ダッシュボードの管理者と権限の管理
この記事では、ダッシュボード内の各権限レベルと、管理者ユーザの管理方法について説明します。管理者ユーザとは、ダッシュボードにログインし、Cisco Merakiネッ トワーク/デバイスを表示/管理するアクセス権のあるユーザです。クライアントVPNまたはワイヤレス ネットワークに参加するアクセス権のあるユーザの管理方法については、Meraki認証を使用したユーザ アカウントの管理に関する記事を参照してください。
まとめ
ダッシュボード管理者には、基本的にオーガナイゼーション管理者とネットワーク管理者の2種類があります。
- オーガナイゼーション管理者は、自身のオーガナイゼーションとそのすべてのネットワークに対する完全なアクセス権を持っています。このタイプのアカウントはルート管理者またはドメイン管理者に相当するため、この制御レベルが誰に割り当てられているかを慎重に管理する必要があります。このアカウントに関するベスト プラクティスについては、下記を参照してください。
- ネットワーク管理者は、個々のネットワークとそのデバイスに対するアクセス権を持っています。ネットワーク設定に対する完全な(または限定された)管理権限を持ちますが、オーガナイゼーション レベルの情報(ライセンスやデバイス インベントリなど)に対するアクセス権は持っていません。
ほとんどのダッシュボード管理者は、上記2種類のどちらかに分類されます。この記事の後半では、各タイプの管理者に関連付けられたオプションと制限について詳しく説明します。
オーガナイゼーション権限タイプ
読み取り専用:ネットワークとオーガナイゼーション全体のほとんどの設定にアクセスできますが、変更を加えることはできません。
フル:ネットワークとオーガナイゼーション全体のすべての設定に対する完全な管理アクセス権を保持しています。これは、利用できる最高レベルのアクセス権です。
注記:ダッシュボード オーガナイゼーションには常時、2人以上のオーガナイゼーション管理者がいます。これは、1つのアカウントがロックアウトされたり、そのアカウントのメール アドレスへのアクセス権が失われたりした場合に備えるためのベスト プラクティスです。
ネットワーク権限タイプ
ゲスト アンバサダー:Meraki認証ユーザ リストの参照、ユーザの追加、既存ユーザの更新、SSIDまたはクライアントVPN上のユーザの承認/承認解除のみを実行できます。すべてのネットワークに対するアンバサダーは、ワイヤレス ユーザも削除できます。ダッシュボード オーガナイゼーションにネットワーク テンプレートが存在する場合、ゲスト アンバサダーはワイヤレス ユーザを削除できません。
ユーザ管理ポータルのみが表示されます。
監視専用:ダッシュボードの「Monitor(監視)」セクションの一部を表示できますが、変更を加えることはできません。注記 - 監視専用管理者は、サマリー レポートを表示できますが、ダッシュボード内で電子メールを介してレポートをスケジュールすることはできません。
読み取り専用:「Configure(設定)」セクションを含むネットワークのほとんどの設定にアクセスできますが、変更を加えることはできません。
フル:ネットワークのすべての設定の表示と変更ができます。
オーガナイゼーション権限の管理
ダッシュボード オーガナイゼーションのすべての権限は、Organization(オーガナイゼーション) > Administrators(管理者)で管理できますが、このページが表示されるのは、フルまたは読み取り専用のオーガナイゼーション アクセス権を持つユーザに対してのみです。このページに変更を適用できるのは、「Organization Access(オーガナイゼーションにおけるアクセス)」が「Full(フル)」のユーザのみです。
オーガナイゼーション管理者の追加
Organization(オーガナイゼーション) > Administrators(管理者)で、
- ページの右側にあるAdd admin(管理者を追加)をクリックします。
- 管理者がログインするために使用するName(名前)とEmail(電子メール)を入力します。
- 「オーガナイゼーション権限タイプ)」セクションの定義に従ってOrganization Access(オーガナイゼーションにおけるアクセス)レベルを選択します。
- Create admin(管理者を作成)をクリックします。
- 一時パスワードと、ユーザのログイン方法の説明が記載された電子メールが、入力した電子メール アドレスに送信されます。
- Save changes(変更を保存)をクリックします。
オーガナイゼーション全体のアクセスの変更/削除
Organization(オーガナイゼーション) > Administrators(管理者)で、
- 管理者の行をクリックします。
- Organization Access(オーガナイゼーションにおけるアクセス)を「None(なし)」または目的の権限レベルに変更します。
- Update admin(管理者を更新)をクリックします。
- Save changes(変更を保存)をクリックします。
注記:管理者が他のネットワーク固有のアクセス権を持っていない場合、Organization Access(オーガナイゼーションにおけるアクセス)」が「None(なし)」に設定されると、管理者のリストから削除されます。
オーガナイゼーション管理者の削除
Organization(オーガナイゼーション) > Administrators(管理者)で、
- 管理者の名前の横にあるチェックボックスをオンにします。
- Delete(削除)をクリックします。
- Save changes(変更を保存)をクリックします。
オーガナイゼーション管理に関するポリシーとベスト プラクティス
ポリシーの規定により、Cisco Merakiのサポート チームはお客様の代わりにダッシュボードの設定を変更できません。ダッシュボード管理者自身が、Merakiダッシュボードで独自の設定を作成し、アカウントを変更する必要があります。Cisco Merakiは設定を変更できないだけでなく、オーガナイゼーション権限やネットワーク権限を変更することもできません。ダッシュボード管理に対するすべての変更は、そのダッシュボード アカウントに存在するオーガナイゼーション管理者が行う必要があります。詳細については、エンド カスタマー契約の第1.3.1項を参照してください。
このポリシーは、悪意のあるユーザからネットワーク所有者を保護するためのものです。そのため、オーガナイゼーション管理について決定する際は、ダッシュボード ネットワークのセキュリティを確保するために、以下のベスト プラクティスに従うことを強くお勧めします。
-
ダッシュボード オーガナイゼーションには、常に、2人以上のオーガナイゼーション管理者を割り当てます。
-
これは、1つのアカウントがロックアウトされたり、そのアカウントのメール アドレスへのアクセス権が失われたりした場合に備えるためのベスト プラクティスです。
-
-
オーガナイゼーション管理者にはダッシュボード オーガナイゼーションの最高レベルの制御権が与えられるため、慎重に選んでください。
-
アカウントのオーガナイゼーション管理者には、Cisco Merakiハードウェアとライセンスのアクティブな所有者を指定してください。
-
-
オーガナイゼーション管理者のユーザ名/メール アドレスが自分の管理下のドメインに関連付けられていることを確認します。
-
アカウントを回復するために、以前のオーガナイゼーション管理者との関係を切り離すときに役立ちます。
-
オーガナイゼーション管理者の電子メール エイリアスの制御を許可します。
-
-
二要素認証を使用し、バックアップ認証キーを安全な場所に保管します。
-
たとえば、Google認証システムをダッシュボードの二要素認証ソリューションとして使用できます。
-
-
必要に応じて、コンサルタントに制限付きアクセス権を付与しなければならない場合があります。
-
技術的な設定変更が必要な場合は、ネットワーク管理者として一時的なアクセス権を付与するのが最善策です。
-
コンサルタントにオーガナイゼーション管理者権限を付与する必要がある場合は、必要な変更の実装後、すべてのオーガナイゼーション管理者権限を取り消すようにしてください。ハードウェア/ライセンス所有者のみをオーガナイゼーション管理者にするのが望ましいです。
-
-
現在のオーガナイゼーション管理者が退職する場合は、退職プロセスの早い段階でそのアカウントの権限を取り消すか、再割り当てすることを強くお勧めします。
-
ダッシュボード オーガナイゼーション管理者は、Active Directoryのドメイン管理者やドメイン名登録の主要連絡先と同様に扱ってください。この管理者ロールのユーザだけが、他のユーザを管理者に昇格できます。
ネットワーク権限の管理
オーガナイゼーション レベルで付与された権限は、オーガナイゼーション内のすべてのネットワークに適用されます。これは、Organization(オーガナイゼーション) > Administrators(管理者)ページからのみ管理できます。個々のネットワークの権限は、Organization(オーガナイゼーション) > Administrators(管理者)、またはConfigure(設定) > Alerts & administration/Network-wide settings(アラートと管理/ネットワーク全体の設定)の2か所で管理できます。
ネットワーク管理者の追加
Organization(オーガナイゼーション) > Administrators(管理者)で、
- Add admin(管理者を追加)をクリックします。
- 管理者がログインするために使用するName(名前)とEmail(電子メール)を入力します。
- (オプション)「オーガナイゼーション権限タイプ」セクションの定義に従って、Organization Access(オーガナイゼーションにおけるアクセス)レベルを選択します。
- Add access privileges(アクセス権限の追加)をクリックします。
- Target(ターゲット)フィールドで、アクセス権を付与するネットワークを選択します。
- 「ネットワーク権限タイプ」セクションの定義に従って、追加する権限レベルをAccess(アクセス)フィールドで選択します。
- Create admin(管理者を作成)をクリックします。
- Save changes(変更を保存)をクリックします。
- 一時パスワードと、ユーザのログイン方法の説明が記載された電子メールが、入力した電子メール アドレスに送信されます。
Configure(設定) > Alerts & administration/Network-wide settings(アラートと管理/ネットワーク全体の設定)で、
- Add an existing user...(既存ユーザの追加)でユーザを選択するか、Create new user(ユーザの新規作成)をクリックします。
- 「Create new user(ユーザの新規作成)」を使用する場合は、管理者がログインするために使用するName(名前)とEmail(電子メール)を入力します。
- Create user(ユーザの作成)をクリックします。
- ユーザがすでに存在するというメッセージが表示された場合は、Add an existing user...(既存ユーザの追加)フィールドを使用してメール アドレスを検索します。
- 「ネットワーク権限タイプ」セクションの定義に従って、新しいユーザに提供するネットワーク アクセスのレベルをPrivileges(権限)で選択します。
- Save changes(変更を保存)をクリックします。
ネットワーク アクセスの変更
Organization(オーガナイゼーション) > Administrators(管理者)で、
- 管理者の行をクリックします。
- Target(ターゲット)ネットワークの行で、Access(アクセス)を目的のレベルに変更します。
- Update admin(管理者を更新)をクリックします。
- Save changes(変更を保存)をクリックします。
Configure(設定) > Alerts & administration/Network-wide settings(アラートと管理/ネットワーク全体の設定)で、
- 管理者ユーザのPrivilege(権限)ドロップダウンを目的のレベルに更新します。
- Save changes(変更を保存)をクリックします。
ネットワーク アクセスの削除
Organization(オーガナイゼーション) > Administrators(管理者)で、
- 管理者の行をクリックします。
- Target(ターゲット)ネットワークの行のXをクリックします。
- Update admin(管理者を更新)をクリックします。
- Save changes(変更を保存)をクリックします。
Configure(設定) > Alerts & administration/Network-wide settings(アラートと管理/ネットワーク全体の設定)で、
- 管理者ユーザの行のXをクリックします。
- Save changes(変更を保存)をクリックします。
注記:今のところ、Meraki認証を使用している場合は、権限が付与されていない場合でも、現在と過去の管理ユーザが「Configure(設定)」>「Users(ユーザ)」リストに表示されます。ユーザがSSID/VPNに対して承認されているか、またはダッシュボード権限が付与されている場合を除き、このリストに表示されたとしもアクセスはできません。
ネットワーク権限のトラブルシューティング
Error - This email is already in use
Create new user(ユーザの新規作成)ボタンを使用してネットワーク管理者を追加しようとしたときに(Configure(設定) > Network-wide settings(ネットワーク全体の設定)またはConfigure(設定) > Alerts and administration(アラートと管理)で)、「This email is already in use」というエラーが表示されることがあります。ユーザが上記のリストに表示されていない場合でも、このエラーが生じることがあります。 これは、このページまたはオーガナイゼーションの他のどこかで、以前にこのメール アドレスに対してアカウントが作成されているためです。このユーザを追加するには、Add an existing user(既存ユーザの追加)ボックスをクリックして、ユーザのメール アドレスの入力を開始します。メール アドレスがドロップダウンに表示され、選択できます。次に、目的のPrivileges(権限)を選択し、Save changes(変更を保存)をクリックします。
ネットワーク管理者またはオーガナイゼーション管理者の追加方法の詳細については、オーガナイゼーション/ネットワーク管理者およびゲスト アンバサダー アカウントの管理を参照してください。
ネットワーク タグによる権限
特定のネットワーク タグに関する権限をユーザに付与することで、複数のネットワークを使用しているオーガナイゼーションでネットワーク レベルの権限の割り当てを簡略化できます。この権限は、そのタグが付けられたオーガナイゼーション内のネットワークすべてに適用されます。この変更を行えるのは、「Organization Access(オーガナイゼーションにおけるアクセス)」が「Full(フル)」のユーザのみです。
該当するネットワークにタグを付けることから始めます。
- Organization(オーガナイゼーション) > Overview(概要)に移動します。
- 目的のネットワークの横にあるチェックボックスをオンにします。
- Tag(タグ)をクリックします。
- Add(追加)フィールドで、目的のタグを選択、または入力します。
- 新しいタグを追加するには、新しいタグの名前をスペースなしの1つの単語として入力します(「newtag」、「new_tag」など)。
- 目的のタグ名の横にあるAdd option(オプションの追加)をクリックします。
- タグがAdd(追加)フィールドにバブルとして表示されたら、Add(追加)ボタンをクリックします。
次に、タグに基づいて、該当するネットワークに権限を付与します。
- Organization(オーガナイゼーション) > Administrators(管理者)に移動します。
- 管理者の行をクリックします。
- Add access privileges(アクセス権限の追加)をクリックします。
- Target(ターゲット)の下で、Tagで始まり、以前適用されていたタグの名前を含むエントリを選択します。
- Access(アクセス)の下で、このタグ付きのネットワークに対して、管理者に割り当てるアクセス レベルを指定します。
- Update admin(管理者を更新)をクリックします。
- Save Changes(変更を保存)をクリックします。
スイッチ ポート管理権限
権限はスイッチ ポート レベルで割り当てることもできます。この場合、下位の技術者や外部の請負業者がネットワークに基本的な変更を加えることができます。これを行うには、個々のスイッチ ポートにタグを付け、そのタグのポート管理権限を作成して、その権限を管理者に付与します。
ポート タグの追加
- Configure(設定) > Switch ports(スイッチ ポート)に移動します。
- タグを付けるスイッチ ポートの横にあるチェックボックスをオンにします。
- Tag(タグ)をクリックします。
- Add(追加)ボックスで、既存のタグを選択するか、
または、名前を入力し、Add option(オプションの追加)をクリックして、新しいタグを作成します。
注記:タグにスペースを含めることはできません。
- 目的のタグがバブルとしてボックスに表示されたら、Add(追加)をクリックします。
- これで、選択したポートには目的どおりにタグが付けられています。
注記:場合によっては、ヘッダー列の右側にある「+」ボタンを使用して、「Tags(タグ)」列を表に追加する必要が生じます。
ポート タグの削除
- Configure(設定) > Switch ports(スイッチ ポート)に移動します。
- タグを付けるスイッチ ポートの横にあるチェックボックスをオンにします。
- Tag(タグ)をクリックします。
- Remove(削除)ボックスで、削除する既存のタグを選択します。
- 目的のタグがバブルとしてボックスに表示されたら、Remove(削除)をクリックします。
ポート管理権限の作成
- 統合ネットワークの場合は、Network-wide(ネットワーク全体) > Administration(管理)に移動します。
- 統合ネットワーク以外の場合は、Network-wide(ネットワーク全体) > General(一般)に移動します。
3.Port management privileges(ポート管理権限)の下で、Add a port management privilege(ポート管理権限の追加)をクリックします。
4.権限の目的を示すPrivilege name(権限名)を入力します。
5.権限がアクセスを提供するPort tags(ポート タグ)を選択します。
6.これらのポートでPacket capture(パケット キャプチャ)を許可するかどうかを選択します。
7.Save changes(変更を保存)をクリックします。
注記: スイッチが統合ネットワーク内にある場合、これらの変更は、Network-wide(ネットワーク全体) > General(一般)ページではなく、Network-wide(ネットワーク全体) > Administration(管理)ページで行う必要があります。
ポート管理権限の削除
- Configure(設定) > Alerts & administration(アラートと管理)に移動します。
- Port management privileges(ポート管理権限)の下で、削除する権限のActions(アクション)列のXをクリックします。
- Save changes(変更を保存)をクリックします。
ポート管理権限の割り当て
ポート管理権限は、上記の「ネットワーク権限の管理」セクションで説明した他の権限と同様に、ネットワーク管理者に割り当てられます。目的の管理者に対して、以前に作成した権限をPrivilege(権限)ドロップダウンから選択するだけです。
管理者アカウントのロック解除
ダッシュボード オーガナイゼーションで、アカウントのロックアウト ポリシーを設定できます。設定するには、Organization(オーガナイゼーション) > Configure(設定) > Settings(設定) > Security(セキュリティ)の下で、Account lockout(アカウント ロックアウト)オプションを有効にします。
認証の試行失敗回数が多すぎるために、管理者のアカウントがロックされた場合は、フル ネットワーク権限(ネットワーク管理者の場合)またはフル オーガナイゼーション権限を持つ別のユーザにロックを解除してもらうことができます。アカウントをロック解除するユーザは、同等以上の権限を持っている必要があります(つまり、ネットワーク専用管理者はオーガナイゼーション専用管理者のアカウントのロックを解除できません)。
オーガナイゼーション権限を持つ管理者ユーザの場合:
- Organization(オーガナイゼーション) > Administrators(管理者)に移動します。
- アカウントがロックされた管理者の名前の横にあるチェックボックスをオンにします。
- Unlock(ロック解除)をクリックします。
ネットワーク権限を持つ管理者ユーザの場合:
- Configure(設定) > Alerts & administration/Network-wide settings(アラートと管理/ネットワーク全体の設定)に移動します。
- アカウントがロックされた管理者の名前の横にあるUnlock(ロック解除)ボタンをクリックします。
管理者ユーザのパスワードのリセット
管理者ユーザのパスワードをリセットするには、次の手順を実行します。
- ダッシュボードの右上隅にあるsign out(サイン アウト)をクリックしてログ アウトします。
- https://account.meraki.com/login/reset_passwordに移動します。
- リセットする必要のある管理者アカウントのメール アドレスを入力します。
- Submit(送信)をクリックします。
パスワードのリセット方法の詳細が記載された電子メールが、メール アドレスに送信されます。
権限の優先順位
ダッシュボードの権限は付加的で、適用可能な割り当て済み権限の最も高いレベルに基づいて、ページ上での権限がユーザに付与されます。そのため、オーガナイゼーション レベルでは読み取り専用権限で、特定のネットワークではフル権限の管理者は、実質上、そのネットワークに対するフル権限を持ちます。
このことは、タグでも同様に適用されます。ユーザが異なるタグに基づいて読み取り専用アクセス権とフル アクセス権を持つ場合、そのユーザにはフル アクセス権が付与されます。