共通オブジェクトの役割ベースのアクセス制御の管理
ポリシーのアクセス制御を設定すると、同じ種類のすべての共通オブジェクトが同じアクセスを共有します。これにより、共通オブジェクトの子オブジェクトが複数のグループやユーザに分割されていても、それらのアクセスが共有されている場合に問題が発生することがあります。たとえば、子オブジェクトのディレクトリ、ファイル拡張子、またはファイルリストを使用する不正プログラム検索設定や、不正プログラム検索設定を使用するポリシーなどです。この共有アクセスは、ユーザがアクセスできるが、技術的には別のグループに属しているオブジェクトをユーザが変更した場合に問題が発生する可能性があります。
共通オブジェクトの役割ベースのアクセス制御(RBAC)を使用すると、管理者は次の共通オブジェクトの各役割のアクセス範囲を制御できます。
- 不正プログラム検索設定
- ディレクトリリスト
- ファイル拡張子リスト
- ファイルリスト
[選択したオブジェクト] へのアクセス権を持つ役割には、他のオブジェクトに対する表示のみの権限を付与できます。これにより、表示のみの権限を持たない役割でも、特定のオブジェクトへのフルアクセスまたはカスタムアクセスを許可しますが、残りのオブジェクトへの表示のみのアクセスは保持できます。また、特定のオブジェクトへの編集アクセス権は、それを必要とする役割にのみ付与されます。
オブジェクトに適用された権限は、同じ種類の他のオブジェクトにも適用されます。
役割のアクセス範囲の設定
アクセス範囲を設定するには、管理者権限が必要です。
- [管理] ページに移動します。
- 左側のペインで、[ユーザ管理]→[役割]の順に選択します。
- 役割を選択します。
- [共通オブジェクト]タブを選択します。
- 下矢印をクリックして、適切な共通オブジェクトを選択します。
-
特定のグループへのアクセスを制限するには
初期設定では、権限は [すべて] に設定されており、すべてのユーザがすべてのオブジェクトにアクセスできます。
- [選択したオブジェクト] を選択します。
- オブジェクトを選択します。
- リストから権限を選択します。
- 選択されていないオブジェクトに対する表示のみの権限をユーザに許可するには、選択を行います。
付与されたオブジェクトへの役割のアクセス
次のいずれかの条件に該当する場合、ログインロールはアイテムを表示できます。
- 役割のアクセス範囲を介して直接割り当てられます。権限: その役割に設定されている内容。
- 選択されていない場合は表示のみです。権限: 表示のみ。
- ユーザー補助オブジェクトによって使用されます。権限: 表示のみ (付与)。
- アクセス可能なポリシーの親ポリシーによって使用されます。権限: 表示のみ (付与)。
付与されたオブジェクトの役割での使用
次のいずれかの条件に該当する場合、ログインロールはアイテムを使用できます。
- 役割のアクセス範囲を介して直接割り当てられます。すべての対象に使用できます。
- 選択されていない場合は表示のみです。すべての対象に使用できます。
- ユーザー補助オブジェクトによって使用されます。元のアイテムにのみ使用できます。
- アクセス可能なポリシーの親ポリシーによって使用されます。継承を介してのみ子ポリシーで使用できます。
すべてのアクセス範囲を持つ役割はオブジェクトをインポートできます
ログインしている役割がオブジェクトをインポートできるのは、次の役割がある場合のみです。
- その種類の共通オブジェクトに対する作成権限。
- アクセス範囲が [すべて] に設定されている。