Workspace ONE Access サービスでは、ロール ベースのアクセス制御 (RBAC) を使用して管理者ロールを管理します。ロール ベースのアクセス制御では、Workspace ONE Access コンソールのタスクへの管理アクセスを制御する機能ロールを作成し、1 つまたは複数のユーザーおよびグループにロールを割り当てます。

3 つの事前定義された管理者ロールが Workspace ONE Access サービスに組み込まれています。

  • [スーパー管理者]。スーパー管理者ロールでは、Workspace ONE Access サービスのすべての機能にアクセスして管理できます。スーパー管理者は、管理者ロールをユーザーおよびグループに割り当て、管理者ロールを管理できます。ベスト プラクティスとして、限定された少数のユーザーにスーパー管理者ロールを付与します。

    Workspace ONE Access クラウド テナントの場合、テナントが最初にセットアップされるときに、システム ディレクトリのシステム ドメインに、ローカル テナント管理者ユーザーが最初のスーパー管理者として作成されます。このユーザーの名前は、[admin] です。新しいテナントを取得するときに受け取った認証情報は、このローカル管理者ユーザーに属します。

  • [読み取り専用管理者]。読み取り専用管理者ロールでは、ダッシュボードやレポートなど Workspace ONE Access コンソール ページの詳細は表示できますが、変更はできません。すべての管理者ロールには、自動的に読み取り専用ロールが割り当てられます。ユーザーとグループをローカル ディレクトリに追加するときに、読み取り専用ロールに割り当てることもできます。

    読み取り専用管理者ロールは、ユーザーに対して Workspace ONE Access コンソールを表示するためのアクセス権限を付与しますが、管理者に追加のアクセス権を持つ別のロールが割り当てられていない限り、ユーザーには Workspace ONE Access コンソールのコンテンツを表示する以外の権限がありません。

    注: 一部の Workspace ONE Access コンソール ページは、読み取り専用ロールのみを持つ管理者には表示できません。読み取り専用ロールを持つ管理者がこれらのページを表示しようとすると、ダッシュボードにリダイレクトされます。
  • [ディレクトリ管理者]。ディレクトリ管理者ロールでは、ユーザー、グループ、ディレクトリを管理できます。ディレクトリ管理者は、エンタープライズ ディレクトリと、組織内のローカル ディレクトリの両方のディレクトリ統合を管理できます。ディレクトリ管理者は、ローカル ユーザーおよびグループも管理できます。

Workspace ONE Access コンソールの特定の種類のサービスへの制限された権限を付与するカスタム管理者ロールを作成することもできます。これらのサービス内で、ロールで実行できるアクションの種類として特定の操作を選択できます。

異なるサービスに管理者ロールを適用する方法

アクセス制御ロールを作成して、Workspace ONE Access コンソールで 6 種類のサービスを管理できます。同じユーザーとグループに複数のロールを割り当てることができます。ユーザーに複数のロールが割り当てられている場合、適用されるロールの動作は付加的です。たとえば、管理者に 2 つのロールが割り当てられていて、一方のロールには ID とアクセス管理サービスへの書き込みアクセス権があって、ポリシーを管理できますが、もう一方のロールにはアクセス権がない場合、その管理者にはポリシーを変更するアクセス権があります。

ロールを追加するときには、サービスの種類を選択し、サービスでどのアクションを実行できるかを定義します。一部のサービスでは、選択したアクションのすべてのリソースを管理するか、一部のリソースを管理するかを選択できます。

サービス タイプ

サービスの説明

カタログ

カタログは、ユーザーに使用資格を付与できるすべてのリソースのリポジトリです。

カタログ サービスは、次のタイプのアクションを管理できます。

  • Web アプリケーション
  • アプリ ソース
  • サードパーティ アプリケーション
  • ThinApp 仮想アプリケーションのコレクション
  • Horizon、Horizon Cloud、および Citrix ベースのアプリケーションを含む仮想アプリケーションのコレクション。
注: スーパー管理者は、カタログ内の [仮想アプリケーションのコレクション] ページで初回の開始手順を実行する必要があります。初回の開始手順の後、カタログ サービスの管理者ロールは ThinApp パッケージおよびデスクトップ アプリケーションを管理できます。
ディレクトリ管理

ディレクトリ管理サービスは、組織または組織内の特定のディレクトリに対する次のタイプのアクションを管理できます。

  • エンタープライズ ディレクトリ管理者は Workspace ONE Access サービス内のディレクトリを追加、編集、および削除できます。ディレクトリの編集には、同期設定を含むディレクトリ設定の管理が含まれます。
  • ローカル ディレクトリ管理者はローカル ディレクトリを作成、編集、および削除できます。ディレクトリの編集には、設定の管理、およびローカル ユーザーとグループの作成、編集、および削除が含まれます。
重要: ディレクトリ管理サービスを含むロールを作成する場合は、ロールで ID とアクセス管理サービスも構成する必要があります。
ユーザーとグループ

ユーザーとグループ サービスは、組織全体または組織内の特定のドメインに対する次のタイプのアクションを管理できます。

  • グループ
  • ユーザー
  • ローカル ユーザーのパスワードリセット
資格

資格サービスは、ユーザーを Web および仮想アプリケーションに割り当てることができます。

次のタイプの資格アクションを管理できます。これらの各アクションに対して、ユーザーおよびグループを組織内のすべてのリソースまたは特定のアプリケーションに割り当てるロールを構成できます。また、特定のドメイン内のユーザーおよびグループにアプリケーションの使用資格を付与することもできます。

  • Web 資格
  • サードパーティ資格
ロールの管理

ロールの管理サービスは、ユーザーへの管理者ロールの割り当てを管理できます。

ロールの管理サービスを使用してロールを作成する場合、ユーザーとグループ サービスを構成し、ユーザーの管理とグループの管理アクションを選択する必要があります。

このロールが割り当てられている管理者は、ユーザーおよびグループを管理者ロールに昇格でき、管理者ロールをユーザーまたはグループから削除できます。

ID とアクセス管理

ID とアクセス管理サービスは、Workspace ONE Access コンソールから次の領域を管理できます。

  • [リソース] > [ポリシー]
  • [統合] > [認証方法]、[コネクタ]、[コネクタ (レガシー)]、[ディレクトリ]、[コネクタ認証方法]、[ID プロバイダ]、[Magic Link]、[Okta カタログ]、[UEM 統合]
    注: ディレクトリ設定を管理するには、ディレクトリ管理サービスをロールに含める必要があります。
  • [設定] > ブランディング、ログイン設定、パスワード ポリシー、パスワード リカバリ、およびユーザー属性
注: ID とアクセス管理サービスを含むロールを持つ管理者は、 Workspace ONE Access と Workspace ONE UEM を統合し、Workspace ONE UEM Console からディレクトリを作成できます。