PAM360 ユーザー アカウントの管理

このガイドでは、PAM360 内でユーザー アカウントを効率的に管理するための詳細な手順を説明します。このドキュメントでは、ユーザーの詳細を編集したり、API アクセスを管理したり、アカウントを削除または復元したり、AD/Microsoft Entra ID や LDAP などのディレクトリとユーザー データの同期を処理したりする必要がある場合に、すべての主要な操作について概説します。各操作は、組織内のアカウント管理、データ セキュリティ、コンプライアンスを合理化するように設計されています。

このドキュメントの終わりまでに、以下の操作について学んだことになります。

  1. PAM360 でユーザーアカウントの編集
  2. REST API および SDK アクセスの変更
  3. モバイル アプリケーションとブラウザ拡張機能のアクセスを変更
  4. Remote Connect と Remote Connect プロキシ アクセスの変更
  5. PAM360 ユーザー アカウントの削除
  6. ゴミ箱からユーザー アカウントを復元
  7. AD/Microsoft Entra ID/LDAP ディレクトリから削除されたユーザー アカウントの処理
  8. PAM360 での通知メールアドレスの管理

1.PAM360 ユーザー アカウントの編集

付与された権限を持つユーザーは、ロール、メール アドレス、アクセス レベル、パスワード ポリシー、部門、二要素認証 (2FA) 設定など、既存のユーザー アカウントのさまざまな詳細を変更できます。ユーザー情報を編集するには、次の手順に従います。

  1. [ユーザー]タブに移動します。
  2. 目的のユーザーの横にある [ユーザー アクション] アイコンをクリックし、ドロップダウン メニューから [ユーザーの編集] を選択します。
  3. 表示されるウィンドウで、ユーザーの詳細に必要な変更を加えます。
  4. 変更を適用するには、[保存] をクリックします。

各フィールドの詳細については、[ユーザーを手動で追加] ヘルプ ドキュメントを参照してください。

メモ:

現在管理者としてログインしている場合は、自分のアクセス レベルまたはスコープを変更することはできません。このような場合は、別の管理者に必要な変更を依頼してください。

2.REST API および SDK アクセスの変更


この手順はビルド6700以降に適用されます

ユーザー アカウントを編集することで、[ユーザー] タブからユーザーの REST API および SDK アクセスを直接管理できます。方法は次のとおりです:

  • REST API およびアプリケーション アクセスを変更するには、目的のユーザーの横にある [ユーザー アクション] アイコンをクリックし、[REST and Application Access] を選択します。開いたダイアログ ボックスでは、必要に応じてアクセスの有効化/無効化、認証トークンの再生成、アクセスの有効性の更新などを行うことができます。

これらのアクセスを一括管理するには:

  • [その他の操作] >> [設定] >> [REST API Access] に移動します。必要なユーザー名を選択し、[無効]をクリックして REST API アクセスを取り消します。同様にこのメニューからアクセスを有効にすることもできます。
  • SDK アクセスを管理するには、[その他の操作] >> [設定] >> [SDK Access] に移動します。希望するユーザー名を選択し、必要に応じて [無効] または [有効] をクリックします。

さらに、関連するユーザーの横にある [ユーザー アクション] の下にある [Invalidate Authentication Token] を選択することで、ユーザーの認証トークンを無効にすることもできます。

メモ:

現在ログインしているユーザー アカウントのモバイル アプリケーションおよびブラウザ拡張機能へのアクセスを変更することはできません。


3.モバイル アプリケーションとブラウザ拡張機能のアクセスを変更

ユーザーのモバイル アプリケーション アクセスを変更するには、

  1. [ユーザー] >> [その他の操作] >> [設定]>> [Mobile Application Access] に移動します。
  2. 開いたダイアログ ボックスで、それぞれのユーザーの横にあるトグル ボタンを使用してアクセス権限を変更します。
  3. モバイル アプリケーション アクセスを一括して有効または無効にするには、必要なユーザー名を選択し、上部のパネルで [Disable] または [Enable] ボタンをクリックします。

ユーザーのブラウザ拡張機能のアクセスを変更するには、

  1. [ユーザー] >> [その他の操作] >> [設定]>> [Browser Extension Access] に移動します。
  2. 開いたダイアログ ボックスで、それぞれのユーザーの横にあるトグル ボタンを使用してアクセス権限を変更します。
  3. ブラウザ拡張機能のアクセスを一括で有効または無効にするには、必要なユーザー名を選択し、上部のパネルで [Disable] または [Enable] ボタンをクリックします。

4.Remote Connect と Remote Connect プロキシ アクセスの変更


この手順はビルド8400以降に適用されます

ユーザーの Remote Connect Accessを変更するには、次の手順に従います。

  1. [ユーザー] >> [その他の操作] >> [Remote Connect Access] に移動します。
  2. 開いたダイアログ ボックスで、それぞれのユーザーの横にあるトグル ボタンを使用してアクセス権限を変更します。
  3. Remote Connect Accessを一括して有効または無効にするには、必要なユーザー名を選択し、上部のパネルで [Disable] または [Enable] ボタンをクリックします。

ユーザーの Remote Connect Proxy Accessを変更するには、次の手順に従います。

メモ:

PAM360 で Remote Connect 用に SSH プロキシが設定されている場合、このアクセスが有効になっている場合にのみ、ユーザーは設定されたプロキシを介してターゲット マシンへのリモート接続を確立できます。

  1. [ユーザー] >> [その他の操作] >> [Remote Connect Proxy Access] に移動します。
  2. 開いたダイアログ ボックスで、それぞれのユーザーの横にあるトグル ボタンを使用してアクセス権限を変更します。
  3. Remote Connect Proxy Accessを一括して有効または無効にするには、必要なユーザー名を選択し、上部のパネルで [Disable] または [Enable] ボタンをクリックします。

5.PAM360 でユーザーアカウントを削除

適切な権限を持つユーザーは、PAM360 から不要なユーザー アカウントを削除できます。ユーザーを削除するには、次の手順に従います。

  1. [ユーザー]タブに移動します。
  2. 特定のユーザーを削除するには、目的のユーザーの横にある [ユーザー アクション] アイコンをクリックし、ドロップダウン メニューから [ユーザー削除] を選択します。
  3. 複数のユーザーを一括で削除するには、ユーザーを選択し、上部のパネルから [ユーザー削除] ボタンをクリックします。
  4. 表示されるポップアップ ウィンドウには、次の 2 つのオプションがあります。
    1. 削除: このオプションは、ユーザー アカウントを PAM360 から完全に削除します。
    2. ゴミ箱へ移動:このオプションは、ユーザーを完全に削除せずにゴミ箱に移動します。PAM360 暗号化キーがローテーションされるまで、ゴミ箱内のユーザーは復元できます。キーのローテーション後、ゴミ箱内のユーザーとそれに関連付けられた認証情報は、PAM360 リポジトリから完全に削除されます。
      delete-user-1

    メモ:

    • AD、Microsoft Entra ID、LDAP ディレクトリからインポートされたユーザーはゴミ箱に移動できません。
    • PAM360 では、ユーザーがリソースを所有していない場合にのみ、ユーザーの削除/ゴミ箱への移動が許可されます。ユーザーがリソースを所有している場合は、まずその所有権を管理者タイプのロールを持つ別のユーザーに譲渡する必要があります。
    • 現在ログインしているユーザーは、自分のアカウントを削除/ゴミ箱に移動することはできません。

管理者ユーザー アカウントを削除する前に、そのユーザーが所有するすべてのリソースが、同様の権限を持つ別のユーザーに転送されていることを確認してください。詳細については、このヘルプ ドキュメントを参照してください。所有権の譲渡が成功すると、別の管理者が管理者ユーザー アカウントを PAM360 から削除できます。

6.ゴミ箱からユーザーを復元

ゴミ箱に移動されたユーザー アカウントを復元するには、次の手順に従います。

  1. [ユーザー] タブに移動し、ページの右上隅にある [ゴミ箱] アイコンをクリックします。
  2. ゴミ箱内のユーザーのリストを表示するポップアップ ウィンドウが表示されます。
  3. 復元するユーザーを選択し、[復元] をクリックします。
    4. trash-user-1

メモ:

  • エンタープライズ データ保存: PAM360 では、ユーザーが所有するすべてのリソースは削除前に別のユーザーに転送する必要があるため、削除または復元プロセス中に企業データが失われることはありません。
  • 個人データの永久削除:企業データは保持されますが、削除されたユーザーが保存したすべての個人データはシステムから完全に削除されます。
  • 監査証跡: PAM360 は包括的な監査を保証します。ユーザーの削除と復元に関連するすべてのアクションは監査証跡に記録されます。これらのレコードはユーザーが削除された後もそのまま残り、削除されたユーザーに関連付けられた監査証跡がデータベースから消去されないようにします。

7.AD/Microsoft Entra ID/LDAP ディレクトリから削除されたユーザー アカウントの処理

PAM360 にインポートされた元のユーザー ディレクトリ (AD、Microsoft Entra ID、または LDAP ディレクトリ) でユーザー アカウントが直接削除されると、PAM360 は次の同期スケジュール時にそれらの削除されたユーザー アカウントを識別します。次に、識別されたユーザーアカウントは、その後、PAM360で無効にされ、ロックされたアカウントして保持されます。

メモ:

PAM360 は、それぞれのユーザー ディレクトリとの同期を設定している場合にのみ、削除されたユーザー アカウントを識別します。

ユーザー アカウントを無効にすると、PAM360 は管理者またはユーザー管理権限を持つユーザーにメールと製品内のアラート通知で通知します。アラート通知をクリックすると、下のように、ダイアログボックスが表示されます:

handling-user-1

管理者はロックされたアカウントを確認し、[削除] ボタンをクリックしてそれらのユーザー アカウントを PAM360 から完全に削除することを選択できます。さらに、管理者は、[ユーザー] ページに用意されている プルダウンメニューを使用してロックされたアカウントを直接確認し、無効なアカウントを個別または一括で削除することもできます。

一方、アカウントを有効にするには、

  1. [ユーザー] >> [その他の操作] >> [ユーザーのロック] に移動します。
  2. 開いたダイアログ ボックスで、それぞれのユーザーの横にあるトグル ボタンを使用して、ユーザー アカウントのロックを解除します。
    handling-user-2
  3. ユーザー アカウントを一括でロック解除するには、必要なユーザー名を選択し、上部のパネルにある [ロック解除] ボタンをクリックして、無効化されたユーザー アカウントを復元します。

8.PAM360 での通知メールアドレスの管理

PAM360では、一般メールアドレスを、スケジュール設定されたタスクの完了ステータスについての通知メールおよびライセンス有効期限アラートの受信者として構成できます。PAM360で使っているすべての外部メールアドレスを追跡し、必要な場合、削除することもできます。さらに、ユーザーセッションの監査で取得されたユーザーのメールアドレスも、それらのユーザーが PAM360 から削除された場合に、この規定を使用して管理できます。

通知メールアドレスのリストを表示するには、

  1. [管理] >> [管理] >> [マップされていないメールID]>>[通知メールアドレスID] に移動します。
  2. 開いたダイアログ ボックスでは、[スケジュール]、[ライセンス期限の通知]、[SSH/SSL通知]、および[ユーザーセッション監査] (存在する場合) の 4 つのセクションの下にメール アドレスがリストされています。
  3. 各セクションにリストされているメール アドレスを確認し、削除するアドレスを選択して、[削除] をクリックします。
    managing-notification-1