ユーザー アクセス制御とアクセス許可を構成する

  • [アーティクル]

適用先:Windows Admin Center、Windows Admin Center Preview

Windows Admin Center のユーザー アクセス制御オプションについてよく理解していない場合は、こちらで確認してください。

Note

Windows Admin Center でのグループ ベースのアクセスは、ワークグループ環境または信頼されていないドメイン間ではサポートされていません。

ゲートウェイ アクセス ロールの定義

Windows Admin Center ゲートウェイ サービスへのアクセスには、次の 2 つのロールがあります。

ゲートウェイ ユーザーは、Windows Admin Center ゲートウェイ サービスに接続し、そのゲートウェイを介してサーバーを管理できますが、アクセス許可や、ゲートウェイに対する認証に使用される認証メカニズムを変更することはできません。

ゲートウェイ管理者は、ゲートウェイにアクセスできるユーザーとユーザーの認証方法を構成できます。 Windows Admin Center では、ゲートウェイ管理者のみがアクセス設定を表示および構成できます。 ゲートウェイ マシンのローカル管理者は、常に Windows Admin Center ゲートウェイ サービスの管理者です。

CredSSP の管理に固有の追加のロールもあります。

Windows Admin Center CredSSP 管理者は、Windows Admin Center CredSSP エンドポイントに登録され、事前定義済みの CredSSP 操作を実行するためのアクセス許可が付与されます。 このグループは、デスクトップ モードで Windows Admin Center をインストールする場合に特に役立ちます。この場合、Windows Admin Center をインストールしたユーザー アカウントにのみこれらのアクセス許可が既定で付与されます。

Note

ゲートウェイにアクセスできることは、ゲートウェイから表示できるマネージド サーバーにアクセスできることを意味しません。 ターゲット サーバーを管理するには、接続するユーザーが、そのターゲット サーバーへの管理者アクセス権を持つ資格情報 (パススルー Windows 資格情報、または [管理に使用する資格情報] アクションを使用して Windows Admin Center セッションで指定した資格情報) を使用する必要があります。 これは、ほとんどの Windows Admin Center ツールで使用する管理アクセス許可が必要であるためです。

Active Directory またはローカル コンピューター グループ

既定では、Active Directory またはローカル コンピューター グループを使用して、ゲートウェイ アクセスを制御します。 Active Directory ドメインがある場合は、Windows Admin Center のインターフェイス内からゲートウェイ ユーザーと管理者アクセス権を管理できます。

[ユーザー] タブでは、ゲートウェイ ユーザーとして Windows Admin Center にアクセスできるユーザーを制御できます。 既定では、セキュリティ グループを指定しない場合、ゲートウェイの URL にアクセスするすべてのユーザーにアクセス権が与えられます。 1 つ以上のセキュリティ グループをユーザー一覧に追加すると、それらのグループのメンバーのみにアクセスが制限されます。

環境内で Active Directory ドメインを使用しない場合、アクセスは Windows Admin Center ゲートウェイ マシン上の [ユーザー] および [管理者] ローカル グループによって制御されます。

スマートカード認証

スマートカード認証を適用するには、スマートカードベースのセキュリティ グループに追加の "必要な" グループを指定します。 スマートカードベースのセキュリティ グループを追加すると、ユーザーは、ユーザー一覧に含まれるセキュリティ グループとスマートカード グループの両方のメンバーである場合にのみ、Windows Admin Center サービスにアクセスできます。

[管理者] タブでは、ゲートウェイ管理者として Windows Admin Center にアクセスできるユーザーを制御できます。 コンピューターのローカルの管理者グループには、常に完全な管理者アクセス権が付与され、一覧から削除することはできません。 セキュリティ グループを追加すると、それらのグループのメンバーには Windows Admin Center ゲートウェイ設定を変更する特権が付与されます。 管理者一覧では、セキュリティ グループとスマートカード グループの AND 条件を使用して、ユーザー一覧と同じ方法でスマートカード認証がサポートされます。

Microsoft Entra ID

組織で Microsoft Entra ID を使用している場合、ゲートウェイへのアクセスに Microsoft Entra 認証を要求することで、Windows Admin Center にもう 1 層のセキュリティを追加することもできます。 Windows Admin Center にアクセスするには、(Microsoft Entra 認証が使用されている場合でも) ユーザーの Windows アカウントにもゲートウェイ サーバーへのアクセス権が必要です。 Microsoft Entra ID を使用する場合、Windows Admin Center UI 内からではなく、Azure portal から Windows Admin Center のユーザーおよび管理者のアクセス許可を管理します。

Microsoft Entra 認証が有効な場合の Windows Admin Center へのアクセス

使用しているブラウザーによっては、Microsoft Entra 認証が構成されたWindows Admin Center にアクセスする一部のユーザーには、ブラウザーからの追加のプロンプトが表示されます。ここで Windows Admin Center がインストールされているマシンの Windows アカウントの資格情報を指定する必要があります。 その情報を入力すると、ユーザーには追加の Microsoft Entra 認証プロンプトが表示されます。ここでは、Azure の Microsoft Entra アプリケーションでアクセスが許可された Azure アカウントの資格情報が必要です。

Note

Windows アカウントにゲートウェイ マシン上で管理者アクセス権があるユーザーには、Microsoft Entra 認証のプロンプトは表示されません。

Windows Admin Center プレビュー用の Microsoft Entra 認証を構成する

Windows Admin Center の [設定]>[アクセス] に移動し、トグル スイッチを使用して [Use Microsoft Entra ID to add a layer of security to the gateway] (Microsoft Entra ID を使用してセキュリティの層をゲートウェイに追加する) をオンにします。 Azure にゲートウェイを登録していない場合は、この時点で行うように指示されます。

既定では、Microsoft Entra テナントのすべてのメンバーには、Windows Admin Center ゲートウェイ サービスへのユーザー アクセス権があります。 Windows Admin Center ゲートウェイへの管理者アクセス権を持つのは、ゲートウェイ マシンのローカル管理者のみです。 ゲートウェイ マシンのローカル管理者の権限は制限できないことに注意してください。認証に Microsoft Entra ID が使用されているかどうかにかかわらず、ローカルの管理者は何でも実行できます。

特定の Microsoft Entra ユーザーまたはグループに Windows Admin Center サービスへのゲートウェイ ユーザーまたはゲートウェイ管理者アクセス権を付与する場合は、次の手順を実行する必要があります。

  1. [アクセス設定] に表示されるハイパーリンクを使用して、Windows Admin Center Microsoft Entra アプリケーションにアクセスします。 このハイパーリンクは、Microsoft Entra 認証が有効な場合にのみ使用できることに注意してください。
    • また、Azure portal で Azure portal で [Microsoft Entra ID]>[エンタープライズ アプリケーション]>[すべてのアプリケーション] にアクセスして WindowsAdminCenter を検索してアプリケーションを見つけることもできます (Microsoft Entra アプリの名前は WindowsAdminCenter-<ゲートウェイ名>になります)。 検索結果が表示されない場合は、[表示][すべてのアプリケーション] に設定されていること、[アプリケーションの状態][すべて] に設定されていることを確認し、[適用] を選択してから、検索を試してください。 アプリケーションが見つかったら、[ユーザーとグループ] にアクセスします。
  2. [プロパティ] タブで、[ユーザーの割り当てが必要] を [はい] に設定します。 この操作を完了すると、[ユーザーとグループ] タブに表示されているメンバーのみが Windows Admin Center ゲートウェイにアクセスできるようになります。
  3. [ユーザーとグループ] タブで、[ユーザーの追加] を選択します。 追加したユーザーまたはグループごとに、ゲートウェイ ユーザーまたはゲートウェイ管理者のロールを割り当てる必要があります。

Microsoft Entra 認証を有効にした後は、ゲートウェイ サービスが再起動します。また、ブラウザーを更新する必要があります。 Azure portal では、SME Microsoft Entra アプリケーションのユーザー アクセスをいつでも更新できます。

ユーザーが Windows Admin Center ゲートウェイ URL にアクセスしようとすると、Microsoft Entra ID を使用してサインインするように求められます。 ユーザーが Windows Admin Center にアクセスするには、ゲートウェイ サーバーのローカル ユーザーのメンバーでもある必要があることに注意してください。

ユーザーと管理者は、Windows Admin Center の [設定] の [アカウント] タブから、現在ログインしているアカウントを表示できるだけでなく、Microsoft Entra アカウントからサインアウトすることもできます。

Windows Admin Center の Microsoft Entra 認証の構成

Microsoft Entra 認証を設定するには、まず Azure にゲートウェイを登録する必要があります (この操作は、Windows Admin Center ゲートウェイに対して 1 回だけ行う必要があります)。 この手順では、ゲートウェイ ユーザーとゲートウェイ管理者のアクセスを管理できる Microsoft Entra アプリケーションを作成します。

特定の Microsoft Entra ユーザーまたはグループに Windows Admin Center サービスへのゲートウェイ ユーザーまたはゲートウェイ管理者アクセス権を付与する場合は、次の手順を実行する必要があります。

  1. Azure portal で、[SME Microsoft Entra アプリケーション] に移動します。
    • [Change access control](アクセス制御の変更) を選択し、Windows Admin Center の [アクセスの設定] から [Microsoft Entra ID] を選択すると、UI に表示されるハイパーリンクを使用して Azure portal の Microsoft Entra アプリケーションにアクセスできます。 このハイパーリンクは、[アクセスの設定] で [保存] を選択し、アクセス制御 ID プロバイダーとして Microsoft Entra ID を選択した後も使用できます。
    • また、Azure portal で [Microsoft Entra ID]>[エンタープライズ アプリケーション]>[すべてのアプリケーション] にアクセスし、SME を検索してアプリケーションを見つけることもできます (Microsoft Entra アプリの名前は SME-<ゲートウェイ>になります)。 検索結果が表示されない場合は、[表示][すべてのアプリケーション] に設定されていること、[アプリケーションの状態][すべて] に設定されていることを確認し、[適用] を選択してから、検索を試してください。 アプリケーションが見つかったら、[ユーザーとグループ] にアクセスします。
  2. [プロパティ] タブで、[ユーザーの割り当てが必要] を [はい] に設定します。 この操作を完了すると、[ユーザーとグループ] タブに表示されているメンバーのみが Windows Admin Center ゲートウェイにアクセスできるようになります。
  3. [ユーザーとグループ] タブで、[ユーザーの追加] を選択します。 追加したユーザーまたはグループごとに、ゲートウェイ ユーザーまたはゲートウェイ管理者のロールを割り当てる必要があります。

[Change access control] (アクセス制御の変更) ペインで Microsoft Entra のアクセス制御を保存した後は、ゲートウェイ サービスが再起動します。また、ブラウザーを更新する必要があります。 Azure portal では、Windows Admin Center Microsoft Entra アプリケーションのユーザー アクセスをいつでも更新できます。

ユーザーが Windows Admin Center ゲートウェイ URL にアクセスしようとすると、Microsoft Entra ID を使用してサインインするように求められます。 ユーザーが Windows Admin Center にアクセスするには、ゲートウェイ サーバーのローカル ユーザーのメンバーでもある必要があることに注意してください。

ユーザーと管理者は、Windows Admin Center の全般設定の [Azure] タブを使用して、現在ログインしているアカウントを表示できるだけでなく、Microsoft Entra アカウントからサインアウトすることもできます。

条件付きアクセスと多要素認証

Windows Admin Center ゲートウェイへのアクセスを制御する追加のセキュリティ層として Microsoft Entra ID を使用する利点の 1 つは、条件付きアクセスや多要素認証などの Microsoft Entra ID の強力なセキュリティ機能を利用できることです。

一般的な条件付きアクセス ポリシー: Azure 管理で MFA を必須にする

シングル サインオンの構成

Windows Server にサービスとしてデプロイされた場合のシングル サインオン

Windows 10 に Windows Admin Center をインストールすると、シングル サインオンを使用できるようになります。 ただし、Windows Server 上で Windows Admin Center を使用する場合は、シングル サインオンを使用する前に、環境内に何らかの形式の Kerberos 委任を設定する必要があります。 委任によってゲートウェイ マシンが信頼済みとして構成され、ターゲット ノードに委任されます。

環境内でリソースベースの制約付き委任を構成するには、次の PowerShell の例を使用します。 この例は、contoso.com ドメインの Windows Admin Center ゲートウェイ [wac.contoso.com] からの委任を受け入れるように Windows サーバー [node01.contoso.com] を構成する方法を示しています。

Set-ADComputer -Identity (Get-ADComputer node01) -PrincipalsAllowedToDelegateToAccount (Get-ADComputer wac)

このリレーションシップを削除するには、次のコマンドレットを実行します。

Set-ADComputer -Identity (Get-ADComputer node01) -PrincipalsAllowedToDelegateToAccount $null

ロール ベースのアクセス制御 (RBAC)

ロールベースのアクセス制御を使用すると、ローカルの完全な管理者にするのではなく、マシンへの制限付きアクセス権をユーザーに付与できるようになります。 ロールベースのアクセス制御と使用できるロールについては、こちらを参照してください。

RBAC の設定は、ターゲット コンピューターでサポートを有効にし、ユーザーを関連するロールに割り当てるという 2 つの手順で構成されます。

ヒント

ロールベースのアクセス制御のサポートを構成するマシンに、ローカル管理者特権があることを確認します。

ロールベースのアクセス制御を 1 台のマシンに適用する

1 台のマシンのデプロイ モデルは、管理するマシンが少数の単純な環境に最適です。 ロールベースのアクセス制御をサポートするマシンを構成すると、次のような変更が行われます。

  • Windows Admin Center で必要な機能を備えた PowerShell モジュールは、システム ドライブの C:\Program Files\WindowsPowerShell\Modules にインストールされます。 すべてのモジュールは Microsoft.Sme から始まります。
  • Desired State Configuration によって 1 回限りの構成が実行され、Microsoft.Sme.PowerShell という Just Enough Administration エンドポイントがマシン上に構成されます。 このエンドポイントによって、Windows Admin Center に使用される 3 つのロールが定義され、ユーザーが接続するときに一時的なローカル管理者として実行されます。
  • どのユーザーにどのロールへのアクセスを割り当てるかを制御する 3 つの新しいローカル グループが作成されます。
    • Windows Admin Center 管理者
    • Windows Admin Center Hyper-V 管理者
    • Windows Admin Center 閲覧者

Note

ロールベースのアクセス制御は、クラスター管理ではサポートされていません (この場合、CredSSP などの RBAC に依存する機能は失敗します)。

1 台のマシンでロールベースのアクセス制御のサポートを有効にするには、次の手順を実行します。

  1. Windows Admin Center を開き、ターゲット マシンでローカル管理者特権を持つアカウントを使用して、ロールベースのアクセス制御で構成するマシンに接続します。
  2. [概要] ツールで、[設定]>[ロールベースのアクセス制御] を選択します。
  3. ページの下部にある [適用] を選択し、ターゲット コンピューターでロールベースのアクセス制御をサポートできるようにします。 アプリケーション プロセスでは、PowerShell スクリプトがコピーされ、ターゲット マシンで (PowerShell Desired State Configuration を使用して) 構成が呼び出されます。 完了までに最大で 10 分かかる場合があります。また、WinRM が再起動します。 これにより、Windows Admin Center、PowerShell、および WMI ユーザーが一時的に切断されます。
  4. ページを更新して、ロールベースのアクセス制御の状態を確認します。 使用する準備が整うと、状態は [適用済み] に変わります。

構成が適用されると、ユーザーをロールに割り当てることができます。

  1. [ローカル ユーザーとグループ] ツールを開き、[グループ] タブに移動します。
  2. Windows Admin Center 閲覧者グループを選択します。
  3. 下部にある [詳細] ペインで、[ユーザーの追加] を選択し、Windows Admin Center を使用してサーバーへの読み取り専用アクセス権を持つユーザーまたはセキュリティ グループの名前を入力します。 ローカル コンピューターまたは Active Directory ドメインのユーザーとグループを使用できます。
  4. Windows Admin Center Hyper-V 管理者Windows Admin Center 管理者グループについて、手順 2 から 3 を繰り返します。

[Restricted Groups Policy Setting]\(制限されたグループ ポリシー設定\) でグループ ポリシー オブジェクトを構成することで、ドメイン全体でこれらのグループを一貫した方法で入力することもできます。

複数のマシンにロールベースのアクセス制御を適用する

大規模なエンタープライズ展開では、既存の自動化ツールを使用して Windows Admin Center ゲートウェイから構成パッケージをダウンロードすることにより、ロールベースのアクセス制御機能をコンピューターにプッシュできます。 構成パッケージは、PowerShell Desired State Configuration と共に使用するように設計されていますが、好みの自動化ソリューションで動作するように調整することができます。

ロールベースのアクセス制御構成をダウンロードする

ロールベースのアクセス制御構成パッケージをダウンロードするには、Windows Admin Center と PowerShell プロンプトにアクセスできる必要があります。

Windows Server 上で Windows Admin Center ゲートウェイをサービス モードで実行している場合は、次のコマンドを使用して構成パッケージをダウンロードします。 ゲートウェイのアドレスは、実際の環境に合わせて適切なものに更新してください。

$WindowsAdminCenterGateway = 'https://windowsadmincenter.contoso.com'
Invoke-RestMethod -Uri "$WindowsAdminCenterGateway/api/nodes/all/features/jea/endpoint/export" -Method POST -UseDefaultCredentials -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"

Windows 10 マシン上で Windows Admin Center ゲートウェイを実行している場合は、代わりに次のコマンドを実行します。

$cert = Get-ChildItem Cert:\CurrentUser\My | Where-Object Subject -eq 'CN=Windows Admin Center Client' | Select-Object -First 1
Invoke-RestMethod -Uri "https://localhost:6516/api/nodes/all/features/jea/endpoint/export" -Method POST -Certificate $cert -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"

zip アーカイブを展開すると、次のフォルダー構造が表示されます。

  • InstallJeaFeatures.ps1
  • JustEnoughAdministration (ディレクトリ)
  • Modules (ディレクトリ)
    • Microsoft.SME.* (ディレクトリ)

ノード上でロールベースのアクセス制御のサポートを構成するには、次のアクションを実行する必要があります。

  1. JustEnoughAdministration および Microsoft.SME.* モジュールをターゲット マシン上の PowerShell モジュール ディレクトリにコピーします。 通常、これは C:\Program Files\WindowsPowerShell\Modules にあります。
  2. RBAC エンドポイントの目的の構成に合わせて InstallJeaFeature.ps1 ファイルを更新します。
  3. DSC リソースをコンパイルするために InstallJeaFeature.ps1 を実行します。
  4. すべてのマシンに DSC 構成を展開し、構成を適用します。

次のセクションでは、PowerShell リモート処理を使用してこれを行う方法について説明します。

複数のマシンに展開する

ダウンロードした構成を複数のマシンに展開するには、InstallJeaFeatures.ps1 スクリプトを更新して、環境に適したセキュリティ グループを含め、ファイルを各コンピューターにコピーして、構成スクリプトを呼び出す必要があります。 好みの自動化ツールを使用してもこれを実現できますが、この記事では純粋な PowerShell ベースのアプローチに焦点を当てます。

この構成スクリプトを実行すると、既定では、マシン上にローカル セキュリティ グループが作成され、各ロールへのアクセスが制御されます。 これはワークグループとドメインに参加しているマシンに適していますが、ドメインのみの環境に展開する場合は、ドメイン セキュリティ グループを各ロールに直接関連付けることができます。 ドメイン セキュリティ グループを使用するように構成を更新するには、InstallJeaFeatures.ps1 を開き、次のように変更します。

  1. ファイルから 3 つの Group リソースを削除します。
    1. "Group MS-Readers-Group"
    2. "Group MS-Hyper-V-Administrators-Group"
    3. "Group MS-Administrators-Group"
  2. JeaEndpoint の DependsOn プロパティから 3 つの Group リソースを削除します
    1. "[Group]MS-Readers-Group"
    2. "[Group]MS-Hyper-V-Administrators-Group"
    3. "[Group]MS-Administrators-Group"
  3. JeaEndpoint の RoleDefinitions プロパティのグループ名を、目的のセキュリティ グループに変更します。 たとえば、Windows Admin Center 管理者ロールにアクセスを割り当てる必要があるセキュリティ グループ CONTOSO\MyTrustedAdmins がある場合、'$env:COMPUTERNAME\Windows Admin Center Administrators''CONTOSO\MyTrustedAdmins' に変更します。 更新する必要がある 3 つの文字列は次のとおりです。
    1. '$env:COMPUTERNAME\Windows Admin Center Administrators'
    2. '$env:COMPUTERNAME\Windows Admin Center Hyper-V Administrators'
    3. '$env:COMPUTERNAME\Windows Admin Center Readers'

Note

ロールごとに一意のセキュリティ グループを使用します。 同じセキュリティ グループを複数のロールに割り当てると、構成は失敗します。

次に、InstallJeaFeatures.ps1 ファイルの末尾の、スクリプトの一番下に次の PowerShell 行を追加します。

Copy-Item "$PSScriptRoot\JustEnoughAdministration" "$env:ProgramFiles\WindowsPowerShell\Modules" -Recurse -Force
$ConfigData = @{
    AllNodes = @()
    ModuleBasePath = @{
        Source = "$PSScriptRoot\Modules"
        Destination = "$env:ProgramFiles\WindowsPowerShell\Modules"
    }
}
InstallJeaFeature -ConfigurationData $ConfigData | Out-Null
Start-DscConfiguration -Path "$PSScriptRoot\InstallJeaFeature" -JobName "Installing JEA for Windows Admin Center" -Force

最後に、モジュール、DSC リソース、構成を含むフォルダーを各ターゲット ノードにコピーすると、InstallJeaFeature.ps1 スクリプトを実行できるようになります。 リモートの管理ワークステーションからこれを行うには、次のコマンドを実行できます。

$ComputersToConfigure = 'MyServer01', 'MyServer02'

$ComputersToConfigure | ForEach-Object {
    $session = New-PSSession -ComputerName $_ -ErrorAction Stop
    Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC\JustEnoughAdministration\" -Destination "$env:ProgramFiles\WindowsPowerShell\Modules\" -ToSession $session -Recurse -Force
    Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC" -Destination "$env:TEMP\WindowsAdminCenter_RBAC" -ToSession $session -Recurse -Force
    Invoke-Command -Session $session -ScriptBlock { Import-Module JustEnoughAdministration; & "$env:TEMP\WindowsAdminCenter_RBAC\InstallJeaFeature.ps1" } -AsJob
    Disconnect-PSSession $session
}