Horizon Cloud 管理コンソール のロールベースのアクセス制御を使用して、どの管理者権限が、どの Active Directory ユーザー アカウントに付与されかを決定します。コンソールにログインするときに、2 番目のログイン画面で Active Directory アカウントの認証情報を使用します。システムには、Active Directory グループに割り当て可能な事前定義済みの役割が提供されています。

注意: スーパー管理者の役割は、どの Active Directory ユーザー アカウントが Horizon Cloud テナント アカウントにログインしてコンソールで管理操作を実行できるかを管理することです。これには、ここに示す Active Directory グループに役割を割り当てる手順も含まれます。スーパー管理者の役割に割り当てられた Active Directory グループが 1 つしか存在しない場合、別の管理者グループをこのスーパー管理者の役割に追加するまで、その管理者グループを Active Directory システムから削除したり、Active Directory システムに表示される GUID を変更したりしないでください。Active Directory システムからグループを削除したり、Active Directory システムの GUID が変更されるような変更を行ったりしても、その変更は Horizon Cloud 制御プレーンに伝達されないため、Horizon Cloud はスーパー管理者の役割を持つ Active Directory グループを正しく認識できなくなります。そのグループがスーパー管理者ロールに割り当てた唯一のグループである場合、スーパー管理者アクセス レベルでログインすることができた Active Directory アカウントは、ログインして管理操作を実行することができなくなる場合があります。これには、役割を Active Directory グループに割り当てて、スーパー管理者アクセス権を持つ Active Directory アカウントのセットの再確立も含まれます。ドメインバインド アカウントには常にスーパー管理者ロールが割り当てられます。スーパー管理者ロールに割り当てられている単一の AD グループを削除し、ドメインバインド アカウントがそのグループに含まれていない場合、ドメインバインド アカウントの認証情報を使用してコンソールにログインし、スーパー管理者ロールを新しい AD グループに割り当てる手順を実行してみてください。ただし、ドメインバインド アカウントを使用してログインできない場合は VMware サポートに連絡して、テナント アカウントへの管理アクセスの復元を支援する必要があります。

これらの役割と、関連付けられている権限によって、管理コンソールを使用してユーザーが実行できる管理アクションが決定されます。コンソールの機能と要素の可視性は、ユーザーの Active Directory アカウントに割り当てられる役割によって制御されます。たとえば、[ヘルプ デスク読み取り専用管理者] の役割が割り当てられている Active Directory グループ内のユーザーは、エンド ユーザーのユーザー カードに移動して情報を見ることができますが、デスクトップでの操作は実行できません。[ヘルプ デスク管理者] の役割が割り当てられている Active Directory グループ内のユーザーは、ユーザー カードに移動して情報を見ることに加えて、トラブルシューティングの操作を実行することができます。グループ内のユーザーが標準のログイン ワークフローを使用してログインし、管理アクションにアクセスできるようにする前に、組織の適切な Active Directory グループに役割を割り当てる必要があります。

重要: これらの Horizon Cloud の役割は、グループのみに割り当てることができます。システムは、役割ごとに個別の Active Directory ユーザー アカウントを選べる方法を提供しません。
  • クラウドに接続されたポッドが Microsoft Azure にある場合のドメイン参加アカウントに関しては、このポイントを理解することが重要です。Microsoft Azure の最初のポッドに対して登録したドメイン参加アカウントが Active Directory グループのいずれにもない場合、そのアカウントの Active Directory グループを作成して、そのドメイン参加アカウントにスーパー管理者の役割を確実に割り当てられるようにします。仮想マシンをドメインに参加させるシステム操作が Microsoft Azure のポッドに対して正しく機能するように、ドメイン参加アカウントにはスーパー管理者ロールを割り当てる必要があります。詳細については、Horizon Cloud の運用に必要なサービス アカウントを参照してください。
  • これは、ロールを個別のアカウントではなくグループにのみ割り当てることができるため、同じ Active Directory ドメイン グループに 2 つのロールを割り当てることを避ける必要があることを意味します。スーパー管理者ロールは、このコンソールでのすべての管理アクションを実行するためのすべての権限を付与することを目的としたもので、デモ管理者ロールは読み取り専用ロールです。これらの両方のロールを同じ Active Directory グループに指定すると、そのグループ内のすべてのユーザーは、スーパー管理者ロールの権限を受け取りません。コンソールでのアクションが制限され、環境に対するすべての管理を実行できない場合があります。

デフォルトでは、次の事前定義済みの役割が提供されます。事前定義済みの役割は変更できません。

表 1. Horizon Cloud ロールベースのアクセス コントロール グループ
役割 説明
スーパー管理者 Active Directory ドメインの少なくとも 1 つのグループ、そしてオプションでその他に割り当てる必要がある必須の役割。この役割により、コンソールで管理アクションを実行するためのすべての権限が付与されます。
重要: 最初のポッドで Active Directory ドメインを登録するときに指定したドメイン参加アカウントが、必ずスーパー管理者の役割が付与されたグループのいずれか 1 つにあることを確認します。イメージおよびドメイン参加の操作に関連する操作のエンドツーエンドの成功のために、ドメイン参加アカウントに対してこのスーパー管理者の役割が付与されている必要があります。

プライマリ ドメイン バインド アカウントおよび補助ドメイン バインド アカウントには、常にスーパー管理者ロールが割り当てられます。これにより、コンソールで管理アクションを実行するためのすべての権限が付与されます。スーパー管理者権限を必要としないユーザーは、管理者が指定したドメイン バインド アカウントにアクセスできないようにする必要があります。

ヘルプ デスク管理者 1 つ以上のグループに割り当てることができる役割。この役割の目的は、この役割がある Active Directory グループがユーザー カードの機能を使用して以下のことを行えるようにするために、コンソールへのアクセスを提供することです。
  • エンド ユーザー セッションのステータスを確認する。
  • セッションでのトラブルシューティングの操作を実行する。
ヘルプ デスク読み取り専用管理者 1 つ以上のグループに割り当てることができる役割。この役割の目的は、この役割がある Active Directory グループがユーザー カードの機能を使用してエンド ユーザー セッションのステータスを確認できるようにするために、コンソールへのアクセスを提供することです。
デモ管理者 1 つ以上のグループに割り当てることができる読み取り専用の役割。デモ管理者はコンソールで設定を表示し、オプションを選択して追加選択を確認することはできますが、選択によって設定が変更されることはありません。

前提条件

注意: 既存の Active Directory グループに役割を割り当てる前に、Active Directory グループ内のユーザー アカウントのメンバーシップを確認して、ユーザー アカウントが確実に 1 つのみの Horizon Cloud の役割を受け取るようにします。必要に応じて、特定の Active Directory グループを作成します。これらの役割は Active Directory グループのレベルで割り当てられるため、ユーザーの Active Directory アカウントが 2 つの Active Directory グループに属していて、各グループに別の役割が割り当てられている場合は、予期しない結果が発生する可能性があります。コンソールの機能は、以下の優先順位に従って表示されます。
  1. [スーパー管理者]
  2. [ヘルプ デスク管理者]
  3. [デモ管理者]
  4. [ヘルプ デスク読み取り専用管理者]

この優先順位の結果として、ADGroup1 および ADGroup2 の両方の Active Directory グループにユーザーの Active Directory アカウントが属していて、ADGroup1 に [スーパー管理者] の役割を、ADGroup2 に [ヘルプ デスク読み取り専用管理者] の役割をそれぞれ割り当てられる場合は、コンソールには [スーパー管理者] の役割に従って、その他の役割の機能のサブセットではなくすべての機能が表示されます。この理由は、[スーパー管理者] の役割が優先的に取り扱われるためです。

手順

  1. コンソールで、[設定] > [役割と許可] に移動します。
  2. 事前定義済みのいずれかの役割を選択し、[編集] をクリックします。
  3. 検索ボックスを使用して、Active Directory グループを検索し、選択します。
    検索結果が表示されるためには、少なくとも 3 文字以上を検索ボックスに入力する必要があります。
    グループが選択したグループのセットに追加されました。
  4. [保存] をクリックします。

次のタスク

管理コンソールにログインするための同一のユーザー アクセス権を付与する場合は、[全般設定] ページを使用して、それらのユーザーの My VMware アカウントを追加します。詳細については、Horizon Cloud テナント環境にログインする管理者の追加を参照してください。

コンソールの最初のログイン画面では、[全般設定] ページを使用して Horizon Cloud の役割に関連付けられている、My VMware アカウントが使用されます。2 番目のログイン画面では、[役割と許可] ページを使用して Horizon Cloud の役割に関連付けられている、Active Directory 認証情報が使用されます。