ユーザー ロールの実装
System Center Operations Manager では、ユーザー ロールは、監視データへのアクセスとアクションの実行に必要な権限を割り当てるために使用する方法です。 ユーザー ロールは、同じ監視対象オブジェクトのグループにアクセスしてアクションを実行する必要のあるユーザー グループに適用されるように設計されています。 既定では、Operations Manager 管理者アカウントのみがすべての監視データを表示および操作する権限を持ちます。 特定またはすべての監視データを表示または操作するには、他のすべてのユーザーにユーザー ロールが割り当てられている必要があります。
ユーザー ロールは、ユーザー ロールの作成ウィザードを使用して作成します。 このウィザードでは、このユーザー ロールを割り当てる Active Directory セキュリティ グループ、このユーザーがアクセスできる監視対象オブジェクトの Operations Manager グループ、およびこのユーザー ロールがアクセスできるタスク、ダッシュボード、およびビューを構成します。
ユーザー ロールは、次の図に示すように、プロファイルとスコープの組み合わせです。 一人のユーザーに複数のロールを割り当てることができます。この場合、割り当てたすべてのユーザー ロール全体がスコープになります。
プロファイルについて
管理グループにユーザー ロールを作成する前に、作成するユーザー ロールに適用されるプロファイルを 1 つ選択します。 プロファイルによって、ユーザーが実行できるアクションが決まります。 プロファイルには権限のセットが定義されており、これらの割り当てられた権限を追加または削除することはできません。 オペレーターやその他のユーザーのユーザー ロールを作成する場合は、System Center - Operations Manager 展開のユーザー グループの責任に最も近いプロファイルを選択します。
Operations Manager はエンタープライズ監視プラットフォームであり、企業にデプロイされているインフラストラクチャ、ワークロード、またはアプリケーションを監視できるため、さまざまなインシデント エスカレーション サポート レベルまたはアプリケーション開発者チームが、その役割に関連する運用データを確認できるように、監視データへのアクセスをサービス操作プロセスに合わせて調整することができます。 ロール ベースのセキュリティを構築することで、Operations Manager の各種側面に対するユーザー特権を限定できます。
重要
ユーザー ロール メンバーにマシン アカウントを追加すると、そのコンピューター上のすべてのサービスが Operations Manager にアクセスできるようになります。 どのユーザー ロールにもマシン アカウントを追加しないことをお勧めします。
Operations Manager では、アラートの解決、タスクの実行、モニターのオーバーライド、ユーザー ロールの作成、アラートの表示、イベントの表示などの操作がプロファイルにグループ化され、各プロファイルは次の表に示すように特定のジョブ機能を表します。 各プロファイルに関連付けられた特定の操作の一覧については、「 Operations Associated with User Role Profiles」を参照してください。
Note
スコープは、プロファイルに限定的に関連付けられるエンティティ グループ、オブジェクトの種類、タスク、またはビューを定義します。 すべてのプロファイルにすべてのスコープが適用されるわけではありません。
| プロファイル | ジョブ機能とスコープ |
|---|---|
| 管理者 | Operations Manager で利用できる完全な特権が含まれています。 注: Active Directory セキュリティ グループは、管理者ロールにのみ追加できます。 |
| 高度なオペレーター | オペレーターの特権に加えて、監視構成へのアクセスを制限することが必要なユーザー用に定義された特権のセットが含まれます。 メンバーは、構成されたスコープ内にある特定のターゲットまたはターゲット グループに対するルールや監視の構成をオーバーライドすることを許可されます。 高度なオペレーターは、オペレーター特権も継承します。 |
| アプリケーション監視オペレーター | アプリケーション診断へのアクセスを必要とするユーザー向けに設計された一連の特権が含まれています。 Application Monitoring Operator プロファイルに基づくユーザー ロールは、 Application Diagnostics Web コンソールでアプリケーション監視イベントを表示する機能をメンバーに付与します。 注: アプリケーション アドバイザー 機能へのアクセスには、レポートオペレーターまたは管理者プロファイルが必要です。 |
| 作成者 | 監視構成の作成を行うように定義された特権のセットが含まれます。 メンバーは、構成されたスコープ内の特定のターゲットまたはターゲットのグループに対する監視構成 (タスク、ルール、モニター、およびビューなど) を作成、編集、および削除することを許可されます。 |
| Operator | アラート、ビュー、およびタスクへのアクセスが必要なユーザー用に定義された特権のセットが含まれます。 メンバーは、構成されたスコープに応じて、アラートとの対話、タスクの実行、およびビューへのアクセスを行うことを許可されます。 セキュリティに関する注意: ダッシュボード ビューでデータ ウェアハウス データベースのデータが使用されている場合、オペレーターは、操作データベースのデータを使用するビューでアクセスできないデータを表示できる場合があります。 |
| 読み取り専用オペレーター | アラートおよびビューへの読み取り専用のアクセスが必要なユーザー用に定義された特権のセットが含まれます。 メンバーは、構成されたスコープに応じて、アラートの表示やビューへのアクセスを行うことを許可されます。 注: 読み取り専用オペレーター ロールのメンバーには、タスクの状態ビューへの権限が割り当てられていません。 セキュリティに関する注意: ダッシュボード ビューでデータ ウェアハウス データベースのデータが使用されている場合、オペレーターは、操作データベースのデータを使用するビューでアクセスできないデータを表示できる場合があります。 |
| レポート オペレーター | レポートへのアクセスが必要なユーザー用に定義された特権のセットが含まれます。 メンバーは、構成されたスコープに応じて、レポートの表示を行うことを許可されます。 注意: このロールに割り当てられているユーザーは、レポート データ ウェアハウス内のすべてのレポート データにアクセスでき、スコープによって制限されません。 |
| レポート セキュリティ管理者 | SQL Server の Reporting Services のセキュリティと Operations Manager のユーザー ロールを統合できます。 これにより、Operations Manager 管理者はレポートへのアクセスを制御できるようになります。 このロールはメンバー アカウントを 1 つだけ持つ可能性があり、スコープを設定することはできません。 |
Operations Manager 2022 では、上記に一覧表示されている既存のジョブ プロファイルに加えて、次の新しいジョブ プロファイルがサポートされています。
| プロファイル | ジョブ機能とスコープ |
|---|---|
| 読み取り専用の管理者 | レポートと共に Operations Manager のすべての読み取り権限を含みます。 |
| 代理管理者 | レポート以外の Operations Manager のすべての読み取り権限を含みます。 メンバーは、基本プロファイルとして委任された管理者を持つカスタム ユーザー ロールを作成することが許可されます。 |
Operations Manager グループを使用してスコープを定義する
ユーザー ロールのスコープによって、System Center – Operations Manager でユーザー ロールが表示およびアクションを実行できるオブジェクトが決まります。 スコープは 1 つ以上の Operations Manager グループで構成され、ユーザー ロールの作成ウィザードの一部としてユーザー ロールを作成するときに定義されます。 ユーザー ロールの作成ウィザード の [グループのスコープ] ページには、既存の Operations Manager グループすべての一覧が表示されます。 作成するユーザー ロールのスコープとして、これらのグループのすべてまたは一部を選択できます。
他の Operations Manager オブジェクトと同様に、グループは管理パックで定義されます。 Operations Manager では、グループは、Windows ベースのコンピューター、ハード ディスク、Microsoft SQL Server のインスタンスなどのオブジェクトの論理コレクションです。 いくつかのグループは、Operations Manager のインストール時に自動的にインポートされる管理パックによって作成されます。 これらのグループにスコープに必要な監視対象オブジェクトが含まれていない場合は、そのグループを作成できます。 これを行うには、 ユーザーロールウィザードを終了し監視ワークスペースに切り替え、 グループ作成ウィザード を使用して、ニーズに合ったグループを作成する必要があります。
タスク、ダッシュボード、ビューを割り当てる
タスクは、Operations Manager エージェントまたはコンソールが起動されるシステムで実行される、オペレーション コンソールからのユーザー開始アクションです。 作成しているユーザー ロールに付与するタスクは、作成するユーザー ロールに対してこれらの特定のコマンドまたはアクションを実行できます。 既定の設定では、そのユーザー ロールに割り当てられているすべてのユーザーが、プロファイルとスコープで許可されている限り、すべてのタスクを実行し、すべてのダッシュボードとビューを開くことができます。 ユーザー ロールの作成ウィザードの [タスク] ページで、作成しているユーザー ルールがアクセスできる特定のタスクを一覧表示することもできます。 同様に、 ユーザー ロールのダッシュボードとビューの作成 ページでは、どのダッシュボードとビューに加えて、[タスク] ウィンドウからアクセスできる特定のダッシュボードにアクセスできるかを指定します。
組み込みのユーザー ロールにメンバーを割り当てる方法
Operations Manager には、セットアップ中に作成される 8 つの標準ユーザー ロールが用意されています。 これらの組み込みユーザー ロールにグループと個人を直接割り当てて、特定のタスクを実行したり、特定の情報にアクセスしたりできるようにすることができます。 これらの組み込みロールには、管理グループのグローバル スコープがあります。
ユーザーのスコープを制限するには、新しいユーザー ロールを作成します。
組み込みのユーザー ロールにメンバーを割り当てるには
Operations コンソールで、 [管理]を選択します。
Security で、User Roles を選択します。
結果ウィンドウで、 Operations Manager Operators などのユーザー ロールを右クリックし、 Properties を選択します。
[ General プロパティ タブの User ロール メンバーで、 Add を選択します。
選択するオブジェクト名を入力ユーザー ロールに追加するユーザーまたはグループ アカウントの名前を入力し、 OKを選択してダイアログを閉じます。
OK を選択して、ユーザー ロールのプロパティを閉じます。