Kaspersky Security for Virtualization 5.2 Light Agent をマルチテナンシーモードで使用する場合

Kaspersky Security をマルチテナンシーモードで使用する場合、プロバイダー組織のインフラストラクチャ（以下、「プロバイダー」ともいいます）にインストールされた 1 つの Kaspersky Security インスタンスで、テナント組織の分離された仮想インフラストラクチャ、または 1 つのテナント組織（以下、「テナント」ともいいます）の分離されたユニットを保護することができます。

マルチテナンシーモードでの Kaspersky Security の導入と使用手順は、Integration Server REST API のツールによって自動化されています。

Kaspersky Security をマルチテナンシーモードで使用するシナリオは、次の通りです：

• Kaspersky Security Center 仮想管理サーバーを使用する Integration Server REST API によるテナントの保護インフラストラクチャの導入、およびテナントの保護レポートの受信。
• テナントの保護レポートの受信（Integration Server REST API によるテナントの保護インフラストラクチャの導入は実行しません）。

  Integration Server REST API を使用しない方法でテナントの保護インフラストラクチャを導入済みである場合、既存のテナントとその仮想マシンを登録してテナントの保護レポートを受信できます。

Kaspersky Security for Virtualization 5.2 Light Agent を使用すると、Kaspersky Security for Virtualization 5.1 Light Agent がインストールされているテナントの仮想インフラストラクチャの保護を管理できます。ポリシーは、Light Agent バージョン 5.1 がインストールされている仮想マシンの保護を有効または無効にするために使用されます。Light Agent 5.2 がインストールされている仮想マシンの保護を有効または無効にするために、保護を有効化または無効化するポリシーは必要ありません。

テナントの保護インフラストラクチャの導入

Integration Server REST API を使用して作成されたテナントの保護インフラストラクチャは、Kaspersky Security Center 仮想管理サーバーの使用に基づいています。テナントごとに、仮想管理サーバーとテナントの管理者が仮想管理サーバーへの接続に使用するアカウントがあります。

1 台の Kaspersky Security Center 管理サーバーで最大 500 の仮想管理サーバーをサポートできます。

Light Agent がインストールされたテナントの仮想マシンは、テナントの仮想管理サーバーに配置されています。

テナントの管理者が仮想管理サーバーで実行可能な動作は次の通りです：

• Light Agent ポリシーとグループタスクを使用した仮想マシンの保護の一元的な管理。
• 仮想管理サーバーで使用可能なイベント通知およびレポートを使用して、インフラストラクチャの保護ステータスに関する情報を受信。
• このテナントの全仮想マシンのバックアップ保管領域に配置されたファイルコピーの使用。

仮想管理サーバーの詳細は、Kaspersky Security Center のオンラインヘルプを参照してください。

プロバイダーの管理者は本製品をインフラストラクチャにインストールし、Light Agent およびその他のアプリケーションが正しく動作するように設定します：

• テナントの仮想マシンにインストールされた Light Agent から SVM、Integration Server への接続設定の編集。
• 本製品のアクティベーションとライセンスの制限の管理。
• 定義データベースとソフトウェアモジュールのアップデート。
• Protection Server の設定の編集。

プロバイダーの管理者も、テナントの仮想マシンの全般的な保護設定を編集できます。

動作中、個人情報や機密情報を含む可能性のある情報が、プロバイダーのインフラストラクチャおよびテナントの仮想マシンにインストールされた Kaspersky Security と Kaspersky Security Center の間で転送されます。

テナントの保護インフラストラクチャの作成前に、次のステップを実行します：

1. Kaspersky Security のインストールまたはアップデート。

   プロバイダーのインフラストラクチャに次のコンポーネントをインストールする必要があります：

   • Kaspersky Security MMC プラグイン、Integration Server、Integration Server コンソール
   • Protection Server

   Web インターフェイスを Kaspersky Security Center との対話に使用するには、Web プラグインも Web コンソール を使用してインストールする必要があります。

2. 本製品での作業に必要なものを準備します：
   • Protection Server の動作を準備します。
   • Integration Server コンソールで、マルチテナンシーアカウントの既定のパスワードを変更します。マルチテナンシーアカウントは、Integration Server のインストール結果として自動的に作成されます。このアカウントは、Integration Server REST API との対話に必要です。
   • Integration Server コンソールで、Integration Server の Kaspersky Security Center 管理サーバーへの接続を設定します。これらの設定は、Integration Server REST API へのリクエストの実行時に、Kaspersky Security Center 管理サーバーでの認証で必要になります。

テナントの保護インフラストラクチャの導入は、次のステップで構成されます：

1. テナントおよび テナント用の Kaspersky Security Center 仮想管理サーバーの作成。
2. テナント仮想マシンを保護する SVM の場所の設定、および Protection Server の動作設定。
3. テナント仮想マシンにインストールされている Light Agent の SVM 検出設定と動作の全般設定。
4. テナントの仮想マシンへの Kaspersky Security Center ネットワークエージェント と Light Agent のインストール、テナント用に設定された仮想管理サーバーへの仮想マシンの移動。
5. Integration Server データベースにテナントの仮想マシンを登録。
6. テナントのアクティブ化：
7. Kaspersky Security Center 仮想管理サーバーの接続設定のうち、次をテナント管理者へ転送：
   • テナント用に設定された仮想管理サーバーのアドレス。
   • 仮想管理サーバーの管理者アカウントの設定。

   プロバイダーの管理者から受け取ったアカウントのパスワードを、テナントの管理者が変更することを推奨します。

テナントの保護インフラストラクチャの導入ステップは、Integration Server REST API と Kaspersky Security Center OpenAPI を使用して自動化できます。

不正アクセスを防止するために、SVM と、Kaspersky Security Center 管理サーバーおよび Integration Server がインストールされたデバイスを、専用の仮想ネットワークに導入することを推奨します。また、アドレス変換（SNAT）を使用して、テナントのサブネットからこのサブネットにルーティングするように設定することを推奨します。

Integration Server から Kaspersky Security Center 管理サーバーへの接続設定を編集

リクエスト実行中の Integration Server REST API と Kaspersky Security Center 管理サーバー間の対話には、Kaspersky Security Center の次の権限があるアカウントが必要です：

• 管理サーバーの機能に対する権限：
  • 全般的な機能 → 基本的な機能：読み取り、変更
  • 全般的な機能 → 管理グループの管理：変更
  • 全般的な機能 → ユーザー権限：アクセス管理リストの変更
  • 全般的な機能 → 仮想管理サーバー：読み取り、変更、実行、管理
• Light Agent 設定に関連する機能領域で、オブジェクトを読み取りおよび変更する権限。

Kaspersky Security Center 管理サーバーの［セキュリティ］セクションのプロパティウィンドウで、Integration Server を Kaspersky Security Center に接続するために使用するアカウントを作成および設定できます。

既定では、管理サーバーのプロパティウィンドウで［セキュリティ］セクションは表示されません。［セキュリティ］セクションが表示されるようにするには、［インターフェイスの設定］ウィンドウ（コンテキストメニューの［表示］→［インターフェイスの設定］メニュー）で、［セキュリティ設定セクションの表示］をオンにし、Kaspersky Security Center 管理コンソールを再起動します。

Kaspersky Security Center でのユーザーアカウント権限の詳細は、Kaspersky Security Center のオンラインヘルプを参照してください。

Integration Server と Kaspersky Security Center 管理サーバーの接続を設定するには：

1. Integration Server コンソールを開き、Integration Server に接続します。
2. 左のリストから、［Kaspersky Security Center 接続設定］セクションを選択します。
3. 次の接続設定を指定します：
   • Kaspersky Security Center 管理サーバーの IPv4 形式による IP アドレスまたは完全修飾ドメイン名（FQDN）。
   • Integration Server REST API と Kaspersky Security Center 管理サーバー間の対話に使用されるアカウントの名前とパスワード。
4. 保存ボタンをクリックします。

   Integration Server が接続を試行し、指定された接続設定を検証します。Kaspersky Security Center 管理サーバーから受信した SSL 証明書が Integration Server で信頼されない場合、通知が表示されます。取得した証明書の詳細を表示するには、このウィンドウのリンクをクリックします。受信した証明書が組織のセキュリティポリシーに準拠している場合、［証明書のインストール］をクリックして証明書の信頼性を確認できます。受信した証明書は、Integration Server の信頼できる証明書として保存されます。

   接続の確立後、Integration Server は接続設定を保存します。

テナントと仮想化管理サーバーの作成

テナントの保護インフラストラクチャを導入するこのステップでは、テナントの情報が Integration Server データベースに追加され、仮想管理サーバーがテナント用に作成されます。Integration Server REST API を使用すると、この処理が自動化されます。

REST API リクエストへのレスポンスとして実行される動作は、REST API メソッドの呼び出し時に指定されるテナントタイプに応じて異なります：テナントの保護インフラストラクチャの導入は、複合的なテナントタイプの場合のみ可能です。

REST API リクエストの次の情報を指定します：

• テナント名。
• テナントタイプ：Complete（複合的なテナントタイプ）。
• テナント用に設定された仮想管理サーバーへ接続するためにテナントの管理者が使用するアカウント設定。処理中に、メインの管理サーバーの権限を持つアカウントが、仮想管理サーバーに自動的に作成されます。

  Kaspersky Security Center は、メインの Kaspersky Security Center 管理サーバーおよびその仮想管理サーバーのすべてのアカウント名について一意性を検証します。既定では、アカウント名が一意でない場合、アカウント作成が失敗します。仮想管理サーバーのアカウント名に同一の名前を使用する場合、内部ユーザー名の一意性チェックを無効にすることができます。詳細は、Kaspersky Security Center のオンラインヘルプを参照してください。

この処理の実行結果として、次の動作が実行されます：

• テナントのデータが Integration Server データベースに保存され、テナントに一意の識別子が割り当てられます。
• Kaspersky Security Center 仮想管理サーバーと、テナント管理者が仮想管理サーバーへの接続に使用するアカウントが、テナントごとに作成されます。
• メインの Kaspersky Security Center 管理サーバーのコンソールツリーに最初のテナントが登録されると、［Multitenancy KSV LA］フォルダー（既定の名前）が［管理対象デバイス］フォルダーに作成されます。必要に応じて名前を変更できます。
• ［Multitenancy KSV LA］フォルダーに、次のフォルダーとノードの構造がテナントごとに作成されます：

  ［<テナント名>］フォルダー

  • ［管理サーバー］ノード
    • ［管理サーバー <テナント名>］ノード
      • テナントの保護の管理に必要なフォルダーと管理グループ。これらの構造は、メインの Kaspersky Security Center 管理サーバーのフォルダーと管理グループの構造と同一です。
• Kaspersky Security for Virtualization 5.1 Light Agent がインストールされている仮想マシンの保護を有効化または無効化するポリシーが、［Multitenancy KSV LA］ – <テナント名> フォルダーに作成されます。

  保護を有効または無効にするポリシーは、Kaspersky Security for Virtualization 5.1 Light Agent がテナントの仮想インフラストラクチャにインストールされている場合にのみ適用されます。保護を有効化または無効化するポリシーは、SVM 検出設定や、Light Agent の動作の全般設定を定義するために使用されます。

SVM の場所の設定と Protection Server の設定

テナントのセキュリティインフラストラクチャを導入するこのステップでは、次の操作が実行可能です：

1. Kaspersky Security Center 管理グループの階層構造にあるテナント仮想マシンを保護する SVM の場所を設定する。
2. Protection Server ポリシーを使用して、これらの SVM にインストールされた Protection Server の動作設定を編集する。
3. Light Agent ポリシーを使用して、テナント仮想マシンにインストールされる Light Agent の全般設定を編集する。

テナントの仮想マシンを保護する SVM を、メインの Kaspersky Security Center 管理サーバーの任意のフォルダーおよび管理グループに導入できます。

SVM と Protection Server ポリシーを、テナント管理者がアクセス可能なフォルダーおよび管理グループに導入することは推奨されません。［管理サーバー <テナント名>］ノードより下層のフォルダーおよび管理グループが、推奨されない配置場所です。

特定のテナントの仮想マシンのみを SVM で保護する場合、Light Agent から SVM へのアクセスを次のいずれかの方法で制限します：

• 接続タグの使用：タグを Protection Server ポリシー と Light Agent ポリシーで指定する必要があります。編集した設定をロックし、ローカルのアプリケーション設定または階層構造の下位レベルのポリシー設定で変更されることを禁止しておくことを推奨します。
• テナントのサブネットから SVM のサブネットの TCP ポート（80、9876、9877、11111、11112）へのネットワーク接続をブロック。

接続タグを、テナント管理者がアクセス可能なフォルダーおよび管理グループで編集することは推奨しません。［管理サーバー <テナント名>］ノードより下層のフォルダーおよび管理グループが、推奨されない配置場所です。

Kaspersky Security Center ポリシーが管理グループの階層構造内にあるすべての SVM に継承される順序で、既定の Protection Server ポリシーが適用されます。メインの管理サーバーに Kaspersky Security MMC プラグインをインストールすると、［管理対象デバイス］フォルダーにポリシーが作成されます。テナントの仮想マシンを保護する SVM に特定の動作設定を指定する場合、テナントの仮想マシンを保護する SVM が配置されているフォルダーに Protection Server ポリシーを作成します。

Kaspersky Security Network の使用を一元的に有効化し、テナントの仮想マシンを保護する場合は、テナントの個人データが合法的に処理されることを確認する必要があります。

Light Agent の SVM 検出設定とテナント保護の全般設定

テナント保護フレームワーク導入のこの段階で、次のいずれかのフォルダーに Light Agent ポリシーを作成します：

• ［Multitenancy KSV LA – <テナント名>］フォルダーで、特定の 1 つのテナントの仮想マシンにインストールされるすべての Light Agent の全般設定を指定します。ポリシーをテナントごとに、［Multitenancy KSV LA – <テナント名>］フォルダーに作成する必要があります。
• ［Multitenancy KSV LA］フォルダーで、すべてのテナントの仮想マシンにインストールされるすべての Light Agent の全般設定を指定します。

Light Agent ポリシーで、Light Agent の動作設定を次のように指定します：

• Light Agent を SVM に接続する設定：
  • Light Agent ポリシーで、SVM 検出に Integration Server の使用を有効にします。完全なタイプのテナントの仮想マシンにインストールされた Light Agent は、接続できる SVM を検出するために、Integration Server を使用する必要があります。
  • 接続タグのメカニズムを使用して、Light Agent が SVM へアクセスするのを制限する場合は、接続タグを Light Agent に割り当てます。

    Standard ライセンスで製品を使用する場合、接続タグは使用できません。Light Agent の SVM へのアクセスを制限するために、テナントのサブネットから SVM のサブネットの TCP ポート（80、9876、9877、11111、11112）へのネットワーク接続をブロックできます。

  既定値は、Light Agent を SVM に接続する他の設定に使用できます。

  ローカルの製品設定およびまたは階層構造の下位レベルのポリシーでこれらの設定の変更を禁止するために、Light Agent を SVM に接続するすべての設定を「ロック」することをお勧めします。

• 必要に応じて、テナント仮想マシンにインストールされる Light Agent の全般設定を指定できます。

  「ロック」属性を使用することで、ローカルの製品設定、タスク設定、または階層構造の下位レベルのポリシー（下位の管理グループおよびセカンダリ管理サーバーの場合）において設定または設定のグループに対する変更を許可またはブロックできます。テナント管理者は、「ロック」の状態である設定を編集できません。「ロック」が解除されている場合、テナント管理者は Light Agent コンポーネントの操作を個別に設定できます。

Kaspersky Security for Virtualization 5.1 Light Agent の Light Agent と SVM がテナント仮想インフラストラクチャにインストールされている場合は、これらの Light Agent の全般設定を指定するために、［Multitenancy KSV LA – <テナント名>］フォルダーに自動的に作成されたテナント保護を有効にするポリシーを使用することを推奨します。

［管理サーバー <テナント名>］ノードより下層にあるような、テナント管理者がアクセス可能なフォルダーおよび管理グループに配置されているポリシーで、Light Agent の全般設定を編集することは推奨されません。

テナントの仮想マシンへの Light Agent のインストール

テナントのセキュリティインフラストラクチャを導入するこのステップでは、次の操作が実行されます：

• テナントの仮想管理サーバーに接続するように設定された Kaspersky Security Center ネットワークエージェントが、テナントの仮想マシンにインストールされます。
• テナントの仮想マシンが、テナント用に設定された仮想管理サーバーの［管理対象デバイス］フォルダーに移動されます。
• Light Agent for Windows または Light Agent for Linux がテナントの仮想マシンにインストールされます。

リストされた操作は、プロバイダー側およびテナント側で実行可能です。事前にテナント管理者に仮想管理サーバーへの接続設定が提供されている必要があります。

プロバイダー側でインストールを実行する場合

Kaspersky Security Center OpenAPI を使用して、テナントの仮想マシンへのアプリケーションのインストール、および管理グループへの仮想マシンの移動を自動化できます。詳細は、ナレッジベースを参照してください。

別のインストール方法も使用できます：

• 仮想マシンへのリモートインストールを、インストールウィザードまたはリモートインストールタスクを使用して実行する。

  Windows オペレーティングシステムの仮想マシンへのインストールには、ネットワークエージェントのインストールパッケージが必要です。ネットワークエージェントのインストールパッケージは、テナントごとに用意する必要があります。インストールパッケージのプロパティに、テナント用に設定された仮想管理サーバーの接続設定が含まれている必要があります。ネットワークエージェントのインストール後に、仮想マシンの移動先である管理グループを指定できます。パッケージのプロパティ、またはリモートインストールタスクのプロパティでの指定が可能です。インストールパッケージの設定に関する詳細は、Kaspersky Security Center のオンラインヘルプを参照してください。

  Linux オペレーティングシステムの仮想マシンへのインストールには、ネットワークエージェントのインストールパッケージを別に用意する必要はありません。ネットワークエージェントは、Light Agent for Linux のインストールパッケージに含まれています。ネットワークエージェントから仮想管理サーバーへの接続設定は、Light Agent for Linux のインストールパッケージのプロパティで設定する必要があります。

  Light Agent for Windows、Light Agent for Linux、ネットワークエージェントのインストールに必要なインストールパッケージは、メインの Kaspersky Security Center 管理サーバーの［詳細］ → ［リモートインストール］ → ［インストールパッケージ］フォルダーに配置されます。管理サーバーのタスクを使用して、選択した仮想管理サーバーへインストールパッケージを配布できます。また、Kaspersky Security Center OpenAPI を使用して、パッケージの配布を自動化することも可能です。詳細は、ナレッジベースを参照してください。

• Windows オペレーティングシステムの仮想マシンを仮想マシンテンプレートから導入する。

  仮想マシンテンプレートを、テナントの仮想管理サーバーへの接続が設定されているネットワークエージェント、および Light Agent とともにテナントごとに用意する必要があります。用意した後、このテンプレートから仮想マシンをテナントへ導入できます。

  仮想マシンテンプレートへのネットワークエージェントのインストール時に、VDI 向けのネットワークエージェント設定の最適化を有効にすることを推奨します。

テナント側でインストールを実行する場合

インストールパッケージまたはプロバイダー管理者が用意した仮想マシンテンプレートがある場合、テナントの管理者はネットワークエージェントと Light Agent をテナントの仮想マシンにインストールできます。

テナントの仮想マシンの登録

テナントのセキュリティインフラストラクチャを導入するこのステップでは、テナントの仮想マシンが登録されます。Integration Server REST API を使用すると、この処理が自動化されます。

REST API へのリクエストで、仮想マシンの識別子（BIOS ID）と、仮想マシンが属するテナントの識別子を指定します。

これにより、仮想マシンに関する情報が、Integration Server データベースに登録され、仮想マシンとテナント間の接続が確立されます。

テナントのアクティブ化

テナントのセキュリティインフラストラクチャを導入するこのステップでは、テナントがアクティブになります。テナントは、Integration Server データベースに「非アクティブ」のステータスで登録されています。テナントが非アクティブの場合、テナントの仮想マシンにインストールされている Light Agent は、接続できる SVM に関する情報を受信せず、テナント仮想マシンの保護が無効になります。テナントの仮想マシンの保護を開始するには、テナントをアクティブにする必要があります。

Integration Server REST API を使用すると、テナントをアクティブにする処理が自動化されます。

この処理の実行結果として、次の動作が実行されます：

• テナントのステータスが「アクティブ」に変更されます。テナントステータスは Integration Server データベースに保存されます。Integration Server REST API を使用するか、Integration Server コンソールでテナントのリストを表示することで、テナントのステータスに関する情報を取得できます。
• テナント仮想マシンにインストールされた Light Agent は、Integration Server から接続に使用可能な SVM のリストを受け取ります。Light Agent は、SVM 接続設定に従って接続に最適な SVM を選択することで、テナント仮想マシンの保護が可能になります。
• Kaspersky Security for Virtualization 5.1 Light Agent がインストールされている仮想マシンの保護を有効化または無効化するポリシーのステータスが変更されます。

  保護を有効または無効にするポリシーは、Kaspersky Security for Virtualization 5.1 Light Agent がテナントの仮想インフラストラクチャにインストールされている場合にのみ適用されます。

既存のテナントとその仮想マシンの登録

Integration Server REST API を使用せずにテナントの保護インフラストラクチャを設定する場合、テナントの保護レポートが生成されるようにするには、テナントと仮想マシンに関する情報を Integration Server データベースに手動で追加する必要があります。

テナントとその仮想マシンの Integration Server 定義データベースへの登録のステップは次の通りです：

1. Integration Server 定義データベースにテナントを作成。

   Integration Server REST API を使用すると、テナントを作成する処理が自動化されます。

   REST API リクエストへのレスポンスとして実行される動作は、REST API メソッドの呼び出し時に指定されるテナントタイプに応じて異なります。テナントの保護インフラストラクチャを作成せずにテナントのデータを Integration Server 定義データベースに入力するには、単純なテナントタイプを指定します。

   REST API リクエストの次の情報を指定します：

   • テナント名。
   • テナントタイプ：Simple（単純なテナントタイプ）。

   これにより、テナントのデータが Integration Server データベースに保存され、テナントに識別子が割り当てられます。

2. Integration Server データベースにテナントの仮想マシンを登録。

   Integration Server REST API を使用すると、仮想マシンの登録処理が自動化されます。

   REST API へのリクエストで、仮想マシンごとの識別子（BIOS ID）と、仮想マシンが属するテナントの識別子を指定します。

   これにより、Integration Server データベースにテナントの仮想マシンの情報が保存されます。

3. テナントのアクティブ化。

   Integration Server REST API を使用すると、テナントをアクティブにする処理が自動化されます。

   有効化した後、テナントのステータスが Integration Server データベースに保存されます。Integration Server REST API を使用するか、Integration Server コンソールでテナントのリストを表示することで、テナントのステータスに関する情報を取得できます。

   単純なテナントタイプの場合、テナントのステータス（アクティブまたは非アクティブ）がテナントの仮想マシンの保護ステータスに影響することはありません。

テナントの保護の有効化と無効化

Integration Server データベースに登録されたテナントのステータスは、アクティブまたは非アクティブです。既定では、テナントのステータスは非アクティブです。

複合的なテナントタイプの場合、ステータスによって、テナントの仮想マシンの保護のステータスが決定されます。

• テナントのステータスが「アクティブ」の場合、Integration Server は、テナント仮想マシンにインストールされている Light Agent への接続に使用可能な SVM のリストを送信します。Light Agents は、SVM 接続設定に従って接続に最適な SVM を選択し、接続します。テナントの仮想マシンの保護が有効になります。
• テナントのステータスが「非アクティブ」の場合、Integration Server は、存在しない SVM のアドレスをテナント仮想マシンにインストールされている Light Agent に送信します。これは、Light Agent がどの SVM にも接続できないことを意味します。テナントの仮想マシンの保護が無効になります。

複合的なテナントタイプの仮想マシンの保護を有効にするには、テナントをアクティブにする必要があります。完全なテナントタイプの仮想マシンの保護を無効にする（テナントへの保護サービスの提供を一時停止する）には、テナントを非アクティブにします。

テナントを非アクティブにした後、テナントの仮想マシンにインストールされた Light Agents からのイベントが Kaspersky Security Center 管理サーバーにログとして記録されます。接続可能な SVM が存在しないというイベントがログとして 1 回記録され、保護対象仮想マシンでアップデートタスクが完了できないというイベントが 2 時間ごとに記録されます。

本製品の不正使用を防止するために、テナントを非アクティブにした後は、テナントのサブネットから SVM のサブネットの TCP ポート（80、9876、9877、11111、11112）へのネットワーク接続をブロックすることを推奨します。

単純なテナントタイプの場合、テナントのステータスが仮想マシンの保護ステータスに影響することはありません。

Integration Server REST API を使用すると、テナントをアクティブ / 非アクティブにする処理が自動化されます。

テナント情報の取得

Kaspersky Security では、以下の方法でテナント情報を取得することができます：

• Integration Server コンソールで、テナントのリストを表示する。
• テナントのリスト、テナントの仮想マシンのリスト、テナントの情報を Integration Server REST API を使用して受け取る。

Integration Server コンソールでテナントのリストを表示するには：

1. Integration Server コンソールを開き、Integration Server に接続します。
2. 左側のリストで、［テナントのリスト］セクションを選択します。

右の作業領域で、Integration Server データベースに登録された全テナントのリストが表示されます。リストは表で示されます。

各テナントの次の情報がリストに表示されます：

• ステータス – Integration Server 定義データベース内のテナントステータス。ステータスは次のアイコンで表示されます：
  • テナントのステータスは「アクティブ」です。
  • テナントのステータスは「非アクティブ」です。

  複合的なテナントタイプの場合、ステータスによって、テナントの仮想マシンの保護のステータスが決定されます。

  • テナントのステータスがアクティブの場合、テナントの仮想マシンの保護が有効になります。
  • テナントのステータスが非アクティブの場合、テナントの仮想マシンの保護が無効になります。

  単純なテナントタイプの場合、テナントのステータスが仮想マシンの保護ステータスに影響することはありません。

• テナントおよびテナントの仮想マシンに関する情報：
  • テナント名
  • テナントタイプ：［Complete］（複合的なテナントタイプ）または［Simple］（単純なテナントタイプ）
  • テナント の識別子
  • 複合的なテナントタイプの場合：テナント用に設定された仮想管理サーバーの識別子
  • テナントの仮想マシンの識別子（BIOS ID）または名前のリスト
• 管理者アカウント – テナント用に設定された仮想管理サーバーへ接続するために複合的なテナントタイプのテナントの管理者が使用するアカウント名。このリストに表示されるのは、テナントが作成された時点で指定されたアカウント名です。その後名前が変更されたとしても変わりません。

テナントのリストを、表の上にある［更新］を使用して更新できます。

テナントの保護レポートの受信

仮想マシンにインストールされた Light Agent が SVM に接続されていると、仮想マシンは保護されていると判断されます。各 SVM で Light Agents が SVM に接続されていた期間に関するデータが受信され、Integration Server データベースにそのデータが送信されます。この情報に基づき、テナントの仮想マシンの保護ステータスに関するレポートを、Integration Server REST API を使用して受け取ることができます。

テナント保護レポートを使用すると、テナントでの保護対象仮想マシンと、各仮想マシンが Kaspersky Security によって保護されたすべての時間間隔の情報を取得できます。SVM に接続された全仮想マシンの保護に関する情報を、レポート期間を指定して取得することもできます。情報には、どのテナントにも属していない仮想マシンの情報も含まれます。

テナントの保護インフラストラクチャの導入には次のステップがあります：

1. Integration Server データベースへのレポートデータの転送機能の有効化。
2. レポートの生成。レポートは CSV ファイル形式で一時フォルダーに生成されます。
3. レポートのアップロード。生成したレポートは全体または部分に分けてアップロードし、プロバイダーのレポートシステムと統合させることができます。

レポートデータの転送機能の有効化

既定では、レポートデータの転送機能は Integration Server で無効にされています。テナントの保護レポートを受信する場合は、レポートデータの転送機能を Integration Server 設定情報ファイル（%ProgramFiles(x86)%\Kaspersky Lab\Kaspersky VIISLA\viislaservice.exe.config）で有効にします。

レポートデータの受信機能を有効にするには：

1. 設定情報ファイル viislaservice.exe.config を編集するために開きます。
2. EnableTenantsProtectionReports パラメータを true に設定してファイルを保存します。
3. Integration Server を再起動します。

Integration Server Light Agent と SVM が接続されている間に、各 SVM からのデータを Integration Server が受信するようになります。

レポートデータの受信機能が有効で SVM が Integration Server と接続されていない場合、データパケットが送信キューに入れられます。キュー内のパケットが最大数に達すると、古いデータパケットが削除されます。データ送信のパラメータは、SVM の設定情報ファイル /etc/opt/kaspersky/agents_monitor/agents_monitor.conf で設定されています。送信するパケットのキューの最大サイズは、max_queue_size パラメータで指定できます。

データは Integration Server データベースに保存されます。既定では、レポートの保存期間は 460 日です。この値を編集するには、Integration Server.の設定ファイル viislaservice.exe.config にあるTenantsProtectionPeriodsRecordsLifetimeDays パラメータを使用します。

Integration Server データベースのサイズが、テナントの保護対象仮想マシンの数に比例して大きくなります。

テナントの保護レポートの生成

Integration Server REST API を使用すると、レポートの生成処理が自動化されます。

REST API へのリクエストに、次のレポート生成パラメータを含めることができます：

• 保護レポートを作成するテナントの識別子。
• レポート生成の対象期間の開始日時。
• レポート生成の対象期間の終了日時。

テナントの識別子がリクエストで指定されていない場合、指定期間内に保護されていた全仮想マシンのデータがレポートに含まれます。テナントに属していない仮想マシンのデータも含まれます。

レポート生成の期間がリクエストで指定されていない場合、Integration Server データベース内で最も初期の日付から現時点までの保管データがレポートに含まれます。

レポートに含まれる情報の信頼性を高めるために、レポート期間の指定時に次のルールに従うことを推奨します：

• 正確な日付をレポート対象期間に指定する。
• レポート対象期間の終了日時は、現在時刻から 60 分以上前を設定する。

レポート生成の処理の結果として、レポートの識別子が返されます。レポートは、保護サービスフォルダーは、%ProgramData%\Kaspersky Lab\VIISLA\protectionPeriodsReports に作成されます。既定では、生成の時点から 24 時間以内にレポートが保存されます。レポートを取得するには、REST API へのリクエストのレポート識別子を使用して、レポートをアップロードします。

レポートの保持期間は、Integration Server の設定情報ファイル（%ProgramFiles(x86)%\Kaspersky Lab\Kaspersky VIISLA\viislaservice.exe.config）で TenantsProtectionReportsLifetimeHours パラメータを使用して設定できます。

レポート内のデータは行ごとに提示されます。各行に、1 つの仮想マシンの保護期間が次の形式で記載されています：

{テナント ID};{テナント名};{仮想マシンの ID};{仮想マシン名};{保護を有効にした日時};{保護を無効にした日時}

各パラメータの説明：

• {テナント ID} – 仮想マシンが属するテナントの識別子。仮想マシンがどのテナントにも属していない場合、このフィールドには何も表示されません。
• {テナント名} – テナントの作成時に指定されたテナント名。仮想マシンがどのテナントにも属していない場合、このフィールドには何も表示されません。
• {仮想マシンの ID} – 本製品によって保護されている仮想マシンの識別子。
• {仮想マシン名} – 本製品によって保護されている仮想マシンの名前。
• {保護を有効にした日時} – 保護対象仮想マシンの保護が開始された日時。
• {保護を無効にした日時} – 保護対象仮想マシンの保護が終了した日時。

レポート対象期間の中で、本製品による仮想マシンの保護（保護の有効化と無効化）が 2 回以上発生した場合、それぞれの保護期間がレポートに表示されます。

テナントの保護レポートのアップロード

Integration Server REST API を使用すると、レポートのアップロード処理が自動化されます。

REST API へのリクエストで、前のステップで取得したレポート識別子とデータの表示形式（CSV）を指定する必要があります。

その他の表示形式はサポートされていません。

レポート全体のアップロードも、部分的なデータの取得も可能です。

統合されたデータは、レポートシステムで処理されたクエリの結果として取得できます。

保護対象インフラストラクチャからの仮想マシンの削除

複合的なテナントタイプの保護対象インフラストラクチャから仮想マシンを削除するには：

1. Integration Server データベースから仮想マシンを登録解除します。Integration Server REST API を使用すると、仮想マシンの登録解除の処理が自動化されます。

   これにより、Integration Server データベースからテナントの仮想マシンの情報が削除されます。

2. Light Agent for Windows または Light Agent for Linux、および Kaspersky Security Center ネットワークエージェントを仮想マシンから削除します。

   Kaspersky Security Center インターフェイスでこれらの操作を手動実行することも、Kaspersky Security Center OpenAPI を使用して自動的に削除することも可能です。詳細は、ナレッジベースを参照してください。

3. テナントの管理対象デバイスのリストから仮想マシンを削除します。仮想マシンを Kaspersky Security Center のメインの管理サーバーの［未割り当てデバイス］フォルダーに移動したり、Kaspersky Security Center から削除したりできます。

   Kaspersky Security Center インターフェイスでこれらの操作を手動実行することも、Kaspersky Security Center OpenAPI を使用して自動的に仮想マシンを管理対象デバイスのリストから削除することも可能です。詳細は、ナレッジベースを参照してください。

仮想マシンを単純なテナントタイプの保護対象インフラストラクチャから削除する場合は、Integration Server データベースから仮想マシンを登録解除します。

テナントの削除

複合的なテナントタイプへのサービス提供を停止するには、テナントを削除します。次の操作を実行します：

1. Light Agent for Windows、Light Agent for Linux、および Kaspersky Security Center ネットワークエージェントを、テナントの仮想マシンから削除します。

   Kaspersky Security Center インターフェイスでこれらの操作を手動実行することも、Kaspersky Security Center OpenAPI を使用して自動的に削除することも可能です。詳細は、ナレッジベースを参照してください。

2. Integration Server データベースからテナントを削除し、テナントの保護インフラストラクチャも削除します。Integration Server REST API を使用すると、削除処理が自動化されます。REST API メソッドの呼び出し時に、removeTenantArtifacts=true パラメータを指定します。

   この処理の実行結果として、次の動作が自動的に実行されます：

   • テナントとテナントの仮想マシンに関する情報が Integration Server データベースから削除されます。
   • 次のテナント保護インフラストラクチャは、Kaspersky Security Center から削除されます：仮想管理サーバーとそのサーバーへの接続用アカウント、［Multitenancy KSV LA］→［<テナント名>］フォルダーとその内容（サブフォルダーと管理グループ、ポリシーとタスク、インストールパッケージ）。
   • 別のテナントが存在しない場合、［Multitenancy KSV LA］フォルダーも削除されます。

単純なテナントタイプ向けの保護サービスの提供が終了すると、 Integration Server データベースからテナントが削除されます。

マルチテナンシーのシナリオでの Integration Server REST API の使用

Integration Server REST API との対話は、リクエストとレスポンスに基づいており、multitenancyアカウントの元で HTTPS プロトコルを使用して実行されます。

アカウントのパラメータ（次の文字列の形式：{ユーザー名}:{パスワード}）は、Authorization リクエストヘッダーでのメソッドの呼び出しごとに、Base64 方式にエンコードされて渡されます。認証には、基本認証の方式が使用されます。

Integration Server REST API へのリクエストのアドレスは次の要素で構成されています：

https://{Integration Server のアドレス}:{Integration Server のポート}/{メソッド}?{パラメータ}

各パラメータの説明：

• {Integration Server のアドレス} – Integration Server の IP アドレス、または完全修飾ドメイン名（FQDN）。
• {Integration Server のポート} – Integration Server への接続用ポート（既定では 7271 ポート）。
• {メソッド} – 呼び出すメソッド。
• {パラメータ} – メソッドのパラメータ（存在する場合）。

時間がかかり、非同期で実行されるリクエストの処理に、タスクが使用されます。このタスクは、クエリの中間結果として作成されます。

テナントで使用するメソッド

Integration Server REST API を使用して、テナントおよびテナントの仮想マシンの使用時に次の操作を実行できます：

• テナント情報の取得
• テナントのリストの取得
• テナントの仮想マシンのリストの取得
• 新しいテナントとその保護インフラストラクチャの作成、または既存のテナントの登録
• テナントの削除
• テナントのアクティブ化と非アクティブ化
• テナントの仮想マシンの登録および登録解除

一部の REST API リクエストの結果として実行される一連の動作は、Integration Server データベースにテナントの情報を登録する時に指定したテナントタイプに応じて異なります。Integration Server REST API を使用したテナントの保護インフラストラクチャの導入および削除は、複合的なテナントタイプで可能です。単純なテナントタイプの場合、レポートの受信機能のみが自動化されます。

テナント情報の取得

テナントの仮想マシンの情報が Integration Server データベースから取得されます。

メソッド：

GET /api/2.0/virtualization/tenants/{テナント ID}

各パラメータの説明：

{テナント ID} – Integration Server データベース内のテナントの識別子（必須パラメータ）。

このリクエストが正常に完了すると、REST API はテナントに関する次の情報を返します：

<tenant id="{ID}" created="{日時}" updated="{日時}">

<name>{名前}</name>

<description>{説明}</description>

<userData><![CDATA[{詳細情報}]]></userData>

<!-- vKsc セクションのデータは、複合的なテナントタイプのみ指定可能です -->

<vKsc id="{ID}">

<user>

<name>{管理者}</name>

</user>

</vKsc>

<status>{ステータス}</status>

<type>{テナントタイプ}</type>

</tenant>

各パラメータの説明：

• tenant id="{ID}" – Integration Server 定義データベース内のテナントの識別子。
• created="{日時}" – Integration Server 定義データベースにテナントが登録された日時。形式：YYYY-MM-DDThh:mm:ss。
• updated="{日時}" – Integration Server 定義データベースでテナントデータがアップデートされた日時。形式：YYYY-MM-DDThh:mm:ss。
• {名前} – テナントの作成時に指定されたテナント名。
• {説明} – テナントの説明。
• {詳細情報} – Integration Server 定義データベースに保存されたテナントに関する詳細情報。
• vKsc id="{ID}" - Kaspersky Security Center のテナント仮想管理サーバーに割り当てられた識別子。
• {管理者名} - テナントの仮想管理サーバーの管理者名。
• {ステータス} - テナントの現在のステータス：Active または Inactive。
• {テナントタイプ} - テナントタイプ：Complete（複合的なテナントタイプ）または Simple（単純なテナントタイプ）。

リターンコード：

• 200 (OK) – リクエストが正常に完了しました。レスポンスが、テナントの情報を返します。
• 403 (Forbidden) – リソースへのアクセスが拒否されました。
• 404 (Not Found) VIRMT_TenantWithSpecifiedIdNotFound – Integration Server データベース内に、指定した識別子のテナントが見つかりません。

テナントのリストの取得

全テナントのリスト、Integration Server データベースに保存されている情報、各テナントの情報を取得できます。

メソッド：

GET /api/2.0/virtualization/tenants

リターンコード：

• 200 (OK) – リクエストが正常に完了しました。レスポンスが、全テナントの情報をリストとして返します。
• 403 (Forbidden) – リソースへのアクセスが拒否されました。

テナントの仮想マシンのリストの取得

登録されたテナントの全仮想マシンのリストを取得できます。

メソッド：

GET /api/2.0/virtualization/tenants/{テナント ID}/vms

各パラメータの説明：

{テナント ID} - Integration Server 定義データベース内のテナントの識別子（必須パラメータ）。

リクエストが正常に成功すると、REST API が仮想マシン のリストとテナントの仮想マシンに関する次の情報を返します：

<vm id="{定義データベース内の ID}" biosId={BIOS ID} created="{日時}" updated="{日時}">

<name>{名前}</name>

<userData><![CDATA[{詳細情報}]]></userData>

</vm>

各パラメータの説明：

• {定義データベース内の ID} - Integration Server 定義データベース内の仮想マシンに割り当てられた識別子。
• {BIOS ID} - 仮想マシンの識別子（BIOS ID）（UUID 形式）。
• created="{日時}" - Integration Server 定義データベースに仮想マシンが登録された日時。形式：YYYY-MM-DDThh:mm:ss。
• updated="{日時}" – 仮想マシンのデータが Integration Server 定義データベースでアップデートされた日時。形式：YYYY-MM-DDThh:mm:ss。
• {名前} – 仮想マシン名。
• {詳細情報} – Integration Server 定義データベースに保存された仮想マシンに関する詳細情報。

リターンコード：

• 200 (OK) – リクエストが正常に完了しました。レスポンスが、テナントの仮想マシンのリストを返します。
• 403 (Forbidden) – リソースへのアクセスが拒否されました。
• 404 (Not Found) VIRMT_TenantWithSpecifiedIdNotFound – Integration Server データベース内に、指定した識別子のテナントが見つかりません。

テナントの新規作成

REST API メソッドの呼び出し時に指定するテナントタイプに応じて、次の動作が実行されます：

• 複合的なテナントタイプの場合：
  • Integration Server データベースにテナントデータを追加します。
  • Kaspersky Security Center で、テナントの保護インフラストラクチャを作成します（仮想管理サーバー、仮想管理サーバーへの接続用アカウント、フォルダーと管理グループの構造、）。
  • Kaspersky Security for Virtualization 5.1 Light Agent がインストールされている仮想マシンの保護を有効化または無効化するポリシーを、［Multitenancy KSV LA – <テナント名>］フォルダーに作成します。

    保護を有効または無効にするポリシーは、Kaspersky Security for Virtualization 5.1 Light Agent がテナントの仮想インフラストラクチャにインストールされている場合にのみ適用されます。

  • テナントの仮想サーバーの情報を Integration Server データベースへ追加します。
• 単純なテナントタイプの場合：Integration Server データベースにテナントデータを追加します。

メソッド：

POST /api/2.0/virtualization/tenants

リクエスト本文に次のパラメータを指定する必要があります：

<tenant>

<name>{名前}</name>

<description>{説明}</description>

<userData><![CDATA[{詳細情報}]]></userData>

<preferredViisAddress>{IP アドレス}</preferredViisAddress>

<type>{テナントタイプ}</type>

<!-- vKsc セクションのデータは、複合的なテナントタイプのみ指定可能です -->

</vKsc>

<user>

<name>{管理者名}</name>

<password>{管理者パスワード}</password>

</user>

</vKsc>

</tenant>

各パラメータの説明：

• {日時} – テナント名（必須パラメータ）。
• {説明} – テナントの説明（任意のパラメータ）。
• {詳細情報} – テナントに関する詳細情報（任意のパラメータ）。
• {IP アドレス} – テナントの仮想マシンにインストールされた Light Agent が接続する Integration Server の IP アドレス（任意のパラメータ）。指定したアドレスが既定値として、Light Agent ポリシーの作成時に使用されます。パラメータが指定されていない場合、ポリシーは Integration Server の IP アドレスを REST API へのリクエストから使用します。
• {テナントタイプ} – テナントタイプ：Complete または Simple なテナントタイプ（オプションパラメータ）。
• {管理者名} – テナントの仮想化管理サーバーへの接続に使用される管理者アカウントの名前（複合的なテナントタイプの作成時に必要）。アカウントは処理中に自動的に作成されます。
• {管理者パスワード} - 管理者アカウントのパスワード。Base64 方式にエンコードされています（複合的なテナントタイプの作成時に必要）。

このリクエストは非同期で実行され、REST API は CreateTenant タスクの識別子を返します。このタスクを使用して、テナントの作成処理の進捗を監視できます。タスクの実行が完了すると、［result］フィールドに作成されたテナントの識別子を含むテナントの情報、またはエラーメッセージが表示されます。処理のどこかのステップでエラーが発生すると、変更がすべて元に戻されます。

リターンコード：

• 202 (Accepted) – リクエストの実行が受諾されました。レスポンスは、CreateTenant タスクの識別子を返します。
• 400 (Bad request) VIRMT_MandatoryParameterIsNotSpecified – 必須パラメータのうち 1 つがリクエスト本文で指定されていません（例：テナント名）。
• 400 (Bad request) VIRMT_InvalidTenantType – 無効なテナントタイプがリクエスト本文で指定されており、指定されたテナントタイプが存在しません。
• 400 (Bad request) VIRMT_VKscCredentialsNotSpecified – Kaspersky Security Center の仮想管理サーバーの管理者アカウント名またはパスワードが指定されていません（複合的なテナントタイプの作成時）。
• 400 (Bad request) VIRMT_InvalidViisAddressFormat – Integration Server の IP アドレスの形式が無効です。
• 403 (Forbidden) – リソースへのアクセスが拒否されました。

タスクで発生する可能性があるエラーコード：

• KSC_ServiceNotConfigured – Kaspersky Security Center 接続設定が指定されていません。
• VIRMT_TenantGroupAlreadyExists – 指定したテナント名に対応する名前のフォルダーが Kaspersky Security Center に既に存在します。
• VIRMT_TenantWithSpecifiedNameAlreadyExists – Integration Server データベース内に、指定した名前のテナントが見つかりません。
• VIRMT_PasswordNotComplyPolicy – Kaspersky Security Center 仮想管理サーバーの管理者アカウントを作成できませんでした：指定したパスワードが Kaspersky Security Center のパスワード要件を満たしていません。
• VIRMT_UserWithSpecifiedNameAlreadyExists – Kaspersky Security Center 仮想管理サーバーの管理者アカウントを作成できませんでした：指定した名前のユーザーが既に Kaspersky Security Center に存在します。

テナントのアクティブ化

テナントタイプに応じて、次の動作が実行されます：

• 複合的なテナントタイプの場合：
  • テナントのステータスを「アクティブ」に変更します。
  • Kaspersky Security for Virtualization 5.1 Light Agent がインストールされている仮想マシンの保護を有効化するポリシーのステータスを変更します。

    保護を有効にするポリシーは、Kaspersky Security for Virtualization 5.1 Light Agent がテナントの仮想インフラストラクチャにインストールされている場合にのみ適用されます。テナントの保護を有効化するポリシーがない場合、自動的に作成されます。

• 単純なテナントタイプの場合：テナントのステータスを「アクティブ」に変更するだけです。

メソッド：

POST /api/2.0/virtualization/tenants/{テナント ID}/activate

各パラメータの説明：

{テナント ID} - Integration Server 定義データベース内のテナントの識別子（必須パラメータ）。

このリクエストは非同期で実行され、REST API は ChangeTenantActivation タスクの識別子を返します。このタスクを使用して、テナントのステータスの変更処理の進捗を監視できます。タスクの実行が完了すると、［result］フィールドにテナントのステータス変更を確認する値（「true」）、またはエラーメッセージが表示されます。

リターンコード：

• 202 (Accepted) – リクエストの実行が受諾されました。レスポンスは、ChangeTenantActivation タスクの識別子を返します。
• 403 (Forbidden) – リソースへのアクセスが拒否されました。

タスクのエラーコード：

• VIRMT_TenantWithSpecifiedIdNotFound – Integration Server データベース内に、指定した識別子のテナントが見つかりません。
• KSC_ServiceNotConfigured – Kaspersky Security Center 接続設定が指定されていません。

テナントの非アクティブ化

テナントタイプに応じて、次の動作が実行されます：

• 複合的なテナントタイプの場合：
  • テナントのステータスを「非アクティブ」に変更します。
  • Kaspersky Security for Virtualization 5.1 Light Agent がインストールされている仮想マシンの保護を無効化するのポリシーのステータスを変更します。

    保護を無効にするポリシーは、Kaspersky Security for Virtualization 5.1 Light Agent がテナントの仮想インフラストラクチャにインストールされている場合にのみ適用されます。テナントの保護を無効化するポリシーがない場合、自動的に作成されます。

• 単純なテナントタイプの場合：テナントのステータスを「非アクティブ」に変更するだけです。

メソッド：

POST /api/2.0/virtualization/tenants/{テナント ID}/deactivate

各パラメータの説明：

{テナント ID} - Integration Server 定義データベース内のテナントの識別子（必須パラメータ）。

このリクエストは非同期で実行され、REST API は ChangeTenantActivation タスクの識別子を返します。このタスクを使用して、テナントのステータスの変更処理の進捗を監視できます。タスクの実行が完了すると、［result］フィールドにテナントのステータス変更を確認する値（「true」）、またはエラーメッセージが表示されます。

リターンコード：

• 202 (Accepted) – リクエストの実行が受諾されました。レスポンスは、ChangeTenantActivation タスクの識別子を返します。
• 403 (Forbidden) – リソースへのアクセスが拒否されました。

タスクのエラーコード：

• VIRMT_TenantWithSpecifiedIdNotFound – Integration Server データベース内に、指定した識別子のテナントが見つかりません。
• KSC_ServiceNotConfigured – Kaspersky Security Center 接続設定が指定されていません。

テナントの仮想マシンの登録

テナントの仮想マシンの情報を Integration Server データベースへ追加します。

メソッド：

POST /api/2.0/virtualization/tenants/{テナント ID}/vms/register

各パラメータの説明：

{テナント ID} - Integration Server 定義データベース内のテナントの識別子（必須パラメータ）。

リクエスト本文に次のパラメータを指定する必要があります：

<vm biosId="{BIOS ID}">

<name>{名前}</name>

<userData><![CDATA[{詳細情報}]]></userData>

</vm>

各パラメータの説明：

• {BIOS ID} - 仮想マシンの一意の識別子（BIOS ID）（必須パラメータ）。
• {日時} - 仮想マシン名（任意のパラメータ）。
• {詳細情報} - 仮想マシンに関する詳細情報（任意のパラメータ）。

リターンコード：

• 200 (OK) – リクエストが正常に完了しました（仮想マシンに関する情報が Integration Server データベースに追加されます）。
• 403 (Forbidden) – リソースへのアクセスが拒否されました。
• 404 (Not Found) VIRMT_TenantWithSpecifiedIdNotFound – Integration Server データベース内に、指定した識別子のテナントが見つかりません。
• 409 (Conflict) VIRMT_VmWithSpecifiedBiosIdAlreadyExists – 指定した識別子の仮想マシンが既に Integration Server データベースに登録されています。

仮想マシンの登録解除

テナントの仮想マシンの情報が Integration Server データベースから削除されます。

登録を解除してもテナントの仮想マシンの保護は無効化されません。複合的なテナントタイプのテナントの仮想マシンの保護を、仮想マシンを保護対象インフラストラクチャから削除するステップをすべて実行することで無効にできます。

メソッド：

POST /api/2.0/virtualization/tenants/{テナント ID}/vms/unregister?biosId={ID}

または

POST /api/2.0/virtualization/tenants/{テナント ID}/vms/unregister?vmId={ID}

各パラメータの説明：

• {テナント ID} – Integration Server データベース内のテナントの識別子（必須パラメータ）。
• biosId={ID} – 仮想マシンの識別子（BIOS ID）（UUID 形式）（必須パラメータ）。
• vmId={ID} – Integration Server データベース内の仮想マシンの識別子（UUID 形式）（必須パラメータ）。

リターンコード：

• 200 (OK) – リクエストが正常に完了しました（仮想マシンに関する情報が Integration Server データベースから削除されます）。
• 403 (Forbidden) – リソースへのアクセスが拒否されました。
• 404 (Not Found) VIRMT_TenantWithSpecifiedIdNotFound – Integration Server データベース内に、指定した識別子のテナントが見つかりません。
• 404 (Not Found) VIRMT_VmWithSpecifiedIdNotFound – Integration Server データベース内に、指定した識別子の仮想マシンが見つかりません。

テナントの削除

テナントタイプと指定するパラメータに応じて、次の動作が実行されます：

• 複合的なテナントタイプの場合：
  • テナントとテナントの仮想マシンに関する情報を Integration Server データベースから削除します。
  • Kaspersky Security Center から導入されたテナントの保護インフラストラクチャを削除します（仮想管理サーバー、仮想管理サーバーへの接続用アカウント、フォルダーと管理グループの構造、ポリシー、タスク、インストールパッケージ）。別のテナントが存在しない場合、［Multitenancy KSV LA］フォルダーも削除されます。
  • テナントの仮想サーバーの情報を Integration Server データベースから削除します。

  テナントの削除メソッドを呼び出すことで、テナントの仮想マシンの保護が無効になることはありません。保護を無効にするには、テナントの削除処理のステップをすべて実行します。このステップには、仮想マシンからの Light Agent for Windows、Light Agent for Linux、Kaspersky Security Center ネットワークエージェントの削除も含まれます。複合的なテナントタイプの仮想マシンを保護を一時停止するには、テナントを非アクティブにするメソッドを使用します。

• 単純なテナントタイプの場合：Integration Server データベースからテナントを削除します。

メソッド：

DELETE /api/2.0/virtualization/tenants/{テナント ID}?removeTenantArtifacts={true|false}

各パラメータの説明：

• {テナント ID} - Integration Server 定義データベース内のテナントの識別子（必須パラメータ）。
• removeTenantArtifacts={true|false} – 任意のパラメータ。Integration Server データベースからテナントを削除する時、テナントの保護インフラストラクチャを削除するかどうかを決定します。取り得る値の一覧：
  • true – テナントの削除時に、次の動作が実行されます：
    • テナント仮想管理サーバーを削除します。
    • テナント仮想管理サーバーの管理者アカウントを削除します。
    • ［Multitenancy KSV LA］→［<テナント名>］フォルダーとその内容を削除します。
    • 他のテナントがない場合は、Multitenancy KSV LA フォルダーを削除してください。
  • false – テナントのみが Integration Server データベースから削除され、テナントの保護インフラストラクチャは削除されません。

このリクエストは非同期で実行され、REST API は DeleteTenant タスクの識別子を返します。このタスクを使用して、テナントの削除処理の進捗を監視できます。タスクの実行が完了すると、［結果］フィールドに削除されたテナントの情報またはエラーメッセージが表示されます。

処理のどこかのステップでエラーが発生すると、変更がすべて元に戻されます。

リターンコード：

• 202 (Accepted) – リクエストの実行が受諾されました。レスポンスは、DeleteTenant タスクの識別子を返します。
• 403 (Forbidden) – リソースへのアクセスが拒否されました。

タスクのエラーコード：

• VIRMT_TenantWithSpecifiedIdNotFound – Integration Server データベース内に、指定した識別子のテナントが見つかりません。
• KSC_ServiceNotConfigured – Kaspersky Security Center 接続設定が指定されていません。

レポートで使用するメソッド

Integration Server REST API を使用して、テナントおよびテナントの保護レポートの使用時に次の操作を実行できます：

• レポートの生成
• レポートのアップロード

レポートの生成

Integration Server データベースに保存されたデータに基づいたレポートを、指定したレポート設定に従って生成できます。レポートの生成対象とする保護対象のテナント、およびデータを受け取る間隔を指定できます。

Accept リクエストのヘッダーに、データの出力フォーマットを指定します：Accept:application/csv

メソッド：

POST /api/2.0/virtualization/reports/tenants?tenantId={テナント ID}&from={日時}&to={日時}

各パラメータの説明：

• tenantId={テナント ID} - Integration Server 定義データベース内のテナントの識別子。テナントが指定されている場合、このテナントの仮想マシンを保護している期間の情報のみがレポートに含まれます。テナントが指定されていない場合、指定期間内に保護されていた全仮想マシンのデータがレポートに含まれます。
• from={日時} - レポート対象期間の開始日時。形式：YYYY-MM-DDThh:mm:ss。値が指定されていない場合、Integration Server データベース内の最も初期の日付が使用されます。
• to={日時} - レポート対象期間の終了日時。形式：YYYY-MM-DDThh:mm:ss。この値を指定しない場合、現在の日付が使用されます。

このリクエストは非同期で実行され、REST API は CreateTenantReport タスクの識別子を返します。このタスクを使用して、レポートの生成処理の進捗を監視できます。タスクの実行が完了すると、［result］フィールドにレポートの識別子またはエラーメッセージが表示されます。

リターンコード：

• 202 (Accepted) – リクエストの実行が受諾されました。レスポンスは、CreateTenantReport タスクの識別子を返します。
• 403 (Forbidden) – リソースへのアクセスが拒否されました。
• 404 (Not Found) – Integration Server データベース内に、指定した識別子のテナントが見つかりません。

レポートのアップロード

以前に生成したレポートをアップロードします。

Accept リクエストのヘッダーに、データの出力形式を指定します：Accept: application/csv

複数に分割してレポートをアップロードできます。データ範囲を Range リクエストヘッダーで指定できます。例：

Range: bytes=0-1023

このヘッダーを持つリクエストへのレスポンスで、REST API は 206 (Partial content) の結果と、データ先頭のキロバイトを返します。このレスポンスには、 Content-Range ヘッダーと Content-Length ヘッダーが含まれています。

例：

Content-Range: bytes=0-1023/123456

Content-Length: 1024

メソッド：

GET /api/2.0/virtualization/reports/tenants/{レポート ID}

各パラメータの説明：

{レポート ID} - レポートの識別子。CreateTenantReport タスクが成功した結果として取得されます（必須パラメータ）。

リターンコード：

• 200 (OK) – リクエストが正常に完了しました。レスポンスは、Accept ヘッダーで指定した形式でレポートデータを返します。
• 206 (Partial content) – リクエストが正常に完了しました。レスポンスは、Range ヘッダーで指定されたレポート部分を返します。
• 403 (Forbidden) – リソースへのアクセスが拒否されました。
• 404 (Not Found) – 指定した識別子のレポートが見つかりません。
• 415 (Unsupported Media Type) – リクエストしたしたデータ形式がサポートされていません（Accept リクエストヘッダーに、誤った形式が渡されました）。

タスクで使用するメソッド

時間がかかり、非同期で実行されるリクエストの処理に、これらのタスクが使用されます。タスクのステータスにより、リクエストで指定した動作の進行状況を監視できます。

タスクのステータスは次のいずれかです：

• Created – タスクが作成済みだが開始されていません。
• Starting – タスクが開始プロセスの途中です。
• Running – タスクが実行中です。このステータスのタスクは、実行の進捗がパーセンテージで表示されます。
• Completed – タスクが正常に完了しました。このステータスのタスクは、タスクの実行結果が表示されます。結果にはタスク固有のデータが含まれます。たとえば、CreateTenant タスクの場合は、新しいテナントの識別子が含まれます。
• Stopping – タスクが完了の準備を進めています。タスクを停止すると、Canceled ステータスに切り替わる前にこのステータスになる場合があります。
• Failed – タスクが失敗しました。このステータスのタスクは、エラーの詳細情報が表示されます。
• Canceled – ユーザーまたはシステムによってタスクが終了されました。このステータスのタスクは、エラーの詳細情報が表示されます。
• Queued – タスクはキューに入り、実行開始を待機している状態です。

Integration Server REST APIを使用して、次のタスクを実行できます：

• タスクのリストの取得
• 特定のタスクに関する情報の取得
• 特定のタスクの実行のキャンセル

タスク情報の取得

タスクに関する情報を識別子で取得します。

メソッド：

GET /api/2.0/virtualization/tasks/{ID}

各パラメータの説明：

{ID} - タスクの識別子（必須パラメータ）。

このリクエストが正常に完了すると、REST API はタスクに関する次の情報を返します：

<task id="{ID}" created="{日時}" stateChanged="{日時}" changed="{日時}">

<state>{ステータス}</state>

<type>{種別}</type>

<stage>{ステージ}</stage>

<progress>{実行の進捗}</progress>

<result>{結果}</result>

<!-- タスクの実行が失敗した場合、エラーメッセージが結果の代わりに表示されます。

<error>{エラーメッセージ}</error>

</task>

各パラメータの説明：

• {ID} – タスク ID。
• created="{日時}" - タスクの作成日時。形式：YYYY-MM-DDThh:mm:ss。
• stateChanged="{日時}" – タスクの変更日時。形式：YYYY-MM-DDThh:mm:ss。
• changed="{日時}" - タスクの変更日時。形式：YYYY-MM-DDThh:mm:ss。
• {ステータス} - タスクのステータス。
• {種別} - タスクの種別。例：
  • CreateTenant – テナントの作成処理で使用するタスク。
  • ChangeTenantActivation – テナントのアクティブ化または非アクティブ化の処理で使用するタスク。
  • DeleteTenant – テナントの削除処理で使用するタスク。
  • CreateTenantReport – tテナントの保護レポートの生成処理で使用するタスク。
• {名前} - タスク名。
• {ステージ} - タスク実行のステージ。
• {実行の進捗} – タスクの進捗状況をパーセンテージで示します。
• {結果} - タスクの実行結果。例：作成したテナントの情報またはレポートの識別子など。
• {エラーメッセージ} - タスクの実行中にエラーが発生すると、エラーメッセージが表示されます。

リターンコード：

• 200 (OK) – リクエストが正常に完了しました。
• 403 (Forbidden) – リソースへのアクセスが拒否されました。
• 404 (Not Found) – Integration Server データベース内に、指定した識別子のタスクが見つかりません。

タスクのリストの取得

既存の全タスクのリストと、各タスクに関する情報を取得できます。

メソッド：

GET /api/2.0/virtualization/tasks?createdFrom={日時}&state={ステータス}&type={種別}

各パラメータの説明：

• createdFrom={日時} - YYYY-MM-DDThh:mm:ss 形式の日時（任意のパラメータ）。このパラメータを指定すると、指定した日時以降に作成されたタスクがリストに表示されます。
• state={ステータス} - タスクのステータス（任意のパラメータ）。このパラメータを指定すると、指定したステータスのタスクのみがリストに表示されます。
• type={種別} - タスクの種別（任意のパラメータ）。このパラメータを指定すると、指定した種別のタスクのみがリストに表示されます。

リターンコード：

• 200 (OK) – リクエストが正常に完了しました。レスポンスが、タスクのリストを返します。
• 403 (Forbidden) – リソースへのアクセスが拒否されました。

タスクのキャンセル

実行中のタスクを中断します。一部のタスクはすぐに完了させることができません。この場合、202 (Accepted) コードが返され、タスクのステータスが停止中に変更されます。

メソッド：

POST /api/2.0/virtualization/tasks/{ID}/cancel

各パラメータの説明：

{ID} - タスクの識別子（必須パラメータ）。

リターンコード：

• 200 (OK) – リクエストが正常に完了しました（タスクがキャンセルされます）。
• 202 (Accepted) – リクエストの実行が受諾されました（タスクのステータスが停止中に変更されます）。
• 403 (Forbidden) – リソースへのアクセスが拒否されました。
• 404 (Not Found) – 指定した識別子のタスクが見つかりません。
• 405 (Method Not Allowed) – 子タスクの場合：親タスクをキャンセルした場合にのみ、子タスクをキャンセルできます。
• 409 (Conflict) – タスクのステータスが既に次のいずれかになっています：Cancelled、Failed、Stopped。