Configuration Managerのロールベース管理の基礎
Configuration Manager (現在のブランチ) に適用
Configuration Managerでは、ロールベースの管理を使用して、管理ユーザーがConfiguration Managerを使用する必要があるアクセスをセキュリティで保護します。 コレクション、デプロイ、サイトなど、管理するオブジェクトへのアクセスもセキュリティで保護します。
ロールベースの管理モデルは、階層全体のセキュリティ アクセスを一元的に定義および管理します。 このモデルは、次の項目を使用して、すべてのサイトとサイトの設定を対象としています。
セキュリティ ロールは、管理ユーザーに割り当てられ、Configuration Manager オブジェクトへのアクセス許可が付与されます。 たとえば、クライアント設定を作成または変更するためのアクセス許可などです。
セキュリティ スコープ は、管理ユーザーが管理するオブジェクトの特定のインスタンスをグループ化するために使用されます。 たとえば、Configuration Manager コンソールをインストールするアプリケーションです。
コレクションは、管理ユーザーがConfiguration Managerで管理できるユーザーとデバイスのグループを指定するために使用されます。
ロール、スコープ、コレクションの組み合わせにより、組織の要件を満たす管理割り当てを分離できます。 これらを組み合わせて使用して、ユーザーの 管理スコープ を定義します。 この管理スコープは、管理ユーザーがConfiguration Manager コンソールで表示するオブジェクトを制御し、ユーザーがそれらのオブジェクトに対して持つアクセス許可を制御します。
利点
次の項目は、Configuration Managerでのロールベースの管理の利点です。
サイトは管理境界として使用されません。 つまり、スタンドアロン プライマリ サイトを中央管理サイトを持つ階層に拡張して、管理ユーザーを分離しないでください。
階層の管理ユーザーを作成し、セキュリティを 1 回だけ割り当てる必要があります。
すべてのセキュリティ割り当てがレプリケートされ、階層全体で使用できます。 ロールベースの管理構成は、階層内の各サイトにグローバル データとしてレプリケートされ、すべての管理接続に適用されます。
重要
サイト間レプリケーションの遅延により、サイトがロールベースの管理の変更を受け取るのを防ぐことができます。 サイト間データベース レプリケーションを監視する方法の詳細については、「サイト 間のデータ転送」を参照してください。
一般的な管理タスクの割り当てに使用される組み込みのセキュリティ ロールがあります。 特定のビジネス要件をサポートするために、独自のカスタム セキュリティ ロールを作成します。
管理ユーザーには、管理するアクセス許可を持つオブジェクトのみが表示されます。
管理セキュリティ アクションを監査できます。
セキュリティ ロール
セキュリティ ロールを使用して、管理ユーザーにセキュリティ アクセス許可を付与します。 セキュリティ ロールは、管理ユーザーが管理タスクを実行できるように、管理ユーザーに割り当てるセキュリティ アクセス許可のグループです。 これらのセキュリティ アクセス許可は、管理ユーザーが実行できるアクションと、特定のオブジェクトの種類に対して付与されるアクセス許可を定義します。 セキュリティのベスト プラクティスとして、タスクに必要な最小限のアクセス許可を提供するセキュリティ ロールを割り当てます。
Configuration Managerには、管理タスクの一般的なグループ化をサポートするために、いくつかの組み込みのセキュリティ ロールがあります。 独自のカスタム セキュリティ ロールを作成して、特定のビジネス要件をサポートできます。
次の表は、すべての組み込みロールをまとめたものです。
名前 | 説明 |
---|---|
アプリケーション管理者 | アプリケーション 展開マネージャーとアプリケーション作成者ロールのアクセス許可を組み合わせます。 このロールの管理ユーザーは、クエリの管理、サイト設定の表示、コレクションの管理、ユーザー デバイス アフィニティの設定の編集、App-V 仮想環境の管理を行うこともできます。 |
アプリケーション作成者 | アプリケーションを作成、変更、廃止できます。 このロールの管理ユーザーは、アプリケーション、パッケージ、App-V 仮想環境を管理することもできます。 |
アプリケーション展開マネージャー | アプリケーションをデプロイできます。 このロールの管理ユーザーは、アプリケーションの一覧を表示できます。 アプリケーション、アラート、パッケージのデプロイを管理できます。 コレクションとそのメンバー、ステータス メッセージ、クエリ、条件付き配信ルール、App-V 仮想環境を表示できます。 |
資産マネージャー | 資産インテリジェンス同期ポイント、資産インテリジェンス レポート クラス、ソフトウェア インベントリ、ハードウェア インベントリ、および測定規則を管理するためのアクセス許可を付与します。 |
会社のリソース アクセス マネージャー | 会社のリソース アクセス プロファイルを作成、管理、デプロイするためのアクセス許可を付与します。 たとえば、Wi-Fi、VPN、Exchange ActiveSyncメール、証明書プロファイルなどです。 |
コンプライアンス設定マネージャー | コンプライアンス設定を定義および監視するためのアクセス許可を付与します。 このロールの管理ユーザーは、構成項目とベースラインを作成、変更、削除できます。 また、構成基準をコレクションに展開し、コンプライアンス評価を開始し、準拠していないコンピューターの修復を開始することもできます。 |
エンドポイント保護マネージャー | エンドポイント保護ポリシーを作成、変更、削除するためのアクセス許可を付与します。 これらのポリシーをコレクションに展開し、アラートを作成および変更し、エンドポイント保護の状態を監視できます。 |
完全な管理者 | Configuration Managerのすべてのアクセス許可を付与します。 Configuration Managerをインストールする管理ユーザーには、このセキュリティ ロール、すべてのスコープ、およびすべてのコレクションが自動的に付与されます。 |
インフラストラクチャ管理者 | Configuration Manager サーバー インフラストラクチャを作成、削除、変更し、移行タスクを実行するためのアクセス許可を付与します。 |
オペレーティング システム展開マネージャー | OS イメージを作成し、コンピューターに展開し、OS アップグレード パッケージとイメージ、タスク シーケンス、ドライバー、ブート イメージ、状態移行設定を管理するためのアクセス許可を付与します。 |
運用管理者 | セキュリティを管理するためのアクセス許可を除き、Configuration Managerのすべてのアクションに対するアクセス許可を付与します。 このロールは、管理ユーザー、セキュリティ ロール、およびセキュリティ スコープを管理できません。 |
読み取り専用アナリスト | すべてのConfiguration Manager オブジェクトを表示するためのアクセス許可を付与します。 |
リモート ツールオペレーター | ユーザーがコンピューターの問題を解決するのに役立つリモート管理ツールを実行および監査するためのアクセス許可を付与します。 このロールの管理者ユーザーは、Configuration Manager コンソールからリモート コントロール、リモート アシスタンス、リモート デスクトップを実行できます。 |
セキュリティ管理者 | 管理ユーザーを追加および削除し、管理ユーザーをセキュリティ ロール、コレクション、およびセキュリティ スコープに関連付けるアクセス許可を付与します。 このロールの管理ユーザーは、セキュリティ ロールとその割り当てられたセキュリティ スコープとコレクションを作成、変更、削除することもできます。 |
ソフトウェア更新プログラム マネージャー | ソフトウェア更新プログラムを定義および展開するためのアクセス許可を付与します。 このロールの管理ユーザーは、ソフトウェア更新プログラム グループ、展開、および展開テンプレートを管理できます。 |
ヒント
アクセス許可がある場合は、Configuration Manager コンソールですべてのセキュリティ ロールの一覧を表示できます。 ロールを表示するには、[ 管理 ] ワークスペースに移動し、[ セキュリティ] を展開し、[ セキュリティ ロール ] ノードを選択します。
管理ユーザーを追加する以外に、組み込みのセキュリティ ロールを変更することはできません。 ロールをコピーし、変更を加え、これらの変更を新しいカスタム セキュリティ ロールとして保存できます。 また、ラボ環境などの別の階層からエクスポートしたセキュリティ ロールをインポートすることもできます。 詳細については、「 ロールベースの管理を構成する」を参照してください。
セキュリティ ロールとそのアクセス許可を確認して、組み込みのセキュリティ ロールを使用するかどうか、または独自のカスタム セキュリティ ロールを作成する必要があるかどうかを判断します。
ロール権限
各セキュリティ ロールには、さまざまなオブジェクトの種類に対する特定のアクセス許可があります。 たとえば、 アプリケーション作成者 ロールには、アプリケーションに対する次のアクセス許可 があります。
- 承認する
- 作成する
- 削除
- 変更
- フォルダーの変更
- オブジェクトの移動
- 読み取り
- レポートの実行
- セキュリティ スコープを設定する
このロールには、他のオブジェクトに対するアクセス許可もあります。
ロールのアクセス許可を表示する方法、またはカスタム ロールのアクセス許可を変更する方法の詳細については、「 ロールベースの管理を構成する」を参照してください。
セキュリティ ロールを計画する
このプロセスを使用して、環境内のConfiguration Managerセキュリティ ロールを計画します。
管理ユーザーがConfiguration Managerで実行する必要があるタスクを特定します。 これらのタスクは、1 つ以上の管理タスクのグループに関連する場合があります。 たとえば、コンプライアンスのためにオペレーティング システムと設定を展開する場合などです。
これらの管理タスクを、1 つ以上の組み込みロールにマップします。
一部の管理ユーザーが複数のロールのタスクを実行する場合は、ユーザーを複数のロールに割り当てます。 アクセス許可を組み合わせたカスタム ロールを作成しないでください。
特定したタスクが組み込みのセキュリティ ロールにマップされない場合は、カスタム ロールを作成してテストします。
詳細については、「 カスタム セキュリティ ロールの作成 」および「セキュリティ ロールの 構成」を参照してください。
コレクション
コレクションでは、管理ユーザーが表示または管理できるユーザーとデバイスを指定します。 たとえば、アプリケーションをデバイスに展開するには、管理ユーザーが、デバイスを含むコレクションへのアクセスを許可するセキュリティ ロールに含まれている必要があります。
コレクションの詳細については、「コレクションの 概要」を参照してください。
ロールベースの管理を構成する前に、次のいずれかの理由で新しいコレクションを作成する必要があるかどうかを決定します。
- 機能する組織。 たとえば、サーバーとワークステーションのコレクションを分離します。
- 地理的な配置。 たとえば、北米とヨーロッパの個別のコレクションなどです。
- セキュリティ要件とビジネス プロセス。 たとえば、運用コンピューターとテスト コンピューターのコレクションを分離します。
- 組織の配置。 たとえば、部署ごとに個別のコレクションを指定します。
詳細については、「セキュリティを 管理するためのコレクションの構成」を参照してください。
セキュリティ スコープ
セキュリティ スコープを使用して、セキュリティ保護可能なオブジェクトへのアクセス権を管理ユーザーに提供します。 セキュリティ スコープは、セキュリティ保護可能なオブジェクトの名前付きセットであり、管理者ユーザーにグループとして割り当てられます。 セキュリティ保護可能なすべてのオブジェクトは、1 つ以上のセキュリティ スコープに割り当てられます。 Configuration Managerには、次の 2 つの組み込みのセキュリティ スコープがあります。
すべて: すべてのスコープへのアクセスを許可します。 このセキュリティ スコープにオブジェクトを割り当てることはできません。
既定値: このスコープは、既定ですべてのオブジェクトに使用されます。 Configuration Managerをインストールすると、すべてのオブジェクトがこのセキュリティ スコープに割り当てられます。
管理ユーザーが表示および管理できるオブジェクトを制限する場合は、独自のカスタム セキュリティ スコープを作成します。 セキュリティ スコープは階層構造をサポートしていないため、入れ子にすることはできません。 セキュリティ スコープには、次の項目を含む 1 つ以上のオブジェクト型を含めることができます。
- アラート サブスクリプション
- アプリケーションとアプリケーション グループ
- App-V 仮想環境
- ブート イメージ
- 境界グループ
- 構成項目とベースライン
- カスタム クライアント設定
- 配布ポイントと配布ポイント グループ
- ドライバー パッケージ
- エンドポイント保護ポリシー (すべて)
- フォルダー
- グローバル条件
- 移行ジョブ
- OneDrive for Business プロファイル
- OS イメージ
- OS アップグレード パッケージ
- パッケージ
- クエリ
- リモート接続プロファイル
- スクリプト
- サイト
- ソフトウェア使用状況測定ルール
- ソフトウェア更新プログラム グループ
- ソフトウェア更新プログラム パッケージ
- タスク シーケンス
- ユーザー データとプロファイルの構成項目
- ビジネス ポリシーのWindows Update
セキュリティ スコープには、セキュリティ ロールによってのみセキュリティで保護されているため、含めることができないオブジェクトもあります。 これらのオブジェクトへの管理アクセスは、使用可能なオブジェクトのサブセットに限定することはできません。 たとえば、特定のサイトで使用される境界グループを作成する管理ユーザーがいる場合があります。 境界オブジェクトはセキュリティ スコープをサポートしていないため、このユーザーに、そのサイトに関連付けられている可能性がある境界にのみアクセスを提供するセキュリティ スコープを割り当てることはできません。 境界オブジェクトをセキュリティ スコープに関連付けることができないため、境界オブジェクトへのアクセスを含むセキュリティ ロールをユーザーに割り当てると、そのユーザーは階層内のすべての境界にアクセスできます。
セキュリティ スコープをサポートしていないオブジェクトには、次のものが含まれますが、これらに限定されません。
- Active Directory フォレスト
- 管理ユーザー
- アラート
- 境界
- コンピューターの関連付け
- 既定のクライアント設定
- デプロイ テンプレート
- デバイス ドライバー
- サイト間マッピングの移行
- セキュリティ ロール
- セキュリティ スコープ
- サイト アドレス
- サイト システムの役割
- ソフトウェア更新プログラム
- ステータス メッセージ
- ユーザー デバイス アフィニティ
オブジェクトの個別のインスタンスへのアクセスを制限する必要がある場合は、セキュリティ スコープを作成します。 例:
アプリケーションをテストせず、運用アプリケーションを表示する必要がある管理ユーザーのグループがあります。 運用アプリケーション用に 1 つのセキュリティ スコープを作成し、テスト アプリケーション用に別のセキュリティ スコープを作成します。
管理ユーザーの 1 つのグループには、特定のソフトウェア更新プログラム グループに対する読み取りアクセス許可が必要です。 管理ユーザーの別のグループには、他のソフトウェア更新プログラム グループの変更と削除のアクセス許可が必要です。 これらのソフトウェア更新プログラム グループに異なるセキュリティ スコープを作成します。
詳細については、「オブジェクトの セキュリティ スコープを構成する」を参照してください。