Workspace ONE Access サービスでグループの作成、グループへのメンバーの追加、グループ ルールの作成を実行できます。
各ユーザーに個別に資格を付与するのではなく、グループを使用して複数のユーザーに同じリソースの資格を同時に付与します。ユーザーは複数のグループに属することができます。たとえば、セールス グループと管理グループを作成した場合、セールス マネージャは両方のグループに属することができます。
グループのメンバーに適用するグループ ルールを指定できます。グループに属するユーザーは、ユーザー属性に設定するルールで定義します。ユーザー属性の値が、定義されたグループ ルールの値から変更されると、ユーザーはグループから削除されます。
手順
- Workspace ONE Access コンソールの ページで、[グループを追加] をクリックします。
- [グループ情報] セクションで、グループ名とグループの説明を追加します。
- [グループ ユーザー] セクションで、ユーザーを追加するか、ユーザーを除外します。
- ユーザーを追加するには、[ユーザーを追加] 行に数文字のユーザー名を入力します。
- ユーザーを除外するには、[ユーザーを除外] 行に数文字のユーザー名を入力します。
テキストに一致する名前が表示されます。
- [グループ ルール] ページで、グループ メンバーシップを付与する方法を選択します。グループに 1 つ以上のルールを構成します。ルールはネストできます。
- [グループ ルール] セクションで、[検証] をクリックし、ドロップダウン メニューから属性を選択します。
- [値の検索] セクションで、属性値の一致条件を選択します。
選択した属性に応じて次の一致条件を使用できます。
- このグループに関連付けるグループまたはディレクトリを選択する場合は、[次であるもの] を選択します。テキスト ボックスに名前を入力します。入力すると、選択可能なグループまたはディレクトリのリストが表示されます。
- 除外するグループまたはディレクトリを選択する場合は、[次ではないもの] を選択します。テキスト ボックスに名前を入力します。入力すると、選択可能なグループまたはディレクトリのリストが表示されます。
- 入力した条件と完全に一致するエントリにグループ メンバーシップを付与する場合は、[次と一致するもの] を選択します。たとえば、代表電話番号を共有する出張担当部署があるとします。その電話番号を共有するすべての従業員に対して旅行予約アプリケーションへのアクセス権を付与する場合は、「電話番号が次と一致するもの:(555) 555-1000」などのルールを作成します。
- 入力した条件に一致するディレクトリ サーバ エントリを除いてグループ メンバーシップを付与する場合は、[次と一致しないもの] を選択します。たとえば、いずれかの部署で代表電話番号を共有している場合に、その部署でソーシャル ネットワーキング アプリケーションにアクセスできないようにするには、「電話番号が次と一致しないもの:(555) 555-2000」などのルールを作成します。
- 入力した条件で始まるディレクトリ サーバ エントリにグループ メンバーシップを付与する場合は、[次で始まるもの] を選択します。たとえば、組織のメール アドレスが [email protected] のように部署名から始まるとします。セールス スタッフ全員にアプリケーションへのアクセス権を付与する場合は、「メール アドレスが次で始まるもの:sales_」などのルールを作成できます。
- 入力した条件で始まるディレクトリ サーバ エントリを除いてグループ メンバーシップを付与する場合は、[次で始まらないもの] を選択します。たとえば、人事部のメール アドレスが [email protected] という形式である場合は、「メール アドレスが次で始まらないもの:hr_」などのルールを設定すれば、人事部からのアプリケーションへのアクセスを拒否できます。この場合、それ以外のメール アドレスを使用するディレクトリ サーバ エントリからは、アプリケーションにアクセスできます。
- 最後のセクションで、ルールで一致する値を定義します。
- 追加のルールを使用するには、プラス記号 [+] をクリックし、AND 演算子または OR 演算子を選択します。
- [保存] をクリックします。
次のタスク
ユーザー グループ リストからグループを選択し、[アプリケーション] タブで、グループに使用資格が付与されているアプリケーションを追加します。