emacloud(インテル EMA)はそのまま設定してしまえば、1つの PC 管理単位(Endpoint Group)とあらゆる権限を持った1人のテナントユーザーのみが存在することになります。
ただ実際の組織では、それぞれの部署で PC の利用、管理方法が異なっていたり、あらゆるリモート操作を許可したいユーザーや一部の操作だけに限って許可したいユーザー、様々な利用者が存在するのではないでしょうか?
emacloud においても、いくつかのグループ設定やユーザー設定を組み合わせることにより、「この部署の PC はリモートデスクトップ作業を許可する(しない)」「この部署の PC にはファイル転送を許可する(しない)」「このグループのユーザーには BIOS のリモート操作まで許可する(しない)」と言った PC の用途やユーザーの属性による細かな設定が可能になります。
以下に簡単な利用シナリオを想定してその設定方法を確認してみましょう。
emacloud(インテル EMA)には2つのグループ設定が存在する
まず前提として、emacloud には「Endpoint Group」、emacloud に登録する PC に対して設定するグループと、「User Groups」、ユーザーの属性を管理するためのグループ、2つのグループ設定が存在します。
さらに複数作成可能なユーザー(ログイン ID)にもそれぞれに権限が設定可能になっており、この3つの設定を組み合わせることで、さまざまな「できること・できないこと」「できる人・できない人」を実現する仕組みです。
vprodemo 商事をご紹介します
ここでは PC 3台、ユーザー3人(プラス管理者)だけの小さな会社、vprodemo 商事 を想定します。
その大まかな構成は下図をご覧ください。
vprodemo 商事には3つの部署(SE、営業、IT)があり、各部署にそれぞれ1台の PC と1人のユーザーが存在します。
それぞれの部署の PC とユーザーに適切な設定を行い、適切なユーザーが、適切な PC だけに、適切なリモート操作だけを実現できる環境を設定します。
まずは PC のグループ設定から
emacloud を利用するためには、PC の管理単位である Endpoint Group を少なくとも1つ作成し、エージェントファイルを生成した上で管理対象の PC にインストールしなければなりません。ですから既に emacloud をご利用のお客さまであれば、貴組織のコンソールには最低1つの Endpoint Group が存在していると思います。
このグループを、例えば技術部門と営業部門などの部署ごとに、または本社と各支店など事業所ごとに複数作成し、それぞれの PC を各グループに紐づけることで、一括の電源コントロールや管理ポリシーの適用が容易になります。
後述する User Groups の設定でも PC に対して実施できるリモート操作の項目を設定することが可能ですが、この Endpoint Group で設定した内容が優先されますので、User Group で「File」にチェックを入れても、Endpoint Group の Group Policy において「Remote file access」の項目にチェックが入っていないグループの PC については、ファイル転送機能は使用できません。
ファイル転送機能はリモートデスクトップ接続と組み合わせて使用することで非常に便利ではありますが、機密情報の保護など、セキュリティ面で配慮しなければならない PC もあるかもしれません。その場合はこの Endpoint Group で「Remote file access」のチェックを外しておけば、どの様な権限を持っているユーザーでもこの機能を使用することはできません。(利便性は下がってしまいますが)
また PC が同時に所属できる Endpoint Group は1つだけです。既存の PC を新たに作成したグループに所属させるには、現在所属しているグループから別のグループに PC を「移動」させる必要があります。
その場合は、新たに PC を所属させたいグループの「Agent policy file」を対象の PC に送付し、当初のインストール時と同様、ポリシーファイルと同じフォルダに置いた EMAAgent.exe を再実行し、これまで所属していたグループの情報を新しいグループの情報で上書きしてください。
3つの Endpoint group を作成し、それぞれの部署に存在する PC を登録しました。
次にユーザー(ログイン ID)の追加と設定を行います
emacloud の初期設定状態で存在するのは、お客さまのテナントで実行可能なすべての操作を行うことができる「Tenant Administrator」のみです。
そこで右上の「New User…」ボタンを押下してユーザーを追加していきます。
User name の部分にはインテル EMA のルール通り電子メール形式でユーザー名を入力し、パスワードを設定します。(パスワードはアルファベット大文字小文字+記号+数字 の形式が求められます)
そしてユーザーの権限を規定する「Role」を選択します。
emacloud(インテル EMA)では下記4種類のユーザーが設定可能です。
Tenant Administrator | その名の通り、お客さまのテナント(emacloud 管理コンソール)に関わるすべての動作、設定が可能な管理者権限を持つユーザーです |
Account Manager | ユーザーの作成、変更、削除が可能です(自身より上位の Tenent Administrator は作成できません PC の管理はできません |
Endpoint Group Creator | Endpoint Group の新規作成、変更、削除、AMT Profile の編集などが可能です PC の管理は可能ですが、ユーザーの管理はできません |
Endpoint Group User | 管理者によって規定されたグループの PC に対し、同じく管理者によって規定されたリモート操作のみを行うことができます 一般的なシナリオで最もよく利用されるユーザー属性です |
vprodemo 商事では上の図の様に SE、営業、ITの各部門に1名ずつのユーザーを作成し、「Endpoint Group User」の権限を付与しました。
ここまでの設定を整理すると、
部 署 | 所属する PC | エンドポイント グループ名 | 所属するユーザー |
SE グループ | PC001 | SE_Group | userA@vprodemo.com |
営業グループ | PC002 | Sales_Group | userB@vprodemo.com |
IT グループ | PC003 | IT_Group | userC@vprodemo.com |
テナントアドミニストレーター | admin@vprodemo.com |
この様な内容になります。
User Group を作成します
Manage Users の画面には左上に「Users」と「User Groups」の2つのタブが存在します。「User Groups」のタブを選択し、ユーザーグループを作成します。
実はこのユーザーグループが設定の要で、これまで作成した Endpoint group と User を組み合わせて、「どのユーザーが」「どの PC に対して」「どんな操作が可能か」を規定することが可能になっています。
初期設定の状態ではグループは存在しませんので、ユーザーと同様、右上の New Group… のボタンを押下して新たにユーザーグループを作成します。
SE グループには電源操作の他にリモートデスクトップ、ターミナル、ファイル送受信の利用を許可し、SE グループのためのログイン ID、userA@vprodemo.com を指定します。
さらに操作対象の Endpoint group を指定し、保存します。
同様の作業を繰り返して、営業グループには自らの部署に所属する PC に対する電源操作のみを、IT グループには全 PC に対する全てのリモート操作を許可し、Endpoint Group を作成しました。
これで準備は完了です。
設定を確認してみましょう
では一旦テナントアドミンのアカウントからログアウトして、SE グループに所属する「userA@vprodemo.com」のアカウントでログインしてみます。
事前に User Group で設定した通り、SE グループに所属する PC だけがコンソールに現れ、事前に規定したリモート操作のみが可能になっています。
一方、営業グループ向けのアカウント「userB@vprodemo.com」でログインすると、
この様に営業グループに所属する PC の電源コントロールに関するメニューだけが現れます。
お客さまから「外出先、在宅勤務などで社外から社内の自席に設置された PC を立ち上げる(シャットダウンする)という用途に emacloud(インテル EMA)を活用できないか?」というお問い合わせをよくいただきます。
簡易的な VDI として社外からのリモートデスクトップ接続を利用したいが、外部からのアクセスのために対象になる PC の電源を 24 時間オンのままにしておくことは、消費電力やハードウェアへの負担の観点からも、情報セキュリティの観点からも好ましくありません。そこで利用しない時はオフにしたい訳ですが、一旦電源オフになった PC の電源を社外から立ち上げることはあまり簡単ではありません。
上記の様な方法で限定された PC に対して、電源操作のみを行うことができるアカウントを作成し、ご利用いただくと解決できる課題もあるのではないかと思います。
おしまい