ユーザー管理 - 役割と権限
PMPは機微なパスワードを保管するレポジトリとして機能するため、製品の安全な利用のためには高度なアクセス制限の設定が重要です。そのため、PMPは役割ベースのアクセス制御を提供します。
実際の運用において、PMPに保管されている情報は複数のユーザーに共有されています。既定では、PMPには次の4つの事前定義された役割が用意されています;
- "管理者":Password Manager Proアプリケーションのセットアップ、設定、管理を行い、リソースとパスワードに関するすべての操作を行うことができます。ただし、確認表示できるのは、管理者が自身で作成したリソース/パスワード、あるいは他のユーザーによって共有されたリソース/パスワードのみとなります。
- "パスワード管理者":リソースとパスワードに関連するすべての操作を行うことができます。ただし、確認表示できるのは、パスワード管理者は自身で作成したリソース/パスワード、あるいは他のユーザーによって共有されたリソース/パスワードのみとなります。
- "特権管理者":管理者と同じ権限あり、さらにプライバシー設定、IPアドレス制限、緊急対策配下のセキュリティ設定が可能です。
- "パスワード ユーザー":管理者やパスワード管理者によって共有されたパスワードを確認することができます。共有されたパスワードが変更を許可されている場合、そのパスワードを変更することができます。
- "パスワード監査担当者":パスワード ユーザーと同等の特権に加え、監査記録とレポートにアクセスすることができます。
役割 |
操作 |
||||||
ユーザーの管理 |
リソースの管理 |
パスワードの管理 |
パスワードの表示 |
個人用パスワードの管理 |
監査とレポートの表示 |
プライバシー/セキュリティ制御 |
|
管理者 |
|||||||
パスワード管理者 |
|||||||
特権管理者 |
|||||||
パスワード ユーザー |
|||||||
パスワード監査担当者 |
|||||||
役割にかかわらず、個人パスワードはユーザー個別のもので、他のユーザーが制御することはできません。 |
カスタム役割
(この機能は、Enterprise Editionでのみサポートされています。)カスタム役割を追加
カスタム役割を追加するには、次の手順を実施します。:
- [管理]-->[カスタマイズ]-->[役割]をクリックします。
- [役割を追加]から、必要な役割を新しく作成することが可能です。
- 新しい役割を最初から作成する際、役割の範囲を定義する必要があります。これは、操作のリストから必要な操作を選択することで定義します。
要件に応じて必要な操作を選択します。理解を深めるために、2つのカスタム役割の例と、各例で選択する必要がある操作の一覧を示します。:
1.リソース追加とパスワード変更の役割: この役割は、組織内に少数のリソースを管理する技術者に最適です。この役割により、技術者は、リソース/アカウントを追加し、リソースの変更/削除やパスワード変更の管理、リソースへの接続を行うことが出来ます。このような役割を作成するためには、下記の操作を選択する必要があります。
- パスワード
- リソース
- リソースタブを表示
- 手動で追加
- 編集
- 削除
- レポート
- アカウント
- リソースタブ配下のアカウントタブを表示
- 手動で追加
- 編集
- 削除
- 移動
- パスワード変更
- アカウントのパスワード確認
- ローカルパスワード変更
- リモートパスワード変更
- リソース
- リモートアクセス
- リモートアクセス
- リモートマシンへの接続を許可
- 自動ログオンタブの表示
- 自動ログオンヘルパーの管理を許可
- リモートアクセス
- カスタム設定
- カスタム設定
- パスワードのエクスポート
- ユーザーによる個人用パスワードの管理を許可
- カスタム設定
2. ユーザー管理の役割 : PMPでの新規ユーザー追加、ユーザープロファイルの編集/削除、役割の変更、ユーザー間のリソースの移動など、ユーザー管理のみを目的とした役割を作成する場合は、下記のような操作を選択する必要があります。
- ユーザーの管理
- ユーザー
- 手動でユーザーの追加
- ADからインポート
- LDAPからインポート
- Azure ADからインポート
- ファイルからインポート
- 編集
- 削除
- APIユーザー管理
- ユーザー役割の変更
- ユーザーが所有するリソースの移行
- レポート生成
- ユーザー
- ユーザー認証プロトコル
- Active Directory管理
- Azure Active Directory管理
- RADIUS認証管理
- 二段階認証管理
- LDAP管理
- SAMLシングルサインオン管理
- スマートカード認証管理
- ユーザーAgent(ブラウザのアドオン/モバイルアプリ)
- ユーザーグループ
- 追加
- ユーザーをユーザーグループに追加/削除
- ユーザーグループのレポート生成
- 削除
- ユーザーグループ設定管理
上記の例以外にも、企業のニーズに応じて、適切な操作を選択して任意の役割をカスタマイズできます。
追加ステップ 新しい役割を1から作成したくない場合は、以前に作成したPMPのカスタム役割やデフォルトの役割をテンプレートとして使用することで、容易に役割を作成することが可能です。ドロップダウンからテンプレートとして設定する役割を選択することで、事前に設定された役割の権限レベルが新しい役割にも適用されます。
1. いくつかの操作には、魔法の棒アイコンが表示されます。どういう意味ですか?
アイコン アイコンが表示された操作は、管理者の操作として機能するものを示します。これら操作が存在する役割は、は、管理者と同等の役割と見なされます。そのため、アイコンが付いた操作を含むカスタム役割が割り当てられたユーザーは、ライセンスの管理者の一人としてカウントされます。2. PMPでカスタム役割を作成できるのは誰ですか?
基本的に、カスタム役割の作成は管理操作です。 PMPのデフォルトの役割の中では、管理者(または管理者を作成した場合はスーパー管理者)のみがカスタム役割を作成することが可能です。またカスタム役割オプションを使用して、[カスタム役割作成]操作の権限をもつユーザーも作成することが可能です。 (下の画像を参照)
- 新しい役割でスーパー管理者になる権限を付与する場合は、この役割のスーパー管理機能を有効にするチェックボックスをオンにします。このオプションを有効にすると、この役割が割り当てられているユーザーは、ユーザー作成時にスーパー管理者として作成されます。
- 上で説明したすべての手順を完了したら、[プレビューと保存をクリックします。プレビューボックスが開き、ロールに選択した操作一覧を確認し、[保存]をクリックします。新しい役割が作成後、別の管理者の承認が必要となります。承認待ちの役割を表示するには、[役割要求]をクリックします。
- 役割をレビューして承認したら、その役割を適切なユーザーに割り当てることができます。新規ユーザーを追加して役割を割り当てる方法については、 ここ から確認してください。
役割フィルター
役割フィルターオプションを使用すると、「ユーザー追加」の「アクセスレベル」フィールドに表示される役割のリストを選択や、ユーザーに割り当てられる役割を制限することが可能です。
役割フィルターを有効にするには
- 管理-->役割-->役割フィルターをクリックして、[役割フィルターを有効]をクリックします。
- 役割を有効化・無効化することが可能です。新しいユーザーの追加や役割の変更の際に、使用可能な役割を設定することが可能です。設定後、[保存]をクリックすることで、役割フィルタを適用します。
ユーザーの役割を変更
次の手順にて、異なるユーザーに割り当てられた役割を一括変更することが可能です。
- 管理-->役割-->役割変更をクリックします。
- 特定の役割に属するすべてのユーザーのリストを表示する場合は、表の上にあるフィルターを使用して役割を選択することで、役割に関連付けられたユーザーが表示されます。役割を変更する必要があるユーザーを選択します。
- 選択したユーザーに割り当てる役割を選択し、役割の変更をクリックします。
カスタム役割の編集/削除
- カスタム役割を編集/変更するには、特定の役割の横にある編集アイコン をクリックし、必要な変更を実行します。 次に、[プレビューと保存]をクリックし、編集内容を確認し、[保存]をクリックします。 役割に適用される前の編集内容も、別の管理者の承認待ちの状態になります。特定の役割の横にある[承認待ち]オプションをクリックすると、役割の承認待ちの編集を表示できます。下の画像で、赤は削除された操作を示し、青は役割に追加された操作を示します。
- 役割を削除するには、削除アイコン をクリックします。削除する前に、特定の役割に関連付けられているユーザーを別のユーザーに移行するように求めるメッセージが表示されます。ユーザーを別の役割にマッピングしたら、[保存して削除]をクリックします。
カスタム役割を削除できません。
役割をすぐに削除できない場合があります。:
- ユーザー役割を削除する場合、その役割に関連付けられているユーザーがある場合には、別の役割に移動する必要があります。
- 役割フィルターの設定により、役割を削除できない場合があります。管理者ライセンスが残っていない場合は、役割フィルタで有効な役割として、ユーザータイプの役割が存在するか確認してください。
管理者として認識される役割は以下です。
役割カテゴリ: パスワード- リソース
- アカウント
- ディスカバリー
- カスタマイズ
- パスワード変更
-
リソース グループ
- 追加
- 削除
- 移動
- 編集
- レポートを生成
-
アクセス制御
- 設定
- アクセス申請承認
-
パスワードの共有
- アカウントの共有
- リソースの共有
- リソースグループの共有
- ユーザー
- Webユーザー管理
- APIユーザー管理
- ユーザー役割を変更
- ユーザーが所有するリソースの移行
- アクセス制御権限の移行
- レポート生成
- ユーザー認証プロトコル
- Active Directory管理
- Azure AD管理
- RADIUS認証管理
- 二段階認証管理
- LDAP管理
- SAMLシングルサインオン管理
- スマートカード認証管理
- 管理 ユーザーAgent(ブラウザのアドオン/モバイルアプリ)
-
ユーザーグループ
- 追加
- ユーザーをユーザーグループに追加/削除
- 削除
- ユーザーグループ設定管理
- レポートの生成
役割カテゴリ: 組織 (MSP editionのみ)
このカテゴリで指定されたすべての操作には管理者ライセンスが必要です。
役割カテゴリ: リモートアクセス- リモートアクセス
- リモートセッション
- セッション記録の設定
- アクティブなセッションへの参加を許可
- アクティブなセッションの終了を許可
役割カテゴリ: レポート生成
役割カテゴリ:PMP設定
- データベースのバックアップ
- フェールオーバーサービス
- プロキシサーバーの設定
- SSLの設定 (サーバーの設定)
- 高可用性
- メールサーバー設定
- Eventログ設定
- PMPサーバー設定(プリファレンスのタブを変更 リブランド , ログレベル, 一般設定 )