RD ポータルでの設定

RD ポータル上での初期設定手順の概要を説明します。管理者ユーザーで設定することを前提としています。

ここでは、初期設定の方法として、RD ポータル上で手動で設定し、アクセス許可についてはアクセスポリシーという設定でアクセス権を恒久的に付与する方法を説明します。

登録したいサーバーやユーザーの数が多い場合、一括設定を用いて、以下でご説明しているサーバー作成からアクセス許可設定までを Excel にパラメタを記入して一括で設定できます。(アクセス許可設定以降は手動で設定してください。)
また、管理者によって都度アクセス可否を承認する必要がある場合、アクセス申請機能を用いて、ワークフロー形式で運用できます。

サーバーの登録

ISM Service RA で接続したいPC・サーバーを登録します。
RD ポータル画面の左ペインでサーバーを選択し、新規作成ボタンをクリックします。
登録画面のガイダンスに従いパラメーターを入力してください。詳細については運用ガイドのサーバー管理を参照してください。

エージェントの欄には、RD エージェントの構築で構築した RD エージェントの一覧が表示され、登録中のサーバーにどの RD エージェントを経由してアクセスするかを指定します。複数の RD エージェントを構築している場合、現在登録しているサーバーにアクセス可能なものを選択してください。

ユーザーの登録

ISM Service RA を利用される担当者ごとに、ユーザーを作成します。 RD ポータル画面の左ペインでユーザーを選択し、新規作成ボタンをクリックします。
登録画面のガイダンスに従いパラメーターを入力してください。詳細については運用ガイドのユーザー管理を参照してください。

プロファイル情報の名前、メールアドレス、所属は任意ですが、アクセス承認機能を利用する場合、名前とメールアドレスは必須です。

ユーザーロールは以下 4 種類で、担当者の役割の違いに応じて指定してください。詳細はユーザーロールを参照してください。
セキュリティ上、可能な限り利用者ロールを指定していただくことを推奨します。

管理者 (admin ロール)
- ご契約いただいたプロジェクト全体を管理することを目的にしたロールです。運用ガイドに記載されたすべての操作の実行・情報の参照が可能です。
- 初期ユーザーのロールはこの管理者 (admin ロール) です。
ユーザー管理者 (user-admin ロール)
- プロジェクトの利用者が多い場合に、管理者のユーザー管理に関する作業を代行することを目的にしたロールです。
- 利用者ロールでできることに加えて、自身が所属するユーザーグループの範囲で、ユーザー追加・削除、アクセスログ参照、操作録画の動画作成・ダウンロード (オプション契約時のみ)、アクセス申請の承認 (アクセス申請ポリシー機能を利用する場合のみ)などの操作が実施できます。
監査者 (auditor ロール)
- プロジェクトの利用者が多い場合に、管理者のユーザー監査に関する作業を代行することを目的にしたロールです。
- 利用者ロールでできることに加えて、自身が所属するユーザーグループの範囲で、アクセスログ参照、操作録画の動画作成・ダウンロード (オプション契約時のみ)、アクセス申請の承認 (アクセス申請ポリシー機能を利用する場合のみ) などの操作が実施できます。
  - 監査を目的としているため、他ユーザーに関する設定変更など、ユーザーを管理するための機能は利用できません。
利用者 (user ロール)
- サーバーに接続し実際に作業することを目的としたロールです。操作ガイドに記載された操作の実行・情報の参照が可能です。

アクセス許可設定

ISM Service RA では、以下の設定項目を組み合わせてアクセス許可の設定をします。

サーバーグループ : サーバーを複数束ねたグループを作成します
ユーザーグループ : ユーザーを複数束ねたグループを作成します
アクセスポリシー : サーバーグループにユーザーグループを紐づけ、複数のサーバーに対して複数のユーザーのアクセス許可を一括で設定します
- このアクセスポリシー内で操作録画機能やアクセスを許可する期間・時間帯を設定できます。

それぞれ、RD ポータル画面の左ペインで サーバーグループ、ユーザーグループ、アクセスポリシー をクリックして遷移したリスト画面で、[新規作成]ボタンをクリックすると作成画面が開きますので、画面のガイダンスに従いパラメーターを入力してください。
詳細な手順については前述のリンクを参照してください。

サーバーグループは用途が同じサーバー群に対して作成し、ユーザーグループはチームごとに作成することで、用途に応じて必要なチームをアクセスポリシーでアサインするイメージで効率的に設定することができます。

以下に設定例を示します。
この例では、開発チーム (dev-team) は開発用 (dev-env) とテスト用 (test-env) の両方のサーバーにアクセスし、テストチームはテスト用 (test-env) のサーバーにだけアクセスを許可しています。なお、テスト環境ではエビデンス取得のために操作録画機能を ON にしています。
また、権限委任が可能であれば、ユーザーグループにユーザー管理者 (user-admin) ロールのユーザーを含めておくと、管理者の手を煩わせずにメンバーの追加・削除に対応できます。

多要素認証の設定

ISM Service RA では、RD ポータルのログインに多要素認証 (以降 MFA) を設定できます。
パスワードが流出しても不正アクセスを防止できる可能性があるなど、認証強度を高めることができますので、ISM Service RA は MFA を設定してご利用いただくことを強く推奨します。

ISM Service RA の MFA は、各ユーザーが RD ポータルにログインした後に、各自で設定できます。各ユーザーでの具体的な手順は操作の章で説明します。

多要素認証の強制設定 (任意)

管理者によって MFA の利用を強制できます。設定手順は以下の通りです。

RD ポータル画面の左ペインでプロジェクト設定をクリック
プロジェクト共通設定内の多要素認証の強制を enable(有効) にする

この設定を有効にすると、MFA を設定していないユーザーは初回ログイン時に MFA 登録を促されます。各ユーザーの MFA の設定状況はユーザーリスト画面で確認できます。具体的には、当該ユーザーの認証カラムに MFA の値が表示されていれば、多要素認証が設定済みです。MFA 利用時は登録が漏れているユーザーがいないように推進をお願いします。

ファイル共有設定 (任意)

ファイル共有機能は、接続元端末と接続先サーバーの間でファイルをやり取りするための機能です。RD ポータルにブラウザーでアクセスするか、RD エージェントに SFTP でアクセスし、ファイルをアップロード・ダウンロードできます。ファイルは RD エージェント上に保存されます。

ファイル共有機能を利用するための設定としては、前述したエージェント初期設定での事前設定の他に、RD ポータルでのディレクトリー作成およびアクセス許可設定 (ファイルストアポリシー) があります。
以下に手順の概要を説明します。

ディレクトリー作成

ユーザーのアクセスできる範囲を限定するため、ディレクトリーを作成します。

RD ポータル画面の左ペインで [ファイルストア] を選択し、ファイルストアリスト画面で任意のファイルストアを選択し、ファイルストア詳細画面を開きます。 [ディレクトリー作成] ボタンをクリックし、ディレクトリー名を入力してディレクトリーを作成してください。

アクセス許可設定

前の手順で作成したディレクトリーをユーザーグループと紐づけ、そのユーザーグループに所属するユーザーに当該ディレクトリーへのアクセスを許可します。

RD ポータル画面の左ペインで [ファイルストアポリシー] を選択し、[新規作成]をクリックします。

紐づけ以外にも、RD ポータル経由の操作/RD エージェントに直接 SFTP アクセスする場合のそれぞれについて、アップロード/ダウンロードの可否を設定できます。また、ファイル操作を行う期間・時間帯を設定できます。詳細は運用ガイドのファイルストアポリシーを参照してください。

プロジェクト設定 (任意)

ご契約のプロジェクト全体に適用される設定です。RD ポータル画面の左ペインの [プロジェクト設定] から実施できます。設定可能な内容は以下の通りです。詳細は、運用ガイドのプロジェクト設定を参照してください。

プロジェクト共通設定
- 多要素認証の強制
- RD ポータルの無操作時の自動ログアウト時間
- アクセス申請
- アクセス申請ポリシー機能
- Wake on Lan
- ssh/text-based 利用中の利用者によるログ取得
- 操作録画ファイルの保存期間
パスワードポリシー
ユーザーのロックアウト
メール通知設定
IP 許可リストの設定

最終更新 Nov 27, 2027