ESXi ホストのセキュリティを向上させるために、ロックダウン モードにすることができます。ロックダウン モードでは、デフォルトで vCenter Server から操作を実行する必要があります。

vSphere 6.0 以降では、通常ロックダウン モードまたは厳密なロックダウン モードを選択し、程度の異なるロックダウン機能を提供することができます。vSphere 6.0 には、例外ユーザー リストも導入されています。ホストがロックダウン モードになっても、例外ユーザーは自分に付与された権限を失いません。例外ユーザー リストを使用して、ホストがロックダウン モードのときに、ホストに直接アクセスする必要があるサードパーティのソリューションおよび外部アプリケーションのアカウントを追加します。ロックダウン モード例外ユーザーの指定 を参照してください。

通常ロックダウン モードと厳密なロックダウン モード

vSphere 6.0 以降では、通常ロックダウン モードまたは厳密なロックダウン モードを選択し、程度の異なるロックダウン機能を提供することができます。

通常ロックダウン モード

通常ロックダウン モードでは、DCUI サービスが停止しません。vCenter Server システムへの接続が失われ、vSphere Web Client 経由でアクセスできなくなった場合は、権限のあるアカウントで ESXi ホストのダイレクト コンソール インターフェイスにログインし、ロックダウン モードを終了することができます。ダイレクト コンソール ユーザー インターフェイスには、次のアカウントのみがアクセスできます。

  • ホストでの管理権限を持っている、ロックダウン モードの例外ユーザー リストにあるアカウント。例外ユーザー リストは、非常に特殊なタスクを実行するサービス アカウントのリストです。このリストに ESXi 管理者を追加することは、ロックダウン モードの趣旨に反します。

  • ホストの DCUI.Access 詳細オプションに定義されているユーザー。このオプションは、vCenter Server への接続が失われた場合に、ダイレクト コンソール インターフェイスに緊急アクセスするためのものです。これらのユーザーにホストでの管理権限は不要です。

厳密なロックダウン モード

厳密なロックダウン モードは vSphere 6.0 の新機能であり、このモードでは DCUI サービスが停止します。vCenter Server への接続が失われ、vSphere Web Client が使用できなくなると、ESXi Shell サービスと SSH サービスが有効で、かつ例外ユーザーが定義されていない限り、ESXi ホストが使用できなくなります。vCenter Server システムへの接続を回復できない場合は、ホストを再インストールする必要があります。

ロックダウン モードと ESXi Shell および SSH サービス

厳密なロックダウン モードでは DCUI サービスが停止します。ただし、ESXi Shell サービスと SSH サービスは、ロックダウン モードに依存しません。ロックダウン モードを有効なセキュリティ対策とするため、ESXi Shell サービスと SSH サービスも必ず無効化してください。それらのサービスは、デフォルトで無効になっています。

ホストがロックダウン モードになっている場合、例外ユーザー リストのユーザーは、ホストでの管理者ロールを持っていれば、ESXi Shell から、および SSH を介して、そのホストにアクセスすることができます。このアクセスは、厳密なロックダウン モードになっている場合でも可能です。ESXi Shell サービスと SSH サービスを無効のままにするのが最も安全なオプションです。

注:

例外ユーザー リストは、ホストのバックアップなどの特殊なタスクを実行するサービス アカウントを登録するために用意されたものであり、管理者を対象とするものではありません。管理者を例外ユーザー リストに追加するのは、ロックダウン モードの目的を無視した使い方です。

ロックダウン モードの有効化と無効化

権限を持つユーザーは、いくつかの方法でロックダウン モードを有効化することができます。

権限を持つユーザーは、vSphere Web Client からロックダウン モードを無効化することができます。通常ロックダウン モードはダイレクト コンソール インターフェイスから無効化することができますが、厳密なロックダウン モードはダイレクト コンソール インターフェイスから無効化することはできません。

注:

ダイレクト コンソール ユーザー インターフェイスを使用してロックダウン モードを有効または無効にする場合、ホスト上のユーザーおよびグループの権限は破棄されます。これらのアクセス許可を保存するため、vSphere Web Client を使用してロックダウン モードを有効化および無効化することができます。