権限は、vCenter Server オブジェクト階層内のオブジェクトに設定されます。各権限によって、グループまたはユーザー、およびグループまたはユーザーのアクセス ロールがオブジェクトに関連付けられます。たとえば、仮想マシン オブジェクトを選択し、グループ 1 に読み取り専用ロールを与える権限を追加し、ユーザー 2 に管理者ロールを与える別の権限を追加できます。

異なるオブジェクトのユーザーのグループに異なるロールを割り当てることにより、それらのユーザーが vSphere 環境で実行できるタスクを制御します。たとえば、グループがホストのメモリを構成できるようにするには、ホストを選択し、ホスト.構成.メモリ構成特権を含むロールをグループに付与する権限を追加します。

権限の概念については、オブジェクトレベルの権限モデルについて理解するの説明を参照してください。

権限は、階層内のさまざまなレベルのオブジェクトに設定できます。たとえば、ホスト オブジェクトや、すべてのホスト オブジェクトが格納されたフォルダ オブジェクトに権限を設定できます。vSphere での権限の階層的な継承を参照してください。また、グローバル ルート オブジェクトに伝達される権限を割り当てることで、すべてのソリューションのあらゆるオブジェクトに権限を適用できます。「vCenter Server グローバル権限の使用」を参照してください。

インベントリ オブジェクトへの権限の追加

ユーザーおよびグループを作成し、ロールを定義したあと、関連するインベントリ オブジェクトにユーザーとグループおよびこれらのロールを割り当てる必要があります。オブジェクトをフォルダに移動し、そのフォルダに権限を設定することで、複数のオブジェクトに同じ伝達される権限を同時に割り当てることができます。

権限を割り当てるには、ユーザー名とグループ名が、大文字小文字の区別も含め、Active Directory の設定と厳密に一致している必要があります。古いバージョンの vSphere からアップグレードする際にグループに問題が発生する場合は、大文字と小文字の整合性をチェックしてください。

前提条件

オブジェクトの権限を変更するには、権限.権限の変更 権限を含むロールが必要です。

手順

  1. vSphere Client オブジェクト ナビゲータで、権限の割り当て先オブジェクトを探します。
  2. [権限] タブをクリックします。
  3. [追加] をクリックします。
  4. (オプション) 外部 ID プロバイダをフェデレーション認証用に構成してある場合、その ID プロバイダのドメインは [ドメイン] ドロップダウン メニューで選択できます。
  5. [ドメイン] ドロップダウン メニューから [VMware ID] を選択する場合は、ユーザーまたはグループ名を入力します。
    注:

    [ユーザー名] フィールドに、CSP アカウントのメール アドレスを入力します。VMwareID ドメインで CSP アカウントを検索できません。

  6. 選択したロールに定義された権限を付与するユーザーまたはグループを選択します。
    1. [ドメイン] ドロップダウン メニューから、ユーザーまたはグループのドメインを選択します。
    2. [検索] ボックスに名前を入力します。
      ユーザー名およびグループ名が検索されます。
    3. ユーザーまたはグループを選択します。
  7. [ロール] ドロップダウン メニューからロールを選択します。
  8. (オプション) 権限を伝達するには、[子へ伝達] チェック ボックスを選択します。
    ロールは選択したオブジェクトにのみ適用され、子オブジェクトに伝達されます。
  9. [OK] をクリックします。

インベントリ オブジェクトに対する権限の変更または削除

インベントリ オブジェクトにユーザーまたはグループとロールとのペアを設定したあとで、ユーザーまたはグループに組み合わせたロールの変更、または [子へ伝達] チェック ボックスの設定変更ができます。権限の設定を削除することもできます。

手順

  1. vSphere Client オブジェクト ナビゲータで、オブジェクトを参照して移動します。
  2. [権限] タブをクリックします。
  3. 行をクリックして権限を選択します。
    タスク 手順
    権限の変更
    1. [編集] をクリックします。
    2. [ロール] ドロップダウン メニューでユーザーまたはグループのロールを選択します。
    3. [子へ伝達] チェック ボックスを切り替えて、権限の継承を変更します。
    4. [OK] をクリックします。
    権限の削除
    1. [削除] をクリックします。
    2. [削除] をクリックします。

vCenter Server のユーザー検証設定の変更

vCenter Server は、ユーザー ディレクトリでユーザーおよびグループと比較して、ユーザーおよびグループのリストを定期的に検証します。そのあとで、ドメインに存在しなくなったユーザーまたはグループを削除します。検証を無効にしたり、検証の間隔を変更したりできます。ドメインに数千のユーザーまたはグループが含まれている場合、または検索に長時間かかる場合は、検索設定を調整することを検討してください。

これらの設定は、vCenter Server に関連付けられている可能性のある Active Directory などの外部 ID ソースではなく、vCenter Single Sign-On ID ソースに適用されます。

注: この手順は、 vCenter Server のユーザー リストのみに該当します。同じ方法で ESXi のユーザー リストを検索することはできません。

手順

  1. vSphere Client オブジェクト ナビゲータで、vCenter Server システムを参照して移動します。
  2. [設定] を選択して、[設定] > [全般] の順にクリックします。
  3. [編集] をクリックし、[ユーザー ディレクトリ] を選択します。
  4. 必要に応じて値を変更し、[保存] をクリックします。
    オプション 説明
    ユーザー ディレクトリのタイムアウト この vCenter Server インストールを検索するときのタイムアウト間隔(秒単位)。
    クエリ制限 vCenter Server が表示するユーザーおよびグループの最大数を設定する場合は有効に切り替えます。
    クエリ制限サイズ vCenter Server が、[ユーザーまたはグループの選択] ダイアログ ボックスで選択したドメインから表示するユーザーおよびグループの最大数。「0」 を入力すると、ユーザーおよびグループがすべて表示されます。