使用ガイド: ローカル管理者権限の管理

Manage local admin permission ライブラリパッケージは、ITチームに以下を可能にします:

• ローカル管理者権限の承認や取消しを自動化します。

• 管理者アクセスが一時的であることを保証することで、セキュリティ侵害のリスクを低減します。

• 手動の介入を最小限に抑えることで、ITの運用効率を向上させます。

• ITポリシーの自動化された記録と監査を通じて、コンプライアンスを強化します。

• 従業員に管理者権限を要求するためのシームレスかつ迅速なプロセスを提供します。

ライブラリパックは使用している

以下の目的のためにライブラリパックのコンテンツを使用します。

可視性

このライブラリパックはローカル管理者権限の管理ワークフローに焦点を当てています。 一時的なローカル管理者権限の付与および取消しのプロセスを合理化します。 すべてのアクションはITサービス管理(ITSM)のチケッティングシステムに記録され、コンプライアンスやセキュリティ目的のための完全な監査トレイルを保証します。

ワークフロートリガー

このワークフローは、従業員とのサポートコール中や一時的なローカル管理者権限の要求に応じて、特定のデバイスで開始されるよう設計されています。 以下に示すように、デバイスビュー または Amplify からトリガーすることができます。 このワークフローでは、進捗を追跡するためにインシデント番号パラメータを使用します。

ユースケース

以下に示す関連するユースケースに加えて、環境に特有の他のトラブルシューティングシナリオを発見することができるかもしれません。

初期コンプライアンスチェック

ユーザーに一時的でもローカル管理者権限を付与することは、悪用される可能性があり、重大なリスクを伴います。 この種の変更は、ITSM に報告され、ワークフローを開始する前に既存のチケットが作成されている必要があります。 ワークフローには、ワークフロー実行時にチケット ID を入力できるパラメーターが含まれています。

リクエストを行っているユーザーが実際にデバイスを使用している者であることを確認するためには、追加のステップが必要です。 ワークフローには実行時に記入が必要なユーザー名用のパラメーターが含まれています。 ワークフローは、このユーザー名を現在ログインしているユーザーと照合し、一致する場合のみ続行します。

最終チェックは、ユーザーのマネージャーによる承認です。 これは、MS Teamsメッセージを送信して取得します。

ローカル管理者権限の付与と遅延設定

すべてのコンプライアンスチェックが完了し、マネージャーの承認が得られると、ユーザーはデバイスでローカル管理者権限を有することができます。 これは、WindowsおよびmacOSデバイスの両方で異なるリモートアクションを使用して実現できます。 いずれの場合もリモートアクションの成功をチェックし、失敗した場合は、ITSMチケットが更新されます。

リモートアクションが成功した後、ITSMチケットが更新され、ユーザーに通知されます。これにより、チケット生成のきっかけとなったローカルアクションを行うことができます。 カスタム定義された遅延時間（デフォルトは 30 分）が開始されます。

ローカル管理者権限の削除

権限昇格に伴うリスクを最小限に抑えるため、事前に設定された遅延時間の後、ワークフローは続行され、以前に使用したのと同じオペレーティングシステム固有のリモートアクションを使用してデバイスのローカル管理者権限を取り消します。

各リモートアクションの実行が確認され、失敗した場合は ITSM に記録され、さらなる調査と手動での管理者権限の取り消しが行われます。

プロセスが成功した場合、ITMS チケットが更新され、その後閉じられます。

関連トピック

• ワークフローの管理

• キャンペーンの管理

• リモートアクションの管理

• 構成ガイド: ローカル管理者権限の管理