VMM でロールとアクセス許可を管理する
System Center Virtual Machine Manager (VMM) を使用すると、ロールとアクセス許可を管理できます。 VMM には次の機能があります。
- ロールベースのセキュリティ: ロールは、VMM 環境でユーザーが実行できる操作を指定します。 ロールは、ロールに対して使用可能な一連の操作を定義するプロファイル、ロールが操作できるオブジェクトのセットを定義するスコープ、およびロールに割り当てられている Active Directory ユーザー アカウントとセキュリティ グループを定義するメンバーシップ リストで構成されます。
- 実行アカウント: 実行アカウントは、VMM タスクとプロセスの実行に使用する保存された資格情報のコンテナーとして機能します。
ロール ベース セキュリティ
次の表は、VMM ユーザー ロールをまとめたものです。
| VMM ユーザー ロール | アクセス許可 | 詳細 |
|---|---|---|
| 管理者ロール | このロールのメンバーは、VMM が管理するすべてのオブジェクトに対して、すべての管理アクションを実行できます。 | 管理者のみが VMM に WSUS サーバーを追加して、VMM 経由で VMM ファブリックの更新を有効にすることができます。 |
| 仮想マシンの管理者 | 管理者はロールを作成できます (VMM 2019 以降に該当)。 | 委任された管理者は、スコープ全体、またはスコープ、ライブラリ サーバー、実行アカウントのサブセットを含む VM 管理者ロールを作成できます。 |
| ファブリック管理者 (代理管理者) | このロールのメンバーは、割り当てられたホスト グループ、クラウド、およびライブラリ サーバー内のすべての管理タスクを実行できます。 | 委任された管理者は、VMM 設定の変更、管理者ユーザー ロールのメンバーの追加または削除、WSUS サーバーの追加を行うことはできません。 |
| 読み取り専用管理者 | このロールのメンバーは、割り当てられたホスト グループ、クラウド、ライブラリ サーバー内のオブジェクトのプロパティ、状態、ジョブの状態を表示できますが、オブジェクトを変更することはできません。 | 読み取り専用管理者は、管理者または委任された管理者がその読み取り専用管理者ユーザー ロールに対して指定した実行アカウントを表示することもできます。 |
| テナント管理者 | このロールのメンバーは、セルフサービス ユーザーと VM ネットワークを管理できます。 | テナント管理者は、VMM コンソールまたは Web ポータルを使用して、自分自身の仮想マシンおよびサービスを作成、展開、管理できます。 またテナント管理者は、セルフサービス ユーザーが自分自身の仮想マシンおよびサービスで実行できるタスクを指定できます。 テナント管理者は、コンピューティング リソースおよび仮想マシンにクォータを設定できます。 |
| テナント管理者 | このロールのメンバーは、セルフサービス ユーザーと VM ネットワークを管理できます。 | テナント管理者は、VMM コンソールまたは Web ポータルを使用して、独自の仮想マシンとサービスを作成、展開、管理できます。 またテナント管理者は、セルフサービス ユーザーが自分自身の仮想マシンおよびサービスで実行できるタスクを指定できます。 テナント管理者は、コンピューティング リソースおよび仮想マシンにクォータを設定できます。 |
| アプリケーション管理者 (セルフサービス ユーザー) | このロールのメンバーは、独自の仮想マシンとサービスを作成、デプロイ、および管理できます。 | VMM コンソールを使用して VMM を管理できます。 |
| VMM ユーザー ロール | アクセス許可 | 詳細 |
|---|---|---|
| 管理者ロール | このロールのメンバーは、VMM が管理するすべてのオブジェクトに対して、すべての管理アクションを実行できます。 | 管理者のみが VMM に WSUS サーバーを追加して、VMM 経由で VMM ファブリックの更新を有効にすることができます。 |
| 仮想マシンの管理者 | 管理者はロールを作成できます。 | 委任された管理者は、スコープ全体、またはスコープ、ライブラリ サーバー、実行アカウントのサブセットを含む VM 管理者ロールを作成できます。 |
| ファブリック管理者 (代理管理者) | このロールのメンバーは、割り当てられたホスト グループ、クラウド、およびライブラリ サーバー内のすべての管理タスクを実行できます。 | 委任された管理者は、VMM 設定の変更、管理者ユーザー ロールのメンバーの追加または削除、WSUS サーバーの追加を行うことはできません。 |
| 読み取り専用管理者 | このロールのメンバーは、割り当てられたホスト グループ、クラウド、ライブラリ サーバー内のオブジェクトのプロパティ、状態、ジョブの状態を表示できますが、オブジェクトを変更することはできません。 | 読み取り専用管理者は、管理者または委任された管理者がその読み取り専用管理者ユーザー ロールに対して指定した実行アカウントを表示することもできます。 |
| テナント管理者 | このロールのメンバーは、セルフサービス ユーザーと VM ネットワークを管理できます。 | テナント管理者は、VMM コンソールまたは Web ポータルを使用して、独自の仮想マシンとサービスを作成、展開、管理できます。 またテナント管理者は、セルフサービス ユーザーが自分自身の仮想マシンおよびサービスで実行できるタスクを指定できます。 テナント管理者は、コンピューティング リソースおよび仮想マシンにクォータを設定できます。 |
| アプリケーション管理者 (セルフサービス ユーザー) | このロールのメンバーは、独自の仮想マシンとサービスを作成、デプロイ、および管理できます。 | VMM コンソールを使用して VMM を管理できます。 |
実行アカウント
実行アカウントにはさまざまな種類があります。
- ホスト コンピューター アカウント 仮想化サーバーとの対話に使用されます。
- BMC アカウント は、帯域外管理または電力最適化のためにホスト上の BMC と通信するために使用されます。
- 外部アカウント は、Operations Manager などの外部アプリとの通信に使用されます。
- ネットワーク デバイス アカウント は、ネットワーク ロード バランサーとの接続に使用されます。
- プロファイル アカウント は、VMM サービスを展開するとき、またはプロファイルを作成するときに実行プロファイルで使用されます。
Note
- VMM では、Windows Data Protection API (DPAPI) を使用して、実行アカウント資格情報のストレージと取得中にオペレーティング システム レベルのデータ保護サービスを提供します。 DPAPI はパスワードベースのデータ保護サービスです。暗号化ルーチン (強力なキーを使用した強力な Triple-DES アルゴリズム) を使用して、パスワードベースのデータ保護で発生するリスクを軽減します。 詳細情報。
- VMM をインストールするときに、分散キー管理を使用して暗号化キーを Active Directory に格納するように VMM を構成できます。
- VMM の管理を開始する前に実行アカウントを設定することも、特定のアクションに必要な場合は実行アカウントを設定することもできます。