ユーザの管理

ユーザ設定は、ペルソナ、ユーザグループ、コンピュータ管理グループ、ロールをユーザアカウントに関連付けます。Tanium Server上でローカルにユーザアカウントを作成することも、あるいはLDAPまたはActive Directory(AD)サーバからユーザアカウントをインポートすることもできます。展開環境でローカルのユーザとインポートのユーザの両方を必要とする場合は、最初にインポートの構成設定をします(「LDAPサーバとの統合」を参照)。

以下の図は、ユーザと他のTanium RBACコンポーネント間の関係を示しています。

図1:Taniumユーザ

ユーザの管理に必要なユーザロールのアクセス権限については、「ユーザを管理する」を参照してください。

ユーザ認証

Tanium as a Service (TaaS)展開環境では、すべてのユーザがSecurity Assertion Markup Language (SAML)のIDプロバイダ(IdP)を使用した認証を受けます。詳細は、Taniumサポートに問い合わせるを参照してください。

ユーザがSalesforceのInformation Technology Service Management (ITSM)インスタンスのドメインからTanium Consoleに認証される展開環境でドメインに変更があった場合は、コンソールで信頼関係のある認証元設定を更新する必要があります。

Tanium ConsoleまたはAPIへのアクセス時にユーザを認証するために次の方法を設定できます。

  • LDAPサーバ: LDAPサーバとの統合を参照してください。
  • SAMLはプロバイダ(IdP)を同定します。SAML IdPとの統合を参照してください。
  • Tanium Serverが参加しているドメインのADサーバ。このオプションは、WindowsシステムにインストールされているTanium Serverでのみ使用できます。
  • WindowsシステムにインストールされているTanium Serverにローカルに定義されているアカウントに対するWindows認証。
  • Tanium Applianceにローカルに定義されているアカウントに対するローカル認証サービス(「Tanium Appliance展開ガイド:ローカル認証サービスを設定するを参照)。
  • プラガブル認証モジュール(Tanium Applianceのみ)。詳細は、Taniumサポートに問い合わせるを参照してください。

認証に外部サービスを使用する場合は、ローカル認証に依存するユーザアカウントを少なくとも1つ維持し、そのアカウントにAdministrator予約ロールを割り当てます。外部サービスが使用不可になった場合(LDAPサーバまたはSAML IdPへの接続がダウンするなど)、このローカルユーザは引き続きTanium Consoleにアクセス可能であり、必要に応じて外部サービスへの接続を再設定できます。オプションとして、この目的のためにTanium Serverのインストール時に作成されるデフォルトユーザを使用できます。

デフォルトユーザ

Tanium as a Service (TaaS)展開のセットアップ時に、管理者アカウントが作成されます。初めてTanium Consoleにサインインには、このアカウントを使用できます。このユーザは、TaaS展開時のプライマリ管理者として選択したIdPアカウントに基づいています。このユーザは無制限のコンピュータグループ管理権限を所有します。このユーザはまた、TaaSで使用可能なすべての機能へのアクセスを可能にするAdmin予約ロールも所有します。これには、他のすべてのTaaSユーザに対するロールベースのアクセス制御(RBAC)を構成する機能も含まれます。

Tanium Serverインストールプロセスは、一部のオペレーティングシステムのルートまたは管理者スーパーユーザと同様のアクセス権限を持つTanium Consoleユーザアカウントを作成します。この初期ユーザには、All ComputersコンピュータグループとAdministrator予約ロールが割り当てられるため、ユーザはTanium Core Platformですべてのことを実行できます。ただし、このユーザはルートや管理者のような組み込みユーザではないため、このアカウントの変更または削除を行えます。

ユーザ設定を表示する

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [Users (ユーザ)][Administration (運用管理)] > [Management (管理)] > [Users (ユーザ)] に移動します。

    [Users (ユーザ)] グリッドには、ユーザの名前や割り当てられているコンピュータグループの数などの、各ユーザの基本属性が表示されます。ただし、割り当てられている特定のユーザグループ、コンピュータグループ、ペルソナ、ロール(およびアクセス権限)を表示するには、特定のユーザの構成を表示する必要があります。

    削除したユーザを表示するには、[Users (ユーザ)] トグルを [All (すべて)] に切り替えます(デフォルトはActive (アクティブ)ユーザのみ)。[Status (ステータス)] 列には、有効なアクティブまたは削除済みユーザが示されます削除しました

  2. (任意) 特定のユーザを探すには、フィルタを利用します。
    • Filter by text (テキストでフィルタ): ユーザ名、表示名、またはドメイン名でグリッドをフィルタリングするには、[Filter items (フィルタ項目)] フィールドにテキスト文字列を入力します。
    • Filter by attribute (属性でフィルタ): 割り当てられているコンピュータグループ数などの属性でグリッドをフィルタリングします。展開[Filters (フィルタ)] セクションを展開し、追加[Add (追加)] をクリックします。続けて、属性と演算子を選択し、属性値のすべてまたは一部を含むテキスト文字列を入力して、[Apply (適用)] をクリックします。複数の属性フィルタを追加すると、Boolean AND演算子が適用されます。属性の指定を終えたら[Apply All (すべて適用)] をクリックしてグリッドをフィルタリングします。
  3. (任意) ユーザに割り当てられているユーザグループ、コンピュータグループ、ペルソナ、ロール、およびアクセス権限を表示するには、ユーザの名前をクリックしユーザを選択して、[View User (ユーザの表示)] をクリックします

ユーザを作成する

ユーザ設定を作成する場合、デフォルトでは、ユーザ設定に、コンピュータ管理グループ、代替ペルソナ、ユーザグループ、ロールは、それらが割り当てられるまでは含まれていません。何のロールも持たないユーザはTanium Consoleにサインインすることはできますが、機能にアクセスすることはできません。LDAPサーバからインポートするユーザアカウントに対して構成は作成しないでください(「LDAPサーバとの統合」を参照)。

ユーザの認証方法については、「ユーザ認証」を参照してください。

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [User (ユーザ)] に移動し、[New User (新規ユーザ)] をクリックします。
  2. IdPのアカウントに一致するユーザ名を指定します。 次のいずれかです。
    • Tanium Serverでローカルに定義されているユーザアカウント。
    • (Windows展開環境のみ) ADのアカウント名。ドメイン名ではなくユーザ名のみを指定します。Tanium ServerはWindows認証を使用し、ユーザのサインイン認証情報を保存および管理しません。
  3. ユーザの詳細とRBACの割り当てを構成設定します。
  4. [Save (保存)]をクリックして、ユーザを作成します。
  5. (Tanium Appliance展開環境のみ) 『Tanium Appliance展開ガイド:』の説明に従って、Applianceでローカルの認証サービスとユーザアカウントを構成設定します。ローカル認証サービスを設定するを参照してください。
  1. メインメニューから [Administration (運用管理)] > [Management (管理)] > [User (ユーザ)] に移動し、[New User (新規ユーザ)] をクリックします。
  2. IdPのアカウントに一致するユーザ名を指定します。 次のいずれかです。
    • Tanium Serverでローカルに定義されているユーザアカウント。
    • (Windows展開環境のみ) ADのアカウント名。ドメイン名ではなくユーザ名のみを指定します。Tanium ServerはWindows認証を使用し、ユーザのサインイン認証情報を保存および管理しません。
  3. [Save (保存)]をクリックして、ユーザを作成します。
  4. 次のセクションで説明するように、ユーザプロパティを追加して、コンピュータグループとユーザグループ、ロール、ペルソナをユーザに割り当てます。
  5. (Tanium Appliance展開環境のみ) 『Tanium Appliance展開ガイド:』の説明に従って、Applianceでローカルの認証サービスとユーザアカウントを構成設定します。ローカル認証サービスを設定するを参照してください。

ユーザの詳細を編集する

必要に応じて、各ユーザについて、メインメニューのユーザのドロップダウンリストにラベルとして表示する表示名を設定することができます。

表示名

また、ユーザプロパティを設定することもできます。プロパティには、フルネームや組織、Eメールアドレス、電話番号などのユーザの詳細が名前/値ペアの形式で記録されます。

必要に応じて、各ユーザについて、フルネームや組織、Eメールアドレス、電話番号などのユーザの詳細を名前/値ペアの形式で設定することできます。

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [Users (ユーザ)] に移動し、ユーザの名前をクリックし[Administration (運用管理)] >[Management (管理)] > [Users (ユーザ)]をクリックし、ユーザを選択して [[View User (ユーザの表示)] をクリックします
  2. 表示名を入力します。 プロパティをクリックします
  3. 以下の手順でプロパティを更新し、[Save (保存)] をクリックします。 [Add Property (プロパティの追加)] をクリックして、コントロールを使用して名前/値ペアを追加し、[Save (保存)] をクリックします。
    • Add (追加): [Add properties (プロパティの追加)] をクリックするか、ユーザにすでにプロパティを設定されている場合は、[Add (追加)] 追加をクリックして、テキストフィールドに名前/値ペアを入力します。
    • Edit (編集): 既存の名前/値ペアエントリを上書きします。
    • [Delete (削除)]:名前/値ペアの横にある[Delete (削除)]削除をクリックします。

ユーザに対するロール割り当てを管理する

ユーザのデフォルトのペルソナに対するロール割り当てを更新するには、次の手順を実行します。代替ペルソナを介してロールを設定するには、ペルソナ設定を編集し(ペルソナに対するロール割り当てを管理するを参照)、ユーザにそのペルソナを割り当てます(ユーザに対するペルソナ割り当てを管理するを参照)。

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [User (ユーザ)] に移動し、ユーザの名前をクリックします。
  2. [Roles (ロール)] セクションで [Manage Roles (ロールの管理)] をクリックします。
  3. ロールを選択または選択解除して、[Apply (適用)] をクリックします。
  4. 選択したロールに関連付けられているアクセス権限コンテンツセットを確認し(「有効なロールのアクセス権限」を参照)、[Save (保存)] をクリックします。
  1. メインメニューから [Administration (運用管理)] > [Management (管理)] > [User (ユーザ)] に移動し、[View User (ユーザの表示)] をクリックします。
  2. [Roles and Effective Permissions (ロールと実効アクセス権限)] セクションで [Manage (管理)] をクリックします。
  3. [Grant Roles (権限付与ロール)] と [Deny Roles (権限拒否ロール)] セクションで、[Edit (編集)] をクリックし、ロールを選択または選択解除して、[Save (保存)] をクリックします。
  4. [Show Preview to Continue (プレビューを表示して続行)] をクリックして、変更の影響を確認し、[Save (保存)] をクリックします。

ユーザに対するユーザグループ割り当てを管理する

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [User (ユーザ)] に移動し、ユーザの名前をクリックします。
  2. [User Groups (ユーザグループ)] セクションを展開展開し、[Manage User Groups (ユーザグループの管理)] をクリックします。
  3. ユーザグループを選択または選択解除して、[Select (選択)] をクリックします。
  4. 継承されたロール権限コンテンツセットコンピュータグループを確認して、[Save (保存)] をクリックします。
  1. メインメニューから [Administration (運用管理)] > [Management (管理)] > [User (ユーザ)] に移動し、[View User (ユーザの表示)] をクリックします。
  2. [User Groups (ユーザグループ)]セクションにおいて、[Manage (管理)]および[Edit (編集)]をクリックします。
  3. ユーザグループを選択または選択解除して、[Save (保存)] をクリックします。
  4. [Show Preview to Continue (プレビューを表示して続行)] をクリックして、変更の影響を確認し、[Save (保存)] をクリックします。

ユーザに対するコンピュータグループ割り当てを管理する

ユーザのデフォルトのペルソナに対するコンピュータ管理グループ割り当てを更新するには、次の手順を実行します。代替ペルソナを使用して割り当てを構成するには、ペルソナを構成し(「ペルソナを作成する」を参照)、そのペルソナをユーザに割り当てます(「ユーザに対するペルソナ割り当てを管理する」を参照)。

  1. メインメニューから [Administration (運用管理)] >[Permissions (アクセス権限)] >[User (ユーザ)] に移動し、ユーザの名前をクリックします。
  2. 展開[Computer Groups (コンピュータグループ)] セクションを展開します。
  3. ユーザがすべてのエンドポイントの管理権限を持つようにするには、[Unrestricted Management Rights (無制限の管理権限)] を選択して [Save (保存)] をクリックします(残りの手順は省略できます)。

    Taniumでは、セキュリティ上の問題を問わず、ユーザがすべてのコンピュータグループにまたがるすべてのエンドポイントにQuestionを発行できるようにしたいのでなければ、Unrestricted Management Rights (無制限の管理権限)を割り当てないことを強くお勧めます。

  4. [Manage Computer Groups (コンピュータグループの管理)] をクリックし、コンピュータ管理グループを選択または選択解除して、[Select (選択)] をクリックします。

    選択は、論理的に結合されます。たとえば、All ComputersNo Computersを組み合わせると、事実上All Computersになります。

  5. 割り当てたコンピュータグループ、またはユーザがユーザグループから継承するコンピュータグループのリストを確認し、[Save (保存)] をクリックします。
  1. メインメニューから [Administration (運用管理)] > [Management (管理)] > [Users (ユーザ)] に移動します。
  2. ユーザを選択し、[View User (ユーザの表示)] をクリックします。
  3. [Computer Groups (コンピュータグループ)]セクションにおいて、[Manage (管理)][Edit (編集)]をクリックします。
  4. 選択した管理権限を指定し、コンピュータ管理グループを選択または選択解除して、[Save (保存)] をクリックします。

    選択は、論理的に結合されます。[All Computers (すべてのコンピュータ)][No Computers (コンピュータなし)]の結合は、実質的に[All Computers (すべてのコンピュータ)]になります。セキュリティ上の考慮事項に関係なく、ユーザがすべてのコンピュータグループにわたってすべてのエンドポイントに関するQuestionを実行できるようにする場合を除き、[Unrestricted Management Rights (無制限の管理権限)]を選択しないことを、Taniumは強く推奨します。

  5. [Show Preview to Continue (プレビューを表示して続行)] をクリックして、変更の影響を確認し、[Save (保存)] をクリックします。

ユーザに対するペルソナ割り当てを管理する

TaaS Tanium Serverは、新規ユーザアカウントにデフォルトのペルソナを自動的に割り当てます。また、Tanium Core Platform 7.4以降へのアップグレード後の場合は、アップグレード前の既存のグループにも自動的にデフォルトのペルソナを割り当てます。アクセス権限管理者ペルソナの書き込み、およびユーザグループの書き込みアクセス権限があるロールを持つAdministrator予約ロールを持つユーザは、以下の手順で代替ペルソナの割り当てを手動で更新する必要があります。Admin予約ロールにはこれらのアクセス権限があります。ペルソナについて詳しくはペルソナの管理を参照してください。

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [User (ユーザ)] に移動し、ユーザの名前をクリックします。
  2. 展開[Personas (ペルソナ)] セクションを展開し、[Manage Personas (ペルソナの管理)] をクリックします。
  3. ペルソナを選択または選択解除し、[Select (選択)] をクリックします。
  4. 割り当てたペルソナを確認し、[Save (保存)]をクリックします。
  1. メインメニューから [Administration (運用管理)] > [Management (管理)] > [Users (ユーザ)] に移動します。
  2. ユーザを選択し、[View User Group (ユーザグループの表示)] をクリックします。
  3. [Alternative Personas (代替ペルソナ)][Manage (管理)]をクリックします。
  4. ペルソナを選択または選択解除して、[Save (保存)] をクリックします。

ユーザに対する実行アクセス権限を表示する

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [Users (ユーザ)] に移動し、ユーザの名前をクリックし[Administration (運用管理)] >[Management (管理)] > [Users (ユーザ)]をクリックし、ユーザを選択して [[View User (ユーザの表示)] をクリックします
  2. ロールとアクセス権限、コンテンツセットの割り当てと継承を確認します。詳しくは、有効なロールのアクセス権限」を参照してください。

ユーザを削除、復元、ロックアウトする

従業員が組織を退職する場合、Taniumシステムへのアクセスをロックダウンするための次のオプションがあります。

  • ユーザにすべて拒否ロールを割り当てる。ユーザは引き続きTanium Consoleにサインインできますが、コンソール機能へのアクセスはできなくなります。 [Administration (運用管理)] > [Management (管理)] >  [Users (ユーザ)] ページで、Deny All (すべて拒否)ロールを持つユーザのユーザ名がグレーで表示されます。
  • 手動で作成したユーザの場合は、Tanium Console設定を削除する。
  • Tanium Consoleユーザ設定に関連付けられているADまたはLDAPユーザアカウントを無効にするか、そのアカウントが管理者エイリアスアカウントの場合はパスワードを変更します。そのユーザがTanium ServerによってLDAPサーバ経由でインポートされたユーザの場合は、LDAPサーバ上でそのユーザの詳細を変更し、磁化移動記事にTaniumサーバがユーザを再びインポートしないようにすることは重要です。

ユーザを削除する際の考慮事項

ユーザを削除すると、スケジュールされたアクティビティは以下の影響を受けます。

  • ユーザに関連付けられているプラグインのスケジュールの実行は継続します。
  • ユーザに関連付けられている保存されたQuestionの実行は継続します。
  • ユーザに関連付けられている予定済みアクションの実行は停止します。

ユーザを削除すると、そのユーザが所有しているコンテンツを削除したり、有効なユーザに所有権を移行したりできます。 「非有効ユーザのコンテンツを削除、無効化、所有権移行する」を参照してください。

ロックアウトされたユーザ

Tanium Serverは、 LDAP 同期データによって関連するLDAP アカウントが無効化されるかデータが消失した場合、LDAP サーバからインポートされたユーザをロックアウトとして指定します。ロックアウトステータス中、ユーザはサインインできませんが、ユーザが所有するスケジュール済みコンテンツは引き続き実行されます。

[Administration (運用管理)] > [Management (管理)] > [Users (ユーザ)] ページには、ユーザのLocked out (ロックアウト)ステータスが表示されます。

  • ロックアウト - 無効: 前回のLDAP同期で返されたデータによれば、アカウントは無効になっています。社員をオフボーディングするときのベストプラクティスは、関連レコードを削除しなくてもよいように、LDAPアカウントを削除するのではなく、LDAPアカウントを無効にすることです。
  • ロックアウト - 不明: 前回のLDAP同期で、ユーザに関するデータは返されませんでした。ユーザがLDAPサーバから削除された場合、またはLDAPサーバが使用するフィルタ式に一致しない場合は、そのユーザのデータが消失していることがあります。

ロックアウトされたユーザの管理に関する組織のポリシーを確認してください。1つの選択肢は、ユーザを削除して、そのユーザが所有したいたコンテンツを別のユーザに移行することです。「非有効ユーザのコンテンツを削除、無効化、所有権移行する」を参照してください。

ユーザを削除する

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [Users (ユーザ)][Administration (運用管理)] > [Managment (管理)] > [Users (ユーザ)] に移動し、ユーザを選択します。
  2. [Delete (削除)]削除をクリックして [Confirm (確定)]をクリックします。

    削除したユーザを表示するには、[Users (ユーザ)] トグルを [All (すべて)] に切り替えます(デフォルトはActive (アクティブ)ユーザのみ)。[Status (ステータス)] 列には、有効なアクティブまたは削除済みユーザが示されます削除しました

削除したユーザが所有していたコンテンツの所有権移行、無効化、または削除については、「非有効ユーザのコンテンツを削除または所有権を移行する」を参照してください。

ユーザの削除を取り消す

デフォルトでは、Taniumセッション中にユーザが作成したコンテンツの所有者は、そのセッション用にユーザが選択したペルソナです。コンテンツを所有しているユーザの削除を取り消すと、そのコンテンツを削除、再有効化したり所有権移行したりできます。

コンテンツの所有権を移行する場合、新しい所有者が、ロールのアクセス権限とコンピュータ管理グループ割り当てに関して削除したユーザと対等である必要はありません。ただし、対等でないユーザにスケジュール済みアクションと保存済みQuestionの所有権を移行すると、意図しない結果を生じる場合があります。たとえば、対等でないユーザにスケジュール済みアクションを移行すると、移行後にそれらアクションはすべて無効になります。所有権を移行するにあたっては、削除したユーザと新しい所有者のコンピュータ管理グループ割り当てを比較して、移行後にアクションとQuestionを受け取るエンドポイントを把握しておいてください。ユーザのコンピュータグループ割り当てを表示するには、メインメニューから [Administration (運用管理)] > [Management (管理)] > [Users (ユーザ)] に移動し、ユーザを選択して、[View User (ユーザの表示)] をクリックします。

1人ずつユーザの削除を取り消す:

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [Users (ユーザ)] に移動します。
  2. [Users (ユーザ)] トグルを [All (すべて)] に切り替えます(デフォルトはActive (有効)ユーザのみ)。

    [Status (ステータス)] 列には、有効なアクティブまたは削除済みユーザが示されます削除しました

  3. 削除したユーザの行を選択し、[Undelete User ユーザ削除を解除 (ユーザ削除の取り消し)]をクリックして、[Confirm (確定)] をクリックします。
  1. メインメニューから [Administration (運用管理)] > [Management (管理)] > [Users (ユーザ)] に移動します。
  2. [Users (ユーザ)] トグルを [All (すべて)] に切り替えます(デフォルトはActive (有効)ユーザのみ)。

    [Status (ステータス)] 列には、有効なアクティブまたは削除済みユーザが示されます削除しました

  3. 削除したユーザの行を選択し、[Undelete User ユーザ削除を解除 (ユーザ削除の取り消し)] をクリックして、操作を確定します。
  4. ユーザがコンテンツを所有していた場合は、コンテンツを処理するオプションの選択を求めるプロンプトが表示されます。

    再有効化のオプション

    • コンテンツをパージする:ユーザが必要としないコンテンツを削除します。
    • コンテンツを移行させる:別のユーザに所有権を転送します。[Reactivate (再有効化)] をクリックすると、移行のワークフローが開始されます。
    • そのまま再アクティブ化する:削除の取り消し対象のユーザをコンテンツ所有者として維持します。
  5. [Reactivate (再有効化)] をクリックします。

    [Purge content (コンテンツのパージ)] または [Reactivate as is (現状のまま再有効化)] を選択した場合、Tanium Serverはアクションを自動的に実行します。このため、残りの手順は省略できます。

    [Merge content (コンテンツを移行)] を選択すると、[Manage Content (コンテンツの管理)] ダイアログが開き、残りの手順を実行するように求められます。

  6. 削除を取り消したユーザのコンテンツを処理するためのオプションを選択します。

    アクションの選択

    • Delete Selected Content (選択コンテンツを削除): ユーザが必要としないコンテンツを削除します。
    • Transfer Selected Content to Matching User (選択コンテンツを対等のユーザに移行)。削除を取り消したユーザと同じロールとコンピュータ管理グループ割り当てを持つユーザ(ペルソナ)に、必要とされているコンテンツの所有権を移行します。新しい所有者のユーザ名を選択します。代替ペルソナに属するコンテンツを移行する場合は、新しい所有者の対等のペルソナも選択します。
    • Transfer Selected Content to Administrator (選択コンテンツを管理者に移行): 削除を取り消したユーザとコンピュータグループおよびロール割り当てが一致するかどうかに関係なく、Administrator予約ロールを持つ任意のユーザに、必要とされているコンテンツの所有権を移行します。新しい所有者のユーザ名を選択します。代替ペルソナに属するコンテンツの所有権を移行する場合は、新しい所有者のペルソナも選択します。
    • Transfer Selected Content to Any User (選択コンテンツを任意のユーザに移行): 削除を取り消したユーザとコンピュータグループおよびロール割り当てが一致するかどうかに関係なく、任意のユーザに、必要とされているコンテンツの所有権を移行します。新しい所有者のユーザ名を選択します。代替ペルソナに属するコンテンツの所有権を移行する場合は、新しい所有者のペルソナも選択します。
  7. [Select Content (コンテンツの選択)] セクションで、移行または削除するコンテンツを確認して選択し、[Confirm (確定)] をクリックします。

    コンテンツを選択

非有効ユーザのコンテンツを削除または所有権を移行する

[Manage Non-Active User Content (非有効ユーザのコンテンツの管理)] ページには、削除されているか、ロックアウトされていて、コンテンツを所有するユーザが一覧表示されます。このページを使用して、そのコンテンツを削除、無効化したり、所有権移行したりすることができます。Taniumセッション中にユーザが作成したコンテンツの所有者は、そのセッション用にユーザが選択したデフォルトまたは代替ペルソナです。非有効ユーザのペルソナから1人または複数の有効なユーザのペルソナに所有権を移行することができます。削除または移行のアクションは、1つずつ実行する必要があります。非有効ユーザのすべてのコンテンツを処理するのに必要な回数分、この操作を繰り返します。

コンテンツの所有権を移行する場合、新しい所有者が、ロールの権限とコンピュータ管理グループ割り当てに関して削除したユーザと対等である必要はありません。ただし、対等でないユーザにスケジュール済みアクションと保存済みQuestionの所有権を移行すると、意図しない結果を生じる場合があります。たとえば、対等でないユーザにスケジュール済みアクションを移行すると、移行後にそれらアクションはすべて無効になります。所有権を移行するにあたっては、非有効ユーザと新しい所有者のコンピュータ管理グループ割り当てを比較して、移行後にアクションとQuestionを受け取るエンドポイントを把握しておいてください。ユーザのコンピュータグループ割り当てを表示するには、メインメニューから [Administration (運用管理)] > [Management (管理)] > [Users (ユーザ)] に移動し、ユーザを選択して、[View User (ユーザの表示)] をクリックします。

非有効ユーザが所有していたコンテンツを削除、無効化、または所有権移行するには、以下の手順を実行します。

  1. メインメニューから [Administration (運用管理)]  > [Content (コンテンツ)] > [Content Alignment (コンテンツの配置)] > [Manage Non-Active User Content (非有効ユーザコンテンツの管理)] に移動します。
  2. ユーザ(ペルソナ)の行を選択し、[Manage Content (コンテンツの管理)] をクリックします。
  3. コンテンツを管理するオプションを選択します。

    • Delete Selected Content (選択コンテンツを削除): 非有効ユーザが所有しており、他のユーザが必要としないコンテンツを削除します。
    • Disable Selected Scheduled Content (選択のスケジュール済みコンテンツを無効化): 再実行間隔が設定された保存済みQuestion、スケジュール済みアクション、あるいは非有効ユーザのコンテキストで実行されるプラグインスケジュールなど、スケジュールに従って繰り返されるアクティビティを無効します。
    • Transfer Selected Content to Matching User (選択コンテンツを対等のユーザに移行): 非有効ユーザと同じロールとコンピュータ管理グループ割り当てを持つユーザに、必要されてているコンテンツの所有権を移行します。新しい所有者のユーザ名を選択します。代替ペルソナに属するコンテンツを移行する場合は、新しい所有者の対等のペルソナも選択します。
    • Transfer Selected Content to Administrator (選択コンテンツを管理者に移行): 非有効ユーザとコンピュータグループおよびロール割り当てが一致するかどうかに関係なく、Administrator予約ロールを持つ任意のユーザに、必要とされているコンテンツの所有権を移行します。新しい所有者のユーザ名を選択します。代替ペルソナに属するコンテンツの所有権を移行する場合は、新しい所有者のペルソナも選択します。
    • Transfer Selected Content to Any User (選択コンテンツを任意のユーザに移行): 非有効ユーザとコンピュータグループおよびロール割り当てが一致するかどうかに関係なく、任意のユーザに、必要とされているコンテンツの所有権を移行します。新しい所有者のユーザ名を選択します。代替ペルソナに属するコンテンツの所有権を移行する場合は、新しい所有者のペルソナも選択します。
  4. [Select Content (コンテンツの選択)] セクションで、削除、無効化、または移行するコンテンツを確認して選択します。コンテンツを選択
  5. [Confirm (確認)]をクリックします。

ユーザを削除すると、ユーザによって作成されたTanium Connectのスケジュール済みジョブなど、ユーザに関連付けられているTaniumモジュールのタスクが実行されなくなることがあります。その場合は、モジュールのワークベンチに移動して、設定を更新します。たとえば、Connectワークベンチに移動して接続を開いて、[Take Ownership (所有権を取得)] をクリックして、サインインに使用したユーザアカウントにスケジュール済み接続の所有権を移行します。

ローカルユーザのアクセス権を無効/有効にする

デフォルトでは、アカウントがTanium ServerにローカルであるユーザはTanium Consoleにアクセスできます。ただし、 LDAPサーバまたはSAML IdPといった外部認証サービスに移行し、すべてのユーザアクセスをそのサービス経由で行いたい場合、ローカル認証を無効化します。

Tanium Applianceのローカルユーザ

Tanium ApplianceにローカルであるユーザアカウントのTanium Consoleアクセスを無効化または再有効化するには、Tanium Appliance展開ガイド:ローカル認証サービスを設定するを参照してください。

Windowsサーバ上のローカルユーザを参照してください。

WindowsサーバにインストールされているTanium ServerにローカルであるユーザアカウントのTanium Consoleアクセスを無効化または再有効化するには、次の手順を実行します。

ローカルアカウントのサインインを無効にした後で、リモート認証サービスが機能停止した場合は(LDAPサーバあるいはSAML IdPとの接続がダウンするなど)、デフォルトユーザを含めて、ユーザはTanium Consoleにはアクセスできなくなります。そのような場合は、Tanium ServerのインストールフォルダからCLIを使用して次のコマンドを実行することで、ローカル認証を再度有効にする必要があります。
TaniumReceiver global-settings set soap_enable_local_auth 1

  1. メインメニューから [Administration (運用管理)] > [Management (管理)] > [Global Settings (グローバル設定)] に移動します。
  2. グリッドでsoap_enable_local_authを選択し、[Selected System Setting (選択システム設定)] ペインで [Edit (編集)] をクリックします。
  3. [Setting Value (設定値)] で、ローカル認証を無効にする場合は0、有効にする場合は1を入力して、[Save (保存)] をクリックします。

ユーザ構成をエクスポート/インポートする

以降の手順では、特定のユーザまたはすべてのユーザの設定をエクスポートおよびインポートする方法を説明します。

本番環境にコンテンツをインポートする前に、ラボ環境でコンテンツの開発とテストを行ってください。

ユーザ設定をエクスポートする

CSVファイルの形式でユーザ設定をエクスポートすることで、その形式をサポートするアプリケーションでその設定を表示することができます。Administrator予約ロールを持っている場合は、JSONファイルの形式でユーザ構成をエクスポートすることで別のTanium Serverにインポートすることもできます

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [Users (ユーザ)][Administration (運用管理)] > [Management (管理)] > [Users (ユーザ)] に移動します。
  2. 特定のユーザ設定のみをエクスポートするには、グリッドで行を選択します。すべてのユーザ構成をエクスポートする場合、この手順は省略できます。
  3. エクスポート エクスポートエクスポート をクリックします。
  4. (任意) デフォルトのエクスポートファイル名を編集します。

    ファイルのサフィックス(.csv または .json)は、選択された [形式] に基づいて自動的に変更されます。

  5. [データのエクスポート] オプションを選択します。グリッド内のすべてのユーザ構成、または選択ユーザ設定のみ。
  6. ファイルの形式を選択します。JSON (Administrator予約ロールのみ)またはCSV
  7. [Export (エクスポート)]をクリックします。

    TaaSTanium Serverは、Tanium Consoleへのアクセスに使用されたシステムのDownloadsフォルダにファイルをエクスポートします。

ユーザ設定をインポートする

JSONまたはXML形式のファイルをインポートすることができます。

  1. コンテンツファイルにデジタル署名して、署名を検証するための公開鍵があることを確認します。コンテンツファイルの認証を参照してください。
  2. メインメニューから [Administration (運用管理)] > [Configuration (構成)] > [Solutions (ソリューション)] に移動します。
  3. [Content (コンテンツ)] セクションまでスクロールし、インポート [Import Content (コンテンツのインポート)] をクリックします。
  4. [Choose File (ファイルを選択)] をクリックして、コンテンツファイルを選択し、[Open (開く)]をクリックします。
  5. [Import (インポート)]をクリックします。

    ファイル内のオブジェクト名が既存のオブジェクトと同じである場合、Tanium Consoleは競合項目を箇条書きして、各項目の解決オプションを提供します。

  6. 競合項目の解決策を選択する 競合およびベストプラクティスのガイダンスを参照してください。
  7. もう一度[Import (インポート)]をクリックして、インポートが終了したら[Close (閉じる)]をクリックします。

ユーザ設定の詳細をコピーする

[User (ユーザ)] ページのグリッドから設定の詳細をクリップボードにコピーすることで、メッセージやテキストファイル、スプレッドシートに貼り付けることができます。グリッドの各行は、コンマで区切られた値の文字列です。

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [Users (ユーザ)][Administration (運用管理)] > [Management (管理)] > [Users (ユーザ)] に移動します。
  2. 次のいずれかの手順を実行します。
    • 行情報をコピー: 行を選択して [Copy (コピー)] コピーをクリックします。
    • セル情報をコピー: セルの上にカーソルを重ねて、[Options (オプション)] オプション をクリックし、[Copy (コピー)] コピー をクリックします。