ESXi ホストのセキュリティを向上させるために、ロックダウン モードにすることができます。ロックダウン モードでは、デフォルトで vCenter Server から操作を実行する必要があります。

通常ロックダウン モードと厳密なロックダウン モード

vSphere 6.0 以降では、通常のロックダウン モードまたは厳密なロックダウン モードを選択できます。

通常ロックダウン モード
通常ロックダウン モードでは、DCUI サービスがアクティブなままになります。 vCenter Server システムへの接続が失われ、 vSphere Client 経由でアクセスできない場合は、権限のあるアカウントで ESXi ホストのダイレクト コンソール インターフェイスにログインし、ロックダウン モードを終了することができます。ダイレクト コンソール ユーザー インターフェイスには、次のアカウントのみがアクセスできます。
  • ホストでの管理権限を持っている、ロックダウン モードの例外ユーザー リストにあるアカウント。例外ユーザー リストは、特定のタスクを実行するサービス アカウントのリストです。このリストに ESXi 管理者を追加することは、ロックダウン モードの趣旨に反します。
  • ホストの DCUI.Access 詳細オプションに定義されているユーザー。このオプションは、vCenter Server への接続が失われた場合に、ダイレクト コンソール インターフェイスに緊急アクセスするためのものです。これらのユーザーは、ホストの管理権限が不要になります。
厳密なロックダウン モード
厳密なロックダウン モードでは、DCUI サービスが停止します。 vCenter Server への接続が失われ、 vSphere Client を使用できなくなると、 ESXi Shell および SSH サービスが有効で、かつ例外ユーザーが定義されていない限り、 ESXi ホストが使用不能になります。 vCenter Server システムへの接続をリストアできない場合は、ホストを再インストールする必要があります。

ロックダウン モードと ESXi Shell および SSH サービス

厳密なロックダウン モードでは DCUI サービスが停止します。ただし、ESXi Shell および SSH サービスは、ロックダウン モードに依存しません。ロックダウン モードを有効なセキュリティ対策とするため、ESXi Shell および SSH サービスも必ず無効にしてください。これらのサービスは、デフォルトで無効になっています。

ホストがロックダウン モードになっている場合、例外ユーザー リストのユーザーは、ホストでの管理者ロールを持っていれば、ESXi Shell から、および SSH を介して、そのホストにアクセスすることができます。このアクセスは、厳密なロックダウン モードになっている場合でも可能です。ESXi Shell サービスと SSH サービスを無効のままにするのが最も安全なオプションです。

注: 例外ユーザー リストは、ホストのバックアップなどの特殊なタスクを実行するサービス アカウントを登録するために用意されたものであり、管理者を対象とするものではありません。管理者を例外ユーザー リストに追加するのは、ロックダウン モードの目的を無視した使い方です。

VMware Host Client を使用した ESXi ホストの通常ロックダウン モードへの切り替え

VMware Host Client を使用して、通常ロックダウン モードに切り替えることができます。

手順

  1. VMware Host Client インベントリ内で [ホスト] を右クリックし、ドロップダウン メニューから [ロックダウン モード] を選択し、[通常のロックダウンへの切り替え] を選択します。
    警告メッセージが表示されます。
  2. [通常のロックダウンへの切り替え] をクリックします。

VMware Host Client を使用した ESXi ホストの厳密なロックダウン モードへの切り替え

VMware Host Client を使用して、厳密なロックダウン モードに切り替えることができます。

手順

  1. VMware Host Client インベントリ内で [ホスト] を右クリックし、ドロップダウン メニューから [ロックダウン モード] を選択し、[厳密なロックダウンへの切り替え] を選択します。
    警告メッセージが表示されます。
  2. [厳密なロックダウンへの切り替え] をクリックします。

VMware Host Client を使用したロックダウン モードの終了

ESXi ホスト上で通常のロックダウン モードまたは厳密なロックダウン モードに切り替えた場合は、VMware Host Client を使用してロックダウンを終了できます。

手順

  • VMware Host Client インベントリ内で [ホスト] を右クリックし、ドロップダウン メニューから [ロックダウン モード] を選択し、[ロックダウンの終了] を選択します。

VMware Host Client でのロックダウン モード例外ユーザーの指定

vSphere 6.0 以降では、VMware Host Client を使用して、ユーザーを例外ユーザー リストに追加できます。例外ユーザー リストに追加されたユーザーは、ホストがロックダウン モードになってもアクセス許可を失いません。バックアップ エージェントなどのサービス アカウントを例外ユーザーのリストに追加できます。

例外ユーザーは、 ESXi ホストにローカルに定義された権限を持つホスト ローカル ユーザーまたは Active Directory ユーザーです。例外ユーザーは Active Directory グループのメンバーではなく、 vCenter Server ユーザーでもありません。例外ユーザーがホスト上で実行できる操作は、そのユーザーに付与されている権限によって決まります。たとえば、読み取り専用ユーザーがホスト上のロックダウン モードを無効にすることはできません。
注: 例外ユーザーのリストは、管理者ではなく、ホストのバックアップなどの特殊なタスクを実行するサービス アカウントの場合に便利です。管理者を例外ユーザー リストに追加するのは、ロックダウン モードの目的を無視した使い方です。

手順

  1. VMware Host Client インベントリ内で [管理] > [セキュリティとユーザー] の順にクリックします。
  2. [ロックダウン モード] をクリックします。
  3. [ユーザー例外の追加] をクリックし、ユーザーの名前を入力し、[例外の追加] をクリックします。
  4. (オプション) 例外ユーザーのリストから名前を選択し、[ユーザー例外の削除] をクリックし、[確認] をクリックします。