カスタムロールの割り当てを作成するためのベストプラクティス

カスタム管理者ロールによって3つのコンポーネントを組み合わせる際の柔軟性が高まり、管理者に詳細なロールを付与することができますが、管理者の割り当てを作成する前に考慮すべき点がいくつかあります。

  • 管理者、ロール、またはリソースセットのいずれかを使用してロールの割り当てを作成できますが、リソースを優先する観点からロールの割り当てを検討することを推奨します。管理者にアクセスできるリソースと管理者に付与するロールを検討しておくと便利です。

  • 管理者が、すべてのリソースを表示できるが管理できるのは特定のリソースのみとする場合は、管理者に2つの個別のロールの割り当てを作成します。
    たとえば、すべてのユーザーを表示する必要があるが、編集できるのは一部のグループのユーザーのみとする必要がある管理者のセットがあるとします。この場合、[View users(ユーザーを表示する)]ロールと[Edit users(ユーザーを編集する)]ロールの2つを作成します。これらのロールを管理者に割り当てる際は、以下を考慮してください。

    • [View users(ユーザーを表示する)]ロールを、すべてのユーザーが含まれるリソースセットに制限します。

      注

      すべてのユーザーを制限するリソースセットを作成する必要があります。

    • [Edit users(ユーザーを編集する)]ロールを、管理者が編集するためにアクセスする必要があるユーザーのグループが含まれた、より詳細なリソースセットに制限します。

異なるリソースセットに対して異なる権限を制限するために、管理者に複数のロールを割り当てる必要が生じる場合があります。「ロールの権限について」を参照してください。

管理者のグループがorgのオンボーディングアプリケーションを管理する権限を持っているシナリオについて検討します。ただし、それらの管理者だけが割り当て内の一部のアプリのインポートを実行できるようにする必要があります。この場合、以下が必要です。

  1. リソースセット:

    • 管理者が管理する必要があるすべてのアプリケーションを含むリソースセット。この場合、orgで使用されるすべてのオンボーディングアプリを含むリソースセットです。このリソースセットには、「すべてのオンボーディングアプリ」という名前を付けることができます。

    • 管理者がインポートを実行する必要があるすべてのアプリケーションを含むリソースセット。この場合、プロファイルソースを持つすべてのオンボーディングアプリを含むリソースセットです。このリソースセットには、「プロファイルソースアプリ」という名前を付けることができます。

  2. ロール:

    • アプリケーションの管理権限を持つ新しいロール。このロールには、「オンボーディングアプリマネージャー」という名前を付けることができます。

    • インポートの実行権限を持つ別のロール。このロールには、「プロファイルソースアプリマネージャー」という名前を付けることができます。

  3. 管理者に適切なレベルのアクセスを許可するには、次の操作を行います。

    • オンボーディングアプリマネージャーロールをオンボーディングアプリリソースセットに割り当てます。

    • プロファイルソースアプリマネージャーロールをプロファイルソースアプリリソースセットに割り当てます。

ロサンゼルスの従業員グループが米国の従業員グループのサブセットである別のシナリオについて検討します。ロサンゼルスのヘルプデスクグループのメンバーで構成されたヘルプデスク管理者のグループに、米国の従業員グループのすべてのユーザーを表示させる必要があるとします。ただし、これらの管理者がプロファイルを編集できるのは、ロサンゼルスの従業員グループのメンバーのみにする必要があります。この場合、以下が必要です。

  1. リソースセット:

    • ヘルプデスク管理者が表示する権限を必要とする、すべてのユーザーグループを含むリソースセット。この場合は、米国の従業員の管理に使用されるすべての個別グループを含むリソースセットです。このリソースセットには、「すべての米国従業員」という名前を付けることができます。

    • 管理者が特定の権限を持つ必要があるグループを含むリソースセット。この場合は、ロサンゼルスの従業員グループのみを含むリソースセットです。このリソースセットには、「ロサンゼルスの従業員」という名前を付けることができます。

  2. ロール:

    • [View users(ユーザーを表示する)]権限を持つ新しいロール。このカスタムロールは「Help Desk Viewer(ヘルプデスク閲覧者)」として保存できます。

    • [Manage User profiles(ユーザープロファイルを管理する)]権限を持つ別のロール。このカスタムロールは「ヘルプデスクのプロファイルエディタ」として保存できます。

  3. ロサンゼルスのヘルプデスクグループからロールの割り当てを作成するには、次の操作を行います。

    • [Help Desk Viewer(ヘルプデスク閲覧者)]ロールを[All United States Employees(米国の全従業員)]リソースセットに割り当てて制限します。

    • [Help Desk Profile Editor(ヘルプデスクのプロファイルエディタ)]ロールを[Los Angeles Employees(ロサンゼルスの従業員)]リソースセットに割り当てて制限します。

  • カスタムロールを一目で簡単に理解するには、次の操作を行います。

    • カスタムロールとリソースセットには、含まれている権限とリソースが簡単にわかるような名前を付けます。

    • これらの詳細を説明欄に入力します。

関連項目

カスタム管理者ロールの使用

ロールの権限について

ロールの作成

リソースセットの作成