共通オブジェクトの役割ベースのアクセス制御の管理
ポリシーのアクセス制御を設定すると、同じ種類のすべての共通オブジェクトが同じアクセスを共有します。これにより、共通オブジェクトの子オブジェクトが複数のグループやユーザに分割されていても、それらのアクセスが共有されている場合に問題が発生することがあります。たとえば、子オブジェクトのディレクトリ、ファイル拡張子、またはファイルリストを使用する不正プログラム検索設定や、不正プログラム検索設定を使用するポリシーなどです。この共有アクセスは、ユーザがアクセスできるが、技術的には別のグループに属しているオブジェクトをユーザが変更した場合に問題が発生する可能性があります。
共通オブジェクトの役割ベースのアクセス制御(RBAC)を使用すると、管理者は次の共通オブジェクトの各役割のアクセス範囲を制御できます。
- 不正プログラム検索設定
- ディレクトリリスト
- ファイル拡張子リスト
- ファイルリスト
[選択したオブジェクト]へのアクセス権がある役割については、他のオブジェクトの表示のみの権限を許可できます。これにより、表示のみの権限がない役割は、特定のオブジェクトに対するフルアクセスまたはカスタムアクセスを許可されますが、それ以外の権限は残ります。また、特定のオブジェクトに対する編集アクセス権は、そのオブジェクトを必要とする役割にのみ属します。
オブジェクトに適用された権限は、同じ種類の他のオブジェクトにも適用されます。
役割のアクセス範囲の設定
アクセス範囲を設定するには、管理者権限が必要です。
- [管理] ページに移動します。
- 左側のペインで、[ユーザ管理]→[役割]の順に選択します。
- 役割を選択します。
- [共通オブジェクト]タブを選択します。
- 下矢印をクリックして、適切な共通オブジェクトを選択します。
-
特定のグループへのアクセスを制限するには
初期設定では、権限は「すべて」に設定されており、すべてのユーザがすべてのオブジェクトにアクセスできます。
- 選択したオブジェクトオプションボタンを選択します。
- オブジェクトを選択します。
- ドロップダウンから権限を選択します。
- 選択していないオブジェクトの表示のみをユーザに許可するには、チェックボックスをオンにします。
付与されたオブジェクトへの役割のアクセス
次の4つの条件のいずれかに該当する場合、ログインしている役割はアイテムを表示できます。
- 役割のアクセス範囲を介して直接割り当てられます。(権限:その役割の設定内容)
- 選択されていない場合は表示のみ。(権限:表示のみ)
- アクセス可能なオブジェクトによって使用されます。(権限:表示のみ(付与))
- アクセス可能なポリシーの親ポリシーによって使用されます。(権限:表示のみ(付与))
付与されたオブジェクトの役割での使用
次の4つの条件のいずれかに該当する場合、ログインしている役割はアイテムを使用できます。
- 役割のアクセス範囲を介して直接割り当てられます。(すべての対象で使用可能)
- 選択されていない場合は表示のみ。(すべての対象で使用可能)
- アクセス可能なオブジェクトによって使用されます。(元のアイテムでのみ使用可能)
- アクセス可能なポリシーの親ポリシーによって使用されます。(継承によってのみ子ポリシーで使用可能)
すべてのアクセス範囲を持つ役割はオブジェクトをインポートできます
ログインしている役割がオブジェクトをインポートできるのは、次の役割がある場合のみです。
- その種類の共通オブジェクトに対する「作成」権限。
- アクセス範囲が[すべて]に設定されています。