Identity Firewall (IDFW) 機能を使用すると、NSX 管理者は Active Directory ユーザーベースの分散ファイアウォール (DFW) ルールを作成できます。

IDFW は、仮想デスクトップ (VDI)、リモート デスクトップ セッション（RDSH サポート）、物理マシンで使用できます。複数のユーザーによる同時ログインや、要件に基づくアプリケーションへのユーザー アクセスを可能にし、独立したユーザー環境を維持できます。VDI 管理システムは、VDI 仮想マシンへのアクセス権を付与するユーザーを制御します。NSX は、送信元の仮想マシン (VM) から宛先サーバへのアクセスを制御します。ここでは IDFW が有効になっています。RDSH を使用して、管理者は Active Directory (AD) 内のさまざまなユーザーを含むセキュリティ グループを作成し、そのユーザーのロールに基づいてアプリケーション サーバへのアクセスを許可または拒否します。たとえば、人事およびエンジニアリングは同じ RDSH サーバに接続し、このサーバから異なるアプリケーションにアクセスできます。

ファイアウォール ルールを適用するため、Active Directory (AD) ユーザーがログインするデスクトップを IDFW が識別できるようにする必要があります。IDFW がログイン検出に使用する方法には、ゲスト イントロスペクション (GI) とイベント ログ スクレイピングの 2 つがあります。ゲスト イントロスペクションは、IDFW 仮想マシンを実行する ESXi クラスタに展開します。ネットワーク イベントがユーザーによって生成されると、仮想マシンにインストールされたゲスト エージェントは、ゲスト イントロスペクション フレームワークを介して NSX Manager に情報を転送します。第 2 のオプションは、Active Directory イベント ログ スクレイパです。イベント ログ スクレイピングにより、物理デバイスの IDFW が有効になります。NSX Manager で、Active Directory ドメイン コントローラのインスタンスにポイントするように Active Directory イベント ログ スクレイパを構成します。これにより、NSX Manager は Active Directory セキュリティ イベント ログからイベントを取得できるようになります。

仮想マシンでイベント ログ スクレイピングを使用できますが、Active Directory ログ スクレイパとゲスト イントロスペクションの両方を使用すると、ゲスト イントロスペクションがイベント ログ スクレイピングよりも優先されます。ゲスト イントロスペクションは VMware Tools を使用して有効になります。完全なVMware Tools インストールと IDFW を使用している場合、ゲスト イントロスペクションはイベント ログ スクレイピングよりも優先されます。

IDFW は、サポート対象のオペレーティング システムが実行されている仮想マシンでも使用できます。「Identity Firewall でサポートされる構成」を参照してください。

IDFW は、ファイアウォール ルールでのみ、送信元でユーザー ID を処理します。ユーザー ID が処理される送信元で送信されたトラフィックのみが IDFW ルールの対象となります。ID ベースのグループは、ファイアウォール ルールの宛先として使用できません。

ID ベースのファイアウォール ルールは、Active Directory (AD) グループのメンバーシップによって決定されます。IDFW ルールを機能させるために、Active Directory ユーザーを含む OU と、そのユーザーが存在する Active Directory グループを含む OU の両方を、[同期する部門名] に追加する必要があります。サポートされている IDFW 構成およびプロトコルについては、「Identity Firewall でサポートされる構成」を参照してください。

フェデレーション環境のグローバル マネージャでは、IDFW ルールはサポートされません。ローカル マネージャで IDFW ルールを作成することで、フェデレーション サイトのローカルで IDFW を使用できます。