ロール プロファイル、ユーザー アカウント プロファイル、ロックダウン モード プロファイル、およびセキュリティ ホスト プロファイルの一部としてグループ化された Active Directory 権限プロファイルを管理する方法について説明します。vSphere 8.0 以降、ESXi Shell へのアクセス権と管理者ロールを持つユーザーは、ユーザー アカウントに ESXi Shell へのアクセス権を削除または付与できます。

セキュリティ プロファイルの一部であるホスト プロファイル オプションを設定することができます。

前提条件

ロール、ユーザー アカウント、および Active Directory の権限プロファイルの間には依存関係があるため、これらの検証に利用できる SecurityConfigProfile プラグインがあることを確認してください。

手順

  1. vSphere Client で、[メニュー] > [ポリシーおよびプロファイル] の順に選択します。
  2. [ポリシーおよびプロファイル] で、[ホスト プロファイル] をクリックします。
  3. 編集するホスト プロファイルを選択し、[設定] タブをクリックします。
  4. [プロファイルの編集] をクリックします。
  5. [セキュリティおよびサービス] > [セキュリティ設定] の順にプロファイル カテゴリを展開し、[セキュリティ] フォルダを開きます。
    次のプロファイルが表示されます。
    ロール

    このプロファイルを使用して、デフォルトのロールを表示し、ESXi システム内にカスタム ロールを追加できます。

    ユーザー設定

    このプロファイルを使用して、ユーザー アカウントを作成および管理できます。

    デフォルトでは、新しく作成されたユーザー アカウントには ESXi Shell へのアクセス権があります。vSphere 8.0 以降では、管理者は詳細オプション Security.DefaultShellAccess を使用してこのデフォルトの動作を変更できます。

    ユーザー アカウントに対して実行できる操作は次のとおりです。

    • ユーザー アカウントを作成します。
    • ユーザー アカウントのパスワードを設定します。
    • root ユーザーのパスワードを構成します。
    • ユーザー アカウントの ESXi シェルへのアクセス権を有効または無効にします。
      注: root ユーザー アカウントのシェル アクセスのプロパティは変更しないでください。
    • デフォルトのユーザーではないユーザーのロールを構成します。
    • ローカル アカウントにデフォルト ロールまたはカスタム ロールを割り当てます(権限を構成します)。
    • 任意のユーザーの SSH 鍵を設定します。
    Active Directory 権限

    このプロファイルを使用して、Active Directory のユーザーまたはグループの権限を管理できます。たとえば、Active Directory のユーザーまたはグループをロールに関連付ける権限を作成できます。

    ESXi ホストが Active Directory ドメインに参加すると、DOMAIN グループ [ESX Admins] の管理者権限が作成されます。また、Active Directory のユーザーまたはグループに ESXi ホストに対する権限が付与されると、そのホスト上で対応する権限が作成されます。Active Directory 権限プロファイルはその権限を取得します。

    ロックダウン モード

    このプロファイルを使用して、ユーザーの権限を制限することで、ESXi ホストのセキュリティを強化できます。

    次のロックダウン モードを設定できます。
    • 通常ロックダウン モード:ESXi ホストにはローカル コンソールと vCenter Server からアクセスできます。DCUI サービスは停止しません。
    • 厳密なロックダウン モード:ESXi ホストには vCenter Server からのみアクセスできます。DCUI サービスは停止します。
    • 例外ユーザー:ロックダウン モードの状態に関係なく、自分に付与された権限を維持するユーザー。

    セキュリティ プロファイルの詳細については、『vSphere セキュリティ』ドキュメントを参照してください。