Privileged Access Manager ( 以下、PAM) 環境で LDAP 環境からデバイスグループをインポートしてアクセスポリシーを作成した。

しかしながら、アクセスページには指定したデバイスグループの中の一部のデバイスしか表示がされていないのはどうしてか。

Privileged Access Manager: All (2023 年 12 月 現在 )

デバイスグループ単位で指定されたアクセス方法は各デバイス単位のアクセス方法に継承されません。

アクセス方法、TCP/UDP サービスで指定された方法は グループ単位での有効性を決定するためであり、実際のアクセス方法、TCP/UDP サービスはデバイスで指定された方法のみが有効となります。

例えば、デバイスグループの中に Windows マシンと Linux マシンが混在することができます。
Linux デバイスでは SSH を、Windows デバイスでは RDP をアクセス方法に設定します。
該当のデバイスグループで SSH と RDP 両方を指定します。
アクセスポリシーを作成する場合、デバイスまたはデバイスグループで指定したアクセス方法しか選択できません。
更にポリシー管理のアクセスでは SSH と RDP の両方を選択すると アクセスページでは、Linux デバイスでは SSH を Windows デバイスでは RDP を指定したマシンのみが表示されるようになります。
言い換えるとデバイス でアクセス方法が指定されていない場合は デバイスグループでアクセス方法が指定されていても表示されません。

このため、デバイスに適切なアクセス方法が指定されていない場合は、アクセスページで想定したようにマシンは表示されない可能性があります。

デバイスグループのアクセス方法はデバイスに継承されないため、デバイスに適切なアクセス方法を指定する必要があります。

なお、本KBは以下の英文 KB を翻訳し補足しました。

Article ID: 137530: Device Group policy does not include devices automatically