストから [カスタム範囲] を選択します。
  4. [送信者]には、非アクティブなエージェントのクリーンナップジョブが最初に実行された直前の日時を入力します。 [終了]には、クリーンナップジョブが終了した直後の日時を入力します。
  5. [検索][イベントID][In]を選択し、「 [2953年、251年]」と入力します。必要に応じて、 [716] と、コンピュータの再アクティベーションに関連付けられたイベントID ([130、790、350、250]) を入力できます。

次に進む前に

これにより、非アクティブなエージェントのクリーンナップジョブによって生成されたすべてのシステムイベントが表示されます。対応する列をクリックすると、時間、イベントID、またはイベント名でイベントを並べ替えることができます。イベントをダブルクリックすると、その詳細を表示できます。詳細については、以下を参照してください。

システムイベントの詳細 親トピック

2953 - 非アクティブなAgentのクリーンナップが正常に完了しました 親トピック

このイベントは、非アクティブなエージェントのクリーンナップジョブが実行され、コンピュータが正常に削除されたときに生成されます。このイベントの説明には、削除されたコンピュータの数が表示されます。
注意
注意
すべてのコンピュータを削除するために複数回の確認が必要な場合は、確認が行われるたびにシステムイベントが生成されます。

251 - コンピュータの削除 親トピック

「非アクティブなAgentのクリーンナップが正常に完了しました」イベントに加え、コンピュータが1台削除されるたびに「コンピュータの削除」イベントが生成されます。

716 - 不明なエージェントによって再有効化が試行されました 親トピック

[不明なエージェントの再アクティブ化] が有効な場合、このイベントは、アクティブ化されたコンピュータが Server & Workload Protectionに再接続しようとしたときに削除された場合に生成されます。再アクティベートされた各コンピュータでは、次のシステムイベントも生成されます。
  • 130 - 資格情報の生成
  • 790 - Agentからの有効化が要求されました
  • 350 - ポリシーの作成 (ポリシーを割り当てるイベントベースのタスクを有効にしている場合)
  • 250 - コンピュータの作成または252 - コンピュータのアップデート