このドキュメントのトピックでは、ユーザーが Horizon Universal Console にログインして Horizon Cloud 環境で作業する際にユーザーに付与する必要がある 2 種類のロールに関するベスト プラクティスについて説明します。ロールの 1 つは、Horizon Universal Console ユーザー インターフェイス自体のさまざまな部分を有効または無効にするために使用されます。もう 1 つは、そのロールが割り当てられたユーザーによって呼び出すことができるアクションを決定するために使用されます。特定のユーザーに付与する 2 つのロールの最終的な組み合わせが、そのユーザーに求められる結果を反映していることを確認する必要があります。
次のセクションでは、一般的な組織の標準シナリオに基づいて使用する 2 種類のロールとベスト プラクティスの組み合わせについて説明します。
- その機能が最新の第 1 世代の Horizon Cloud ポッド マニフェスト、Horizon ポッドのバージョン、または Horizon Cloud Connector のバージョンでのみ使用可能なシステム コードに依存するかどうか。
- 機能が初登場したときに、リリース ノートに記載されているように制限付きで機能へのアクセスが提供されるかどうか。
- 機能に特定のライセンスまたは SKU が必要かどうか。
このドキュメントに機能の記載があり、第 1 世代のコンソールにその機能が表示されない場合は、まずリリース ノートを読み、その機能のアクセスが制限されているかどうか、およびテナントで有効化をリクエストする方法について確認します。または、このドキュメントに記載されている機能を使用する資格があり、コンソールにその機能が表示されない場合は、VMware Horizon Cloud Service の担当者に問い合わせるか、担当者がいない場合は Customer Connect でサポート リクエストを発行する方法 (VMware KB 2006985)の記載内容に従って、サービス リクエストを Horizon Cloud Service チームに発行することができます。
割り当てられたロールを持つ Active Directory グループ内のユーザーに対してコンソールのユーザー インターフェイスのさまざまな部分を有効または無効にするロール
これらのロールはシステムで事前に定義されており、Active Directory グループに関連付けられています。個人が Horizon Cloud 環境に対して認証されると、コンソールは、個人のアカウントが配置されている Active Directory (AD) グループを検出します。また、コンソールは、コンソールの [役割と許可] ページでこれらのロールのどちらが AD グループに割り当てられているかも識別します。次に、ユーザーがコンソールのユーザー インターフェイス ページ、タブ、およびウィンドウを移動すると、それらのアイテムは、ユーザーの AD グループに割り当てられたロールに応じて有効または無効として表示されます。
これらの各ロールは、AD グループのレベルで適用します。これらは個人レベルではなくグループ レベルで適用されるため、同じ AD グループ内のすべての個人は、コンソールの [役割と許可] ページを使用してその Active Directory グループに割り当てられたロールを取得します。管理者は、AD 環境の AD グループに含まれる個人を制御します。したがって、AD 環境内の個人をある AD グループから別のグループに移動するときは、他の割り当てられたロール(My VMware アカウントに割り当てられているロール)と引き続き一致するロールの 1 つを持つグループに移動する必要があります。ある AD グループから別のグループに個人を移動するときは、個人の新しい AD グループに割り当てられたこのロール タイプのロールとの整合性を保つように他の種類のロール(個人の My VMware アカウントに割り当てられているロール)を調整する必要があるかどうかを検証する必要があります。
これらのロールの 1 つの例は、Help Desk Read Only Administrator
ロールです。[役割と許可] ページで AD グループにそのロールが割り当てられると、コンソールではそのグループの個人がエンド ユーザーのユーザー カードに移動して情報を表示できますが、デスクトップで操作を実行することはできません。
My VMware アカウントにロールが割り当てられているユーザーが呼び出すことができるアクションを決定するロール
他のロール タイプと同様に、これらのロールはシステムで事前定義されています。これらのロールは、[全般設定] ページの [My VMware アカウント] 領域で構成されている My VMware アカウントに関連しています。個人が Horizon Cloud 環境に対して認証されると、コンソールは、ログイン セッションの認証に使用された My VMware アカウントに割り当てられているロールを検出します。次に、ユーザーがコンソールでアクションを呼び出そうとすると、システムは、[全般設定] ページでログインしたユーザーの My VMware アカウントに割り当てられているこのロールに応じて、API 呼び出しの実行を許可または禁止します。
その結果、コンソールへの最初の認証後、この割り当てられたロールは他のタイプの割り当てられたロールと連携して機能することが多くなります。
- ユーザーがコンソールのユーザー インターフェイス ページ、タブ、およびウィンドウを移動すると、ユーザーの AD グループに割り当てられたロールに応じてユーザー インターフェイス要素が有効または無効として表示されます。
- ユーザーが API 呼び出しを実行するボタンをクリックしてアクションを実行すると、My VMware アカウントに割り当てられたロールがそのアクションの実行を許可しない場合、API 呼び出しは実行されず、アクションは完了しません。
5 つの標準的なベスト プラクティスのロールの組み合わせ
次の表に従って個人の 2 つのロールが調整されていない場合、矛盾する動作が発生する可能性があるため、次の表に従って組織の個人に付与されたロールを調整することをお勧めします。システムは、AD グループ内の個人の My VMware アカウントに割り当てられたロールよりも制限の少ないロールをそのグループに割り当てることを妨げません。個人が複数の AD グループに属している場合は、[役割と許可] ページでそれらのグループに割り当てられているロールが相互に整合性が取られ、また、個人の My VMware アカウントのロールと整合性が取られていることを確認してください。
[全般設定] ページでのユーザーの My VMware アカウントのロール | [ロールと許可] ページでのユーザーの Active Directory グループのロール | 説明 |
---|---|---|
顧客管理者 | スーパー管理者 | コンソールのすべての領域を表示し、コンソールですべてのアクションを実行するためのフル アクセス。 |
顧客割り当て管理者 | 割り当て管理者 | コンソールのすべての領域を表示し、エンドユーザーの割り当てとファームの変更および管理に関連するアクションを実行できます。 |
顧客管理者 (読み取り専用) | デモ管理者 | コンソールのすべての領域の表示、設定の表示、追加の選択肢を表示するオプションの選択が可能です。アイテムの削除など、環境を変更するアクションを呼び出す機能はありません。この組み合わせの使用例は、システムへの変更を回避しながら、組織内のユーザーがログインしてシステムの機能を別のユーザーにデモンストレーションすることです。 |
顧客ヘルプデスク | ヘルプ デスク管理者 | コンソールのヘルプデスク関連領域を表示し、コンソールが提供するすべてのヘルプデスク関連アクションを実行するためのアクセス。この組み合わせの目的は、ユーザーがユーザー カード機能を使用して、エンド ユーザー セッションのステータスを確認し、セッションのトラブルシューティングを実行することです。 |
顧客ヘルプデスク (読み取り専用) | ヘルプ デスク読み取り専用管理者 | コンソールのヘルプデスク関連の領域を表示し、ユーザー カードのエンド ユーザー セッションのステータスを確認するためのアクセス。ヘルプデスク関連のアクションを呼び出す機能は使用できません。 |
ユーザーを読み取り専用に制限し、コンソールのすべての領域でコンソールへのアクセスを表示する
個人がコンソールのすべてのユーザー インターフェイス ページを参照し、ダイアログを開いてレポートを表示できるようにする一方で、テナント環境で何かを変更するアクションを呼び出すことができないようにするには、次の両方の条件が満たされている必要があります。
- [全般設定] ページの [My VMware アカウント] 領域で、
Customer Administrator Read-Only
ロールを My VMware アカウントに割り当てます。個人のアカウントに別のロールがリストされている場合は、[My VMware アカウント] セクションからその行を一度削除し、次にCustomer Administrator Read-Only
ロールを指定して再度追加することができます。 - [役割と許可] ページで、
Demo Administrator
ロールをその個人の Active Directory グループに割り当てます。
これらの条件が両方とも満たされると、個人はコンソールにログインし、コンソールのすべてのページに移動し、ページを参照し、ダイアログを開いてレポートを表示できるようになります。ただし、環境で何かを変更するアクションの実行は制限されます。
ユーザーのアクセスをコンソールのヘルプ デスク機能に制限し、実行できる機能をユーザー カードでのアクションに制限する
個人がコンソールにログインして、コンソールのすべての領域ではなく、ヘルプデスク関連の機能にのみアクセスできるようにし、その一方でヘルプデスク関連のアクションを実行できるようにする場合、次の両方の条件が満たされていることを確認する必要があります。
- [全般設定] ページの [My VMware アカウント] 領域で、
Customer Helpdesk
ロールを My VMware アカウントに割り当てます。個人のアカウントに別のロールがリストされている場合は、[My VMware アカウント] セクションからその行を一度削除し、次にCustomer Helpdesk
ロールを指定して再度追加することができます。 - [役割と許可] ページで、
Help Desk Administrator
ロールをその個人の Active Directory グループに割り当てます。
これらの条件が両方とも満たされると、個人はコンソールにログインし、ヘルプデスク関連の機能を参照して、ヘルプデスク関連のアクションを実行できるようになります。
ユーザーのアクセスをコンソールのヘルプデスク機能に対する読み取り専用アクセスに制限する
個人がコンソールにログインして、ヘルプデスク関連の機能に読み取り専用でアクセスできるようにし、その一方でヘルプデスク関連のアクションは実行できないようにする場合、次の両方の条件が満たされていることを確認する必要があります。
- [全般設定] ページの [My VMware アカウント] 領域で、
Customer Helpdesk Read-Only
ロールを My VMware アカウントに割り当てます。個人のアカウントに別のロールがリストされている場合は、[My VMware アカウント] セクションからその行を一度削除し、次にCustomer Helpdesk Read-Only
ロールを指定して再度追加することができます。 - [役割と許可] ページで、
Help Desk Read Only Administrator
ロールをその個人の Active Directory グループに割り当てます。
これらの条件が両方とも満たされると、個人はコンソールにログインして、ヘルプデスク関連の機能を読み取り専用で使用できるようになります。
ユーザーのアクセスをコンソールの割り当ておよびファーム関連機能に制限する
個人がコンソールにアクセスして、エンドユーザーの割り当てとファームの管理に関連する操作を実行できるようにし、コンソールのその他すべての領域への読み取り専用アクセスを行えるようにする場合は、次の両方の条件が満たされていることを確認する必要があります。
- [全般設定] ページの [My VMware アカウント] 領域で、
Customer Assignment Administrator
ロールを My VMware アカウントに割り当てます。個人のアカウントに別のロールがリストされている場合は、[My VMware アカウント] セクションからその行を一度削除し、次にCustomer Assignment Administrator
ロールを指定して再度追加することができます。 - [役割と許可] ページで、
Assignment Administrator
ロールをその個人の Active Directory グループに割り当てます。
これらの条件が両方とも満たされると、個人はコンソールにログインし、コンソールのすべてのページに移動して表示し、エンドユーザーの割り当てとファームを作成、変更、または削除するアクションを実行できるようになります。また、仮想マシンの構成、電源管理、リモート アプリケーションの構成など、割り当てとファームの管理に関連する操作を実行することもできるようになります。
コンソールのすべての領域とアクションに対するフル アクセスをユーザーに許可する
個人にコンソールへのフル アクセスを許可し、コンソールのすべての領域を表示し、テナント環境で何かを変更するアクションを呼び出すことができるようにする場合は、次の両方の条件が満たされていることを確認する必要があります。
- [全般設定] ページの [My VMware アカウント] 領域で、
Customer Administrator
ロールを My VMware アカウントに割り当てます。個人のアカウントに別のロールがリストされている場合は、[My VMware アカウント] セクションからその行を一度削除し、次にCustomer Administrator
ロールを指定して再度追加することができます。 - [役割と許可] ページで、
Super Administrator
ロールをその個人の Active Directory グループに割り当てます。
これらの条件が両方とも満たされると、個人はコンソールにログインし、コンソールのすべてのページに移動し、環境で何かを変更するアクションを実行できるようになります。