ユーザー アクセス制御とアクセス許可を構成するConfigure User Access Control and Permissions

適用対象:Windows Admin Center、Windows Admin Center PreviewApplies to: Windows Admin Center, Windows Admin Center Preview

Windows Admin Center のユーザー アクセス制御オプションについてよく理解していない場合は、こちらで確認してください。If you haven't already, familiarize yourself with the user access control options in Windows Admin Center

注意

Windows Admin Center でのグループ ベースのアクセスは、ワークグループ環境または信頼されていないドメイン間ではサポートされていません。Group based access in Windows Admin Center is not supported in workgroup environments or across non-trusted domains.

ゲートウェイ アクセス ロールの定義Gateway access role definitions

Windows Admin Center ゲートウェイ サービスへのアクセスには、次の 2 つのロールがあります。There are two roles for access to the Windows Admin Center gateway service:

ゲートウェイ ユーザーは、Windows Admin Center ゲートウェイ サービスに接続し、そのゲートウェイを介してサーバーを管理できますが、アクセス許可や、ゲートウェイに対する認証に使用される認証メカニズムを変更することはできません。Gateway users can connect to the Windows Admin Center gateway service to manage servers through that gateway, but they can't change access permissions nor the authentication mechanism used to authenticate to the gateway.

ゲートウェイ管理者は、ゲートウェイにアクセスできるユーザーとユーザーの認証方法を構成できます。Gateway administrators can configure who gets access as well as how users authenticate to the gateway. Windows Admin Center では、ゲートウェイ管理者のみがアクセス設定を表示および構成できます。Only gateway administrators can view and configure the Access settings in Windows Admin Center. ゲートウェイ マシンのローカル管理者は、常に Windows Admin Center ゲートウェイ サービスの管理者です。Local administrators on the gateway machine are always administrators of the Windows Admin Center gateway service.

注意

ゲートウェイにアクセスできることは、ゲートウェイから表示できるマネージド サーバーにアクセスできることを意味しません。Access to the gateway doesn't imply access to managed servers visible by the gateway. ターゲット サーバーを管理するには、接続するユーザーが、そのターゲット サーバーへの管理者アクセス権を持つ資格情報 (パススルー Windows 資格情報、または [管理に使用する資格情報] アクションを使用して Windows Admin Center セッションで指定した資格情報) を使用する必要があります。To manage a target server, the connecting user must use credentials (either through their passed-through Windows credential or through credentials provided in the Windows Admin Center session using the Manage as action) that have administrative access to that target server.

Active Directory またはローカル コンピューター グループActive Directory or local machine groups

既定では、Active Directory またはローカル コンピューター グループを使用して、ゲートウェイ アクセスを制御します。By default, Active Directory or local machine groups are used to control gateway access. Active Directory ドメインがある場合は、Windows Admin Center のインターフェイス内からゲートウェイ ユーザーと管理者アクセス権を管理できます。If you have an Active Directory domain, you can manage gateway user and administrator access from within the Windows Admin Center interface.

[ユーザー] タブでは、ゲートウェイ ユーザーとして Windows Admin Center にアクセスできるユーザーを制御できます。On the Users tab you can control who can access Windows Admin Center as a gateway user. 既定では、セキュリティ グループを指定しない場合、ゲートウェイの URL にアクセスするすべてのユーザーにアクセス権が与えられます。By default, and if you don't specify a security group, any user that accesses the gateway URL has access. 1 つ以上のセキュリティ グループをユーザー一覧に追加すると、それらのグループのメンバーのみにアクセスが制限されます。Once you add one or more security groups to the users list, access is restricted to the members of those groups.

環境内で Active Directory ドメインを使用しない場合、アクセスは Windows Admin Center ゲートウェイ マシン上の Users および Administrators ローカル グループによって制御されます。If you don't use an Active Directory domain in your environment, access is controlled by the Users and Administrators local groups on the Windows Admin Center gateway machine.

スマートカード認証Smartcard authentication

スマートカード認証を適用するには、スマートカードベースのセキュリティ グループに追加の "必要な" グループを指定します。You can enforce smartcard authentication by specifying an additional required group for smartcard-based security groups. スマートカードベースのセキュリティ グループを追加すると、ユーザーは、ユーザー一覧に含まれるセキュリティ グループとスマートカード グループの両方のメンバーである場合にのみ、Windows Admin Center サービスにアクセスできます。Once you have added a smartcard-based security group, a user can only access the Windows Admin Center service if they are a member of any security group AND a smartcard group included in the users list.

[管理者] タブでは、ゲートウェイ管理者として Windows Admin Center にアクセスできるユーザーを制御できます。On the Administrators tab you can control who can access Windows Admin Center as a gateway administrator. コンピューターのローカルの管理者グループには、常に完全な管理者アクセス権が付与され、一覧から削除することはできません。The local administrators group on the computer will always have full administrator access and cannot be removed from the list. セキュリティ グループを追加すると、それらのグループのメンバーには Windows Admin Center ゲートウェイ設定を変更する特権が付与されます。By adding security groups, you give members of those groups privileges to change Windows Admin Center gateway settings. 管理者一覧では、セキュリティ グループとスマートカード グループの AND 条件を使用して、ユーザー一覧と同じ方法でスマートカード認証がサポートされます。The administrators list supports smartcard authentication in the same way as the users list: with the AND condition for a security group and a smartcard group.

Azure Active DirectoryAzure Active Directory

組織で Azure Active Directory (Azure AD) を使用している場合、ゲートウェイへのアクセスに Azure AD 認証を必須にすることで、Windows Admin Center にもう 1 層のセキュリティを追加することもできます。If your organization uses Azure Active Directory (Azure AD), you can choose to add an additional layer of security to Windows Admin Center by requiring Azure AD authentication to access the gateway. Windows Admin Center にアクセスするには、(Azure AD 認証が使用されている場合でも) ユーザーの Windows アカウントにもゲートウェイ サーバーへのアクセス権が必要です。In order to access Windows Admin Center, the user's Windows account must also have access to gateway server (even if Azure AD authentication is used). Azure AD を使用する場合、Windows Admin Center UI 内からではなく、Azure portal から Windows Admin Center のユーザーおよび管理者のアクセス許可を管理します。When you use Azure AD, you'll manage Windows Admin Center user and administrator access permissions from the Azure Portal, rather than from within the Windows Admin Center UI.

Azure AD 認証が有効な場合の Windows Admin Center へのアクセスAccessing Windows Admin Center when Azure AD authentication is enabled

使用しているブラウザーによっては、Azure AD 認証が構成された Windows Admin Center にアクセスする一部のユーザーには、ブラウザーから追加のプロンプトが表示されます。ここで Windows Admin Center がインストールされているマシンの Windows アカウントの資格情報を指定する必要があります。Depending on the browser used, some users accessing Windows Admin Center with Azure AD authentication configured will receive an additional prompt from the browser where they need to provide their Windows account credentials for the machine on which Windows Admin Center is installed. その情報を入力すると、ユーザーには追加の Azure Active Directory 認証プロンプトが表示されます。ここでは、Azure の Azure AD アプリケーションでアクセスが許可された Azure アカウントの資格情報が必要です。After entering that information, the users will get the additional Azure Active Directory authentication prompt, which requires the credentials of an Azure account that has been granted access in the Azure AD application in Azure.

注意

Windows アカウントにゲートウェイ マシン上で管理者アクセス権があるユーザーには、Azure AD 認証のプロンプトは表示されません。Users who's Windows account has Administrator rights on the gateway machine will not be prompted for the Azure AD authentication.

Windows Admin Center プレビューの Azure Active Directory 認証の構成Configuring Azure Active Directory authentication for Windows Admin Center Preview

Windows Admin Center の [設定] > [アクセス] に移動し、トグル スイッチを使用して [Use Azure Active Directory to add a layer of security to the gateway](Azure Active Directory を使用してセキュリティの層をゲートウェイに追加する) をオンにします。Go to Windows Admin Center Settings > Access and use the toggle switch to turn on "Use Azure Active Directory to add a layer of security to the gateway". Azure にゲートウェイを登録していない場合は、この時点で行うように指示されます。If you have not registered the gateway to Azure, you will be guided to do that at this time.

既定では、Azure AD テナントのすべてのメンバーには、Windows Admin Center ゲートウェイ サービスへのユーザー アクセス権があります。By default, all members of the Azure AD tenant have user access to the Windows Admin Center gateway service. Windows Admin Center ゲートウェイへの管理者アクセス権を持つのは、ゲートウェイ マシンのローカル管理者のみです。Only local administrators on the gateway machine have administrator access to the Windows Admin Center gateway. ゲートウェイ マシンのローカル管理者の権限は制限できないことに注意してください。認証に Azure AD が使用されているかどうかにかかわらず、ローカルの管理者は何でも実行できます。Note that the rights of local administrators on the gateway machine cannot be restricted - local admins can do anything regardless of whether Azure AD is used for authentication.

特定の Azure AD ユーザーまたはグループ ゲートウェイ ユーザーまたはゲートウェイ管理者に Windows Admin Center サービスへのアクセスを許可する場合は、次の操作を行う必要があります。If you want to give specific Azure AD users or groups gateway user or gateway administrator access to the Windows Admin Center service, you must do the following:

  1. Azure portal で [アクセス設定] に表示されるハイパーリンクを使用して、Windows Admin Center Azure AD アプリケーションにアクセスします。Go to your Windows Admin Center Azure AD application in the Azure portal by using the hyperlink provided in Access Settings. このハイパーリンクは、Azure Active Directory 認証が有効な場合にのみ使用できることに注意してください。Note this hyperlink is only available when Azure Active Directory authentication is enabled.
    • また、Azure portal で [Azure Active Directory] > [エンタープライズ アプリケーション] > [すべてのアプリケーション] にアクセスして WindowsAdminCenter を検索してアプリケーションを見つけることもできます (Azure AD アプリの名前は WindowsAdminCenter- になります)。You can also find your application in the Azure portal by going to Azure Active Directory > Enterprise applications > All applications and searching WindowsAdminCenter (the Azure AD app will be named WindowsAdminCenter-). 検索結果が表示されない場合は、 [表示][すべてのアプリケーション] に設定されていること、 [アプリケーションの状態][すべて] に設定されていることを確認し、[適用] をクリックしてから、検索を試してください。If you don't get any search results, ensure Show is set to all applications, application status is set to any and click Apply, then try your search. アプリケーションが見つかったら、 [ユーザーとグループ] にアクセスします。Once you've found the application, go to Users and groups
  2. [プロパティ] タブで、 [ユーザーの割り当てが必要] を [はい] に設定します。In the Properties tab, set User assignment required to Yes. この操作を完了すると、 [ユーザーとグループ] タブに表示されているメンバーのみが Windows Admin Center ゲートウェイにアクセスできるようになります。Once you've done this, only members listed in the Users and groups tab will be able to access the Windows Admin Center gateway.
  3. [ユーザーとグループ] タブで、 [ユーザーの追加] を選択します。In the Users and groups tab, select Add user. 追加したユーザーまたはグループごとに、ゲートウェイ ユーザーまたはゲートウェイ管理者のロールを割り当てる必要があります。You must assign a gateway user or gateway administrator role for each user/group added.

Azure AD 認証を有効にした後は、ゲートウェイ サービスが再起動します。また、ブラウザーを更新する必要があります。Once you turn on Azure AD authentication, the gateway service restarts and you must refresh your browser. Azure portal では、SME Azure AD アプリケーションのユーザー アクセスをいつでも更新できます。You can update user access for the SME Azure AD application in the Azure portal at any time.

ユーザーが Windows Admin Center ゲートウェイ URL にアクセスしようとすると、Azure Active Directory ID を使用してサインインするように求められます。Users will be prompted to sign in using their Azure Active Directory identity when they attempt to access the Windows Admin Center gateway URL. ユーザーが Windows Admin Center にアクセスするには、ゲートウェイ サーバーのローカル ユーザーのメンバーでもある必要があることに注意してください。Remember that users must also be a member of the local Users on the gateway server to access Windows Admin Center.

ユーザーと管理者は、Windows Admin Center の [設定] の [アカウント] タブから、現在ログインしているアカウントを表示できるだけでなく、Azure AD アカウントからサインアウトすることもできます。Users and administrators can view their currently logged-in account and as well as sign-out of this Azure AD account from the Account tab of Windows Admin Center Settings.

Windows Admin Center の Azure Active Directory 認証の構成Configuring Azure Active Directory authentication for Windows Admin Center

Azure AD 認証を設定するには、まず Azure にゲートウェイを登録する必要があります (この操作は、Windows Admin Center ゲートウェイに対して 1 回だけ行う必要があります)。To set up Azure AD authentication, you must first register your gateway with Azure (you only need to do this once for your Windows Admin Center gateway). この手順では、ゲートウェイ ユーザーとゲートウェイ管理者のアクセスを管理できる Azure AD アプリケーションを作成します。This step creates an Azure AD application from which you can manage gateway user and gateway administrator access.

特定の Azure AD ユーザーまたはグループ ゲートウェイ ユーザーまたはゲートウェイ管理者に Windows Admin Center サービスへのアクセスを許可する場合は、次の操作を行う必要があります。If you want to give specific Azure AD users or groups gateway user or gateway administrator access to the Windows Admin Center service, you must do the following:

  1. Azure portal で SME Azure AD アプリケーションにアクセスします。Go to your SME Azure AD application in the Azure portal.
    • [Change access control](アクセス制御の変更) をクリックし、Windows Admin Center の [アクセスの設定] から [Azure Active Directory] を選択すると、UI に表示されるハイパーリンクを使用して Azure portal の Azure AD アプリケーションにアクセスできます。When you click Change access control and then select Azure Active Directory from the Windows Admin Center Access settings, you can use the hyperlink provided in the UI to access your Azure AD application in the Azure portal. このハイパーリンクは、[アクセスの設定] で [保存] をクリックし、アクセス制御 ID プロバイダーとして Azure AD を選択した後も使用できます。This hyperlink is also available in the Access settings after you click save and have selected Azure AD as your access control identity provider.
    • また、Azure portal で [Azure Active Directory] > [エンタープライズ アプリケーション] > [すべてのアプリケーション] にアクセスし、SME を検索してアプリケーションを見つけることもできます (Azure AD アプリの名前は SME- になります)。You can also find your application in the Azure portal by going to Azure Active Directory > Enterprise applications > All applications and searching SME (the Azure AD app will be named SME-). 検索結果が表示されない場合は、 [表示][すべてのアプリケーション] に設定されていること、 [アプリケーションの状態][すべて] に設定されていることを確認し、[適用] をクリックしてから、検索を試してください。If you don't get any search results, ensure Show is set to all applications, application status is set to any and click Apply, then try your search. アプリケーションが見つかったら、 [ユーザーとグループ] にアクセスします。Once you've found the application, go to Users and groups
  2. [プロパティ] タブで、 [ユーザーの割り当てが必要] を [はい] に設定します。In the Properties tab, set User assignment required to Yes. この操作を完了すると、 [ユーザーとグループ] タブに表示されているメンバーのみが Windows Admin Center ゲートウェイにアクセスできるようになります。Once you've done this, only members listed in the Users and groups tab will be able to access the Windows Admin Center gateway.
  3. [ユーザーとグループ] タブで、 [ユーザーの追加] を選択します。In the Users and groups tab, select Add user. 追加したユーザーまたはグループごとに、ゲートウェイ ユーザーまたはゲートウェイ管理者のロールを割り当てる必要があります。You must assign a gateway user or gateway administrator role for each user/group added.

[Change access control](アクセス制御の変更) ペインで Azure AD のアクセス制御を保存した後は、ゲートウェイ サービスが再起動します。また、ブラウザーを更新する必要があります。Once you save the Azure AD access control in the Change access control pane, the gateway service restarts and you must refresh your browser. Azure portal では、Windows Admin Center Azure AD アプリケーションのユーザー アクセスをいつでも更新できます。You can update user access for the Windows Admin Center Azure AD application in the Azure portal at any time.

ユーザーが Windows Admin Center ゲートウェイ URL にアクセスしようとすると、Azure Active Directory ID を使用してサインインするように求められます。Users will be prompted to sign in using their Azure Active Directory identity when they attempt to access the Windows Admin Center gateway URL. ユーザーが Windows Admin Center にアクセスするには、ゲートウェイ サーバーのローカル ユーザーのメンバーでもある必要があることに注意してください。Remember that users must also be a member of the local Users on the gateway server to access Windows Admin Center.

ユーザーと管理者は、Windows Admin Center の全般設定の [Azure] タブを使用して、現在ログインしているアカウントを表示できるだけでなく、Azure AD アカウントからサインアウトすることもできます。Using the Azure tab of Windows Admin Center general settings, users and administrators can view their currently logged-in account and as well as sign-out of this Azure AD account.

条件付きアクセスと多要素認証Conditional access and multi-factor authentication

Windows Admin Center ゲートウェイへのアクセスを制御するために Azure AD を追加のセキュリティ層として使用する利点の 1 つは、条件付きアクセスや多要素認証などの Azure AD の強力なセキュリティ機能を利用できることです。One of the benefits of using Azure AD as an additional layer of security to control access to the Windows Admin Center gateway is that you can leverage Azure AD's powerful security features like conditional access and multi-factor authentication.

Azure Active Directory を使用した条件付きアクセスの構成の詳細については、こちらを参照してください。Learn more about configuring conditional access with Azure Active Directory.

シングル サインオンを構成するConfigure single sign-on

Windows Server にサービスとしてデプロイされた場合のシングル サインオンSingle sign-on when deployed as a Service on Windows Server

Windows 10 に Windows Admin Center をインストールすると、シングル サインオンを使用できるようになります。When you install Windows Admin Center on Windows 10, it's ready to use single sign-on. ただし、Windows Server 上で Windows Admin Center を使用する場合は、シングル サインオンを使用する前に、環境内に何らかの形式の Kerberos 委任を設定する必要があります。If you're going to use Windows Admin Center on Windows Server, however, you need to set up some form of Kerberos delegation in your environment before you can use single sign-on. 委任によってゲートウェイ マシンが信頼済みとして構成され、ターゲット ノードに委任されます。The delegation configures the gateway computer as trusted to delegate to the target node.

環境内でリソースベースの制約付き委任を構成するには、次の PowerShell の例を使用します。To configure Resource-based constrained delegation in your environment, use the following PowerShell example. この例は、contoso.com ドメインの Windows Admin Center ゲートウェイ [wac.contoso.com] からの委任を受け入れるように Windows サーバー [node01.contoso.com] を構成する方法を示しています。This example shows how you would configure a Windows Server [node01.contoso.com] to accept delegation from your Windows Admin Center getway [wac.contoso.com] in the contoso.com domain.

Set-ADComputer -Identity (Get-ADComputer node01) -PrincipalsAllowedToDelegateToAccount (Get-ADComputer wac)

このリレーションシップを削除するには、次のコマンドレットを実行します。To remove this relationship, run the following cmdlet:

Set-ADComputer -Identity (Get-ADComputer node01) -PrincipalsAllowedToDelegateToAccount $null

役割ベースのアクセス制御Role-based access control

ロールベースのアクセス制御を使用すると、ローカルの完全な管理者にするのではなく、マシンへの制限付きアクセス権をユーザーに付与できるようになります。Role-based access control enables you to provide users with limited access to the machine instead of making them full local administrators. ロールベースのアクセス制御と使用できるロールについては、こちらを参照してください。Read more about role-based access control and the available roles.

RBAC の設定は、ターゲット コンピューターでサポートを有効にし、ユーザーを関連するロールに割り当てるという 2 つの手順で構成されます。Setting up RBAC consists of 2 steps: enabling support on the target computer(s) and assigning users to the relevant roles.

ヒント

ロールベースのアクセス制御のサポートを構成するマシンに、ローカル管理者特権があることを確認します。Make sure you have local administrator privileges on the machines where you are configuring support for role-based access control.

ロールベースのアクセス制御を 1 台のマシンに適用するApply role-based access control to a single machine

1 台のマシンのデプロイ モデルは、管理するマシンが少数の単純な環境に最適です。The single machine deployment model is ideal for simple environments with only a few computers to manage. ロールベースのアクセス制御をサポートするマシンを構成すると、次のような変更が行われます。Configuring a machine with support for role-based access control will result in the following changes:

  • Windows Admin Center で必要な機能を備えた PowerShell モジュールは、システム ドライブの C:\Program Files\WindowsPowerShell\Modules にインストールされます。PowerShell modules with functions required by Windows Admin Center will be installed on your system drive, under C:\Program Files\WindowsPowerShell\Modules. すべてのモジュールは Microsoft.Sme から始まります。All modules will start with Microsoft.Sme
  • Desired State Configuration によって 1 回限りの構成が実行され、Microsoft.Sme.PowerShell という Just Enough Administration エンドポイントがマシン上に構成されます。Desired State Configuration will run a one-time configuration to configure a Just Enough Administration endpoint on the machine, named Microsoft.Sme.PowerShell. このエンドポイントによって、Windows Admin Center に使用される 3 つのロールが定義され、ユーザーが接続するときに一時的なローカル管理者として実行されます。This endpoint defines the 3 roles used by Windows Admin Center and will run as a temporary local administrator when a user connects to it.
  • どのユーザーにどのロールへのアクセスを割り当てるかを制御する 3 つの新しいローカル グループが作成されます。3 new local groups will be created to control which users are assigned access to which roles:
    • Windows Admin Center 管理者Windows Admin Center Administrators
    • Windows Admin Center Hyper-V 管理者Windows Admin Center Hyper-V Administrators
    • Windows Admin Center 閲覧者Windows Admin Center Readers

1 台のマシンでロールベースのアクセス制御のサポートを有効にするには、次の手順を実行します。To enable support for role-based access control on a single machine, follow these steps:

  1. Windows Admin Center を開き、ターゲット マシンでローカル管理者特権を持つアカウントを使用して、ロールベースのアクセス制御で構成するマシンに接続します。Open Windows Admin Center and connect to the machine you wish to configure with role-based access control using an account with local administrator privileges on the target machine.
  2. [概要] ツールで、 [設定] > [ロールベースのアクセス制御] をクリックします。On the Overview tool, click Settings > Role-based access control.
  3. ページの下部にある [適用] をクリックし、ターゲット コンピューターでロールベースのアクセス制御をサポートできるようにします。Click Apply at the bottom of the page to enable support for role-based access control on the target computer. アプリケーション プロセスでは、PowerShell スクリプトがコピーされ、ターゲット マシンで (PowerShell Desired State Configuration を使用して) 構成が呼び出されます。The application process involves copying PowerShell scripts and invoking a configuration (using PowerShell Desired State Configuration) on the target machine. 完了までに最大で 10 分かかる場合があります。また、WinRM が再起動します。It may take up to 10 minutes to complete, and will result in WinRM restarting. これにより、Windows Admin Center、PowerShell、および WMI ユーザーが一時的に切断されます。This will temporarily disconnect Windows Admin Center, PowerShell, and WMI users.
  4. ページを更新して、ロールベースのアクセス制御の状態を確認します。Refresh the page to check the status of role-based access control. 使用する準備が整うと、状態は [適用済み] に変わります。When it is ready for use, the status will change to Applied.

構成が適用されると、ユーザーをロールに割り当てることができます。Once the configuration is applied, you can assign users to the roles:

  1. [ローカル ユーザーとグループ] ツールを開き、 [グループ] タブに移動します。Open the Local Users and Groups tool and navigate to the Groups tab.
  2. Windows Admin Center 閲覧者グループを選択します。Select the Windows Admin Center Readers group.
  3. 下部にある [詳細] ペインで、 [ユーザーの追加] をクリックし、Windows Admin Center を使用してサーバーへの読み取り専用アクセス権を持つユーザーまたはセキュリティ グループの名前を入力します。In the Details pane at the bottom, click Add User and enter the name of a user or security group which should have read-only access to the server through Windows Admin Center. ローカル コンピューターまたは Active Directory ドメインのユーザーとグループを使用できます。The users and groups can come from the local machine or your Active Directory domain.
  4. Windows Admin Center Hyper-V 管理者Windows Admin Center 管理者グループについて、手順 2 から 3 を繰り返します。Repeat steps 2-3 for the Windows Admin Center Hyper-V Administrators and Windows Admin Center Administrators groups.

[Restricted Groups Policy Setting](制限されたグループ ポリシー設定) でグループ ポリシー オブジェクトを構成することで、ドメイン全体でこれらのグループを一貫した方法で入力することもできます。You can also fill these groups consistently across your domain by configuring a Group Policy Object with the Restricted Groups Policy Setting.

複数のマシンにロールベースのアクセス制御を適用するApply role-based access control to multiple machines

大規模なエンタープライズ展開では、既存の自動化ツールを使用して Windows Admin Center ゲートウェイから構成パッケージをダウンロードすることにより、ロールベースのアクセス制御機能をコンピューターにプッシュできます。In a large enterprise deployment, you can use your existing automation tools to push out the role-based access control feature to your computers by downloading the configuration package from the Windows Admin Center gateway. 構成パッケージは、PowerShell Desired State Configuration と共に使用するように設計されていますが、好みの自動化ソリューションで動作するように調整することができます。The configuration package is designed to be used with PowerShell Desired State Configuration, but you can adapt it to work with your preferred automation solution.

ロールベースのアクセス制御構成をダウンロードするDownload the role-based access control configuration

ロールベースのアクセス制御構成パッケージをダウンロードするには、Windows Admin Center と PowerShell プロンプトにアクセスできる必要があります。To download the role-based access control configuration package, you'll need to have access to Windows Admin Center and a PowerShell prompt.

Windows Server 上で Windows Admin Center ゲートウェイをサービス モードで実行している場合は、次のコマンドを使用して構成パッケージをダウンロードします。If you're running the Windows Admin Center gateway in service mode on Windows Server, use the following command to download the configuration package. ゲートウェイのアドレスは、実際の環境に合わせて適切なものに更新してください。Be sure to update the gateway address with the correct one for your environment.

$WindowsAdminCenterGateway = 'https://windowsadmincenter.contoso.com'
Invoke-RestMethod -Uri "$WindowsAdminCenterGateway/api/nodes/all/features/jea/endpoint/export" -Method POST -UseDefaultCredentials -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"

Windows 10 マシン上で Windows Admin Center ゲートウェイを実行している場合は、代わりに次のコマンドを実行します。If you're running the Windows Admin Center gateway on your Windows 10 machine, run the following command instead:

$cert = Get-ChildItem Cert:\CurrentUser\My | Where-Object Subject -eq 'CN=Windows Admin Center Client' | Select-Object -First 1
Invoke-RestMethod -Uri "https://localhost:6516/api/nodes/all/features/jea/endpoint/export" -Method POST -Certificate $cert -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"

zip アーカイブを展開すると、次のフォルダー構造が表示されます。When you expand the zip archive, you'll see the following folder structure:

  • InstallJeaFeatures.ps1InstallJeaFeatures.ps1
  • JustEnoughAdministration (ディレクトリ)JustEnoughAdministration (directory)
  • Modules (ディレクトリ)Modules (directory)
    • Microsoft.SME.* (ディレクトリ)Microsoft.SME.* (directories)
    • WindowsAdminCenter.Jea (ディレクトリ)WindowsAdminCenter.Jea (directory)

ノード上でロールベースのアクセス制御のサポートを構成するには、次のアクションを実行する必要があります。To configure support for role-based access control on a node, you need to perform the following actions:

  1. JustEnoughAdministration、Microsoft.SME.*、および WindowsAdminCenter.Jea モジュールをターゲット マシン上の PowerShell モジュール ディレクトリにコピーします。Copy the JustEnoughAdministration, Microsoft.SME.*, and WindowsAdminCenter.Jea modules to the PowerShell module directory on the target machine. 通常、これは C:\Program Files\WindowsPowerShell\Modules にあります。Typically, this is located at C:\Program Files\WindowsPowerShell\Modules.
  2. RBAC エンドポイントの目的の構成に合わせて InstallJeaFeature.ps1 ファイルを更新します。Update InstallJeaFeature.ps1 file to match your desired configuration for the RBAC endpoint.
  3. InstallJeaFeature.ps1 を実行して、DSC リソースをコンパイルします。Run InstallJeaFeature.ps1 to compile the DSC resource.
  4. すべてのマシンに DSC 構成を展開し、構成を適用します。Deploy your DSC configuration to all of your machines to apply the configuration.

次のセクションでは、PowerShell リモート処理を使用してこれを行う方法について説明します。The following section explains how to do this using PowerShell Remoting.

複数のマシンに展開するDeploy on multiple machines

ダウンロードした構成を複数のマシンに展開するには、InstallJeaFeatures.ps1 スクリプトを更新して、環境に適したセキュリティ グループを含め、ファイルを各コンピューターにコピーして、構成スクリプトを呼び出す必要があります。To deploy the configuration you downloaded onto multiple machines, you'll need to update the InstallJeaFeatures.ps1 script to include the appropriate security groups for your environment, copy the files to each of your computers, and invoke the configuration scripts. 好みの自動化ツールを使用してもこれを実現できますが、この記事では純粋な PowerShell ベースのアプローチに焦点を当てます。You can use your preferred automation tooling to accomplish this, however this article will focus on a pure PowerShell-based approach.

この構成スクリプトを実行すると、既定では、マシン上にローカル セキュリティ グループが作成され、各ロールへのアクセスが制御されます。By default, the configuration script will create local security groups on the machine to control access to each of the roles. これはワークグループとドメインに参加しているマシンに適していますが、ドメインのみの環境に展開する場合は、ドメイン セキュリティ グループを各ロールに直接関連付けることができます。This is suitable for workgroup and domain joined machines, but if you're deploying in a domain-only environment you may wish to directly associate a domain security group with each role. ドメイン セキュリティ グループを使用するように構成を更新するには、InstallJeaFeatures.ps1 を開き、次のように変更します。To update the configuration to use domain security groups, open InstallJeaFeatures.ps1 and make the following changes:

  1. ファイルから 3 つの Group リソースを削除します。Remove the 3 Group resources from the file:
    1. "Group MS-Readers-Group""Group MS-Readers-Group"
    2. "Group MS-Hyper-V-Administrators-Group""Group MS-Hyper-V-Administrators-Group"
    3. "Group MS-Administrators-Group""Group MS-Administrators-Group"
  2. JeaEndpoint の DependsOn プロパティから 3 つの Group リソースを削除しますRemove the 3 Group resources from the JeaEndpoint DependsOn property
    1. "[Group]MS-Readers-Group""[Group]MS-Readers-Group"
    2. "[Group]MS-Hyper-V-Administrators-Group""[Group]MS-Hyper-V-Administrators-Group"
    3. "[Group]MS-Administrators-Group""[Group]MS-Administrators-Group"
  3. JeaEndpoint の RoleDefinitions プロパティのグループ名を、目的のセキュリティ グループに変更します。Change the group names in the JeaEndpoint RoleDefinitions property to your desired security groups. たとえば、Windows Admin Center 管理者ロールにアクセスを割り当てる必要があるセキュリティ グループ CONTOSO\MyTrustedAdmins がある場合、'$env:COMPUTERNAME\Windows Admin Center Administrators''CONTOSO\MyTrustedAdmins' に変更します。For example, if you have a security group CONTOSO\MyTrustedAdmins that should be assigned access to the Windows Admin Center Administrators role, change '$env:COMPUTERNAME\Windows Admin Center Administrators' to 'CONTOSO\MyTrustedAdmins'. 更新する必要がある 3 つの文字列は次のとおりです。The three strings you need to update are:
    1. '$env:COMPUTERNAME\Windows Admin Center Administrators''$env:COMPUTERNAME\Windows Admin Center Administrators'
    2. '$env:COMPUTERNAME\Windows Admin Center Hyper-V Administrators''$env:COMPUTERNAME\Windows Admin Center Hyper-V Administrators'
    3. '$env:COMPUTERNAME\Windows Admin Center Readers''$env:COMPUTERNAME\Windows Admin Center Readers'

注意

ロールごとに一意のセキュリティ グループを使用します。Be sure to use unique security groups for each role. 同じセキュリティ グループを複数のロールに割り当てると、構成は失敗します。Configuration will fail if the same security group is assigned to multiple roles.

次に、InstallJeaFeatures.ps1 ファイルの末尾の、スクリプトの一番下に次の PowerShell 行を追加します。Next, at the end of the InstallJeaFeatures.ps1 file, add the following lines of PowerShell to the bottom of the script:

Copy-Item "$PSScriptRoot\JustEnoughAdministration" "$env:ProgramFiles\WindowsPowerShell\Modules" -Recurse -Force
$ConfigData = @{
    AllNodes = @()
    ModuleBasePath = @{
        Source = "$PSScriptRoot\Modules"
        Destination = "$env:ProgramFiles\WindowsPowerShell\Modules"
    }
}
InstallJeaFeature -ConfigurationData $ConfigData | Out-Null
Start-DscConfiguration -Path "$PSScriptRoot\InstallJeaFeature" -JobName "Installing JEA for Windows Admin Center" -Force

最後に、モジュール、DSC リソース、構成を含むフォルダーを各ターゲット ノードにコピーすると、InstallJeaFeature.ps1 スクリプトを実行できるようになります。Finally, you can copy the folder containing the modules, DSC resource and configuration to each target node and run the InstallJeaFeature.ps1 script. リモートの管理ワークステーションからこれを行うには、次のコマンドを実行できます。To do this remotely from your admin workstation, you can run the following commands:

$ComputersToConfigure = 'MyServer01', 'MyServer02'

$ComputersToConfigure | ForEach-Object {
    $session = New-PSSession -ComputerName $_ -ErrorAction Stop
    Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC\JustEnoughAdministration\" -Destination "$env:ProgramFiles\WindowsPowerShell\Modules\" -ToSession $session -Recurse -Force
    Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC" -Destination "$env:TEMP\WindowsAdminCenter_RBAC" -ToSession $session -Recurse -Force
    Invoke-Command -Session $session -ScriptBlock { Import-Module JustEnoughAdministration; & "$env:TEMP\WindowsAdminCenter_RBAC\InstallJeaFeature.ps1" } -AsJob
    Disconnect-PSSession $session
}