概要

ManageEngine  > Patch Manager Plus パッチ管理ソフト > 概要

概要

管理者として、あなたは日常的なルーチンワークに忙殺され、ネットワークの重要な監視を必要とする作業を見逃していると感じています。Patch Manager Plusの「ユーザー&役割管理」モジュールは、定義された権限レベルを持つ選択されたユーザーに日常活動を委任することでその懸念に答えます。ユーザーや、特定のコンピューターを簡単に管理するために、ユーザーを定義できます。

役割管理

最も一般的に使用される役割(ロール)のいくつかは、事前定義された役割の下で指定されています。ただし、ユーザー定義役割の下で要件に最も適した役割を定義し、適切な権限を付与する柔軟性もあります。 以下は、それぞれ事前定義済み役割とユーザー定義済み役割の概要です:

ユーザー定義の役割

Patch Manager Plusを使用して任意の数の役割を調整し、自分の個人的なニーズに合わせて選択した権限を付与することができます。これらのカスタマイズされた役割は、ユーザー定義カテゴリに分類されます。理解を深めるために、次のセクションでユーザー定義役割の作成方法を素早く見てみましょう。

以下の手順に従って、新しいユーザー定義役割を作成します:

  1. [管理]タブを選択し、[グローバル設定]の下の[ユーザー管理]をクリックします。これにより、「ユーザー管理」ページが開きます。

  2. [役割]タブを選択して[役割の追加]ボタンをクリックします。

  3. 役割名とそれに関する簡単な説明を指定します。

  4. [コントロールを選択]セクションで、役割に対するモジュール単位の権限レベルを定義できます。

    許可レベルは、大きく次のように分類されます:

    フルコントロール - 特定のモジュールに対して、管理者のようにすべての操作を実行

    書き込み -いくつかの制限を除いて、すべての操作を実行

    読み取り - そのモジュールの詳細のみを表示

    アクセスなし - ユーザーからモジュールを隠す

  5. 追加ボタンをクリックします。

新しい役割が正常に作成されました。作成した役割が、ユーザー作成モジュールの役割リストに表示されます。その役割が単一のユーザーにのみ関連付けられている場合でも、役割の削除は実行できません。ただし、すべてのユーザー定義役割の権限レベルは変更できます。

事前定義された役割

定義済みカテゴリには、以下の役割があります:

  1. 管理者

  2. ゲスト

  3. 技術担当者

  4. パッチマネージャー

管理者の役割:管理者役割は、すべてのモジュールでフルコントロールを実行する超管理者を表します。組織に対して超管理者は1人だけです。超管理者が会社を辞めた場合は、超管理者として任意の管理者を再割り当てできますが、これは超管理者としてログインすることによってのみ実行できます。超管理者には、ユーザーを組織間で移動する権限もあります。

[管理]タブに表示される操作は次のとおりです:

  1. 管理範囲の定義または変更

  2. 非アクティブユーザーの追加

  3. プロキシ設定の変更

  4. テーマの変更、セッションの有効期限の設定などのカスタマイズ

  5. 脆弱性データベースの更新スケジュール

  6. パッチ管理のスキャン設定のスケジュール

  7. Patch Manager Plusのアクションログの表示

  8. パッチ関連のすべてのタスクを実行するための書き込み権限

ゲストの役割:ゲスト役割は、すべてのモジュールに対する読み取り専用権限を保持します。ゲスト役割に関連付けられているユーザーは、異なるモジュールに関するさまざまな情報をスキャンして表示する権限を持ちますが、変更を加えることはできません。ゲスト役割には、表示、パッチ管理の詳細に対する読み取り専用権限もあります。

技術担当者の役割:技術担当者の役割には、特定の操作を実行するための明確に定義された権限があります。技術担当者の役割を持つユーザーは、[管理]タブに一覧表示されているすべての操作を実行できません。技術担当者の役割に関連付けられているユーザーが実行できる操作には、以下のものがあります。

  1. すべてのパッチ構成とタスクを定義し展開。 他のユーザーが作成したもの、レポートなど、すべてのパッチ構成/タスクの表示。 それらによって定義された構成/タスクを中断、変更、または再展開。

  2. 脆弱性データベースの更新。

  3. スキャン操作の実行。

  4. パッチ管理タスクを実行するための書き込み。

監査担当者:監査担当者の役割は、監査目的のために特別に作成されています。この役割は、監査担当者にパッチの概要とレポートの詳細を表示する権限を付与するのに役立ちます。「監査担当者の役割」を持つユーザーは読み取り専用アクセスに制限されています。 パッチマネージャー:パッチマネージャーの役割は、パッチ管理に完全にアクセスできます。パッチマネージャーには、ウェイクオンLANなどのタスクを実行するためのアクセス権、およびパッチレポートをスケジュールする機能もあります。

ユーザーの役割と権限レベルスコープの定義

Patch Manager Plusには、ユーザーに範囲を定義する権限があります。つまり、ターゲットコンピューターを定義して、すべてのユーザーにマップすることができます。ユーザーのアクセス許可を特定のコンピューターのセットに制限することで、ユーザーがその役割を実行するのに十分なアクセス許可を持ち、過度に利用するのに十分なアクセス許可を持っていないことを確認できます。

スコープとして定義したターゲットは、次のいずれかになります:

すべてのコンピューター

ターゲットが「すべてのコンピューター」として定義されている場合、ユーザーはすべてのコンピューターに対して、役割に定義されているすべての権限を実行する許可を持ちます。範囲はすべてのコンピューターですが、アクセス許可レベルは、ユーザーがマップされている役割によってのみ決定されます。

静的ユニークグループ

管理目的で特定のカスタムグループを作成し、それをユーザーに関連付けることができます。作成するカスタムグループは一意にする必要があります。そのため、どのコンピューターも複数のカスタムグループに属することはできません。これらは、ユーザー管理の目的で作成されたコンピューターベースのカスタムグループで、ユーザーの「スコープ」として定義されています。カスタムグループの作成に関する詳細については、これをご参照ください

リモートオフィス

特定のリモートオフィスを作成するか、既存のリモートオフィスを使用してユーザーの範囲として定義できます。複数のユーザーが同じリモートオフィスを管理できます。同様に、複数のリモートオフィスを同じユーザーにマップできますが、スコープの一部としてリモートオフィスと一意のグループを組み合わせることはできません。

スコープの共有

複数のユーザーが同じスコープを共有できます。このような場合、スコープに適用された構成/タスクは複数のユーザーによって管理できます。 詳細については、これをご参照ください:注意点

スコープの変更

ユーザーの範囲が変更されると、ユーザーは自分が作成した構成/タスクを管理できなくなります。ユーザーはターゲットなしで構成を複製する許可を得ます。そのため、現在のスコープでそれらを再利用することができます。範囲内のコンピューターを変更しても、範囲を変更したとは見なされません。

3.ユーザー管理

ユーザーの作成と役割の関連付け

新しいユーザーを作成しながら、ユーザーを役割に関連付けることができます。ユーザーを作成するには、以下の手順に従います:

  1. 管理者としてPatch Manager Plusクライアントにログインします。

  2. [グローバル設定]カテゴリの下にある[ユーザー管理]リンクをクリックします。
  3. 認証タイプをActive Directory認証またはローカル認証として指定します。
  4. ユーザー名、パスワードを指定し、パスワードを確認します。
  5. ドロップダウンから役割を指定します。すべての事前定義された役割を見ることができ、ユーザーが作成した役割もここに追加されます。
  6. ユーザーのメールアドレスと電話番号を指定します。これは任意です。
  7. ユーザーの範囲を定義すると、ユーザーが管理する必要があるコンピューターを指定できます。ユーザーにすべてのコンピューター、リモートオフィス、または特定のカスタムグループを管理するためのアクセス権限を提供することを選択できます。カスタムグループがない場合は作成できます。カスタムグループが一意でない場合は、ここに表示されません。

ユーザーが正常に作成され、管理する必要があるコンピューターの範囲を持つユーザーに役割が関連付けられました。Active Directoryを介してユーザーを認証することを選択した場合、そのユーザーには、Patch Manager Plusサーバーがインストールされているコンピューターからドメインにログインする権限が必要です。

ユーザーの詳細の変更

Patch Manager Plusは、変化する要件に最も適した、ユーザーの役割を変更する柔軟性を提供します。ユーザーの役割の変更やユーザーパスワードのリセットなどの操作は、必要なときにいつでも実行できます。

ユーザーの削除

ユーザーの貢献がなくなったことを見つけたとき時には、ユーザーリストからユーザーを削除することができます。そのように削除されたユーザーは、これ以上モジュール権限を行使できません。

2要素認証の有効化

2要素認証を有効にすると、Patch Manager Plusウェブコンソールへのアクセスが保護されます。ユーザーは、ワンタイムパスワード(OTP)とそのデフォルトのパスワードを入力するように求められます。特定のブラウザ用にOTPを保存するように設定を構成できます。このオプションが有効になっている場合、ここで指定された日数の間、ユーザーはOTPの入力を求められません:「管理」 - >「ユーザー管理」 - >「2要素認証」。メールまたはGoogle Authenticatorによる2要素認証のモードを選択できます。

メール

ワンタイムパスワードはメールで各ユーザーに送信されます。1人以上のユーザーがPatch Manager Plusサーバーでマップされたメールアドレスを持っていない場合、2要素認証を有効にすることはできません。すべてのユーザーのメールアドレスがPatch Manager Plusサーバーに登録されていることを確認する必要があります。

2要素認証が有効になっている場合、ユーザーはOTPの詳細を記載したメールを受け取ります。 すべてのOTPは生成時から15分間有効です。OTPは自動生成された6桁の数字になります。ユーザーが自分のウェブブラウザにOTPを保存することを許可することもできます。OTPをウェブブラウザに保存するには、許可される日数を指定する必要があります。ブラウザにOTPを保存することを選択した場合、ユーザーはOTPの入力を求められません。日数を0に指定した場合、ユーザーはウェブブラウザにOTPを保存できなくなります。ユーザーがPatch Manager PlusウェブコンソールにログインしようとするたびにOTPが生成されます。

Google Authenticator

OTPを生成するために、Google Authenticatorを選択できます。 スマートフォンにGoogle認証システムをインストールする必要があります。Googleのオーセンティケータは、下記のモバイルデバイスのオペレーティングシステムに基づいてダウンロードできます:

モバイルデバイスにオーセンティケータをダウンロードしてインストールします。はじめてPatch Manager Plusウェブコンソールにログインできるようになると、QRコードが表示されます。Googleオーセンティケータアプリを開き、QRコードをスキャンしてPatch Manager Plusのアカウントを作成する必要があります。Patch Manager PlusがGoogleオーセンティケータアプリに追加され、OTPが自動的に生成されることがわかります

Googleオーセンティケータで生成されたOTPを二次認証として使用し、Patch Manager Plusにログインすることができます。

ユーザーがGoogle AuthenticatorのPatch Manager Plusアカウントを削除した場合、ユーザーは管理者に連絡してGoogle Authenticatorを使用して2要素認証を復元する必要があります。管理者はここからGoogle Authenticatorを復元するためにQRコードを再送信できます。[管理] - > [ユーザー管理] - > [アクション](適切なユーザーの下) - > [QRコードを再送信]

注意点

  1. ユニークなカスタムグループは、複数のユーザーが管理できます。

  2. 同じコンピューターを複数のカスタムグループに含めることはできません。

  3. 管理者のみがユーザーの範囲を変更する権限を持ちます。

  4. ユーザーに対して定義された範囲は、カスタムグループとリモートオフィスの組み合わせにすることはできません。すべてのコンピューター、または特定の一つのグループまたはリモートオフィスにすることができます。

  5. ユーザーのスコープが変更されても、ユーザーは自分のスコープに加えられた変更について通知されません。

  6. カスタムグループにコンピューターを追加または削除しても、ユーザーの範囲には影響しません。

  7. 以下のシナリオと動作を参照してください:

    ユーザーAのスコープ:静的ユニークグループ1

    ユーザーBのスコープ:静的ユニークグループ2

    ユーザーCのスコープ:静的ユニークグループ2および静的ユニークグループ3

    ユーザーDのスコープ:静的ユニークグループ1、静的ユニークグループ2、静的ユニークグループ3および静的ユニークグループ4

  1. ユーザーAが構成/タスクを作成し、静的ユニークグループ1に適用します。ユーザーAとユーザーDは同じスコープを共有しているため、この構成はユーザーAとユーザーDに表示されます(静的ユニークグループ1)。この構成は、ユーザーAとユーザーDが変更できます。ユーザーDがこの構成を変更すると、この構成のターゲットには、ユーザーAとユーザーDが共有しているスコープだけがリストされます。

  2. ユーザーDが構成を作成して静的ユニークグループ2に適用すると、この構成はユーザーB、ユーザーC、およびユーザーDに表示されます。3人のユーザー全員が構成を管理できます。

  3. ユーザーDが構成を作成し、それを静的ユニークグループ静的ユニークグループ4に適用します。この場合、ユーザーCとユーザーDはこの構成を表示できます。ユーザーCはこの構成を変更することはできません。

  4. ユーザーAが構成を作成して静的ユニークグループ1以降に適用すると、ユーザーAのスコープが変更され、この構成は自分だけが表示できるようになるか、ターゲットなしで新しい構成として複製されます。