Workspace ONE Access サービスでは、ロール ベースのアクセス コントロールを使用して管理者ロールを管理します。ロール ベースのアクセス制御では、Workspace ONE Access コンソールのタスクへの管理アクセスを制御する機能ロールを作成し、1 つまたは複数のユーザーおよびグループにロールを割り当てます。

Workspace ONE Access サービスには、スーパー管理者、読み取り専用管理者、およびディレクトリ管理者の 3 つの事前定義済み管理者ロールが組み込まれています。これらの事前定義されたロールを、サービス内のユーザーおよびグループに割り当てることができます。これらのロールを削除したり変更したりすることはできません。

Workspace ONE Access クラウド デプロイの場合、テナントが最初にセットアップされるときに、システム ディレクトリのシステム ドメインに、ローカル テナント管理者ユーザーが最初のスーパー管理者として作成されます。このユーザーの名前は、[admin] です。新しいテナントを取得するときに受け取った認証情報は、このローカル管理者ユーザーに属します。

スーパー管理者ロールでは、Workspace ONE Access サービスのすべての機能にアクセスして管理できます。システム ディレクトリのスーパー管理者ロールには、他のユーザーを割り当てることができます。ベスト プラクティスとして、限定された少数のユーザーにスーパー管理者ロールを付与します。

読み取り専用管理者ロールでは、ダッシュボードやレポートなど、Workspace ONE Access コンソール ページの詳細は表示できますが、変更はできません。すべての管理者ロールには、自動的に読み取り専用ロールが割り当てられます。

注: 一部の Workspace ONE Access コンソール ページは、読み取り専用ロールのみを持つ管理者には表示できません。読み取り専用ロールを持つ管理者がこれらのページを表示しようとすると、ダッシュボードにリダイレクトされます。

ディレクトリ管理者ロールでは、ユーザー、グループ、ディレクトリを管理できます。ディレクトリ管理者は、エンタープライズ ディレクトリと、組織内のローカル ディレクトリの両方のディレクトリ統合を管理できます。ディレクトリ管理者は、ローカル ユーザーおよびグループも管理できます。

Workspace ONE Access コンソールの特定のサービスへの制限された権限を付与するカスタム管理者ロールを作成することもできます。サービス内で、ロールで実行できるアクションのタイプとして特定の操作を選択できます。

異なるサービスに管理者ロールを適用する方法

ロール ベースのアクセス制御は、管理コンソールの次のサービスを管理するように設定できます。同じユーザーとグループに複数のロールを割り当てることができます。ユーザーに複数のロールが割り当てられている場合、適用されるロールの動作は付加的です。たとえば、ポリシー管理への書き込み権限を持つロールと持たないロールの 2 つのロールが管理者に割り当てられた場合、その管理者にはポリシーを変更する権限があります。

サービス タイプ

サービスの説明

カタログ

カタログは、ユーザーに使用資格を付与できるすべてのリソースのリポジトリです。

カタログ サービスは、次のタイプのアクションを管理できます。

  • Web アプリケーション
  • アプリ ソース
  • サードパーティ アプリケーション
  • ThinApp 仮想アプリケーションのコレクション
  • Horizon、Horizon Cloud、および Citrix ベースのアプリケーションを含む仮想アプリケーションのコレクション。
注: スーパー管理者は、カタログ内の [仮想アプリケーションのコレクション] ページで初回の開始手順を実行する必要があります。初回の開始手順の後、カタログ サービスの管理者ロールは ThinApp パッケージおよびデスクトップ アプリケーションを管理できます。
ディレクトリ管理

ディレクトリ管理サービスは、組織または組織内の特定のディレクトリに対する次のタイプのアクションを管理できます。

  • エンタープライズ ディレクトリ管理者はサービス内のディレクトリを追加、編集、および削除できます。ディレクトリの編集には、同期設定を含むディレクトリ設定の管理が含まれます。
  • ローカル ディレクトリ管理者はローカル ディレクトリを作成、編集、および削除できます。ディレクトリの編集には、設定の管理、およびローカル ユーザーとグループの作成、編集、および削除が含まれます。

ディレクトリ管理サービスがロールに含まれている場合、ロールでは ID とアクセス管理サービスも構成する必要があります。

ユーザーとグループ

ユーザーとグループ サービスは、組織全体または組織内の特定のドメインに対する次のタイプのアクションを管理できます。

  • グループ
  • ユーザー
  • ローカル ユーザーのパスワードリセット
資格

資格サービスは、ユーザーを Web および仮想アプリケーションに割り当てることができます。

次のタイプの資格アクションを管理できます。これらの各アクションに対して、ユーザーおよびグループを組織内のすべてのリソースまたは特定のアプリケーションに割り当てるロールを構成できます。また、特定のドメイン内のユーザーおよびグループにアプリケーションの使用資格を付与することもできます。

  • Web 資格
  • サードパーティ資格
ロールの管理

ロールの管理サービスは、ユーザーへの管理者ロールの割り当てを管理できます。

ロールの管理サービスを使用してロールを作成する場合、ユーザーとグループ サービスを構成し、ユーザーの管理とグループの管理アクションを選択する必要があります。

このロールが割り当てられている管理者は、ユーザーおよびグループを管理者ロールに昇格でき、管理者ロールをユーザーまたはグループから削除できます。

ID とアクセス管理

ID とアクセス管理サービスは、Workspace ONE Access コンソールから次の領域を管理できます。

  • [リソース] > [ポリシー]
  • [統合] > [認証方法]、[コネクタ]、[コネクタ (レガシー)]、[ディレクトリ]、[コネクタ認証方法]、[ID プロバイダ]、[Magic Link]、[Okta カタログ]、[UEM 統合]
    注: ディレクトリ設定を管理するには、ディレクトリ管理サービスも必要です。
  • [設定] > [自動検出]、[ブランディング]、[ログイン設定]、[パスワード ポリシー]、[パスワードの回復]、[利用条件]、[ユーザー属性]
注: ID およびアクセス管理のロールを持つ管理者は、 Workspace ONE Access と Workspace ONE UEM を統合し、Workspace ONE UEM Console からディレクトリを作成できます。

ロールを追加するときには、サービスを選択し、サービスでどのアクションを実行できるかを定義します。一部のサービスでは、選択したアクションのすべてのリソースを管理するか、一部のリソースを管理するかを選択できます。

読み取り専用アクセスの管理

管理者に割り当てられた各ロールには、読み取り専用アクセスが許可されます。ユーザーとグループをローカル ディレクトリに追加するときに、読み取り専用ロールに割り当てることもできます。

読み取り専用管理者ロールは、ユーザーに対して Workspace ONE Access コンソールを表示するためのアクセス権限を付与しますが、管理者に追加のアクセス権を持つ別のロールが割り当てられていない限り、ユーザーには Workspace ONE Access コンソールのコンテンツを表示する以外の権限がありません。

読み取り専用ロールを別個のロールとして割り当てる場合は、読み取り専用管理者ロールの [割り当て] ページ、あるいはユーザーまたはグループのプロファイル ページからロールを削除できます。