IDFW はユーザー ID に基づいてファイアウォールを許可することにより、従来のファイアウォールを強化します。たとえば、管理者は単一のファイアウォール ポリシーを使用して、カスタマー サポートのスタッフに人事データベースへのアクセスを許可または禁止することができます。

ID ベースのファイアウォール ルールは、Active Directory (AD) グループのメンバーシップによって決定されます。Identity Firewall でサポートされる構成を参照してください。

IDFW は、ファイアウォール ルールでのみ、送信元でユーザー ID を処理します。ID ベースのグループは、ファイアウォール ルールの宛先として使用できません。

注: Identity Firewall ルールを適用する場合、Active Directory を使用するすべての仮想マシンで Windows Time サービスを [有効] にする必要があります。これにより、Active Directory と仮想マシン間で日付と時刻が同期されるようになります。ユーザーの有効化や削除などの Active Directory グループ メンバーシップの変更は、ログインしているユーザーにすぐに反映されません。ユーザーに変更を反映させるには、ログオフして再度ログインする必要があります。グループ メンバーシップが変更されたときに、Active Directory 管理者がログアウトを強制的に実行することをおすすめします。これは、Active Directory の制限が原因で発生しています。

前提条件

仮想マシンで Windows 自動ログインが有効になっている場合は、[ローカル コンピューター ポリシー] > [コンピューターの構成] > [管理テンプレート] > [システム] > [ログオン] の順に移動して、[コンピューターの起動およびログオンで常にネットワークを待つ] を有効にします。

サポートされている IDFW 構成については、Identity Firewall でサポートされる構成を参照してください。

手順

  1. NSX ファイル イントロスペクション ドライバと NSX ネットワーク イントロスペクション ドライバ(デフォルトでは VMware Tools のフル インストールで追加されます)、またはイベント ログ スクレイピングを有効にします。Identity Firewall イベント ログ ソースを参照してください。

    イベント ログ スクレイピングにより、物理デバイスの IDFW が有効になります。仮想マシンではイベント ログ スクレイピングを使用できますが、ゲスト イントロスペクションはイベント ログ スクレイピングよりも優先されます。ゲスト イントロスペクションは VMware Tools を使用して有効になります。完全なVMware Tools インストールと IDFW を使用している場合、ゲスト イントロスペクションはイベント ログ スクレイピングよりも優先されます。

  2. DFW および GFW での Identity Firewall の有効化 で)と呼ばれます。
  3. Active Directory とイベント ログ スクレイピング(Active Directory とイベント ログ スクレイピングの構成)を構成します。前者は必須、後者はオプションです。
  4. Active Directory 同期操作を構成します(Active Directory の同期)。
  5. Active Directory グループ メンバーを含むグループを作成します(グループの追加)。
  6. Active Directory グループ メンバーを含むグループを分散ファイアウォール ルールまたはゲートウェイ ファイアウォール ルールに割り当てます。ゲスト イントロスペクションを使用して DFW ルールを作成する場合は、[適用先] フィールドが宛先グループに適用されていることを確認します。分散ファイアウォールの追加[送信元] フィールドは、Active Directory ベースのグループにする必要があります。