ユーザーの役割と許可の管理

Password Manager Proは、機密パスワードのリポジトリとして機能するため、本製品を安全に使用するには、詳細なアクセス制限が必須です。これを実現するために、役割ベースのアクセス制御を提供しています。

Password Manager Proには、デフォルトで、特定の権限が付与された、設定済の役割が5つあります。

• 管理者は、Password Manager Proをセットアップ、構成および管理します。この役割を付与されたユーザーは、すべてのユーザー、リソースおよびパスワード関連の操作を管理でき、監査記録とレポートにもアクセスできます。ただし、同ユーザーが作成した、または、他のユーザーから共有されたリソースとパスワードのみ表示できます。
• パスワード管理者は、リソースとパスワード関連の操作を実行できます。ただし、同ユーザーが作成した、または、他のユーザーから共有されたリソースとパスワードのみ表示できます。
• 特権管理者には、管理者と同じ権限があります。それに加え、プライバシー設定内のプライバシーとセキュリティ制御、IPアドレス制限、および緊急対策を設定する権限もあります。
• パスワードユーザーは、管理者やパスワード管理者から共有されたパスワードのみ表示できます。また、このれらの役割を持つユーザーは、パスワード共有の際に変更権限が付与されている場合、共有されたパスワードを変更することができます。
• パスワード監査担当者にはパスワードユーザーと同じ権限があります。また、監査記録とレポートへのアクセス権があります。

役割	操作
	ユーザーの管理	リソースの管理	パスワードの管理	パスワードの表示	個人パスワードの管理	監査とレポートの表示	プライバシーとセキュリティ制御
管理者
パスワード管理者
特権管理者
パスワードユーザー
パスワード監査担当者
役割に関わらず、個人のパスワードは、個人ユーザーに対して排他的となり、他のユーザーは管理できません。

役割のカスタマイズ
(エンタープライズエディションでのみ利用可能な機能)

Password Manager Proで設定済みの役割に加え、管理者は、ユーザーの役割をカスタマイズ作成することもできます。役割のカスタマイズオプションで、Password Manager Proで利用可能な100以上の操作の一覧から希望のオプションを選択して、新しい役割を一から作成することができます。追加のセキュリティ対策として、役割のカスタマイズ作成においては、デュアルコント役割が強制されます。1人の管理者が追加でカスタマイズ作成した新しい役割はいずれも、その他の管理者による承認が必要です。

1. カスタマイズ作成した役割の追加
2. 役割フィルター
3. ユーザーの役割の変更
4. カスタマイズ作成した役割の編集/削除

1.カスタマイズ作成した役割の追加

新しい役割をカスタマイズ作成して追加する手順は以下の通りです。

1. [管理] > [カスタマイズ] > [役割]の順に進みます。
   
2. [役割]の画面上で、［役割を追加］をクリックします。新しいウインドウが開きます。その中で、作成する新しい役割の任意の名前と説明を入力します。
3. 新しい役割を一から作成する際、この役割がPassword Manager Proでできること、できないことの範囲を定義する必要があります。すなわち、操作一覧から希望のオプションを選択して、役割の範囲を定義します。これらの操作は、パスワード、ユーザー、組織、および（GUIの左側の列に表示された）その他の各種セクションで分類されています。
   

ご要望に応じて必要な操作を選択してください。理解を深めていただくため、2つのカスタマイズ作成する役割の例と、各例において選択が必要な操作の一覧を以下にご案内します。

1.リソース追加とパスワード変更の役割: この役割は、組織の中で少数のリソースのメンテナンスを行う若手の技術担当者に最適です。この役割を割り当てられた技術担当者は、リソース/アカウントの追加、所有しているリソースの修正や削除、パスワード変更、およびPassword Manager Proからのリソースへの接続ができます。このような役割に対して選択する基本的な操作は以下の通りです。

1. パスワード
   1. リソース
      1. リソースタブの表示
      2. 手動での追加
      3. 編集
      4. 削除
      5. レポート生成
   2. アカウント
      1. リソースタブにアカウントを表示
      2. 手動での追加
      3. 編集
      4. 削除
      5. 移動
   3. パスワード変更
      1. アカウントのパスワード確認
      2. ローカルパスワード変更
      3. リモートパスワード変更
2. リモートアクセス
   1. リモートアクセス
      1. リモートマシンへの接続を許可
      2. 自動ログオンタブの表示
      3. ブックマークレット機能の使用を許可
3. カスタム設定
   1. カスタム設定
      1. パスワードをエクスポート
      2. ユーザーによる個人用パスワードの管理を許可

2.ユーザー管理の役割：Password Manager Proでの新規ユーザーの追加、ユーザープロフィールの編集/削除、役割の変更、ユーザー間のリソースの移行等、ユーザー管理のみを目的とした役割を作成したい場合に、選択が必要な基本的な操作は以下の通りです。

1. ユーザー
   1. Webユーザー管理
      1. 手動でユーザーの追加
      2. ADからのインポート
      3. LDAPからインポート
      4. Azure ADからのインポートする
      5. ファイルからのインポート
      6. 編集
      7. 削除
   2. APIユーザー管理
   3. ユーザー役割の変更
   4. ユーザーが所有するリソースの移行
   5. レポート生成
2. ユーザー認証プロトコル
   1. Active Directory管理
   2. Azure Active Directory管理
   3. RADIUS認証管理
   4. 二段階認証管理
   5. LDAP管理
   6. SAMLシングルサインオン管理
   7. スマートカード認証管理
   8. ユーザーAgent（ブラウザのアドオン/モバイルアプリ）によるアクセス管理
3. ユーザーグループ
   1. 追加
   2. ユーザーをユーザーグループに追加/削除
   3. レポート生成
   4. 削除
   5. ユーザーグループ設定管理

上記の例以外にも、適切な操作を選択して、自社のニーズに合う役割をカスタマイズ作成できます。

任意の手順 新規役割を一から作成したくない場合は、新規役割用の基本テンプレートとして、［テンプレートとして使用する役割］オプションで、Password Manager Proのデフォルトの役割、または先にカスタマイズ作成した役割を選択できます。ドロップダウンからテンプレートとして使用する役割を選択すると、その役割に設定されている権限が新規役割に適用されます。

よくある質問

1.魔法の杖アイコンが付いている操作がいくつかあります。これはどういう意味ですか？

魔法の杖が付いているオプションは、管理者の操作としての資格があるものを指します。これらの杖のマークが付いた操作を1つでも含めてカスタマイズ作成した役割は、管理者と同等の役割とみなされます。魔法の杖が付いた操作が含まれた役割は、いくつでもカスタマイズ作成できますが、役割はPassword Manager Proのユーザーに割り当てられたときのみ、ライセンスとしてカウントされます。例えば、10管理者を保有できるライセンスを保持しており、魔法の杖が付いた操作が1つ以上含まれているカスタマイズ作成した役割がある場合、この役割をユーザーに割り当てると、Password Manager Proに割り当てた10のライセンスの1つとしてカウントされます。

2.Password Manager Proではどのような人が役割をカスタマイズ作成できますか？

基本的に、役割のカスタマイズ作成は、管理者の操作です。Password Manager Proのデフォルトの役割の中で、管理者、特権管理者およびスーパー管理者（作成されている場合）のみ、役割のカスタマイズ作成の権限があります。それ以外に、カスタム設定で［カスタム役割の作成］オプションを選択して、役割のカスタマイズ作成権限がある役割を作成することもできます。(以下の画像をご参照ください。)

• また、この新しい役割にスーパー管理者としての権限を付与したい場合、「この役割に対してスーパー管理者権限を有効」ボックスにチェックを入れます。このオプションを有効にすると、ユーザー作成時にこの役割を割り当てられたユーザーが、スーパー管理者となることができます。
  
• 上記で説明したすべての手順を完了した後、［プレビューと保存］をクリックします。プレビューボックスが開き、その役割に対して選択した操作が一覧表示されます。確認して、［保存］をクリックします。新しい役割が作成され、別の管理者による承認待ちの段階に入ります。承認待ちの役割を表示するには、［役割作成の要求］をクリックします。
• 役割がレビューおよび承認されると、希望のユーザーに割り当てることができるようになります。新しいユーザーの追加と、そのユーザーへの役割の割り当て方法についての詳細は、こちらをクリックしてください。

2.役割フィルター

役割フィルターオプションを使用すると、ユーザー追加画面のアクセスレベルフィールドに表示する役割を選択できます。役割フィルターを使用して、ユーザーの新規追加や役割の変更時に割り当て可能な役割を制限できます。

役割フィルターを有効化する手順は以下の通りです。

1. ［管理］>［役割］>［役割フィルター］の順に移動します。［役割フィルターを有効化］ボックスにチェックを入れます。
2. これで、どの役割を有効化/無効化するかを決め、各ボックスで分類することができます。有効のボックス内の役割のみ、ユーザーの新規追加や役割の変更時に表示されます。完了後、［保存］をクリックすると、役割フィルターが適用されます。
   

3.ユーザーの役割の変更

以下の手順で、異なるユーザーに割り当てられた役割を一括で簡単に変更できます。

1. ［管理］>［役割］>［役割変更］の順に進みます。
2. 開いた新規ウィンドウで、まず特定の役割に属するすべてのユーザー一覧を表示したい場合は、テーブルの上にあるフィルターを使用して、該当の役割を選択します。その役割に関連づけられたユーザーが表示されます。役割の変更が必要なユーザーを選択します。
3. 次に、選択したユーザーに割り当てが必要な役割を選択し、［役割変更］をクリックします。
   

4.カスタマイズ作成した役割の編集/削除

1. カスタマイズ作成した役割を編集/修正するには、該当の役割の横の［編集］アイコンをクリックし、必要な変更を実行します。続いて、［プレビューと保存］をクリックします。編集内容を確認して、［保存］をクリックします。編集内容も、役割に反映される前に、別の管理者による承認待ちの段階に入ります。役割の編集の承認待ちは、該当の役割の横にある[承認待ち]オプションをクリックすると表示されます。以下の画像内の赤色は役割から削除された操作、青色は役割に追加された操作を指します。
2. 役割を削除するには、［削除］アイコンをクリックします。削除する前に、該当の役割に関連づけられたユーザーを別の役割に移行するよう求められます。ユーザーを別の役割に紐づけた後、［ユーザーの移行と役割の削除］をクリックします。
   

よくある質問

カスタマイズ作成した役割を削除できません。なぜでしょうか？

役割がすぐに削除できないケースが2つあります。

1. ユーザータイプの役割を削除したい場合を考えます。この役割に関連づけられた、削除前に別の役割に移行が必要なユーザーが5名いるとします。ユーザータイプの役割、もしくは十分な管理者ライセンスがある場合は、管理者タイプ役割のどちらにも移行することができます。ただし、管理者ライセンスが残っていない場合、ユーザーをユーザータイプの役割から管理者タイプの役割に移行することはできません。また、関連づけられたユーザーを移行するユーザータイプの役割が存在しない場合は、選択した役割を削除できません。そのような場合、新しくユーザータイプの役割をカスタマイズ作成するか、追加ライセンスを購入する必要があります。
2. もう一つのケースとして、役割フィルターが原因の場合があります。役割フィルターの設定を有効化し、フィルター内で既存のユーザータイプの役割をすべて無効化したとします。このフィルターにより、ユーザータイプの役割を削除する際、関連づけられたユーザーを、管理者タイプの役割にしか移行できなくなります。ただし、管理者ライセンスが残っていない場合、移行を完了できないか、役割を削除できません。このような場合、役割フィルター設定で少なくとも1つのユーザータイプの役割を有効にするか、追加ライセンスを購入する必要があります。

管理者ライセンスが必要な操作一覧

役割カテゴリ：パスワード

1. リソース
   • インポート
   • 列挙
   • カスタマイズ
   • 編集
   • 移動
   • コピー
   • サービスアカウントやスケジュールタスク管理
2. アカウント
   • 列挙
   • カスタマイズ
3. パスワード変更
   • パスワード確認 - パスワード一括確認
   • パスワード変更 ‐ パスワード一括変更
4. リソースグループ
   • 追加
   • 削除
   • 移動
   • 編集
   • レポート生成
5. アクセス制御
   • 設定
   • パスワード要求の承認
6. パスワードの共有
   • アカウントの共有(ユーザーおよびユーザーグループに)
   • リソースの共有(ユーザーおよびユーザーグループに)
   • リソースグループの共有(ユーザーおよびユーザーグループに)

1. ユーザー
   • Webユーザー管理
     • 手動でユーザーの追加
     • ADからのインポート
     • LDAPからインポート
     • Azure ADからのインポート
     • ファイルからのインポート
     • 編集
     • 削除
   • APIユーザー管理
   • ユーザー役割の変更
   • ユーザーが所有するリソースの移行
   • アクセス制御権限の移行
   • レポート生成
2. ユーザー認証プロトコル
   • Active Directory管理
   • Azure Active Directory管理
   • RADIUS認証管理
   • 二段階認証管理
   • LDAP管理
   • SAMLシングルサインオン管理
   • スマートカード認証管理
   • ユーザーAgent（ブラウザのアドオン/モバイルアプリ）によるアクセス管理
3. ユーザーグループ
   • 追加
   • ユーザーをユーザーグループに追加/削除
   • 削除
   • ユーザーグループ設定管理
   • レポート生成

このカテゴリで指定したすべての操作には、管理者ライセンスが必要です。

1. リモートアクセス
   • 自動ログオンヘルパーの管理を許可
2. リモートセッション
   • セッション記録の設定
   • アクティブなセッションへの参加を許可
   • アクティブなセッションの終了を許可

• クエリレポートの生成

• データベースのバックアップ
• フェールオーバーサービス
• プロキシサーバー
• SSL設定(サーバー設定)
• 高可用性
• メールサーバー設定
• イベントログ設定
• PMPサーバー設定(タブの環境設定変更、リブランド、ログレベル、一般設定)

• メールのテンプレート管理
• パスワードリセットリスナー管理
• パスワード管理API
• チケットシステム連携管理
• スケジュール管理
• サポート情報表示
• パスワードエクスポート（ーオフラインアクセスー）管理
• パスワードポリシー管理
• リソース種別管理
• ランディングサーバー管理
• ライセンス管理
• カスタム役割の作成
• PMPAgentのダウンロード