コンソール管理者グループ

MobiControl v14 Manual



コンソール管理者を追加登録する前に、コンソール管理者グループを作成します。そして、作成したコンソール管理者グループが行使できる管理権限と管理できる端末グループ群を指定します。

このページでの、「ユーザ」とは、セルフサービスポータルにアクセスするユーザを除いて、 全てコンソール管理者を指します。 「ユーザグループ」も、「コンソール管理者のグループ」を指します

A. 「ユーザ管理」にアクセス

コンソール画面の左上の三本線アイコンをクリックすると、(図1)のメニュー画面が現れます。
(図1)

 

(図1)の「ユーザーとコンソールのセキュリティ」を選択すると、画面が遷移して、(図2)のように「コンソール管理者を管理する画面」が表示されます。

(図2)



  1. 上辺タブで、全OS(赤矢印)を選択します。

  2. 下辺タブで、「セキュリティ」を選択します。

  3. 左側のメニューで、「ユーザ管理」を選択します。


(図2)の上部は、(図3)のように表示されています。

(図3)



(図3)の「追加」ボタンを押すと、(図4)のように、プルダウンメニューが現れます。

(図4)


(図4)のプルダウンリスト本人認証方式対象とするユーザの範囲
ユーザパスワードコンソール管理者のみ
ユーザグループ
ディレクトリのユーザ/グループADなどのLDAPによる認証コンソール管理者と
セルフサービスポータルに
アクセスする端末ユーザ
IdPユーザグループIDプロバイダ(AD_FSなど)による認証

B. ユーザグループ(コンソール管理者グループ)の名前入力

(図4)で「ユーザグループ」を選択します。画面の右上部分の「ユーザグループ名」欄が、(図5)のように赤い背景色に変わります。

(図5)


背景色が赤いセルに、新しいグループ名を入力します。
グループ名を入力したら、画面の右下の「保存」ボタンを押します。

(図6)

これで、新しい「ユーザグループ(コンソール管理者グループ)」ができました。

(図7)


(図5)で、「支店管理者」という文字列を入力したとします。そうすると、(図7)のように、左側のユーザグループのリストに、「支店管理者」というユーザグループが追加されたことが 確認できます。
ユーザグループを削除するには、(図7)の左側ペインで、該当のユーザグループを選択し、赤いバツ印をクリックします。

C. 管理権限の許可または拒否

ユーザグループ(コンソール管理者グループ)は、作成されましたが、この時点では、このグループには、権限が全く許可されていません。
権限を与えようとするユーザーグループを指定します。(図8)のように、背景がブルーになります。
右側に、管理権限の一覧が表示されています。これに「許可」または「拒否」にチェックを入れます。
(図8)

まず、「 MobiControlへの全ての権限」と「ウェブコンソールの利用権限」に、許可を入れます。 そうすると、以下の全ての個別権限が許可になります。 それから、個別に付与しない権限に、「拒否」のチェックボックスにチェックを入れます。

部門や支店レベルで、MobiControlを管理するコンソール管理者の場合は、 次の管理項目に「許可」を入れる必要はないように思われます。
  • 「ルートグループの管理」
  • 「サーバと中枢設定に関する管理」とそのサブ機能
「セルフサービスポータルへのアクセス」の項目は、 コンソール管理者に許可する、管理項目ではありません。
「セルフサービスポータル」は、端末ユーザに許可する 管理項目です。
端末ユーザが、PCやタブレットで「セルフサービスポータル」にアクセスし、 自らの端末を管理します。 特に、自らの端末が紛失したときに、利用します。
詳しくは、セルフサービスポータル を参照ください。
管理権限の「許可」または「拒否」にチェックを入れたら、画面の右下の「保存」ボタンを押します。

(図9)

これで、ユーザグループ(コンソール管理者グループ)に対し、管理権限を付与することができました。

D. 管理できる端末グループを指定

ユーザグループ(コンソール管理者グループ)に対し、管理権限を付与できましたが、まだ、どの端末グループをも管理できません。
新しく作ったユーザグループが管理できる端末グループ(群)を指定します。
新しく作ったユーザグループにマウスを載せます。(図10)のように、背景がブルーになります。 そのままで、左側で「端末グループ権限」のアイコンを選択します。 そうすると、端末グループ一覧が右に表示されます。

(図10)


(図10)で、管理できる端末グループを選択し、チェックを入れます。複数の端末グループを選択できます。 選択が終わったら、画面の右下の「保存」ボタンを押します。

(図11)

これで、ユーザグループ(コンソール管理者グループ)が管理できる端末グループ群の指定ができました。 この後は、「コンソール管理者の追加登録」を実施し、その新しいコンソール管理者を、 ユーザグループ(コンソール管理者グループ)のどれかに所属させます。

E. ディレクトリサービスで本人認証する管理者の登録

AD_DS(Active Directory Domain Service)や、Apple OD(Open Directory)のグループを、コンソール管理者グループとして指定します。 (図4)で、「ディレクトリのユーザ/グループ」を選択すると、コンソール画面右上部は、(図12)のように変わります。

(図12)


をプルダウンすると、MobiControlサーバに設定してある LDAPプロファイル名の一覧が表示されます。LDAPプロファイルとは、ディレクトリ・サーバとMobiControlサーバをバインド(紐づけ)するプロファイルです。
この中から1つ、LDAPプロファイル名を選択します。 LDAPプロファイルを1つしかMobiControlサーバに設定してない場合は、LDAPプロファイル名は、1つしか表示されません。 LDAPプロファイルの設定方法は、LDAPプロファイルを参照ください。

の赤背景の欄に、ディレクトリサーバに登録してあるグループ名を入力します。 グループ名の全ての文字列を知らなくても、最初の2文字を入力すると、候補となるグループ名リストがプルダウンします。 その中から、グループ名を選択します。入力が終われば、右端の「Add」ボタンを押します。 「Add」ボタンを押したら、画面の右下の「保存」ボタンを押します。

(図13)

これで、ディレクトリ・サーバに登録してあるグループの1つが、コンソール管理者グループとして登録されました。

続けて、このグループに対し、「C. 管理権限の許可または拒否」と「D. 管理できる端末グループを指定」を実施します。
ディレクトリサーバの特定のグループを、コンソール管理者グループとして登録しても、当該ディレクトリグループの全てのメンバーが、 コンソール管理者になれたのではありません。
特定のメンバーに対し、「コンソール管理者の追加登録」を実施して、コンソール管理者として選抜登録します。 そのコンソール管理者を、(図12)で入力したグループに所属させることによって、彼/彼女は、管理権限と、管理可能の端末グループの 指定を受けられます。
ディレクトリ・グループ(A)を、コンソール管理者グループとして登録したとします。その際、そのコンソール管理者グループに所属させることが できるのは、ディレクトリ・グループ(A)のメンバーだけとなります。ディレクトリ・グループ(A)以外のメンバーは、そのコンソール管理者グループに所属することはできません。
ディレクトリサービスが、MobiControlのコンソール管理者になれるか否かの制御をするようになります。

F. 端末ユーザにセルフサービスポータルの権限を

(図8)の下段にある「セルフサービスポータルへのアクセス」は、端末ユーザに許可する管理項目です。
端末ユーザが、PCやタブレットで「セルフサービスポータル」にアクセスし、自らの端末を管理します。 特に、自らの端末が紛失したときに、利用します。
詳しくは、セルフサービスポータル を参照ください。セルフサービスポータルを利用する端末をMobiControlサーバに登録する場合は、ディレクトリ・サーバで本人認証をしておく必要があります。
MobiControlは、ディレクトリ・サーバとして AD_DS(Active Directory Domain Service)や、Apple OD(Open Directory)をサポートしています。
(図12)で、セルフサービスポータルへのアクセスする権限を与えるディレクトリグループを選択します。

続けて、(図8)で、「MobiControlへの全ての権限」の「拒否」にチェックを入れます。 そして、(図8の下段の 「セルフサービスポータルへのアクセス」の「許可」にチェックを入れます。
そうすると、(図12)で指定した、ディレクトリグループのメンバーは、セルフサービスポータルにログインできるようになります。

(図14)は、MC_AD_DS というLDAPプロファイルの中の osaka という名前のディレクトリグループの端末ユーザに、 セルフサービスポータルへのアクセスを許可した例です。

(図14)


画面の右下の「保存」アイコンをクリックします。

(図15)

端末ユーザが、セルフサービスポータルにアクセスすると、(図16)のようなメニュー画面が現れます。
(図16)の権限を全て、端末ユーザに与える必要がないときは、(図14)で該当する権限を「拒否」にチェックを入れます。
例えば、(図14)で「登録解除」の拒否にチェックを入れると、端末ユーザが、(図16)で「アンエンロール」を選択しても MobiControlへの登録を解除することができません。
(図16)

セルフサービスポータルに関しては、下記の2つの設定をしておくことが望まれます。
  • 端末ユーザが自らMobiControlへの登録を解除した場合、端末にある証明書を自動的に削除するかどうか
  • セルフサービスポータルの画面のバナー画像を貴社のロゴにするか否か
詳しくは、端末側からの登録解除とセルフサービスバナー のページを 参照ください。