ユーザグループの管理

ユーザグループ設定は、ペルソナとユーザ、コンピュータ管理グループ、ロールをユーザグループに関連付けます。Tanium Server上でローカルにユーザグループを作成するか、LDAPまたはActive Directory(AD)サーバからそれらをインポートできます。展開環境でローカルのグループとインポートのグループの両方を必要とする場合は、最初にインポートの構成設定をします(「LDAPサーバとの統合」を参照)。

以下の図は、ユーザグループとその他のTanium RBACコンポーネント間の関係を示しています。

図1:Taniumユーザグループ

ユーザグループの管理に必要なユーザロールのアクセス権限についてはRBAC管理のアクセス権限を参照してください。

ユーザグループの詳細を表示する

  1. メインメニューから、[Administration (運用管理)] > [Permissions (アクセス権限)] > [User Groups (ユーザグループ)][Administration (運用管理)] > [Management (管理)] > [User Groups (ユーザグループ)] に移動します。

    [User Groups (ユーザグループ)] グリッドには、グループの名前や割り当てられているコンピュータグループ数とユーザ数などの、各ユーザグループの基本属性が表示されます。

  2. (任意) 特定のユーザグループを探すには、フィルタを利用します。
    • Filter by text (テキストでフィルタ): ユーザグループ名でグリッドをフィルタリングするには、[Filter items (フィルタ項目)] フィールドにテキスト文字列を入力します。
    • Filter by attribute (属性でフィルタ): 割り当てられているコンピュータグループ数などの1つ以上の属性でグリッドをフィルタリングします。展開[Filters (フィルタ)] セクションを展開し、追加[Add (追加)] をクリックします。続けて、属性と演算子を選択し、属性値のすべてまたは一部を含むテキスト文字列を入力して、[Apply (適用)] をクリックします。複数の属性フィルタを追加すると、Boolean AND演算子が適用されます。属性の指定を終えたら[Apply All (すべて適用)] をクリックしてグリッドをフィルタリングします。
  3. ユーザグループに割り当てられているユーザ、コンピュータグループ、ペルソナ、ロール、およびアクセス権限を表示するには、ユーザグループの名前をクリックをクリックユーザグループを選択して、[View User Group (ユーザグループの表示)] をクリックします

ユーザグループを作成する

Tanium Serverにローカルであるユーザグループを設定するには次の手順を実行します。LDAPサーバからインポートするグループの設定を作成しないでください(詳しくは、LDAPサーバとの統合を参照してください)。

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [User Groups (ユーザグループ)] に移動します。
  2. [New User Group (新規ユーザグループ)] をクリックし、ユーザグループ名を入力します。
  3. ロールとユーザ、コンピュータグループ、ペルソナをユーザグループに割り当てます。
  4. 割り当てを確認して、[Save (保存)]をクリックします。
  1. メインメニューから [Administration (運用管理)] >  [Management (管理)] >  [User Groups (ユーザグループ)] に移動します。
  2. [New User Group (新規ユーザグループ)] をクリックし、ユーザグループ名を指定して、[Save (保存)] をクリックします。
  3. ロールとユーザ、コンピュータグループ、ペルソナをユーザグループに割り当てます。

ユーザグループを編集する

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [User Groups (ユーザグループ)] に移動し、ユーザグループの名前をクリックします。
  2. (任意) 新しいユーザグループ名を入力します。
  3. RBACの割り当てを編集します。
  4. 変更内容を確認して、[Save (保存)] をクリックします。
  1. メインメニューから [Administration (運用管理)] >  [Management (管理)] >  [User Groups (ユーザグループ)] に移動します。
  2. ユーザグループを選択し、[View User Group (ユーザグループの表示)] をクリックします。
  3. RBACの割り当てを編集します。
  4. 変更内容による影響を確認して、[Save (保存)] をクリックします。

ユーザグループに対するロール割り当てを管理する

ユーザグループのデフォルトのペルソナに対するロール割り当てを更新するには、次の手順を実行します。代替ペルソナを介してロールを設定するには、ペルソナの設定を編集し(ペルソナに対するロール割り当てを管理するを参照)、そのペルソナをユーザグループに割り当てます(ユーザグループに対するペルソナ割り当てを管理するを参照)。

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [User Groups (ユーザグループ)] に移動し、ユーザグループの名前をクリックします。
  2. [Roles (ロール)] セクションで、[Manage Roles (ロールの管理)] をクリックし、ロールを選択または選択解除して、[Apply (適用)] をクリックします。
  3. 選択したロールに関連付けられているアクセス権限コンテンツセットを確認し、[Save (保存)]をクリックします。
  1. メインメニューから [Administration (運用管理)] >  [Management (管理)] >  [User Groups (ユーザグループ)] に移動します。
  2. ユーザグループを選択し、[View User Group (ユーザグループの表示)] をクリックします。
  3. [Edit Roles (ロールの編集)] をクリックします。
  4. [Grant Roles (権限付与ロール)] セクションで、[Edit (編集)] をクリックし、ロールを選択または選択解除して、[Save (保存)] をクリックします。
  5. [Deny Roles (権限拒否ロール)] セクションで、[Edit (編集)] をクリックし、ロールを選択または選択解除して、[Save (保存)] をクリックします。
  6. [Show Preview to Continue (プレビューを表示して続行)] をクリックして、変更の影響を確認し、[SaSave (保存)] をクリックします。

ユーザグループに対するユーザ割り当てを管理する

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [User Groups (ユーザグループ)] に移動し、ユーザグループの名前をクリックします。
  2. 展開[Users (ユーザ)] セクションを展開し、[Manage Users (ユーザの管理] をクリックします。
  3. ユーザを選択または選択解除し、[Select (選択)] をクリックします。
  4. 割り当てたユーザを確認し、[Save (保存)] をクリックします。
  1. メインメニューから [Administration (運用管理)] >  [Management (管理)] >  [User Groups (ユーザグループ)] に移動します。
  2. ユーザグループを選択し、[View User Group (ユーザグループの表示)] をクリックします。
  3. [Manage Users (ユーザの管理)]、[Edit (編集)] をクリックして、ユーザを選択または選択解除して、[Save (保存)] をクリックします。
  4. [Show Preview to Continue (プレビューを表示して続行)] をクリックして、変更の影響を確認し、[Save (保存)] をクリックします。

ユーザグループに対するコンピュータグループ割り当てを管理する

ユーザグループのデフォルトのペルソナに対するコンピュータ管理グループ割り当てを構成するには、次の手順を実行します。代替ペルソナを使用して割り当てを構成するには、ペルソナを構成し(「ペルソナを作成する」を参照)、そのペルソナをユーザグループに割り当てます(「ユーザグループに対するペルソナ割り当てを管理する」を参照)。

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [User Groups (ユーザグループ)] に移動します。
  2. [Computer Groups (コンピュータグループ))] セクションでユーザグループの名前をクリックし、展開を展開します。

    デフォルトでは、[No Management Rights Assigned (管理権限の割り当てなし)] が選択されています。

  3. このユーザグループからユーザがコンピュータグループを継承しないようにする場合は、[No Management Rights Assigned (管理権限の割り当てなし)] を選択したままにして、[Save (保存)] をクリックします(以降の手順は省略します)。
  4. [No Management Rights Assigned (管理権限の割り当てなし)] を選択解除して、[Manage Computer Groups (コンピュータグループの管理)] をクリックし、コンピュータ管理グループを選択または選択解除して、[Select (選択)] をクリックします。

    選択は、論理的に結合されます。たとえば、All ComputersNo Computersを組み合わせると、事実上All Computersになります。

  5. 割り当てたコンピュータグループを確認し、[Save (保存)] をクリックします。
  1. メインメニューから [Administration (運用管理)] >  [Management (管理)] >  [User Groups (ユーザグループ)] に移動します。
  2. ユーザグループを選択し、[View User Group (ユーザグループの表示)] をクリックします。
  3. [Computer Groups (コンピュータグループ)]セクションにおいて、[Manage (管理)][Edit (編集)]をクリックします。
  4. 項目を選択または選択解除して、[Save (保存)] をクリックします。

    ユーザがこの構成からコンピュータグループを継承しないようにするには、[No Management Rights Assigned (管理権限の割り当てなし)]を指定します。そうでない場合は、[Selected Management Rights (選択された管理権)]を指定して、ユーザがこの構成から継承できるコンピュータグループを選択します。

  5. [Show Preview to Continue (プレビューを表示して続行)] をクリックして、変更の影響を確認し、[Save (保存)] をクリックします。

ユーザグループに対するペルソナ割り当てを管理する

TaaS Tanium Serverは、新規ユーザグループにデフォルトのペルソナを自動で割り当てます。また、Tanium Server 7.4以降へのアップグレードを行う場合は、アップグレード前の既存のグループにも自動的にデフォルトのペルソナを割り当てます。アクセス権限管理者ペルソナの書き込み、およびユーザ グループの書き込みアクセス権限があるロールを持つAdministrator予約ロールを持つユーザは、以下の手順で代替ペルソナの割り当てを手動で更新する必要があります。Admin予約ロールにはこれらのアクセス権限があります。

代替ペルソナは、そのペルソナが割り当てられているユーザグループのアクセス権限を継承しません。詳細は、「ペルソナの概要」を参照してください。

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [User Groups (ユーザグループ)] に移動し、ユーザグループの名前をクリックします。
  2. 展開[Personas (ペルソナ)] セクションを展開し、[Manage Personas (ペルソナの管理)] をクリックします。
  3. ペルソナを選択または選択解除し、[Select (選択)] をクリックします。
  4. 割り当てたペルソナを確認し、[Save (保存)]をクリックします。
  1. メインメニューから [Administration (運用管理)] >  [Management (管理)] >  [User Groups (ユーザグループ)] に移動します。
  2. ユーザグループを選択し、[View User Group (ユーザグループの表示)] をクリックします。
  3. [Alternative Personas (代替ペルソナ)][Manage (管理)]をクリックします。
  4. ペルソナを選択または選択解除して、[Save (保存)] をクリックします。

ユーザグループを削除する

ユーザグループ設定を削除すると、ユーザはそのユーザグループ設定のペルソナ、コンピュータ管理グループ、ロールを継承しなくなります。

ユーザグループを削除するにあたっては、次のことを行ってください。
  1. ユーザグループからペルソナとユーザの割り当てを削除します。手順については、「ユーザグループに対するユーザ割り当てを管理する」と「ユーザグループに対するペルソナ割り当てを管理する」を参照してください。
  2. ユーザグループからペルソナとユーザの割り当てを削除することが、ユーザの有効なアクセス権限に与える影響を確認します。手順についてはユーザグループの実効アクセス権限を表示するを参照してください。

以下の手順でユーザグループを削除します。

  1. メインメニューから、[Administration (運用管理)] > [Permissions (アクセス権限)] > [User Groups (ユーザグループ)][Administration (運用管理)] > [Management (管理)] > [User Groups (ユーザグループ)] に移動します。
  2. グループを選択し、[Delete Selected (選択を削除)]選択した内容を削除 をクリックして、[Confirm (確定)] をクリックします。

ユーザグループの実効アクセス権限を表示する

  1. メインメニューから、[Administration (運用管理)] > [Permissions (アクセス権限)] > [User Groups (ユーザグループ)][Administration (運用管理)] > [Management (管理)] > [User Groups (ユーザグループ)] に移動します。
  2. ユーザグループの名前をクリックをクリックし、ユーザグループを選択して [View User Group (ユーザグループの表示)] をクリックします
  3. ロールとアクセス権限、コンテンツセットを確認します。詳しくは有効なロールのアクセス権限を参照してください。

ユーザグループ構成をエクスポート/インポートする

以降の手順では、特定のユーザ グループまたはすべてのユーザ グループの設定をエクスポートおよびインポートする方法を説明します。

本番環境にコンテンツをインポートする前に、ラボ環境でコンテンツの開発とテストを行ってください。

ユーザグループ設定をエクスポートする

CSVファイルの形式でユーザグループ設定をエクスポートすることで、その形式をサポートするアプリケーションでその設定を表示することができます。Administrator予約ロールを持っている場合は、JSONファイルの形式でユーザグループ構成をエクスポートすることで別のTanium Serverにインポートすることもできます。

  1. メインメニューから、[Administration (運用管理)] > [Permissions (アクセス権限)] > [User Groups (ユーザグループ)][Administration (運用管理)] > [Management (管理)] > [User Groups (ユーザグループ)] に移動します。
  2. 特定のユーザグループ設定のみをエクスポートするには、グリッドで行を選択します。すべてのユーザグループ設定をエクスポートする場合は、この手順は省略できます。
  3. エクスポート エクスポートエクスポート をクリックします。
  4. (任意) デフォルトのエクスポートファイル名を編集します。

    ファイルのサフィックス(.csv または .json)は、選択された [形式] に基づいて自動的に変更されます。

  5. [データのエクスポート] オプションを選択します。グリッド内のすべてのユーザグループ設定、または選択ユーザグループ設定のみ。
  6. ファイルの形式を選択します。JSON (Administrator予約ロールのみ)またはCSV
  7. [Export (エクスポート)]をクリックします。

    TaaSTanium Serverは、Tanium Consoleへのアクセスに使用されたシステムのDownloadsフォルダにファイルをエクスポートします。

ユーザグループ設定をインポートする

JSONまたはXML形式のファイルをインポートすることができます。

  1. コンテンツファイルにデジタル署名して、署名を検証するための公開鍵があることを確認します。コンテンツファイルの認証を参照してください。
  2. メインメニューから [Administration (運用管理)] > [Configuration (構成)] > [Solutions (ソリューション)] に移動します。
  3. [Content (コンテンツ)] セクションまでスクロールし、インポート [Import Content (コンテンツのインポート)] をクリックします。
  4. [Choose File (ファイルを選択)] をクリックして、コンテンツファイルを選択し、[Open (開く)]をクリックします。
  5. [Import (インポート)]をクリックします。

    ファイル内のオブジェクト名が既存のオブジェクトと同じである場合、Tanium Consoleは競合項目を箇条書きして、各項目の解決オプションを提供します。

  6. 競合項目の解決策を選択する 競合およびベストプラクティスのガイダンスを参照してください。
  7. もう一度[Import (インポート)]をクリックして、インポートが終了したら[Close (閉じる)]をクリックします。

ユーザグループ設定詳細をコピーする

[User Groups (ユーザグループ)] ページのグリッドから構成の詳細をクリップボードにコピーすることで、メッセージやテキストファイル、スプレッドシートに貼り付けることができます。グリッドの各行は、コンマで区切られた値の文字列です。

  1. メインメニューから、[Administration (運用管理)] > [Permissions (アクセス権限)] > [User Groups (ユーザグループ)][Administration (運用管理)] > [Management (管理)] > [User Groups (ユーザグループ)] に移動します。
  2. 次のいずれかの手順を実行します。
    • 行情報をコピー: 行を選択して [Copy (コピー)] コピーをクリックします。
    • セル情報をコピー: セルの上にカーソルを重ねて、[Options (オプション)] オプション をクリックし、[Copy (コピー)] コピー をクリックします。