ロールと権限
GuardMDM には、組織内でユーザーが表示・操作できる内容を制御する、3つの組み込みロールが用意されています。
ロールの概要
| ロール | アクセスレベル | 主な機能 |
|---|---|---|
| Owner | フル | 課金管理、組織の削除、ユーザーの招待・削除、ロール変更、すべての Admin 権限 |
| Admin | 書き込み | デバイス、グループ、ブループリントの管理、ユーザーの招待、組織設定の編集 |
| Read Only | 表示 | デバイス、グループ、ブループリント、設定の閲覧 — 作成、編集、削除は不可 |
Owner
Owner は無制限のアクセス権を持ちます。以下の操作は Owner のみが実行できます。
- 他のユーザーのロールを変更する(他のユーザーを Owner に昇格させることを含む)
- 組織を削除する
- 課金とサブスクリプションを管理する
- 任意のユーザーを削除する(他の Owner および Superadmin を除く)
組織内には常に少なくとも 1 人の Owner が存在する必要があります。
Admin
Admin は日常的な管理業務を担当します。
- デバイスの登録、登録解除、ワイプ
- デバイスグループの作成と編集
- ブループリントの作成と編集
- 組織への新規ユーザーの招待
- 組織の表示名と設定の編集
Admin は課金管理、組織の削除、ユーザーロールの変更はできません。
Read Only
Read Only ユーザーはすべてを閲覧できますが、何も変更することはできません。このロールは、監査担当者、デバイスステータスの確認のみが必要なサポートスタッフ、または誤操作のリスクなしに可視性を求めるステークホルダーに適しています。
ユーザーのロール変更
- 設定 > ユーザー に移動します。
- リストからユーザーを見つけます。
- ユーザー名の横にあるロールドロップダウンをクリックします。
- 新しいロールを選択します。
- 変更は即座に反映されます — 確認ダイアログは表示されません。
ロールを変更できるのは Owner ロールを持つユーザーのみです。
ロールの保護
特定のユーザーは削除やロールの降格から保護されています。
- Owner: Owner は他の Owner によって削除または降格されることはありません。所有権を移譲するには、現在の Owner が別のユーザーを Owner に昇格させた後、元の Owner を削除できます。
- Superadmin: システムレベルの Superadmin(ユーザー一覧に表示されます)は、組織レベルのユーザーによって削除されたりロールを変更されたりすることはありません。Superadmin は組織外で管理されます。
保護されたユーザーを削除または降格しようとすると、エラーメッセージが表示されます。
ロールが UI に与える影響
UI はユーザーのロールに応じて適応します。
- Read Only ユーザーはすべてのページを表示できますが、編集・削除ボタン、アクションメニュー、インライン編集コントロールは非表示になります。フォームは読み取り専用ビューとして表示されます。
- Admin ユーザーは、課金およびユーザー管理操作を除くすべてのコントロールを表示できます。
- Owner ユーザーはすべてを表示できます。
このロールベースの UI 非表示はサーバー側でも強制されており、API は適切なロールを持たないユーザーからの書き込みリクエストを拒否するため、クライアント側での非表示は利便性のためであり、セキュリティ境界ではありません。
