RBACによる役割の設定
事前定義された各ロールベースのアクセス制御 (RBAC) ロールには、特定のアクセス権限と機能権限が関連付けられています。この記事では、それらの各権限が何を行うかについて説明します。各組み込みロールのデフォルト権限の完全なリストについては、ロールベースのアクセス制御のデフォルトをダウンロードしてください。
権限を適用する場合、RBACロールが管理する権限を持つユーザーグループを定義します。デフォルトの管理者は、適用された権限設定を変更できません。デフォルトでは、適用された権限はすべてのユーザーグループに適用されます。
割り当てを行う場合、RBACロールをグループに割り当てて、そのユーザーグループがRBAC管理者権限を所有するようにします。
重要:
設定権限の下で、RBAC権限は管理者ユーザーに、自身の権限を割り当てる機能を含む完全なアクセス権を与えます。このアクセス権は、Endpoint Managementシステム内のすべてを操作する能力を与えることを意図したユーザーにのみ付与してください。
この記事には、次のセクションが含まれています。
管理者ロール
事前定義された管理者ロールを持つユーザーは、XenMobileの以下の機能にアクセスできます。デフォルトでは、承認済みアクセス (セルフヘルプポータルを除く)、コンソール機能、および権限の適用が有効になっています。
承認済みアクセス
| 管理者コンソールアクセス | 管理者はXenMobileコンソールのすべての機能にアクセスできます。 |
| セルフヘルプポータルアクセス | 管理者はセルフヘルプポータルにアクセスできません。 |
| 共有デバイス登録者 | 管理者は共有デバイス登録者アクセス権を持ちません。この機能は、共有デバイスを登録する必要があるユーザーを対象としています。 |
| リモートサポートアクセス | 管理者はリモートサポートアクセス権を所有しています。* |
| パブリックAPIアクセス | 管理者はパブリックAPIにアクセスして、XenMobileコンソールで利用可能なアクションをプログラムで実行できます。アクションには、証明書、アプリ、デバイス、デリバリーグループ、およびローカルユーザーの管理が含まれます。 |
| COSUデバイス登録者 | この機能が登録プロファイルを使用して構成されていない場合、管理者が専用のAndroid Enterpriseデバイス (COSUデバイスとも呼ばれます) を登録する方法を提供します。 |
* リモートサポートにより、ヘルプデスク担当者は管理対象のAndroidモバイルデバイスをリモートで制御できます。スクリーンキャストはSamsung Knoxデバイスでのみサポートされています。リモートサポートは、クラスター化されたオンプレミスXenMobile Server展開では利用できません。リモートサポートは、2019年1月1日以降の新規顧客には提供されなくなりました。既存の顧客は引き続き製品を使用できますが、Citrixは機能強化や修正を提供しません。
コンソール機能
管理者はXenMobileコンソールに無制限にアクセスできます。
| ダッシュボード | ダッシュボードは、管理者がXenMobileコンソールにログオンした後に最初に表示されるページです。ダッシュボードには、通知とデバイスに関する基本情報が表示されます。 |
| レポート | 分析 > レポートページには、アプリとデバイスの展開を分析できる事前定義されたレポートが用意されています。 |
| デバイス | 管理 > デバイスページでは、ユーザーデバイスを管理します。このページで個々のデバイスを追加したり、デバイスプロビジョニングファイルをインポートして複数のデバイスを一度に追加したりできます。 |
| ローカルユーザーとグループ | 管理 > ユーザーページでは、ローカルユーザーとローカルユーザーグループを追加、編集、または削除できます。 |
| 登録 | 管理 > 登録招待ページでは、ユーザーがXenMobileにデバイスを登録するよう招待される方法を管理します。 |
| ポリシー | 構成 > デバイスポリシーページでは、VPNやWi-Fiなどのデバイスポリシーを管理します。 |
| アプリ | 構成 > アプリページでは、ユーザーがデバイスにインストールできるさまざまなアプリを管理します。 |
| メディア | 構成 > メディアページでは、ユーザーがデバイスにインストールできるさまざまなメディアを管理します。 |
| アクション | 構成 > アクションページでは、トリガーイベントへの応答を管理します。 |
| 登録プロファイル | 構成 > 登録プロファイルページでは、ユーザーがデバイスを登録できるように登録プロファイル (モード) を構成します。 |
| デリバリーグループ | 構成 > デリバリーグループページでは、デリバリーグループとそれらに関連付けられたリソースを管理します。 |
| 設定 | 設定ページでは、クライアントおよびサーバーのプロパティ、証明書、資格情報プロバイダーなどのシステム設定を管理します。重要: これらの設定にはRBAC権限が含まれます。RBAC権限は、管理者ユーザーに、自身の権限を割り当てる機能を含む完全なアクセス権を与えます。このアクセス権は、Endpoint Managementシステム内のすべてを操作する能力を与えることを意図したユーザーにのみ付与してください。 |
| サポート | トラブルシューティングとサポートページでは、診断の実行やログの生成などのトラブルシューティング活動を行います。 |
デバイス
管理者は、デバイスの制限を設定したり、デバイスへの通知を設定および送信したり、デバイス上のアプリを管理したりするなどして、コンソール全体でデバイス機能にアクセスします。
| デバイスの完全ワイプ | デバイスからすべてのデータとアプリを消去します。デバイスにメモリカードがある場合はそれも含まれます。 |
| 制限のクリア | 1つ以上のデバイス制限を削除します。 |
| デバイスの選択的ワイプ | デバイスからすべての企業データとアプリを消去し、個人データとアプリはそのまま残します。 |
| 位置情報の表示 | デバイスの位置情報を確認し、地理的制限を設定します。これには、デバイスの検索、デバイスの位置情報の確認、デバイスの追跡、デバイスの位置情報の経時的な追跡が含まれます。 |
| デバイスのロック | ユーザーがデバイスを使用できないように、デバイスをリモートでロックします。 |
| デバイスのロック解除 | ユーザーがデバイスを使用できるように、デバイスをリモートでロック解除します。 |
| コンテナのロック | デバイス上の企業コンテナをリモートでロックします。 |
| コンテナのロック解除 | デバイス上の企業コンテナをリモートでロック解除します。 |
| コンテナパスワードのリセット | 企業コンテナのパスワードをリセットします。 |
| ASM DEP/アクティベーションロックのバイパスを有効にする | アクティベーションロックが有効になっている場合、監視対象のiOSデバイスにバイパスコードを保存します。デバイスを消去する必要がある場合は、このコードを使用してアクティベーションロックを自動的にクリアします。 |
| デバイスの呼び出し | Windowsデバイスをリモートで最大音量で5分間呼び出します。 |
| デバイスの再起動 | XenMobileコンソールからWindowsデバイスを再起動します。 |
| デバイスへの展開 | アプリ、通知、制限などをデバイスに送信します。 |
| デバイスの編集 | デバイスの設定を変更します。 |
| デバイスへの通知 | デバイスに通知を送信します。 |
| デバイスの追加/削除 | XenMobileからデバイスを追加または削除します。 |
| デバイスのインポート | ファイルからデバイスのグループをXenMobileにインポートします。 |
| デバイステーブルのエクスポート | デバイスページからデバイス情報を収集し、.csvファイルにエクスポートします。 |
| デバイスの取り消し | デバイスがXenMobileに接続することを禁止します。 |
| アプリロック | デバイス上のすべてのアプリへのアクセスを拒否します。Androidでは、ユーザーはXenMobileにログインできません。iOSでは、ユーザーはログインできますが、アプリにアクセスできません。 |
| アプリワイプ | Androidでは、このアクションによりユーザーのXenMobileアカウントが削除されます。iOSでは、このアクションにより、ユーザーがXenMobile機能にアクセスするために必要な暗号化キーが削除されます。 |
| ソフトウェアインベントリの表示 | デバイスにインストールされているソフトウェアを確認します。 |
| AirPlayミラーリングのリクエスト | AirPlayストリーミングの開始をリクエストします。 |
| AirPlayミラーリングの停止 | AirPlayストリーミングを停止します。 |
| 紛失モードの有効化 | 管理 > デバイスで、監視対象デバイスを紛失モードにして、ロック画面で監視対象デバイスをブロックできます。紛失モードでは、デバイスが紛失または盗難された場合にデバイスを特定することもできます。 |
| 紛失モードの無効化 | 管理 > デバイスで、紛失モードに設定されているデバイスの紛失モードを無効にできます。 |
| OSアップデートデバイス | デバイスにOSアップデート制御デバイスポリシーを展開できます。 |
| デバイスのシャットダウン | XenMobileコンソールからiOSデバイスをシャットダウンします。 |
| デバイスの再起動 | XenMobileコンソールからiOSデバイスを再起動します。 |
ローカルユーザーとグループ
管理者は、XenMobileの管理 > ユーザーページでローカルユーザーとローカルユーザーグループを管理します。
| ローカルユーザーの追加 |
| ローカルユーザーの削除 |
| ローカルユーザーの編集 |
| ローカルユーザーのインポート |
| ローカルユーザーのエクスポート |
| ローカルユーザーグループ |
| ローカルユーザーロックIDの取得 |
| ローカルユーザーロックの削除 |
登録
管理者は、登録招待の追加と削除、ユーザーへの通知の送信、および登録テーブルの .csv ファイルへのエクスポートを行うことができます。
| 登録の追加/削除 | ユーザーまたはユーザーグループへの登録招待を追加または削除します。 |
| ユーザーへの通知 | ユーザーまたはユーザーグループに登録招待を送信します。 |
| 登録招待テーブルのエクスポート | [登録] ページから登録情報を収集し、.csv ファイルにエクスポートします。 |
ポリシー
| ポリシーの追加/削除 | デバイスポリシーまたはアプリポリシーを追加または削除します。 |
| ポリシーの編集 | デバイスポリシーまたはアプリポリシーを変更します。 |
| ポリシーのアップロード | デバイスポリシーまたはアプリポリシーをアップロードします。 |
| ポリシーのクローン | デバイスポリシーまたはアプリポリシーをコピーします。 |
| ポリシーの無効化 | 既存のアプリポリシーを無効にします。 |
| ポリシーのエクスポート | [デバイスポリシー] ページからデバイスポリシー情報を収集し、.csv ファイルにエクスポートします。 |
| ポリシーの割り当て | 1つ以上のデリバリーグループにデバイスポリシーを割り当てます。 |
アプリ
管理者は、XenMobile の [構成] > [アプリ] ページでアプリを管理します。
| アプリストアまたはエンタープライズアプリの追加/削除 | パブリックアプリストアアプリまたはエンタープライズアプリ (MDX対応ではない) を追加または削除します。 |
| アプリストアまたはエンタープライズアプリの編集 | パブリックアプリストアアプリまたはエンタープライズアプリ (MDX対応ではない) を変更します。 |
| MDX、Web、およびSaaSアプリの追加/削除 | MDX対応アプリ、社内ネットワークからのアプリ (Webアプリ)、またはパブリックネットワークからのアプリ (SaaS) をXenMobileに追加または削除します。 |
| MDX、Web、およびSaaSアプリの編集 | MDX対応アプリ、社内ネットワークからのアプリ (Webアプリ)、またはパブリックネットワークからのアプリ (SaaS) をXenMobileで変更します。 |
| カテゴリの追加/削除 | XenMobile Store にアプリが表示されるカテゴリを追加または削除します。 |
| パブリック/エンタープライズアプリのデリバリーグループへの割り当て | パブリックアプリストアアプリまたはMDX対応アプリをデリバリーグループに割り当てて展開します。 |
| MDX/WebLink/SaaSアプリのデリバリーグループへの割り当て | MDX対応アプリ、シングルサインオンを必要としないアプリ (WebLink)、またはパブリックネットワークからのアプリ (SaaS) をデリバリーグループに割り当てます。 |
| アプリテーブルのエクスポート | [アプリ] ページからアプリ情報を収集し、.csv ファイルにエクスポートします。 |
注:
[コンソール機能] > [アプリ] を選択すると、APIエンドポイント
GET <https://XMS_IP:4443/controlpoint/rest/ad>は設計上、LDAP情報を返します。
メディア
パブリックアプリストアまたはボリューム購入ライセンスを通じて取得したメディアを管理します。
| アプリストアまたはエンタープライズブックの追加/削除 |
| パブリック/エンタープライズブックのデリバリーグループへの割り当て |
| アプリストアまたはエンタープライズブックの編集 |
アクション
| アクションの追加/削除 | トリガー (イベント、デバイスまたはユーザープロパティ、またはインストールされているアプリ名) と関連する応答によって定義されるアクションを追加または削除します。 |
| アクションの編集 | トリガー (イベント、デバイスまたはユーザープロパティ、またはインストールされているアプリ名) と関連する応答によって定義されるアクションを変更します。 |
| アクションのデリバリーグループへの割り当て | ユーザーデバイスに展開するために、アクションをデリバリーグループに割り当てます。 |
| アクションのエクスポート | [アクション] ページからアクション情報を収集し、.csv ファイルにエクスポートします。 |
デリバリーグループ
管理者は、[構成] > [デリバリーグループ] ページからデリバリーグループを管理します。
| デリバリーグループの追加/削除 | 指定されたユーザーとオプションのポリシー、アプリ、およびアクションを追加するデリバリーグループを作成または削除します。 |
| デリバリーグループの編集 | ユーザーとオプションのポリシー、アプリ、およびアクションを変更する既存のデリバリーグループを変更します。 |
| デリバリーグループの展開 | デリバリーグループを使用可能にします。 |
| デリバリーグループのエクスポート | [デリバリーグループ] ページからデリバリーグループ情報を収集し、.csv ファイルにエクスポートします。 |
登録プロファイル
登録プロファイルを管理します。
| 登録プロファイルの追加/削除 |
| 登録プロファイルの編集 |
| 登録プロファイルのデリバリーグループへの割り当て |
設定
管理者は、設定ページでさまざまな設定を構成します。
| RBAC | RBAC割り当て、役割の割り当て。重要:この権限は、管理者自身に権限を割り当てる機能を含め、管理者にフルアクセスを許可します。このアクセスは、Endpoint Managementシステム内のすべてを操作する権限を付与する意図のあるユーザーにのみ付与してください。 |
| LDAP | Active DirectoryなどのLDAP準拠ディレクトリを1つ以上管理し、グループ、ユーザーアカウント、および関連プロパティをインポートします。 |
| ライセンス | オンプレミスXenMobile Serverの場合。Citrix®ライセンスを管理します。 |
| 登録 | ユーザーおよびセルフヘルプポータルの登録セキュリティモードを有効にします。 |
| リリース管理 | 現在インストールされているリリースを表示します。以下が含まれます:リリース管理の更新 |
| 証明書 | APNS証明書、証明書SSLリスナーの編集 |
| 通知テンプレート | 自動アクション、登録、およびユーザーへの標準通知メッセージ配信で使用する通知テンプレートを作成します。 |
| ワークフロー | アプリ構成で使用するユーザーアカウントの作成、承認、削除を管理します。 |
| 資格情報プロバイダー | デバイス証明書の発行を許可された資格情報プロバイダーを1つ以上追加します。資格情報プロバイダーは、証明書の形式と、証明書の更新または失効の条件を制御します。 |
| PKIエンティティ | 公開鍵インフラストラクチャエンティティ(汎用、Microsoft証明書サービス、または裁量CA)を管理します。 |
| PKI接続のテスト | サーバーにアクセスできることを確認するには、設定 > PKIエンティティページで接続のテストボタンを使用します。 |
| クライアントプロパティ | パスコードの種類、強度、有効期限など、ユーザーデバイス上のさまざまなプロパティを管理します。 |
| クライアントサポート | ユーザーがサポートサービス(メール、電話、またはサポートチケットメール)に連絡する方法を設定します。 |
| クライアントブランディング | XenMobile Storeのカスタムストア名とデフォルトストアビューを作成します。XenMobile StoreまたはSecure Hubに表示されるカスタムロゴを追加します。 |
| キャリアSMSゲートウェイ | XenMobileがキャリアSMSゲートウェイを介して送信する通知を構成するために、キャリアSMSゲートウェイを設定します。 |
| 通知サーバー | ユーザーにメールを送信するためにSMTPゲートウェイサーバーを設定します。 |
| ActiveSyncゲートウェイ | ルールとプロパティを介して、ユーザーとデバイスへのユーザーアクセスを管理します。 |
| Apple Deployment Program | XenMobileにApple Deployment Programアカウントを追加します。 |
| Apple Configuratorデバイス登録 | XenMobileでApple Configurator設定を構成します。 |
| iOS/ボリューム購入設定 | Apple Volume Purchaseアカウントを追加します。 |
| モバイルサービスプロバイダー | モバイルサービスプロバイダーインターフェイスを使用して、BlackBerryおよびその他のExchange ActiveSyncデバイスを照会し、操作を発行します。 |
| Citrix Gateway | オンプレミスXenMobile Serverの場合。Citrix Gatewayを追加します。認証を有効にするかどうか、および認証のためにユーザー証明書をプッシュするかどうかを選択します。資格情報プロバイダーを選択します。 |
| ネットワークアクセスコントロール | デバイスが非準拠であり、ネットワークへのアクセスが拒否される条件を設定します。 |
| Samsung Knox | XenMobileがSamsung KnoxアテステーションサーバーREST APIを照会できるようにするかどうかを有効または無効にします。 |
| サーバープロパティ | サーバープロパティを追加または変更します。すべてのノードでXenMobileを再起動する必要があります。 |
| Syslog | オンプレミスXenMobile Serverの場合。サーバーのホスト名またはIPアドレスを使用して、ログファイルをシステムログ(syslog)サーバーに送信します。 |
| XenAppおよびXenDesktop® | Secure Hubを介してユーザーがVirtual Apps and Desktopsを追加できるようにします。 |
| Citrix Files | EnterpriseアカウントでXenMobileを使用する場合:ShareFileアカウントと管理者サービスアカウントに接続してユーザーアカウントを管理するための設定を構成します。既存のCitrix Filesドメインと管理者資格情報が必要です。ストレージゾーンコネクタでXenMobileを使用する場合:XenMobileをストレージゾーンコネクタで定義されたネットワーク共有およびSharePointの場所にポイントするように構成します。 |
| エクスペリエンス向上プログラム | オンプレミスXenMobile Serverの場合。匿名統計情報と使用状況情報をCitrixに送信するかどうかを選択します。 |
| Microsoft Azure | オンプレミスXenMobile Serverの場合。XenMobileをMicrosoft Azureと統合します。 |
| Android Enterprise | Android Enterpriseサーバー設定を構成します。 |
| IDプロバイダー(IdP) | IDプロバイダーを構成します。 |
| XenMobileツール | XenMobileツールページにアクセスします。 |
| SNMP構成 | XenMobile ServerノードでSNMPを有効にします。監視ユーザーを編集または追加し、トラップ通知が表示されるSNMPマネージャーを設定し、トラップ間隔と閾値を構成します。 |
サポート
管理者はさまざまなサポートタスクを実行できます。
| Citrix Gateway接続チェック | IPアドレスによるCitrix Gatewayのさまざまな接続チェックを実行します。ユーザー名とパスワードが必要です。 |
| XenMobile接続チェック | データベース、DNS、Google Planなど、選択したXenMobile機能の接続チェックを実行します。 |
| サポートバンドルの作成 | オンプレミスXenMobile Serverの場合。トラブルシューティングのためにCitrixサポートに送信するファイルを作成します。システム情報、ログ、データベース情報、コア情報、トレースファイル、およびXenMobileまたはCitrix Gatewayの最新の構成情報が含まれます。 |
| Citrix製品ドキュメント | 公開されているCitrix XenMobileドキュメントサイトにアクセスします。 |
| Citrix Knowledge Center | ナレッジベース記事を検索するためにCitrixサポートサイトにアクセスします。 |
| ログ | デバッグ、管理者監査、ユーザー監査のログファイルの詳細にアクセスして分析します。 |
| クラスター情報 | オンプレミスXenMobile Serverの場合。クラスター環境内の各ノードに関する情報にアクセスします。 |
| ガベージコレクション | オンプレミスXenMobile Serverの場合。使用されなくなったメモリオブジェクトに関する情報にアクセスします。 |
| Javaメモリプロパティ | オンプレミスXenMobile Serverの場合。Javaメモリ使用量、メモリ詳細、およびメモリプール詳細のスナップショットにアクセスします。 |
| マクロ | プロファイル、ポリシー、通知、または登録テンプレートのテキストフィールド内にユーザーまたはデバイスのプロパティデータを入力します。単一のポリシーを構成し、そのポリシーを大規模なユーザーベースに展開し、ターゲットとなる各ユーザーにユーザー固有の値を表示させます。 |
| PKI構成 | PKI構成情報をインポートおよびエクスポートします。 |
| APNS署名ユーティリティ | Apple Push Network署名(APNs)証明書のリクエストを送信するか、iOS用のSecure Mail APNs証明書をアップロードします。 |
| Citrix Insight Services | さまざまな問題の支援のために、ログをCitrix Insight Services(CIS)にアップロードします。 |
| Exchange ActiveSyncステータス用デバイスCitrix Gatewayコネクタ™ | デバイスのActiveSync IDに基づいて、Exchange ActiveSync用Citrix Gatewayコネクタに送信されたデバイスのステータスをXenMobileに照会します。 |
| 匿名化と非匿名化 | オンプレミスXenMobile Serverの場合。XenMobileでサポートバンドルを作成すると、機密性の高いユーザー、サーバー、およびネットワークデータはデフォルトで匿名化されます。この動作は、詳細設定の下のサポート > 匿名化と非匿名化で変更できます。 |
| ログ設定 | ログレベルをカスタマイズするか、カスタムロガーを追加します。 |
グループアクセスの制限
管理者ユーザーは、すべてのユーザーグループに権限を適用できます。
サポート役割
サポート役割を持つユーザーは、リモートサポートにアクセスできます。彼らの権限はデフォルトですべてのユーザーに適用され、この設定を編集することはできません。
ユーザー役割
ユーザー役割を持つユーザーは、XenMobileへの以下の制限されたアクセス権を持ちます。
承認されたアクセス
| セルフヘルプポータル | ユーザーはXenMobileのセルフヘルプポータルにのみアクセスできます。 |
コンソール機能
ユーザーはXenMobileコンソールへの以下の制限されたアクセス権を持ちます。
デバイス
| デバイスの完全ワイプ | デバイスからすべてのデータとアプリを消去します。デバイスにメモリカードがある場合はそれも含まれます。 |
| デバイスの部分ワイプ | デバイスからすべての企業データとアプリを消去し、個人データとアプリはそのまま残します。 |
| 位置情報の表示 | デバイスの位置を確認し、地理的制限を設定します。含まれるもの:デバイスの検索、デバイスの位置の確認、デバイスの追跡、デバイスの位置の経時的な追跡 |
| デバイスのロック | デバイスをリモートでロックし、使用できないようにします。 |
| デバイスのロック解除 | デバイスをリモートでロック解除し、使用できるようにします。 |
| コンテナのロック | デバイス上の企業コンテナをリモートでロックします。 |
| コンテナのロック解除 | デバイス上の企業コンテナをリモートでロック解除します。 |
| コンテナパスワードのリセット | 企業コンテナのパスワードをリセットします。 |
| ASM DEP/アクティベーションロックのバイパスを有効にする | アクティベーションロックが有効になっている監視対象iOSデバイスにバイパスコードを保存します。デバイスを消去する必要がある場合は、このコードを使用してアクティベーションロックを自動的に解除します。 |
| デバイスを鳴らす | Windowsデバイスをリモートで最大音量で5分間鳴らします。 |
| デバイスの再起動 | Windowsデバイスを再起動します。 |
| ソフトウェアインベントリの表示 | デバイスにインストールされているソフトウェアを確認します。 |
登録
| 登録の追加/削除 | ユーザーまたはユーザーグループへの登録招待を追加または削除します。 |
| ユーザーへの通知 | ユーザーまたはユーザーグループに登録招待を送信します。 |
グループアクセス制限
4つのデフォルトロールすべてにおいて、この権限はデフォルトで設定されており、すべてのユーザーグループに適用できます。このロールは編集できません。
RBACによるロール設定
XenMobileのロールベースアクセス制御 (RBAC) 機能を使用すると、事前定義されたロール、つまり一連の権限をユーザーやグループに割り当てることができます。これらの権限は、ユーザーがシステム機能にアクセスできるレベルを制御します。
XenMobileは、システム機能へのアクセスを論理的に分離するために、4つのデフォルトユーザーロールを実装しています。
- 管理者: 完全なシステムアクセスを許可します。
- サポート: リモートサポートへのアクセスを許可します。
- ユーザー: デバイスを登録し、セルフヘルプポータルにアクセスできるユーザーが使用します。
デフォルトロールをカスタマイズしてユーザーロールを作成するためのテンプレートとして使用することもできます。デフォルトロールで定義されている機能を超えて、特定のシステム機能にアクセスするためのロール権限を割り当てることができます。
ロールは、ローカルユーザー(ユーザーレベル)またはActive Directoryグループ(そのグループ内のすべてのユーザーが同じ権限を持つ)に割り当てることができます。ユーザーが複数のActive Directoryグループに属している場合、すべての権限がマージされ、そのユーザーの権限が定義されます。たとえば、ADGroupAのユーザーがマネージャーのデバイスを検索でき、ADGroupBのユーザーが従業員のデバイスをワイプできるとします。この場合、両方のグループに属するユーザーは、マネージャーと従業員の両方のデバイスを検索およびワイプできます。
注:
ローカルユーザーには1つのロールのみが割り当てられる場合があります。
XenMobileのRBAC機能を使用して、次のことができます。
- ロールの作成
- ロールへのグループ追加
- ロールへのローカルユーザーの関連付け
-
XenMobileコンソールで、設定 > ロールベースアクセス制御に移動します。ロールベースアクセス制御ページが表示され、4つのデフォルトユーザーロールと、以前に追加したロールが表示されます。
ロールの横にあるプラス記号 (+) をクリックすると、次の図に示すように、そのロールのすべての権限が表示されるようにロールが展開されます。
-
新しいユーザーロールを追加するには、追加をクリックします。ロールを編集するには、既存のロールの右側にあるペンアイコンをクリックします。ロールを削除するには、ロールの右側にあるゴミ箱アイコンをクリックします。デフォルトのユーザーロールは削除できません。
- 追加またはペンアイコンをクリックすると、ロールの追加またはロールの編集ページが表示されます。
- ゴミ箱アイコンをクリックすると、確認ダイアログが表示されます。選択したロールを削除するには、削除をクリックします。
-
ユーザーロールを作成または編集するには、次の情報を入力します。
- RBAC名: 新しいユーザーロールのわかりやすい名前を入力します。既存のロールの名前は変更できません。
- RBACテンプレート: オプションで、新しいロールの開始点としてテンプレートをクリックします。既存のロールを編集している場合は、テンプレートを選択できません。
RBACテンプレートはデフォルトのユーザーロールです。これらは、そのロールに関連付けられたユーザーが持つシステム機能へのアクセスを定義します。RBACテンプレートを選択すると、承認済みアクセスおよびコンソール機能フィールドで、そのロールに関連付けられたすべての権限を確認できます。テンプレートの使用はオプションです。承認済みアクセスおよびコンソール機能フィールドで、ロールに割り当てるオプションを直接選択できます。
-
選択したRBACテンプレートフィールドの近くにある適用をクリックして、承認済みアクセスとコンソール機能に事前定義されたアクセス権限と機能権限を設定します。
-
承認済みアクセスとコンソール機能のチェックボックスを選択またはクリアして、役割をカスタマイズします。
コンソール機能の横にある三角形をクリックすると、その機能に固有の権限が表示され、選択またはクリアできます。トップレベルのチェックボックスをクリックすると、そのコンソール領域へのアクセスが禁止されます。トップレベルの下にある個々のオプションを選択すると、それらのオプションが有効になります。たとえば、次の図では、役割に割り当てられたユーザーに対してデバイスの完全ワイプと制限のクリアオプションは表示されません。チェックされたオプションは表示されます。
-
権限の適用: 管理者が管理できるグループを制限するために、1つ以上のユーザーグループを選択します。特定のユーザーグループへをクリックすると、利用可能なすべてのグループのリストが表示され、そこから1つ以上のグループを選択できます。
たとえば、RBAC管理者がActiveDirectoryおよびMSPユーザーグループに対する権限を持っている場合:
- 管理者は、ActiveDirectoryグループ、MSPグループ、またはその両方のグループに属するユーザーの情報のみにアクセスできます。
- 管理者は、その他のローカルユーザーまたはADユーザーを表示できません。管理者は、それらのグループのいずれかの子グループのメンバーであるユーザーを表示できます。
- 管理者は、次の宛先に招待を送信できます。
- 権限グループとその子グループ
- 権限グループとその子グループのメンバーであるユーザー
-
次へをクリックします。割り当てページが表示されます。
-
役割をユーザーグループに割り当てるには、次の情報を入力します。
- ドメインの選択: ドロップダウンリストからドメインをクリックします。
- ユーザーグループを含める: [検索] をクリックして利用可能なすべてのグループのリストを表示するか、グループ名の全部または一部を入力して、その名前のグループのみにリストを制限します。
- 表示されるリストで、役割を割り当てるユーザーグループを選択します。ユーザーグループを選択すると、そのグループが選択されたユーザーグループリストに表示されます。
注記:
選択されたユーザーグループリストからユーザーグループを削除するには、ユーザーグループ名の横にあるXをクリックします。
-
保存をクリックします。