役割管理

役割管理

• 概要
• 役割管理
  • ユーザー定義の役割
  • 定義済みの役割
• 管理範囲の定義
• ユーザー管理
• 二段階認証の有効化
• 注意点

概要 

管理者として、ネットワーク上の注意が必要な重大業務により日常のルーチンワークがおろそかになると何度も実感してきたのではないでしょうか。Endpoint Centralは、ユーザー＆役割管理タブを通してその問題を解決します。具体的には、選択したユーザーに明確に定義された権限レベルとルーチンワークを併せて委譲します。容易にユーザーを管理し、管理対象に含むコンピューターを具体的に定義できます。

役割管理 

最もよく使用される役割の一部は、事前定義された役割として指定されています。一方で、ユーザー定義の役割として独自の要件に適した役割を定義し、適切な権限を与える柔軟性も備えています。ここでは、事前定義の役割とユーザー定義の役割について、それぞれ簡潔に説明します。

ユーザー定義の役割 

Endpoint Centralを使用して、目的に合う役割を作成し、個人的なニーズに基づき選んだ権限を付与できます。作成する役割の数に制限はありません。カスタマイズされた役割は、ユーザー定義カテゴリーに分類されます。理解を深めるために、次のセクションでユーザー定義の役割を作成する方法について説明します。

ユーザー定義の役割を作成するには、次の手順を実行します。

1. 管理タブを選択し、［グローバル設定]>[ユーザー管理］をクリックします。［ユーザー管理］ページが開きます。
2. ［役割］タブを選択し、［役割の追加］ボタンをクリックします。
3. ［役割名］と短い説明を入力します。
4. ［Desktopの制御］セクションで、その役割のモジュール別権限レベルを定義できます。権限レベルは、大まかに次の通り分類されます。
フルコントロール：特定のタブで、例えば管理者のように、すべての操作を実行します。
書き込み：下表で説明する通り、いくつかの制限を除いたすべての操作を実行します。
読み取り：そのタブ内の詳細のみ表示されます。
アクセスなし：ユーザーにタブは表示されません。（詳細については下表を参照してください。）
5. ［追加］ボタンをクリックします。

       これで新しい役割が作成されました。

作成した役割は、ユーザー作成タブの役割リストに表示されます。役割は、ひとりでもユーザーが関連付けられていると削除できません。ただし、ユーザー定義の役割に付加された権限レベルは変更できます。

定義済みの役割 

事前定義カテゴリーには次の役割が含まれています。

1. 1. Administrator
   2. Guest
   3. Technician
   4. Auditor
   5. Remote Desktop Viewer
   6. IT Asset Manager
   7. Patch Manager
   8. Mobile Device Manager
   9. OS Deployer

Administrator :  管理者の役割は、すべてのタブでフルコントロールを行使する組織の管理者を表します。管理者用のタブに表示される操作には次が含まれます。

1. 1. 管理範囲の定義または変更
   2. 休眠ユーザーの追加
   3. メールサーバー設定の変更
   4. プロキシー設定の変更
   5. テーマの変更、セッション期限の設定などを含む、オプションのカスタマイズ
   6. パッチDBの更新スケジュール
   7. パッチ管理におけるスキャン設定の予約
   8. MSIまたはスクリプトリポジトリーの編集
   9. Endpoint Centralのアクションログの閲覧
   10. モバイル端末管理のインベントリー、レポート、プロフィール、アプリにおける権限の書き込み

Guest: ゲストは、すべてのタブにおける読み取り専用権限のみもっています。ゲストの役割に関連付けられたユーザーは、さまざまなタブに関する多種多様な情報をスキャン、閲覧できる権限をもっていますが、変更は禁止されています。ゲストの役割には、MDMインベントリの詳細、レポート、プロフィール、モバイル端末のアプリなどを閲覧できる読み取り専用の権限もあります。

 Technician: ：技術者は、特定の操作を行うための明確に定義された権限をもっています。技術者の役割に分類されたユーザーは、管理タブに示されるすべての操作を実行できません。技術者の役割に関連付けられたユーザーが実行できる操作は次の通りです。

1. 1. 全タイプの設定とコレクションの定義と配布。
   2. 他のユーザーやレポートなどで作成されたものを含む全設定の閲覧。
   3. 技術者が定義した設定の停止、変更、再展開。
   4. パッチDBの更新。
   5. すべてのタブに対するスキャン。
   6. モバイル端末管理のインベントリー、レポート、プロフィール、アプリにおける権限の書き込み

 Auditor: 監査人の役割は、監査目的で特別に作成されました。この役割を使用して、ソフトウェアインベントリの詳細閲覧、ライセンスコンプライアンスの確認などの権限を監査人に付与できます。「監査人の役割」をもつユーザーには、MDMレポートの読み取り権限も付与されます。

Remote Desktop Viewer: リモートデスクトップビューアーの役割に関連付けられたユーザーは、リモートデスクトップ接続を起動したり、特定のシステムに接続されたユーザーの詳細を閲覧したりできます。

 IT Asset Manager: ITアセットマネージャーは、インベントリタブへの完全なアクセス権をもち、それ以外の機能にはアクセスできません。ITアセットマネージャーは、全モバイル端末のインベントリー詳細も閲覧できます。

 Patch Manager: パッチマネージャーの役割には、パッチ管理への完全なアクセス権が付与されています。パッチマネージャーは、Wake On LAN、Remote Shutdown、System Managerなどの「ツール」を使用する権限をもち、パッチレポートもスケジュールできます。それ以外のタブや機能にはアクセスできません。

 Mobile Device Manager: モバイル端末マネージャーの役割には、インベントリ、レポート、プロファイル、モバイル端末管理アプリへの書き込み権限が付与されています。

 OS Deployer: ：OS展開の役割に関連付けられたユーザーには、Windows OSのイメージをキャプチャし、ネットワークコンピューター全体に展開する権限が付与されます。

 Note: Learn more about User Roles and Permission Level.

 管理範囲の定義

Endpoint Centralは、ユーザーの管理範囲を定義する権限を付与します。つまり、すべてのユーザーにマッピングできるターゲットコンピューターを定義できます。ユーザー権限を特定のコンピューター（複数可）に制限することで、ユーザーが役割を遂行するために十分な権限をもつ一方で、不当に有利になる過剰な特権はもっていないと確信できます。

管理範囲として、次のいずれかをターゲットに定義できます。

• • すべてのコンピューター
  • ユニークカスタムグループ
  • リモートオフィス

すべてのコンピューター 

ターゲットを「すべてのコンピューター」に定義した場合、ユーザーは該当する役割に定義された権限を、すべてのコンピューターに対して行使できます。管理範囲はすべてのコンピューターですが、権限レベルはユーザーに割り当てられた役割に基づき決定されます。

ユニークカスタムグループ 

管理目的で特定のカスタムグループを作成し、ユーザーに関連付けることができます。作成したカスタムグループは一意である必要があるため、2つ以上のカスタムグループに属するコンピューターは存在しません。これはユーザーを管理する目的で作成されたコンピューターに基づくカスタムグループで、ユーザーの「管理範囲」として定義されます。

リモートオフィス 

特定のリモートオフィスを作成するか、既存のリモートオフィスを使用して、ユーザーの管理範囲を定義できます。1つのリモートオフィスを複数のユーザーが管理することも可能です。同様に、複数のリモートオフィスを1人のユーザーに割り当てることもできますが、管理範囲にリモートオフィスと一意のグループを組み合わせて管理範囲に含めることはできません。

管理範囲の共有 

複数のユーザーで同じ管理範囲を共有できます。その場合、管理範囲に適用される設定やタスクは、複数のユーザーで管理できます。

管理範囲の変更 

ユーザーの管理範囲が変更されると、ユーザーは自分で作成した設定やタスクを管理できなくなります。ユーザーは、ターゲットを含まない設定の複製権限をもっているため、現在の管理範囲に再使用できます。管理範囲内のコンピューターを変更しても、管理範囲の変更とはみなされません。

3.ユーザー管理 

ユーザーの作成と役割の関連付け 

1. 新規ユーザーの作成や、ユーザーへの役割の関連付けを行えます。ユーザーを作成するには、次の手順を実行します。
   • Endpoint Centralクライアントに管理者としてサインインします。
   • ［グローバル設定カテゴリー］の［ユーザー管理］リンクをクリックします。
   • 認証タイプを［Active Directory認証］または［ローカル認証］に指定します。
   • ［ユーザー名、パスワード、パスワードの確認］に入力します。
   • ドロップダウンで［役割］を指定します。事前定義されたすべての役割と、自分が作成した役割が表示されます。
   • ユーザーの［メールアドレス］と［電話番号］を任意で入力します。
   • ユーザーの［管理範囲］を定義します。ユーザーが管理する必要のあるコンピューターを指定できます。すべてのコンピューター、リモートオフィス、または特定のユニークカスタムグループを管理するアクセス権を付与できます。ユニークカスタムグループがない場合、作成できます。カスタムグループが一意ではない場合、ここに表示されません。

ユーザーを作成し、そのユーザーに管理が必要なコンピューターの範囲と役割を関連付けました。

Active Directory経由でユーザーを認証する場合、そのユーザーにはEndpoint Centralサーバーがインストールされているコンピューターからドメインにサインインできる権限が必要です。

ユーザー詳細の変更 

Endpoint Central オンプレミス版

1. Endpoint Central にAdministrator権限のあるユーザーとしてログインします。
2. 管理タブ ＞ グローバル設定 ＞ ユーザー管理 を開きます。
3. ユーザー一覧が表示されます。一人のユーザーに対して、アクション列 ＞ 編集 をクリックします。
4. ログイン詳細を表示し、必要に応じてパスワードを変更します。詳細についてはナレッジベースをご覧ください。

Endpoint Central Cloud

1. Endpoint CentralにAdministrator権限のあるユーザーとしてログインします。
2. 管理タブ ＞ グローバル設定 ＞ ユーザー管理 を開きます。
3. ユーザー一覧が表示されます。一人のユーザーに対して、アクション列 ＞ 編集 をクリックします。
4. ユーザーが招待メールを受信していない場合や誤ってユーザーを削除してしまった場合、再度招待メールを送信します。詳細についてはナレッジベースをご覧ください。

ユーザーの削除 

非アクティブなユーザーがいる場合、ユーザーを削除することができます。削除されたユーザーは今後ログインできなくなります。

2段階認証の有効化 

Endpoint Central オンプレミス版

詳細はナレッジベースをご覧ください。

Endpoint Central Cloud

詳細はナレッジベースをご覧ください。

Note : この設定はすべてのZohoユーザーに適用されます。

パスワードポリシー 

Endpoint Central オンプレミス版

Endpoint Centralコンソールにログインするユーザーが設定するパスワードについて、以下の制限を設定することができます。

1. パスワードの最小の長さ: パスワードとして使用できる最小の文字数を設定します。
2. 過去使用されたパスワードの再使用: S過去使用されたパスワードの再使用を禁止します。指定した回数分のパスワードハッシュの履歴を参照し、一致するパスワードの使用を禁止します（パスワードは暗号化されて保存されます）。
3. パスワードの複雑性: 以下から選択します。
   • 簡単: ユーザーは指定した長さのパスワードを設定可能です。文字/数字の制限はありません。
   • 複雑: ユーザーはそれぞれ1文字以上の記号(! ~ @ # $ % ^ & + = _ *)、小文字、大文字を使用する必要があります。
4. ユーザーのロックアウトを有効化する: Yログイン失敗回数の上限を設定し、指定回数を上回ったアカウントをロックアウトします。ロックアウトされたアカウントは一定時間後に解除されます。

Endpoint Central Cloud

パスワードポリシーをZohoユーザーに対して設定することが可能です。

1. 最小パスワード長: デフォルトでは、パスワードは5文字以上である必要があります。
2. パスワード有効期限(日数): パスワードの有効期限を設定します。
3. パスワードの履歴保持: 使用されたパスワードを履歴に保持します。
4. 記号の最小字数
5. 数字の最小字数
6. 大文字と小文字をそれぞれ1文字以上使用する必要があります。

ポイント 

1. ユニークカスタムグループは1人以上のユーザーによって管理可能です。
2. ユニークカスタムグループに所属するコンピューターは、他のユニークカスタムグループに所属できません。
3. Administratorsにのみ、管理対象(Scope of Management, SoM)を編集する権限があります。
4. ユーザーに結びつけられた管理対象は、カスタムグループとリモートオフィスを組み合わせた条件で定義することはできません。カスタムグループに基づく条件またはリモートオフィスに基づく条件のいずれかの条件で定義される必要があります。
5. ユーザーに結びつけられた管理対象が編集された場合でも、当該ユーザーに対して通知等は送信されません。
6. ユニークカスタムグループにコンピューターを追加/削除しても、ユーザーに結びつけられた管理対象には影響されません。
7.  以下の例をご覧ください。
   ユーザーAの管理対象範囲：ユニークグループ 1
   ユーザーBの管理対象範囲：ユニークグループ 2
   ユーザーCの管理対象範囲：ユニークグループ 2 と 3
   ユーザーDの管理対象範囲：ユニークグループ 1, 2, 3, 4
   1. ユーザーAは構成やタスクをユニークグループ1に対して作成/適用できます。ユニークグループ1に対して作成される構成は、ユーザーAとユーザーDのみ表示され、編集できます。
   2. ユーザーDは構成やタスクをユニークグループ2に対して作成/適用できます。ユニークグループ2に対して作成される構成は、ユーザーB, ユーザーCとユーザーDのみ表示され、編集できます。
   3. ユーザーDは構成やタスクをユニークグループ3とユニークグループ4に対して作成/適用できます。この構成はユーザーCとユーザーDのみ表示されますが、ユーザーCは編集できません。
   4. ユーザーAは構成やタスクをユニークグループ1に対して作成/適用できます。その後、ユーザーAの管理対象範囲が変更されると、ユーザーAはこの構成を表示できますが編集はできなくなります。ただし、対象を指定せず構成を複製することが可能です。