MECMの運用を複数人で作業する時に便利な機能、セキュリティロールとセキュリティスコープ。

しかし、これらの機能についてそれとなく把握しているだけで、イマイチ理解できていない人が多いのではないでしょうか？

この記事ではセキュリティロールとセキュリティスコープについて説明していきます。

どんな機能なのか

MECMを使ったセキュリテイ運用（更新プログラムの配信など）を複数の管理ユーザーで行う場合に使われることが多い機能です。

セキュリティロールとセキュリティスコープを組み合わせることで、管理ユーザーごとに使用可能な機能とアクセスできる範囲を制御することができます。

画像では、神奈川部署の管理ユーザーにセキュリティロール「Endpoint Protection マネージャー」の機能と、セキュリティスコープ「神奈川の境界グループ（図では川崎支社）」だけ使えるように設定しています。

神奈川部署は設定されたセキュリティロール以外の機能や、他の部署の境界グループにアクセスはできません。

セキュリティロールとは

管理ユーザーに与える役割とそれに対応した機能のことです。ゲームの役職のようなものだとイメージしてもらえるといいと思います。

管理ユーザーはセキュリティロールに応じたMECM機能を扱えるようになります。

例えば、ロールが「Endpoint Protectionマネージャー」だったら、Endpoint Protection関連の機能だけMECMで使うことができます。

▼セキュリティロールは管理ユーザーの作成時か、　管理>セキュリティ>セキュリティロールで設定できます。

セキュリティロールの扱える機能一覧はそれぞれのプロパティで確認できます。

セキュリティスコープとは

任意の境界グループ・コレクションなど、「管理ユーザーがアクセスできるオブジェクト」の設定です。

境界グループの指定

管理ユーザーに管理させたい境界グループをセキュリティスコープに割り当てることで設定可能です。

▼「管理>開発の構成>境界グループ」から設定可能です。任意の境界グループを指定するとセキュリティスコープを作成できます。

コレクションの指定

管理ユーザーの作成時のみですが、

境界グループだけでなく、コレクションを管理ユーザーのスコープとして割り当てることも可能です。

▼管理>セキュリティ>管理ユーザー>ユーザーまたはグループの追加　から指定可能です。

終わりに

セキュリティロールとセキュリティスコープは組み合わせることで、管理ユーザーの使用できるMECMの機能とその範囲を制御します。

余計な機能による作業ミスや不正行為の範囲が限られるので、一括で管理するよりも強固なセキュリティ運用が可能です。

セキュリティロールとセキュリティスコープは、今後MECMを使ったセキュリティ運用を検討しているなら知っておくべき内容です。