Cisco Meraki Japan

アカウントをお持ちの場合

  •   パーソナライズされたコンテンツ
  •   製品とサポート

アカウントをお持ちでない場合

アカウントを作成

ダッシュボードの管理者と権限の管理

この記事では、ダッシュボード内の各権限レベルと、管理者ユーザの管理方法について説明します。管理者ユーザとは、ダッシュボードにログインし、Cisco Meraki ネッ トワーク/デバイスを表示/管理できるアクセス権のあるユーザです。クライアント VPN またはワイヤレス ネットワークに参加できるアクセス権のあるユーザの管理方法については、Meraki 認証を使用したユーザ アカウントの管理 に関する記事を参照してください。

まとめ

ダッシュボード管理者は、オーガナイゼーション管理者とネットワーク管理者の 2 種類に分かれます。

  • オーガナイゼーション管理者は、オーガナイゼーションとネットワークすべてに対する完全なアクセス権を持っています。この種のアカウントはルートまたはドメイ ン管理者と同等なため、割り当てた後は慎重に管理することが重要です。これらのアカウントに関するベスト プラクティスについては、下記 を参照してください。
  • ネットワーク管理者は、個々のネットワークとそのデバイスに対するアクセス権を持ちます。ネットワーク設定に対する完全な(または限定された)管理権限を持ち ますが、オーガナイゼーションレベルの情報(ライセンスやデバイス インベントリなど)に対するアクセス権は持ちません。

ほとんどのダッシュボード管理者は、上記 2 種類のどちらかに分類されます。この記事の後半では、各タイプの管理者が利用できるオプションと制限について詳しく説明 します。

オーガナイゼーション権限タイプ

読み取り専用:ネットワークとオーガナイゼーション全体の設定をほぼすべて表示できますが、変更を加えることはできません。

フル:すべてのネットワークとオーガナイゼーション全体の設定に対する完全な管理アクセス権を持ちます。これは最高レベルのアクセス権です。

 

ネットワーク権限タイプ

ゲスト アンバサダー:Meraki 認証ユーザのリストの参照、ユーザの追加、既存ユーザの更新、および AP/クライアント VPN 上のユーザの承認/承認解除のみ行えます。す べてのネットワークに対するアンバサダー ユーザは、ワイヤレス ユーザを削除することもできます。

アンバサダー ユーザにはユーザ管理ポータルのみ表示されます。

モニタ専用:ダッシュボードの [モニタ(Monitor)] セクションのサブセットを表示できますが、変更を加えることはできません。

読み取り専用:[設定(Configure)] セクションを含む大部分のネットワークを表示できますが、変更を加えることはできません。

フル:ネットワーク全体を表示・変更できます。

 

オーガナイゼーション権限の管理

ダッシュボードオーガナイゼーションに対するすべての権限は、[オーガナイゼーション(Organization)] > [管理者(Administrators)] で管理できますが、このペ ージは「フル」または「読み取り専用」のオーガナイゼーションアクセス権のあるユーザにしか表示されません。このページで変更できるのは、「フル」のオーガナイゼーシ ョンアクセス権のあるユーザに限られます。

オーガナイゼーション管理者の追加

[オーガナイゼーション(Organization)] > [管理者(Administrators)] の下

  1. ページの右側にある [管理者の追加(Add admin)] をクリックします。

     
  2. ログイン時に使用する管理者の [名前(Name)] と [電子メール(Email)] を入力します。
  3. オーガナイゼーション権限タイプの項で定義したように、オーガナイゼーションアクセスのレベルを選択します。
  4. [管理者の作成(Create admin)] をクリックします。

     
  5. 一時パスワードを使用して入力された電子メール アドレスに、ユーザがログインする方法を示す電子メールが送信されます。
  6. [変更を保存(Save Changes)] をクリックします。

オーガナイゼーション全体のアクセスの変更/削除

[オーガナイゼーション(Organization)]  [管理者(Administrators)] の下

  1. 対象の管理者の行をクリックします。

     
  2. [オーガナイゼーションアクセス(Organization Access)] を [なし(None)] または必要な特権レベルに変更します。
    edace3ca-1152-4ea9-9daf-fa62a558b333
     
  3. [管理者の更新(Update admin)] をクリックします。

     
  4. [変更を保存(Save Changes)] をクリックします。

注:管理者が他のネットワーク固有のアクセス権を持っておらず、[オーガナイゼーションアクセス(Organization Access)] が [なし(None)] に設定される場合は 、管理者のリストから削除されます。

オーガナイゼーション管理者の削除

[オーガナイゼーション(Organization)]  [管理者(Administrators)] の下

  1. 管理者の名前の横にあるチェックボックスをオンにします。

     
  2. [削除(Delete)] をクリックします。

     
  3. [変更を保存(Save Changes)] をクリックします。

オーガナイゼーション管理者に関するポリ シーとベスト プラクティス

シスコのポリシー規定により、Cisco Meraki のサポート チームがお客様の代わりにダッシュボードの設定を変更することはできません。ダッシュボード管理者は、Meraki ダッシュボード上で独自の設定を構成し、アカウントを 変更する必要があります。また、Cisco Meraki のサポート チームはオーガナイゼーション権限やネットワーク権限も変更できません。ダッシュボード管理に対するすべての 変更は、ダッシュボード アカウントを担当するオーガナイゼーション管理者が行う必要があります。詳細については、エンド カスタマー契約の第 1.4 項を参照してください。

このポリシーは、悪意のあるユーザからネットワーク所有者を保護するためのものです。そのため、オーガナイゼーション管理者を決定する際は、ダッシュボー ド ネットワークのセキュリティを維持できるようベスト プラクティスに従うことを強くお勧めします。

  • オーガナイゼーション管理者にはダッシュボードオーガナイゼーションの最高レベルの制御権が与えられるため、慎重に選択してください。

    • アカウントのオーガナイゼーション管理者には、Cisco Meraki ハードウェアとライセンスのアクティブな所有者以外を指定しないでください。

  • オーガナイゼーション管理者のユーザ名/電子メール アドレスが自分の管理下のドメインに関連付けられていることを確認します。
    • アカウントを回復する際に、以前のオーガナイゼーション管理者との関係を切り離すときに役立ちます。
    • オーガナイゼーション管理者の電子メール エイリアスの制御を許可します。
  • 二要素認証を使用して、バックアップ認証キーを安全な場所に保管します。
    • たとえば、Google 認証システム をダッシュボ ードの二要素認証ソリューションとして使用できます。
  • 場合によっては、コンサルタントに制限付きアクセス権を付与する必要が生じます。
    • 技術的な設定変更が必要な場合は、ネットワーク管理者として一時的なアクセス権を付与するのが最善策です。
    • コンサルタントにオーガナイゼーション管理者権限を付与する必要がある場合は、必要な変更の実装後、すべてのオーガナイゼーション管理者権限を取り消すよ うにしてください。ハードウェア/ライセンスの所有者以外はオーガナイゼーション管理者に指定しないのが最善です。
  • 現在のオーガナイゼーション管理者が退職する場合は、退職プロセスの早い段階で彼らのアカウント権限を取り消すか、または再度割り当てることを強くお勧めしま す。
  • ダッシュボードオーガナイゼーション管理者は、Active Directory のドメイン管理者やドメイン名登録の主な担当者と同様に扱ってください。他のユーザを管理者に 昇格できるのは管理者ユーザだけです。

ネットワーク権限の管理

オーガナイゼーションレベルで付与された特権は、オーガナイゼーション内のすべてのネットワークに適用されます。[オーガナイゼーション(Organization)] > [管 理者(Administrators)] ページからのみ管理できます。特定のネットワークの権限は 2 か所で管理できます。[オーガナイゼーション(Organization)] > [管理者 (Administrators)] の下または [設定(Configure)] > [アラートと管理/ネットワーク全体の設定(Alerts & administration/Network-wide settings)] の下。

ネットワーク管理者の追加

[オーガナイゼーション(Organization)]> [管理者(Administrators)] の下

  1. [管理者の追加(Add admin)] をクリックします。

     
  2. ログイン時に使用する管理者の [名前(Name)] と [電子メール(Email)] を入力します。
    fd2efd58-da0f-4cc4-b028-7ca55a4ea4a6
     
  3. (オプション)オーガナイゼーション権限タイプの項で定義したように、オーガナイゼーションアクセスのレベルを選択します。 
    edace3ca-1152-4ea9-9daf-fa62a558b333
     
  4. [アクセス特権の追加(Add access privileges)] をクリックします。

     
  5. [ターゲット(Target)] フィールドで、アクセスを許可するネットワークを選択します。
    f84a2ffa-e141-4a98-b540-539f83643019
     
  6. ネットワーク権限タイプの項で定義したように、付与する特権のレベルを [アクセス(Access)] フィールドで選択します。
    858dcc49-059e-402a-b23b-478835df8a80
     
  7. [管理者の作成(Create admin)] をクリックします。

     
  8. [変更を保存(Save Changes)] をクリックします。
  9. 一時パスワードを使用して入力された電子メール アドレスに、ユーザがログインする方法を示す電子メールが送信されます。

 

[設定(Configure)] > [アラートと管理/ネットワーク全体の設定(Alerts & administration/Network-wide settings)] の下

  1. [既存のユーザの追加(Add an existing user)] でユーザを選択するか、[ユーザの新規作成(Create new user)] をクリックします。

     
  2. [ユーザの新規作成(Create new user)] を使用する場合は、ログイン時に使用する管理者の [名前(Name)] と [電子メール(Email)] を入力します。
  3. [ユーザの作成(Create user)] をクリックします。

     
  4. メッセージが、ユーザがすでに存在していることを示している場合は、[既存のユーザの追加(Add an existing user)] フィールドを使用して電子メール アドレス を検索します。
    d33937e2-fe77-45a0-8397-747ab9d1d588
     
  5. ネットワーク権限タイプで定義したように、新しいユーザの [特権(Privileges)] の下で、付与するネットワーク アクセスのレベルを選択します。

     
  6. [変更を保存(Save Changes)] をクリックします。

ネットワーク アクセスの変更

[オーガナイゼーション(Organization)]> [管理者(Administrators)] の下

  1. 対象の管理者の行をクリックします。

     
  2. ターゲット ネットワークの行で、[アクセス(Access)] を必要なレベルに変更します。
    858dcc49-059e-402a-b23b-478835df8a80
     
  3. [管理者の更新(Update admin)] をクリックします。

     
  4. [変更を保存(Save Changes)] をクリックします。

 

[設定(Configure)] > [アラートと管理/ネットワーク全体の設定(Alerts & administration/Network-wide settings)] の下

  1. 管理者ユーザの [特権(Privilege)] ドロップダウンを必要なレベルに更新します。

     
  2. [変更を保存(Save Changes)] をクリックします。

ネットワーク アクセスの削除

[オーガナイゼーション(Organization)]> [管理者(Administrators)] の下

  1. 対象の管理者の行をクリックします。

     
  2. ターゲット ネットワークの行の [X] をクリックします。
  3. [管理者の更新(Update admin)] をクリックします。
  4. [変更を保存(Save Changes)] をクリックします。

[設定(Configure)] > [アラートと管理/ネットワーク全体の設定(Alerts & administration/Network-wide settings)] の下

 

  1. 対象の管理者ユーザの行の [X] をクリックします。
  2. [変更を保存(Save Changes)] をクリックします。

注:Meraki 認証を使用している場合は、権限が付与されていなくても、現在の管理者ユーザと過去の管理者ユーザが [設定(Configure)] > [ユーザ(Users)] リストに表示されます。ユーザは、SSID/VPN に対して承認されているか、またはダッシュボード権限が付与されている場合を除き、このリスト 内に表示されたとしてもアクセスはできません。

ネットワーク タグによる権限

特定のネットワーク タグに関する権限をユーザに付与することで、複数のネットワークを使用しているオーガナイゼーションでネットワーク レベルの権限の割り当てを簡略化できます。この権限は、そのタグが付けられたオーガナイゼーション内のネットワークすべてに適用されます。この変更は、フルオーガ ナイゼーションアクセス権を持っているユーザだけが行えます。

 

 

該当するネットワークにタグを付けることから始めます。

 

  1. [オーガナイゼーション(Organization)] > [概要(Overview)] に移動します。
  2. 必要なネットワークの横にあるチェックボックスをオンにします。

     
  3. [タグ(Tag)] をクリックします。

     
  4. [追加(Add)] フィールドで、必要なタグを選択または入力します。
    1. 新しいタグを追加するには、スペースを含まない 1 つの単語として新しいタグの名前を入力します(たとえば、""newtag" または "new_tag" と入力します)。
    2. その後で、必要なタグの名前の横にある [追加(Add)] オプションをクリックします。

       
  5. タグが [追加(Add)] フィールドにバブルとして表示されたら、[追加(Add)] ボタンをクリックします。

     

その後、タグに基づいてネットワークに権限を付与します。

  1. [オーガナイゼーション(Organization)] > [管理者(Administrators)] に移動します。
  2. 対象の管理者の行をクリックします。

     
  3. [アクセス特権の追加(Add access privileges)] をクリックします。

     
  4. [ターゲット(Target)] の下で、Tag で始まり、以前適用されていたタグの名前を含むエントリを選択します。

     
  5. [アクセス(Access)] の下で、このタグ付きネットワークに対して管理者に割り当てる権限を指定します。
    858dcc49-059e-402a-b23b-478835df8a80
     
  6. [管理者の更新(Update admin)] をクリックします。

     
  7. [変更の保存(Save Changes)] をクリックします。

スイッチ ポート管理特権

権限は、スイ ッチ ポート レベルで割り当てることもできます。この場合は、下位の技術者や外部の請負業者がネットワークに基本的な変更を加えることができます。これは、個 別のスイッチ ポートにタグを付け、タグのポート管理特権を作成してから、その特権を管理者に付与することによって実現します。

ポート タグの追加

  1. [設定(Configure)] > [スイッチポート(Switch Ports)] に移動します。

     
  2. タグを付けるスイッチ ポートの横にあるチェックボックスをオンにします。

     
  3. [タグ(Tag)] をクリックします。

     
  4. [追加(Add)] ボックスで、既存のタグを選択するか、


    名前を入力して、[追加(Add)] オプションをクリックすることにより、新しいタグを作成します。
    注:タグにスペースを含めることはできません。

     
  5. 必要なタグがバブルとしてボックスに表示されたら、[追加(Add)] をクリックします。

     
  6. これで、選択したポートに必要なタグが付けられます。
    注:場合によっては、ヘッダー列の右側にある [+] ボタンを使用して、[タグ(Tags)] 列をテーブルに追加する必要が生じます。
    33f038d0-c154-4c56-b3aa-3f319d902b64

ポート タグの削除

  1. [設定(Configure)] > [スイッチポート(Switch Ports)] に移動します。

     
  2. タグを付けるスイッチ ポートの横にあるチェックボックスをオンにします。

     
  3. [タグ(Tag)] をクリックします。

     
  4. [削除(Remove)] ボックスで、削除する既存のタグを選択します。  

     
  5. 必要なタグがバブルとしてボックスに表示されたら、[削除(Remove)] をクリックします。

ポート管理特権の作成

 

  1. 結合されたネットワークの場合は、[ネットワーク全体(Network-wide)] > [管理(Administration)] に移動します。
    Screen Shot 2019-06-10 at 3.38.25 PM.png
     
  2. 結合されていないネットワークの場合は、[ネットワーク全体(Network-wide)] > [全般(General)]に移動します。
    Screen Shot 2019-06-10 at 3.38.25 PM.png
     
  3. [ポート管理特権(Port management privileges)] の下で、[ポート管理特権の追加(Add a port management privilege)] をクリックします。

     
  4. 特権の目的を説明した [特権名(Privilege name)] を入力します。
    cc625ede-c980-409f-a41d-5e93412b3497
     
  5. 特権がアクセスを提供する [ポート タグ(Port tags)] を選択します。

     
  6. これらのポートで [パケットキャプチャ(Packet capture)] を許可するかどうかを選択します。
    b3bc3cc6-11ea-48e3-9216-f0b48f0b74a8
     
  7. [変更を保存(Save changes)] をクリックします。

ポート管理特権の削除

  1. [設定(Configure)] > [アラートと管理(Alerts & administration)] に移動します。

     
  2. [ポート管理特権(Port management privileges)] の下で、特権を削除する [アクション(Actions)] 列の [X] をクリックします。

     
  3. [変更を保存(Save changes)] をクリックします。

ポート管理特権の割り当て  

ポート管理特権はネットワーク管理者に割り当てられます。前述のネットワーク権限の管理の項で説明した他の特権と同じです。  必要な管理者の [特権(Privilege)] ド ロップダウンから以前作成した特権を選択するだけです。

e2dc4452-9d83-45e2-8994-174625515e58

管理者アカウントのロック解除

ダッシュボードオーガナイゼーションの [オーガナイゼーション(Organization)] > [設定(Configure)] > [設定(Settings)] > [セキュリティ(Security )] で [アカウントロックアウト(Account lockout)] オプションを有効にすると、アカウントのロックアウト ポリシーを設定できます。

 

認証に続けて失敗し管理者アカウントがロックされた場合は、フル ネットワーク権限を持っている別のユーザ(ネットワーク管理者)またはフルオーガナイゼーション権 限を持っている別のユーザがロックを解除できます。アカウントをロック解除するユーザは、それ以上の権限を持っている必要があります(たとえば、ネットワーク専門管理 者はオーガナイゼーション専門管理者のアカウントをロック解除できません)。

 

オーガナイゼーション権限を持っている管理者ユーザの場合:

  1. [オーガナイゼーション(Organization)] > [管理者(Administrators)] に移動します。
  2. アカウントがロックされている管理者の横にあるチェックボックスをオンにします。

     
  3. [ロック解除(Unlock)] をクリックします。

     

ネットワーク権限を持っている管理者ユーザの場合:

  1. [設定(Configure)] > [アラートと管理/ネットワーク全体の設定(Alerts & administration/Network-wide settings)] に移動します。
  2. アカウントがロックされている管理者の横にある [ロック解除(Unlock)] ボタンをクリックします。

管理者ユーザのパスワードのリセット

管理者ユーザのパスワードをリセットするには:

  1. 右上にある [ログアウト(sign out)] をクリックして、ダッシュボードからログアウトします。
  2. https://account.meraki.com/login/reset_password にアクセスします。
  3. リセットする管理者アカウントの電子メール アドレスを入力します。
  4. [送信(Submit)] をクリックします。

パスワードのリセット方法の詳細が記載された電子メールが送信されます。

特権の優先順位

ダッシュボードのアクセス権には下位互換性があるため、複数の権限を持つユーザにはその中で最高のアクセス権限が付与されます。そのため、オーガナイゼーションレベ ルでは読み取り専用の管理者でも、特定のネットワークに対してフル権限があれば、そのネットワークに対するフル権限を持つことになります。

 

このことは、タグでも同様に適用されます。あるユーザが別々のタグに基づいてネットワークに対する読み取り専用アクセス権とフル アクセス権を持っている場合は、フル アクセス権が付与されます。