ドメインを表示

大規模な組織は通常、さまざまな国や地域に子会社を持ち、複雑な内部構造を持っています。 さらに複雑さを加えるのは、さまざまなITチームによってサポートされる多数の部門に分かれていることです。 法的、コンプライアンス、またはセキュリティ上の理由であれ、ITチームがデバイスと関連イベントのデータに対する明確な視界を持つことは便利です。

ビュードメインは、Nexthinkユーザーの役割でそのような視界を定義できる手段を提供します。

ビュードメイン機能：

• データへのアクセスが必要最小限の情報に基づいていることを保証するコンプライアンスルールを施行します。

• ITチームが担当外のデバイスに対してアクションを実行するのを防ぐことで、セキュリティを強化します。

設定

組織の定義

役割でビュードメインを定義する前に、デバイスと組織構造との関係を定義する必要があります。 デバイスをエンティティと、必要に応じて1つまたは複数のカスタム分類と、製品構成のデバイス組織機能で定義されたルールを使用して関連付ける必要があります。 詳細については、Product configurationドキュメントを参照してください。

ビュードメインの設定

ビュードメインを設定するには：

• メインメニューから Administration を選択します。

• ナビゲーションパネルのアカウント管理セクションで Roles をクリックします。

• ビュードメイン セクションまでスクロールして、次のオプションのいずれかを選択します：

  • フルアクセス：役割はすべてのデバイスにアクセスできます。

  • 制限付きアクセス：選択した組織レベルに基づいて、役割がアクセスできるデバイスの範囲を限定できます。

制限付きアクセス

制限付きアクセス を選択した場合、組織レベルとそれに対応する視界範囲を指定できます。 各範囲は、役割内のユーザーが表示できるデバイスのサブセットを決定します。

ビュードメインを定義するには、ドロップダウンメニューから 組織レベル を選択します。 利用可能なオプションは次のとおりです：

• エンティティ: エンティティのみを追加することを有効にする選択。

• カスタム分類: 選択されたカスタム分類に関連する可能性のあるカスタム分類値のみを追加することを有効にする選択。 (カスタム分類ルールセットで定義された任意のカスタム分類を追加できます)。

メインロールで複数の組織ディメンションを組み合わせたビュードメインの範囲を定義できます。これにより、組織が実際にどのように機能するかに応じて視界範囲を一致させることができます。例えば、地域、エンティティ、または部門による可視性を同じ役割に組み合わせることができます。

例えば、次の2つの視界範囲を持つ 制限付きアクセス があります。

• 地域: ヨーロッパ

• 部門: 財務

これは、ヨーロッパ内のすべてのデバイスと財務部門内のすべてのデバイスへのアクセスが含まれることを意味します。 これはヨーロッパ内のみの財務デバイスへの視界を制限しません。

役割に対して制限付きアクセスを選択した場合、役割がアクセスできるデバイスの範囲をリストアップします。 制限付きアクセスのある役割は、特定のエンティティまたはカスタム分類でタグ付けされたデバイスとその関連イベントにのみアクセスできます。

エンティティとカスタム分類

• カスタム分類でデバイスにオプションのタグを付けることは、組織 ルールセットファイルに依存します。

• 各カスタム分類値は、必ず1つ以上のエンティティに関連付けられます。 例えば、次の表では、スイス と ヨーロッパ が ローザンヌ と チューリッヒ に関連付けられています。

• エンティティは、同じカスタム分類の異なる値を持つ複数の関連付けを持つことはできません。 例えば、ローザンヌ が ヨーロッパ と 北米 の両方に関連付けられるのは不適切です。

ビュードメインの使用

オブジェクトとイベント

システムは以下のオブジェクトとイベントに対してビュードメインを強制します：

デバイス

devices オブジェクトを照会する際、システムはデバイスのエンティティを使用してビュードメインを適用します。 Organization.Entity フィールドを使用してデバイスのエンティティを取得します。 これは旧 エンティティ フィールドでも表示されます。

ユーザー

users オブジェクトを照会する際、システムはユーザーが報告されたデバイスのエンティティを使用します。例えば、セッションイベントやユーザーにリンクされた実行イベントなどです。 役割は、ユーザーに関連付けられた少なくとも1つのデバイスのエンティティにアクセスできる必要があります。

すべてのイベント

イベントの時点でのデバイスのエンティティを示すcontext.organization.entityフィールドを使用してエンティティを取得します。 次を考慮してください:

• デバイスのエンティティが変更されると、その変更前にトリガーされたイベントのエンティティはそのまま残ります。 制限付きの表示ドメインアクセスを持ち、古いエンティティのみに割り当てられた役割は、デバイスの新しいエンティティに関連付けられたイベントを表示できません。

• eventsを照会するとき、システムはイベントのエンティティを使用して表示ドメインを強制します。

• 同じクエリでdevicesとeventsを照会する場合、ユーザーはデバイスのエンティティとイベントのエンティティにアクセスできます。例えば：

device_performance.system_crashes during past 7d 
| list number_of_system_crashes, context.organization.entity 

一部のイベントには、デバイスにリンクできないためエンティティがない場合があります。 これには、特定のアラートやコラボレーションイベントが含まれる可能性があります。 イベントが特別なn/aエンティティでタグ付けされている場合、関連するユーザーのエンティティ（もしあれば）が表示ドメインを強制します。 デバイスまたはユーザーが存在せず、エンティティがn/aでタグ付けされている場合、すべてのユーザーがイベントを表示できます。 この状況は、すべてのユーザーに表示されるバイナリやパッケージのようなオブジェクトに関する一部のアラートで発生する可能性があります。

デバイスにリンクされたすべてのインベントリオブジェクト

device.antiviruses、device.cpus、device.disksおよび同様のオブジェクトなどのインベントリオブジェクトをクエリするとき、システムはデバイスのエンティティを使用して表示ドメインを強制します。

製品モジュール

表示ドメインは次のモジュールに適用されます:

管理

アプリケーション

アラート

Amplify

キャンペーン

コラボレーションツール

診断

デジタルエクスペリエンス

調査

ライブダッシュボード

デバイスビュー

リモートアクション

ソフトウェアメータリング

ワークフロー

権限テーブルは各モジュールページにあります。

表示ドメインを役割に適用する場合、システムは権限レベルで一部のモジュールへのアクセスを削除します。 次のモジュールは、フルビューのドメインアクセスを持つロールで利用可能です。

• デジタル体験

制限付きの表示ドメインアクセスを持つ役割は、調査や表示ドメインが正しく強制されているライブダッシュボードで、たとえばalert.alertsやcampaign.responsesなどを使用して、前述のモジュールにリンクされたデータを取得できます。

表示ドメインに完全なアクセス権を持つ役割にのみ関連付けることができる権利のリスト：

関連トピック:

• 製品設定

• 役割