RBACを使用した役割の構成

定義済みの役割ベースのアクセス制御(Role-Based Access Control:RBAC)の各役割には、一定のアクセス権と機能権限が関連付けられています。このトピックでは、これらの権限で実行できる内容について説明します。組み込みの役割ごとのデフォルト権限に関する完全な一覧は、Role-Based Access Control Defaultsからダウンロードしてください。

権限を適用することで、RBACの役割が管理する権限があるユーザーグループを定義します。デフォルトの管理者は、適用された権限設定を変更できません。デフォルトでは、適用された権限はすべてのユーザーグループに適用されます。

割り当てを実行して、RBACの役割をグループに割り当てて、そのユーザーグループがRBACの管理者権限を持つようにできます。

Adminの役割

事前定義済みのAdminの役割を持つユーザーがアクセスできる、またはアクセスできないEndpoint Managementの機能を以下に示します。デフォルトでは、[承認済みアクセス](Self Help Portalを除く)、[コンソールの機能]、および [適用権限] が有効になります。

管理者用の承認済みアクセス

   
管理者のコンソールアクセス 管理者はEndpoint Managementコンソールのすべての機能にアクセスできます。
Self-Help Portalへのアクセス デフォルトでは、管理者はSelf-Help Portalにアクセスできません。
共有デバイスの登録機能 デフォルトでは、管理者は共有デバイスの登録機能にアクセスできません。これは、共有デバイスを登録するための権限が必要なユーザーのための機能です。
パブリックAPIアクセス 管理者はパブリックAPIにアクセスして、Endpoint Managementコンソールで利用可能な処理をプログラム的に実行できます。これらの処理には証明書、アプリ、デバイス、デリバリーグループ、ローカルユーザーの管理が含まれます。
COSUデバイスの登録機能 デフォルトでは、管理者にCOSUデバイスをEndpoint Management展開へ登録する権限はありません。これは、COSUデバイスを登録するための権限が必要なユーザーのための機能です。

管理者用のコンソール機能

管理者はEndpoint Managementコンソールに無制限にアクセスできます。

   
ダッシュボード ダッシュボードは、管理者がEndpoint Managementコンソールにログオンした後に表示される最初のページです。ダッシュボードには通知とデバイスに関する基本情報が表示されます。
報告 [分析]>[レポート] ページでは事前定義されたレポートが提供され、アプリおよびデバイスの展開を分析できます。
デバイス [管理]>[デバイス] ページは、管理者がユーザーデバイスを管理するためのページです。ページに個々のデバイスを追加したり、デバイスプロビジョニングファイルをインポートして一度に複数のデバイスを追加したりすることができます。
ローカルユーザーおよびグループ [管理]>[ユーザー] ページでは、ローカルユーザーおよびローカルユーザーグループの追加、編集、または削除を行うことができます。
登録 [管理]>[登録招待] ページは、管理者がユーザーを招待してデバイスをEndpoint Managementに登録する方法を管理するためのページです。
ポリシー [構成]>[デバイスポリシー] ページでは、管理者がVPNやWi-Fiのようなデバイスポリシーを管理します。
アプリ [構成]>[アプリ] ページは、管理者が、ユーザーがデバイスにインストールできる各種アプリを管理するためのページです。
メディア [構成]>[メディア] ページは、管理者が、ユーザーがデバイスにインストールできる各種メディアを管理するためのページです。
スマートな操作 [構成]>[アクション] ページは、管理者が、イベントをトリガーする応答を管理するためのページです。
登録プロファイル [構成]>[登録プロファイル] ページは、管理者が登録プロファイル(モード)を構成して、ユーザーがデバイスを登録できるようにするためのページです。
デリバリーグループ [構成]>[デリバリーグループ] ページは、管理者がデリバリーグループ、およびデリバリーグループに関連付けられているリソースを管理するためのページです。
設定 [設定] ページは、管理者がシステムの設定(クライアントおよびサーバープロパティ、証明書、資格情報プロバイダーなど)を管理するためのページです。
サポート [トラブルシューティングとサポート] ページは、管理者がトラブルシューティングアクティビティ(診断の実行やログの生成など)を実行するためのページです。

管理者用のデバイス制限

管理者はコンソール全体のデバイス機能にアクセスするため、デバイスの制限を設定したり、デバイスへの通知を設定して送信したり、デバイス上のアプリを管理したりします。

   
デバイスの完全なワイプ デバイスからすべてのデータやアプリを消去します。デバイスに設置されている場合、メモリカードもその対象となります。
制限の削除 1つまたは複数のデバイスの制限を削除します。
デバイスの選択的なワイプ 個人のデータとアプリは残して、企業のすべてのデータとアプリをデバイスから消去します。
場所の表示 デバイスの場所を表示し、デバイスの地理的制約を設定します。関連機能:デバイスの検索、デバイスの追跡
デバイスのロック ユーザーがデバイスを使用できないように、リモートでデバイスをロックします。
デバイスのロック解除 ユーザーがデバイスを使用できるように、リモートでデバイスのロックを解除します。
コンテナーのロック リモートでデバイス上の企業のコンテナーをロックします。
コンテナーのロック解除 リモートでデバイス上の企業のコンテナーのロックを解除します。
コンテナーのパスワードのリセット 企業のコンテナーのパスワードをリセットします。
ASM DEP/アクティベーションロックのバイパスを有効化 アクティベーションロックが有効な場合、監視対象のiOSデバイスにバイパスコードを格納します。デバイスを消去するには、このコードを使用するとアクティベーションロックが自動的に解除されます。
常駐ユーザーの取得 現在のデバイスで有効なアカウントを持つユーザーの一覧を表示します。この操作により、デバイスとEndpoint Managementコンソール間で強制的に同期が行われます。
常駐ユーザーのログアウト 現在のユーザーを強制的にログアウトします。
常駐ユーザーの削除 指定したユーザーの現在のセッションを削除します。ユーザーは再びサインインできます。
デバイスの警報 リモートで、Windowsのデバイスの警報をフルボリュームで5分間鳴らします。
デバイスの再起動 Endpoint ManagementコンソールからWindowsデバイスを再起動します。
デバイスへの展開 デバイスにアプリ、通知、制限、その他のリソースを送信します。
デバイスの編集 デバイスの設定を変更します。
デバイスへの通知 デバイスに通知を送信します。
デバイスの追加/削除 Endpoint Managementのデバイスの追加または削除を行います。
デバイスのインポート ファイルからEndpoint Managementにデバイスのグループをインポートします。
デバイステーブルのエクスポート [デバイス]ページからデバイス情報を収集し、.csvファイルにエクスポートします。
デバイスの廃止 デバイスからEndpoint Managementへの接続を禁止します。
アプリのロック デバイスのすべてのアプリへのアクセスを拒否します。Androidでは、この制限により、ユーザーがEndpoint Managementにサインインできなくなります。iOSでは、ユーザーはサインインできますが、アプリにアクセスすることはできません。
アプリのワイプ Androidでは、この制限により、ユーザーのEndpoint Managementアカウントが削除されます。iOSでは、この制限により、ユーザーがEndpoint Management機能にアクセスするために必要な暗号キーが削除されます。
ソフトウェアインベントリの表示 デバイスにインストールされているソフトウェアを表示します。
AirPlayミラーリングの要求 AirPlayストリーミング開始の要求
AirPlayミラーリングの停止 AirPlayストリーミングの停止
紛失モードを有効化 [管理]>[デバイス] ページで、監視対象デバイスを紛失モードにして、ロック画面で監視対象デバイスへのアクセスをブロックできます。デバイスを紛失した、または盗難にあった場合、この操作の後にデバイスの位置を特定します。
紛失モードを無効化 [管理]>[デバイス] ページで、紛失モードが設定されたデバイスの紛失モードを無効化できます。
OS更新デバイス OSアップデートデバイスポリシーをデバイスに展開できます。
デバイスのシャットダウン Endpoint ManagementコンソールからiOSデバイスをシャットダウンします。
デバイスの再起動 Endpoint ManagementコンソールからiOSデバイスを再起動します。
デバイス登録証明書の書き換え デバイスCA証明書を書き換えます。

ローカルユーザーおよびグループ

管理者は、Endpoint Managementの [管理]>[ユーザー] ページで、ローカルユーザーおよびローカルユーザーグループを管理します。

 
ローカルユーザーの追加/削除
ローカルユーザーの編集
ローカルユーザーのインポート
ローカルユーザーのエクスポート
ローカルユーザーグループ

登録

管理者は登録招待の追加および削除、ユーザーへの通知の送信、.csvファイルへの登録テーブルのエクスポートを行うことができます。

   
登録の追加/削除 ユーザーまたはユーザーグループへの登録招待状を追加または削除します。
ユーザーへの通知 ユーザーまたはユーザーグループに登録招待状を送信します。
登録招待状テーブルのエクスポート [登録]ページから登録情報を収集し、.csvファイルにエクスポートします。

ポリシー

   
ポリシーの追加/削除 デバイスまたはアプリポリシーを追加または削除します。
ポリシーの編集 デバイスまたはアプリポリシーを変更します。
ポリシーの更新 デバイスまたはアプリポリシーをアップロードします。
ポリシーのコピー デバイスまたはアプリポリシーをコピーします。
ポリシーの無効化 既存のアプリポリシーを無効にします。
ポリシーのエクスポート [デバイスポリシー]ページからデバイスポリシーの情報を収集し、.csvファイルにエクスポートします。
ポリシーの割り当て デバイスポリシーを1つまたは複数のグループに割り当てます。

アプリ

管理者はEndpoint Managementの [構成 ]>[アプリ] ページで各種アプリを管理します。

   
アプリストアまたはエンタープライズアプリの追加/削除 パブリックアプリストアのアプリ、またはMDXでラップされていないアプリを追加または削除します。
アプリストアまたはエンタープライズアプリの編集 パブリックアプリストアのアプリ、またはMDXでラップされていないアプリを編集します。
MDX、Web、SaaSアプリの追加/削除 アプリを追加または削除します。Webアプリは、内部ネットワーク経由のアプリです。SaaSアプリは、パブリックネットワーク(SaaS)経由のアプリです。
MDX、Web、SaaSアプリの編集 アプリを編集します。
カテゴリの追加/削除 アプリストアでアプリの表示に使用できるカテゴリを追加または削除します。
デリバリーグループへのパブリック/エンタープライズアプリの割り当て パブリックアプリストアのアプリ、またはMDXでラップされていないアプリを、展開のためにデリバリーグループに割り当てます。
デリバリーグループへのMDX/WebLink/Saasアプリの割り当て ユーザーデバイスへの展開のために、デリバリーグループにアプリを割り当てます。WebLinkアプリはシングルサインオンを必要としないアプリです。
アプリテーブルのエクスポート [アプリ]ページからアプリ情報を収集し、.csvファイルにエクスポートします。

メディア

パブリックアプリストアから、またはVPPライセンスを介して取得したメディアを管理します。

 
アプリストアまたはエンタープライズブックの追加/削除
パブリック/エンタープライズブックのデリバリーグループへの割り当て
アプリストアまたはエンタープライズブックの編集

スマートな操作

   
スマートな操作の追加/削除 トリガー(イベント/デバイス/ユーザープロパティ、またはインストールされたアプリの名前)とそれに関連する応答によって定義される操作を追加または削除します。
スマートな操作の編集 トリガー(イベント/デバイス/ユーザープロパティ、またはインストールされたアプリの名前)とそれに関連する応答によって定義される操作を変更します。
デリバリーグループへのスマートな操作の割り当て ユーザーデバイスへの展開のために、デリバリーグループに操作を割り当てます。
スマートな操作のエクスポート [アクション]ページから操作の情報を収集し、.csvファイルにエクスポートします。

デリバリーグループ

管理者は [構成]>[デリバリーグループ] ページからデリバリーグループを管理します。

   
デリバリーグループの追加/削除 デリバリーグループを作成または削除します。このグループには、指定のユーザーおよびオプションのポリシー、アプリ、操作が追加されています。
デリバリーグループの編集 既存のデリバリーグループを変更します。このグループでは、ユーザーおよびオプションのポリシー、アプリ、操作の変更が行われます。
デリバリーグループの展開 デリバリーグループが使用できる状態にします。
デリバリーグループのエクスポート [デリバリーグループ]ページからデリバリーグループの情報を収集し、.csvファイルにエクスポートします。

登録プロファイル

登録プロファイルを管理します。

 
登録プロファイルの追加/削除
登録プロファイルの編集
登録プロファイルのデリバリー グループへの割り当て

管理者用の設定

管理者は [設定] ページで各種設定を構成します。

   
RBAC RBACの割り当て
LDAP グループ、ユーザーアカウント、関連のプロパティをインポートするActive Directoryのような1つまたは複数のLDAP準拠のディレクトリを管理します。
登録 ユーザーとSelf-Help Portalの登録モードを有効にします。
リリース管理 現在インストールされてるリリースの情報を表示します。含まれるもの:リリース管理の更新
証明書 APNS証明書の編集
通知テンプレート 自動化された操作、登録、およびユーザーに送信される標準通知メッセージで使用する通知テンプレートを作成します。
ワークフロー アプリの構成で使用するユーザーアカウントの作成、承認、削除を管理します。
資格情報プロバイダー デバイスの証明書の発行を許可されている1つまたは複数の資格情報プロバイダーを追加します。資格情報プロバイダーは、証明書の形式および証明書の更新または失効の条件を管理します。
PKIエンティティ 公開キーのインフラストラクチャエンティティ(通常はMicrosoft Certificate Services、または随意CA)を管理します。
PKI接続のテスト [設定]>[PKIエンティティ] ページの[接続のテスト]ボタンを使用して、サーバーがアクセス可能であることを確認します。
クライアントのプロパティ パスコードの種類、強度、有効期限など、ユーザーデバイスの各種プロパティを管理します。
クライアントサポート ユーザーがサポートサービスに連絡する方法を設定します(メール、電話、またはサポートチケットメール)。
クライアントブランド化 アプリストアのカスタムストア名とデフォルトストア表示を作成します。アプリストアやSecure Hubに表示されるカスタムロゴを追加します。
キャリアSMSゲートウェイ キャリアSMSゲートウェイを設定して、電話会社のSMSゲートウェイ経由でEndpoint Managementから送信される通知を構成します。
通知サーバー メールをユーザーに送信するためのSMTPゲートウェイサーバーを設定します。
ActiveSyncゲートウェイ 規則およびプロパティを通してユーザーおよびデバイスへのユーザーアクセスを管理します。
Google Play資格情報 Google Playへのアクセスが可能なユーザー名、パスワード、デバイスIDを設定します。
Google Chrome G Suiteアカウントと通信できるようにEndpoint Managementを構成します。
Appleデバイス登録プログラム(DEP) Endpoint ManagementにApple DEPアカウントを追加します。
Apple Configuratorデバイス登録 Endpoint ManagementでApple Configurator設定を構成します。
iOS/VPPの設定 Apple社のVolume Purchase Programのアカウントを追加します。
Mobile Service Provider Mobile Service Providerインターフェイスを使用して、BlackBerryやそのほかのExchange ActiveSyncデバイスに対してクエリを実行したり、操作を発行したりします。
NetScaler Gateway Configure NetScaler Gateway (now renamed Citrix Gateway) settings in Endpoint Management.
ネットワークアクセス制御 デバイスが準拠していないため、ネットワークへのアクセスを拒否されたと判断するための条件を設定します。
Samsung KNOX Endpoint ManagementによるSamsung KNOX認証サーバーREST APIに対するクエリの実行を有効または無効にします。
サーバープロパティ サーバープロパティを追加または変更します。すべてのノードでEndpoint Managementの再起動が必要になります。
XenAppおよびXenDesktop Citrix Workspaceを通してユーザーがCitrix Virtual Apps and Desktops(XenAppおよびXenDesktopの新名称)を追加できるようにします。
Citrix Files Endpoint ManagementとCitrix Files Enterpriseを組み合わせる場合:Citrix Filesアカウントと、ユーザーアカウント管理用の管理者サービスアカウントに接続するための設定を構成します。既存のCitrix Filesドメインと管理者の資格情報が必要です。Endpoint ManagementとStorageZoneコネクタを組み合わせる場合:StorageZoneコネクタで定義されたネットワーク共有とSharePointの場所を指すようにEndpoint Managementを構成します。
Android Enterprise Android Enterpriseサーバー設定を構成します。
IDプロバイダー(IdP) IDプロバイダーを構成します。
派生資格情報 iOSデバイス登録のための派生資格情報を構成します。
ビジネス向けMicrosoftストア Endpoint Managementでビジネス向けMicrosoftストア設定を構成します。
Endpoint Managementツール [Endpoint Managementツール]ページにアクセスします。
Windows一括登録 Windows一括登録設定を構成します。

サポート

管理者は各種サポートタスクを実行できます。

   
NetScaler Gatewayの接続確認 IPアドレスによるNetScaler Gatewayの各種接続確認を実行します。ユーザー名とパスワードが必要です。
Endpoint Management接続性チェック 選択したEndpoint Managementの機能(データベース、DNS、Google Planなど)の接続確認を実行します。
Citrix製品ドキュメント Citrix Endpoint Managementドキュメントの公開サイトにアクセスします。
Citrix Knowledge Center ナレッジベースの文書を検索するためにCitrix Supportサイトにアクセスします。
ログ ログファイルを表示およびダウンロードします。
マクロ プロファイル、ポリシー、通知、または登録テンプレートのテキストフィールド内にユーザーまたはデバイスのプロパティデータを設定します。単一のポリシーを構成して大きなユーザーベースに展開し、各対象ユーザーに固有の値を表示させることができます。
PKI構成 PKI構成情報をインポートおよびエクスポートします。
APNS署名ユーティリティ Apple社のPush Network signing(APNs)証明書の要求を提出するか、iOS用のSecure Mail APN証明書をアップロードします。
Citrix Insight Services さまざまな問題に対する支援が得られるように、Citrix Insight Services(CIS)にログをアップロードします。
Citrix Gatewayコネクタ:Exchange ActiveSync用のデバイスの状態 Exchange ActiveSync用コネクタに送信された時点のデバイスの状態について、デバイスのActiveSync IDに基づいてEndpoint Managementに対するクエリを実行します。

グループアクセスの制限

Adminユーザーはすべてのユーザーグループに権限を適用することができます。

Device Provisioningの役割

重要:

Device Provisioningの役割は、Windows CEデバイスにのみ適用されます。

事前定義されたDevice Provisioningの役割が割り当てられたユーザーは、コンソール機能へのアクセスが制限されています。デフォルトでは、この権限はすべてのユーザーグループに設定され、この設定を変更することはできません。

デバイスプロビジョニングのコンソール機能

Endpoint Managementコンソールに対して、デバイスプロビジョニングユーザーは以下の制限付きアクセスが行えます。デフォルトでは、以下の機能がそれぞれ有効になっています。

デバイスの制限

   
デバイスの編集 デバイスの設定を変更します。
デバイスの追加/削除 Endpoint Managementのデバイスの追加または削除を行います。

デバイスプロビジョニングの設定

デバイスプロビジョニングのユーザーは [設定] ページにアクセスできますが、機能を構成する権限はありません。

Userの役割

ユーザー役割を持つユーザーは、Endpoint Managementに対して以下の制限付きアクセスが行えます。

ユーザー用の承認済みアクセス

   
Self-Help Portal ユーザーはEndpoint ManagementのSelf Help Portalにのみアクセスできます。

ユーザー用のコンソール機能

Endpoint Managementコンソールに対して、ユーザーは以下の制限付きアクセスが行えます。

ユーザー用のデバイス制限アクセス

   
デバイスの完全なワイプ デバイスからすべてのデータやアプリを消去します。デバイスに設置されている場合、メモリカードもその対象となります。
デバイスの選択的なワイプ 個人のデータとアプリは残して、企業のすべてのデータとアプリをデバイスから消去します。
場所の表示 デバイスの場所を表示し、デバイスの地理的制約を設定します。含まれるもの:デバイスの検索、デバイスの場所の表示、デバイスの追跡、時間の経過によるデバイスの位置の追跡。
デバイスのロック デバイスが使用できないように、リモートでロックします。
デバイスのロック解除 デバイスが使用できるように、リモートでロックを解除します。
コンテナーのロック リモートでデバイス上の企業のコンテナーをロックします。
コンテナーのロック解除 リモートでデバイス上の企業のコンテナーのロックを解除します。
コンテナーのパスワードのリセット 企業のコンテナーのパスワードをリセットします。
ASM DEP/アクティベーションロックのバイパスを有効化 アクティベーションロックが有効な場合、監視対象のiOSデバイスにバイパスコードを格納します。デバイスを消去するには、このコードを使用するとアクティベーションロックが自動的に解除されます。
常駐ユーザーの取得 現在のデバイスで有効なアカウントを持つユーザーの一覧を表示します。この操作により、デバイスとEndpoint Managementコンソール間で強制的に同期が行われます。
常駐ユーザーのログアウト 現在のユーザーを強制的にログアウトします。
常駐ユーザーの削除 指定したユーザーの現在のセッションを削除します。ユーザーは再びサインインできます。
デバイスの警報 リモートで、Windowsのデバイスの警報をフルボリュームで5分間鳴らします。
デバイスの再起動 Windowsデバイスを再起動します。
アプリのロック デバイスのすべてのアプリへのアクセスを拒否します。Androidでは、ユーザーがEndpoint Managementにサインインできなくなります。iOSでは、ユーザーはサインインできますが、アプリにアクセスすることはできません。
アプリのワイプ Androidでは、この制限により、ユーザーのEndpoint Managementアカウントが削除されます。iOSでは、この制限により、ユーザーがEndpoint Management機能にアクセスするために必要な暗号キーが削除されます。
ソフトウェアインベントリの表示 デバイスにインストールされているソフトウェアを表示します。

ユーザー用の登録制限

   
登録の追加/削除 ユーザーまたはユーザーグループへの登録招待状を追加または削除します。
ユーザーへの通知 ユーザーまたはユーザーグループに登録招待状を送信します。

すべての役割用のグループアクセスの制限

4つデフォルトの役割のすべてで、この権限がデフォルトで設定され、すべてのユーザーグループに適用できます。役割を編集することはできません。

RBAC機能を使用するには

Endpoint Managementの役割ベースのアクセス制御(Role-Based Access Control:RBAC)機能では、権限の定義済みセットである役割をユーザーとグループに割り当てることができます。これらの権限によって、システム機能に対するユーザーのアクセスレベルを制御します。

Endpoint Managementには、システムの機能へのアクセスを論理的に区分するために、4つのデフォルトのユーザー役割が実装されています:

  • 管理者: システムへのフルアクセスが許可されます。
  • デバイスプロビジョニング: Windows CEデバイスで基本的なデバイス管理へのアクセスが許可されます。
  • ユーザー: デバイスを登録でき、Self Help Portalにアクセスできるユーザーが使用します。

また、ユーザーの役割を作成するためにカスタマイズするテンプレートとしてデフォルトの役割を使用することもできます。これらのユーザーの役割には、追加のシステム機能にアクセスする権限を割り当てることができます。

役割をローカルユーザー(ユーザーレベルで)や、Active Directoryグループ(グループ内のすべてのユーザーが同じ権限を持つ)に割り当てることができます。ユーザーが複数のActive Directoryグループに属している場合は、すべての権限が統合されてそのユーザーの権限が定義されます。たとえば、ADGroupAのユーザーがマネージャーのデバイスを検索でき、ADGroupBのユーザーが従業員のデバイスをワイプできる場合、両方のグループに属するユーザーは、マネージャーおよび従業員のデバイスを検索し、ワイプすることができます。

注:

ローカルユーザーに割り当てることができる役割は1つだけです。

Endpoint ManagementのRBAC機能を使用すると、次のことを実行できます:

  • 役割を作成する。
  • 役割にグループを追加する。
  • ローカルユーザーを役割に関連付ける。
  1. Endpoint Managementコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [役割ベースのアクセス制御] をクリックします。[役割ベースのアクセス制御] ページが開き、4つのデフォルトのユーザー役割と、以前に追加した役割が表示されます。

    役割の横のプラス記号(+)をクリックすると、その役割のすべての権限が表示されます。

    Endpoint Management RBAC構成の画像

  3. [追加] をクリックしてユーザーの役割を追加します。既存の役割の右側にあるペンアイコンをクリックして役割を編集します。または、役割を削除するために定義した役割の右側にあるゴミ箱アイコンをクリックします。デフォルトのユーザー役割を削除することはできません。

    • [追加] またはペンアイコンをクリックすると、[役割の追加] ページまたは [役割の編集] ページが開きます。
    • ごみ箱アイコンをクリックすると、確認ダイアログボックスが開きます。[削除] をクリックすると、選択した役割が削除されます。
  4. ユーザー役割を作成するか編集するには、次の情報を入力します。

    • RBAC名: 新しいユーザー役割の説明的な名前を入力します。既存の役割の名前は変更できません。
    • RBACテンプレート: 任意で、新しい役割の開始点とするテンプレートを選択します。既存の役割を編集する場合、テンプレートは選択できません。

    RBACテンプレートは、デフォルトのユーザー役割です。RBACテンプレートによって、その役割に関連付けられているユーザーがシステムの機能に対して持つアクセス権を定義します。RBACテンプレートを選択すると、[承認済みアクセス] および [コンソールの機能] フィールドで、その役割に関連付けられているすべての権限を参照できます。テンプレートの使用はオプションです。[承認済みアクセス] および [コンソールの機能] フィールドで、役割に割り当てるオプションを直接選択することができます。

  5. [RBACテンプレート] フィールドの右にある [適用] をクリックして、[承認済みアクセス] および [コンソールの機能] にあるチェックボックスに反映させます。Endpoint Managementはこれらのフィールドに、選択したテンプレートで定義されているアクセス権と機能権限を設定します。

    Endpoint Management RBAC構成の画像

  6. [承認済みアクセス] および [コンソールの機能] のチェックボックスをオンまたはオフにして、役割をカスタマイズします。

    [コンソールの機能]の横にある三角をクリックすると、その機能に固有の権限が表示され、オンまたはオフを選択できます。最上位レベルのチェックボックスをクリックすると、そのコンソール部分へのアクセスが禁止されます。個別のオプションを有効にするには、各オプションを選択します。

  7. 適用権限: 選択した権限を適用するグループを選択します。[特定のユーザーグループ] をクリックするとグループの一覧が開き、1つまたは複数のグループを選択できます。

    Endpoint Management RBAC構成の画像

  8. [次へ] をクリックします。[割り当て] ページが開きます。

    Endpoint Management RBAC構成の画像

  9. ユーザーグループに役割を割り当てるための次の情報を入力します。

    • ドメインを選択: 一覧から、ドメインを選択します。
    • ユーザーグループを含める: 使用可能なすべてのグループ一覧を表示するには、[検索] をクリックします。または、グループ名の一部または全部を入力して、その名前のグループのみに表示を限定できます。
    • 表示された一覧で、役割を割り当てるユーザーグループを選択します。ユーザーグループを選択すると、[選択したユーザーグループ] の一覧にグループが表示されます。

    Endpoint Management RBAC構成の画像

    注:

    [選択したユーザーグループ] の一覧からユーザーグループを削除するには、ユーザーグループ名の横にある[X]をクリックします。

  10. [保存] をクリックします。

RBACを使用した役割の構成