VMware Workspace ONE Intelligence の ユーザー管理 機能には、ロールベースのアクセス制御 (RBAC)、データ アクセス ポリシー、Microsoft Azure Active Directory の設定、管理者に割り当てられたシステム制限の管理などがあります。これらの機能は、コンソールの [設定] 領域で確認できます。

RBAC とは何ですか?

ロール ベースのアクセス制御 (RBAC) には、使用するリソースにアクセスするために管理者に割り当てることができる事前定義されたロールがあります。環境全体への権限を必要とする管理者には、1 つのロールを割り当てるか、ロールを組み合わせます。

Workspace ONE UEM のベーシック アカウントとディレクトリ アカウント

Workspace ONE Intelligence がユーザー データを取得できるシステムの 1 つは、Workspace ONE UEM です。RBAC は、ベーシック ユーザーとディレクトリベースのユーザーの両方から、Workspace ONE UEM からの管理者の追加をサポートします。

  • ベーシック ユーザーは、ID サービスでは管理されない個別のアカウントです。エンタープライズ インフラストラクチャは必要ありません。これらの認証情報は、Workspace ONE UEM にのみ存在し、フェデレーション セキュリティはありません。
  • ディレクトリベースのユーザーは、ID サービスで管理されて、Workspace ONE UEM に取り込まれます。これらのユーザーは、ディレクトリの資格情報を使用してリソースにアクセスし、そのアカウントに加えられた変更は Workspace ONE UEM と同期されます。

管理者グループを使用する Azure Active Directory (AD)

RBAC で Azure AD 管理者グループを使用するには、Microsoft Graph API を使用してパブリック Azure AD 環境にアクセスするための Workspace ONE Intelligence を承認する必要があります。

Workspace ONE Intelligence は、ユーザーの姓名、連絡先の E メール、またはその関連グループなど、Azure からの最小限の情報を保存します。統合には、定期的な同期スケジュールやポーリング操作は含まれませんが、ユーザーが Workspace ONE Intelligence にアクセスしたときに情報を検証します。

既存のユーザーと RBAC スーパー管理者

RBAC の導入前にアクセスできる現在の Workspace ONE Intelligence ユーザーには、すべてのロールが割り当てられます。すべてのロールが割り当てられた管理者は、スーパー管理者です。RBAC には、スーパー管理者の役割がありません。

プロセスの設定

RBAC を設定するには、[設定] > [管理者] でいくつかのコンポーネントを構成します。

  • セットアップ ウィザードを使用して、Workspace ONE Intelligence が Azure AD システムに接続することを許可します。
  • 管理者を追加および編集します。

RBAC 権限の編集

Workspace ONE Intelligence で RBAC 権限を変更すると、アカウント ロールが変更されましたという E メールがシステムから RBAC ユーザーに送信されます。通知には、権限を変更したユーザーと変更された権限が一覧表示されます。

ダッシュボードとレポートの所有権の移行

ほかの Workspace ONE Intelligence ユーザーとマイ ダッシュボードおよびレポートを共有できます。オブジェクト(ダッシュボードまたはレポート)の所有者はフル アクセスで指定され、オブジェクトを共有するユーザーは、表示可能(読み取り専用)または編集可能アクセス(読み取りおよび書き込み)で指定されます。共有機能の拡張機能として、管理者ロールを持つ管理者もダッシュボードとレポートの所有権を移行できます。この機能は、管理者が組織を離れた後に役立ちます。これは、Workspace ONE Intelligence オブジェクトを管理するアクティブな管理者がいなくなるためです。これらのオブジェクトをアクティブな管理者に割り当てるために、管理者は、未所有のオブジェクトを探して再割り当てできます。

Workspace ONE UEM から管理者を追加する

Workspace ONE UEM for Roles Based Access Control (RBAC) で管理される、基本的な管理者、およびディレクトリベースの管理者を Workspace ONE Intelligence に追加するには、設定により、管理者が、Workspace ONE UEM から Workspace ONE Intelligence にアクセスできるようにします。

このプロセスでは、Workspace ONE UEM と Workspace ONE Intelligence の両方の構成を行います。Workspace ONE UEM で管理者を追加または編集し、Intelligence Admin ロールを割り当てます。その後、Workspace ONE Intelligence で権限を付与して RBAC アカウントの構成を行います。

Workspace ONE Intelligence で管理者ロールを割り当てない場合、新しい RBAC 管理者が Workspace ONE Intelligence console にログインし、[アクセスを要求] 通知プロセスを使用してアクセスを要求する必要があります。システムは、Workspace ONE Intelligence の RBAC アカウントに権限を付与し、構成を行うよう求める、管理者からの要求を E メールで送信します。

手順

  1. Workspace ONE UEM console で、Workspace ONE Intelligence にアクセスできるロールを、管理者のために追加します。
    1. 組織グループを選択します。
    2. [アカウント] > [管理者] > [役割] > [役割を追加] の順に移動します。
    3. 名前と説明を入力して、リスト表示でロールを見つけます。Intelligence Admin - Grants basic admins access to the WS1 Intelligence console.
    4. [検索リソース] テキスト ボックスに Intelligence と入力して、インテリジェンス ロールを表示します。このロールは [カテゴリ] > [モニター] > [インテリジェンス] にあります。
    5. 管理者に読み取りと編集の権限を付与します。これで、Intelligence Admin ロールを Workspace ONE UEM の管理者に割り当てることができるようになりました。
  2. Workspace ONE UEM console で、管理者を追加し、Intelligence ロールを割り当てます。
    • [アカウント] > [管理者] > [リスト表示] > [追加] > [管理者を追加] に移動します。
    • [ベーシック] タブの下の、[ユーザー タイプ] 項目で、[ベーシック] または [ディレクトリ] を選択します。
      • ベーシック - ユーザー名、パスワード、名字、名前など、[ベーシック] タブに必要な設定を入力します。配信方法に Eメールか SMS を選択する場合に 二要素認証 を有効にし、トークンの有効期限を数分に設定できます。[通知] オプションを選択して、なし、E メール、SMS から選択することもできます。管理者は自動生成された応答を受信します。
      • ディレクトリ - 管理者のディレクトリ資格情報のドメインとユーザー名を入力します。
    • [役割] タブを選択し、組織グループを選択して、以前に追加したロールの Intelligence Admin を入力します。
  3. この手順は、Workspace ONE Intelligence で割り当てられた役割を割り当てない場合に必須の手順となります。管理者に、Workspace ONE Intelligence にログインして [アクセスを要求] プロセスを完了するように求めます。制限付きアクセス 画面の アクセスを要求 ボタンを選択すると、エントリを承認するために、現在アクティブであり 管理者 ロールが割り当てられている Console 内の 10 人の管理者にシステムから E メール通知が送信されます。ユーザーがすでにアクセスを要求している場合に [アクセスを要求] を選択すると、以前の要求についてユーザーに表示されますが、ユーザーは別の要求を送信できます。
    • E メールを確認して管理者アクセス要求通知を見つけます。[ユーザーを管理する] ボタンを使用して、Workspace ONE Intelligence console に移動できます。
  4. Workspace ONE Intelligence で、アクセス権を付与し、管理者権限を構成します。
    • [設定] > [管理者] > [管理] の順に移動し、リストから管理者を選択して、[編集] を選択します。
    • 該当する権限を選択し、管理者アカウントを保存します。Workspace ONE UEM の管理者は Workspace ONE Intelligence にアクセスできるようになりました。

Azure AD から管理者と管理者グループを追加する

Azure Active Directory (AC) からの管理者と管理者グループを、Workspace ONE Intelligence での Roles Based Access Control (RBAC) のために追加するには、管理者が、Workspace ONE UEM から Workspace ONE Intelligence にアクセスできるようにするための設定を構成します

前提条件

Azure AD 環境に接続するには、Workspace ONE Intelligence を承認する必要があります。

手順

  1. Workspace ONE Intelligence console で、[設定] > [管理者] > [管理] の順に移動し、[追加] を選択します。Azure AD グループを追加するには、管理者グループ タブを選択します。Azure AD との統合を構成していない限り、[追加] メニュー項目は表示されません。
  2. [管理者を追加] ページで、[ユーザー] テキスト ボックスに管理者の名前を入力し、リストから名前を選択します。Azure AD 管理者グループを追加する場合、システムで [管理者グループを追加] ページに移動します。[グループ] テキスト ボックスに管理者グループの名前を入力します。
  3. 該当する権限を選択し、管理者アカウントを保存します。システムが Azure からこのデータをプルしていないため、追加された管理者は [不明(ログインしていない)] として表示されます。この表示は、管理者が Workspace ONE Intelligence にログインすると解決されます。
  4. 管理者に Workspace ONE Intelligence にログインするように求めます。このログイン手順により、[不明(ログインしていない)] と表示されている管理者のユーザー名が、設定されたユーザー名で解決されます。

RBAC ロールの説明

ロール ベースのアクセス制御 (RBAC) には、アナリスト、監査役、管理者、および自動化担当者の管理者のタイトルが含まれます。それぞれのロールには固有の権限があり、Workspace ONE Intelligence 機能への適切なアクセス権を迅速に割り当てられるようになっています。

スーパー管理者を作成するには、すべてのロールを管理者アカウントに割り当てます。Workspace ONE Intelligence には、スーパー管理者のための単一のロールはありません。

  • 管理者 - 管理者には、ID を作成し、マネジメント、管理、および統合の機能にアクセスする権限があります。
    • インサイトの権限 - 読み取り
    • 設定の権限 - 作成、更新、および削除
  • 分析 - アナリストは、独自のオブジェクトを作成、作業、削除すること、および権限に応じて他のオブジェクトを扱うことができます。[設定] または [自動化] の権限はありません。
    • インサイトの権限 - 読み取り
    • ダッシュボードの権限 - 作成、更新、および削除
    • レポートの権限 - 作成、更新、および削除
  • 監査 - 監査役は、他の管理者が監査目的で作成していることを確認できます。監査役には、これらのすべてと、自身が作成したものへの読み取りアクセス権があります。オブジェクトの編集も行っている監査者がいる場合は、そのアカウントに他のロールの 1 つを追加します。
    • インサイトの権限 - 読み取り
    • ダッシュボードの権限 - 読み取り
    • レポートの権限 - 読み取り
    • 自動化の権限 - 読み取り
    • 設定の権限 - 読み取り
  • 自動化 - 自動化担当者は、自動化機能の作成、作業、削除を行えます。また、自動化で使用される統合を [設定] で構成することもできます。他の管理者による自動化機能の作成を制限することで、エンドポイントにおける自動化の影響を制御できます。また、重複または競合する自動化機能の作成を削減することもできます。
    • インサイトの権限 - 読み取り
    • 自動化の権限 - 作成、更新、および削除
    • 統合の権限 - 作成、更新、および削除

データ アクセス ポリシーとは

Workspace ONE Intelligence のデータ アクセス ポリシーは、ユーザー(特にアナリスト)がダッシュボードやレポートで参照するデータを制御します。アクセスを制御するために、Workspace ONE Intelligence は VMware Workspace ONE UEM で構成された組織グループを使用します。

組織グループ別のアクセスの制御またはすべてのアクセスの許可

Workspace ONE UEM データへのユーザーのアクセスは、制限付きのデータ アクセス ポリシーに割り当てて制限することができます。Workspace ONE Intelligence では、Workspace ONE UEM 組織グループを使用してデータを制御します。ユーザーのデータ セットを制限するには、該当する組織グループで構成されたデータ アクセス ポリシーに該当ユーザーを割り当てます。Workspace ONE UEMの組織グループの詳細については、「組織グループ」トピックを参照してください。

データへのユーザーのアクセスを制限しない場合は、すべてのアクセスをユーザーに許可するように構成されたデータ アクセス ポリシーを割り当てます。

アクティベーションは即時に実行されます

最初のデータ アクセス ポリシーをアクティブ化すると、アナリスト権限のみを持ち、データ アクセス ポリシーに割り当てられていないユーザーは、Workspace ONE Intelligence で Workspace ONE UEM データを表示できなくなります。アナリストが引き続きデータを表示できるようにするには、アナリストをポリシーに割り当てます。

アナリスト用のみ

データ アクセス ポリシーに割り当てるユーザーには、RBAC アナリスト権限と該当する権限のみが必要です。これらのユーザーは、他の RBAC 権限を持つことはできません。

単一ポリシーへの割り当て

誤ってデータへのアクセスを制限したり許可したりしないようにするには、ユーザーを単一のポリシーに割り当てます。ユーザーを複数のデータ アクセス ポリシーに割り当てないでください。

オブジェクトとオブジェクト プレビューの共有

データ アクセス ポリシーは、オブジェクト内のクエリに適用され、オブジェクトを共有すると、これらのクエリが共有されます。オブジェクトを共有する場合は、この動作を考慮してください。データ アクセス ポリシーが割り当てられているユーザーとオブジェクトを共有すると、ダッシュボードまたはレポート プレビューで一部のデータが表示されなくなる場合があります。この動作はプレビューに適用されますが、ユーザーの実際のデータ アクセスには適用されません。

他の考慮事項

  • データ アクセス ポリシーには、Workspace ONE UEM との統合が必要です。Workspace ONE UEM組織グループ階層を使用して、データ アクセス ポリシーを構成し、データ アクセスを制御します。
  • データ アクセス ポリシーは限られたデータ セットに適用され、Workspace ONE UEM のすべてのデータ セットに適用されるわけではありません。
  • データ アクセス ポリシーは、ダッシュボードおよびレポートに表示されるデータを制御します。
  • データ アクセス ポリシーを作成および割り当てるには、RBAC 管理者権限が必要です。

データ アクセス ポリシーへの移動

最初のポリシーを作成してアクティブ化した後、コンソールの [設定] > [データ アクセス ポリシー] でデータ アクセス ポリシーを編集または追加できます。

最初のデータ アクセス ポリシーを作成する方法。

データ アクセス ポリシーの使用を開始するには、Workspace ONE Intelligence の [はじめに] 領域に移動します。

  1. [はじめに] > [ユーザー管理] > [データへのアクセス制限] で機能のカードを探します。
  2. [データへのアクセス制限] カードを選択します。機能の使用を開始するには、少なくとも 1 つのポリシーを追加する必要があります。
  3. 追加 を選択します。
  4. [データ アクセス ポリシーの追加] ウィンドウでデータ カテゴリを選択します。
    • すべてのアクセス:このポリシーを割り当てられたユーザーは、すべての Workspace ONE UEM データを表示できます。
    • Workspace ONE UEM 組織グループ:このポリシーを割り当てられたユーザーは、Workspace ONE UEM で管理されている、選択した組織グループ レベルのデータを表示できます。[組織グループ階層] メニュー アイテムでグループを選択します。
  5. [ユーザーの割り当て] 領域でユーザーを選択します。選択されたユーザーには、ダッシュボードレポートに表示される該当データを参照できるように、アナリスト ロールのみが必要です。
  6. サマリを表示し、ポリシーを保存します。Workspace ONE Intelligence では、[データ アクセス ポリシー] リスト表示にポリシーが一覧表示されます。
  7. 割り当てられたユーザーに対するデータ アクセス制御の準備ができている場合は、[アクティブ化] を選択します。

未割り当てのアナリストにポリシーを割り当てる方法。

管理者が引き続きデータにアクセスできるようにするには、[管理者] ページのユーザーを [アクティブなユーザー] フィルタでフィルタリングし、アナリスト権限しかないすべての管理者をデータ アクセス ポリシーに割り当てます。

  1. Workspace ONE Intelligence で、[設定] > [管理者] に移動します。
  2. [アクティブなユーザー] フィルタを選択します。
  3. アナリスト ロールのみを持ち、[データ アクセス ポリシー] 列にポリシーが表示されていない管理者を探します。
  4. ユーザーを選択し、[編集] を選択します。
  5. [データ アクセス ポリシーの割り当て] を選択します。
  6. アナリストに割り当てるデータ アクセス ポリシーを選択し、[追加] をクリックします。

Microsoft Azure Active Directoryのセットアップ

ロール ベースのアクセス制御 (RBAC) 機能に基づくロールで Azure Active Directory (AD) グループを使用するには、Azure AD 環境との接続で Workspace ONE Intelligence を許可します。

Workspace ONE Intelligence は、Microsoft Graph API を使用して Azure 環境と通信します。

前提条件

パブリック Azure AD アカウントを構成するための権限が必要です。Azure AD 管理者アカウントの認証情報を使用して登録します。Azure AD を設定するための管理者権限がない場合は、Azure AD 管理者に自分の環境を Workspace ONE Intelligence で登録してもらってください。

手順

  1. Workspace ONE Intelligence コンソールで、[設定] > [管理者] > [ユーザー ID 管理] > [Microsoft Azure Active Directory] > [セットアップ] の順に移動します。システムによって、組織の Microsoft 領域が表示されます。Azure AD 管理者権限がある場合は、Azure AD 認証情報の入力を求めるプロンプトが表示されます。
  2. Microsoft ウィンドウで [承諾] を選択し、Azure のデータにアクセスするための権限を Workspace ONE Intelligence に付与します。システムが権限を受け入れると、Microsoft Azure Active Directory 統合が [ステータス: 承認済み] と表示されます。
    • Azure でログインしてユーザー プロファイルを読み取る権限を付与します。
    • Azure のすべてのグループを読み取る権限を付与します。
    • Azure のすべてのユーザーのフル プロファイルを読み取る権限を付与します。

結果

Workspace ONE Intelligence に管理者またはグループを追加する場合は、Azure Active Directory 環境のユーザーおよびグループから選択します。

次に行うこと

[設定] > [管理者] で管理者を追加して編集します。さまざまなロールとその権限の詳細については、RBAC ロールの説明にアクセスしてください。

システム制限

Workspace ONE Intelligence では、管理者が作成できるオブジェクトの数が制限されています。環境がこれらの制限に近づいているかどうかを確認するには、[システム制限] 画面を使用します。この画面では、管理者が環境内に作成したオブジェクトの数を確認できます。必要に応じて、設定した制限を変更できます。

ナビゲーション

コンソールの [設定] > [システム制限] で、[システム制限] を確認します。

画面には何が表示されますか?

[システム制限] 画面には、環境内の最上位の組織グループ(ユーザー テナント レベル)のメトリックが表示され、環境内の他のテナント レベル全体の個々のユーザーのメトリックが表示されます。次の項目を含む作成済みオブジェクトのメトリックを検索します。

  • カスタム ダッシュボード(データの可視化オブジェクト)
  • カスタム レポート(レポート オブジェクト)
  • カスタム自動化(アクション指向のオブジェクト)

自動化、カスタム レポート、およびカスタム ダッシュボードの制限を示す Workspace ONE Intelligence の システム制限 画面。

ユーザー インターフェイスの上部にあるカードには、すべての組織グループ(すべてのテナント レベル)の合計値が表示されます。

  • 自動化 - このカードには、アクティブな自動化のデータのみが表示されます。作成されたアクティブでない自動化は含まれません。
  • カスタム レポート - このカードには、作成および保存されたすべてのレポートの数が表示されます。
  • カスタム ダッシュボード - このカードには、作成および保存されたすべてのダッシュボードの数が表示されます。

オブジェクトは人気があり、他の管理者と共有されていましたか?

ユーザー テナント レベルのカードの下にある [自動化][カスタム レポート][カスタム ダッシュボード] タブには、ユーザー固有のデータが一覧表示されます。これらのタブには、すべての管理者と、作成された自動化、カスタム レポート、およびカスタム ダッシュボードの対応する数が一覧表示されます。タブを使用して、オブジェクトが共有されたかどうかと、誰と共有されたかを確認します。オブジェクトが共有されたかどうかを知ることは、そのオブジェクトが人気であることを示します。このデータを使用して、人気のあるオブジェクトを保持するか、人気のないオブジェクトを削除して他のオブジェクトの領域を確保します。

使用可能なアクションは、RBAC 権限によって決まります

スーパー管理者、管理者、モデレータは [システム制限] 画面を表示できますが、スーパー管理者はこの画面でアクションを実行できます。

スーパー管理者(すべての RBAC 権限を持つ管理者)は、ユーザー テナント レベルで制限を表示および設定できます。この可視化により、データ アクセスの監視、制限引き上げ要求の処理、および制限値の変更を行うことができます。[システム制限] 画面で、スーパー管理者はさまざまなアクションを実行して展開を管理できます。

  • スーパー管理者は、オブジェクトを作成できる管理者を監視および管理できます。
  • すべての管理者は、テナント レベルで デフォルトのユーザー制限を設定 機能を使用できます。
    このメニュー オプションを使用すると、スーパー管理者は、必要に応じてすべての管理者または管理者のリージョンに偶数のオブジェクトを割り当てることができます。
  • オブジェクトの制限の引き上げを求める要求を処理できます。
  • 個々の管理オブジェクトを表示できます。
    • 会社を離れたユーザーを検索して、彼らが作成したオブジェクトの数を確認します。
    • これらのオブジェクトの所有権を移転するか、オブジェクトを削除して、それらの未使用のオブジェクトを他の管理者に割り当てることができます。
  • 無効化されたユーザー フィルタを使用して管理者リスト全体をフィルタリングし、所有権の移転が必要な未処理のオブジェクトを確認できます。
check-circle-line exclamation-circle-line close-line
Scroll to top icon