コンソール管理者の追加

MobiControl v14 Manual

コンソール管理者を登録します。また、コンソール管理者の集団である「管理者グループ」を作成します。
事前に、 「コンソール管理者の本人認証条件 」を設定しておきます。
このページでの、「ユーザ」とは、コンソール管理者を指します



  1. 上辺タブで、全OSを選択します。

  2. 下辺タブで、「セキュリティ」を選択します。

  3. 左側のメニューで、「ユーザ管理」を選択します。


左上に(図1)のような画面が現われます。

(図1)

(図1)の「追加」ボタンを押すと、(図2)のように、プルダウンメニューが現れます。

(図2)


ここでいう「ユーザ」は、セルフサービスポータルにアクセスする端末ユーザを除いて、全て、コンソール管理者を指します。
(図2)の分類本人認証方式対象とするユーザの範囲
ユーザ(図3)で設定するパスワードコンソール管理者のみ
ユーザグループ
ディレクトリのユーザ/グループAD_DSなどのLDAPによる認証コンソール管理者と
セルフサービスポータルに
アクセスする端末ユーザ
IdPユーザグループAD_FSなどのIdP(Identity Provider)による認証

パスワードで本人認証する管理者の登録

管理者IDの作成

(図2)で、「ユーザ」を選択します。画面上部が、(図3)のようになります。

(図3)

ここで、ユーザ名(管理者ID)と、パスワードを入力します。
コンソール管理者の本人認証条件 」で設定した、パスワードの条件に従って、パスワードを定めます。

管理者への権限付与

画面の右下で、この管理者への権限を付与します。

(図4)



まず、「 MobiControlへの全ての権限」に、許可を入れます。 そうすると、以下の全ての個別権限が許可になります。
それから、個別に付与しない権限に、「拒否」にチェックを入れます。

端末ユーザ達が所属する各課のIT部門以外の管理者にも、コンソール管理者の権限を与えます。こうすることで、各課の管理者は、部下の端末ユーザの 地理的位置や必須アプリの実装状況などを知ることができます。
(図4)で付与する権限は、システム全体にかかわる権限です。更に、端末グループ単位での権限を設定します。
コンソール管理者の端末グループ別の権限」を参照ください。

管理者IDとパスワードを他人に教え、他人にもコンソールを使わせることは望ましくありません
  • 組織外に管理者IDとパスワードが漏れ、セキュリティ事故が起きたときの漏洩経路が分らなくなる。
  • アラートの監視と管理でのアラートの認識者と処置者の特定ができなくなる。
  • メモの管理で、誰がメモを入力したか特定ができなくなる。
コンソール管理者各人に、各々の管理者IDを発行しましょう。

全ての権限を持つ管理者ID(名前とパスワード)を一つ予備として作っておき、 常用しないで、保存しておきます
それは、次のような理由からです。
  • もし、全ての権限を持つ管理者IDが一つしかなく、その管理者IDでの ログインに許容回数以上失敗し、管理者IDでのログインができなくなったとします。
    (「コンソール管理者の本人認証条件」では、 不正パスワードの入力許容限度を設定してあります。)
  • そうすると、全てを管理できる管理者IDが、1つもなくなります。
    そうすると、システム全体を管理できなくなります。
  • オールマイティの管理者IDが予備にあれば、その管理者IDを使って、 ログインでき、且つ、管理者IDを増やせます。
  • 万が一、全ての権限を持つ管理者IDの権限喪失のような事態になったら、 日本代理店の P.O.L.宛にメールください。 開発メーカーのSOTIから、「解除」コードを取り寄せます。「解除」コードの取り寄せには、時間がかかります。
  • 「解除」コードを入力すると、匿名モードになります。 「コンソール管理者の本人認証条件」の(図1)の状態になります。全てのコンソール管理者のIDが喪失されます。 再度、コンソール管理者IDの発行作業を行います。

管理者グループの作成

組織の各部門の管理者に管理者IDを付与しますから、管理者IDの数は多くなります。
そこで、似ているような役割を持つ管理者を総括して、管理者グループを作ります。
その管理者グループ別に(図4)の設定をします。そうすると管理者IDの数が多くなっても、その設定管理工数は少なくてすみます。
(図2)で「グループ」を選択します。画面上部が、(図5)のようになります。

(図5)

赤い背景のセルに、新しいグループ名を入力します。
「グループの構成ユーザ」のペインで、左欄の 所属可能なユーザ (=既に登録済のコンソール管理者ID)の中からグループに所属させる管理者IDを、矢印ボタンを使って、右欄に移します。 右欄の所属しているユーザが、このグループの構成員になります。
続けて、(図4)の権限設定をします。 この権限設定は、グループの構成ユーザの全てに、共通に付与されます。

ディレクトリサービスで本人認証する管理者の登録

(図2)で、「ディレクトリのユーザ/グループ」を選択すると、コンソール画面上部に (図6)のようなペインが表示されます。

(図6)


赤矢印部分をクリックすると、LDAP(ADなどの)のドメイン名のリストが表示されます。 権限を付与するドメインを選択します。
そして赤い欄(LDAPサーバから構成要素を検索中)に、そのLDAPドメインに所属するユーザ名を入力します。 そして、右のADDボタンを押すと、そのユーザが、管理者として選任されたことになります。

一般ユーザにセルフサービスポータルの権限を

(図6)の赤い欄(LDAPサーバから構成要素を検索中・・の欄)に  Users と入力すると、当該LDAPドメインの全所属員に 権限を与えることができます。

コンソール画面は、(図7)のように、ディレクトリサービスのグループとしてユーザが表示されます。これは、ドメインの全ユーザを指します。
(図7)
(図8)

LDAPドメインのUsersに与える権限は、(図8)のように制限します。
(図8)で、「セルフサービスポータルへのアクセス」以下には「許可」を与えているが、 上の方のコンソール管理者の権限には「拒否」を選択します。セルフサービスポータルは 端末を紛失した場合などに、端末ユーザ自らが、端末をWIPEなどができる仕組みです。

セルフサービスポータルで現われるメニューは、(図9)のようなものです。 (図9)の権限を全て、一般ユーザに与える必要がないときは、(図8)で該当する権限を「拒否」にチェックを入れます。
例えば、(図8)で「登録解除」の拒否にチェックを入れると、端末ユーザが、(図9)で「アンエンロール」を選択しても MobiControlへの登録を解除することができません。

(図8)の「位置を把握」に「拒否」にしていると、セルフサービスポータルで、(紛失した)端末の地理的位置が 表示されなくなります。
(図9)

セルフサービスポータルに関しては、下記の2つの設定をしておくことが望まれます。
  • 端末ユーザが自らMobiControlへの登録を解除した場合、端末にある証明書を自動的に削除するかどうか
  • セルフサービスポータルの画面のバナー画像を貴社のロゴにするか否か
詳しくは、端末側からの登録解除とセルフサービスバナー のページを 参照ください。