ヘルプ MSP MSPアカウントのアクセス権限 MSPカスタムロール

MSPカスタムロール

カスタムロールを使用して、MSPレベルで顧客管理、監査ログ、ユーザー管理、3rdパーティ連携、デバイスキーへのアクセス制限の管理を行えます。各顧客アカウントで顧客ロールを作成する代わりに、管理ポータルから顧客レベルでカスタムロールを作成することも可能です。

ポータルレベルで、MSP管理者がユーザーにカスタムロールを割り当てることができ、複数クライアントに対して監視機能を管理できます。例として、技術サポートロールを読み取り専用としてすべての顧客監視に割り当てて、レポートやダッシュボードなどの重要な設定の権限を制限できます。

顧客レベルでは、クライアントアカウントごとに特定のカスタムロールを作成し、顧客ごとの要件に合わせて権限を制御できます。例として、ネットワークエンジニアやアプリケーション開発者がそれぞれ関連する監視にのみアクセス権限を付与して管理できます。

ビジネスユニットの場合、カスタムロールがすべてのユニットに同期されます。

ユーザーロールについて

新規ユーザーを追加する際にロールを割り当てます。Site24x7ユーザーロールドロップダウンからユーザーロールを選択でき、ここにシステムロールまたはカスタムロールが表示されます。システムロールには下記のロールが存在します。

  • MSP管理者
  • MSPオペレーター

上記以外のユーザーロールを割り当てたい場合にカスタムロールを使用してください。

カスタムロールにアクセスする方法は次のとおりです。

  1. [管理]→[ユーザーとアラート管理]→[カスタムロール]をクリックします。
  2. そこで次の操作を行えます。
    • MSPカスタムロールの追加
    • カスタムロールの編集

MSPアカウントでのカスタムロール新規追加

カスタムロールページで、MSP管理者のみカスタムロールの追加を行えます。追加手順は次のとおりです。

  1. [カスタムロールの追加]をクリックします。
  2. 画面右上のドロップダウンで、[カスタムロールの追加]はポータルレベルのロール作成、[顧客のカスタムロールを追加]は顧客レベルのロールの作成を行います。

カスタムロールの追加

ポータルレベルでカスタムロールを作成した場合、ポータル内のすべての顧客マッピングできます。

  1. ポータルレベルでは、MSP管理者の管理、ダッシュボード、設定プロファイル、MSP監視タイプ、デバイスキーのモジュール単位でアクセス権を付与することができます。
    下記4種類の権限を設定できます。
    1. すべて:全てのリソースと設定に対して全権限を付与します。
    2. 許可:「すべて」と同等の権限であり、全権限を付与します。
    3. ユーザー作成:「すべて/許可」と同じ権限ですが、そのユーザーが作成したリソースや設定にのみ有効です。
    4. アクセスなし:リソースや設定に対してアクセスを拒否します。

      「アクセスなし」が有効になっている場合、表示、書き込み、削除を含むすべての権限が無効化されます。

  2. 各モジュールで下記4つの操作から選択できます。
    • アクセスなし:そのモジュールと操作に対して権限を持ちません。
    • 表示:読み取り専用アクセス権を持ちます。
    • 書き込み:そのモジュールと設定の変更権限を持ちます。
    • 削除:そのモジュールと設定の削除権限を持ちます。
  3. 入力後、画面右上の[保存]をクリックします。
  • モジュールと設定のいくつかの項目は無効化されて制限されています。
  • 表示項目で[ユーザー作成]を選択すると、書き込み権限も自動で[ユーザー作成]に変更されます。一方で表示権限を[すべて]にすると、書き込み権限で[すべて]、[ユーザー作成]、[アクセスなし]を選択できるようになります。
  • 表示項目が制限されていると、書き込みと削除権限を付与できません。

権限設定(ポータルレベル)

特定の権限を割り当てることで、各モジュールへのアクセス権を管理できます。監視、タグ、連携、その他の機能や構成に表示書き込み削除のアクセス権を割り当てることで、不正アクセスを防止し、細かいアクセス制御を行えます。

MSP管理の管理:ユーザー管理、監査ログ、顧客管理、顧客グループへのアクセス権限を制御できます。

例として、顧客管理モジュールで、表示、書き込み、削除が許可されたロールを割り当てた場合、そのユーザーは顧客の追加、アカウント情報の更新、顧客アカウントの削除を行えます。

監査ログ、顧客グループには表示権限のみ付与できます。

ダッシュボード:ダッシュボード管理において、すべて、ユーザー作成、アクセスなし権限を表示、書き込み、削除アクションに対して付与します。

設定プロファイル:ロケーションプロファイル、通知プロファイル、業務時間、メールテンプレートといった設定プロファイルに権限を割り当てます。

ロケーションプロファイルの表示に「すべて」権限を付与している場合、書き込みと削除にも「すべて」、「ユーザー作成」、「アクセスなし」を割り当てます。しかし、設定プロファイルのユーザー作成権限を付与すると、「書き込み」にも同じ権限レべルが自動で割り当てられます。また「削除」にはユーザー作成とアクセスなしのみ割り当てることができます。

例として、5ロケーションプロファイルが存在し、それら3ロケーションプロファイルが割り当てユーザーが作成したものであった場合、表示に「ユーザー作成」権限を割り当てることで、削除に「すべて」を割り当てることを防止できます。表示権限のないロケーションプロファイルは削除できません。

MSP監視タイプ:オンプレミスポーラーと装置テンプレートの権限レベルを設定します。

デバイスキー:デバイスキーの表示権限を設定します。

顧客のカスタムロールを追加

顧客のカスタムロールにより、各MSP顧客のロールをカスタマイズできます。

  1. Site24x7にログインします。
  2. [管理]→[カスタムロール]に移動します。
  3. [顧客のカスタムロールを追加]を右上のドロップダウンから選択します。
  4. 次の情報を入力します。
    • ロール名:ロールの名前を入力します。
    • 説明:そのロールの目的について短い説明を入力します。
    • 権限設定:各モジュールに対する権限を設定します。次の4種類の権限を指定できます。
      • すべて:全てのリソースと設定に対して全権限を付与します。
      • 許可:「すべて」と同等の権限であり、全権限を付与します。
      • ユーザー作成:「すべて/許可」と同じ権限ですが、そのユーザーが作成したリソースや設定にのみ有効です。
      • アクセスなし:リソースや設定に対してアクセスを拒否します。

        「アクセスなし」が有効になっている場合、表示、書き込み、削除を含むすべての権限が無効化されます。

  5. 各モジュールで下記4つの操作から選択できます。
    • アクセスなし:そのモジュールと操作に対して権限を持ちません。
    • 表示:読み取り専用アクセス権を持ちます。
    • 書き込み:そのモジュールと設定の変更権限を持ちます。
    • 削除:そのモジュールと設定の削除権限を持ちます。
  6. 設定:関連モジュールの設定を追加や修正権限を選択するドロップダウンです。例として、サーバー監視のしきい値プロファイルの編集を行いたい場合、「サーバー」列の設定で[しきい値プロファイルの修正]を選択する必要があります。
  7. 入力後、右上の[保存]をクリックします。

権限設定(顧客レベル)

アクセスを管理するための権限を割り当てることで、さまざまなモジュールの新しいロールをカスタマイズします。監視、タグ、連携、その他の機能や構成に表示書き込み削除のアクセス権を割り当てることで、不正アクセスを防止し、細かいアクセス制御を行えます。

監視設定:モジュールとしてグループ化されたリソースへのアクセスを制御する権限を割り当てることができます。変更できるさまざまな構成設定を選択することもできます。

たとえば、システム管理者は、さまざまなタイプの監視に対して異なるレベルのアクセスを必要とする場合があります。構成を変更したり、問題を効率的にトラブルシューティングしたりできるように、サーバー監視の表示書き込みの権限が必要になる場合があります。ネットワーク監視の場合は表示のみのアクセス権があり、変更を加えずにネットワークパフォーマンスを監視できます。さらに、クラウド監視の表示アクセス権を保持することもでき、変更を制限しながらステータスとパフォーマンスメトリックを確認できます。

リソースごとに、ユーザーが設定を追加または更新できるように、ロケーションプロファイルの変更、ユーザーアラートグループの変更、しきい値プロファイルの変更、オンコールスケジュールの変更、通知プロファイルの変更、アップグレード、タグの変更、サードパーティ連携の変更、IT自動化の変更、サービスなどの構成を選択する必要があります。

たとえば、すべてのインターネットサービス監視の通知とアラートを担当するカスタムロールを作成するには、設定でユーザーアラートグループの変更、オンコールスケジュールの変更、通知プロファイルの変更を選択できます。カスタムロールユーザーには、すべてのインターネットサービス監視に関連付けられたユーザーアラートグループ、オンコールスケジュール、通知プロファイル設定を変更または削除する権限が与えられます。

ダッシュボードとレポート:ユーザーのロールに基づいて、ダッシュボードレポートにさまざまな権限を割り当てます。ダッシュボードを管理する権限を割り当てると、ユーザーは許可されたリソースに関連するウィジェットを表示できます。

監視グループ:カスタムロールには、監視グループに対して[作成済み]権限または[アクセスなし]権限のみを付与できます。

ユーザーとアラートの管理:カスタムユーザーのロールには、ユーザー管理ユーザーアラートグループと、組織のポリシーに基づくオンコールスケジュールへのさまざまなレベルのアクセス権を付与できます。 。

設定プロファイル:さまざまな設定プロファイルに必要な権限を割り当てます(ロケーションプロファイル、通知プロファイル、しきい値プロファイル、業務時間、メールテンプレート、グローバルパラメーター、OAuthプロバイダー、Webトークンなど)、APMエージェント構成およびAPM キートランザクション構成をここで設定できます。。

DevOpsエンジニアが、アプリケーション監視を管理するためAPMエージェント構成のすべての権限と、グローバルパラメーターへの表示のみのアクセスを必要とするシナリオを考えてみましょう。ネットワーク管理者は、アラートを設定するために通知プロファイルとしきい値プロファイルの表示書き込み権限のみを必要とし、スケジュール調整のために営業時間への表示アクセス権を持ちます。最後に、コンプライアンス担当者は、変更を加えずにコンプライアンスを確保するために、電子メール テンプレート、OAuth プロバイダー、および Web トークンへの表示 のみのアクセス権を付与する必要があります。

タグタグを管理するのに、[すべて]、[ユーザー作成]、[アクセスなし]を付与できます。モジュールの設定でタグの変更が選択されている場合、タグ管理のアクセスなしをチェックすることはできません。

サードパーティ連携サードパーティ連携チャネルを管理するには、[すべて]または[ユーザー作成]のアクセス権を付与できます。モジュールの設定でサードパーティ連携の変更が選択されている場合、タグ管理の[アクセスなし]をチェックすることはできません。

オペレーション:IT オートメーションスケジュール設定などの機密性の高いアクションに対する制限付きアクセスをユーザーに割り当てるにはメンテナンスアカウント設定監査ログでは、上記の各アクションに対してさまざまな権限を選択します。 IT 自動化権限を割り当てるには、関連するリソースに対して IT 自動化が構成されていることを確認してください。監査ログを除くすべてのアクションには、すべて作成済み、またはアクセスなしが設定されます。また、監査ログについては、許可またはアクセスなし権限を割り当てることができます。

デバイスキー:エージェントやオンプレミスポーラーの認証に使用されるデバイスキーへのアクセスを制御できます。デバイスキーへのアクセス権を制御することで、認可されたユーザーのみアクセスして、パフォーマンスメトリックをSite24x7プラットフォームにプッシュできます。また重要データを保護し適切なアクセスを維持します。

ユースケース

  • MSP管理の管理のロールを設定する際、「表示」と「書き込み」に許可権限を付与することで、そのユーザーはユーザーアカウントの追加とアカウント情報の更新を行えます。「削除」にアクセスなしを付与することでそのユーザーはアカウントの削除が行えません。
  • すべてのダッシュボードまたはユーザー作成のダッシュボードの管理を許可するには、ダッシュボード管理配下の「表示」、「書き込み」、「削除」に対して許可またはユーザー作成の権限を付与してください。

カスタムロール情報

既存ユーザーのカスタムロールと次の情報が、カスタムロールリストページに表示されます。

  • ロール名:ロールの名前です。
  • 説明:ロールの説明です。
  • 作成者:ロールを作成したユーザー名です。
  • タイプ:ポータルレベル、顧客レベルのいずれで作成されたロールか表示されます。
  • 直近更新:いつロールが更新されたかを表します。

    「直近更新」列のデータにマウスポインタを合わせると、既存の日次を表示します。

カスタムロールの編集

カスタムロールページで、編集、複製、関連付いたユーザーの表示、削除を行えます。
手順は次のとおりです。

  1. カスタムロールリストの右側にあるハンバーガーアイコンをクリックします。
  2. 行いたいアクションを次の中から選択します。
    • 編集:
      1. ロール名、説明。アクセス権限を修正します。
      2. 編集ページで、MSP管理の管理、ダッシュボード、設定プロファイル、MSP監視タイプ、デバイスキーの権限を修正できます。
      3. [保存]をクリックして変更を適用します。[キャンセル]をクリックして変更を破棄します。
    • 複製:[複製]を選択し、作成したアクセス権限と同じロールを表示します。デフォルトでロール名に「- Clone」が付与されます。このロールを用途に合わせて修正できます。
    • 関連付けユーザー:そのロールが関連付いているユーザーを表示します。関連付いているユーザーがいない場合、表示されるポップアップの[ユーザーリストページに移動]をクリックすると、ユーザー&アラートページに移動できます。
    • 削除:カスタムロールを削除します。

ユーザーへのカスタムロール割り当て

カスタムロールを新規作成したら、それをユーザーに割り当てることができます。割り当て手順は次のとおりです。

  1. ユーザー新規追加:
    1. [管理]→[ユーザーとアラートの管理]→[ユーザー&アラート]→[ユーザーの追加]に移動します。
    2. フォームに情報を入力します。
    3. Site24x7ユーザーロールドロップダウンで、作成したカスタムロールを選択します。
    4. [保存]をクリックします。
  2. 既存ユーザー更新:
    1. [管理]→[ユーザーとアラートの管理]→[ユーザー&アラート]に移動します。
    2. 編集したいユーザーを選択します。
    3. Site24x7ユーザーロールドロップダウンから作成したカスタムロールを選択します。
    4. [保存]をクリックします。

カスタムロールフォームの依存ケース

カスタムロールフォームのいくつかの設定には依存関係があり、他の設定に変更を与えるものもあります。

ケース 1:監視設定で設定されているいくつかの設定は、[アクセスなし]に設定できません。例として、インターネットサービス監視で[ロケーションプロファイルの修正]を選択している場合、ロケーションプロファイル項目は無効にできません。

ケース 2:ダッシュボードとレポートのスケジュールとエクスポートに関連付いている設定は他の値と同じになります。

ケース 3:IT自動化で[アクセスなし]が指定されている場合、IP自動化のスケジュールは自動で無効化されます。

ケース 4:監視設定配下のロケーションプロファイルの修正、タグの修正、3rdパーティ連携の修正、その他の設定権限が付与されている場合、それに関連するモジュールに[アクセスなし]を指定できません。