このドキュメントのトピックでは、ユーザーが Horizon Universal Console にログインして Horizon Cloud 環境で作業する際にユーザーに付与する必要がある 2 種類のロールに関するベスト プラクティスについて説明します。ロールの 1 つは、Horizon Universal Console ユーザー インターフェイス自体のさまざまな部分を有効または無効にするために使用されます。もう 1 つは、そのロールが割り当てられたユーザーによって呼び出すことができるアクションを決定するために使用されます。特定のユーザーに付与する 2 つのロールの最終的な組み合わせが、そのユーザーに求められる結果を反映していることを確認する必要があります。

重要: ロールの 1 つはユーザーがコンソールに表示できるものを管理し、もう 1 つはアクションの呼び出しを管理するため、特定のユーザーが持つ 2 つのロールの全体的な組み合わせが、そのユーザーに求められる結果を反映していることを確認する必要があります。次のセクションでは、ベスト プラクティスの組み合わせについて説明します。これらのベスト プラクティスに従わないと、矛盾が発生する可能性があります。たとえば、割り当てられたロールがここで説明されているガイダンスに一致しない場合、ユーザーがコンソールにログインした後、ユーザーに実行させたいアクションを実行できなかったり、実行させたくないアクションを実行できたりする可能性があります。したがって、 [全般設定] ページの [My VMware アカウント] 領域のユーザーのロールを、 [役割と許可] ページでそのユーザーの Active Directory グループに割り当てられているロールに一致させることが重要です。

次のセクションでは、一般的な組織の標準シナリオに基づいて使用する 2 種類のロールとベスト プラクティスの組み合わせについて説明します。

注意: クラウドベースの Horizon Universal Console のツアーで説明されているように、第 1 世代のコンソールは動的であり、第 1 世代のテナント環境の最新の構成に適した機能を反映しています。このドキュメントで説明されている機能へのアクセスは、以下の要因(ただしこれらに限定されない)に依存する場合があります。
  • その機能が最新の第 1 世代の Horizon Cloud ポッド マニフェスト、Horizon ポッドのバージョン、または Horizon Cloud Connector のバージョンでのみ使用可能なシステム コードに依存するかどうか。
  • 機能が初登場したときに、リリース ノートに記載されているように制限付きで機能へのアクセスが提供されるかどうか。
  • 機能に特定のライセンスまたは SKU が必要かどうか。

このドキュメントに機能の記載があり、第 1 世代のコンソールにその機能が表示されない場合は、まずリリース ノートを読み、その機能のアクセスが制限されているかどうか、およびテナントで有効化をリクエストする方法について確認します。または、このドキュメントに記載されている機能を使用する資格があり、コンソールにその機能が表示されない場合は、VMware Horizon Cloud Service の担当者に問い合わせるか、担当者がいない場合は Customer Connect でサポート リクエストを発行する方法 (VMware KB 2006985)の記載内容に従って、サービス リクエストを Horizon Cloud Service チームに発行することができます。

割り当てられたロールを持つ Active Directory グループ内のユーザーに対してコンソールのユーザー インターフェイスのさまざまな部分を有効または無効にするロール

これらのロールはシステムで事前に定義されており、Active Directory グループに関連付けられています。個人が Horizon Cloud 環境に対して認証されると、コンソールは、個人のアカウントが配置されている Active Directory (AD) グループを検出します。また、コンソールは、コンソールの [役割と許可] ページでこれらのロールのどちらが AD グループに割り当てられているかも識別します。次に、ユーザーがコンソールのユーザー インターフェイス ページ、タブ、およびウィンドウを移動すると、それらのアイテムは、ユーザーの AD グループに割り当てられたロールに応じて有効または無効として表示されます。

重要: これらのロールを個別の AD ユーザー アカウントではなくグループにのみ割り当てることができる点は、同じ AD ドメイン グループにこれらのロールの 2 つを割り当てることを避ける必要があることを意味します。これらのロールの 2 つを同じ AD グループに付与し、そのグループのユーザーがログインした場合、両方のロールがそのユーザーのグループに割り当てられていることをコンソールが識別すると、ユーザー インターフェイス ページを移動するときに無効化されたアイテムが表示される場合があります。これは、2 つのロールのいずれかがそれらのアイテムへのアクセスを妨げるためです。

これらの各ロールは、AD グループのレベルで適用します。これらは個人レベルではなくグループ レベルで適用されるため、同じ AD グループ内のすべての個人は、コンソールの [役割と許可] ページを使用してその Active Directory グループに割り当てられたロールを取得します。管理者は、AD 環境の AD グループに含まれる個人を制御します。したがって、AD 環境内の個人をある AD グループから別のグループに移動するときは、他の割り当てられたロール(My VMware アカウントに割り当てられているロール)と引き続き一致するロールの 1 つを持つグループに移動する必要があります。ある AD グループから別のグループに個人を移動するときは、個人の新しい AD グループに割り当てられたこのロール タイプのロールとの整合性を保つように他の種類のロール(個人の My VMware アカウントに割り当てられているロール)を調整する必要があるかどうかを検証する必要があります。

これらのロールの 1 つの例は、Help Desk Read Only Administrator ロールです。[役割と許可] ページで AD グループにそのロールが割り当てられると、コンソールではそのグループの個人がエンド ユーザーのユーザー カードに移動して情報を表示できますが、デスクトップで操作を実行することはできません。

My VMware アカウントにロールが割り当てられているユーザーが呼び出すことができるアクションを決定するロール

他のロール タイプと同様に、これらのロールはシステムで事前定義されています。これらのロールは、[全般設定] ページの [My VMware アカウント] 領域で構成されている My VMware アカウントに関連しています。個人が Horizon Cloud 環境に対して認証されると、コンソールは、ログイン セッションの認証に使用された My VMware アカウントに割り当てられているロールを検出します。次に、ユーザーがコンソールでアクションを呼び出そうとすると、システムは、[全般設定] ページでログインしたユーザーの My VMware アカウントに割り当てられているこのロールに応じて、API 呼び出しの実行を許可または禁止します。

その結果、コンソールへの最初の認証後、この割り当てられたロールは他のタイプの割り当てられたロールと連携して機能することが多くなります。

  1. ユーザーがコンソールのユーザー インターフェイス ページ、タブ、およびウィンドウを移動すると、ユーザーの AD グループに割り当てられたロールに応じてユーザー インターフェイス要素が有効または無効として表示されます。
  2. ユーザーが API 呼び出しを実行するボタンをクリックしてアクションを実行すると、My VMware アカウントに割り当てられたロールがそのアクションの実行を許可しない場合、API 呼び出しは実行されず、アクションは完了しません。
重要: コンソールで、このロールがユーザーの AD グループに割り当てられたロールと連携して動作する場合(後者はアクティブなコンソール要素を決定し、前者は要素がクリックされたときに実行を完了できるアクションを決定します)、特定のユーザーが持つ 2 つのロールの全体的な組み合わせが、そのユーザーに求められる結果を反映していることを確認する必要があります。反映していない場合は、矛盾した結果が生じる可能性があります。ある AD グループから別のグループに個人を移動するときは、My VMware アカウントのロールが新しい AD グループのロールと一致していることを確認し、必要に応じて調整します。次のセクションでは、標準のベスト プラクティスの組み合わせについて説明します。

5 つの標準的なベスト プラクティスのロールの組み合わせ

次の表に従って個人の 2 つのロールが調整されていない場合、矛盾する動作が発生する可能性があるため、次の表に従って組織の個人に付与されたロールを調整することをお勧めします。システムは、AD グループ内の個人の My VMware アカウントに割り当てられたロールよりも制限の少ないロールをそのグループに割り当てることを妨げません。個人が複数の AD グループに属している場合は、[役割と許可] ページでそれらのグループに割り当てられているロールが相互に整合性が取られ、また、個人の My VMware アカウントのロールと整合性が取られていることを確認してください。

[全般設定] ページでのユーザーの My VMware アカウントのロール [ロールと許可] ページでのユーザーの Active Directory グループのロール 説明
顧客管理者 スーパー管理者 コンソールのすべての領域を表示し、コンソールですべてのアクションを実行するためのフル アクセス。
顧客割り当て管理者 割り当て管理者 コンソールのすべての領域を表示し、エンドユーザーの割り当てとファームの変更および管理に関連するアクションを実行できます。
顧客管理者 (読み取り専用) デモ管理者 コンソールのすべての領域の表示、設定の表示、追加の選択肢を表示するオプションの選択が可能です。アイテムの削除など、環境を変更するアクションを呼び出す機能はありません。この組み合わせの使用例は、システムへの変更を回避しながら、組織内のユーザーがログインしてシステムの機能を別のユーザーにデモンストレーションすることです。
顧客ヘルプデスク ヘルプ デスク管理者 コンソールのヘルプデスク関連領域を表示し、コンソールが提供するすべてのヘルプデスク関連アクションを実行するためのアクセス。この組み合わせの目的は、ユーザーがユーザー カード機能を使用して、エンド ユーザー セッションのステータスを確認し、セッションのトラブルシューティングを実行することです。
顧客ヘルプデスク (読み取り専用) ヘルプ デスク読み取り専用管理者 コンソールのヘルプデスク関連の領域を表示し、ユーザー カードのエンド ユーザー セッションのステータスを確認するためのアクセス。ヘルプデスク関連のアクションを呼び出す機能は使用できません。

ユーザーを読み取り専用に制限し、コンソールのすべての領域でコンソールへのアクセスを表示する

個人がコンソールのすべてのユーザー インターフェイス ページを参照し、ダイアログを開いてレポートを表示できるようにする一方で、テナント環境で何かを変更するアクションを呼び出すことができないようにするには、次の両方の条件が満たされている必要があります。

  • [全般設定] ページの [My VMware アカウント] 領域で、Customer Administrator Read-Only ロールを My VMware アカウントに割り当てます。個人のアカウントに別のロールがリストされている場合は、[My VMware アカウント] セクションからその行を一度削除し、次に Customer Administrator Read-Only ロールを指定して再度追加することができます。
  • [役割と許可] ページで、Demo Administrator ロールをその個人の Active Directory グループに割り当てます。

これらの条件が両方とも満たされると、個人はコンソールにログインし、コンソールのすべてのページに移動し、ページを参照し、ダイアログを開いてレポートを表示できるようになります。ただし、環境で何かを変更するアクションの実行は制限されます。

注: [役割と許可] ページは、個々のアカウント レベルではなく、AD グループ レベルで機能するため、組織の要件に応じて、AD グループに適切な個人のアカウントが含まれていることを確認する必要があります。

ユーザーのアクセスをコンソールのヘルプ デスク機能に制限し、実行できる機能をユーザー カードでのアクションに制限する

個人がコンソールにログインして、コンソールのすべての領域ではなく、ヘルプデスク関連の機能にのみアクセスできるようにし、その一方でヘルプデスク関連のアクションを実行できるようにする場合、次の両方の条件が満たされていることを確認する必要があります。

  • [全般設定] ページの [My VMware アカウント] 領域で、Customer Helpdesk ロールを My VMware アカウントに割り当てます。個人のアカウントに別のロールがリストされている場合は、[My VMware アカウント] セクションからその行を一度削除し、次に Customer Helpdesk ロールを指定して再度追加することができます。
  • [役割と許可] ページで、Help Desk Administrator ロールをその個人の Active Directory グループに割り当てます。

これらの条件が両方とも満たされると、個人はコンソールにログインし、ヘルプデスク関連の機能を参照して、ヘルプデスク関連のアクションを実行できるようになります。

注: [役割と許可] ページは、個々のアカウント レベルではなく、AD グループ レベルで機能するため、組織の要件に応じて、AD グループに適切な個人のアカウントが含まれていることを確認する必要があります。

ユーザーのアクセスをコンソールのヘルプデスク機能に対する読み取り専用アクセスに制限する

個人がコンソールにログインして、ヘルプデスク関連の機能に読み取り専用でアクセスできるようにし、その一方でヘルプデスク関連のアクションは実行できないようにする場合、次の両方の条件が満たされていることを確認する必要があります。

  • [全般設定] ページの [My VMware アカウント] 領域で、Customer Helpdesk Read-Only ロールを My VMware アカウントに割り当てます。個人のアカウントに別のロールがリストされている場合は、[My VMware アカウント] セクションからその行を一度削除し、次に Customer Helpdesk Read-Only ロールを指定して再度追加することができます。
  • [役割と許可] ページで、Help Desk Read Only Administrator ロールをその個人の Active Directory グループに割り当てます。

これらの条件が両方とも満たされると、個人はコンソールにログインして、ヘルプデスク関連の機能を読み取り専用で使用できるようになります。

注: [役割と許可] ページは、個々のアカウント レベルではなく、AD グループ レベルで機能するため、組織の要件に応じて、AD グループに適切な個人のアカウントが含まれていることを確認する必要があります。

ユーザーのアクセスをコンソールの割り当ておよびファーム関連機能に制限する

個人がコンソールにアクセスして、エンドユーザーの割り当てとファームの管理に関連する操作を実行できるようにし、コンソールのその他すべての領域への読み取り専用アクセスを行えるようにする場合は、次の両方の条件が満たされていることを確認する必要があります。

  • [全般設定] ページの [My VMware アカウント] 領域で、Customer Assignment Administrator ロールを My VMware アカウントに割り当てます。個人のアカウントに別のロールがリストされている場合は、[My VMware アカウント] セクションからその行を一度削除し、次に Customer Assignment Administrator ロールを指定して再度追加することができます。
  • [役割と許可] ページで、Assignment Administrator ロールをその個人の Active Directory グループに割り当てます。

これらの条件が両方とも満たされると、個人はコンソールにログインし、コンソールのすべてのページに移動して表示し、エンドユーザーの割り当てとファームを作成、変更、または削除するアクションを実行できるようになります。また、仮想マシンの構成、電源管理、リモート アプリケーションの構成など、割り当てとファームの管理に関連する操作を実行することもできるようになります。

注: [役割と許可] ページは、個々のアカウント レベルではなく、AD グループ レベルで機能するため、組織の要件に応じて、AD グループに適切な個人のアカウントが含まれていることを確認する必要があります。

コンソールのすべての領域とアクションに対するフル アクセスをユーザーに許可する

個人にコンソールへのフル アクセスを許可し、コンソールのすべての領域を表示し、テナント環境で何かを変更するアクションを呼び出すことができるようにする場合は、次の両方の条件が満たされていることを確認する必要があります。

  • [全般設定] ページの [My VMware アカウント] 領域で、Customer Administrator ロールを My VMware アカウントに割り当てます。個人のアカウントに別のロールがリストされている場合は、[My VMware アカウント] セクションからその行を一度削除し、次に Customer Administrator ロールを指定して再度追加することができます。
  • [役割と許可] ページで、Super Administrator ロールをその個人の Active Directory グループに割り当てます。

これらの条件が両方とも満たされると、個人はコンソールにログインし、コンソールのすべてのページに移動し、環境で何かを変更するアクションを実行できるようになります。

注: [役割と許可] ページは、個々のアカウント レベルではなく、AD グループ レベルで機能するため、組織の要件に応じて、AD グループに適切な個人のアカウントが含まれていることを確認する必要があります。