ロールベースのアクセス

Workspace ONE UEM powered by AirWatch への特定の種類のアクセス権を付与する役割を果たすことができます。有用な UEM Console のアクセス レベルに基づいて個々のユーザーおよびグループの役割を定義します。

たとえば、貴社のヘルプ デスク管理者にはコンソールに限定されたアクセス権限を与え、IT 管理者にはより広い範囲の権限を与えます。この例の詳細については、ユースケース「制限付きヘルプ デスク管理者を作成し、特定の機能を付与する役割を追加する方法」を参照してください。

ロールベースのアクセス制御を有効にするには、最初に UEM コンソール内で、管理者ロールとユーザー ロールをセットアップする必要があります。特定のリソース (権限と呼ばれるもの) で、これらのロールを定義できます。このリソースにより、UEM コンソール内の様々な機能へのアクセスを有効にするかそのアクセスのアクティベーションの解除を行うことができます。セルフサービス ポータルへのアクセスを許可するユーザー ロールを作成できます。

ユーザーと管理者が UEM Console でできることとできないことをロール（具体的にはリソースや権限）が判断するため、正しいリソースまたは権限を慎重に付与してください。たとえば、デバイスの企業情報ワイプを行う前に管理者がメモを入力する必要がある場合、役割にはデバイスを企業情報ワイプする権限だけでなくメモを追加する権限も必要です。

ロールは、デバイスのセキュリティを維持するために重要です。たとえば、より高いレベルの管理者権限を持つ代理セットアップ ユーザーを作成する場合などです。代理セットアップ ユーザーの資格情報は管理者権限と同じように扱い、こうしたユーザーの資格情報を開示しないようにしてください。

既定役割とカスタム ロール

Workspace ONE UEM powered by AirWatch にはいくつかの既定役割が設定されており、リストから適切なものを選択することができます。既定役割はすべてのアップグレードを通して利用可能で、新しいユーザーに役割をすぐに割り当てることができます。さらにカスタマイズが必要な場合は、ユーザーの権限と許可をさらに調整できます。

既定役割とは異なり、カスタム ロールは Workspace ONE UEM がアップグレードされるたびに手動でアップデートする必要があります。

それぞれの役割タイプの長所と短所を検討していただく必要があります。既定役割 は、新しい役割を最初から構成するのに比べ時間を節約することができ、様々な管理者特権に論理的に対応するように設定済みです。また、新機能と設定更新に伴い、自動的に更新されるという利点があります。しかし、既定の役割が貴社組織または MDM 展開にとって最適ではない場合もありますので、役割のカスタマイズも利用できるようになっています。

既定のエンド ユーザー ロール

Unified Endpoint Management コンソールでは、デバイス ユーザーに対して既定で利用できるロールがあります。

• フル アクセス ロール – セルフサービス ポータルへのフル アクセスを提供します。
• ベーシック アクセスの役割 – セルフサービス ポータルで実行する MDM コマンド以外のすべての権限を与えられた役割です。

カスタム ロール を作成することにより、必要に応じて独自のロールをカスタマイズでき、ユーザーや管理者別に様々な微調整を行うことができます。ただし、長期にわたってカスタム ロールを手動で維持し、新しい機能で更新する必要があります。

既定役割を編集してカスタム ユーザー ロールを作成する

貴社組織で必要とされるユーザー リソースに適した役割が既定役割にない場合、既存のロールを編集してカスタム ロールを作成することをご検討ください。

UEM Console に付属する既定の役割を編集して、カスタムのエンドユーザー ロールを作成します。

1. 新しい役割を関連付けようとしている組織グループレベルで操作していることを確認してください。
2. アカウント > ユーザー > 役割 と進みます。
3. 作成したい役割に最もよく合致するものをリストの役割から探します。次に、右端にある編集アイコン () を選択してその役割を編集します。役割を追加/編集 画面が表示されます。
4. 必要に応じ 名前、説明 と 最初のランディング画面 欄を変更します。チェック ボックスを確認します。それぞれのチェック ボックスは様々な権限を表しています。必要に応じてチェックを入れます。
5. [保存] を選択します。

既定の管理者ロール

以下は現在 Workspace ONE UEM コンソールで管理者が使用できる役割の一覧です。

2 つの管理者ロールの権限を比較するには、管理者ロール比較ツールを使用してください。詳細については、このページの「管理者ロールの作成」セクションを参照してください。

役割	説明
システム管理者	システム管理者ロールは、Workspace ONE UEM 環境への完全なアクセスを提供します。このロールには、システム構成 の 管理者 タブにあるパスワードとセキュリティ設定、セッション管理、UEM コンソール監査情報へのアクセスが含まれます。 このロールは環境マネージャ (たとえば、VMware によってホストされるすべての SaaS 環境の SaaS オペレーション チームなど) に制限されます。
AirWatch 管理者	AirWatch 管理者ロールには Workspace ONE UEM 環境への包括的なアクセス権限が含まれています。ただし、この権限には、システム構成 の 管理者 タブへのアクセス権は含まれていません。このタブには、トップレベルの UEM コンソールの設定が含まれているためです。 このロールは、トラブルシューティング、インストール、および構成の目的で環境にアクセスする VMware 従業員に制限されます。
コンソール管理者	コンソール管理者ロールは、共有 SaaS 環境の既定の管理者ロールです。このロールは、順守ポリシー属性、レポート作成、および組織グループ選択に関連する機能に制限されます。
デバイス管理者	デバイス管理者ロールは、ユーザーに UEM コンソールへの重要なアクセス権限を与えます。ただし、このロールを使用して多くのシステム構成情報を構成することは、推奨されません。これらの構成には、Active Directory (AD)/Lightweight Directory Access Protocol (LDAP)、Simple Mail Transfer Protocol (SMTP)、Intelligent Hub などのデバイス-UEM インターフェイス ハブなどがあります。このようなタスクには、AirWatch 管理者またはシステム管理者のような最上層の役割を用いるのがより適切です。
レポート閲覧	レポート閲覧役割により、モバイル デバイス管理 (MDM) により収集されたデータの閲覧が可能になります。このロールに含まれるのは、UEM コンソールからレポートを生成/閲覧/エクスポート/定期受信する権限のみに限定されます。
コンテンツ管理	コンテンツ管理者ロールに付与されている権限は、VMware Content Locker 管理のみに限定されます。このロールを使用し、コンテンツに特化した担当者を決め、デバイスへのアップロードと管理を任せることができます。
アプリケーション管理	アプリケーション管理ロールを使用して、管理者に、内部アプリとパブリック アプリをデバイスに展開/管理するために必要なアクセスを与えることができます。このロールは、アプリケーション管理担当者に割り当ててください。
ヘルプ デスク	ヘルプ デスク役割には、レベル 1 の IT ヘルプ デスクが必要とするツールへのアクセスが含まれています。このロールに含まれる主要なツールを使用して、リモート操作機能を用いてデバイス情報を閲覧し必要な措置を取ることができます。このロールにはさらにレポート閲覧権限とデバイス検索能力も含まれています。
App Catalog のみの管理者	このロールの権限は、｢アプリケーション管理｣ 役割とほぼ同じです。アプリケーション管理役割にはないがこのロールにある権限は、管理者アカウント、ユーザー アカウント、管理者グループ、ユーザー グループ、デバイス詳細情報、およびタグを追加および保持できる、というものです。
閲覧のみ	閲覧のみの役割は、UEM コンソールの大部分にアクセスすることができますが、そのアクセスは閲覧のみに限定されます。このロールを使用して、Workspace ONE UEM 環境の設定を監査または記録します。このロールはシステム オペレータや管理者には適していません。
Horizon Administrator	Horizon Administrator 役割は、VMware Horizon View と統合された Workspace ONE UEM 構成を補完するための、特別に用意された権限セットです。
NSX 管理者	NSX 管理者ロールは、Workspace ONE UEM と統合された VMware NSX を補完するための、特別に用意された権限セットです。このロールは、システム管理権限と証明書管理権限を補完するものであり、管理者は、エンドポイント セキュリティとデータ センター セキュリティを橋渡しすることができます。
プライバシー オフィサー	プライバシー オフィサー役割は、「Monitor の概要」、「デバイス リスト表示」、「システム設定を表示」にアクセスすることができ、すべてのプライバシー設定を編集できます。

既定の管理者ロールを編集してカスタム管理者ロールを作成する

既定の管理者ロールでは貴社に必要な管理者の役割を十分に果たせない場合、既存のロールを編集してカスタム ロールを作成することもできます。

UEM Console に付属する既定の役割を編集して、カスタムの管理者ロールを作成します。

1. その際には、まず、今いる組織グループレベルが、新しい役割を追加したい組織グループであることを確認してください。
2. アカウント > 管理者 > 役割 と進みます。
3. 作成したい役割に最もよく合致するものをリストの役割から探します。その役割のボックスにチェックを入れます。
4. アクション メニューから コピー を選択します。役割をコピーする 画面が表示されます。
5. 役割をコピーする 画面で変更したい設定を編集します。カスタマイズされた役割には、一意な 名前 と 説明 を入力してください。
6. [保存] を選択します。

次に行うこと：詳細については、このページの「管理者ロールの作成」セクションを参照してください。

管理者ロール

Workspace ONE UEM powered by AirWatch で使用可能なすべての設定とリソースの権限を有効または無効にすることができます。これらの設定により、管理者のそれぞれに対し、コンソール権限を与えたりブロックしたりすることが可能になり、貴社のニーズに応じて、管理者に階層構造を持たせることができます。

複数の管理者ロールを作成して時間と手間を省くことができます。複数の組織グループにわたる包括的な構成を行うと、好きなときに特定の管理者の権限を変更できます。

管理者ロールの変更を有効にする

管理者によって使用されているロールを編集する場合、管理者がログアウトしてログインし直すまで、編集は適用されません。

管理者役割リスト表示

アカウント > 管理者 > 役割 と進みます。

管理者ロールライブラリから、未使用の役割を削除できます。割り当てられたロールは削除できません。未割り当てロールを選択し、削除 ボタンを選択します。

ロールの名前、説明、および特定の権限を編集できます。リストからロール名の左側の鉛筆アイコンを選択すると [ロールを編集] 画面が表示されます。

管理者ロール リスト表示全体を含む CSV（カンマ区切り値）ファイルをエクスポートすることもできます。このファイルは、MS Excel で表示および分析できます。[エクスポート] ボタンを選択し、[モニタ] > [レポートと分析] > [エクｽポート] に移動して、結果のレポートを表示およびダウンロードします。

管理者ロールを作成する

1. UEM コンソールで アカウント > 管理者 > 役割 と進み、役割を追加 を選択します。

   

2. 役割作成 画面で、役割の 名前 と役割の 説明 を入力します。

3. カテゴリ リストから選択します。

   カテゴリ セクションは、デバイス管理 のようなトップレベルのカテゴリを編成します。その下には、アプリケーション、ブラウザ や 一括管理 などを含むサブカテゴリが位置します。このサブカテゴリにより、簡単に素早く役割を作成することが可能になります。右パネルにあるそれぞれのサブカテゴリ設定には、読み取り と 編集 のチェック ボックスがあります。

   カテゴリ セクションからカテゴリを選択すると、それに含まれるサブカテゴリのコンテンツ（個々の設定）が右パネルに表示されます。個々の設定にはそれぞれ 読み取り チェック ボックスと 編集 チェック ボックスがあります。また、カラム見出しにも「すべて選択」スタイルの 読み取り チェック ボックスと 編集 チェック ボックスがあります。これにより、役割作成の際に柔軟な制御とカスタマイズが可能になります。

   [リソースを検索] テキスト ボックスを使用して選択できるリソースの数を絞り込みます。リソースは一般に、UEM Console 自体で参照されているのと同じ方法でラベル付けされています。たとえば、管理者ロールをアプリ ログの編集に制限する場合、[リソースを検索] ボックスに「アプリ ログ」と入力すると、「アプリ ログ」という文字列を含むすべてのリソースのリストが表示されます。

4. 関連するリソース オプションで、必要に応じて 読み取り と 編集 にチェックを入れます。任意のリソースの選択を解除することもできます。

   

5. カテゴリの中で包括的な選択を行う場合は、右パネルに入力せずに、なし、読み取り または 編集 を カテゴリ セクションから直接選択します。カテゴリ ラベルの右側の丸印のアイコンを選択すると、ドロップダウン メニューが表示されます。カテゴリの設定全体に対し、なし/読み取り/編集機能のどれを選択するかが明白な場合はこの選択方法を使用します。

6. カスタム ロール作成後、保存 を選択します。追加された役割は、役割 画面で確認することができます。この画面から役割詳細を編集したり役割を削除したりすることができます。

次に行うこと：Workspace ONE UEM のバージョン更新時にはその都度カスタム ロールを更新し、最新リリースによる新しい権限へのアクセスを設定する必要があります。

管理者ロールをエクスポートする

管理者ロールはポータブル リソースです。複数の Workspace ONE UEM 環境を管理する場合は、このポータビリティによって時間を節約できます。ある環境から XML ファイルとして設定をエクスポートしてから、その XML ファイルを別の環境にインポートできます。このようなアクティビティは、バージョンの問題を引き起こす可能性があります。

1. [アカウント] > [管理者] > [ロール] の順に進みます。
2. 管理者ロールの横にあるチェック ボックスを選択して、ロールをエクスポートします。管理者ロールを複数選択する場合、「エクスポート」アクションは使用できません。
3. [エクスポート] ボタンを選択し XML ファイルをデバイスに保存します。

管理者ロールをインポートする

1. [アカウント] > [管理者] > [ロール] の順に進み、[ロールのインポート] を選択します。

   

2. [ロールのインポート] ページの [参照] を選択し、上で保存した XML ファイルを探します。[アップロード] を選択して、管理者ロールをカテゴリ リストにアップロードして検証します。

3. Workspace ONE UEM は、XML ファイル チェック、インポートされる役割の権限チェック、役割名の重複チェック、名前欄や説明欄が空白でないかの確認といった一連のチェックを行います。
4. 左側のペインで特定の カテゴリ を選択し、リソースの設定とインポートされた役割の詳細を確認します。
5. 必要に応じて、各種のリソース、および、インポートされた役割の [名前] と [説明] を編集できます。既存のロールとインポートされた役割の双方を維持したい場合は、新しい役割をインポートする前に、既存の管理者ロールを別名で保存してください。
   1. インポートする役割に貴社環境の既存のロールと同じ名前が付けられている場合、次のメッセージが表示されます。「この環境には、この名前のロールがすでに存在します。既存のロールをオーバーライドしますか?」
   2. ｢いいえ｣ を選択すると、貴社環境の既存のロールはそのまま残り、新しい役割のインポートがキャンセルされます。
   3. ｢はい｣ を選択すると、セキュリティ暗証番号を入力するよう求められます。正しい暗証番号を入力すると、既存のロールはインポートされる役割で置き換えられます。
6. 保存 をクリックして、インポートされた役割を新しい環境に適用します。

管理者ロールをインポート/エクスポートする際のバージョンに関して

場合によっては、エクスポートされたロールが、Workspace ONE UEM の古いバージョンを実行している環境にインポートされることがあります。そしてこの古いバージョンには、インポートされた役割に必要な同じリソースと権限が存在しないかもしれません。

そのような場合には、Workspace ONE UEM に以下のメッセージが表示されます。

この環境にあるいくつかの権限が、ユーザーのインポート済みファイルには見つかりません。保存する前に、ハイライトされた権限を見直して、正しく入力しなおします。

カテゴリのリスト表示画面を使用して、ハイライトされた権限の選択を解除してください。この操作により、役割を新しい環境に保存することができます。

役割をコピーする

既存のロールをコピーすると、時間を節約できます。また、コピーした役割の権限を変更し、別の名前で保存することができます。

1. [アカウント] > [管理者] > [ロール] の順に進みます。
2. コピーしたい役割の横にあるチェック ボックスを選択します。
3. コピー ボタンを選択します。役割をコピーする 画面が表示されます。
4. カテゴリ、名前、および 説明 を必要に応じて修正します。
5. 修正が完了したら、保存 を選択します。

管理者ロールの名前を変更する

管理者ロールをインポートする際に、既存の管理者ロールと同じ名前の役割がある場合は、まず既存のロールの名前を変更することをお勧めします。こうすることで、同じ環境内で既存のロールと新しく追加する役割の双方を維持することができます。

1. アカウント > 管理者 > 役割 と進み、名前を変更したい役割の 編集 アイコン () を選択します。役割を編集 画面が表示されます。
2. 役割の 名前 を編集し、必要な場合は 説明 も編集します。
3. [保存] を選択します。

管理者ロールカテゴリの読み取り/編集インジケータ

カテゴリ セクションには、読み取りのみ、編集といった権限の選択状態を反映するビジュアル インジケータがあります。このインジケータが設定詳細を表示するので、管理者は個々のサブカテゴリを開いて調べる必要がありません。

インジケータは、カテゴリ リストの右側に位置する丸印のアイコンで以下のように分類されます。

アイコン	説明
	このカテゴリのすべてのオプションは編集機能を持つ (読み取りのみの機能も含む)
	カテゴリ設定の大部分の編集機能は有効だが、少なくとも 1 つのサブカテゴリについて編集がアクティベーション解除済みになっている
	すべてのカテゴリ設定が読み取り専用（編集はアクティベーション解除済み）
	カテゴリ設定の大部分は読み取り専用だが、少なくとも 1 つのサブカテゴリの編集が有効になっている

管理者のロールの割り当てまたはロール ロードアウトの編集

ロールを割り当てて、Workspace ONE UEM Console の管理者権限を拡張することができます。また、既存のロール ロードアウトを編集して、管理者の機能を制限したり、拡張したりすることもできます。

管理者が使用しているロール ロードアウトを編集する場合、管理者がログアウトしてログインし直すまで、編集は有効になりません。

1. [アカウント] > [管理者] > [リスト表示] の順に移動し、ロールのロードアウトを変更する管理者アカウントを見つけて、管理者アカウントのユーザー名の左にある kebab アイコン () を選択し、[編集] を選択します。[管理者を追加/編集] 画面が表示されます。

2. [ロール] タブを選択し、a、b のどちらか、またはその両方の組み合わせを選択します。

   a. 管理者アカウントに新しいロールを追加するには、[ロールを追加] ボタンを選択し、追加するロールごとに [組織グループ] と [ロール] の詳細を入力します。

   b. 管理者アカウントから既存のロールを削除する場合は、ロールを選択し、[削除] ボタンをクリックします。

3. [保存] を選択します。

管理者ロールのリソースの表示

カスタムおよび既定のロールを含む、任意の管理者ロールのすべてのリソース、または権限を表示できます。この表示は、管理者が UEM Console でできることとできないことを判断するのに役に立ちます。

ロールは、UEM console 内の特定の機能へのアクセス（読み取り専用または編集）を許可する何百ものリソース（権限とも呼ばれます）で構成されています。

[ロールを表示] 画面と [ロールを編集] 画面はほぼ同じですが、[ロールを編集] 画面では変更を行い [保存] ボタンで保存できる点が異なります。

管理者ロールのリソースを表示および編集するには、次の手順を実行します。

1. [アカウント] > [管理者] > [ロール] の順に進みます。
2. 権限を表示する管理者ロールを見つけます。管理者ロールのライブラリが大きい場合は、右上隅の [リストを検索] バーを使用してリストを絞り込みます。

3. 次の a または b から選択します。

   a. ロールを表示するには、ロールの名前（リンク）を選択して、ロールに関連付けられているすべての権限を含む [ロールを表示] 画面を表示します。管理者ロールの監査が終了したら、[閉じる] を選択します。

   

   b. ロールを編集するには、ロール名の左側にある [編集] アイコン () を選択して、[ロールを編集] 画面を表示します。[読み取り] および [編集] チェック マークを追加または削除して、ロールを編集します。ロールの編集が完了したら、[保存] を選択します。

   

[表示] と [編集] のどちらを選択したときでも、リスト表示にはいくつかの留意すべき点があります。

• ロールのカテゴリは、左側のパネルに表示されます。「>」インジケータを選択してカテゴリを展開し、ロールのサブカテゴリを表示します。
• この画面に表示されるオレンジ色の読み取り/編集の視覚的なインジケータの詳細については、このページの「管理者ロールカテゴリの読み取り/編集インジケータ」セクションを参照してください。
• 左側のパネルで特定のカテゴリを選択すると、右側のパネルに各リソースのカテゴリ、名前、および説明が表示されます。
  • 右端にある [詳細] リンクは、UEM Console 内の各固有の読み取り専用および編集機能を示します。

• リソースを検索 テキスト ボックスを使用して、特定の機能を名前で検出することができます。この検索機能により、簡単に特定のタグに関連する機能を検索し、役割に割り当てることができます。

  • たとえば、デバイスへのタグの追加のみ可能な管理者ロールを作成する場合は、リソースを検索 テキスト ボックスに「tag」という単語を入力し、Enter キーを押します。カテゴリ、名前、説明、または説明の 詳細 に「tag」という文字列を含んでいるすべてのリソースが、右側のパネルに表示されます。

    注：Staging Devices（代理セットアップ デバイス）という語句の「Staging」も、「tag」という文字列を含むことに注意してください。

次に行うこと：このページの「管理者ロールを作成する」セクションに移動し、この手順を適用して独自の役割を作成します。

2 つの役割を比較する

管理者ロールを作成する際、一般に、一から作成するよりも、既存のロールを修正する方が簡単です。役割比較ツールを使用すると、任意の 2 つの管理者ロールの権限設定を比較し、精度確認や設定の意図が反映されているかを確認することができます。

1. アカウント > 管理者 > 役割 と進みます。
2. リストから任意の 2 つの役割を選択し (異なる画面の役割でも選択することができます)、チェックを入れます。

3. 比較 を選択します。カテゴリ一覧のある 役割比較 画面が表示されます。左側で特定のカテゴリを選択すると、右側にそのカテゴリの詳細が表示されます。

   

   • 役割を 1 つしか選択しなかったり、あるいは 2 つ以上選択したりすると、比較 ボタンは表示されません。
   • 右端の 詳細 リンクを選択すると、役割のサブカテゴリが表示されます。サブカテゴリの役割は 非表示 リンクを選択して畳むことができます。
   • 左側パネルには すべて カテゴリがあり、これを選択するとすべてのメイン レベル カテゴリが 役割比較 画面に表示されます。[リソースを検索] に検索パラメータを入力すると、右側パネルはカテゴリとリソース（権限とも呼ばれます）リストの両方に合致するアイテムのみを表示します。
   • この検索パラメータは保持されます。つまり、リソースを検索 バーにパラメータを入力すると、すべて のカテゴリを選択しても、合致するカテゴリとリソースのみが表示されます。この検索機能は、特定リソースを選択し、読み取り と 編集 を選択した後も保持されます。
   • 既定設定では、設定が異なるカテゴリとサブカテゴリのみが表示されます。選択した 2 つのロールで同一の設定を含むすべての権限を表示するには、すべての権限を表示 チェック ボックスを選択します。
   • 選択した 2 つの役割の権限が完全に同一な場合は、[役割を比較] 画面上部に以下のメッセージが表示されます。

   「2 つの役割における権限の違いはありません。」

次に行うこと：必要に応じて エクスポート を選択し、Excel で表示できる XLSX または CSV（コンマ区切り値）ファイルを作成することもできます。このエクスポート ファイルには役割 1 と役割 2 の設定がすべて含まれているため、2 つの役割の違いを分析できます。

ユーザー ロール

Workspace ONE UEM powered by AirWatch のユーザー ロールを使用すると、ユーザーが実行できる特定のアクションを有効または無効にできます。これらのアクションの例としては、デバイス ワイプの利用を制御する、デバイス クエリの利用を制御する、個人コンテンツを管理する、などがあります。さらに、ユーザー ロールで、最初のランディング画面のカスタマイズや、セルフサービス ポータルへのアクセス制限もできます。

複数のユーザー ロールを作成すれば、時間を節約できます。たとえば、さまざまな組織グループにまたがる包括的な構成を行うことや、特定のユーザーのユーザー ロールを随時変更することができます。

新しいユーザー ロールの作成

事前設定されたベーシック アクセス役割とフル アクセス役割に加えて、カスタマイズされた役割を作成することもできます。複数のユーザー ロールを用意しておくことで柔軟性を高め、新しいユーザーにロールを割り当てる際の手間を省くことができます。

1. [アカウント] > [ユーザー] > [ロール] の順に進み、[ロールを追加] をクリックします。[ロールを追加/編集] 画面が表示されます。

2. 新しいロールの名前と説明を入力し、この新しいロールを持つユーザーの SSP の 最初のランディング画面 を選択します。

   既存のユーザー ロールに対する既定の [最初のランディング画面] は [マイ デバイス] 画面です。

3. このロールを割り当てられるエンド ユーザーが SSP で許可されるアクセスと権限レベルをオプション リストから選択します。

   • 画面上のすべてのボックスのチェックを外すには 選択解除 をクリックします。
   • 画面上のすべてのボックスにチェックを入れるには すべて選択 をクリックします。
4. 役割の変更内容を 保存 します。追加された役割は、役割画面の一覧に表示されます。

次に行うこと：役割画面から、役割を閲覧/編集/削除することができます。

既定の役割を構成する

既定の役割は、すべてのユーザー ロール設定の出発点となる基本役割です。既定の役割を構成することで、加入時にユーザーが自動的に受け取る許可と権限を設定することができます。

1. デバイス > デバイス設定 > デバイスとユーザー > 全般 > 加入 と進み、グループ化 タブを選択します。

2. ｢既定役割｣ を選択し、セルフサービス ポータル (SSP) でのエンド ユーザーの既定レベルのアクセスを構成します。

   これらの役割設定は、組織グループごとにカスタマイズできます。以下から選択します。

   • フル アクセス - プロファイルとアプリのインストールおよび削除、アプリ、パスコードのリセット、デバイス メッセージの送信、コンテンツへの書き込みアクセスなど、高度な SSP 機能へのアクセス権をユーザーに付与します。
   • ベーシック アクセス - 影響度の低いアクセス権をユーザーに付与します。ユーザーは、自分のデバイスの登録、プロファイルとアプリの表示のみ（インストールはできません）、自分のアカウントの表示、自分のデバイスのクエリと検索を行えます。
   • 外部アクセス - 外部アクセスの役割を持つユーザーには、ベーシック アクセス ユーザーのすべての権限がある一方で、SSP で明示的にこれらのユーザーと共有されるコンテンツへの読み取り専用アクセス権もあります。
3. [保存] を選択します。

既存ユーザーのロールを割り当て/編集する

特定のユーザーのロールを変更し、Workspace ONE UEM 機能へのアクセスを許可したり制限を追加したりすることができます。

ユーザーが使用しているロールを編集する場合、ユーザーがログアウトしてログインし直すまで、編集は有効になりません。

1. 適切な組織グループを選択します。
2. アカウント > ユーザー > リスト表示 と進みます。
3. リストから編集したいユーザーを選択します。ユーザーを特定した後、チェック ボックスの下の ｢編集｣ アイコンを選択します。ユーザーを追加/編集 画面が表示されます。
4. 全般 タブで 加入 セクションまでスクロールし、ドロップダウン メニューから ユーザー ロール を選択し、この特定ユーザーのロールを変更します。
5. [保存] を選択します。

関連トピック：制限付きヘルプ デスク管理者を作成し、特定の機能を付与するロールを追加する方法
Workspace ONE UEM powered by AirWatch の機能のみをヘルプ デスク管理者が実行できるようにカスタム ロールを作成できます。アカウント、ロール、プログラム可能な権限がすべて連携して、必要な場所に移動する方法を説明します。