クラウドベースの管理コンソールに対する認証プロセスでは、最初のログイン画面に対して認証した後、環境に登録した Active Directory ドメインに応じて、組織の個人が 2 番目のログイン画面に Active Directory ユーザー アカウントの認証情報を入力します。システムには、さまざまな Active Directory グループに割り当て可能な事前定義済みの役割が提供されています。これらの Active Directory ドメイン関連のロールは、ログインしたユーザーがコンソール内を移動するときに、コンソールのどの領域が表示可能で有効になるか、または表示可能で無効になるかを制御します。組織の適切な Active Directory グループにロールを割り当てて、そのグループのユーザーがコンソールを使用して許可された作業アクティビティを実行できるようにする必要があります。

注意: クラウドベースの Horizon Universal Console のツアーで説明されているように、第 1 世代のコンソールは動的であり、第 1 世代のテナント環境の最新の構成に適した機能を反映しています。このドキュメントで説明されている機能へのアクセスは、以下の要因(ただしこれらに限定されない)に依存する場合があります。
  • その機能が最新の第 1 世代の Horizon Cloud ポッド マニフェスト、Horizon ポッドのバージョン、または Horizon Cloud Connector のバージョンでのみ使用可能なシステム コードに依存するかどうか。
  • 機能が初登場したときに、リリース ノートに記載されているように制限付きで機能へのアクセスが提供されるかどうか。
  • 機能に特定のライセンスまたは SKU が必要かどうか。

このドキュメントに機能の記載があり、第 1 世代のコンソールにその機能が表示されない場合は、まずリリース ノートを読み、その機能のアクセスが制限されているかどうか、およびテナントで有効化をリクエストする方法について確認します。または、このドキュメントに記載されている機能を使用する資格があり、コンソールにその機能が表示されない場合は、VMware Horizon Cloud Service の担当者に問い合わせるか、担当者がいない場合は Customer Connect でサポート リクエストを発行する方法 (VMware KB 2006985)の記載内容に従って、サービス リクエストを Horizon Cloud Service チームに発行することができます。

この手順を使用して割り当てるロールは、ユーザーの認証済みセッションでそのユーザーがコンソールに表示できるもの、および、コンソールに表示されたものに対して実行できるアクションの両方を決定するためにコンソールが使用する 2 種類のロールのいずれかです。

標準のログイン ワークフローで、コンソールの最初のログイン画面では、[全般設定] ページを使用してロールに関連付けられている、VMware Customer Connect アカウントが使用されます。これらのアカウントは、以前は My VMware アカウントと呼ばれていました。

2 番目のログイン画面では、[役割と許可] ページを使用してロールに関連付けられている、Active Directory (AD) 認証情報が使用されます。これらの AD ドメイン関連のロールは、コンソールの機能と要素の可視性を決定します。このロールはまた、ユーザーがコンソールを移動するときに、どのユーザー インターフェイス要素が無効として表示されるかを決定します。

たとえば、[割り当て管理者] ロールが割り当てられている AD グループのユーザーは、エンドユーザーの割り当ておよびファームの管理に関連する操作を実行できますが、他のタイプの操作は実行できません。[ヘルプ デスク読み取り専用管理者] ロールが割り当てられている AD グループのユーザーは、エンド ユーザーのユーザー カードに移動して情報を表示することができますが、ユーザー セッションでトラブルシューティング操作を実行できません。一方、[ヘルプ デスク管理者] ロールが割り当てられている AD グループのユーザーは、ユーザー カードに移動して情報を表示したり、ユーザー セッションでトラブルシューティング操作を実行したりできます。[ヘルプ デスク管理者] ロールの場合、AD グループが実行できるトラブルシューティング操作の範囲を制限することもできます。

これらの AD ドメイン関連のロールは、組織内のユーザーが標準のログイン ワークフローを使用してログインする際に使用する VMware Customer Connect アカウントのロールと連動します。したがって、個人が組織内の異なる部署や AD グループに移動した場合でも、2 つのロールの全体的な組み合わせが特定の個人に求められる結果を継続して反映するようにする必要があります。2 種類のロールの詳細と、ロール割り当ての組み合わせのベスト プラクティスについては、Horizon Universal Console を使用して Horizon Cloud 環境で作業するためにユーザーに付与する 2 種類のロールに関するベスト プラクティスを参照してください。

注: Horizon Cloud Service プラットフォームを使用して、 cloud.vmware.com の VMware Cloud Services を介して行ったロールの変更は、 Horizon Universal Console には表示されません。以下の手順に従って、 Horizon Universal Console で直接ロールを変更する必要があります。
注意: スーパー管理者の役割は、どの Active Directory ユーザー アカウントが Horizon Cloud テナント アカウントにログインしてコンソールで管理操作を実行できるかを管理することです。これには、ここに示す Active Directory グループに役割を割り当てる手順も含まれます。スーパー管理者の役割に割り当てられた Active Directory グループが 1 つしか存在しない場合、別の管理者グループをこのスーパー管理者の役割に追加するまで、その管理者グループを Active Directory システムから削除したり、Active Directory システムに表示される GUID を変更したりしないでください。Active Directory システムからグループを削除したり、Active Directory システムの GUID が変更されるような変更を行ったりしても、その変更は Horizon Cloud 制御プレーンに伝達されないため、Horizon Cloud はスーパー管理者の役割を持つ Active Directory グループを正しく認識できなくなります。そのグループがスーパー管理者ロールに割り当てた唯一のグループである場合、スーパー管理者アクセス レベルでログインすることができた Active Directory アカウントは、ログインして管理操作を実行することができなくなる場合があります。これには、役割を Active Directory グループに割り当てて、スーパー管理者アクセス権を持つ Active Directory アカウントのセットの再確立も含まれます。ドメインバインド アカウントには常にスーパー管理者ロールが割り当てられます。スーパー管理者ロールに割り当てられている単一の AD グループを削除し、ドメインバインド アカウントがそのグループに含まれていない場合、ドメインバインド アカウントの認証情報を使用してコンソールにログインし、スーパー管理者ロールを新しい AD グループに割り当てる手順を実行してみてください。ただし、ドメインバインド アカウントを使用してログインできない場合は VMware サポートに連絡して、テナント アカウントへの管理アクセスの復元を支援する必要があります。
重要: これらの Horizon Cloud の役割は、グループのみに割り当てることができます。システムは、役割ごとに個別の Active Directory ユーザー アカウントを選べる方法を提供しません。

ロールを個別のアカウントではなくグループにのみ割り当てることができる点は、同じ AD グループに 2 つのロールを割り当てることを避ける必要があることを意味します。スーパー管理者ロールは、このコンソールでのすべての管理アクションを実行するためのすべての権限を付与することを目的としたもので、デモ管理者ロールは読み取り専用ロールです。これらの両方のロールを同じ AD グループに指定すると、そのグループ内のすべてのユーザーは、スーパー管理者ロールの権限を受け取りません。コンソールでのアクションが制限され、環境に対するすべての管理を実行できない場合があります。

デフォルトでは、次の事前定義済みの役割が提供されます。事前定義済みの役割は変更できません。

表 1. Horizon Cloud ロールベースのアクセス コントロール グループ
役割 説明
スーパー管理者

AD ドメインの少なくとも 1 つのグループ、そしてオプションでその他に割り当てる必要がある必須のロール。このロールは、コンソールのすべての領域にアクセスし、コンソールで管理アクションを実行するためのすべての権限を付与します。

プライマリ ドメイン バインド アカウントおよび補助ドメイン バインド アカウントには、常にスーパー管理者ロールが割り当てられます。これにより、コンソールで管理アクションを実行するためのすべての権限が付与されます。スーパー管理者権限を必要としないユーザーは、管理者が指定したドメイン バインド アカウントにアクセスできないようにする必要があります。

注: ポッド フリートに 1600.0 より古いマニフェストを実行しているポッドがある場合は、ドメイン参加アカウントが、スーパー管理者ロールが付与されるグループの 1 つに属していることを確認する必要があります。詳細については、 Horizon Cloud の運用に必要なサービス アカウントを参照してください。
割り当て管理者

テナント環境でこの機能が有効になっている場合は、オプションでこのロールを 1 つ以上のグループに割り当てることができます。このロールが割り当てられている AD グループは、コンソールにアクセスして、エンドユーザーの割り当てとファームを作成、変更、および削除できます。このロールが割り当てられているグループは、仮想マシンの構成、電源管理、リモート アプリケーションの構成など、割り当てとファームの管理に関連する操作も実行できます。
ヘルプ デスク管理者 1 つ以上のグループに割り当てることができる役割。このロールの目的は、このロールがある AD グループがユーザー カードの機能を使用して以下のことを行えるようにするために、コンソールへのアクセスを提供することです。
  • エンドユーザー セッションのステータスを確認する。
  • セッションでのトラブルシューティングの操作を実行する。

デフォルトでは、このロールが割り当てられている AD グループには、コンソールに一覧表示されている割り当てまたはファームに関連付けられているセッションでトラブルシューティング操作を実行する権限があります。テナント環境でこの機能が有効になっている場合は、オプションでグループの権限を変更し、そのグループのトラブルシューティング操作の範囲を特定の割り当ておよびファームに関連付けられているセッションのみに制限することもできます。グループの権限範囲を変更するには、そのグループの編集アイコンをクリックします。

注: AD グループの権限範囲に割り当てまたはファームを含め、後でその割り当てまたはファームを削除しようとすると、その割り当てまたはファームはグループの権限範囲からすぐに削除されます。削除プロセスが失敗し、割り当てまたはファームがまだ存在する場合は、それらにグループが引き続きアクセスできるよう、手動で権限範囲に追加し直す必要があります。
ヘルプ デスク読み取り専用管理者 1 つ以上のグループに割り当てることができる役割。このロールの目的は、このロールがある AD グループがユーザー カードの機能を使用してエンド ユーザー セッションのステータスを確認できるようにするために、コンソールへのアクセスを提供することです。
デモ管理者 1 つ以上のグループに割り当てることができる役割。VMware Customer Connect アカウントの顧客管理者の読み取り専用ロールと組み合わせると、このグループのユーザーは設定を表示し、オプションを選択して、コンソールに追加の選択肢を表示できますが、選択によって構成設定が変更されることはありません。

前提条件

  • 既存の Active Directory グループに役割を割り当てる前に、Active Directory グループ内のユーザー アカウントのメンバーシップを確認して、ユーザー アカウントが確実に 1 つのみの Horizon Cloud の役割を受け取るようにします。必要に応じて、特定の Active Directory グループを作成します。これらの役割は Active Directory グループのレベルで割り当てられるため、ユーザーの Active Directory アカウントが 2 つの Active Directory グループに属していて、各グループに別の役割が割り当てられている場合は、予期しない結果が発生する可能性があります。コンソールの機能は、以下の優先順位に従って表示されます。
    1. [スーパー管理者]
    2. [割り当て管理者]
    3. [ヘルプ デスク管理者]
    4. [デモ管理者]
    5. [ヘルプ デスク読み取り専用管理者]

    この優先順位の結果として、ADGroup1 および ADGroup2 の両方の Active Directory グループにユーザーの Active Directory アカウントが属していて、ADGroup1 に [スーパー管理者] の役割を、ADGroup2 に [ヘルプ デスク読み取り専用管理者] の役割をそれぞれ割り当てられる場合は、コンソールには [スーパー管理者] の役割に従って、その他の役割の機能のサブセットではなくすべての機能が表示されます。この理由は、[スーパー管理者] の役割が優先的に取り扱われるためです。

  • また、グループのメンバーの VMware Customer Connect アカウントに割り当てられているロールを確認して、それらのロールが Active Directory グループに割り当てられたロールと一致していることを確認します。Horizon Universal Console を使用して Horizon Cloud 環境で作業するためにユーザーに付与する 2 種類のロールに関するベスト プラクティスで説明されている組み合わせのベスト プラクティスに従ってください。
重要: システムは、 Horizon Cloud の事前定義済みのすべてのロールに対して、最大 64 個の一意の Active Directory グループの割り当てをサポートします。

手順

  1. コンソールで、[設定] > [役割と許可] に移動します。
  2. 事前定義済みのいずれかの役割を選択し、[編集] をクリックします。
  3. 検索ボックスを使用して、Active Directory グループを検索し、選択します。
    検索結果が表示されるためには、少なくとも 3 文字以上を検索ボックスに入力する必要があります。
    グループが選択したグループのセットに追加されました。
  4. [保存] をクリックします。
    重要: 保存アクションを実行した結果、すべてのロールに割り当てることができる Active Directory グループがシステムでサポートされている最大数を超える場合、システムは選択したグループをロールに保存しません。サポートされている最大値は、このドキュメント トピックの「前提条件」セクションに記載されています。

次のタスク

ドメイン グループ内のユーザーが VMware Customer Connect アカウントに対する適切なロールを持っていることを確認します。Horizon Universal Console を使用して Horizon Cloud 環境で作業するためにユーザーに付与する 2 種類のロールに関するベスト プラクティスおよびHorizon Cloud テナント環境にログインし、Horizon Universal Console を使用してアクションを実行するための管理者ロールを組織内の個人に付与するを参照してください。