NetskopeのAdmin Role設定とは？管理者権限の確認方法と設定例を紹介

Netskope管理コンソールへログインするAdmin Role設定について、管理者権限の確認方法や設定例をご紹介します。

はじめに

Netskope管理コンソールへログインする管理者（Admin）について、Netskopeでは細かく権限設定を行うことができることを皆さんご存じでしょうか？

現在、NetskopeのテナントへはRBAC v3が適用されており、標準で用意されているロール、もしくはカスタムで定義したロ―ルを各管理者に割り当てることで、Netskope管理コンソール上での操作制限や閲覧可能な設定/ログ範囲などを制限することが可能になります。

ロールの確認

ロールについてはNetskope管理コンソールへログインし、Settings > Administration > Administrators & Rolesのページの「Role」のタブから確認いただけます。

こちらのページでは今ログインしている自身のアカウントに付与されているロールの確認や定義済みのロール一覧が確認できます。

NetskopeではPredefined Roleとしていくつか標準でロールも用意されており、「Tenant Admin」が設定とデータ、管理者とロールへフルアクセスが可能な一番権限が強いロールとなります。
その他のPredefined Role詳細は以下のナレッジサイトをご確認ください。

★Managing Administrators

ロールの新規作成

カスタマイズしたロールを作成したい場合は、同ページの「新規/New」から作成が可能です。

また、ロールを１から新規作成するのは大変だという場合は、特定のPredefined Roleを複製し、複製したロールの権限を一部カスタマイズするといった方法も可能です。
複製したいロールの右側「…」から複製を選び、ロール名を付け「複製」、複製されたロールの右側「…」から「編集」を押し、権限の編集をするような形になります。
※ロール名を付けない場合は「Clone 元のロール名」（例：Clone Tenant Admin）となります。

ロールの割り当て

管理者へのロールの割り当ては、Settings > Administration > Administrators & Roles のページの「Administrators」のタブから「Invite>Local Account」、もしくは既に登録済みの管理者の右側「…」からEditを選び設定を開き、Role部分で割り当てたいロールを指定し、「Done」で割り当てが完了します。

ロールカスタマイズの例

いくつかのユースケースに合わせてカスタマイズロールの設定例をご紹介します。

①特定機能の閲覧のみ可能にしたい場合

特定の業務を行う管理者向けに閲覧可能なNetskopeコンソール画面を制限したいといった場合などのユースケースになります。

以下はログ監視・確認のみを行う管理者へログ関連のコンソールのみを見せたいといった場合などを想定した設定例です。

Settings > Administration > Administrators & Rolesのページの「Role」のタブから「新規/New」から新規ロール作成画面を開き、任意のロール名を入力し、「Events and Analytics」のみにチェックを入れ保存します。

実際にこのロールが割り当てられた管理者でNetskopeコンソールへログインすると、Skope IT、Report、Advanced Analytics、DEM（Digital Experience Management）のみ閲覧可、その他画面はNone（表示されない形）になります。

上記は少し極端な例になるかもしれませんが、この設定をベースに見せるページを少しずつ必要に応じてカスタマイズしていくことで、最小権限の原則として管理者への必要に応じた権限付与が可能になります。

②特定のユーザー・グループのログのみ閲覧可能にしたい場合

続いて、Tenant Adminのような権限は与えるものの閲覧や操作が可能なユーザーを制限したい場合の設定例です。

1テナントで協力会社や子会社など複数の組織、グループ、拠点管理している場合などで、管理者ごとに権限を分けたい場合などが想定されます。

①同様にロールの作成画面（もしくは既存ロールの編集画面）を開き、Function/Permission/Scopeなどの表になっている部分までスクロールしますと、各機能毎に細かい権限指定が可能な設定箇所に移りますので、Function列がSkope ITと表示されている行まで進み、Scopeと表示されている部分をクリックします。

そうしますと、Scope対象を指定できるページが開きますので、作成ロールにて閲覧可とさせたいユーザーやユーザーグループ・OUを指定します。

保存（Save）を押して、ロールの設定を保存します。

Scopeの設定はSkope ITのFunction項目どれか１つでもScopeの設定を行えば、他のFunction項目のScopeも同じスコープが自動的に指定されます。
例：Skope IT > Alerts項目のScopeでグループAを指定した場合、Skope IT > Network EventsやReal-time Protection > Web PolicyなどのScopeもグループAが自動的に選択されます。

[補足]
Scopeの指定を行う際は以下の画像のように一度Roleを保存したうえで、Scope指定をするようにポップアップが出る場合がありますので、その場合は指示に従い、一度作成中のロールを保存したうえでScope指定を行ってください。

作成したロールが割り振られた管理者でNetskopeテナントへログインしますと、Skope ITで閲覧できるログは指定したユーザーやグループに含まれるユーザーのみが閲覧可能な状態となります。

また、Real-time Protection Policyページでポリシー作成する際も、ポリシー対象とするSourceで指定できるユーザー・グループはScopeで指定したユーザー・グループのみが選択肢として表示され、選択できる形となります。

さいごに

今回のブログではNetskopeのAdmin Role設定を紹介させていただきました。
本ブログでご紹介したように、NetskopeのAdmin Role設定を活用することで、管理者ごとに必要な権限だけを付与し、運用に合わせた柔軟な管理が可能になります。ぜひ皆様のNetskopeテナントでもロール設定を見直し、より安全で効率的な運用にお役立てください。