このドキュメントのトピックでは、ユーザーが Horizon Cloud 管理コンソール にログインして Horizon Cloud 環境で作業する際にユーザーに付与する必要がある 2 種類のロールに関するベスト プラクティスについて説明します。ロールの 1 つは、Horizon Cloud 管理コンソール ユーザー インターフェイス自体のさまざまな部分を有効または無効にするために使用されます。もう 1 つは、そのロールが割り当てられたユーザーによって呼び出すことができるアクションを決定するために使用されます。特定のユーザーに付与する 2 つのロールの最終的な組み合わせが、そのユーザーに求められる結果を反映していることを確認する必要があります。

重要: ロールの 1 つはユーザーがコンソールに表示できるものを管理し、もう 1 つはアクションの呼び出しを管理するため、特定のユーザーが持つ 2 つのロールの全体的な組み合わせが、そのユーザーに求められる結果を反映していることを確認する必要があります。次のセクションでは、ベスト プラクティスの組み合わせについて説明します。これらのベスト プラクティスに従わないと、矛盾が発生する可能性があります。たとえば、割り当てられたロールがここで説明されているガイダンスに一致しない場合、ユーザーがコンソールにログインした後、ユーザーに実行させたいアクションを実行できなかったり、実行させたくないアクションを実行できたりする可能性があります。したがって、 [全般設定] ページの [My VMware アカウント] 領域のユーザーのロールを、 [役割と許可] ページでそのユーザーの Active Directory グループに割り当てられているロールに一致させることが重要です。

次のセクションでは、一般的な組織の標準シナリオに基づいて使用する 2 種類のロールとベスト プラクティスの組み合わせについて説明します。

割り当てられたロールを持つ Active Directory グループ内のユーザーに対してコンソールのユーザー インターフェイスのさまざまな部分を有効または無効にするロール

これらのロールはシステムで事前に定義されており、Active Directory グループに関連付けられています。個人が Horizon Cloud 環境に対して認証されると、コンソールは、個人のアカウントが配置されている Active Directory グループを検出します。また、コンソールは、コンソールの [役割と許可] ページでこれらのロールのどちらが Active Directory グループに割り当てられているかも識別します。次に、ユーザーがコンソールのユーザー インターフェイス ページ、タブ、およびウィンドウを移動すると、それらのアイテムは、ユーザーの Active Directory グループに割り当てられたロールに応じて有効または無効として表示されます。

重要: これは、これらのロールを個別の Active Directory ユーザー アカウントではなくグループにのみ割り当てることができるため、同じ Active Directory ドメイン グループにこれらの 2 つのロールを割り当てることを避ける必要があることを意味します。これらのロールの 2 つを同じ Active Directory グループに付与し、そのグループのユーザーがログインした場合、両方のロールがそのユーザーのグループに割り当てられていることをコンソールが識別すると、ユーザー インターフェイス ページを移動するときに非アクティブ化されたアイテムが表示される場合があります。これは、2 つのロールのいずれかがそれらのアイテムへのアクセスを妨げるためです。

これらの各ロールは、Active Directory グループレベルで適用します。これらは個人レベルではなくグループ レベルで適用されるため、同じ Active Directory グループ内のすべての個人は、コンソールの [役割と許可] ページを使用してその Active Directory グループに割り当てられたロールを取得します。管理者は、Active Directory 環境の Active Directory グループに含まれる個人を制御します。したがって、Active Directory 環境内の個人をある Active Directory グループから別のグループに移動するときは、他の割り当てられたロール(My VMware アカウントに割り当てられているロール)と引き続き一致するロールの 1 つを持つグループに移動する必要があります。ある Active Directory グループから別のグループに個人を移動するときは、個人の新しい Active Directory グループに割り当てられたこのロール タイプのロールとの整合性を保つように他の種類のロール(個人の My VMware アカウントに割り当てられているロール)を調整する必要があるかどうかを検証する必要があります。

これらのロールの 1 つの例は、Help Desk Read Only Administrator ロールです。[役割と許可] ページで Active Directory グループにそのロールが割り当てられると、コンソールではそのグループの個人がエンド ユーザーのユーザー カードに移動して情報を表示できますが、デスクトップで操作を実行することはできません。

My VMware アカウントにロールが割り当てられているユーザーが呼び出すことができるアクションを決定するロール

他のロール タイプと同様に、これらのロールはシステムで事前定義されています。これらのロールは、[全般設定] ページの [My VMware アカウント] 領域で構成されている My VMware アカウントに関連しています。個人が Horizon Cloud 環境に対して認証されると、コンソールは、ログイン セッションの認証に使用された My VMware アカウントに割り当てられているロールを検出します。次に、ユーザーがコンソールでアクションを呼び出そうとすると、システムは、[全般設定] ページでログインしたユーザーの My VMware アカウントに割り当てられているこのロールに応じて、API 呼び出しの実行を許可または禁止します。

その結果、コンソールへの最初の認証後、この割り当てられたロールは他のタイプの割り当てられたロールと連携して機能することが多くなります。

  1. ユーザーがコンソールのユーザー インターフェイス ページ、タブ、およびウィンドウを移動すると、ユーザーの Active Directory グループに割り当てられたロールに応じてユーザー インターフェイス要素が有効または無効として表示されます。
  2. ユーザーが API 呼び出しを実行するボタンをクリックしてアクションを実行すると、My VMware アカウントに割り当てられたロールがそのアクションの実行を許可しない場合、API 呼び出しは実行されず、アクションは完了しません。
重要: コンソールで、このロールがユーザーの Active Directory グループに割り当てられたロールと連携して動作する場合(後者はアクティブなコンソール要素を決定し、前者は要素がクリックされたときに実行を完了できるアクションを決定します)、特定のユーザーが持つ 2 つのロールの全体的な組み合わせが、そのユーザーに求められる結果を反映していることを確認する必要があります。反映していない場合は、矛盾した結果が生じる可能性があります。ある Active Directory グループから別のグループに個人を移動するときは、My VMware アカウントのロールが新しい Active Directory グループのロールと一致していることを確認し、必要に応じて調整します。次のセクションでは、標準のベスト プラクティスの組み合わせについて説明します。

4つの標準的なベスト プラクティスのロールの組み合わせ

次の表に従って個人の 2 つのロールが調整されていない場合、矛盾する動作が発生する可能性があるため、次の表に従って組織の個人に付与されたロールを調整することをお勧めします。システムは、そのグループ内の個人の My VMware アカウントに割り当てられたロールよりも制限の少ないロールを Active Directory グループに割り当てることを妨げません。個人が複数の Active Directory グループに属している場合は、[役割と許可] ページでそれらのグループに割り当てられているロールが相互に調整され、また、個人の My VMware アカウントのロールと調整されていることを確認してください。

[全般設定] ページでのユーザーの My VMware アカウントのロール [ロールと許可] ページでのユーザーの Active Directory グループのロール 説明
顧客管理者 スーパー管理者 コンソールのすべての領域を表示し、コンソールですべてのアクションを実行するためのフル アクセス。
顧客管理者 (読み取り専用) デモ管理者 コンソールのすべての領域の表示、設定の表示、追加の選択肢を表示するオプションの選択が可能です。アイテムの削除など、環境を変更するアクションを呼び出す機能はありません。この組み合わせの使用例は、システムへの変更を回避しながら、組織内のユーザーがログインしてシステムの機能を別のユーザーにデモンストレーションすることです。
顧客ヘルプデスク ヘルプ デスク管理者 コンソールのヘルプデスク関連領域を表示し、コンソールが提供するすべてのヘルプデスク関連アクションを実行するためのアクセス。この組み合わせの目的は、ユーザーがユーザー カード機能を使用して、エンド ユーザー セッションのステータスを確認し、セッションのトラブルシューティングを実行することです。
顧客ヘルプデスク (読み取り専用) ヘルプ デスク読み取り専用管理者 コンソールのヘルプデスク関連の領域を表示し、ユーザー カードのエンド ユーザー セッションのステータスを確認するためのアクセス。ヘルプデスク関連のアクションを呼び出す機能は使用できません。

ユーザーを読み取り専用に制限し、コンソールのすべての領域でコンソールへのアクセスを表示する

個人がコンソールのすべてのユーザー インターフェイス ページを参照し、ダイアログを開いてレポートを表示できるようにする一方で、テナント環境で何かを変更するアクションを呼び出すことができないようにするには、次の両方の条件が満たされている必要があります。

  • [全般設定] ページの [My VMware アカウント] 領域で、Customer Administrator Read-Only ロールを My VMware アカウントに割り当てます。個人のアカウントに別のロールがリストされている場合は、[My VMware アカウント] セクションからその行を一度削除し、次に Customer Administrator Read-Only ロールを指定して再度追加することができます。
  • [役割と許可] ページで、Demo Administrator ロールをその個人の Active Directory グループに割り当てます。

これらの条件が両方とも満たされると、個人はコンソールにログインし、コンソールのすべてのページに移動し、ページを参照し、ダイアログを開いてレポートを表示できるようになります。ただし、環境で何かを変更するアクションの実行は制限されます。

注: [役割と許可] ページは、個々のアカウント レベルではなく、Active Directory グループ レベルで機能するため、組織の要件に応じて、Active Directory グループに適切な個人のアカウントが含まれていることを確認する必要があります。

ユーザーのアクセスをコンソールのヘルプ デスク機能に制限し、実行できる機能をユーザー カードでのアクションに制限する

個人がコンソールにログインして、コンソールのすべての領域ではなく、ヘルプデスク関連の機能にのみアクセスできるようにし、その一方でヘルプデスク関連のアクションを実行できるようにする場合、次の両方の条件が満たされていることを確認する必要があります。

  • [全般設定] ページの [My VMware アカウント] 領域で、Customer Helpdesk ロールを My VMware アカウントに割り当てます。個人のアカウントに別のロールがリストされている場合は、[My VMware アカウント] セクションからその行を一度削除し、次に Customer Helpdesk ロールを指定して再度追加することができます。
  • [役割と許可] ページで、Help Desk Administrator ロールをその個人の Active Directory グループに割り当てます。

これらの条件が両方とも満たされると、個人はコンソールにログインし、ヘルプデスク関連の機能を参照して、ヘルプデスク関連のアクションを実行できるようになります。

注: [役割と許可] ページは、個々のアカウント レベルではなく、Active Directory グループ レベルで機能するため、組織の要件に応じて、Active Directory グループに適切な個人のアカウントが含まれていることを確認する必要があります。

ユーザーのアクセスをコンソールのヘルプデスク機能に対する読み取り専用アクセスに制限する

個人がコンソールにログインして、ヘルプデスク関連の機能に読み取り専用でアクセスできるようにし、その一方でヘルプデスク関連のアクションは実行できないようにする場合、次の両方の条件が満たされていることを確認する必要があります。

  • [全般設定] ページの [My VMware アカウント] 領域で、Customer Helpdesk Read-Only ロールを My VMware アカウントに割り当てます。個人のアカウントに別のロールがリストされている場合は、[My VMware アカウント] セクションからその行を一度削除し、次に Customer Helpdesk Read-Only ロールを指定して再度追加することができます。
  • [役割と許可] ページで、Help Desk Read Only Administrator ロールをその個人の Active Directory グループに割り当てます。

これらの条件が両方とも満たされると、個人はコンソールにログインして、ヘルプデスク関連の機能を読み取り専用で使用できるようになります。

注: [役割と許可] ページは、個々のアカウント レベルではなく、Active Directory グループ レベルで機能するため、組織の要件に応じて、Active Directory グループに適切な個人のアカウントが含まれていることを確認する必要があります。

コンソールのすべての領域とアクションに対するフル アクセスをユーザーに許可する

個人にコンソールへのフル アクセスを許可し、コンソールのすべての領域を表示し、テナント環境で何かを変更するアクションを呼び出すことができるようにする場合は、次の両方の条件が満たされていることを確認する必要があります。

  • [全般設定] ページの [My VMware アカウント] 領域で、Customer Administrator ロールを My VMware アカウントに割り当てます。個人のアカウントに別のロールがリストされている場合は、[My VMware アカウント] セクションからその行を一度削除し、次に Customer Administrator ロールを指定して再度追加することができます。
  • [役割と許可] ページで、Super Administrator ロールをその個人の Active Directory グループに割り当てます。

これらの条件が両方とも満たされると、個人はコンソールにログインし、コンソールのすべてのページに移動し、環境で何かを変更するアクションを実行できるようになります。

注: [役割と許可] ページは、個々のアカウント レベルではなく、Active Directory グループ レベルで機能するため、組織の要件に応じて、Active Directory グループに適切な個人のアカウントが含まれていることを確認する必要があります。