Configuration Managerのロールベースの管理を構成する

Configuration Manager (現在のブランチ) に適用

Configuration Managerでは、ロールベースの管理は、セキュリティ ロール、セキュリティ スコープ、割り当てられたコレクションを組み合わせて、各管理ユーザーの管理スコープを定義します。 管理スコープには、管理ユーザーがConfiguration Manager コンソールで表示できるオブジェクトと、アクセス許可を持つオブジェクトに関連するタスクが含まれます。

これらの概念にまだ詳しくない場合は、「 ロールベースの管理の基礎」を参照してください。

この記事の情報を使用して、ロールベースの管理と関連するセキュリティ設定を作成および構成します。

注:

この記事の手順では、管理ユーザーが必要なアクセス許可を持つセキュリティ ロールにあることを前提としています。 たとえば、 完全管理者 または セキュリティ管理者 ロールなどです。

ヒント

ロールベースの管理と監査ツールを使用して、次のアクションに役立ちます。

• 作成する新しいロールのアクセス許可をモデル化します。
• 既存のすべての管理ユーザー、コレクション、およびセキュリティ スコープを監査します。
• 特定のユーザーを監査する

カスタム セキュリティ ロールを作成する

Configuration Managerには、いくつかの組み込みのセキュリティ ロールが用意されています。 組み込みロールのアクセス許可を変更することはできません。 他のロールが必要な場合は、カスタム ロールを作成します。 カスタム ロールを作成して、管理ユーザーに必要な他のアクセス許可を付与し、組み込みのロールに含めることができない場合があります。 カスタム セキュリティ ロールを使用すると、最低限必要なアクセス許可を割り当てることができます。 カスタム ロールは、必要以上のアクセス許可を付与するセキュリティ ロールの割り当てを回避するのに役立ちます。

カスタム セキュリティ ロールを作成する方法

Configuration Manager コンソールで、[管理] ワークスペースに移動します。 [ セキュリティ] を展開し、[ セキュリティ ロール ] ノードを選択します。 次に、次のいずれかのプロセスを使用して、新しいセキュリティ ロールを作成します。

組み込みロールをコピーして新しいカスタム セキュリティ ロールを作成する

1. 新しいロールのソースとして使用する既存のセキュリティ ロールを選択します。

2. リボンの [ ホーム ] タブの [ セキュリティ ロール ] グループで、[コピー] を選択 します。 このアクションにより、ソース セキュリティ ロールのコピーが作成されます。

3. セキュリティ ロールのコピー ウィザードで、新しいカスタム セキュリティ ロールの [名前] を指定します 。 最大の長さは 256 文字です。

4. 省略可能ですが、このカスタム セキュリティ ロールの目的を要約するには 、[説明] を指定することをお勧めします。 最大長は 512 文字です。

5. [ アクセス許可] で、各オブジェクトの種類を展開して、使用可能なアクセス許可を表示します。

6. アクセス許可を変更するには、ドロップダウン リストを選択し、[ はい ] または [ いいえ] を選択します。

   注意

   カスタム セキュリティ ロールを構成する場合は、このロールに割り当てられているユーザーが必要とするアクセス許可のみを付与します。 たとえば、[セキュリティ ロール] オブジェクトの [変更] アクセス許可を使用すると、割り当てられたユーザーは、そのセキュリティ ロールに割り当てられていない場合でも、アクセス可能なセキュリティ ロールを編集できます。

7. アクセス許可を構成したら、[ OK] を 選択して新しいセキュリティ ロールを保存します。

別のConfiguration Manager階層からエクスポートされたセキュリティ ロールをインポートする

重要

信頼されたソースからカスタム セキュリティ ロール構成ファイルのみをインポートします。 カスタム セキュリティ ロールをエクスポートするときは、セキュリティで保護された場所に保存します。 XML ファイルはデジタル署名されていません。

1. リボンの [ ホーム ] タブの [ 作成 ] グループで、[ セキュリティ ロールのインポート] を選択します。

2. エクスポートされたセキュリティ ロール構成を含む XML ファイルを指定します。 [ 開く ] を選択して手順を完了し、セキュリティ ロールを作成します。

3. カスタム セキュリティ ロールをインポートした後、その プロパティを開きます。 アクセス許可を表示して、このロールに最低限必要なアクセス許可が含まれているかどうかを確認します。 この環境で必要のないアクセス許可を変更します。

注:

組み込みのセキュリティ ロールをエクスポートすることはできません。

セキュリティ ロールを構成する

カスタム セキュリティ ロールのアクセス許可は変更できますが、組み込みのセキュリティ ロールを変更することはできません。

1. Configuration Manager コンソールで、[管理] ワークスペースに移動し、[セキュリティ] を展開し、[セキュリティ ロール] ノードを選択します。

2. 変更または表示するカスタム セキュリティ ロールを選択します。

3. リボンの [ ホーム ] タブの [プロパティ] グループで、[ プロパティ ] を選択 します。

4. プロパティ ウィンドウの [ 全般 ] タブで、必要に応じて [名前 ] または [ 説明] を 変更します。

5. [ 管理ユーザー ] タブで、このロールに関連付けられているユーザーを表示します。 割り当てを変更するには、管理ユーザーのプロパティに移動します。

6. [ アクセス許可 ] タブで、各オブジェクトの種類を展開して、使用可能なアクセス許可を表示します。

7. アクセス許可を変更するには、ドロップダウン リストを選択し、[ はい ] または [ いいえ] を選択します。

   注意

   カスタム セキュリティ ロールを構成する場合は、このロールに割り当てられているユーザーが必要とするアクセス許可のみを付与します。 たとえば、[セキュリティ ロール] オブジェクトの [変更] アクセス許可を使用すると、割り当てられたユーザーは、そのセキュリティ ロールに割り当てられていない場合でも、アクセス可能なセキュリティ ロールを編集できます。

8. 完了したら、[ OK] を 選択してカスタム セキュリティ ロールを保存します。

オブジェクトのセキュリティ スコープを構成する

セキュリティ スコープではなく、セキュリティ 保護可能なオブジェクトからセキュリティ スコープを管理します。 カスタム セキュリティ スコープで変更できるプロパティは、名前と説明のみです。 2 つの組み込みスコープを変更することはできません。 カスタム スコープの名前と説明を変更するには、セキュリティ スコープ オブジェクトの [変更] アクセス許可が必要です。

Configuration Managerで新しいオブジェクトを作成すると、オブジェクトの作成に使用されるアカウントのセキュリティ ロールに関連付けられている各セキュリティ スコープに関連付けられます。 この動作は、これらのセキュリティ ロールが [作成 ] アクセス許可または [セキュリティ スコープの設定] アクセス許可を提供する場合に発生します。 オブジェクトを作成したら、セキュリティ スコープを変更し、複数のスコープに割り当てることができます。

たとえば、新しい境界グループを作成するアクセス許可を付与するセキュリティ ロールが割り当てられます。 そのロールは 、Admins セキュリティ スコープに関連付けられています。 新しい境界グループを作成するときに、特定のセキュリティ スコープを割り当てるオプションはありません。 Admins セキュリティ スコープは、新しい境界グループに自動的に割り当てられます。 新しい境界グループを保存した後、境界グループのセキュリティ スコープを編集できます。

ユーザーのスコープを追加する方法の詳細については、「 管理ユーザーの管理スコープを変更する」を参照してください。

カスタム セキュリティ スコープを作成する方法

1. Configuration Manager コンソールで、[管理] ワークスペースに移動し、[セキュリティ] を展開し、[セキュリティ スコープ] ノードを選択します。

2. リボンの [ ホーム ] タブの [ 作成 ] グループで、[ セキュリティ スコープの作成] を選択します。

3. [セキュリティ スコープの作成] ウィンドウで、 セキュリティ スコープ名を指定します。 最大の長さは 256 文字です。

4. 省略可能ですが、このカスタム セキュリティ スコープの目的を要約する 説明 を指定することをお勧めします。 最大長は 512 文字です。

5. 管理ユーザーの割り当てを選択または削除します。 セキュリティ スコープを作成した後で、これらを変更できます。

6. カスタム セキュリティ スコープを保存するには、[ OK] を選択します。

オブジェクトのセキュリティ スコープを構成する方法

1. Configuration Manager コンソールで、セキュリティ スコープへの割り当てをサポートするオブジェクトを選択します。 サポートされているオブジェクトの一覧については、「 役割ベースの管理の基礎 - セキュリティ スコープ」を参照してください。

2. リボンの [ ホーム ] タブの [ 分類 ] グループで、[ セキュリティ スコープの設定] を選択します。

   フォルダーの場合は、リボンの [ フォルダー ] タブに移動します。 [ アクション] グループで、[ セキュリティ スコープの設定] を選択します。

   注:

   ユーザーがオブジェクトを作成したユーザーとセキュリティ スコープを共有している場合、アイテムはユーザーのセキュリティ スコープの外部のフォルダーで検索できます。

3. [ セキュリティ スコープの設定 ] ウィンドウで、このオブジェクトのセキュリティ スコープを選択またはクリアします。 少なくとも 1 つのセキュリティ スコープを選択します。

4. [ OK] を選択 して、割り当てられたセキュリティ スコープを保存します。

セキュリティを管理するコレクションを構成する

ロールベースの管理用にコレクションを構成する手順はありません。 コレクションにはロールベースの管理構成がありません。 代わりに、管理ユーザーにコレクションを割り当てます。 管理ユーザーがコレクションとそのメンバーに対して実行できるアクションを決定するには、セキュリティ ロールの Collection オブジェクトの種類に対するアクセス許可を表示します。

管理ユーザーがコレクションに対するアクセス許可を持っている場合、そのコレクションに制限されているコレクションに対するアクセス許可も持ちます。 たとえば、組織は All Desktops という名前のコレクションを使用します。 All desktops コレクションに制限されている All 北米 Desktops という名前のコレクションもあります。 管理ユーザーが All Desktops に対するアクセス許可を持っている場合、すべての北米 Desktops コレクションに対して同じアクセス許可を持ちます。

管理ユーザーは、コレクションに直接割り当てられているコレクションに対する 削除 または 変更 のアクセス許可を使用できません。 これらのアクセス許可は、そのコレクションに限定されているコレクションに対して使用できます。 前の例では、管理ユーザーは All 北米 Desktops コレクションを削除または変更できますが、すべてのデスクトップ コレクションを削除または変更することはできません。

新しい管理ユーザーを作成する

個人またはセキュリティ グループのメンバーにConfiguration Managerの管理アクセス権を付与するには、管理ユーザーを作成します。 ユーザーまたはユーザー グループの Windows アカウントを指定します。 各管理ユーザーを少なくとも 1 つのセキュリティ ロールと 1 つのセキュリティ スコープに割り当てます。 コレクションを割り当てて、ユーザーまたはグループの管理スコープを制限することもできます。

新しい管理ユーザーを作成する方法

1. Configuration Manager コンソールで、[管理] ワークスペースに移動し、[セキュリティ] を展開して、[管理ユーザー] ノードを選択します。

2. リボンの [ ホーム ] タブの [ 作成 ] グループで、[ ユーザーまたはグループの追加] を選択します。

3. [参照] を選択し、Configuration Managerでこの新しい管理ユーザーに使用するユーザー アカウントまたはグループを選択します。

   注:

   コンソール ベースの管理では、ドメイン ユーザーまたはドメイン セキュリティ グループのみを管理ユーザーとして指定できます。

4. [ 関連付けられているセキュリティ ロール] で、[ 追加] を選択して、使用可能なセキュリティ ロールの一覧を開きます。 1 つ以上のセキュリティ ロールを選択し、[ OK] を選択します。

5. 次のいずれかのオプションを選択して、新しいユーザーのセキュリティ保護可能なオブジェクトの動作を定義します。

   • 割り当てられたセキュリティ ロールに関連するオブジェクトのすべてのインスタンス: このオプションの動作は次のとおりです。

     • セキュリティ スコープ: すべて
     • コレクション: すべてのシステム と すべてのユーザーとユーザー グループ
     • ユーザーに割り当てるセキュリティ ロールは、オブジェクトへのアクセスを定義します。
     • このユーザーが作成する新しいオブジェクトは、 既定 のセキュリティ スコープに割り当てられます。

   • 指定したセキュリティ スコープとコレクションに割り当てられているオブジェクトのインスタンスのみ: このオプションの動作は次のとおりです。

     • セキュリティ スコープ: 既定
     • コレクション: すべてのシステム と すべてのユーザーとユーザー グループ
     • 実際のセキュリティ スコープとコレクションは、管理ユーザーの作成に使用するアカウントに関連付けられているものに制限されるため、これらの既定値は異なる場合があります。
     • セキュリティ スコープとコレクションを追加または削除して、このユーザーの管理スコープをカスタマイズします。

   重要

   ユーザーを作成したら、そのプロパティを表示して 3 つ目のオプションである [ 割り当てられたセキュリティ ロールを特定のセキュリティ スコープとコレクションに関連付ける] を選択します。 詳細については、「 管理ユーザーの管理スコープを変更する」を参照してください。

6. [ OK] を選択 してウィンドウを閉じ、管理ユーザーを作成します。

管理ユーザーの管理スコープを変更する

管理ユーザーの管理スコープを変更するには、ユーザーに関連付けられているセキュリティ ロール、セキュリティ スコープ、コレクションを追加または削除します。 各管理ユーザーは、少なくとも 1 つのセキュリティ ロールと 1 つのセキュリティ スコープに関連付ける必要があります。 ユーザーの管理スコープに 1 つ以上のコレクションを割り当てる必要がある場合があります。 ほとんどのセキュリティ ロールはコレクションと対話し、割り当てられたコレクションがないと正しく機能しません。

管理ユーザーを変更する場合は、割り当てられたセキュリティ ロールにセキュリティ保護可能なオブジェクトがどのように関連付けられているかの動作を変更できます。 選択できる 3 つの動作は次のとおりです。

• 割り当てられたセキュリティ ロールに関連するオブジェクトのすべてのインスタンス: このオプションは、管理ユーザーを [すべての スコープ]、[ すべてのシステム ]、[ すべてのユーザーとユーザー グループ] コレクションに 関連付けます。 ユーザーに割り当てられているセキュリティ ロールは、オブジェクトへのアクセスを定義します。

• 指定したセキュリティ スコープとコレクションに割り当てられているオブジェクトのインスタンスのみ: このオプションは、管理ユーザーを管理ユーザーの構成に使用するアカウントに関連付けられているのと同じセキュリティ スコープとコレクションに関連付けます。 このオプションは、管理ユーザーの管理スコープをカスタマイズするためのセキュリティ ロールとコレクションの追加または削除をサポートします。

• 割り当てられたセキュリティ ロールを特定のセキュリティ スコープとコレクションに関連付ける: このオプションを使用すると、個々のセキュリティ ロールと、ユーザーの特定のセキュリティ スコープとコレクションの間に特定の関連付けを作成できます。

  注:

  このオプションは、管理ユーザーのプロパティを変更する場合にのみ使用できます。

セキュリティ保護可能なオブジェクトの動作の現在の構成によって、追加のセキュリティ ロールを割り当てるために使用するプロセスが変更されます。 管理ユーザーの管理に役立つ、セキュリティ保護可能なオブジェクトのさまざまなオプションに基づく次の手順を使用します。

管理ユーザーのセキュリティ保護可能なオブジェクトの構成を表示および管理するには、次の手順に従います。

管理ユーザーのセキュリティ保護可能なオブジェクトの動作を表示および管理するには

1. Configuration Manager コンソールで、[管理] を選択します。
2. [ 管理 ] ワークスペースで、[ セキュリティ] を展開し、[ 管理ユーザー] を選択します。
3. 変更する管理ユーザーを選択します。
4. [ ホーム ] タブの [ プロパティ ] グループで、[ プロパティ] を選択します。
5. [ セキュリティ スコープ ] タブを選択して、この管理ユーザーのセキュリティ保護可能なオブジェクトの現在の構成を表示します。
6. セキュリティ保護可能なオブジェクトの動作を変更するには、セキュリティ保護可能なオブジェクトの動作に新しいオプションを選択します。 この構成を変更した後、この管理ユーザーのセキュリティ スコープとコレクションとセキュリティ ロールを構成するための詳細なガイダンスについては、適切な手順を参照してください。
7. [ OK] を 選択して手順を完了します。

セキュリティ保護可能なオブジェクトの動作が、 割り当てられたセキュリティ ロールに関連するオブジェクトのすべてのインスタンスに設定されている管理ユーザーを変更するには、次の手順に従います。

オプションの場合: 割り当てられたセキュリティ ロールに関連するオブジェクトのすべてのインスタンス

1. Configuration Manager コンソールで、[管理] を選択します。

2. [ 管理 ] ワークスペースで、[ セキュリティ] を展開し、[ 管理ユーザー] を選択します。

3. 変更する管理ユーザーを選択します。

4. [ ホーム ] タブの [ プロパティ ] グループで、[ プロパティ] を選択します。

5. [ セキュリティ スコープ ] タブを選択して、 割り当てられたセキュリティ ロールに関連するオブジェクトのすべてのインスタンスに対して管理ユーザーが構成されていることを確認します。

6. 割り当てられたセキュリティ ロールを変更するには、[ セキュリティ ロール ] タブを選択します。

   • この管理ユーザーに追加のセキュリティ ロールを割り当てるには、[ 追加] を選択し、割り当てる追加のセキュリティ ロールごとにチェック ボックスをオンにして、[ OK] を選択します。
   • セキュリティ ロールを削除するには、一覧から 1 つ以上のセキュリティ ロールを選択し、[削除] を選択 します。

7. セキュリティ保護可能なオブジェクトの動作を変更するには、[ セキュリティ スコープ ] タブを選択し、セキュリティ保護可能なオブジェクトの動作に新しいオプションを選択します。 この構成を変更した後、この管理ユーザーのセキュリティ スコープとコレクションとセキュリティ ロールを構成するための詳細なガイダンスについては、適切な手順を参照してください。

   注:

   セキュリティ保護可能なオブジェクトの動作が、 割り当てられたセキュリティ ロールに関連するオブジェクトのすべてのインスタンスに設定されている場合、特定のセキュリティ スコープとコレクションを追加または削除することはできません。

8. [ OK] を 選択して、この手順を完了します。

次の手順を使用して、セキュリティ保護可能なオブジェクトの動作が、 指定されたセキュリティ スコープとコレクションに割り当てられているオブジェクトのインスタンスのみに設定されている管理ユーザーを変更します。

オプションの場合: 指定されたセキュリティ スコープとコレクションに割り当てられているオブジェクトのインスタンスのみ

1. Configuration Manager コンソールで、[管理] を選択します。

2. [ 管理 ] ワークスペースで、[ セキュリティ] を展開し、[ 管理ユーザー] を選択します。

3. 変更する管理ユーザーを選択します。

4. [ ホーム ] タブの [ プロパティ ] グループで、[ プロパティ] を選択します。

5. [ セキュリティ スコープ ] タブを選択して、 指定したセキュリティ スコープとコレクションに割り当てられているオブジェクトのインスタンスのみがユーザーに構成されていることを確認します。

6. 割り当てられたセキュリティ ロールを変更するには、[ セキュリティ ロール ] タブを選択します。

   • このユーザーに追加のセキュリティ ロールを割り当てるには、[ 追加] を選択し、割り当てる追加のセキュリティ ロールごとにチェック ボックスをオンにして、[OK] を選択 します。
   • セキュリティ ロールを削除するには、一覧から 1 つ以上のセキュリティ ロールを選択し、[削除] を選択 します。

7. セキュリティ ロールに関連付けられているセキュリティ スコープとコレクションを変更するには、[ セキュリティ スコープ ] タブを選択します。

   • 新しいセキュリティ スコープまたはコレクションを、この管理ユーザーに割り当てられているすべてのセキュリティ ロールに関連付けるには、[ 追加] を選択し、4 つのオプションのいずれかを選択します。 [セキュリティ スコープ] または [コレクション] を選択した場合は、1 つ以上のオブジェクトのチェック ボックスをオンにして選択を完了し、[OK] を選択します。
   • セキュリティ スコープまたはコレクションを削除するには、オブジェクトを選択し、[削除] を選択 します。

8. [ OK] を 選択して、この手順を完了します。

セキュリティ保護可能なオブジェクトの動作が [ 割り当てられたセキュリティ ロールを特定のセキュリティ スコープとコレクションに関連付ける] に設定されている管理ユーザーを変更するには、次の手順に従います。

オプション: 割り当てられたセキュリティ ロールを特定のセキュリティ スコープとコレクションに関連付ける

1. Configuration Manager コンソールで、[管理] を選択します。

2. [ 管理 ] ワークスペースで、[ セキュリティ] を展開し、[ 管理ユーザー] を選択します。

3. 変更する管理ユーザーを選択します。

4. [ ホーム ] タブの [ プロパティ ] グループで、[ プロパティ] を選択します。

5. [ セキュリティ スコープ ] タブを選択して、管理ユーザーが 特定のセキュリティ スコープとコレクションに割り当てられたセキュリティ ロールを関連付けるために構成されていることを確認します。

6. 割り当てられたセキュリティ ロールを変更するには、[ セキュリティ ロール ] タブを選択します。

   • この管理ユーザーに追加のセキュリティ ロールを割り当てるには、[ 追加] を選択します。 [ セキュリティ ロールの追加 ] ダイアログ ボックスで、使用可能な 1 つ以上のセキュリティ ロールを選択し、[ 追加] を選択し、選択したセキュリティ ロールに関連付けるオブジェクトの種類を選択します。 [セキュリティ スコープ] または [コレクション] を選択した場合は、1 つ以上のオブジェクトのチェック ボックスをオンにして選択を完了し、[OK] を選択します。

     注:

     選択したセキュリティ ロールを管理ユーザーに割り当てる前に、少なくとも 1 つのセキュリティ スコープを構成する必要があります。 複数のセキュリティ ロールを選択すると、構成する各セキュリティ スコープとコレクションが、選択した各セキュリティ ロールに関連付けられます。

   • セキュリティ ロールを削除するには、一覧から 1 つ以上のセキュリティ ロールを選択し、[削除] を選択 します。

7. 特定のセキュリティ ロールに関連付けられているセキュリティ スコープとコレクションを変更するには、[ セキュリティ スコープ ] タブを選択し、セキュリティ ロールを選択して、[編集] を選択 します。

   • 新しいオブジェクトをこのセキュリティ ロールに関連付けるには、[ 追加] を選択し、選択したセキュリティ ロールに関連付けるオブジェクトの種類を選択します。 [セキュリティ スコープ] または [コレクション] を選択した場合は、1 つ以上のオブジェクトのチェック ボックスをオンにして選択を完了し、[OK] を選択します。

     注:

     少なくとも 1 つのセキュリティ スコープを構成する必要があります。

   • このセキュリティ ロールに関連付けられているセキュリティ スコープまたはコレクションを削除するには、オブジェクトを選択し、[削除] を選択 します。

   • 関連付けられているオブジェクトの変更が完了したら、[ OK] を選択します。

8. [ OK] を 選択して、この手順を完了します。

   注意

   セキュリティ ロールが管理ユーザーにコレクション展開アクセス許可を付与すると、その管理ユーザーは、そのセキュリティ スコープが別のセキュリティ ロールに関連付けられている場合でも、オブジェクト の読み取り アクセス許可を持つ任意のセキュリティ スコープからオブジェクトを配布できます。

Windows PowerShellを使用して自動化する

次の PowerShell コマンドレットを使用して、これらのタスクの一部を自動化できます。

管理ユーザーの管理:

• Get-CMAdministrativeUser: 管理ユーザー オブジェクトを取得します。
• New-CMAdministrativeUser: 新しい管理ユーザーを作成します。
• New-CMAdministrativeUserPermission: {{ Fill in the Synopsis }}
• Remove-CMAdministrativeUser: 管理ユーザーを削除します。

ユーザーのロールとスコープを管理する:

• Add-CMSecurityRoleToAdministrativeUser: ユーザーまたはグループにセキュリティ ロールを追加します。
• Remove-CMSecurityRoleFromAdministrativeUser: セキュリティ ロールと管理ユーザーの間の関連付けを削除します。
• Add-CMSecurityScopeToAdministrativeUser: ユーザーまたはグループにセキュリティ スコープを追加します。
• Remove-CMSecurityScopeFromAdministrativeUser: セキュリティ スコープと管理ユーザーの間の関連付けを削除します。

セキュリティ ロールを管理する:

• Copy-CMSecurityRole: カスタム セキュリティ ロールを作成します。
• Export-CMSecurityRole: セキュリティ ロールを XML ファイルにエクスポートします。
• Get-CMSecurityRole: セキュリティ ロールを取得します。
• Import-CMSecurityRole: XML ファイルからセキュリティ ロールをインポートします。
• Remove-CMSecurityRole: カスタム セキュリティ ロールを削除します。
• Set-CMSecurityRole: セキュリティ ロールの構成設定を変更します。

セキュリティ ロールに対するアクセス許可を管理する:

• Get-CMSecurityRolePermission: セキュリティ ロールのアクセス許可を取得します。
• Set-CMSecurityRolePermission: 特定のアクセス許可を持つセキュリティ ロールを構成します。

セキュリティ スコープを管理する:

• Get-CMSecurityScope: セキュリティ スコープを取得します。
• New-CMSecurityScope: セキュリティ スコープを作成します。
• Remove-CMSecurityScope: セキュリティ スコープを削除します。
• Set-CMSecurityScope: セキュリティ スコープを構成します。

オブジェクトのセキュリティ スコープを管理する:

• Add-CMObjectSecurityScope: オブジェクトにセキュリティ スコープを追加します。
• Get-CMObjectSecurityScope: Configuration Manager オブジェクトのセキュリティ スコープを取得します。
• Remove-CMObjectSecurityScope: Configuration Manager オブジェクトからセキュリティ スコープを削除します。

次の手順

ロールベースの管理と監査ツール

Configuration Managerで使用されるアカウント