Skip to content

ロールと権限

GuardMDM には、組織内でユーザーが表示・操作できる内容を制御する、3つの組み込みロールが用意されています。

ロールの概要

ロールアクセスレベル主な機能
Ownerフル課金管理、組織の削除、ユーザーの招待・削除、ロール変更、すべての Admin 権限
Admin書き込みデバイス、グループ、ブループリントの管理、ユーザーの招待、組織設定の編集
Read Only表示デバイス、グループ、ブループリント、設定の閲覧 — 作成、編集、削除は不可

Owner

Owner は無制限のアクセス権を持ちます。以下の操作は Owner のみが実行できます。

  • 他のユーザーのロールを変更する(他のユーザーを Owner に昇格させることを含む)
  • 組織を削除する
  • 課金とサブスクリプションを管理する
  • 任意のユーザーを削除する(他の Owner および Superadmin を除く)

組織内には常に少なくとも 1 人の Owner が存在する必要があります。

Admin

Admin は日常的な管理業務を担当します。

  • デバイスの登録、登録解除、ワイプ
  • デバイスグループの作成と編集
  • ブループリントの作成と編集
  • 組織への新規ユーザーの招待
  • 組織の表示名と設定の編集

Admin は課金管理、組織の削除、ユーザーロールの変更はできません。

Read Only

Read Only ユーザーはすべてを閲覧できますが、何も変更することはできません。このロールは、監査担当者、デバイスステータスの確認のみが必要なサポートスタッフ、または誤操作のリスクなしに可視性を求めるステークホルダーに適しています。

ユーザーのロール変更

  1. 設定 > ユーザー に移動します。
  2. リストからユーザーを見つけます。
  3. ユーザー名の横にあるロールドロップダウンをクリックします。
  4. 新しいロールを選択します。
  5. 変更は即座に反映されます — 確認ダイアログは表示されません。

ロールを変更できるのは Owner ロールを持つユーザーのみです。

ロールの保護

特定のユーザーは削除やロールの降格から保護されています。

  • Owner: Owner は他の Owner によって削除または降格されることはありません。所有権を移譲するには、現在の Owner が別のユーザーを Owner に昇格させた後、元の Owner を削除できます。
  • Superadmin: システムレベルの Superadmin(ユーザー一覧に表示されます)は、組織レベルのユーザーによって削除されたりロールを変更されたりすることはありません。Superadmin は組織外で管理されます。

保護されたユーザーを削除または降格しようとすると、エラーメッセージが表示されます。

ロールが UI に与える影響

UI はユーザーのロールに応じて適応します。

  • Read Only ユーザーはすべてのページを表示できますが、編集・削除ボタン、アクションメニュー、インライン編集コントロールは非表示になります。フォームは読み取り専用ビューとして表示されます。
  • Admin ユーザーは、課金およびユーザー管理操作を除くすべてのコントロールを表示できます。
  • Owner ユーザーはすべてを表示できます。

このロールベースの UI 非表示はサーバー側でも強制されており、API は適切なロールを持たないユーザーからの書き込みリクエストを拒否するため、クライアント側での非表示は利便性のためであり、セキュリティ境界ではありません。

MIT ライセンスの下で公開