コンソール管理者グループ
コンソール管理者を追加登録する前に、コンソール管理者グループを作成します。そして、作成したコンソール管理者グループが行使できる管理権限と管理できる端末グループ群を指定します。このページでの、「ユーザ」とは、セルフサービスポータルにアクセスするユーザを除いて、 全てコンソール管理者を指します。 「ユーザグループ」も、「コンソール管理者のグループ」を指します。
A. 「ユーザ管理」にアクセス
コンソール画面の左上の三本線アイコンをクリックすると、(図1)のメニュー画面が現れます。
(図1) (図1)の「ユーザーとコンソールのセキュリティ」を選択すると、画面が遷移して、(図2)のように「コンソール管理者を管理する画面」が表示されます。
(図2)
- 上辺タブで、全OS(赤矢印)を選択します。
- 下辺タブで、「セキュリティ」を選択します。
- 左側のメニューで、「ユーザ管理」を選択します。
(図2)の上部は、(図3)のように表示されています。(図3)
(図3)の「追加」ボタンを押すと、(図4)のように、プルダウンメニューが現れます。(図4)
(図4)のプルダウンリスト 本人認証方式 対象とするユーザの範囲 ユーザ パスワード コンソール管理者のみ ユーザグループ ディレクトリのユーザ/グループ ADなどのディレクトリサービスによる認証 コンソール管理者と
セルフサービスポータルにアクセスする端末ユーザIdPユーザグループ Azure IdPやOktaなどIDプロバイダによる認証 B. ユーザグループ(コンソール管理者グループ)の名前入力
(図4)で「ユーザグループ」を選択します。画面の右上部分の「ユーザグループ名」欄が、(図5)のように赤い背景色に変わります。(図5)
背景色が赤いセルに、新しいグループ名を入力します。
グループ名を入力したら、画面の右下の「保存」ボタンを押します。(図6)
これで、新しい「ユーザグループ(コンソール管理者グループ)」ができました。
(図7)
(図5)で、「支店管理者」という文字列を入力したとします。そうすると、(図7)のように、左側のユーザグループのリストに、「支店管理者」というユーザグループが追加されたことが 確認できます。
ユーザグループを削除するには、(図7)の左側ペインで、該当のユーザグループを選択し、赤いバツ印をクリックします。C. 管理権限の許可または拒否
ユーザグループ(コンソール管理者グループ)は、作成されましたが、この時点では、このグループには、権限が全く許可されていません。
権限を与えようとするユーザーグループを指定します。(図8)のように、背景がブルーになります。
右側に、管理権限の一覧が表示されています。これに「許可」または「拒否」にチェックを入れます。
(図8)
まず、「 MobiControlへの全ての権限」と「ウェブコンソールの利用権限」に、許可を入れます。 そうすると、以下の全ての個別権限が許可になります。 それから、個別に付与しない権限に、「拒否」のチェックボックスにチェックを入れます。部門や支店レベルで、MobiControlを管理するコンソール管理者の場合は、 次の管理項目に「許可」を入れる必要はないように思われます。
- 「ルートグループの管理」
- 「サーバと中枢設定に関する管理」とそのサブ機能
「セルフサービスポータルへのアクセス」の項目は、 コンソール管理者に許可する、管理項目ではありません。
「セルフサービスポータル」は、端末ユーザに許可する 管理項目です。
端末ユーザが、PCやタブレットで「セルフサービスポータル」にアクセスし、 自らの端末を管理します。 特に、自らの端末が紛失したときに、利用します。
詳しくは、セルフサービスポータル を参照ください。 管理権限の「許可」または「拒否」にチェックを入れたら、画面の右下の「保存」ボタンを押します。(図9)
これで、ユーザグループ(コンソール管理者グループ)に対し、管理権限を付与することができました。
D. 管理対象の端末グループを指定
ユーザグループ(コンソール管理者グループ)に対し、管理権限を付与できましたが、まだ、どの端末グループをも管理できません。
新しく作ったユーザグループが管理できる端末グループ(群)を指定します。
新しく作ったユーザグループにマウスを載せます。(図10)のように、背景がブルーになります。 そのままで、左側で「端末グループ権限」のアイコンを選択します。 そうすると、端末グループ一覧が右に表示されます。(図10)
(図10)で、管理できる端末グループを選択し、チェックを入れます。複数の端末グループを選択できます。 選択が終わったら、画面の右下の「保存」ボタンを押します。(図11)
これで、ユーザグループ(コンソール管理者グループ)が管理できる端末グループ群の指定ができました。 この後は、「コンソール管理者の追加登録」を実施し、その新しいコンソール管理者を、 ユーザグループ(コンソール管理者グループ)のどれかに所属させます。
E. ディレクトリサービスのユーザグループ、またはユーザを、コンソール管理者として登録
AD_DS(Active Directory Domain Service)などのディレクトリ・サービスのユーザーグループ、またはユーザグループのメンバーを、コンソール管理者グループとして登録します。 (図4)で、「ディレクトリのユーザ/グループ」を選択すると、コンソール画面右上部は、(図12)のように変わります。
(図12)
をプルダウンすると、MobiControlサーバに設定してある ディレクトリサービスとの接続プロファイル名の一覧が表示されます。 これは、MobiControlサーバがディレクトリ・サーバにアクセスするための接続プロファイルです。
この中から1つのディレクトリサービス接続プロファイル名を選択します。 ディレクトリサービスとの接続プロファイルの設定方法は、ディレクトリサービスとの接続プロファイルを参照ください。
の赤背景の欄に、 ディレクトリサーバに登録してあるグループ名、またはユーザ名を入力して、「Add」ボタンを押します。
MobiControlサーバは、ディレクトリ・サービスサーバにアクセスして、そのグループまたはユーザ名が存在するかどうかを検索します。 グループ名、またはユーザ名の全ての文字列を知らなくても、最初の4文字を入力して、「Add」ボタンを押すと、候補となるグループ名またはユーザ名のリストが表示されます。 サーバの性能、または通信回線帯域の関係で、表示までの時間がかかることがあります。
このリストの中から、グループ名またはユーザー名を選択します。選択したグループ名およびユーザ名は、(図12)に掲示されます。掲示されたら、 画面の右下の「保存」ボタンを押します。
(図13)
グループを指定したら、そのグループのメンバー全員が、コンソール管理者としてログインできるようになります。
ユーザを指定したら、そのユーザのみが、コンソール管理者としてログインできるようになります。 続けて、このグループ、またはユーザに対し、「C. 管理権限の許可または拒否」と「D. 管理できる端末グループを指定」を実施します。F. IDプロバイダのユーザグループを、コンソール管理者グループとして登録
(図4)で、「IdPユーザーグループ」を選択すると、コンソール画面右上部は、(図14)のように遷移します。(図14)
赤矢印部分をプルダウンすると、「IDプロバイダとの接続プロファイル」の名前一覧が表示されます。 この中から、1つを選択します。
右側の赤背景色の欄には、IDプロバイダが構成しているグループ名を入力します。
入力が終われば、「Add」ボタンを押します。 MobiControlサーバは、IDプロバイダサーバにアクセスして、そのグループ名が存在するかどうかを検索します。 グループ名の全ての文字列を知らなくても、最初の4文字を入力して、「Add」ボタンを押すと、候補となるグループ名のリストが表示されます。 サーバの性能、または通信回線帯域の関係で、表示までの時間がかかることがあります。
このリストの中から、グループ名を選択します。選択したグループ名は、(図14)に掲示されます。掲示されたら、 画面の右下の「保存」ボタンを押します。 IDプロバイダのグループを指定したら、そのグループのメンバー全員が、コンソール管理者としてログインできるようになります。
メンバー全員に、コンソール管理者の権限を付与することに、差支えがある場合があります。 その場合は、コンソール管理者の権限を付与してよいメンバーだけのユーザグループを、IDプロバイダ側に構成しておきます。 続けて、このグループに対し、「C. 管理権限の許可または拒否」と「D. 管理できる端末グループを指定」を実施します。 IDプロバイダによる認証の場合は、次のようなメリットがあります。
- IDプロバイダによる認証は、SSO(シングルサインオン)なので、ログインIDやパスワードの入力などが不要になります
- IDプロバイダによっては、2段階認証の機能を持っています。これを利用すれば、MobiControlコンソールへのアクセスには、 2段階認証を 経たデバイスのみに限定できます。
G. 端末ユーザにセルフサービスポータルの権限を
(図8)の下段にある「セルフサービスポータルへのアクセス」は、端末ユーザに許可する管理項目です。
端末ユーザが、PCやタブレットで「セルフサービスポータル」にアクセスし、自らの端末を管理します。 特に、自らの端末が紛失したときに、利用します。
詳しくは、セルフサービスポータル を参照ください。 セルフサービスポータルを利用する端末をMobiControlサーバに登録する場合は、ディレクトリ・サーバで本人認証をしておく必要があります。
MobiControlは、ディレクトリ・サーバとして AD_DS(Active Directory Domain Service)や、Apple OD(Open Directory)をサポートしています。
(図12)で、セルフサービスポータルへのアクセスする権限を与えるディレクトリグループを選択します。 そして、(図8の下段の 「セルフサービスポータルへのアクセス」の「許可」にチェックを入れます。
そうすると、(図12)で指定した、ディレクトリグループのメンバーは、セルフサービスポータルにログインできるようになります。
もし、(図8)で、「MobiControlへの全ての権限」にチェックを入れておくと、そのユーザは、コンソール管理者としての 権限も有することになります。 (図15)は、MC_AD_DS というディレクトリサービス接続プロファイルの中の osaka という名前のディレクトリグループの端末ユーザに、 セルフサービスポータルへのアクセスを許可した例です。(図15)
画面の右下の「保存」アイコンをクリックします。(図15)
端末ユーザが、セルフサービスポータルにアクセスすると、(図16)のようなメニュー画面が現れます。
(図16)の権限を全て、端末ユーザに与える必要がないときは、(図15)で該当する権限を「拒否」にチェックを入れます。
例えば、(図15)で「登録解除」の拒否にチェックを入れると、端末ユーザが、(図16)で「アンエンロール」を選択しても MobiControlへの登録を解除することができません。
(図16)
セルフサービスポータルに関しては、下記の2つの設定をしておくことが望まれます。詳しくは、端末側からの登録解除とセルフサービスバナー のページを 参照ください。
- 端末ユーザが自らMobiControlへの登録を解除した場合、端末にある証明書を自動的に削除するかどうか
- セルフサービスポータルの画面のバナー画像を貴社のロゴにするか否か