コンソール管理者の追加

MobiControl v14 Manual




コンソール管理者を追加登録します。

このページでの、「ユーザ」とは、セルフサービスポータルにアクセスするユーザを除いて、 全てコンソール管理者を指します。
「ユーザグループ」も、「コンソール管理者のグループ」を指します

ユーザに付与する管理権限には、2つの階層があります。
  1. システム全体に関わる権限
  2. 端末に働きかける権限

従って、ユーザ、またはユーザグループの権限範囲は、次表のように、4つのカテゴリーに分類されます。

MobiControlシステム全体に
関わる権限
全機能を
有する人
部分的権限を
有する人
端末に
働き掛ける権限
全機能を
有する人
A1 A2
部分的権限を
有する人
B1 B2
例えば、業務アプリの配布と管理のみを担当するユーザには、A2のカテゴリーの権限を付与します。
現場の課長で、課員の地理的位置を把握するだけのユーザには、B2のカテゴリーの権限を付与します。

管理できる端末グループを限定できます。例えば、特定の部課の従業員の地理的位置を把握できる権限のみを有するユーザもあり得ます。 外出している従業員の端末画面に、急ぎのメッセージを割り込み表示することもできます。

こうして、MobiControl管理の部分的権限を多くの方に付与します。 IT部門に限定せず、貴社の各組織の管理者に、その必要な権限を付与できます。 これにより、モバイル端末やPCが、より有効に活用され、貴社の仕事の効率化が期待できます。

ユーザのパスワードの有効期間を制限したり、認証システムによるユーザ認証を必要とするようにすることもできます。 「コンソール・セキュリティ」を参照ください。

A.「ユーザ管理」にアクセス

コンソール画面の左上の三本線アイコンをクリックすると、(図1)のメニュー画面が現れます。
(図1)

 

(図1)の「ユーザーとコンソールのセキュリティ」を選択すると、画面が遷移して、(図2)のように「コンソール管理者を管理する画面」が表示されます。

(図2)



  1. 上辺タブで、全OS(赤矢印)を選択します。

  2. 下辺タブで、「セキュリティ」を選択します。

  3. 左側のメニューで、「ユーザ管理」を選択します。


(図2)の上部は、(図3)のように表示されています。

(図3)



(図3)の「追加」ボタンを押すと、(図4)のように、プルダウンメニューが現れます。

(図4)


(図4)のプルダウンリスト本人認証方式対象とするユーザの範囲
ユーザ(図5)で設定するパスワードコンソール管理者のみ
ユーザグループ
ディレクトリのユーザ/グループADなどのディレクトリサービスによる認証コンソール管理者と
セルフサービスポータルに
アクセスする端末ユーザ
IdPユーザグループIDプロバイダによる認証
  • ディレクトリのユーザ・グループとは、AD_DS(Active Directry Domain Service)や、Apple OD(Open Directory)のユーザグループを指します。 但し、コンソール管理者の認証には、AAD(Azure AD)はサポートされていません。
  • IdPユーザグループとは、Azure IdP などのIDプロバイダのユーザグループを指します。 Azure IdP 以外に、Shibboleth、Okta、OneLogin がサポートされています。 サードパーティのIDプロバイダでは、2要素認証を提供するオプションがあります。

B.ユーザ(コンソール管理者)のIDとパスワードの設定

(図4)で、「ユーザ」を選択します。画面上部が、(図5)のようになります。

(図5)

(図5)で、ユーザ名(管理者ID)と、パスワードを入力します。
パスワードは、 「コンソール管理者の本人認証条件 」で設定した、パスワードの条件に従って定めます。
パスワードを入力したら、画面の右下の「保存」ボタンを押します。

(図6)

いま、minawo_hori という名前のユーザを(図5)で登録したとします。 そうすると、左側の「MobiControlコンソールユーザとグループ」に、(図7)のように、minawo hori というユーザ名がリストに載ります。

(図7)

これで、minawo_hori という名前のコンソール管理者の追加登録ができました。ご本人に、ユーザ名(管理者ID)とパスワードを連絡ください。

(図8)

  • もしユーザを削除する場合は、(図7)のユーザ名の右の赤のバッテンマークを押します。削除されると、そのユーザは、コンソールにアクセスできなくなります。
  • 暫定的にコンソールにアクセスさせないようにするには、(図8)にて、「ユーザアカウントをロックする」にチェックを入れ、(図6)の「保存」を押します。 アクセスを再開するには、チェックを外し、(図6)で、再度「保存」を押します。

C.ユーザを、ユーザグループに所属させる

(図7)で追加登録したユーザ(コンソール管理者)を、特定のユーザグループ(コンソール管理者グループ)に所属させます。 特定のユーザグループを選択します。(図9)では、「支店管理者」という名前のユーザグループを選択している状態です。

(図9)


(図9)で、所属可能なユーザ欄の中から誰かを選択し、右向き矢印をクリックすると、所属しているユーザ欄に移ります。 (図9)は、minawo_hori が、「支店管理者」グループに所属した例です。
ユーザをグループに所属させたら、画面の右下の「保存」ボタンを押します。

(図10)

ユーザ(コンソール管理者)をグループ(コンソール管理者グループ)に必ずしも所属させる必要はありません。 もし、所属させない場合は、ユーザ毎に、D-1. D-2. D-3 の指定をします。
しかしながら、ユーザが多い場合には、グループに所属させ、グループ単位で管理する方が、管理工数が減ります。

D. 管理権限を制限する

追加したユーザ(コンソール管理者)及び、グループ(コンソール管理者グループ)の権限を制限することにします。

管理権限には、2階層があります。
  1. システム全体に関わる権限
  2. 端末に働きかける権限
a. に関しては、左側ペインが「ユーザ管理」で行います。(図11)を参照ください。
b. に関しては、左側ペインが「端末グループ権限」で行います。(図13)と(図14)を参照ください。

D-1 システム全体に関わる権限の制限

左側ペインで、「ユーザ管理」を選び、ユーザグループ又はユーザ名を選び、「システム全体に関わる権限」 で、「許可」または「拒否}にチェックを入れます。

(図11)


管理権限の種類を変更し終わったら、画面の右下の「保存」ボタンを押します。

(図12)

D-2 管理できる端末グループの種類を制限

左側ペインで「端末グループ権限」のアイコンを押します。 そうすると、右側ペインに端末グループの一覧が表示されます。
該当するユーザ、又はグループを選択してから、 管理することを許可する端末グループにチェックを入れます。

(図13)

ここでは、サンプルとして、ユーザ名minawo_hori というユーザに、「千葉」の端末群のみを管理できる権限を付与しました。
続けて、「D-3. 端末群への働きかけ権限を制限」の設定をします。

D-3 端末群への働きかけ権限を制限

もし、端末群への働きかけに関する全ての権限を付与する場合は、(図14)の右側ペインの「全ての設定の変更権限」に チェックを入れます。 部分的権限しか付与させないときは、「全ての設定の変更権限」のチェックをオフにし、個別項目にチェックを入れます。

例えば、 ユーザ名minawo_hori というユーザが、端末群に働きかけることができる権限を、端末の地理的位置把握と、端末画面のリモート操作だけとします。

ユーザ名minawo_horiは、システム部門の管理者でなく、現場の管理者として、コンソール管理者になっていただくことを想定します。
(図11)のように、「システム全体の管理の権限」では、下記の3項目のみにチェックを入れます。
  • MobiControlへの全ての権限
  • ウェブコンソールの利用権限
  • 端末/端末グループ設定

続けて、左側ペインで「端末グループ権限」のアイコンを押します。
ユーザ名又はユーザグループを選択し、中央ペインで、管理できる端末グループを選択します。
これは(図13)で説明した通りです。ここでは「千葉」を選択します。
右側ペインに、「端末グループに対する権限」のメニューが現れます

(図14)

ユーザ名の「minawo_hori」と管理できる端末グループ「千葉」の背景色を、青色に反転させておきます。

端末画面のリモート操作では、スクリプトを送ることがありますから「スクリプト送信」にチェックを入れます。

「位置を把握」にチェックを入れておくと、端末の地理的位置を地図上に表示できます。
「千葉」の 端末ユーザが、今、どこに居るか、そして、今までの移動軌跡を把握できます。
「グループの表示」にチェックを入れておくと、コンソールに端末グループとその端末群が表示されます。

「対象グループ」にチェックを入れておくと、この場合は、「千葉」の端末群しか、コンソールに表示されません。

「リモート操作端末」にチェックを入れておくと、端末画面のリモート操作ができます。

これで、「minawo_hori」さんは、「千葉」の端末群の地理的把握と端末画面のリモート操作ができるようになります。
逆に言えば、それ以外のことはできません。

最後に「保存」を押します。

右側ペインの「端末グループに対する権限」のどこにもチェックを入れてないと、 「保存」はグレイアウトして、保存することができません。

E. システムアラートルールにチェックを入れる

システムアラートルール」のコンソールアクセス権限に関するイベントにチェックを入れます。
このページのアラートイベント一覧表の中で、 コンソールアクセス権限に関するイベントには、の印をつけてあります。 これら項目にチェックを入れておくことで、ユーザやユーザグループの権限変更や削除をログとして記録しておくことができます。

特に、下記のイベントには必ずチェックを入れておきます。このイベントが発生したら、関係者へのメールの自動通報を設定しておくとよいでしょう。
イベント名アラート文のサンプル(編集可能)
40.MobiControl ログオンに失敗しました。アカウントはロックされます。 コンソールへのログオン失敗。一定回数以上の不正パスワード入力があった。このログインユーザ名でのアクセスは無効になった。