Upgrade to Pro — share decks privately, control downloads, hide ads and more …

cybozu.comの共通管理:ビジネス系本部共同研修2024

Cybozu
October 09, 2024

 cybozu.comの共通管理:ビジネス系本部共同研修2024

サイボウズで2024年に実施したビジネス系本部共同研修の資料です。
テーマは「cybozu.comの共通管理」です。

ビジネス系本部共同研修の詳細は、サイボウズ採用サイトのページをご覧ください。
https://cybozu.co.jp/recruit/workplace/business-onboarding/

Cybozu

October 09, 2024
Tweet

More Decks by Cybozu

Other Decks in Business

Transcript

  1. アジェンダ ▌自己紹介 ▌cybozu.com共通管理とは ⚫ 概要とアクセス方法 ⚫ 管理者の種類 ▌cybozu.com共通管理で設定できること ⚫ ユーザー管理

    ⚫ システム管理 ▌よくある質問 サイボウズのクラウドサービス ①誰がどのようにアクセスするのか ②どんなことが設定できるのか(概要) を理解しましょう!
  2. cybozu.com共通管理とは 概要とアクセス方法 ▌概要 誰が:cybozu.com共通管理者が 何を:①ユーザーや組織情報を管理する ②セキュリティなどの共通設定を行う ▌アクセス方法 ⚫ cybozu.com共通管理者のみアクセス可能 ⚫

    ログイン後の「サービス」欄または各製品右上の歯車からアクセス サイボウズのクラウドサービス サイボウズクラウド製品の共通設定をする場所(基盤)です。
  3. cybozu.com共通管理とは 管理者の種類 ▌サイボウズドットコム ストア管理者 ⚫ cybozu.comの契約や、cybozu.comへのアクセス制限の設定などをする管理者 ▌cybozu.com共通管理者(★今回) ⚫ cybozu.com共通管理画面で、ユーザー管理とシステム管理を行う管理者 ⚫

    ストア管理者により権限が付与されていれば、契約やアクセス制限の設定なども可能 ▌Administrator ⚫ 利用環境を作成した際に自動的に登録されるユーザー ⚫ パッケージ版製品からデータ移行する際にのみ使用(※ユーザーとしては利用しない) ▌組織の管理者(kintone と Garoon のみ) ⚫ 特定の組織内で、ユーザーと組織に関する管理を行うユーザー ▌システム管理者(各製品) ⚫ cybozu.com 各サービス(Groon/Office/kintone/MailWise)のシステム管理者
  4. ユーザー管理 1. 組織/ユーザー 2. サービスの利用ユーザー 3. 役職 4. グループ(ロール) 5.

    一括操作 6. 管理者の設定 7. 組織の事前設定 8. 組織間のアクセス権 9. プロビジョニング
  5. ユーザー管理 3. 役職 ▌役職の枠を設定 → 各ユーザーの役職を設定 ▌役職は次の用途に利用 ⚫ プロフィールへの反映 ⚫

    役職を条件に「グループ(ロール)」が設定可能 ex)部長グループ(”役職” = “部長”) ▌kintone、Garoon にのみ適用 ※ Office、メールワイズでは反映されない
  6. ユーザー管理 4. グループ(ロール) ▌グループ(ロール)とは 組織とは別に、役職や役割などで分類したユーザーのまとまり 組織が縦割りなら、グループ(ロール)は横割りのイメージ ex. 新規開発プロジェクトグループ / 部長(役職)グループ

    ▌グループの種類 ⚫ 静的グループ:所属ユーザーを固定で設定 ⚫ 動的グループ:所属ユーザーを役職や組織の条件で指定 →所属ユーザーは役職や組織の変更に応じる ▌Office、メールワイズでは反映されない Garoonやkintoneでは、グループ(ロール)に対して アクセス権の設定やコメント・通知の宛先などに利用可能
  7. ユーザー管理 7. 組織の事前設定 ▌ユーザーや組織が大きく変更となる場合に前もって変更予定のデータを準備できる機能 ⚫ 運用中の組織/役職/ユーザーの状態の複製による、新しい組織構成の準備 ⚫ 新しい組織構成の即時反映や、日時を指定した反映 運用環境に反映していない事前設定が存在すると以下操作が不可 ⚫

    運用中の組織と役職に対する追加、変更、削除、表示順の変更 ※ ファイルやAPIを用いた場合も同様 ⚫ サイボウズのパッケージ製品からのデータ移行 ⇒事前設定の反映or削除後、運用中の組織と役職を編集できるようになる サイボウズのクラウドサービス 組織構成の変更や人事異動などの際に、組織や所属ユーザーの変更を 事前に予約しておくことができます。ユーザーの追加や削除はできません。
  8. 補足:9. プロビジョニング ▌Azure Active Directory や Oktaなどの Identity Provider(IdP)を用いて cybozu.comのユーザー情報を管理する機能

    ※ IdP = クラウドサービスなどにアクセスするユーザーの認証情報を保存・管理するサービスのこと ⇒ IdPで管理しているユーザー情報とcybozu.comのユーザー情報とを連動させることができる ▌できること ⚫ ユーザーの作成、更新、削除、使用状態の停止 / 再開 ⚫ cybozu.comに存在するユーザーをIdPに存在するユーザーと同期 ・IdP側がcybozu.comとのプロビジョニングに対応している必要あり ・同期できる項目は連携させるIdPの仕様による ・プロビジョニング機能を有効にした場合、cybozu.com上でユーザーのログイン名編集不可
  9. システム管理 1. セキュリティ(ログイン/アクセス制限) 2. 監査ログ 3. 外部連携 4. システムメール 5.

    クライアント証明書 6. ロケール 7. パッケージ版からの移行 8. カスタマイズ(ロゴ/ログインページ)
  10. ▌パスワードポリシー ⚫ ユーザーパスワードの最小文字数:3~15文字 ⚫ 管理者パスワードの最小文字数:3~15文字 ⚫ 複雑さ:アルファベット、数字、記号 ⚫ ログイン名と同じパスワード:ログイン名と同じパスワードを許可する ⚫

    有効期間:30日間~1年間/無制限 ⚫ パスワード再利用の制限回数:1回前~15回前 ⚫ パスワードの変更:変更をユーザーに許可する ⚫ パスワードの変更要求:管理者が設定した仮パスワードの変更を要求する ⚫ パスワードのリセット:リセットをユーザーに許可する システム管理 1. セキュリティ – ログイン 2要素認証やIPアドレス制限などのアクセス制限と 併用することでセキュリティ性を高められる◎
  11. ▌ログインの簡略化 ⚫ ログイン名の入力 ログイン名の入力の自動補完を有効にする機能 漏洩防止のため外部アクセスの制限との併用推奨 ⚫ ログイン名とパスワードの保存 入力したログイン名とパスワードのWebブラウザーへの保存を許可する機能 Webブラウザーの設定が優先される場合もあり ⚫

    自動ログイン 自動ログインを有効にする機能。1日、1週間、1か月で有効期間も設定可能 有効化するとWebブラウザーを閉じても期間内はログインが維持される ⚫ ログインセッション cybozu.comへの最後のアクセスからログアウトするまでの期間を設定可能 無操作で有効期間を経過するとログアウトする システム管理 1. セキュリティ – ログイン
  12. ▌アカウントロックアウト ⚫ アカウントロックアウトまでのログイン失敗回数(3 ~ 10回) ユーザーのログイン失敗回数の上限を設定 ログインに成功 or PW変更でリセットされる ※

    2要素認証有効時の確認コード入力ミスもカウントされる ⚫ アカウントロックアウト解除までの時間 3分、15分、30分、60分/解除しない ▌その他 ⚫ ログイン失敗時のメッセージ ⚫ SAML認証 ⚫ 2要素認証:2020/7 機能追加 ログイン名/パスワード + スマホ認証アプリの確認コード でログイン ⚫ API利用時の認証 システム管理 1. セキュリティ – ログイン
  13. システム管理 3. 外部連携 - OAuth ▌高度な連携(kintone/Garoonのみ) ⚫ OAuthクライアントを追加して、外部サービスから cybozu.com への

    APIリクエストを承認 ⚫ 認証にはOAuthを使用し、連携するサービスにkintone/Garoonの ログイン情報を使用せずセキュアに連携可能 ※ OAuth = 権限の認可を行う規格
  14. ▌外部サイトへの埋め込み cybozu.comの各サービスのコンテンツを外部サイトに 埋め込んで表示する場合に許可 ※ セキュリティ上のリスク(クリックジャッキング/クロスサイトリクエストフォージェリ)が 生じるため、初期設定では許可されていない ▌カレンダーサービスとの連携(Officeのみ) スケジュールをiCalender形式に対応したカレンダーサービスに 同期する場合に許可 ▌Referrer-Policy(Garoon/kintoneのみ)

    外部サービスとcybozu.comを連携させる際に、リファラーが必要な場合に設定 ※ リファラー:Webページのリンクをクリックして別のページに移動したときの、リンク元のページのこと ▌Webhook(kintoneのみ) Webhookの送信を許可する場合に設定 システム管理 3. 外部連携 – その他の設定
  15. ▌運用にあわせてタイムゾーンと言語の初期値を設定可能 ※ ユーザー自身で自分にあったタイムゾーンや言語に変更できる ※ Office/MailWiseではタイムゾーンの設定利用不可、表示言語は日本語のみ ▌タイムゾーン ⚫ 初期値:(UTC+09:00) 大阪、札幌、東京 ⚫

    適用箇所:監査ログ、ユーザーの追加画面のタイムゾーンの初期値 など ▌言語 ⚫ 初期値:日本語 ⚫ 設定値:日中英スペイン4か国語 ⚫ 適用箇所:監査ログやユーザー追加/PWリセットのメール通知 など システム管理 6. ロケール