マルチテナント組織
マルチテナンシーとは
マルチテナンシーは、GuardMDM の単一インスタンスが複数の独立した組織(テナント)にサービスを提供するアーキテクチャです。各テナントは同一システム内で完全に分離されたエンティティとして動作し、以下を独自に持ちます:
- デバイス
- デバイスグループ
- ブループリント(構成プロファイル)
- ユーザーと管理者
- 設定とポリシー
これにより、単一の GuardMDM デプロイメントで MSP(マネージドサービスプロバイダー)、複数の事業部門を持つ企業、または組織を分離して管理する必要があるあらゆるシナリオに対応できます。
テナントごとのデバイス制限
各テナントには設定可能なデバイス制限があります。テナントがデバイス上限に達すると、既存のデバイスが削除されるか制限が引き上げられるまで、新しいデバイスを登録できません。これは以下の場合に役立ちます:
- SaaS モデルでのサブスクリプション層の適用
- 事業部門間のリソース使用量の制御
- 誤った過剰登録の防止
デバイス制限はスーパー管理者が設定し、テナントごとに調整できます。
テナントの分離
テナント間のデータは完全に分離されています。テナント A のユーザーやデバイスは、テナント B に属するデータにアクセスできません。この分離は以下を対象とします:
- デバイスデータ — インベントリ、ステータス、位置情報、コマンド
- 構成プロファイル — ブループリント、カスタム XML、設定
- ユーザーアカウント — 管理者ユーザー、登録ユーザー
- グループ — デバイスグループ、組織グループ
- ログとイベント — 監査証跡、コマンド履歴、登録ログ
この分離はデータベースレベルとアプリケーションレベルの両方で適用されます。テナント間で共有される名前空間はありません。
スーパー管理者
スーパー管理者アカウントは単一のテナントの外に存在し、すべてのテナントを横断して可視性を持ちます。スーパー管理者は以下を行うことができます:
- テナントの作成、編集、削除
- テナントごとのデバイス制限の設定
- 全テナントのデバイス、グループ、ブループリントの表示
- テナントを横断した管理操作の実行
- テナントレベルの管理者の割り当て
スーパー管理者はいずれのテナントのデバイス制限にもカウントされません。
テナント間の切り替え
スーパー管理者としてログインしている場合、上部ナビゲーションバーの組織切り替え機能を使用してテナントを切り替えることができます。テナントを選択すると、そのテナントのデータにコンテキストが切り替わり、そのテナントのデバイス、グループ、ブループリント、ユーザーのみが表示されます。
テナントレベルの管理者は自分のテナントのみを表示でき、テナント切り替え機能はありません。
まとめ
| 機能 | テナント管理者 | スーパー管理者 |
|---|---|---|
| 自身のデバイス、グループ、ブループリントの管理 | 可 | 可(テナントごと) |
| 他のテナントのデータの表示 | 不可 | 可 |
| テナントの作成 / 削除 | 不可 | 可 |
| デバイス制限の設定 | 不可 | 可 |
| テナント間の切り替え | 不可 | 可 |
