ロールベース管理の概要

Ivanti® Endpoint Manager では、広範囲なロールベースの管理機能を使用してコンソール ユーザを管理できます。次のオプションを選択できます。

  • 粒度の高い機能ベースのグループ アクセス権を割り当て
  • ローカルまたは LDAP ユーザ グループによって複数のユーザに簡単にアクセス権を割り当て
  • 複数のコア サーバ全体でコンソール ユーザ構成を同期化

各ユーザの責任、実行を許可する管理タスク、および表示、アクセスや管理を許可するデバイスに基づいて役割を作成します。デバイスへのアクセスを、国、地域、州、市、または 1 つのオフィスや部門のような場所に制限できます。あるいは、特定のデバイス プラットフォーム、プロセッサ タイプ、他のデバイス ハードウェアまたはソフトウェア属性に制限することもできます。役割ベース管理を使用すると、作成する役割の数、ユーザに対する役割の割り当て、およびデバイス アクセスのスコープを自由に設定できます。たとえば、ソフトウェア配布マネージャの役割を持つ 1 人以上のユーザ、リモート コントロール操作の責任負うユーザ、レポートを実行するユーザなど、さまざまな役割を割り当てることができます。

多数のコンソール ユーザが存在しない場合や、現在のコンソール ユーザを制限しない場合は、役割ベースの管理を完全に省略して、ユーザをコア サーバのローカル LANDESK 管理者グループに追加できます。このグループのメンバーはコンソールへのフル アクセスがあり、すべてのデバイスを管理できます。デフォルトでは、エンドポイント マネージャ のインストールで使用するアカウントは、LANDESK Administrators グループにあります。

役割ベース管理は柔軟性があり、カスタム役割を必要なだけ作成できます。異なるユーザに同じアクセス権を割り当てることができる場合がありますが、狭いスコープにデバイスを限定したセットにアクセスを制限できます。管理者でも、特に特定の地区または管理デバイスを対象にする管理者の場合は、スコープによって制限できます。役割ベース管理をどのように活用するかは、ネットワークとスタッフのリソースだけでなく、特別なニーズによって異なります。

NOTE: Endpoint Manager の追加コンソールの要件がバージョン2024で変更されています。コア サーバ上の、Windows の [LANDesk 管理者] グループのメンバーではない追加コンソールのユーザに対しては、別のデータベース ユーザ アカウントを構成することが要求されます。詳細については、Ivanti コミュニティをご参照ください。

次は、ロールベースの管理を使用する基本プロセスです。

  1. コンソール ユーザの役割を作成します。
  2. Windows ローカル ユーザとグループ ツールを使用して、コンソール ユーザを正しい Windows LANDESK グループに追加します。
  3. コンソール ユーザを指定するために使用している各 Active Directory の認証を作成します。
  4. 任意で、スコープを使用して、コンソール ユーザが管理できるデバイスのリストを制限します。
  5. 任意で、チームを使用して、コンソール ユーザをさらに分類します。

エンドポイント マネージャ ユーザは、コンソールにログインし、ネットワークで特定のデバイスを対象に特定のタスクを実行することができます。エンドポイント マネージャ のインストール中にサーバにログインしているユーザは、自動的に Windows LANDesk Administrators ユーザ グループに割り当てられ、完全な管理者権限を付与されます。このユーザは、コンソールに他のユーザのグループを追加して、そのユーザにアクセス権とスコープを割り当てる必要があります。他の管理者が作成されれば、同様の管理タスクを実行させることができます。

エンドポイント マネージャ セットアップでは、コア サーバ上に複数のローカル Windows グループを作成します。これらのグループは、コア サーバの Endpoint Manager および Security プログラム フォルダに対するファイル システム アクセス権を制御します。手動でコンソール ユーザをこれらのローカル Windows グループのいずれかに追加する必要があります。

  • LANDESK Management Suite: このグループは基本的なコア アクセスを許可します。エンドポイント マネージャ フォルダは読み取り専用です。このグループのユーザはスクリプト ディレクトリに書き込みできないため、スクリプトの管理はできません。脆弱性パッチ適用機能と OS 配布機能はスクリプトを使用するため、このグループのユーザに対しては正常に動作しません。
  • LANDesk Administrators: これはコンソール アクセスのためのフェイルセーフ グループです。このグループのすべてのユーザは、スクリプト作成を含む完全なコンソール権限を持っています。既定では、エンドポイント マネージャ をインストールしたユーザ アカウントがこのグループに追加されます。多数のコンソール ユーザが存在しない場合や、現在のコンソール ユーザを制限しない場合は、役割ベースの管理を完全に省略して、ユーザをこのグループに追加できます。

完全な権限を持つ管理者をコンソールに追加する場合、コア サーバのローカル LANDesk Administrators グループにそれらのユーザを追加するか、あるいは LANDesk「管理者」権限を持つ別のグループにそれらのユーザを追加できます。この2つの方法の唯一の違いは、Windows LANDesk Administrators グループのユーザは、LANDesk Administrators グループから削除されない限り、コンソールから削除できないという点です。

ユーザ ツールのユーザとグループ ツリーには、許可されたコンソール ユーザの一覧が表示されます。前回コンソール ユーザ ログイン日時、ユーザのグループ、ロール、スコープ、リモート コントロール時間制限ステータス、チームを確認できます。このツリーを使用して、ユーザが LANDESK ローカル Windows グループに属しているかどうかを確認することもできます。このセクションで説明している LANDesk グループのいずれかに追加されるまで、ユーザはログインできません。

ユーザは一意のセキュリティ ID (SID) によってデータベースに保存されます。ユーザが結婚した場合など、ユーザの Active Directory アカウント名が変更されても SID は変更されず、エンドポイント マネージャ のアクセス権が引き続き適用されます。

IMPORTANT: 追加したコンソールとコア サーバは、同じドメインまたはワークグループのメンバーでなければなりません。コンソール ユーザは、別のドメインまたはワークグループにあるコア サーバと認証できません。

[Windows コンピュータ管理] ダイアログ ボックスから LANDesk グループにユーザを追加するには
  1. サーバの [管理ツール] > [コンピュータの管理] > [ローカル ユーザーとグループ] > [グループ] ユーティリティの順にクリックします。
  2. 対象の LANDESK グループを右クリックして、[グループに追加] をクリックします。
  3. グループの [プロパティ] ダイアログ ボックスで [追加] をクリックします。
  4. [ユーザとグループの選択] ダイアログ ボックスで、任意のユーザ (およびグループ) を一覧から選択し、[追加] をクリックします。
  5. [OK] をクリックします。
エンドポイント マネージャ コンソール ユーザまたはグループを追加するには
  1. [ツール] > [管理] > [ユーザ管理] の順にクリックします。
  2. ユーザとグループ ツリーで、任意のユーザまたはグループを含む認証ソースを右クリックし、[新しいユーザまたはグループ] をクリックします。
  3. 認証ソース ディレクトリで、追加するユーザまたはグループを選択し、[追加] をクリックします。グループ内の各ユーザを選択する場合、グループを右クリックして、[追加するユーザの選択] をクリックします。これで任意のユーザを選択し、[選択したユーザの追加] をクリックします。
  4. 選択したユーザまたはグループを手動で該当するローカル LANDESK Windows グループに追加するように指示するダイアログ ボックスで、[OK] をクリックします。
  5. [閉じる] をクリックします。
  6. まだユーザを追加していない場合は、上記のように Windows ローカル ユーザとグループ ツールを使用して、新しいユーザまたはグループを該当するローカル LANDESK Windows グループに追加します。
  7. ロールとスコープを新しいユーザまたはグループに割り当てます。

[ユーザ管理] ツリーを使用して、コンソール ユーザまたはコンソール グループを削除することもできます。ユーザまたはグループを削除するときには、クエリやスケジュール タスクなど、ユーザが所有者となっているコンソール項目の処理方法を確認するプロンプトが表示されます。ユーザが所有する項目を自動的にコンソールで削除するか、ユーザが所有している項目を選択した他のユーザまたはグループに自動的に再割り当てすることができます。ユーザまたはグループを削除すると、ユーザまたはグループを エンドポイント マネージャ ユーザ データベースからのみ削除します。ユーザまたはグループを、それらが属しているローカル LANDESK Windows グループから手動で削除する必要もあります。これを実行しないと、削除したユーザがコンソールにログインできることになります。

コンソール ユーザを削除するには
  1. [ツール] > [管理] > [ユーザ管理] の順にクリックします。
  2. ユーザ管理ツリーで [ユーザとグループ] をクリックします。
  3. 削除するユーザまたはグループを選択し、Delete キーを押します。
  4. ユーザに関連づけられているオブジェクトを削除する場合は、[OK] をクリックします。
  5. コンソール ユーザに関連付けられたオブジェクトを再割り当てする場合は、[オブジェクトを次のユーザ/グループまたはチームに割り当て] を選択し、オブジェクトを受け取るユーザ、グループ、あるいはチームをクリックしてから、[OK] をクリックします。
  6. コンソール アクセスを許可するローカル LANDESK Windows グループまたは Active Directory グループからユーザを削除します。

[管理] > [ユーザ管理] ツリーの右側のウィンドウでユーザまたはグループを右クリックし、[プロパティ] をクリックします。このプロパティ ダイアログ ボックスには、そのユーザのすべてのプロパティと有効な権限が表示されます。[プロパティ] ダイアログ ボックスには次のページがあります。

  • 概要:ユーザまたはグループのロール、スコープ、チーム、グループ メンバーシップ、有効な権限の概要を示します。
  • 有効な権限:ユーザまたはグループの有効な権限の詳細情報を示します。
  • ロール:継承された明示的なロールを表示します。ユーザまたはグループに適用する明示的なロールを選択できます。
  • スコープ:継承された明示的なスコープを表示します。ユーザまたはグループに適用する明示的なスコープを選択できます。
  • チーム:継承された明示的なチームを表示します。ユーザまたはグループに適用する明示的なチームを選択できます。
  • RC 時間制限:RC 時間制限の適用と修正ができます。詳細については、「リモート コントロール時間制限の使用」をご参照ください。
  • グループ メンバーシップ :ユーザが所属するグループを表示します。
  • グループ メンバー:グループを選択した場合にグループのメンバーを表示します。ユーザを選択した場合にユーザが属しているグループを表示します。

編集可能なページを変更した場合は、[OK] をクリックして変更を適用する必要があります。必要に応じて、プロパティ ダイアログ ボックスをもう一度開くことができます。