Product Documentation

RBACを使用した役割の構成

Apr 27, 2017

定義済みの役割ベースのアクセス制御(Role-Based Access Control:RBAC)の各役割には、一定のアクセス権と機能権限が関連付けられています。このトピックでは、これらの権限で実行できる内容について説明します。組み込みの役割ごとのデフォルト権限に関する完全な一覧は、Role-Based Access Control Defaultsからダウンロードしてください。 

権限を適用することで、RBACの役割が管理する権限があるユーザーグループを定義します。デフォルトの管理者は、適用された権限設定を変更できません。適用された権限は、デフォルトですべてのユーザーに適用されます。

割り当てを実行して、RBACの役割をグループに割り当てて、そのユーザーグループがRBACの管理者権限を持つようにできます。

Adminの役割
Device Provisioningの役割
Supportの役割
ユーザーロール

RBACを使用した役割の構成

XenMobileの役割ベースのアクセス制御(Role-Based Access Control:RBAC)機能では、権限の定義済みセットである役割をユーザーとグループに割り当てることができます。これらの権限によって、システム機能に対するユーザーのアクセスレベルを制御します。

XenMobileには、システムの機能へのアクセスを論理的に区分するために、4つのデフォルトのユーザー役割が実装されています。

  • Administrator。システムへのフルアクセスが許可されます。
  • Device Provisioning。Windows CEデバイスで基本的なデバイス管理へのアクセスが許可されます。
  • Support。リモートサポートへのアクセスが許可されます。
  • User。デバイスを登録でき、Self Help Portalにアクセスできるユーザーが使用します。

デフォルトの役割をテンプレートとして使用することもできます。テンプレートをカスタマイズして、デフォルトの役割によって定義されている機能には含まれない特定のシステム機能にアクセスするための権限を持つ、新しいユーザーの役割を作成できます。

役割をローカルユーザーに(ユーザーレベルで)割り当てることや、Active Directoryグループに割り当てることができます(そのグループ内のすべてのユーザーが同じ権限を持ちます)。ユーザーが複数のActive Directoryグループに属している場合は、すべての権限が統合されてそのユーザーの権限が定義されます。たとえば、ADGroupAのユーザーがマネージャーのデバイスを検索でき、ADGroupBのユーザーが従業員のデバイスをワイプできる場合、両方のグループに属するユーザーは、マネージャーおよび従業員のデバイスを検索し、ワイプすることができます。

: ローカルユーザーに割り当てることができる役割は1つだけです。

XenMobileのRBAC機能を使用すると、次のことを実行できます。

  • 新しい役割を作成する。
  • 役割にグループを追加する。
  • ローカルユーザーを役割に関連付ける。

1. XenMobileコンソールで、右上の歯車アイコンをクリックします。[Settings]ページが開きます。

2.[Role-Based Access Control]をクリックします。[Role-Based Access Control]ページが開き、4つのデフォルトのユーザー役割と、以前に追加した役割が表示されます。

localized image

役割の横のプラス記号(+)をクリックすると、次の図のように役割が展開され、その役割のすべての権限が表示されます。

localized image

3.[Add]をクリックして新しいユーザー役割を追加したり、既存の役割の右にあるペンアイコンをクリックして役割を編集したり、以前定義した役割の右にあるごみ箱アイコンをクリックして役割を削除したりします。デフォルトのユーザー役割を削除することはできません。

  • [Add]またはペンアイコンをクリックすると、[Add Role]ページまたは[Edit Role]ページが開きます。
  • ごみ箱アイコンをクリックすると、確認ダイアログボックスが開きます。[Delete]をクリックすると、選択した役割が削除されます。

4. 新しいユーザー役割を作成するか、または既存のユーザー役割を編集するには、次の情報を入力します。

  • RBAC name: 新しいユーザー役割の説明的な名前を入力します。既存の役割の名前は変更できません。
  • RBAC template: 任意で、新しい役割の開始点とするテンプレートを選択します。既存の役割を編集する場合、テンプレートは選択できません。

RBACテンプレートは、デフォルトのユーザー役割です。RBACテンプレートによって、その役割に関連付けられているユーザーがシステムの機能に対して持つアクセス権を定義します。RBACテンプレートを選択すると、[Authorized Access]および[Console Features]フィールドで、その役割に関連付けられているすべての権限を参照できます。テンプレートの使用はオプションです。[Authorized Access]および[Console Features]フィールドで、役割に割り当てるオプションを直接選択することができます。

localized image

5.[RBAC template]フィールドの右にある[Apply]をクリックして、選択したテンプレートで定義されているアクセス権と機能権限を、[Authorized access]および[Console features]にあるチェックボックスに反映させます。

localized image

6.[Authorized access]および[Console Features]にあるチェックボックスをオンまたはオフにして、役割をカスタマイズします。

[Console feature]の横にある三角をクリックすると、その機能に固有の権限が表示され、オンまたはオフを選択できます。最上位のチェックボックスをオンにすると、そのコンソール部分に対するアクセスを禁止できます。最上位レベルより下のオプションを有効にするには、それらのオプションを個別にオンにする必要があります。たとえば、次の図で、[Full Wipe device]オプションおよび[Clear Restrictions]オプションは、その役割を割り当てられたユーザーのコンソールには表示されません。一方で、チェックボックスがオンになっているオプションは表示されます。

localized image

7.Apply permissions: 選択した権限を適用するグループを選択します。[To specific user groups]をクリックするとグループの一覧が開き、1つまたは複数のグループを選択できます。

localized image

8.[Next]をクリックします。[Assignment]ページが開きます。

localized image

9. ユーザーグループに役割を割り当てるための次の情報を入力します。

  • Select domain: 一覧から、ドメインを選択します。
  • Include user groups: [Search]をクリックして使用可能なすべてのグループの一覧を表示するか、グループ名の全体または一部を入力してその名前を持つグループのみに一覧を絞り込みます。
  • 表示された一覧で、役割を割り当てるユーザーグループを選択します。ユーザーグループを選択すると、[Selected user groups]の一覧にグループが表示されます。
localized image

[Selected user groups]の一覧からユーザーグループを削除するには、ユーザーグループ名の横にある[X]をクリックします。

10.[Save]をクリックします。