RBACを使用した役割の構成
定義済みの役割ベースのアクセス制御(Role-Based Access Control:RBAC)の各役割には、一定のアクセス権と機能権限が関連付けられています。このトピックでは、これらの権限で実行できる内容について説明します。組み込みの役割ごとのデフォルト権限に関する完全な一覧は、『Role-Based Access Control Defaults』(英文)をダウンロードしてください。
権限を適用することで、RBACの役割が管理する権限があるユーザーグループを定義します。デフォルトの管理者は、適用された権限設定を変更できません。デフォルトでは、適用された権限はすべてのユーザーグループに適用されます。
割り当てを実行して、RBACの役割をグループに割り当てて、そのユーザーグループがRBACの管理者権限を持つようにできます。
重要:
権限の[設定]で、RBAC権限は、独自の権限を割り当てる機能を含むフルアクセス権をAdminユーザーに許可します。このアクセス権は、Endpoint Managementシステムのすべてを操作する機能を許可するユーザーにのみ付与してください。
この記事は、次のセクションで構成されています。
Adminの役割
定義済みのAdminの役割を持つユーザーがアクセスできる、またはアクセスできないXenMobileの機能を以下に示します。デフォルトでは、[承認済みアクセス](Self Help Portalを除く)、[コンソールの機能]、および [適用権限] が有効になります。
承認済みアクセス
| 管理コンソールへのアクセス | 管理者はXenMobileコンソールのすべての機能にアクセスできます。 |
| Self-Help Portalへのアクセス | 管理者はSelf-Help Portalにアクセスできません。 |
| 共有デバイスの登録機能 | 管理者は共有デバイスの登録機能にアクセスできません。これは、ユーザーが共有デバイスを登録するための機能です。 |
| リモートサポートアクセス | 管理者はリモートサポートにアクセスできます。* |
| パブリックAPIへのアクセス | 管理者はパブリックAPIにアクセスして、XenMobileコンソールで利用可能な処理をプログラム的に実行できます。これらの処理には証明書、アプリ、デバイス、デリバリーグループ、ローカルユーザーの管理が含まれます。 |
| COSUデバイスの登録機能 | この機能が登録プロファイルを使用して構成されていない場合、管理者はこの機能を使用して、Android Enterprise専用デバイス(COSUデバイスとも呼ばれます)を登録できます。 |
Remote Supportを使用すると、ヘルプデスクの担当者は管理対象のAndroidモバイルデバイスをリモートで制御できます。画面のキャストはSamsung Knoxでのみサポートされています。リモートサポートはクラスター化されたオンプレミスのXenMobile Server展開ではサポートされていません。2019年1月1日以降の新規のお客様は、リモートサポートをご利用いただくことはできません。既存のお客様は引き続きこの製品をご利用いただけますが、機能強化や修正プログラムは提供されません。
コンソールの機能
管理者はXenMobileコンソールに無制限にアクセスできます。
| | | | ———————- | ————————————————————————————————————————————————————————————- | | ダッシュボード | **ダッシュボード**は、管理者がXenMobileコンソールにログオンした後に表示される最初のページです。**ダッシュボード**には通知とデバイスに関する基本情報が表示されます。 | | レポート | **[分析]>[レポート]** ページでは事前定義されたレポートが提供され、アプリおよびデバイスの展開を分析できます。 | | デバイス | **[管理]>[デバイス]** ページは、管理者がユーザーデバイスを管理するためのページです。ページに個々のデバイスを追加したり、デバイスプロビジョニングファイルをインポートして一度に複数のデバイスを追加したりすることができます。 | | ローカルユーザーおよびグループ | **[管理]>[ユーザー]** ページでは、ローカルユーザーおよびローカルユーザーグループの追加、編集、または削除を行うことができます。 | | 登録 | **[管理]>[登録招待]** ページは、管理者がユーザーを招待してデバイスをXenMobileに登録する方法を管理するためのページです。 | | ポリシー | **[構成]>[デバイスポリシー]** ページでは、管理者がVPNやWi-Fiのようなデバイスポリシーを管理します。 | | アプリ | **[構成]>[アプリ]** ページは、管理者が、ユーザーがデバイスにインストールできる各種アプリを管理するためのページです。 | | メディア | **[構成]>[メディア]** ページは、管理者が、ユーザーがデバイスにインストールできる各種メディアを管理するためのページです。 | | アクション | **[構成]>[アクション]** ページは、管理者が、イベントをトリガーする応答を管理するためのページです。 | | 登録プロファイル | **[構成]>[登録プロファイル]** ページは、管理者が登録プロファイル(モード)を構成して、ユーザーがデバイスを登録できるようにするためのページです。 | | デリバリーグループ | **[構成]>[デリバリーグループ]** ページは、管理者がデリバリーグループ、およびデリバリーグループに関連付けられているリソースを管理するためのページです。 | |設定 |[設定] ページは、管理者がシステムの設定(クライアントおよびサーバープロパティ、証明書、資格情報プロバイダーなど)を管理するためのページです。重要: これらの設定には、RBAC権限が含まれています。RBAC権限は、独自の権限を割り当てる機能を含むフルアクセス権をAdminユーザーに許可します。このアクセス権は、Endpoint Managementシステムのすべてを操作する機能を許可するユーザーにのみ付与してください。 | | |サポート |[トラブルシューティングとサポート] ページは、管理者がトラブルシューティングアクティビティ(診断の実行やログの生成など)を実行するためのページです。 |
デバイス
管理者はコンソール全体のデバイス機能にアクセスするため、デバイスの制限を設定したり、デバイスへの通知を設定して送信したり、デバイス上のアプリを管理したりします。
| デバイスの完全なワイプ | デバイスからすべてのデータやアプリを消去します。デバイスに設置されている場合、メモリカードもその対象となります。 |
| 制限の削除 | 1つまたは複数のデバイスの制限を削除します。 |
| デバイスの選択的なワイプ | 個人のデータとアプリは残して、企業のすべてのデータとアプリをデバイスから消去します。 |
| 場所の表示 | デバイスの場所を表示し、デバイスの地理的制約を設定します。含まれるもの:デバイスの検索、デバイスの場所の表示、デバイスの追跡、時間の経過によるデバイスの位置の追跡。 |
| デバイスのロック | ユーザーがデバイスを使用できないように、リモートでデバイスをロックします。 |
| デバイスのロック解除 | ユーザーがデバイスを使用できるように、リモートでデバイスのロックを解除します。 |
| コンテナのロック | リモートでデバイス上の企業のコンテナをロックします。 |
| コンテナのロック解除 | リモートでデバイス上の企業のコンテナのロックを解除します。 |
| コンテナのパスワードのリセット | 企業のコンテナのパスワードをリセットします。 |
| ASM DEP/バイパスアクティベーションロックを有効化 | アクティベーションロックが有効な場合、監視対象のiOSデバイスにバイパスコードを格納します。デバイスの消去が必要な場合は、このコードを使用するとアクティベーションロックが自動的に解除されます。 |
| デバイスを呼び出します | リモートで、Windowsのデバイスの警報をフルボリュームで5分間鳴らします。 |
| デバイスを再起動 | XenMobileコンソールからWindowsデバイスを再起動します。 |
| デバイスに展開 | デバイスにアプリ、通知、制限などを送信します。 |
| デバイスの編集 | デバイスの設定を変更します。 |
| デバイスへの通知 | デバイスに通知を送信します。 |
| デバイスの追加/削除 | XenMobileでのデバイスの追加または削除を行います。 |
| デバイスのインポート | ファイルからXenMobileにデバイスのグループをインポートします。 |
| デバイステーブルのエクスポート | [デバイス]ページからデバイス情報を収集し、.csvファイルにエクスポートします。 |
| デバイスの取り消し | デバイスからXenMobileへの接続を禁止します。 |
| アプリのロック | デバイスのすべてのアプリへのアクセスを拒否します。Androidでは、ユーザーがXenMobileにログインすることはできません。iOSでは、ユーザーはログインできますが、アプリにアクセスすることはできません。 |
| アプリのワイプ | Androidでは、このアクションによりユーザーのXenMobileアカウントが削除されます。iOSでは、このアクションにより、ユーザーがXenMobile機能にアクセスするために必要な暗号キーが削除されます。 |
| ソフトウェアインベントリの表示 | デバイスにインストールされているソフトウェアを表示します。 |
| AirPlayミラーリングの要求 | AirPlayストリーミング開始の要求 |
| AirPlayミラーリングの停止 | AirPlayストリーミングの停止 |
| 紛失モードを有効化 | [管理]>[デバイス] で、監視対象デバイスを紛失モードにして、ロック画面で監視対象デバイスへのアクセスをブロックできます。紛失モードでは、デバイスを紛失した、または盗難にあった場合、デバイスの位置を特定することもできます。 |
| 紛失モードを無効化 | [管理]>[デバイス] で、紛失モードが設定されたデバイスの紛失モードを無効化できます。 |
| OS更新デバイス | OS更新の制御デバイスポリシーをデバイスに展開できます。 |
| デバイスのシャットダウン | XenMobileコンソールからiOSデバイスをシャットダウンします。 |
| デバイスの再起動 | XenMobileコンソールからiOSデバイスを再起動します。 |
ローカルユーザーおよびグループ
管理者は、XenMobileの [管理]>[ユーザー] ページで、ローカルユーザーおよびローカルユーザーグループを管理します。
| ローカルユーザーの追加 |
| ローカルユーザーの削除 |
| ローカルユーザーの編集 |
| ローカルユーザーのインポート |
| ローカルユーザーのエクスポート |
| ローカルユーザーグループ |
| ローカルユーザーのロックIDを取得 |
| ローカルユーザーのロックを削除 |
登録
管理者は登録招待の追加および削除、ユーザーへの通知の送信、.csvファイルへの登録テーブルのエクスポートを行うことができます。
| 登録の追加/削除 | ユーザーまたはユーザーグループへの登録招待状を追加または削除します。 |
| ユーザーに通知 | ユーザーまたはユーザーグループに登録招待状を送信します。 |
| 登録招待状テーブルのエクスポート | [登録]ページから登録情報を収集し、.csvファイルにエクスポートします。 |
ポリシー
| ポリシーの追加/削除 | デバイスまたはアプリポリシーを追加または削除します。 |
| ポリシーの編集 | デバイスまたはアプリポリシーを変更します。 |
| ポリシーのアップロード | デバイスまたはアプリポリシーをアップロードします。 |
| ポリシーの複製 | デバイスまたはアプリポリシーをコピーします。 |
| ポリシーの無効化 | 既存のアプリポリシーを無効にします。 |
| ポリシーのエクスポート | [デバイスポリシー]ページからデバイスポリシーの情報を収集し、.csvファイルにエクスポートします。 |
| ポリシーの割り当て | デバイスポリシーを1つまたは複数のグループに割り当てます。 |
アプリ
管理者はXenMobileの [構成]>[アプリ] ページでアプリを管理します。
| アプリストアまたはエンタープライズアプリの追加/削除 | パブリックアプリストアのアプリまたはエンタープライズアプリ(MDX対応ではない)を追加または削除します。 |
| アプリストアまたはエンタープライズアプリの編集 | パブリックアプリストアのアプリまたはエンタープライズアプリ(MDX対応ではない)を変更します。 |
| MDX、Web、SaaSアプリの追加/削除 | MDX対応アプリ、内部ネットワークからのアプリ(Webアプリ)、またはパブリックネットワークからのアプリ(SaaS)をXenMobileに追加または削除します。 |
| MDX、Web、SaaSアプリの編集 | MDX対応アプリ、内部ネットワークからのアプリ(Webアプリ)、またはパブリックネットワークからのアプリ(SaaS)をXenMobileに対して変更します。 |
| カテゴリの追加/削除 | XenMobile Storeでのアプリの表示に使用できるカテゴリを追加または削除します。 |
| パブリック/エンタープライズアプリのデリバリーグループへの割り当て | パブリックアプリストアのアプリ、またはMDX対応アプリを、展開のためにデリバリーグループに割り当てます。 |
| デリバリーグループへのMDX/WebLink/SaaSアプリの割り当て | シングルサインオン(WebLink)を必要としないMDX対応アプリ、またはパブリックネットワーク(SaaS)からのアプリをデリバリーグループに割り当てます。 |
| アプリテーブルのエクスポート | [アプリ]ページからアプリ情報を収集し、.csvファイルにエクスポートします。 |
注:
[コンソールの機能]>[アプリ] を選択すると、APIエンドポイント
GET <https://XMS_IP:4443/controlpoint/rest/ad>は設計上LDAP情報を返します。
メディア
パブリックアプリストアから、またはVolume Purchaseライセンスを介して取得したメディアを管理します。
| アプリストアまたはエンタープライズブックの追加/削除 |
| パブリック/エンタープライズブックのデリバリーグループへの割り当て |
| アプリストアまたはエンタープライズブックの編集 |
アクション
| アクションの追加/削除 | トリガー(イベント/デバイス/ユーザープロパティ、またはインストールされたアプリの名前)とそれに関連する応答によって定義される操作を追加または削除します。 |
| アクションの編集 | トリガー(イベント/デバイス/ユーザープロパティ、またはインストールされたアプリの名前)とそれに関連する応答によって定義される操作を変更します。 |
| アクションのデリバリー グループへの割り当て | ユーザーデバイスへの展開のために、デリバリーグループに操作を割り当てます。 |
| アクションのエクスポート | [アクション]ページから操作の情報を収集し、.csvファイルにエクスポートします。 |
デリバリーグループ
管理者は [構成]>[デリバリーグループ] ページからデリバリーグループを管理します。
| デリバリーグループの追加/削除 | デリバリーグループを作成または削除します。このグループには、指定のユーザーおよびオプションのポリシー、アプリ、操作が追加されています。 |
| デリバリーグループの編集 | 既存のデリバリーグループを変更します。このグループでは、ユーザーおよびオプションのポリシー、アプリ、操作の変更が行われます。 |
| デリバリーグループの展開 | デリバリーグループが使用できる状態にします。 |
| デリバリーグループのエクスポート | [デリバリーグループ]ページからデリバリーグループの情報を収集し、.csvファイルにエクスポートします。 |
登録プロファイル
登録プロファイルを管理します。
| 登録プロファイルの追加/削除 |
| 登録プロファイルの編集 |
| 登録プロファイルのデリバリーグループへの割り当て |
設定
管理者は [設定] ページで各種設定を構成します。
| RBAC | RBACの割り当て、役割の割り当て。重要: この権限は、独自の権限を割り当てる機能を含むフルアクセス権をAdminユーザーに許可します。このアクセス権は、Endpoint Managementシステムのすべてを操作する機能を許可するユーザーにのみ付与してください。 |
| LDAP | グループ、ユーザーアカウント、関連のプロパティをインポートするActive Directoryのような1つまたは複数のLDAP準拠のディレクトリを管理します。 |
| ライセンス | オンプレミスのXenMobile Server用です。Citrixライセンスを管理します。 |
| 登録 | ユーザーとSelf-Help Portalの登録セキュリティモードを有効にします。 |
| リリース管理 | 現在インストールされてるリリースの情報を表示します。含まれるもの:リリース管理の更新 |
| 証明書 | APNs証明書の編集、証明書SSLリスナー |
| 通知テンプレート | 自動化された操作、登録、およびユーザーに送信される標準通知メッセージで使用する通知テンプレートを作成します。 |
| ワークフロー | アプリの構成で使用するユーザーアカウントの作成、承認、削除を管理します。 |
| 資格情報プロバイダー | デバイスの証明書の発行を許可されている1つまたは複数の資格情報プロバイダーを追加します。資格情報プロバイダーは、証明書の形式および証明書の更新または失効の条件を管理します。 |
| PKIエンティティ | 公開キーのインフラストラクチャエンティティ(通常はMicrosoft Certificate Services、または随意CA)を管理します。 |
| PKI接続のテスト | [設定]>[PKIエンティティ] ページの [接続のテスト] ボタンを使用して、サーバーがアクセス可能であることを確認します。 |
| クライアントプロパティ | パスコードの種類、強度、有効期限など、ユーザーデバイスの各種プロパティを管理します。 |
| クライアントサポート | ユーザーがサポートサービスに連絡する方法を設定します(メール、電話、またはサポートチケットメール)。 |
| クライアントのブランド設定 | XenMobile Storeのカスタムストア名とデフォルトストア表示を作成します。XenMobile StoreやSecure Hubに表示されるカスタムロゴを追加します。 |
| キャリアSMSゲートウェイ | キャリアSMSゲートウェイを設定して、電話会社のSMSゲートウェイ経由でXenMobileが送信する通知を構成します。 |
| 通知サーバー | メールをユーザーに送信するためのSMTPゲートウェイサーバーを設定します。 |
| ActiveSync ゲートウェイ | 規則およびプロパティを通してユーザーおよびデバイスへのユーザーアクセスを管理します。 |
| Apple Deployment Programs | XenMobileにApple Deployment Programアカウントを追加します。 |
| Apple Configuratorデバイス登録 | XenMobileでApple Configurator設定を構成します。 |
| iOS/一括購入設定 | Apple Volume Purchaseアカウントを追加します。 |
| モバイルサービスプロバイダー | Mobile Service Providerインターフェイスを使用して、BlackBerryやそのほかのExchange ActiveSyncデバイスに対してクエリを実行したり、操作を発行したりします。 |
| Citrix Gateway | オンプレミスのXenMobile Server用です。Citrix Gatewayを追加します。認証を有効にするか、および認証用にユーザーの証明書をプッシュするかを選択します。資格情報プロバイダーを選択します。 |
| ネットワークアクセス制御 | デバイスが準拠していないため、ネットワークへのアクセスを拒否されたと判断するための条件を設定します。 |
| Samsung KNOX | XenMobileによるSamsung Knox認証サーバーREST APIに対するクエリの実行を有効または無効にします。 |
| サーバープロパティ | サーバープロパティを追加または変更します。すべてのノードでXenMobileを再起動する必要があります。 |
| Syslog | オンプレミスのXenMobile Server用です。サーバーのホスト名またはIPアドレスを使用して、システムログ(syslog)サーバーにログファイルを送信します。 |
| XenAppおよびXenDesktop | Secure Hubを介してユーザーはVirtual Apps and Desktopsを追加できます。 |
| Citrix Files | EnterpriseアカウントでXenMobileを使用する場合:ShareFileアカウントと、ユーザーアカウント管理用の管理者サービスアカウントに接続するための設定を構成します。既存のCitrix Filesドメインと管理者の資格情報が必要です。Storage Zone ConnectorでXenMobileを使用する場合:Storage Zone Connectorで定義されたネットワーク共有とSharePointの場所を指すようにXenMobileを構成します。 |
| エクスペリエンス向上プログラム | オンプレミスのXenMobile Server用です。匿名の統計および使用情報のCitrixへの送信を選択するか、見合わせます。 |
| Microsoft Azure | オンプレミスのXenMobile Server用です。XenMobileをMicrosoft Azureに統合します。 |
| Android Enterprise | Android Enterpriseサーバー設定を構成します。 |
| IDプロバイダー(IdP) | IDプロバイダーを構成します。 |
| XenMobileツール | [XenMobile Tools]ページにアクセスします。 |
| SNMP構成 | XenMobile ServerノードのSNMPを有効にします。監視ユーザーを編集または追加し、トラップ通知が表示されるSNMPマネージャーをセットアップし、トラップ間隔としきい値を構成します。 |
サポート
管理者は各種サポートタスクを実行できます。
| Citrix Gateway 接続性チェック | IPアドレスによるCitrix Gatewayの各種接続確認を実行します。ユーザー名とパスワードが必要です。 |
| XenMobile 接続性チェック | 選択したXenMobileの機能、たとえば、データベース、DNS、Google Planなどの接続確認を実行します。 |
| サポートバンドルの作成 | オンプレミスのXenMobile Server用です。トラブルシューティングのためにシトリックスサポートに送信するファイルを作成します。XenMobileまたはCitrix Gatewayのシステム情報、ログ、データベース情報、コア情報、トレースファイル、最新の構成情報が含まれます。 |
| Citrix製品ドキュメント | Citrix XenMobileドキュメントの公開サイトにアクセスします。 |
| Citrix Knowledge Center | ナレッジベースの文書を検索するためにCitrix Supportサイトにアクセスします。 |
| ログ | デバッグ、管理監査、ユーザー監査のログファイルの詳細情報にアクセスし、分析します。 |
| クラスター情報 | オンプレミスのXenMobile Server用です。クラスター環境内の各ノードに関する情報にアクセスします。 |
| ガベージコレクション | オンプレミスのXenMobile Server用です。使用されなくなったメモリオブジェクトに関する情報にアクセスします。 |
| Javaメモリのプロパティ | オンプレミスのXenMobile Server用です。Javaのメモリ使用のスナップショット、メモリの詳細、メモリプールの詳細にアクセスします。 |
| マクロ | プロファイル、ポリシー、通知、または登録テンプレートのテキストフィールド内にユーザーまたはデバイスのプロパティデータを設定します。単一のポリシーを構成して大きなユーザーベースに展開し、各対象ユーザーに固有の値を表示させることができます。 |
| PKI構成 | PKI構成情報をインポートおよびエクスポートします。 |
| APNs署名ユーティリティ | Apple社のPush Network signing(APNs)証明書の要求を提出するか、iOS用のSecure Mail APNs証明書をアップロードします。 |
| Citrix Insight Services | さまざまな問題に対する支援が得られるように、Citrix Insight Services(CIS)にログをアップロードします。 |
| Citrix Gatewayコネクタ:Exchange ActiveSync用のデバイスの状態 | Citrix Gatewayコネクタ:Exchange ActiveSync用に送信された時点のデバイスの状態について、デバイスのActiveSync IDに基づいてXenMobileに対するクエリを実行します。 |
| 匿名化および匿名化解除 | オンプレミスのXenMobile Server用です。XenMobileでサポートバンドルを作成する場合、デフォルトでは、機密性の高いユーザー、サーバー、ネットワークのデータは匿名化されます。この動作は、[詳細]の [サポート]>[匿名化および匿名化解除] で変更できます。 |
| ログ設定 | ログレベルをカスタマイズしたりカスタムロガーを追加したりします。 |
グループアクセスの制限
Adminユーザーはすべてのユーザーグループに権限を適用することができます。
Supportの役割
Supportの役割を持つユーザーは、リモートサポートにアクセスできます。このユーザー権限は、デフォルトですべてのユーザーに適用され、ユーザーが設定を編集することはできません。
Userの役割
Userの役割を持つユーザーは、XenMobileに対して以下の制限付きアクセスが行えます。
承認済みアクセス
| Self-Help Portal | ユーザーはXenMobileのSelf-Help Portalにのみアクセスできます。 |
コンソールの機能
XenMobileコンソールに対して、ユーザーは以下の制限付きアクセスが行えます。
デバイス
| デバイスの完全なワイプ | デバイスからすべてのデータやアプリを消去します。デバイスに設置されている場合、メモリカードもその対象となります。 |
| デバイスの選択的なワイプ | 個人のデータとアプリは残して、企業のすべてのデータとアプリをデバイスから消去します。 |
| 場所の表示 | デバイスの場所を表示し、デバイスの地理的制約を設定します。含まれるもの:デバイスの検索、デバイスの場所の表示、デバイスの追跡、時間の経過によるデバイスの位置の追跡。 |
| デバイスのロック | デバイスが使用できないように、リモートでロックします。 |
| デバイスのロック解除 | デバイスが使用できるように、リモートでロックを解除します。 |
| コンテナのロック | リモートでデバイス上の企業のコンテナをロックします。 |
| コンテナのロック解除 | リモートでデバイス上の企業のコンテナのロックを解除します。 |
| コンテナのパスワードのリセット | 企業のコンテナのパスワードをリセットします。 |
| ASM DEP/バイパスアクティベーションロックを有効化 | アクティベーションロックが有効な場合、監視対象のiOSデバイスにバイパスコードを格納します。デバイスの消去が必要な場合は、このコードを使用するとアクティベーションロックが自動的に解除されます。 |
| デバイスを呼び出します | リモートで、Windowsのデバイスの警報をフルボリュームで5分間鳴らします。 |
| デバイスを再起動 | Windowsデバイスを再起動します。 |
| ソフトウェアインベントリの表示 | デバイスにインストールされているソフトウェアを表示します。 |
登録
| 登録の追加/削除 | ユーザーまたはユーザーグループへの登録招待状を追加または削除します。 |
| ユーザーに通知 | ユーザーまたはユーザーグループに登録招待状を送信します。 |
グループアクセスの制限
4つデフォルトの役割のすべてで、この権限がデフォルトで設定され、すべてのユーザーグループに適用できます。役割を編集することはできません。
RBACを使用した役割の構成
XenMobileの役割ベースのアクセス制御(Role-Based Access Control:RBAC)機能では、権限の定義済みセットである役割をユーザーとグループに割り当てることができます。これらの権限によって、システム機能に対するユーザーのアクセスレベルを制御します。
XenMobileには、システムの機能へのアクセスを論理的に区分するために、4つのデフォルトのユーザー役割が実装されています。
- 管理者: システムへのフルアクセスが許可されます。
- サポート: リモートサポートへのアクセスが許可されます。
- ユーザー: デバイスを登録でき、Self Help Portalにアクセスできるユーザーが使用します。
また、ユーザーの役割を作成するためにカスタマイズするテンプレートとしてデフォルトの役割を使用することもできます。デフォルトの役割で定義されている機能には含まれない、特定のシステム機能にアクセスするための権限を役割に割り当てることができます。
役割をローカルユーザーに(ユーザーレベルで)割り当てることや、Active Directoryグループに割り当てることができます(そのグループ内のすべてのユーザーが同じ権限を持ちます)。ユーザーが複数のActive Directoryグループに属している場合は、すべての権限が統合されてそのユーザーの権限が定義されます。たとえば、ADGroupAユーザーはマネージャーのデバイスを見つけることができ、ADGroupBユーザーは従業員のデバイスをワイプできるとします。その場合、両方のグループに属するユーザーは、マネージャーのデバイスと従業員のデバイスを見つけてワイプできます。
注:
ローカルユーザーに割り当てることができる役割は1つだけです。
XenMobileのRBAC機能を使用すると、次のことを実行できます。
- 役割を作成する。
- 役割にグループを追加する。
- ローカルユーザーを役割に関連付ける。
-
XenMobileコンソールで、[設定]>[役割ベースのアクセス制御] に移動します。[役割ベースのアクセス制御] ページが開き、4つのデフォルトのユーザー役割と、以前に追加した役割が表示されます。
役割の横のプラス記号(+)をクリックすると、次の図のように役割が展開され、その役割のすべての権限が表示されます。
-
[追加] をクリックしてユーザー役割を追加します。役割を編集するには、既存の役割の右側にあるペンアイコンをクリックします。役割を削除するには、役割の右側にあるゴミ箱アイコンをクリックします。デフォルトのユーザー役割を削除することはできません。
- [追加] またはペンアイコンをクリックすると、[役割の追加] ページまたは [役割の編集] ページが開きます。
- ごみ箱アイコンをクリックすると、確認ダイアログボックスが開きます。[削除] をクリックすると、選択した役割が削除されます。
-
ユーザー役割を作成するか編集するには、次の情報を入力します:
- RBAC名: 新しいユーザー役割の説明的な名前を入力します。既存の役割の名前は変更できません。
- RBACテンプレート: 任意で、新しい役割の開始点とするテンプレートを選択します。既存の役割を編集する場合、テンプレートは選択できません。
RBACテンプレートは、デフォルトのユーザー役割です。RBACテンプレートによって、その役割に関連付けられているユーザーがシステムの機能に対して持つアクセス権を定義します。RBACテンプレートを選択すると、[承認済みアクセス] および [コンソールの機能] フィールドで、その役割に関連付けられているすべての権限を参照できます。テンプレートの使用はオプションです。[承認済みアクセス] および [コンソールの機能] フィールドで、役割に割り当てるオプションを直接選択することができます。
-
選択した [RBACテンプレート] フィールドの近くにある [適用] をクリックして、事前に定義されているアクセス権と機能権限を、[承認済みアクセス] および [コンソールの機能] にあるチェックボックスに反映させます。
-
[承認済みアクセス] および [コンソールの機能] のチェックボックスをオンまたはオフにして、役割をカスタマイズします。
[コンソールの機能]の横にある三角をクリックすると、その機能に固有の権限が表示され、オンまたはオフを選択できます。最上位レベルのチェックボックスをクリックすると、そのコンソール領域へのアクセスが禁止されます。個別のオプションを有効にするには、各オプションを選択します。たとえば、次の図の場合、役割に割り当てられているユーザーには [デバイスの完全なワイプ] オプションおよび [制限の削除] オプションは表示されません。一方、チェックボックスがオンになっているオプションは表示されます。
-
権限の適用: 管理者が管理できるグループを制限するには、1つ以上のユーザーグループを選択します。[特定のユーザーグループ] をクリックするとグループの一覧が開き、1つまたは複数のグループを選択できます。
たとえば、RBAC管理者がActiveDirectoryおよびMSPユーザーグループに対するアクセス権限を持っている場合:
- 管理者は、ActiveDirectoryグループ、MSPグループ、またはその両方のグループに属するユーザーの情報にのみアクセスできます。
- 管理者は、他のローカルユーザーまたはADユーザーを表示することはできません。管理者が表示できるのは、いずれかのグループの子グループのメンバーであるユーザーです。
- 管理者は次のグループに招待状を送ることができます:
- 権限グループとその子グループ
- 権限グループのメンバーであるユーザーとその子グループ
-
[次へ] をクリックします。[割り当て] ページが開きます。
-
ユーザーグループに役割を割り当てるための次の情報を入力します。
- ドメインを選択: ドロップダウンリストから、ドメインを選択します。
- ユーザーグループを含める:[検索]をクリックして使用可能なすべてのグループの一覧を表示するか、グループ名の全体または一部を入力してその名前を持つグループのみに一覧を絞り込みます。
- 表示された一覧で、役割を割り当てるユーザーグループを選択します。ユーザーグループを選択すると、[選択したユーザーグループ] の一覧にグループが表示されます。
注:
[選択したユーザーグループ] の一覧からユーザーグループを削除するには、ユーザーグループ名の横にある[X]をクリックします。
-
[Save] をクリックします。