カスタム役割にデュアル認証制限を割り当てる

カスタム役割の作成後に、デバイスアクションで、リクエストの承認に 2 人目のユーザーを必須とするかどうかを決定する必要があります。これは制限によって制御されます。

デュアル認証設定は、カスタム役割でのみ設定できます。デフォルトでは、システム管理者のみがカスタム役割を作成できます。

デュアル認証は、カスタム役割の権限を変更して設定されます。カスタム役割は、システム管理者によって、既存のデフォルト役割を複製してその権限を編集するか、権限セットを選択して名前を役割に割り当てることで作成されます。デュアル認証をデフォルト役割に設定することはできません。

各カスタム役割で、サポートされるデバイスアクションごとに制限が設定されます。制限を設定するには、ユーザーがデバイスアクションリクエストに含めることができるデバイスの台数にしきい値を設定し、それ以上の台数の場合は 2 人目の承認が必要になるように設定することができます。カスタム役割に制限を割り当てたデバイスアクションごとに、どの役割がリクエストを承認できるか、およびどの役割がデュアル認証リクエストに関する通知を受信するかを選択することもできます。

デュアル認証の制限を設定するには、お客様のユーザー役割に、役割の閲覧または管理 権限、およびデュアル認証設定の管理権限が付与されている必要があります。デフォルトでは、システム管理者とセキュリティ管理者の役割に、これらの権限が付与されています。

デュアル認証の制限を表示するには、お客様のユーザー役割に、役割およびデュアル認証設定の閲覧または管理権限が付与されている必要があります。デフォルトでは、システム管理者とセキュリティ管理者の役割に、これらの権限が付与されています。

デュアル認証が必要なデバイスアクションを承認するには、カスタム役割で制限を変更したときに、ユーザー役割が承認者として設定されている必要があります。デフォルトでは、システム管理者役割は、常にデュアル認証リクエストの 2 人目の承認者となります。

デュアル認証の制限は、以下のデバイスアクションでサポートされます。

制限を使用すると、デバイスアクションリクエストに含めることができるデバイスの台数を設定し、それ以上の台数の場合は 2 人目の承認が必要になるようにすることができます。制限には、「承認不要」、「日次制限」、「常に必要」の 3 つの種類があります。

承認は不要です

制限が承認不要に設定されると、カスタム役割に割り当てられたユーザーが行ったデバイスアクションリクエストへの承認が不要になります。

日次制限

制限が日次制限に設定され、制限しきい値が設定されると、リクエストに含まれるデバイスの1日当たりの累計数がしきい値未満であれば、カスタム役割に割り当てられたユーザーが行ったデバイスアクションリクエストへの承認が不要になります。リクエストに含まれるデバイスの数がしきい値を超えると、デバイスアクションリクエストに承認が必要になります。デバイスのカウントは、0:00 ~ 24:00 UTC の暦日に対して行われます。

リクエストに含まれるデバイスの合計数が、1日当たりのしきい値を超えた場合、リクエスト全体で承認が必要になります。

ユーザー向けに API トークンが作成されている場合、API トークンを使用して作成されたリクエスト内のデバイスは、デバイスの合計数に含まれます。Absolute API を使用して作成されたリクエストが1日当たりのしきい値を超えている場合も、承認が必要です。

ユーザーは、登録解除リクエストの日次制限が 10 に設定されている役割に割り当てられています。このユーザーが、9 台のデバイスが含まれる登録解除リクエストを行いました。このリクエストは承認が不要です。次に、同じユーザーが 2 台のデバイスが含まれる登録解除リクエストを行いました。1日当たりの累計数が 11 となり、しきい値を超過しました。2 番目のリクエストには承認が必要です。

常に必要

制限が常に必要に設定されると、カスタム役割に割り当てられたユーザーが行ったデバイスアクションリクエストは、常に承認が必要になります。

制限が変更される前に作成されたリクエストに含まれるデバイスでは、リクエストの作成時に適用された制限が使用されます。役割から制限を削除しても、承認保留中のすべての既存リクエストは、引き続き承認が必要になります。制限が作成されると、制限が追加された時点でデバイスのカウントが開始されます。

デバイスアクションで、カスタム役割への制限が割り当てられている場合、承認を行え、保留中のリクエストに関する通知を受信できる役割も選択しなければなりません。デフォルトでは、システム管理者は承認者として割り当てられ、保留中のリクエストに関する通知を受信します。システム管理者を承認者リストから削除することはできませんが、この役割に割り当てられているユーザーが通知を受信しないように設定することはできます。制限はカスタム役割にのみ適用できますが、デフォルト役割またはカスタム役割を承認者に設定し、通知を受信するように設定することができます。制限を割り当てる対象となるカスタム役割を、承認者として追加することができます。この場合、カスタム役割が割り当てられているユーザーは、自分のリクエストを承認できません。

リクエストの承認と通知が割り当てられている役割は、リクエストの作成時に設定されます。承認者および通知への変更は、変更が実施された後に作成されたリクエストにのみ適用されます。

制限を設定する前に、カスタム役割を作成してユーザーを役割に割り当てる必要があります。

カスタム役割に制限を割り当てるには:

  1. 役割を表示または管理する権限、およびデュアル認証設定を管理する権限を持つユーザーとして、Secure Endpoint Console へログインします。

    デフォルトでは、システム管理者とセキュリティ管理者の役割に、これらの権限が付与されています。

  2. ナビゲーションバーで 設定 > ユーザー管理 > 役割をクリックします。
  3. サイドバーで、デュアル認証の制限を変更するカスタム役割をクリックします。
  4. 権限をクリックして、カスタム役割の権限ページを開きます。
  5. 編集をクリックして、権限を編集ダイアログを開きます。
  6. 制限を設定したいデバイスアクションを探します。役割に実行権限が付与されていない場合、デバイスアクションのその他のアクションチェックボックスをオンにして、権限を付与します。

  7. 承認列にあるボタンをクリックします。このボタンには、アクションに現在設定されている制限と、デュアル認証が必要な場合は、リクエストを承認できる役割が表示されています。デュアル認証をサポートするアクションのみ、この列にボタンが表示されます。

    デフォルトでは、すべてのサポートされるデバイスアクションが、承認不要に設定されています。

  8. 下記のいずれかを実行します。

    現在デュアル認証が必要になっていて、それを削除する場合、ドロップダウンリストから承認不要を選択します。

    1. ドロップダウンリストから、日次制限を選択します。

    2. 承認が必要になるまでにリクエストに含めることができるデバイスの台数を入力します。

      デフォルト値は 100 です。

    3. 承認者列で、このカスタム役割に割り当てられているユーザーが作成したリクエストを承認できる役割を選択します。

      通知列も選択されます。

    4. 承認が必要なリクエストがあったときに役割にメール通知を送信したくない場合、通知列のチェックボックスをオフにします。

      承認者列でも選択されている役割でのみ、通知を選択できます。

    5. 制限の詳細ダイアログの外側をクリックします。
    1. ドロップダウンリストから、常に必要を選択します。

    2. 承認者列で、このカスタム役割に割り当てられているユーザーが作成したリクエストを承認できる役割を選択します。

      通知列も選択されます。

    3. 承認が必要なリクエストがあったときに役割にメール通知を送信したくない場合、通知列のチェックボックスをオフにします。

      承認者列でも選択されている役割でのみ、通知を選択できます。

    4. 制限の詳細ダイアログの外側をクリックします。
  9. 保存をクリックします。

役割が更新され、「デュアル認証設定が更新されました」イベントがイベント履歴に記録されます。

役割に対する制限が変更される前に作成されたリクエストに含まれるデバイスでは、リクエストの作成時に適用された制限が使用されます。役割から制限を削除しても、承認保留中のすべての既存リクエストは、引き続き承認が必要になります。制限が作成されると、制限が追加された時点でデバイスのカウントが開始されます。