このブラウザーはサポートされなくなりました。
Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。
Windows Admin Center のユーザー アクセス制御オプションについてよく理解していない場合は、こちらで確認してください。
注意
Windows Admin Center でのグループ ベースのアクセスは、ワークグループ環境または信頼されていないドメイン間ではサポートされていません。
Windows Admin Center ゲートウェイ サービスへのアクセスには、次の 2 つのロールがあります。
ゲートウェイ ユーザーは、Windows Admin Center ゲートウェイ サービスに接続し、そのゲートウェイを介してサーバーを管理できますが、アクセス許可や、ゲートウェイに対する認証に使用される認証メカニズムを変更することはできません。
ゲートウェイ管理者は、ゲートウェイにアクセスできるユーザーとユーザーの認証方法を構成できます。 Windows Admin Center では、ゲートウェイ管理者のみがアクセス設定を表示および構成できます。 ゲートウェイ マシンのローカル管理者は、常に Windows Admin Center ゲートウェイ サービスの管理者です。
CredSSP の管理に固有の追加のロールもあります。
Windows Admin Center CredSSP 管理者は、Windows Admin Center CredSSP エンドポイントに登録され、事前定義済みの CredSSP 操作を実行するためのアクセス許可が付与されます。 このグループは、デスクトップ モードで Windows Admin Center をインストールする場合に特に役立ちます。この場合、Windows Admin Center をインストールしたユーザー アカウントにのみこれらのアクセス許可が既定で付与されます。
注意
ゲートウェイにアクセスできることは、ゲートウェイから表示できるマネージド サーバーにアクセスできることを意味しません。 ターゲット サーバーを管理するには、接続するユーザーが、そのターゲット サーバーへの管理者アクセス権を持つ資格情報 (パススルー Windows 資格情報、または [管理に使用する資格情報] アクションを使用して Windows Admin Center セッションで指定した資格情報) を使用する必要があります。 これは、ほとんどの Windows Admin Center ツールで使用する管理アクセス許可が必要であるためです。
既定では、Active Directory またはローカル コンピューター グループを使用して、ゲートウェイ アクセスを制御します。 Active Directory ドメインがある場合は、Windows Admin Center のインターフェイス内からゲートウェイ ユーザーと管理者アクセス権を管理できます。
[ユーザー] タブでは、ゲートウェイ ユーザーとして Windows Admin Center にアクセスできるユーザーを制御できます。 既定では、セキュリティ グループを指定しない場合、ゲートウェイの URL にアクセスするすべてのユーザーにアクセス権が与えられます。 1 つ以上のセキュリティ グループをユーザー一覧に追加すると、それらのグループのメンバーのみにアクセスが制限されます。
環境内で Active Directory ドメインを使用しない場合、アクセスは Windows Admin Center ゲートウェイ マシン上の [ユーザー] および [管理者] ローカル グループによって制御されます。
スマートカード認証を適用するには、スマートカードベースのセキュリティ グループに追加の "必要な" グループを指定します。 スマートカードベースのセキュリティ グループを追加すると、ユーザーは、ユーザー一覧に含まれるセキュリティ グループとスマートカード グループの両方のメンバーである場合にのみ、Windows Admin Center サービスにアクセスできます。
[管理者] タブでは、ゲートウェイ管理者として Windows Admin Center にアクセスできるユーザーを制御できます。 コンピューターのローカルの管理者グループには、常に完全な管理者アクセス権が付与され、一覧から削除することはできません。 セキュリティ グループを追加すると、それらのグループのメンバーには Windows Admin Center ゲートウェイ設定を変更する特権が付与されます。 管理者一覧では、セキュリティ グループとスマートカード グループの AND 条件を使用して、ユーザー一覧と同じ方法でスマートカード認証がサポートされます。
組織で Microsoft Entra ID を使用している場合、ゲートウェイへのアクセスに Microsoft Entra 認証を要求することで、Windows Admin Center にもう 1 層のセキュリティを追加することもできます。 Windows Admin Center にアクセスするには、(Microsoft Entra 認証が使用されている場合でも) ユーザーの Windows アカウントにもゲートウェイ サーバーへのアクセス権が必要です。 Microsoft Entra ID を使用する場合、Windows Admin Center UI 内からではなく、Azure portal から Windows Admin Center のユーザーおよび管理者のアクセス許可を管理します。
使用しているブラウザーによっては、Microsoft Entra 認証が構成されたWindows Admin Center にアクセスする一部のユーザーには、ブラウザーからの追加のプロンプトが表示されます。ここで Windows Admin Center がインストールされているマシンの Windows アカウントの資格情報を指定する必要があります。 その情報を入力すると、ユーザーには追加の Microsoft Entra 認証プロンプトが表示されます。ここでは、Azure の Microsoft Entra アプリケーションでアクセスが許可された Azure アカウントの資格情報が必要です。
注意
Windows アカウントにゲートウェイ マシン上で管理者アクセス権があるユーザーには、Microsoft Entra 認証のプロンプトは表示されません。
Windows Admin Center の [設定]>[アクセス] に移動し、トグル スイッチを使用して [Use Microsoft Entra ID to add a layer of security to the gateway] (Microsoft Entra ID を使用してセキュリティの層をゲートウェイに追加する) をオンにします。 Azure にゲートウェイを登録していない場合は、この時点で行うように指示されます。
既定では、Microsoft Entra テナントのすべてのメンバーには、Windows Admin Center ゲートウェイ サービスへのユーザー アクセス権があります。 Windows Admin Center ゲートウェイへの管理者アクセス権を持つのは、ゲートウェイ マシンのローカル管理者のみです。 ゲートウェイ マシンのローカル管理者の権限は制限できないことに注意してください。認証に Microsoft Entra ID が使用されているかどうかにかかわらず、ローカルの管理者は何でも実行できます。
特定の Microsoft Entra ユーザーまたはグループに Windows Admin Center サービスへのゲートウェイ ユーザーまたはゲートウェイ管理者アクセス権を付与する場合は、次の手順を実行する必要があります。
Microsoft Entra 認証を有効にした後は、ゲートウェイ サービスが再起動します。また、ブラウザーを更新する必要があります。 Azure portal では、SME Microsoft Entra アプリケーションのユーザー アクセスをいつでも更新できます。
ユーザーが Windows Admin Center ゲートウェイ URL にアクセスしようとすると、Microsoft Entra ID を使用してサインインするように求められます。 ユーザーが Windows Admin Center にアクセスするには、ゲートウェイ サーバーのローカル ユーザーのメンバーでもある必要があることに注意してください。
ユーザーと管理者は、Windows Admin Center の [設定] の [アカウント] タブから、現在ログインしているアカウントを表示できるだけでなく、Microsoft Entra アカウントからサインアウトすることもできます。
Microsoft Entra 認証を設定するには、まず Azure にゲートウェイを登録する必要があります (この操作は、Windows Admin Center ゲートウェイに対して 1 回だけ行う必要があります)。 この手順では、ゲートウェイ ユーザーとゲートウェイ管理者のアクセスを管理できる Microsoft Entra アプリケーションを作成します。
特定の Microsoft Entra ユーザーまたはグループに Windows Admin Center サービスへのゲートウェイ ユーザーまたはゲートウェイ管理者アクセス権を付与する場合は、次の手順を実行する必要があります。
[Change access control] (アクセス制御の変更) ペインで Microsoft Entra のアクセス制御を保存した後は、ゲートウェイ サービスが再起動します。また、ブラウザーを更新する必要があります。 Azure portal では、Windows Admin Center Microsoft Entra アプリケーションのユーザー アクセスをいつでも更新できます。
ユーザーが Windows Admin Center ゲートウェイ URL にアクセスしようとすると、Microsoft Entra ID を使用してサインインするように求められます。 ユーザーが Windows Admin Center にアクセスするには、ゲートウェイ サーバーのローカル ユーザーのメンバーでもある必要があることに注意してください。
ユーザーと管理者は、Windows Admin Center の全般設定の [Azure] タブを使用して、現在ログインしているアカウントを表示できるだけでなく、Microsoft Entra アカウントからサインアウトすることもできます。
Windows Admin Center ゲートウェイへのアクセスを制御する追加のセキュリティ層として Microsoft Entra ID を使用する利点の 1 つは、条件付きアクセスや多要素認証などの Microsoft Entra ID の強力なセキュリティ機能を利用できることです。
一般的な条件付きアクセス ポリシー: Azure 管理で MFA を必須にする
Windows Server にサービスとしてデプロイされた場合のシングル サインオン
Windows 10 に Windows Admin Center をインストールすると、シングル サインオンを使用できるようになります。 ただし、Windows Server 上で Windows Admin Center を使用する場合は、シングル サインオンを使用する前に、環境内に何らかの形式の Kerberos 委任を設定する必要があります。 委任によってゲートウェイ マシンが信頼済みとして構成され、ターゲット ノードに委任されます。
環境内でリソースベースの制約付き委任を構成するには、次の PowerShell の例を使用します。 この例は、contoso.com ドメインの Windows Admin Center ゲートウェイ [wac.contoso.com] からの委任を受け入れるように Windows サーバー [node01.contoso.com] を構成する方法を示しています。
Set-ADComputer -Identity (Get-ADComputer node01) -PrincipalsAllowedToDelegateToAccount (Get-ADComputer wac)
このリレーションシップを削除するには、次のコマンドレットを実行します。
Set-ADComputer -Identity (Get-ADComputer node01) -PrincipalsAllowedToDelegateToAccount $null
ロールベースのアクセス制御を使用すると、ローカルの完全な管理者にするのではなく、マシンへの制限付きアクセス権をユーザーに付与できるようになります。 ロールベースのアクセス制御と使用できるロールについては、こちらを参照してください。
RBAC の設定は、ターゲット コンピューターでサポートを有効にし、ユーザーを関連するロールに割り当てるという 2 つの手順で構成されます。
ヒント
ロールベースのアクセス制御のサポートを構成するマシンに、ローカル管理者特権があることを確認します。
1 台のマシンのデプロイ モデルは、管理するマシンが少数の単純な環境に最適です。 ロールベースのアクセス制御をサポートするマシンを構成すると、次のような変更が行われます。
C:\Program Files\WindowsPowerShell\Modules にインストールされます。 すべてのモジュールは Microsoft.Sme から始まります。注意
ロールベースのアクセス制御は、クラスター管理ではサポートされていません (この場合、CredSSP などの RBAC に依存する機能は失敗します)。
1 台のマシンでロールベースのアクセス制御のサポートを有効にするには、次の手順を実行します。
構成が適用されると、ユーザーをロールに割り当てることができます。
[Restricted Groups Policy Setting]\(制限されたグループ ポリシー設定\) でグループ ポリシー オブジェクトを構成することで、ドメイン全体でこれらのグループを一貫した方法で入力することもできます。
大規模なエンタープライズ展開では、既存の自動化ツールを使用して Windows Admin Center ゲートウェイから構成パッケージをダウンロードすることにより、ロールベースのアクセス制御機能をコンピューターにプッシュできます。 構成パッケージは、PowerShell Desired State Configuration と共に使用するように設計されていますが、好みの自動化ソリューションで動作するように調整することができます。
ロールベースのアクセス制御構成パッケージをダウンロードするには、Windows Admin Center と PowerShell プロンプトにアクセスできる必要があります。
Windows Server 上で Windows Admin Center ゲートウェイをサービス モードで実行している場合は、次のコマンドを使用して構成パッケージをダウンロードします。 ゲートウェイのアドレスは、実際の環境に合わせて適切なものに更新してください。
$WindowsAdminCenterGateway = 'https://windowsadmincenter.contoso.com'
Invoke-RestMethod -Uri "$WindowsAdminCenterGateway/api/nodes/all/features/jea/endpoint/export" -Method POST -UseDefaultCredentials -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"
Windows 10 マシン上で Windows Admin Center ゲートウェイを実行している場合は、代わりに次のコマンドを実行します。
$cert = Get-ChildItem Cert:\CurrentUser\My | Where-Object Subject -eq 'CN=Windows Admin Center Client' | Select-Object -First 1
Invoke-RestMethod -Uri "https://localhost:6516/api/nodes/all/features/jea/endpoint/export" -Method POST -Certificate $cert -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"
zip アーカイブを展開すると、次のフォルダー構造が表示されます。
ノード上でロールベースのアクセス制御のサポートを構成するには、次のアクションを実行する必要があります。
C:\Program Files\WindowsPowerShell\Modules にあります。InstallJeaFeature.ps1 を実行します。次のセクションでは、PowerShell リモート処理を使用してこれを行う方法について説明します。
ダウンロードした構成を複数のマシンに展開するには、InstallJeaFeatures.ps1 スクリプトを更新して、環境に適したセキュリティ グループを含め、ファイルを各コンピューターにコピーして、構成スクリプトを呼び出す必要があります。 好みの自動化ツールを使用してもこれを実現できますが、この記事では純粋な PowerShell ベースのアプローチに焦点を当てます。
この構成スクリプトを実行すると、既定では、マシン上にローカル セキュリティ グループが作成され、各ロールへのアクセスが制御されます。 これはワークグループとドメインに参加しているマシンに適していますが、ドメインのみの環境に展開する場合は、ドメイン セキュリティ グループを各ロールに直接関連付けることができます。 ドメイン セキュリティ グループを使用するように構成を更新するには、InstallJeaFeatures.ps1 を開き、次のように変更します。
'$env:COMPUTERNAME\Windows Admin Center Administrators' を 'CONTOSO\MyTrustedAdmins' に変更します。 更新する必要がある 3 つの文字列は次のとおりです。注意
ロールごとに一意のセキュリティ グループを使用します。 同じセキュリティ グループを複数のロールに割り当てると、構成は失敗します。
次に、InstallJeaFeatures.ps1 ファイルの末尾の、スクリプトの一番下に次の PowerShell 行を追加します。
Copy-Item "$PSScriptRoot\JustEnoughAdministration" "$env:ProgramFiles\WindowsPowerShell\Modules" -Recurse -Force
$ConfigData = @{
AllNodes = @()
ModuleBasePath = @{
Source = "$PSScriptRoot\Modules"
Destination = "$env:ProgramFiles\WindowsPowerShell\Modules"
}
}
InstallJeaFeature -ConfigurationData $ConfigData | Out-Null
Start-DscConfiguration -Path "$PSScriptRoot\InstallJeaFeature" -JobName "Installing JEA for Windows Admin Center" -Force
最後に、モジュール、DSC リソース、構成を含むフォルダーを各ターゲット ノードにコピーすると、InstallJeaFeature.ps1 スクリプトを実行できるようになります。 リモートの管理ワークステーションからこれを行うには、次のコマンドを実行できます。
$ComputersToConfigure = 'MyServer01', 'MyServer02'
$ComputersToConfigure | ForEach-Object {
$session = New-PSSession -ComputerName $_ -ErrorAction Stop
Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC\JustEnoughAdministration\" -Destination "$env:ProgramFiles\WindowsPowerShell\Modules\" -ToSession $session -Recurse -Force
Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC" -Destination "$env:TEMP\WindowsAdminCenter_RBAC" -ToSession $session -Recurse -Force
Invoke-Command -Session $session -ScriptBlock { Import-Module JustEnoughAdministration; & "$env:TEMP\WindowsAdminCenter_RBAC\InstallJeaFeature.ps1" } -AsJob
Disconnect-PSSession $session
}
トレーニング
モジュール
Windows Server での Just Enough Administration - Training
Just Enough Administration (JEA) を使って、Windows Server 環境の管理を合理化します。 指定した PowerShell コマンドレット、パラメーター、変数のセットに特権操作を制限し、JEA エンドポイントに接続できるユーザーを制限します。 それらのユーザーが管理タスクを実行するときに持つ特権のレベルを制限します。
認定資格
Microsoft Certified: Identity and Access Administrator Associate - Certifications
ID ソリューションの現代化、ハイブリッド ソリューションの実装、ID ガバナンスの実装を行う Microsoft Entra ID の機能を実証します。
ドキュメント
Windows Admin Center を使用したサーバーの管理
Windows Admin Center を使用したサーバーの管理 (Project Honolulu)
Windows Admin Center の一般的なトラブルシューティングの手順
Windows Admin Center の一般的なトラブルシューティングの手順
Windows Admin Center でのユーザー アクセス オプション
Windows Admin Center でのユーザー アクセス オプションと ID プロバイダー (Project Honolulu)