クラウドベースの管理コンソールに対する認証プロセスでは、My VMware アカウントを使用して最初のログイン画面に対して認証した後、環境に登録した Active Directory ドメインに応じて、組織の個人が 2 番目のログイン画面に Active Directory ユーザー アカウントの認証情報を入力します。システムには、さまざまな Active Directory グループに割り当て可能な事前定義済みの役割が提供されています。これらの Active Directory ドメイン関連のロールは、ログインしたユーザーがコンソール内を移動するときに、コンソールのどの領域が表示可能で有効になるか、または表示可能で無効になるかを制御します。組織の適切な Active Directory グループにロールを割り当てて、そのグループのユーザーがコンソールを使用して許可された作業アクティビティを実行できるようにする必要があります。

この手順を使用して割り当てるロールは、ユーザーの認証済みセッションでそのユーザーがコンソールに表示できるもの、および、コンソールに表示されたものに対して実行できるアクションの両方を決定するためにコンソールが使用する 2 種類のロールのいずれかです。標準のログイン ワークフローで、コンソールの最初のログイン画面では、[全般設定] ページを使用してロールに関連付けられている、My VMware アカウントが使用されます。2 番目のログイン画面では、[役割と許可] ページを使用してロールに関連付けられている、Active Directory 認証情報が使用されます。これらの Active Directory ドメイン関連のロールは、コンソールの機能と要素の可視性を決定します。このロールはまた、ユーザーがコンソールを移動するときに、どのユーザー インターフェイス要素が無効として表示されるかを決定します。たとえば、[ヘルプ デスク読み取り専用管理者] の役割が割り当てられている Active Directory グループ内のユーザーは、エンド ユーザーのユーザー カードに移動して情報を見ることができますが、デスクトップでの操作は実行できません。[ヘルプ デスク管理者] の役割が割り当てられている Active Directory グループ内のユーザーは、ユーザー カードに移動して情報を見ることに加えて、トラブルシューティングの操作を実行することができます。

これらの Active Directory ドメイン関連のロールは、組織内のユーザーが標準のログイン ワークフローを使用してログインする際に使用する My VMware アカウントのロールと連動します。したがって、個人が組織内の異なる部署や Active Directory グループに移動した場合でも、2 つのロールの全体的な組み合わせが特定の個人に求められる結果を継続して反映するようにする必要があります。2 種類のロールの詳細と、ロール割り当ての組み合わせのベスト プラクティスについては、Horizon Universal Console を使用して Horizon Cloud 環境で作業するためにユーザーに付与する 2 種類のロールに関するベスト プラクティスを参照してください。

注: Horizon Cloud Service プラットフォームを使用して、 cloud.vmware.com の VMware Cloud Services を介して行ったロールの変更は、 Horizon Universal Console には表示されません。以下の手順に従って、 Horizon Universal Console で直接ロールを変更する必要があります。
注意: スーパー管理者の役割は、どの Active Directory ユーザー アカウントが Horizon Cloud テナント アカウントにログインしてコンソールで管理操作を実行できるかを管理することです。これには、ここに示す Active Directory グループに役割を割り当てる手順も含まれます。スーパー管理者の役割に割り当てられた Active Directory グループが 1 つしか存在しない場合、別の管理者グループをこのスーパー管理者の役割に追加するまで、その管理者グループを Active Directory システムから削除したり、Active Directory システムに表示される GUID を変更したりしないでください。Active Directory システムからグループを削除したり、Active Directory システムの GUID が変更されるような変更を行ったりしても、その変更は Horizon Cloud 制御プレーンに伝達されないため、Horizon Cloud はスーパー管理者の役割を持つ Active Directory グループを正しく認識できなくなります。そのグループがスーパー管理者ロールに割り当てた唯一のグループである場合、スーパー管理者アクセス レベルでログインすることができた Active Directory アカウントは、ログインして管理操作を実行することができなくなる場合があります。これには、役割を Active Directory グループに割り当てて、スーパー管理者アクセス権を持つ Active Directory アカウントのセットの再確立も含まれます。ドメインバインド アカウントには常にスーパー管理者ロールが割り当てられます。スーパー管理者ロールに割り当てられている単一の AD グループを削除し、ドメインバインド アカウントがそのグループに含まれていない場合、ドメインバインド アカウントの認証情報を使用してコンソールにログインし、スーパー管理者ロールを新しい AD グループに割り当てる手順を実行してみてください。ただし、ドメインバインド アカウントを使用してログインできない場合は VMware サポートに連絡して、テナント アカウントへの管理アクセスの復元を支援する必要があります。
重要: これらの Horizon Cloud の役割は、グループのみに割り当てることができます。システムは、役割ごとに個別の Active Directory ユーザー アカウントを選べる方法を提供しません。

これは、ロールを個別のアカウントではなくグループにのみ割り当てることができるため、同じ Active Directory ドメイン グループに 2 つのロールを割り当てることを避ける必要があることを意味します。スーパー管理者ロールは、このコンソールでのすべての管理アクションを実行するためのすべての権限を付与することを目的としたもので、デモ管理者ロールは読み取り専用ロールです。これらの両方のロールを同じ Active Directory グループに指定すると、そのグループ内のすべてのユーザーは、スーパー管理者ロールの権限を受け取りません。コンソールでのアクションが制限され、環境に対するすべての管理を実行できない場合があります。

デフォルトでは、次の事前定義済みの役割が提供されます。事前定義済みの役割は変更できません。

表 1. Horizon Cloud ロールベースのアクセス コントロール グループ
役割 説明
スーパー管理者 Active Directory ドメインの少なくとも 1 つのグループ、そしてオプションでその他に割り当てる必要がある必須の役割。このロールは、コンソールのすべての領域にアクセスし、コンソールで管理アクションを実行するためのすべての権限を付与します。

プライマリ ドメイン バインド アカウントおよび補助ドメイン バインド アカウントには、常にスーパー管理者ロールが割り当てられます。これにより、コンソールで管理アクションを実行するためのすべての権限が付与されます。スーパー管理者権限を必要としないユーザーは、管理者が指定したドメイン バインド アカウントにアクセスできないようにする必要があります。

注: ポッド フリートに 1600.0 より古いマニフェストを実行しているポッドがある場合は、ドメイン参加アカウントが、スーパー管理者ロールが付与されるグループの 1 つに属していることを確認する必要があります。詳細については、 Horizon Cloud の運用に必要なサービス アカウントを参照してください。
ヘルプ デスク管理者 1 つ以上のグループに割り当てることができる役割。この役割の目的は、この役割がある Active Directory グループがユーザー カードの機能を使用して以下のことを行えるようにするために、コンソールへのアクセスを提供することです。
  • エンド ユーザー セッションのステータスを確認する。
  • セッションでのトラブルシューティングの操作を実行する。
ヘルプ デスク読み取り専用管理者 1 つ以上のグループに割り当てることができる役割。この役割の目的は、この役割がある Active Directory グループがユーザー カードの機能を使用してエンド ユーザー セッションのステータスを確認できるようにするために、コンソールへのアクセスを提供することです。
デモ管理者 1 つ以上のグループに割り当てることができる役割。My VMware アカウントの顧客管理者の読み取り専用ロールと組み合わせると、このグループのユーザーは設定を表示し、オプションを選択して、コンソールに追加の選択肢を表示できますが、選択によって設定が変更されることはありません。

前提条件

注意: 既存の Active Directory グループに役割を割り当てる前に、Active Directory グループ内のユーザー アカウントのメンバーシップを確認して、ユーザー アカウントが確実に 1 つのみの Horizon Cloud の役割を受け取るようにします。必要に応じて、特定の Active Directory グループを作成します。これらの役割は Active Directory グループのレベルで割り当てられるため、ユーザーの Active Directory アカウントが 2 つの Active Directory グループに属していて、各グループに別の役割が割り当てられている場合は、予期しない結果が発生する可能性があります。コンソールの機能は、以下の優先順位に従って表示されます。
  1. [スーパー管理者]
  2. [ヘルプ デスク管理者]
  3. [デモ管理者]
  4. [ヘルプ デスク読み取り専用管理者]

この優先順位の結果として、ADGroup1 および ADGroup2 の両方の Active Directory グループにユーザーの Active Directory アカウントが属していて、ADGroup1 に [スーパー管理者] の役割を、ADGroup2 に [ヘルプ デスク読み取り専用管理者] の役割をそれぞれ割り当てられる場合は、コンソールには [スーパー管理者] の役割に従って、その他の役割の機能のサブセットではなくすべての機能が表示されます。この理由は、[スーパー管理者] の役割が優先的に取り扱われるためです。

また、グループのメンバーの My VMware アカウントに割り当てられているロールを確認して、それらのロールが Active Directory グループに割り当てられたロールと一致していることを確認します。Horizon Universal Console を使用して Horizon Cloud 環境で作業するためにユーザーに付与する 2 種類のロールに関するベスト プラクティスで説明されている組み合わせのベスト プラクティスに従ってください。

手順

  1. コンソールで、[設定] > [役割と許可] に移動します。
  2. 事前定義済みのいずれかの役割を選択し、[編集] をクリックします。
  3. 検索ボックスを使用して、Active Directory グループを検索し、選択します。
    検索結果が表示されるためには、少なくとも 3 文字以上を検索ボックスに入力する必要があります。
    グループが選択したグループのセットに追加されました。
  4. [保存] をクリックします。

次のタスク

ドメイン グループ内のユーザーが My VMware アカウントに対する適切なロールを持っていることを確認します。Horizon Universal Console を使用して Horizon Cloud 環境で作業するためにユーザーに付与する 2 種類のロールに関するベスト プラクティスおよびHorizon Cloud テナント環境にログインし、Horizon Universal Console を使用してアクションを実行するための管理者ロールを組織内の個人に付与するを参照してください。