ユーザー ロールの実装
重要
このバージョンの Operations Manager はサポート終了に達しました。 Operations Manager 2022 にアップグレードすることをお勧めします。
System Center Operations Manager では、ユーザー ロールを使用して、監視データにアクセスしてアクションを実行するために必要な権限を割り当てます。 ユーザー ロールは、同じ監視対象オブジェクトのグループにアクセスしてアクションを実行する必要のあるユーザー グループに適用されるように設計されています。 既定では、Operations Manager 管理者アカウントだけにすべての監視データを表示および操作する権利があります。 その他のユーザーが特定またはすべての監視データを表示または操作できるようにするには、そのユーザーにユーザー ロールを割り当てる必要があります。
ユーザー ロールは、ユーザー ロールの作成ウィザードを使用して作成します。 このウィザードでは、このユーザー ロールを割り当てる Active Directory セキュリティ グループ、このユーザーがアクセスできる監視対象オブジェクトの Operations Manager グループまたはグループ、およびこのユーザー ロールがアクセスできるタスク、ダッシュボード、およびビューを構成します。
ユーザー ロールは、次の図に示すように、プロファイルとスコープの組み合わせです。 一人のユーザーに複数のロールを割り当てることができます。この場合、割り当てたすべてのユーザー ロール全体がスコープになります。
プロファイルを理解する
管理グループでユーザー ロールを作成する前に、作成するユーザー ロールに適用されるプロファイルを 1 つ選択します。 プロファイルによって、ユーザーが実行できるアクションが決まります。 プロファイルには権限のセットが定義されており、これらの割り当てられた権限を追加または削除することはできません。 オペレーターやその他のユーザーのユーザー ロールを作成する場合は、System Center - Operations Manager の展開においてそのユーザー グループの責任に最も近いプロファイルを選択してください。
Operations Manager はエンタープライズにデプロイされたインフラストラクチャ、ワークロード、またはアプリケーションを監視できるエンタープライズ監視プラットフォームであるため、さまざまなインシデント エスカレーション サポート レベルまたはアプリケーション開発者チームが、その役割に関連する運用データを確認できるように、データを監視するためのアクセスをサービス操作プロセスに合わせて調整することができます。 ロール ベースのセキュリティを構築することで、Operations Manager の各種側面に対するユーザー特権を限定できます。
重要
ユーザー ロールのメンバーにコンピューターのアカウントを追加すると、そのコンピューターのすべてのサービスが Operations Manager にアクセスできるようになります。 どのユーザー ロールにもマシン アカウントを追加しないことをお勧めします。
Operations Manager では、アラートの解決、タスクの実行、モニターのオーバーライド、ユーザー ロールの作成、アラートの表示、イベントの表示などの操作がプロファイルにグループ化されています。次の表に示すように、各プロファイルは特定のジョブ機能を表しています。 各プロファイルに関連付けられた特定の操作の一覧については、「 Operations Associated with User Role Profiles」を参照してください。
Note
スコープは、プロファイルに限定的に関連付けられるエンティティ グループ、オブジェクトの種類、タスク、またはビューを定義します。 すべてのプロファイルにすべてのスコープが適用されるわけではありません。
| プロファイル | ジョブ機能とスコープ |
|---|---|
| 管理者 | Operations Manager で利用できる完全な特権が含まれています。 注: 管理者ロールには、Active Directory セキュリティ グループのみ追加可能です。 |
| 高度なオペレーター | オペレーターの特権に加えて、監視構成へのアクセスを制限することが必要なユーザー用に定義された特権のセットが含まれます。 メンバーは、構成されたスコープ内にある特定のターゲットまたはターゲット グループに対するルールや監視の構成をオーバーライドすることを許可されます。 高度なオペレーターはオペレーターの特権も継承します。 |
| アプリケーション監視オペレーター | アプリケーション診断へのアクセスが必要なユーザー用の特権のセットが含まれます。 アプリケーション監視オペレーターのプロファイルに基づくユーザー ロールにより、メンバーはアプリケーション診断 Web コンソールでアプリケーション監視イベントを確認できるようになります。 注:Application Advisor 機能へのアクセスには、レポート オペレーターまたは管理者のプロファイルが必要です。 |
| Author | 監視構成の作成を行うように定義された特権のセットが含まれます。 メンバーは、構成されたスコープ内の特定のターゲットまたはターゲットのグループに対する監視構成 (タスク、ルール、モニター、およびビューなど) を作成、編集、および削除することを許可されます。 |
| 演算子 | アラート、ビュー、およびタスクへのアクセスが必要なユーザー用に定義された特権のセットが含まれます。 メンバーは、構成されたスコープに応じて、アラートとの対話、タスクの実行、およびビューへのアクセスを行うことを許可されます。 セキュリティに関する注意: ダッシュボード ビューでデータ ウェアハウス データベースのデータが使用されている場合、オペレーターは、操作データベースのデータを使用するビューで、アクセスできないデータを表示できる場合があります。 |
| 読み取り専用オペレーター | アラートおよびビューへの読み取り専用のアクセスが必要なユーザー用に定義された特権のセットが含まれます。 メンバーは、構成されたスコープに応じて、アラートの表示やビューへのアクセスを行うことを許可されます。 メモ: 読み取り専用オペレーター ロールのメンバーには、タスクの状態ビューに対する権限が割り当てられていません。 セキュリティに関する注意: ダッシュボード ビューでデータ ウェアハウス データベースのデータが使用されている場合、オペレーターは、操作データベースのデータを使用するビューで、アクセスできないデータを表示できる場合があります。 |
| レポート オペレーター | レポートへのアクセスが必要なユーザー用に定義された特権のセットが含まれます。 メンバーは、構成されたスコープに応じて、レポートの表示を行うことを許可されます。 注意:このロールに割り当てられたユーザーは、レポート Data Warehouse内のすべてのレポート データにアクセスでき、スコープによって制限されません。 |
| レポート セキュリティ管理者 | SQL Server の Reporting Services のセキュリティと Operations Manager のユーザー ロールを統合できます。 これにより、Operations Manager 管理者はレポートへのアクセスを制御できるようになります。 このロールは、1 つのメンバー アカウントのみを持つ可能性があり、スコープを設定することはできません。 |
Operations Manager 2022 では、上記に一覧表示されている既存のジョブ プロファイルに加えて、次の新しいジョブ プロファイルがサポートされています。
| プロファイル | ジョブ機能とスコープ |
|---|---|
| 読み取り専用の管理者 | レポートと共に Operations Manager のすべての読み取り権限を含みます。 |
| 委任された管理者 | レポート以外の Operations Manager のすべての読み取り権限を含みます。 メンバーは、基本プロファイルとして委任された管理者を持つカスタム ユーザー ロールを作成することが許可されます。 |
Operations Manager グループを使用したスコープの定義
ユーザー ロールのスコープにより、System Center – Operations Manager においてそのユーザー ロールが表示および操作を実行できるオブジェクトが決定されます。 スコープは 1 つ以上の Operations Manager グループで構成され、ユーザー ロールの作成ウィザードの一部としてユーザー ロールを作成するときに定義されます。 ユーザー ロールの作成ウィザード の [グループのスコープ] ページには、既存の Operations Manager グループすべての一覧が表示されます。 作成するユーザー ロールのスコープとして、これらのグループのすべてまたは一部を選択できます。
他の Operations Manager オブジェクトと同様に、グループは管理パックで定義されます。 Operations Manager のグループとは、オブジェクトの論理的な集合 (Windows ベースのコンピューター、ハード ディスク、Microsoft SQL Server のインスタンスなど) です。 いくつかのグループは、Operations Manager のインストール時に自動的にインポートされる管理パックによって作成されます。 これらのグループにスコープに必要な監視対象オブジェクトが含まれていない場合は、そのグループを作成できます。 これを行うには、 ユーザー ロールの作成ウィザードを終了して [監視] ワークスペースに切り替えた後、 グループの作成ウィザード を使用してニーズに合ったグループを作成する必要があります。
タスク、ダッシュボード、ビューの割り当て
タスクは、ユーザーによってオペレーション コンソールから開始され、Operations Manager エージェント上またはコンソールが起動されるシステム上で実行されるアクションです。 作成しているユーザー ロールに付与するタスクは、作成するユーザー ロールに対してこれらの特定のコマンドまたはアクションを実行できます。 既定の設定では、ユーザー ロールを割り当てられているすべてのユーザーは、自身のプロファイルとスコープで許可されている限り、すべてのタスクを実行でき、すべてのダッシュボードとビューを開くことができます。 [ ユーザー ロールの作成] ウィザードの [タスク] ページの別の方法は、作成しているユーザー ルールがアクセスできる特定のタスクを一覧表示することです。 同様に、[ ユーザー ロール ダッシュボードとビューの作成 ] ページでは、どのダッシュボードとビューにアクセスできるか、および [タスク] ウィンドウからアクセスできる特定のダッシュボードを指定します。
組み込みユーザー ロールにメンバーを割り当てる方法
Operations Manager は、セットアップ中に作成される 8 種類の標準ユーザー ロールを備えています。 この組み込みユーザー ロールにグループと個人を直接割り当てることで、特定のタスクを実行し、特定の情報にアクセスできるようになります。 これらの組み込みロールには、管理グループに対するグローバル スコープがあります。
ユーザーのスコープを制限するには、新しいユーザー ロールを作成します。
組み込みユーザー ロールにメンバーを割り当てるには
オペレーション コンソールで、[管理] を選択 します。
[ セキュリティ] で、[ ユーザー ロール] を選択します。
結果ウィンドウで、 Operations Manager オペレーターなどの任意のユーザー ロールを右クリックし、[プロパティ] を選択 します。
[ 全般プロパティ ] タブの [ ユーザー ロール メンバー] で、[追加] を選択 します。
[ 選択するオブジェクト名を入力してください] で、ユーザー ロールに追加するユーザーまたはグループ アカウントの名前を入力し、[ OK] を 選択してダイアログを閉じます。
[ OK] を選択 して、ユーザー ロールのプロパティを閉じます。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示