Workspace ONE Access でのローカルグループの作成とグループルールの構成

Workspace ONE Access サービスでグループの作成、グループへのメンバーの追加、グループルールの作成を実行できます。その後、定義したルールに基づいてグループをポピュレートできます。

ユーザーに個別に使用資格を付与するのではなく、グループを使用して、同じリソースの使用資格を複数のユーザーにまとめて付与します。ユーザーは複数のグループに属することができます。たとえば、セールスグループと管理グループを作成した場合、セールスマネージャは両方のグループに属することができます。

グループのメンバーに適用するポリシー設定を指定できます。グループに属するユーザーは、ユーザー属性に設定するルールで定義します。ユーザー属性の値が、定義されたグループルールの値から変更されると、ユーザーはグループから削除されます。

手順

Workspace ONE Access コンソールの [ユーザーとグループ] タブで、[グループ] をクリックします。
[グループを追加] をクリックします。
グループ名とグループの説明を入力します。[次へ] をクリックします。
グループにユーザーを追加します。グループにユーザーを追加するには、ユーザー名に含まれるいくつかの文字を入力します。テキストを入力すると、一致する名前が表示されます。
ユーザー名を選択し、[ユーザーを追加] をクリックします。
続けてグループにメンバーを追加します。
グループにユーザーを追加したら、[次へ] をクリックします。

[グループルール] ページで、グループメンバーシップを付与する方法を選択します。ドロップダウンメニューで、[任意] または [すべて] を選択します。

オプション	操作
任意	グループメンバーシップのいずれかの条件が満たされた場合にグループメンバーシップを付与します。この操作は OR 条件のように機能します。たとえば、[グループが次であるもの：セールス] というルールと [グループが次であるもの：マーケティング] というルールに [任意] を選択すると、セールスとマーケティングのスタッフにこのグループのメンバーシップが付与されます。
すべて	グループメンバーシップのすべての条件が満たされた場合にグループメンバーシップを付与します。[すべて] は AND 条件のように機能します。たとえば、[グループが次であるもの：セールス] と [メールアドレスが次で始まるもの：'western_region'] というルールに [次のすべて] を選択すると、西部地域のセールススタッフだけにこのグループのメンバーシップが付与されます。その他の地域のセールススタッフにメンバーシップは付与されません。

オプション

操作

任意

グループメンバーシップのいずれかの条件が満たされた場合にグループメンバーシップを付与します。この操作は OR 条件のように機能します。たとえば、[グループが次であるもの：セールス] というルールと [グループが次であるもの：マーケティング] というルールに [任意] を選択すると、セールスとマーケティングのスタッフにこのグループのメンバーシップが付与されます。

すべて

グループメンバーシップのすべての条件が満たされた場合にグループメンバーシップを付与します。[すべて] は AND 条件のように機能します。たとえば、[グループが次であるもの：セールス] と [メールアドレスが次で始まるもの：'western_region'] というルールに [次のすべて] を選択すると、西部地域のセールススタッフだけにこのグループのメンバーシップが付与されます。その他の地域のセールススタッフにメンバーシップは付与されません。

グループに 1 つ以上のルールを構成します。ルールはネストできます。

オプション	説明
属性	最初の列のドロップダウンメニューから、いずれかの属性を選択します。[グループ] を選択すると、作成するグループに既存のグループを追加できます。その他の種類の属性を追加して、グループ内のどのユーザーを、作成するグループのメンバーにするかを管理できます。
属性ルール	選択した属性に応じて次のルールを使用できます。このグループに関連付けるグループまたはディレクトリを選択する場合は、[次であるもの] を選択します。テキストボックスに名前を入力します。入力すると、選択可能なグループまたはディレクトリのリストが表示されます。除外するグループまたはディレクトリを選択する場合は、[次ではないもの] を選択します。テキストボックスに名前を入力します。入力すると、選択可能なグループまたはディレクトリのリストが表示されます。入力した条件と完全に一致するエントリにグループメンバーシップを付与する場合は、[次と一致するもの] を選択します。たとえば、代表電話番号を共有する出張担当部署があるとします。その電話番号を共有するすべての従業員に対して旅行予約アプリケーションへのアクセス権を付与する場合は、「電話番号が次と一致するもの：(555) 555-1000」などのルールを作成します。入力した条件に一致するディレクトリサーバエントリを除いてグループメンバーシップを付与する場合は、[次と一致しないもの] を選択します。たとえば、いずれかの部署で代表電話番号を共有している場合に、その部署でソーシャルネットワーキングアプリケーションにアクセスできないようにするには、「電話番号が次と一致しないもの：(555) 555-2000」などのルールを作成します。入力した条件で始まるディレクトリサーバエントリにグループメンバーシップを付与する場合は、[次で始まるもの] を選択します。たとえば、組織のメールアドレスが [email protected] のように部署名から始まるとします。セールススタッフ全員にアプリケーションへのアクセス権を付与する場合は、「メールアドレスが次で始まるもの：sales_」などのルールを作成できます。入力した条件で始まるディレクトリサーバエントリを除いてグループメンバーシップを付与する場合は、[次で始まらないもの] を選択します。たとえば、人事部のメールアドレスが [email protected] という形式である場合は、「メールアドレスが次で始まらないもの：hr_」などのルールを設定すれば、人事部からのアプリケーションへのアクセスを拒否できます。この場合、それ以外のメールアドレスを使用するディレクトリサーバエントリからは、アプリケーションにアクセスできます。
[任意] または [すべて] の属性の使用	（オプション）[任意] または [すべて] の属性をグループルールの一部に含めるには、最後にこのルールを追加します。 [任意] を選択すると、このルールでグループメンバーシップのいずれかの条件が満たされた場合にグループメンバーシップが付与されます。[任意] を使用するとルールをネストできます。たとえば、「グループが次であるもの：セールス」と「グループが次であるもの：カリフォルニア」の両方を指定するルールを作成できます。「グループが次であるもの：カリフォルニア」の場合に [次のいずれか] を選択して、「電話番号が次で始まるもの：415」、「電話番号が次で始まるもの：510」を指定します。グループメンバーは、カリフォルニアセールススタッフに所属し、電話番号が 415 または 510 のいずれかで始まる必要があります。 [すべて] を選択すると、このルールですべての条件が満たされた場合にグループメンバーシップが付与されます。ここではルールをネストする方法を説明します。たとえば、「グループが次であるもの：マネージャ」と「グループが次であるもの：カスタマサービス」のいずれかを指定するルールを作成します。「グループが次であるもの：カスタマサービス」の場合に、[次のすべて] を選択して、「メールアドレスが次で始まるもの：cs_」、「電話番号が次で始まるもの：555」を指定します。この場合、グループメンバーは、マネージャまたはカスタマサービス担当者のいずれかで、かつカスタマサービス担当者の場合はメールアドレスが「cs_」で始まり、電話番号が「555」で始まるものに限定されます。

オプション

説明

属性

最初の列のドロップダウンメニューから、いずれかの属性を選択します。[グループ] を選択すると、作成するグループに既存のグループを追加できます。その他の種類の属性を追加して、グループ内のどのユーザーを、作成するグループのメンバーにするかを管理できます。

属性ルール

選択した属性に応じて次のルールを使用できます。

このグループに関連付けるグループまたはディレクトリを選択する場合は、[次であるもの] を選択します。テキストボックスに名前を入力します。入力すると、選択可能なグループまたはディレクトリのリストが表示されます。
除外するグループまたはディレクトリを選択する場合は、[次ではないもの] を選択します。テキストボックスに名前を入力します。入力すると、選択可能なグループまたはディレクトリのリストが表示されます。
入力した条件と完全に一致するエントリにグループメンバーシップを付与する場合は、[次と一致するもの] を選択します。たとえば、代表電話番号を共有する出張担当部署があるとします。その電話番号を共有するすべての従業員に対して旅行予約アプリケーションへのアクセス権を付与する場合は、「電話番号が次と一致するもの：(555) 555-1000」などのルールを作成します。
入力した条件に一致するディレクトリサーバエントリを除いてグループメンバーシップを付与する場合は、[次と一致しないもの] を選択します。たとえば、いずれかの部署で代表電話番号を共有している場合に、その部署でソーシャルネットワーキングアプリケーションにアクセスできないようにするには、「電話番号が次と一致しないもの：(555) 555-2000」などのルールを作成します。
入力した条件で始まるディレクトリサーバエントリにグループメンバーシップを付与する場合は、[次で始まるもの] を選択します。たとえば、組織のメールアドレスが [email protected] のように部署名から始まるとします。セールススタッフ全員にアプリケーションへのアクセス権を付与する場合は、「メールアドレスが次で始まるもの：sales_」などのルールを作成できます。
入力した条件で始まるディレクトリサーバエントリを除いてグループメンバーシップを付与する場合は、[次で始まらないもの] を選択します。たとえば、人事部のメールアドレスが [email protected] という形式である場合は、「メールアドレスが次で始まらないもの：hr_」などのルールを設定すれば、人事部からのアプリケーションへのアクセスを拒否できます。この場合、それ以外のメールアドレスを使用するディレクトリサーバエントリからは、アプリケーションにアクセスできます。

[任意] または [すべて] の属性の使用

（オプション）[任意] または [すべて] の属性をグループルールの一部に含めるには、最後にこのルールを追加します。

[任意] を選択すると、このルールでグループメンバーシップのいずれかの条件が満たされた場合にグループメンバーシップが付与されます。[任意] を使用するとルールをネストできます。たとえば、「グループが次であるもの：セールス」と「グループが次であるもの：カリフォルニア」の両方を指定するルールを作成できます。「グループが次であるもの：カリフォルニア」の場合に [次のいずれか] を選択して、「電話番号が次で始まるもの：415」、「電話番号が次で始まるもの：510」を指定します。グループメンバーは、カリフォルニアセールススタッフに所属し、電話番号が 415 または 510 のいずれかで始まる必要があります。
[すべて] を選択すると、このルールですべての条件が満たされた場合にグループメンバーシップが付与されます。ここではルールをネストする方法を説明します。たとえば、「グループが次であるもの：マネージャ」と「グループが次であるもの：カスタマサービス」のいずれかを指定するルールを作成します。「グループが次であるもの：カスタマサービス」の場合に、[次のすべて] を選択して、「メールアドレスが次で始まるもの：cs_」、「電話番号が次で始まるもの：555」を指定します。この場合、グループメンバーは、マネージャまたはカスタマサービス担当者のいずれかで、かつカスタマサービス担当者の場合はメールアドレスが「cs_」で始まり、電話番号が「555」で始まるものに限定されます。

（オプション）特定のユーザーを除外するには、テキストボックスにユーザー名を入力し、[ユーザーを除外] をクリックします。
[次へ] をクリックし、グループの情報を確認します。[グループを作成] をクリックします。

次のタスク

グループに使用資格が付与されているリソースを追加します。