オンプレミス管理コンソールを維持する (レガシ)

大事な

Defender for IoT では、中央監視とセンサー管理に Microsoft クラウド サービスまたは既存の IT インフラストラクチャを使用することが推奨されるようになりました。は、2025 年 1 月 1 日にオンプレミス管理コンソール を廃止する予定です。

詳細については、「ハイブリッドまたはエアギャップ OT センサー管理をデプロイする」を参照してください。

この記事では、大規模なデプロイ プロセス以外で実行できる追加のオンプレミス管理コンソール アクティビティについて説明します。

注意

顧客の構成では、OT ネットワーク センサーの文書化された構成パラメーターのみがサポートされます。 変更によって予期しない動作やシステム エラーが発生する可能性があるため、文書化されていない構成パラメーターやシステム プロパティは変更しないでください。

Microsoft の承認なしにセンサーからパッケージを削除すると、予期しない結果が発生する可能性があります。 センサーにインストールされているすべてのパッケージは、正しいセンサー機能に必要です。

前提 条件

この記事の手順を実行する前に、次の項目があることを確認してください。

• オンプレミスの管理コンソール がインストールされ、 がアクティブ化された。

• 管理者 ユーザーとしてオンプレミス管理コンソールにアクセスします。 選択したプロシージャと CLI アクセスには、特権ユーザーも必要です。 詳細については、Defender for IoTを使用した OT 監視のオンプレミス ユーザーとロールの を参照してください。

• SSL/TLS 証明書をセンサーの証明書を更新する必要がある場合に備えて 用意しました。

• セカンダリ NIC を追加する場合は、特権ユーザーとして CLI にアクセスする必要があります。

オンプレミス管理コンソール用のソフトウェアをダウンロードする

独自のアプライアンスに Defender for IoT ソフトウェア をインストール 場合、またはソフトウェアバージョンを更新 場合は、オンプレミス管理コンソール用のソフトウェアをダウンロードする必要があります。

Azure portal の Defender for IoT で、次のいずれかのオプションを使用します。

• 新しいインストールやスタンドアローン更新の場合は、[作業の開始>オンプレミス管理コンソール] を選択します。

  • 新規インストールの場合は、アプライアンスの購入とソフトウェア のインストール領域でバージョンを選択し、ダウンロードを選択します。
  • 更新プログラムを行うには、オンプレミス管理コンソールの 領域で更新シナリオを選択し、その後 ダウンロードを選択します。

• 接続されている OT センサーと共にオンプレミス管理コンソールを更新する場合は、[センサーの更新 (プレビュー)] メニューの [サイトとセンサーの] ページ オプションを使用します。

インストール後にセカンダリ NIC を追加する

IP アドレス範囲内の接続されたセンサー専用のセカンダリ NIC を追加することで、オンプレミス管理コンソールのセキュリティを強化します。 セカンダリ NIC を使用する場合、1 つ目はエンド ユーザー専用であり、セカンダリはルーティング ネットワークのゲートウェイの構成をサポートします。

この手順では、オンプレミス管理コンソールのをインストール 後にセカンダリ NIC を追加する方法について説明します。

セカンダリ NICを追加するには:

1. SSH 経由でオンプレミス管理コンソールにサインインし、CLIにアクセスし、次のコマンドを実行します。

   sudo cyberx-management-network-reconfigure
   

2. 次の質問に対する次の回答を入力します。

   

   パラメーター	入力に対する応答
   管理ネットワークの IP アドレス	N
   サブネット マスク	N
   DNS	N
   既定のゲートウェイ IP アドレス	N
   センサー監視インターフェース 随意。 センサーが別のネットワーク セグメント上にある場合に関連します。	Yを指定し、選択可能な値を選択します
   センサー監視インターフェイス の IP アドレス	Yおよび、センサーがアクセスできる IP アドレスを入力します
   センサー監視インターフェイスのサブネット マスク	Yを入力し、センサーがアクセスできる IP アドレスを指定します。
   ホスト名の	ホスト名を入力します

3. すべての選択肢を確認し、「Y」と入力して変更を受け入れます。 システムが再起動します。

新しいアクティブ化ファイルをアップロードする

デプロイの一環として、オンプレミスの管理コンソールをアクティブ化しました。

監視対象デバイスの合計数が、のライセンスを取得した デバイスの数を超えている場合など、メンテナンス手順の一環としてオンプレミス管理コンソールの再アクティブ化が必要になる場合があります。

オンプレミス管理コンソールのに新しいアクティブ化ファイルをアップロードするには:

1. Azure portal の Defender for IoT で、プランと価格 を選択します。

2. プランを選択した後、オンプレミス管理コンソールの有効化ファイル をダウンロードを選択します。

   ダウンロードしたファイルを、オンプレミスの管理コンソールからアクセスできる場所に保存します。

   Azure portal からダウンロードされたすべてのファイルは信頼のルートによって署名されるため、マシンでは署名付き資産のみが使用されます。

3. オンプレミス管理コンソールにサインインし、[システム設定]>[ライセンス認証]を選択します。

4. [アクティブ化] ダイアログで、[ファイルを選択] をクリックし、前にダウンロードしたアクティブ化ファイルを探します。

5. [閉じる] を選択して変更を保存します。

SSL/TLS 証明書の管理

運用環境を使用している場合は、オンプレミス管理コンソールの展開の一環として、CA 署名 SSL/TLS 証明書 をデプロイしました。 自己署名証明書は、テスト目的でのみ使用することをお勧めします。

次の手順では、証明書の有効期限が切れている場合など、更新された SSL/TLS 証明書を展開する方法について説明します。

CA 署名付き証明書

CA 署名証明書を展開するには:

1. オンプレミス管理コンソールにサインインし、[システム設定] [SSL/TLS 証明書>] を選択します。

2. [SSL/TLS 証明書の] ダイアログで、[+ 証明書の追加 を選択し、次の値を入力します。

   パラメーター	説明
   証明書名	証明書名を入力します。
   パスフレーズ - 省略可能な	パスフレーズを入力します。
   秘密キー (KEY ファイル)	秘密キー (KEY ファイル) をアップロードします。
   証明書 (CRT ファイル)	証明書 (CRT ファイル) をアップロードします。
   証明書チェーン (PEM ファイル) - 省略可能な	証明書チェーン (PEM ファイル) をアップロードします。

   例えば：

   

   アップロードに失敗した場合は、セキュリティまたは IT 管理者に問い合わせてください。 詳細については、「オンプレミス リソースの SSL/TLS 証明書の要件 および OT アプライアンスの SSL/TLS 証明書を作成する を参照してください。

3. システム全体でSSL/TLS証明書の検証を有効にするには、証明書の検証 オプションを選択し、発行元の認証局 と証明書失効リストでの確認を行います。

   このオプションをオンにして検証に失敗すると、関連するコンポーネント間の通信が停止し、センサーに検証エラーが表示されます。 詳細については、CRT ファイルの要件参照してください。

4. [保存] を選択して変更を保存します。

自己署名証明書

各オンプレミス管理コンソールには自己署名証明書がインストールされています。この証明書は、テスト目的でのみ使用することをお勧めします。 運用環境では、常に CA 署名付き証明書を使用することをお勧めします。

自己署名証明書は、証明書の所有者を検証できないし、システムのセキュリティを維持できないため、安全性の低い環境につながります。

自己署名証明書を作成するには、オンプレミスの管理コンソールから証明書ファイルをダウンロードし、証明書管理プラットフォームを使用して、オンプレミス管理コンソールにアップロードし直す必要がある証明書ファイルを作成します。

自己署名証明書を作成するには:

ブラウザーでオンプレミス管理コンソールの IP アドレスに移動し、次の手順を実行します。

1. Web ブラウザーのアドレス バーで セキュリティで保護されていない アラートを選択し、警告メッセージの横にある [>] アイコン [このサイトへの接続がセキュリティで保護されていません]選択します。 例えば：

   

2. [証明書 の表示] アイコンを選択して、この Web サイトのセキュリティ証明書を表示します。

3. 証明書ビューアー ペインで、[の詳細] タブを選択し、[エクスポート] 選択してエクスポートしたファイルの名前を入力し、ローカル コンピューターに保存します。

4. 証明書管理プラットフォームを使用して、次の種類の SSL/TLS 証明書ファイルを作成します。

   ファイルの種類	説明
   .crt – 証明書コンテナーファイル	Windows エクスプローラーでサポートするために別の拡張子を持つ .pemファイルまたは .der ファイル。
   .key – 秘密キー ファイル	キー ファイルは、.pem ファイルと同じ形式で、Windows エクスプローラーでサポートするための拡張子が異なります。
   .pem – 証明書コンテナー ファイル (省略可能)	随意。 証明書テキストの Base64 エンコードと、証明書の先頭と末尾をマークするプレーンテキスト ヘッダーとフッターを含むテキスト ファイル。

   例えば：

   1. ダウンロードした証明書ファイルを開き、[の詳細] タブ >[ファイルへのコピー] を選択して、証明書のエクスポート ウィザードを実行します。

   2. 証明書のエクスポート ウィザードで、[次へ ]DER でエンコードされたバイナリ X.509 (.CER) を し、もう一度 [次 選択します。

   3. [エクスポートする ファイル] 画面 [参照] 選択し、証明書を保存する場所を選択して、[次へ]選択します。

   4. [完了] を選択して証明書をエクスポートします。

手記

既存のファイルの種類をサポートされている種類に変換することが必要な場合があります。

完了したら、次の手順に従って証明書ファイルを検証します。

• CRL サーバーアクセス を確認する
• SSL/TLS 証明書を信頼されたストア にインポートする
• SSL/TLS 証明書 をテストする

自己署名証明書をデプロイするには:

1. オンプレミス管理コンソールにサインインし、SSL/TLS 証明書システム設定を選択します。

2. [SSL/TLS 証明書の] ダイアログで、既定の ローカルで生成された自己署名証明書 (セキュリティで保護されていない、推奨されません) オプションを選択したままにします。

3. 確認 を選択して警告を認めます。

4. CRL サーバーに対して証明書を検証するには、証明書検証 を有効にする オプションを選択します。 証明書は、インポート プロセス中に 1 回確認されます。

   このオプションをオンにして検証に失敗すると、関連するコンポーネント間の通信が停止し、センサーに検証エラーが表示されます。 詳細については、CRT ファイルの要件参照してください。

5. [保存] を選択して、証明書の設定を保存します。

証明書のアップロード エラーのトラブルシューティング

証明書が正しく作成されていない場合、または無効な場合、OT センサーに証明書をアップロードすることはできません。 次の表を使用して、証明書のアップロードが失敗し、エラー メッセージが表示された場合にアクションを実行する方法を理解します。

証明書検証エラー	推奨事項の
パスフレーズがキーの と一致しません	正しいパスフレーズがあることを確認します。 問題が解決しない場合は、正しいパスフレーズを使用して証明書を再作成してみてください。 詳細については、「キーとパスフレーズのサポートされる文字を参照してください。
信頼チェーンを検証できません。 指定された証明書とルート CA が一致しません。	.pem ファイルが .crt ファイルに関連付いていることを確認します。 問題が解決しない場合は、.pem ファイルで定義されている正しい信頼チェーンを使用して証明書を再作成してみてください。
この SSL 証明書の有効期限が切れており、有効とは見なされません。	有効な日付の新しい証明書を作成します。
この証明書は CRL によって失効しており、セキュリティで保護された接続 に対して信頼できません	新しい未失効証明書を作成します。
CRL (証明書失効リスト) の場所に到達できません。 このアプライアンスから URL にアクセスできることを確認する	ネットワーク構成で、センサーが証明書で定義されている CRL サーバーに到達できることを確認します。 詳細については、「CRL サーバー アクセスを確認する」を参照してください。
証明書の検証に失敗した	これは、アプライアンスの一般的なエラーを示します。 Microsoft サポートにお問い合わせください。

オンプレミス管理コンソールの名前を変更する

オンプレミス管理コンソールの既定の名前は管理コンソールであり、オンプレミス管理コンソールの GUI とトラブルシューティング ログに表示されます。

オンプレミス管理コンソールの名前を変更するには:

1. オンプレミスの管理コンソールにサインインし、左下のバージョン番号のすぐ上にある名前を選択します。

2. 管理コンソール構成 の編集ダイアログで、新しい名前を入力します。 名前は最大 25 文字にする必要があります。 例えば：

   

3. [保存] を選択して変更を保存します。

特権ユーザー パスワードを回復する

特権ユーザーとしてオンプレミスの管理コンソールにアクセスできなくなった場合は、Azure portal からアクセスを回復します。

特権ユーザー アクセスを回復するには:

1. オンプレミス管理コンソールのサインイン ページに移動し、パスワード回復選択します。

2. サポート または CyberX ユーザーのいずれかのアクセス権を回復するユーザーを選択します。

3. パスワード回復 ダイアログに表示される識別子を安全な場所にコピーします。

4. Azure portal で Defender for IoT に移動し、オンプレミス管理コンソールに現在接続されている OT センサーのオンボードに使用されたサブスクリプションが表示されていることを確認します。

5. サイトとセンサー>その他のアクション>オンプレミス管理コンソールのパスワードを回復するを選択します。

6. オンプレミス管理コンソールから先ほどコピーしたシークレット識別子を入力し、[回復]選択します。

   password_recovery.zip ファイルがブラウザーからダウンロードされます。

   Azure portal からダウンロードされたすべてのファイルは信頼のルートによって署名されるため、マシンでは署名付き資産のみが使用されます。

7. オンプレミス管理コンソールの [パスワード回復] ダイアログで、[ のアップロード 選択し、ダウンロードした ファイルを選択します。

新しい資格情報が表示されます。

ホスト名を編集する

オンプレミス管理コンソールのホスト名は、組織の DNS サーバーで構成されているホスト名と一致する必要があります。

オンプレミス管理コンソールのに保存されているホスト名を編集するには:

1. オンプレミス管理コンソールにサインインし、[システム設定]選択します。

2. 管理コンソールのネットワーク 領域で、ネットワーク を選択します。

3. 新しいホスト名を入力し、[保存] 選択して変更を保存します。

VLAN 名の定義

VLAN 名は、OT センサーとオンプレミス管理コンソールの間で同期されません。 OT センサーで VLAN 名を定義 場合は、オンプレミス管理コンソールで同じ VLAN 名を定義することをお勧めします。

VLAN 名を定義するには:

1. オンプレミス管理コンソールにサインインし、[システム設定]選択します。

2. 管理コンソールのネットワーク 領域で、VLAN選択します。

3. [VLAN 構成 の編集] ダイアログで、[VLAN の追加 選択し、VLAN ID と名前を一度に 1 つずつ入力します。

4. [保存] を選択して変更を保存します。

SMTP メール サーバーの設定を構成する

オンプレミス管理コンソールで SMTP メール サーバーの設定を定義して、他のサーバーやパートナー サービスにデータを送信するようにオンプレミス管理コンソールを構成します。

たとえば、メール転送を設定し、転送アラート ルールを構成するように構成された SMTP メール サーバーが必要です。

前提条件:

オンプレミスの管理コンソールから SMTP サーバーにアクセスできることを確認します。

オンプレミス管理コンソールので SMTP サーバーを構成するには:

1. SSH/Telnet 経由で 特権ユーザー として、オンプレミスの管理コンソールにサインインします。

2. 走れ

   nano /var/cyberx/properties/remote-interfaces.properties
   

3. メッセージが表示されたら、次の SMTP サーバーの詳細を入力します。

   • mail.smtp_server
   • mail.port. 既定のポートは 25です。
   • mail.sender

次の手順

詳細については、以下を参照してください。

• OT システム ソフトウェア の更新
• 管理コンソールからセンサーを管理
• オンプレミス管理コンソールの のトラブルシューティング