Configuration Manager の役割ベースの管理の基本

  • [アーティクル]

適用対象: Configuration Manager (現在のブランチ)

Configuration Manager では、役割ベースの管理を使用して、管理ユーザーが Configuration Manager を使用するために必要なアクセスをセキュリティで保護します。 また、コレクション、展開、サイトなど、管理するオブジェクトへのアクセスをセキュリティで保護します。

役割ベースの管理モデルは、階層全体のセキュリティ アクセスを一中心に定義および管理します。 このモデルは、次の項目を使用して、すべてのサイトとサイト設定を使用します。

  • セキュリティ ロールは 管理ユーザーに割り当て、Configuration Manager オブジェクトへのアクセス許可を付与します。 たとえば、クライアント設定を作成または変更する権限。

  • セキュリティ スコープは、 管理ユーザーが管理を担当するオブジェクトの特定のインスタンスをグループ化するために使用されます。 たとえば、Configuration Manager コンソールをインストールするアプリケーションなどです。

  • コレクションは 、管理ユーザーが Configuration Manager で管理できるユーザーとデバイスのグループを指定するために使用されます。

役割、スコープ、およびコレクションを組み合わせて、組織の要件を満たす管理割り当てを分離します。 一緒に使用して、ユーザー の管理スコープ を定義します。 この管理スコープは、Configuration Manager コンソールで管理ユーザーが表示するオブジェクトを制御し、ユーザーがそれらのオブジェクトに対して持つアクセス許可を制御します。

利点

次の項目は、Configuration Manager での役割ベースの管理の利点です。

  • サイトは管理境界として使用されません。 つまり、管理ユーザーを分離するために、サーバーの全体管理サイトがある階層にスタンドアロンプライマリ サイトを展開しない。

  • 階層の管理ユーザーを作成し、一度だけセキュリティを割り当てる必要があります。

  • すべてのセキュリティ割り当てはレプリケートされ、階層全体で使用できます。 役割ベースの管理構成は、階層内の各サイトにグローバル データとしてレプリケートされ、すべての管理接続に適用されます。

    重要

    サイト間レプリケーションの遅延により、サイトが役割ベースの管理の変更を受け取るのを防ぐ可能性があります。 サイト間データベースレプリケーションを監視する方法の詳細については、「サイト間の データ転送」を参照してください

  • 一般的な管理タスクの割り当てに使用される組み込みのセキュリティ ロールがあります。 独自のカスタム セキュリティ ロールを作成して、特定のビジネス要件をサポートします。

  • 管理ユーザーには、管理する権限を持つオブジェクトだけが表示されます。

  • 管理セキュリティアクションを監査できます。

セキュリティ ロール

セキュリティ ロールを使用して、管理ユーザーにセキュリティアクセス許可を付与します。 セキュリティ ロールは、管理ユーザーが管理タスクを実行できるよう、管理ユーザーに割り当てるセキュリティアクセス許可のグループです。 これらのセキュリティアクセス許可は、管理ユーザーが実行できるアクションと、特定のオブジェクトの種類に対して付与されるアクセス許可を定義します。 セキュリティのベスト プラクティスとして、タスクに必要な最小のアクセス許可を提供するセキュリティ ロールを割り当てます。

Configuration Manager には、管理タスクの一般的なグループ化をサポートするために、いくつかの組み込みのセキュリティ ロールがあります。 独自のカスタム セキュリティ ロールを作成して、特定のビジネス要件をサポートできます。

次の表に、組み込みのすべての役割の概要を示します。

名前 説明
アプリケーション管理者 アプリケーション展開マネージャーとアプリケーション 作成者の役割の アクセス 許可を組み合 わせたもの。 この役割の管理ユーザーは、クエリの管理、サイト設定の表示、コレクションの管理、ユーザー デバイスアフィニティの設定の編集、App-V 仮想環境の管理も行えます。
アプリケーション作成者 アプリケーションを作成、変更、および廃止できます。 この役割の管理ユーザーは、アプリケーション、パッケージ、および App-V 仮想環境も管理できます。
アプリケーション展開マネージャー アプリケーションを展開できます。 この役割の管理ユーザーは、アプリケーションの一覧を表示できます。 アプリケーション、アラート、パッケージの展開を管理できます。 コレクションとそのメンバー、状態メッセージ、クエリ、条件付き配信ルール、および App-V 仮想環境を表示できます。
アセット マネージャー アセット インテリジェンス同期ポイント、アセット インテリジェンス レポート クラス、ソフトウェア インベントリ、ハードウェア インベントリ、および計測ルールを管理するためのアクセス許可を付与します。
会社のリソース アクセス マネージャー 会社のリソース アクセス プロファイルを作成、管理、展開するためのアクセス許可を付与します。 たとえば、Wi-Fi、VPN、電子メールExchange ActiveSync証明書プロファイルなどです。
コンプライアンス設定マネージャー コンプライアンス設定を定義および監視するためのアクセス許可を付与します。 この役割の管理ユーザーは、構成項目と基準を作成、変更、および削除できます。 また、構成基準をコレクションに展開し、コンプライアンス評価を開始し、非準拠のコンピューターの修復を開始することもできます。
エンドポイント保護マネージャー エンドポイント保護ポリシーを作成、変更、および削除するためのアクセス許可を付与します。 これらのポリシーをコレクションに展開し、アラートを作成および変更し、エンドポイント保護の状態を監視できます。
完全な管理者 Configuration Manager のすべてのアクセス許可を付与します。 Configuration Manager をインストールする管理ユーザーには、このセキュリティ ロール、すべてのスコープ、およびすべてのコレクションが自動的に付与されます。
インフラストラクチャ管理者 Configuration Manager サーバー インフラストラクチャを作成、削除、および変更し、移行タスクを実行するためのアクセス許可を付与します。
オペレーティング システムの展開マネージャー OS イメージを作成し、コンピューターに展開し、OS アップグレード パッケージとイメージ、タスク シーケンス、ドライバー、ブート イメージ、および状態移行設定を管理するためのアクセス許可を付与します。
運用管理者 セキュリティを管理するためのアクセス許可を除く、Configuration Manager のすべてのアクションに対するアクセス許可を付与します。 この役割では、管理ユーザー、セキュリティ ロール、およびセキュリティ スコープを管理できない。
読み取り専用アナリスト すべての Configuration Manager オブジェクトを表示するためのアクセス許可を付与します。
リモート ツールオペレーター ユーザーがコンピューターの問題を解決するのに役立つリモート管理ツールを実行および監査するためのアクセス許可を付与します。 この役割の管理ユーザーは、Configuration Manager コンソールからリモート コントロール、リモート アシスタンス、リモート デスクトップを実行できます。
セキュリティ管理者 管理ユーザーを追加および削除し、管理ユーザーをセキュリティ ロール、コレクション、およびセキュリティ スコープに関連付けるアクセス許可を付与します。 この役割の管理ユーザーは、セキュリティ ロールと割り当てられたセキュリティ スコープとコレクションを作成、変更、および削除することもできます。
ソフトウェア更新マネージャー ソフトウェア更新プログラムを定義および展開するためのアクセス許可を付与します。 この役割の管理ユーザーは、ソフトウェア更新グループ、展開、展開テンプレートを管理できます。

ヒント

アクセス許可がある場合は、Configuration Manager コンソールですべてのセキュリティ ロールの一覧を表示できます。 役割を表示するには、[管理]ワークスペースに移動し、[セキュリティ] を展開し、[セキュリティの役割 ] ノードを選択 します。

組み込みのセキュリティ ロールは、管理ユーザーを追加する以外は変更できない。 役割をコピーし、変更を加え、これらの変更を新しいカスタム セキュリティ ロールとして保存できます。 また、ラボ環境のように別の階層からエクスポートしたセキュリティ ロールをインポートすることもできます。 詳細については、「役割ベースの 管理を構成する」を参照してください

セキュリティ ロールとそのアクセス許可を確認して、組み込みのセキュリティ ロールを使用するかどうか、または独自のカスタム セキュリティ ロールを作成する必要があるかどうかを判断します。

ロール権限

各セキュリティ ロールには、さまざまなオブジェクトの種類に対する特定のアクセス許可があります。 たとえば、アプリケーション作成者 の役割には 、アプリケーションに対する次のアクセス 許可があります

  • 承認する
  • 作成する
  • 削除
  • 変更
  • フォルダーの変更
  • Move オブジェクト
  • 読み取り
  • レポートの実行
  • セキュリティ スコープの設定

このロールには、他のオブジェクトに対するアクセス許可も含まれています。

アプリケーション作成者組み込みロールの [アクセス許可] タブ

役割のアクセス許可を表示する方法、またはカスタム ロールのアクセス許可を変更する方法の詳細については 、「Configure role-based Administration 」を参照してください

セキュリティ ロールを計画する

このプロセスを使用して、環境内の Configuration Manager のセキュリティ ロールを計画します。

  1. Configuration Manager で管理ユーザーが実行する必要があるタスクを特定します。 これらのタスクは、管理タスクの 1 つ以上のグループに関連する場合があります。 たとえば、コンプライアンスのオペレーティング システムと設定を展開します。

  2. これらの管理タスクを 1 つ以上の組み込みロールにマップします。

  3. 一部の管理ユーザーが複数の役割のタスクを実行する場合は、ユーザーを複数の役割に割り当てます。 アクセス許可を組み合わせたカスタム ロールを作成しない。

  4. 特定したタスクが組み込みのセキュリティ ロールにマップされていない場合は、カスタム ロールを作成してテストします。

詳細については、「Create custom security roles and Configure security roles」を参照してください

コレクション

コレクションは、管理ユーザーが表示または管理できるユーザーとデバイスを指定します。 たとえば、アプリケーションをデバイスに展開するには、管理ユーザーが、デバイスを含むコレクションへのアクセスを許可するセキュリティ ロールに含まれている必要があります。

コレクションの詳細については、「コレクションの概要 」を参照してください

役割ベースの管理を構成する前に、次の理由で新しいコレクションを作成する必要があるかどうかを決定します。

  • 機能組織。 たとえば、サーバーとワークステーションのコレクションを分離します。
  • 地理的な配置。 たとえば、北米とヨーロッパのコレクションを分離します。
  • セキュリティ要件とビジネス プロセス。 たとえば、実稼働コンピューターとテスト コンピューターのコレクションを分離します。
  • 組織の配置。 たとえば、各ビジネス ユニットに対して個別のコレクションを作成します。

詳細については、「Configure collections to manage security 」を参照してください

セキュリティ スコープ

セキュリティ スコープを使用して、管理ユーザーにセキュリティ保護可能なオブジェクトへのアクセスを提供します。 セキュリティ スコープは、管理者ユーザーにグループとして割り当てられるセキュリティ保護可能なオブジェクトの名前付きセットです。 セキュリティ保護可能なすべてのオブジェクトは、1 つ以上のセキュリティ スコープに割り当てられます。 Configuration Manager には、次の 2 つの組み込みのセキュリティ スコープがあります。

  • All: すべてのスコープへのアクセスを許可します。 このセキュリティ スコープにオブジェクトを割り当てない。

  • Default: このスコープは、既定ですべてのオブジェクトに使用されます。 Configuration Manager をインストールすると、すべてのオブジェクトがこのセキュリティ スコープに割り当てされます。

管理ユーザーが表示および管理できるオブジェクトを制限する場合は、独自のカスタム セキュリティ スコープを作成します。 セキュリティ スコープは階層構造をサポートし、入れ子にすることはできません。 セキュリティ スコープには、次の項目を含む 1 つ以上のオブジェクトの種類を含めできます。

  • アラート サブスクリプション
  • アプリケーションとアプリケーション グループ
  • App-V 仮想環境
  • ブート イメージ
  • 境界グループ
  • 構成項目と基準
  • カスタム クライアント設定
  • 配布ポイントと配布ポイント グループ
  • ドライバー パッケージ
  • エンドポイント保護ポリシー (すべて)
  • フォルダー
  • グローバル条件
  • 移行ジョブ
  • OneDrive for Businessプロファイル
  • OS イメージ
  • OS アップグレード パッケージ
  • パッケージ
  • クエリ
  • リモート接続プロファイル
  • スクリプト
  • サイト
  • ソフトウェア メータリングルール
  • ソフトウェア更新グループ
  • ソフトウェア更新プログラム パッケージ
  • タスク シーケンス
  • ユーザー データとプロファイルの構成項目
  • Windowsの更新ポリシー

また、セキュリティ の役割によってのみセキュリティで保護されているオブジェクトもいくつかあるため、セキュリティ スコープに含めできないオブジェクトがあります。 これらのオブジェクトへの管理アクセスは、使用可能なオブジェクトのサブセットに限定できません。 たとえば、特定のサイトに使用される境界グループを作成する管理ユーザーがいます。 境界オブジェクトはセキュリティ スコープをサポートしないので、このユーザーに、そのサイトに関連付けられている可能性のある境界へのアクセスのみを提供するセキュリティ スコープを割り当ては行いません。 境界オブジェクトをセキュリティ スコープに関連付けできないので、境界オブジェクトへのアクセスを含むセキュリティ ロールをユーザーに割り当てると、そのユーザーは階層内のすべての境界にアクセスできます。

セキュリティ スコープをサポートしないオブジェクトには、次の項目が含まれますが、これらに限定されません。

  • Active Directory フォレスト
  • 管理ユーザー
  • アラート
  • 境界
  • コンピューターの関連付け
  • 既定のクライアント設定
  • 展開テンプレート
  • デバイス ドライバー
  • サイト間マッピングの移行
  • セキュリティ ロール
  • セキュリティ スコープ
  • サイト のアドレス
  • サイト システムの役割
  • ソフトウェア更新プログラム
  • ステータス メッセージ
  • ユーザー デバイスのアフィニティ

オブジェクトの個別のインスタンスへのアクセスを制限する必要がある場合は、セキュリティ スコープを作成します。 例:

  • アプリケーションのテストではなく、実稼働アプリケーションを表示する必要がある管理ユーザーのグループがあります。 実稼働アプリケーション用とテスト アプリケーション用の 1 つのセキュリティ スコープを作成します。

  • 管理ユーザーの 1 つのグループには、特定のソフトウェア更新プログラム グループに対する読み取りアクセス許可が必要です。 管理ユーザーの別のグループには、他のソフトウェア更新プログラム グループの変更と削除のアクセス許可が必要です。 これらのソフトウェア更新プログラム グループに異なるセキュリティ スコープを作成します。

詳細については 、「Configure security scopes for an object 」を参照してください

次の手順

Configuration Manager の役割ベースの管理を構成する