委任機能ガイド
作成日:2020年12月10日 | 更新日:2023年12月12日
本ナレッジでは、ADManager Plusの「委任」機能について紹介します。
委任機能とは?
委任機能によって、Active Directory(以下、AD)管理業務のうち、一部の作業を管理者以外の担当者(オペレーター)に委任できます。これによりAD管理者の作業負荷を軽減し、また対応スピードを高めることが可能です。
委任機能を使用する場合、オペレーターライセンスが必要です。厳密には、委任する対象ユーザーを「オペレーター」として製品に登録する必要があり、その際にオペレーターライセンスが消費されます。そのため、ご購入いただいたライセンスにより登録できるオペレーター数は異なります。
活用例
- ヘルプデスクにユーザーのパスワードリセットとアカウントロック解除の権限のみを委任する
- 人事担当者にユーザーの管理(作成/変更/削除)のみを委任する
- 各部署の担当者にファイルサーバーのアクセス権可視化レポートのみを委任する
委任設定
設定のイメージ
"オペレーター"を製品画面より登録し、当該オペレーターに"オペレーターの役割"を紐づけることで委任が可能です。
オペレーター:ADManager Plus上での操作権限を委任されたユーザー
オペレーターの役割:オペレーターが実行できる操作(役割)の定義
画像のように1つのオペレーターの役割を複数のオペレーターに紐づけることも、複数のオペレーターの役割を1人のオペレーターに紐づけることも可能です。
オペレーターの登録方法
委任機能を使用する場合は、下記のような流れで設定します。
【操作方法】
1. [委任]タブ --> [オペレーターの委任]--> [オペレーター]-->[オペレーターの追加]をクリック
2. 下記項目を設定
- ドメインの選択:委任対象のドメインを選択します
- AD ユーザーを選択:委任するユーザーを選択します
- オペレーターの役割を選択:紐づけるオペレーターの役割を選択します
- OUの選択:当該オペレーターが管理できるOUを選択します
※特定OU内のオブジェクトだけを管理またはレポーティングさせたい場合、こちらでOUを選択することで実現できます。
例)オペレーターAに"総務部OUのユーザーだけ"のパスワード変更を委任する など - 管理者として振る舞う:詳細はこちら
3. [保存]をクリック
オペレーターの編集方法
オペレーターの編集では、委任設定の変更ならびにより高度な委任の設定が可能です。具体的には、下記の項目を追加で設定できるようになります。
- テンプレートの割り当て
- ファイルサーバーの選択
- 表示可能グループ
- Microsoft 365/Google Workspaceの委任
【操作方法】
1. [委任]タブ > [オペレーター]に移動
2. 対象オペレーターの編集(えんぴつアイコン)をクリック
・OUの選択:管理対象のOUを選択します。
・オペレーターの役割を選択:委任する役割を選択します。
・テンプレートの割り当て:オペレーターが使用可能なテンプレートを選択します。
・管理者として振る舞う:[ドメイン設定]で指定された権限を使用してADに対する操作を行う場合、チェックを入れます。
詳細は、<ahref="#impersonate">こちらをご参照ください。
・ファイルサーバーの選択:必要に応じて、管理可能なファイルサーバーを選択します。
・表示可能グループ:オペレーターに対して表示/非表示にするグループを選択します。
- 含まれるグループ:オペレーターに対して表示するグループを選択します。
- 除外されたグループ:オペレーターに対して非表示にするグループを選択します。
・Microsoft 365:Microsoft 365アカウントを管理する場合は対象アカウントにチェックを入れます。
4. [変更を保存]をクリック
オペレーターの役割の詳細
オペレーターの役割では、オペレーターが実行できる操作(役割)の定義を管理します。
役割作成の方法
1. [委任]タブ > [オペレーターの役割]に移動
2. [役割の作成]をクリック
3. 役割の名称と役割の説明を記入
4. 委任したい操作を選択
5. [保存]をクリック
補足①:属性単位の高度な委任設定
ADManager Plusの委任では、属性単位やオプション単位での委任が可能です。
例)ユーザー作成を委任する際に必要な属性だけ委任したい場合
[ユーザー属性権限]より委任したい属性を選択可能です。当該役割を委任されたオペレーターは、こちらで選択された属性のみ入力でき、選択されていない属性はグレーアウトの状態で入力できなくなります。選択されていない属性もグレーアウト状態のため属性項目自体は、オペレーターの画面で表示されています。もし項目自体も非表示にしたい場合は、属性項目を編集したテンプレートのみをオペレーターに割り当てることで実現可能です。
補足②:「ユーザーの変更」委任時の注意点
シングルユーザーの変更を委任したい場合、「当該項目の選択」に加えて「対応属性を下の項目より選択する」必要があります。
例)パスワード変更と一部オプションを委任したい場合
[シングルユーザーの変更]ならびに一般属性カテゴリー内の[パスワード変更]を選択します。
管理者として振る舞うオプションの詳細
オプションが有効の場合:オペレーターは[ドメイン設定]で指定された権限を使用してADに対する操作を行います。
オプションが無効の場合:オペレーターはAD上での自分自身の権限を使用してADに対して操作を行います
そのため当該オプションを無効にした場合、オペレーターはAD上での操作権限がないためにADManager Plusからの操作を実行できない場合があります。
表示可能グループ項目の詳細
オペレーターの編集画面では、グループ選択時に適用される"表示可能グループ"を設定できます。
含まれるグループ:こちらに追加されたグループのみ表示されます。特定グループからのみ選択させたい場合に有効です
除外されたグループ:こちらに追加されたグループは表示されません。特定グループを一覧から除外したい場合に有効です
監査レポート
監査レポートでは、管理者を含むオペレーターがADManager Plus上で行った操作の履歴を確認可能です。
「誰が」「いつ」「どのオブジェクトに対して」「どのような操作を実行したのか」を可視化できます。
【操作方法】
1. [委任]タブ > オペレーターの監査レポート > [監査レポート]に移動
2. オペレーターと履歴を表示したい期間を選択
3. [続行]をクリック
トラブルシューティング
右上の「アーカイブの管理」より過去の監査レポートを確認できます。
過去の監査レポートを閲覧する際、アーカイブファイルのインポート中にアクセス拒否のエラーが発生する場合があります。
アクセス拒否のエラーが発生した場合、以下の手順を実施してください。
【手順】
- ADManager Plusにログイン後、画面右上の[ドメイン設定]をクリックします。
- [操作]列にある編集アイコン(鉛筆マーク)をクリックします。
- [認証]フィールドにて、ドメイン管理者(Domain Admins)権限を持つアカウントのユーザー名およびパスワードを入力します。
- [更新]をクリックします。
- [操作]列にある二重矢印アイコンをクリックします。
- すべての項目にチェックを入れ、[OK]をクリックします。
- 手順3で使用したアカウントを、ADManager Plusサービスの起動アカウントとして設定します(手順はこちら)。
- ADManager Plusサービスを再起動します。
- 手順3,7にて設定したアカウントに、ADManager Plusインストールフォルダーに対するフルコントロール権限を付与してください。インストールフォルダー下のすべてのサブフォルダーおよびファイルに対してフルコントロール権限を付与するように設定してください。
手順は以上です。
補足
監査レポートを定期的に外部出力したい場合やアーカイブしたい場合は、画面右上の[スケジュールレポート]と[アーカイブ管理]より設定可能です。またプライバシー設定([管理]タブ > 一般設定 > [プライバシー設定])を有効化している場合は、[データの管理]が表示されます。
※データの管理:製品上で実行されたインポートまたはエクスポート操作の詳細(日時、オペレーター、カテゴリーなど)を一覧表示可能です。
監査レポートはSyslogとしてSyslogサーバーに転送できます(転送設定は[管理]->[システム設定]->[統合]->[Syslog]をクリック後の画面で実施)。転送先として別製品のEventLog Analyzerを選択していただくことで、ADManager Plus上の操作をリアルタイムで監査(レポートやアラート検知)できます。
監査レポートで表示されるログは、AD上の操作ログではありません。ADのログ(ドメインコントローラーなどのイベントログ)を取得&分析したい場合は、別製品のADAudit Plusをご検討ください。