ユーザー Access Control とアクセス許可の構成Configure User Access Control and Permissions

適用対象:Windows Admin Center、Windows Admin Center PreviewApplies to: Windows Admin Center, Windows Admin Center Preview

まだお持ちでない場合は、 Windows 管理センターのユーザーアクセス制御オプションについてよく理解してください。If you haven't already, familiarize yourself with the user access control options in Windows Admin Center

注意

Windows 管理センターでのグループベースのアクセスは、ワークグループ環境または信頼されていないドメイン間ではサポートされていません。Group based access in Windows Admin Center is not supported in workgroup environments or across non-trusted domains.

ゲートウェイアクセスロールの定義Gateway access role definitions

Windows 管理センターゲートウェイサービスへのアクセスには、次の2つの役割があります。There are two roles for access to the Windows Admin Center gateway service:

ゲートウェイユーザーは、Windows 管理センターゲートウェイサービスに接続して、そのゲートウェイを介してサーバーを管理できますが、アクセス許可や、ゲートウェイに対する認証に使用される認証メカニズムを変更することはできません。Gateway users can connect to the Windows Admin Center gateway service to manage servers through that gateway, but they can't change access permissions nor the authentication mechanism used to authenticate to the gateway.

ゲートウェイ管理者は、アクセスを許可するユーザーと、ゲートウェイに対するユーザーの認証方法を構成できます。Gateway administrators can configure who gets access as well as how users authenticate to the gateway. Windows 管理センターでは、ゲートウェイ管理者だけがアクセス設定を表示および構成できます。Only gateway administrators can view and configure the Access settings in Windows Admin Center. ゲートウェイコンピューターのローカル管理者は、常に Windows 管理センターゲートウェイサービスの管理者です。Local administrators on the gateway machine are always administrators of the Windows Admin Center gateway service.

注意

ゲートウェイへのアクセスは、ゲートウェイによって表示される管理対象サーバーへのアクセスを意味しません。Access to the gateway doesn't imply access to managed servers visible by the gateway. 対象サーバーを管理するには、接続するユーザーが資格情報を使用する必要があります (渡された Windows 資格情報を使用するか、管理者権限を持つ Windows 管理センターセッションで提供される資格情報を使用します)。その対象サーバーへの接続。To manage a target server, the connecting user must use credentials (either through their passed-through Windows credential or through credentials provided in the Windows Admin Center session using the Manage as action) that have administrative access to that target server.

Active Directory またはローカルコンピューターグループActive Directory or local machine groups

既定では、Active Directory またはローカルコンピューターグループを使用して、ゲートウェイアクセスを制御します。By default, Active Directory or local machine groups are used to control gateway access. Active Directory ドメインがある場合は、Windows 管理センターのインターフェイス内からゲートウェイユーザーと管理者のアクセス権を管理できます。If you have an Active Directory domain, you can manage gateway user and administrator access from within the Windows Admin Center interface.

[ユーザー] タブでは、ゲートウェイユーザーとして Windows 管理センターにアクセスできるユーザーを制御できます。On the Users tab you can control who can access Windows Admin Center as a gateway user. 既定では、セキュリティグループを指定しない場合、ゲートウェイの URL にアクセスするすべてのユーザーにアクセス権が与えられます。By default, and if you don't specify a security group, any user that accesses the gateway URL has access. 1つまたは複数のセキュリティグループをユーザー一覧に追加すると、それらのグループのメンバーにアクセスが制限されます。Once you add one or more security groups to the users list, access is restricted to the members of those groups.

環境内で Active Directory ドメインを使用しない場合、アクセスは Windows 管理センターゲートウェイコンピューター上の @no__t 0 および @no__t ローカルグループによって制御されます。If you don't use an Active Directory domain in your environment, access is controlled by the Users and Administrators local groups on the Windows Admin Center gateway machine.

スマートカード認証Smartcard authentication

スマートカードベースのセキュリティグループに_必要な_追加のグループを指定することによって、スマートカード認証を適用できます。You can enforce smartcard authentication by specifying an additional required group for smartcard-based security groups. スマートカードベースのセキュリティグループを追加した後は、ユーザーが Windows 管理センターサービスにアクセスできるのは、ユーザー一覧に含まれる任意のセキュリティグループとスマートカードグループのメンバーである場合のみです。Once you have added a smartcard-based security group, a user can only access the Windows Admin Center service if they are a member of any security group AND a smartcard group included in the users list.

[管理者] タブでは、ゲートウェイ管理者として Windows 管理センターにアクセスできるユーザーを制御できます。On the Administrators tab you can control who can access Windows Admin Center as a gateway administrator. コンピューターのローカルの administrators グループには、常に完全な管理者アクセス権が付与され、一覧から削除することはできません。The local administrators group on the computer will always have full administrator access and cannot be removed from the list. セキュリティグループを追加することによって、これらのグループのメンバーに Windows 管理センターのゲートウェイ設定を変更する権限を付与します。By adding security groups, you give members of those groups privileges to change Windows Admin Center gateway settings. 管理者リストでは、ユーザー一覧と同じ方法でスマートカード認証をサポートしています。セキュリティグループとスマートカードグループの AND 条件を使用します。The administrators list supports smartcard authentication in the same way as the users list: with the AND condition for a security group and a smartcard group.

Azure Active DirectoryAzure Active Directory

組織で Azure Active Directory (Azure AD) を使用している場合は、ゲートウェイへのアクセスに Azure AD 認証を要求することにより、Windows 管理センターにセキュリティ層を追加することができます。If your organization uses Azure Active Directory (Azure AD), you can choose to add an additional layer of security to Windows Admin Center by requiring Azure AD authentication to access the gateway. Windows 管理センターにアクセスするには、ユーザーのwindows アカウントもゲートウェイサーバーにアクセスできる必要があります (Azure AD 認証が使用されている場合でも)。In order to access Windows Admin Center, the user's Windows account must also have access to gateway server (even if Azure AD authentication is used). Azure AD を使用する場合、windows 管理センターの UI 内からではなく、Azure Portal から Windows 管理センターのユーザーと管理者のアクセス許可を管理します。When you use Azure AD, you'll manage Windows Admin Center user and administrator access permissions from the Azure Portal, rather than from within the Windows Admin Center UI.

Azure AD 認証が有効になっている場合の Windows 管理センターへのアクセスAccessing Windows Admin Center when Azure AD authentication is enabled

使用されているブラウザーによっては、Azure AD 認証が構成された Windows 管理センターにアクセスしている一部のユーザーが、ブラウザーから追加のプロンプトを受け取ります。このプロンプトで、windows アカウントの資格情報を入力する必要があります。Windows 管理センターがインストールされています。Depending on the browser used, some users accessing Windows Admin Center with Azure AD authentication configured will receive an additional prompt from the browser where they need to provide their Windows account credentials for the machine on which Windows Admin Center is installed. この情報を入力すると、ユーザーは追加の Azure Active Directory 認証プロンプトを取得します。これには、Azure の Azure AD アプリケーションでアクセス権が付与されている Azure アカウントの資格情報が必要です。After entering that information, the users will get the additional Azure Active Directory authentication prompt, which requires the credentials of an Azure account that has been granted access in the Azure AD application in Azure.

注意

Windows アカウントを持つユーザーは、ゲートウェイコンピューターに対する管理者権限を持っているため、Azure AD 認証を求められることはありません。Users who's Windows account has Administrator rights on the gateway machine will not be prompted for the Azure AD authentication.

Windows 管理センタープレビューの Azure Active Directory 認証の構成Configuring Azure Active Directory authentication for Windows Admin Center Preview

Windows 管理センターの設定 > アクセス の順に移動し、トグルスイッチを使用して Azure Active Directory を使用してセキュリティ層をゲートウェイに追加する をオンにします。Go to Windows Admin Center Settings > Access and use the toggle switch to turn on "Use Azure Active Directory to add a layer of security to the gateway". Azure にゲートウェイを登録していない場合は、この時点で実行するように指示されます。If you have not registered the gateway to Azure, you will be guided to do that at this time.

既定では、Azure AD テナントのすべてのメンバーには、Windows 管理センターゲートウェイサービスへのユーザーアクセス権があります。By default, all members of the Azure AD tenant have user access to the Windows Admin Center gateway service. Windows 管理センターゲートウェイへの管理者アクセス権を持つのは、ゲートウェイコンピューターのローカル管理者だけです。Only local administrators on the gateway machine have administrator access to the Windows Admin Center gateway. ゲートウェイコンピューターのローカル管理者の権限は制限できないことに注意してください。認証に Azure AD が使用されているかどうかにかかわらず、ローカルの管理者は何でも実行できます。Note that the rights of local administrators on the gateway machine cannot be restricted - local admins can do anything regardless of whether Azure AD is used for authentication.

特定の Azure AD ユーザーまたはグループに、ゲートウェイユーザーまたはゲートウェイ管理者が Windows 管理センターサービスにアクセスできるようにするには、次の操作を行う必要があります。If you want to give specific Azure AD users or groups gateway user or gateway administrator access to the Windows Admin Center service, you must do the following:

  1. [アクセス設定] に表示されているハイパーリンクを使用して、Azure portal で Windows 管理センター Azure AD アプリケーションにアクセスします。Go to your Windows Admin Center Azure AD application in the Azure portal by using the hyperlink provided in Access Settings. 注このハイパーリンクは、Azure Active Directory 認証が有効になっている場合にのみ使用できます。Note this hyperlink is only available when Azure Active Directory authentication is enabled.
    • また、Azure portal でアプリケーションを検索するには、[ Azure Active Directory > エンタープライズ @no__t アプリケーション] に移動し、 [すべてのアプリケーション] を見つけて、 windowsadmincenterを検索します (Azure AD アプリの名前はWindowsAdminCenter-)。You can also find your application in the Azure portal by going to Azure Active Directory > Enterprise applications > All applications and searching WindowsAdminCenter (the Azure AD app will be named WindowsAdminCenter-). 検索結果が得られない場合は、表示すべてのアプリケーション に設定されていること、アプリケーションの状態任意 に設定されていることを確認し、適用 をクリックして、検索をIf you don't get any search results, ensure Show is set to all applications, application status is set to any and click Apply, then try your search. アプリケーションが見つかったら、 [ユーザーとグループ] にアクセスします。Once you've found the application, go to Users and groups
  2. プロパティ] タブで、 [ユーザー割り当てが必要] を [はい に設定します。In the Properties tab, set User assignment required to Yes. この操作を完了すると、 [ユーザーとグループ] タブに表示されているメンバーのみが Windows 管理センターゲートウェイにアクセスできるようになります。Once you've done this, only members listed in the Users and groups tab will be able to access the Windows Admin Center gateway.
  3. ユーザーとグループ タブで、ユーザーの追加 を選択します。In the Users and groups tab, select Add user. 追加するユーザーまたはグループごとに、ゲートウェイユーザーまたはゲートウェイ管理者ロールを割り当てる必要があります。You must assign a gateway user or gateway administrator role for each user/group added.

Azure AD 認証を有効にすると、ゲートウェイサービスが再起動し、ブラウザーを最新の状態に更新する必要があります。Once you turn on Azure AD authentication, the gateway service restarts and you must refresh your browser. Azure portal では、SME Azure AD アプリケーションのユーザーアクセスをいつでも更新できます。You can update user access for the SME Azure AD application in the Azure portal at any time.

ユーザーが Windows 管理センターのゲートウェイの URL にアクセスしようとすると、Azure Active Directory id を使用してサインインするように求められます。Users will be prompted to sign in using their Azure Active Directory identity when they attempt to access the Windows Admin Center gateway URL. Windows 管理センターにアクセスするには、ユーザーもゲートウェイサーバーのローカルユーザーのメンバーである必要があることに注意してください。Remember that users must also be a member of the local Users on the gateway server to access Windows Admin Center.

ユーザーおよび管理者は、現在ログインしているアカウントを表示したり、Windows 管理センターの設定の [アカウント] タブからこの Azure AD アカウントからサインアウトしたりできます。Users and administrators can view their currently logged-in account and as well as sign-out of this Azure AD account from the Account tab of Windows Admin Center Settings.

Windows 管理センターの Azure Active Directory 認証の構成Configuring Azure Active Directory authentication for Windows Admin Center

Azure AD 認証を設定するには、最初に Azure にゲートウェイを登録する必要があります (これは、Windows 管理センターゲートウェイに対して1回だけ行う必要があります)。To set up Azure AD authentication, you must first register your gateway with Azure (you only need to do this once for your Windows Admin Center gateway). この手順では、ゲートウェイユーザーとゲートウェイの管理者アクセスを管理できる Azure AD アプリケーションを作成します。This step creates an Azure AD application from which you can manage gateway user and gateway administrator access.

特定の Azure AD ユーザーまたはグループに、ゲートウェイユーザーまたはゲートウェイ管理者が Windows 管理センターサービスにアクセスできるようにするには、次の操作を行う必要があります。If you want to give specific Azure AD users or groups gateway user or gateway administrator access to the Windows Admin Center service, you must do the following:

  1. Azure portal で、SME Azure AD アプリケーションにアクセスします。Go to your SME Azure AD application in the Azure portal.
    • [アクセス制御の変更] をクリックし、Windows 管理センターのアクセス設定 で [Azure Active Directory] を選択した場合は、UI に表示されるハイパーリンクを使用して、Azure portal 内の Azure AD アプリケーションにアクセスできます。When you click Change access control and then select Azure Active Directory from the Windows Admin Center Access settings, you can use the hyperlink provided in the UI to access your Azure AD application in the Azure portal. このハイパーリンクは、[保存] をクリックし、アクセス制御 id プロバイダーとして Azure AD を選択した後に、アクセス設定でも使用できます。This hyperlink is also available in the Access settings after you click save and have selected Azure AD as your access control identity provider.
    • また、Azure portal でアプリケーションを検索することもできます。そのためには、[ Azure Active Directory > エンタープライズアプリケーション] @no__t [すべてのアプリケーション] の順に移動し、 [sme] を検索します (Azure AD アプリの名前は "sme-" になります)。You can also find your application in the Azure portal by going to Azure Active Directory > Enterprise applications > All applications and searching SME (the Azure AD app will be named SME-). 検索結果が得られない場合は、表示すべてのアプリケーション に設定されていること、アプリケーションの状態任意 に設定されていることを確認し、適用 をクリックして、検索をIf you don't get any search results, ensure Show is set to all applications, application status is set to any and click Apply, then try your search. アプリケーションが見つかったら、 [ユーザーとグループ] にアクセスします。Once you've found the application, go to Users and groups
  2. プロパティ] タブで、 [ユーザー割り当てが必要] を [はい に設定します。In the Properties tab, set User assignment required to Yes. この操作を完了すると、 [ユーザーとグループ] タブに表示されているメンバーのみが Windows 管理センターゲートウェイにアクセスできるようになります。Once you've done this, only members listed in the Users and groups tab will be able to access the Windows Admin Center gateway.
  3. ユーザーとグループ タブで、ユーザーの追加 を選択します。In the Users and groups tab, select Add user. 追加するユーザーまたはグループごとに、ゲートウェイユーザーまたはゲートウェイ管理者ロールを割り当てる必要があります。You must assign a gateway user or gateway administrator role for each user/group added.

[アクセス制御の変更] ウィンドウで Azure AD アクセス制御を保存すると、ゲートウェイサービスが再起動し、ブラウザーを最新の状態に更新する必要があります。Once you save the Azure AD access control in the Change access control pane, the gateway service restarts and you must refresh your browser. Azure portal では、Windows 管理センター Azure AD アプリケーションのユーザーアクセスをいつでも更新できます。You can update user access for the Windows Admin Center Azure AD application in the Azure portal at any time.

ユーザーが Windows 管理センターのゲートウェイの URL にアクセスしようとすると、Azure Active Directory id を使用してサインインするように求められます。Users will be prompted to sign in using their Azure Active Directory identity when they attempt to access the Windows Admin Center gateway URL. Windows 管理センターにアクセスするには、ユーザーもゲートウェイサーバーのローカルユーザーのメンバーである必要があることに注意してください。Remember that users must also be a member of the local Users on the gateway server to access Windows Admin Center.

Windows 管理センターの全般設定の [Azure] タブを使用すると、ユーザーと管理者は、現在ログインしているアカウントを表示したり、この Azure AD アカウントからサインアウトしたりすることができます。Using the Azure tab of Windows Admin Center general settings, users and administrators can view their currently logged-in account and as well as sign-out of this Azure AD account.

条件付きアクセスと多要素認証Conditional access and multi-factor authentication

Windows 管理センターゲートウェイへのアクセスを制御するために Azure AD を追加のセキュリティ層として使用する利点の1つは、条件付きアクセスや multi-factor authentication などの強力なセキュリティ機能を Azure AD 利用できることです。One of the benefits of using Azure AD as an additional layer of security to control access to the Windows Admin Center gateway is that you can leverage Azure AD's powerful security features like conditional access and multi-factor authentication.

Azure Active Directory を使用した条件付きアクセスの構成の詳細については、こちらをご覧ください。Learn more about configuring conditional access with Azure Active Directory.

シングル サインオンを構成するConfigure single sign-on

Windows Server にサービスとして展開された場合のシングルサインオンSingle sign-on when deployed as a Service on Windows Server

Windows 10 に Windows 管理センターをインストールすると、シングルサインオンを使用できるようになります。When you install Windows Admin Center on Windows 10, it's ready to use single sign-on. ただし、windows Server で Windows 管理センターを使用する場合は、シングルサインオンを使用する前に、環境内に何らかの形式の Kerberos 委任を設定する必要があります。If you're going to use Windows Admin Center on Windows Server, however, you need to set up some form of Kerberos delegation in your environment before you can use single sign-on. 委任によって、ターゲットノードに委任するようにゲートウェイコンピューターが信頼済みとして構成されます。The delegation configures the gateway computer as trusted to delegate to the target node.

環境内でリソースベースの制約付き委任を構成するには、次の PowerShell コマンドレットを実行します。To configure Resource-based constrained delegation in your environment, run the following PowerShell cmdlets. (これには、Windows Server 2012 以降を実行しているドメインコントローラーが必要であることに注意してください)。(Be aware that this requires a domain controller running Windows Server 2012 or later).

     $gateway = "WindowsAdminCenterGW" # Machine where Windows Admin Center is installed
     $node = "ManagedNode" # Machine that you want to manage
     $gatewayObject = Get-ADComputer -Identity $gateway
     $nodeObject = Get-ADComputer -Identity $node
     Set-ADComputer -Identity $nodeObject -PrincipalsAllowedToDelegateToAccount $gatewayObject

この例では、Windows 管理センターゲートウェイがサーバー Windowsadmincenter gwにインストールされ、ターゲットノード名がmanagednodeになっています。In this example, the Windows Admin Center gateway is installed on server WindowsAdminCenterGW, and the target node name is ManagedNode.

このリレーションシップを削除するには、次のコマンドレットを実行します。To remove this relationship, run the following cmdlet:

Set-ADComputer -Identity $nodeObject -PrincipalsAllowedToDelegateToAccount $null

役割ベースのアクセス制御Role-based access control

ロールベースのアクセス制御を使用すると、ローカルの完全な管理者ではなく、コンピューターへの制限付きアクセスをユーザーに提供できます。Role-based access control enables you to provide users with limited access to the machine instead of making them full local administrators. ロールベースのアクセス制御と使用可能なロールについては、こちらを参照してください。Read more about role-based access control and the available roles.

RBAC の設定は、ターゲットコンピュータでのサポートの有効化と、関連するロールへのユーザーの割り当てという2つの手順で構成されています。Setting up RBAC consists of 2 steps: enabling support on the target computer(s) and assigning users to the relevant roles.

ヒント

ロールベースのアクセス制御のサポートを構成するコンピューターに、ローカル管理者特権があることを確認します。Make sure you have local administrator privileges on the machines where you are configuring support for role-based access control.

ロールベースのアクセス制御を1台のコンピューターに適用するApply role-based access control to a single machine

シングルマシンデプロイモデルは、管理するコンピューターが少数の単純な環境に最適です。The single machine deployment model is ideal for simple environments with only a few computers to manage. ロールベースのアクセス制御をサポートするコンピューターを構成すると、次のような変更が行われます。Configuring a machine with support for role-based access control will result in the following changes:

  • Windows 管理センターで必要な機能を備えた PowerShell モジュールは、システムドライブの C:\Program Files\WindowsPowerShell\Modules の下にインストールされます。PowerShell modules with functions required by Windows Admin Center will be installed on your system drive, under C:\Program Files\WindowsPowerShell\Modules. すべてのモジュールが Microsoft の Sme から開始されます。All modules will start with Microsoft.Sme
  • Desired State Configuration では、1回限りの構成を実行して、コンピューター上の管理エンドポイントを構成します。これは、" Microsoft. ..." という名前です。Desired State Configuration will run a one-time configuration to configure a Just Enough Administration endpoint on the machine, named Microsoft.Sme.PowerShell. このエンドポイントは、Windows 管理センターによって使用される3つのロールを定義し、ユーザーが接続すると、一時的なローカル管理者として実行されます。This endpoint defines the 3 roles used by Windows Admin Center and will run as a temporary local administrator when a user connects to it.
  • 3新しいローカルグループが作成され、どのユーザーにどのロールへのアクセスが割り当てられているかを制御します。3 new local groups will be created to control which users are assigned access to which roles:
    • Windows 管理センター管理者Windows Admin Center Administrators
    • Windows 管理センター Hyper-v 管理者Windows Admin Center Hyper-V Administrators
    • Windows 管理センターリーダーWindows Admin Center Readers

1台のコンピューターでロールベースのアクセス制御のサポートを有効にするには、次の手順を実行します。To enable support for role-based access control on a single machine, follow these steps:

  1. Windows 管理センターを開き、ターゲットコンピューターでローカル管理者特権を持つアカウントを使用して、ロールベースのアクセス制御で構成するコンピューターに接続します。Open Windows Admin Center and connect to the machine you wish to configure with role-based access control using an account with local administrator privileges on the target machine.
  2. 概要ツールで、設定 をクリックし > ロールベースのアクセス制御 をクリックします。On the Overview tool, click Settings > Role-based access control.
  3. ページの下部にある [適用] をクリックして、ターゲットコンピューターでのロールベースのアクセス制御のサポートを有効にします。Click Apply at the bottom of the page to enable support for role-based access control on the target computer. アプリケーションプロセスでは、PowerShell スクリプトをコピーし、ターゲットコンピューターで (PowerShell Desired State Configuration を使用して) 構成を呼び出します。The application process involves copying PowerShell scripts and invoking a configuration (using PowerShell Desired State Configuration) on the target machine. 完了までに最大で10分かかる場合があり、WinRM は再起動されます。It may take up to 10 minutes to complete, and will result in WinRM restarting. これにより、Windows 管理センター、PowerShell、および WMI ユーザーが一時的に切断されます。This will temporarily disconnect Windows Admin Center, PowerShell, and WMI users.
  4. ページを更新して、ロールベースのアクセス制御の状態を確認します。Refresh the page to check the status of role-based access control. 使用準備が整うと、状態が [適用済み] に変わります。When it is ready for use, the status will change to Applied.

構成が適用されると、ユーザーをロールに割り当てることができます。Once the configuration is applied, you can assign users to the roles:

  1. [ローカルユーザーとグループ] ツールを開き、 [グループ] タブに移動します。Open the Local Users and Groups tool and navigate to the Groups tab.
  2. Windows 管理センターの閲覧者グループを選択します。Select the Windows Admin Center Readers group.
  3. 下部の詳細ウィンドウで、[ユーザーの追加] をクリックし、Windows 管理センターを使用してサーバーへの読み取り専用アクセス権を持つユーザーまたはセキュリティグループの名前を入力します。In the Details pane at the bottom, click Add User and enter the name of a user or security group which should have read-only access to the server through Windows Admin Center. ユーザーとグループは、ローカルコンピューターまたは Active Directory ドメインから取得できます。The users and groups can come from the local machine or your Active Directory domain.
  4. Windows 管理センターの Hyper-v 管理者グループと Windows 管理センターの管理者グループに対して、手順2-3 を繰り返します。Repeat steps 2-3 for the Windows Admin Center Hyper-V Administrators and Windows Admin Center Administrators groups.

また、制限されたグループポリシー設定を使用してグループポリシーオブジェクトを構成することによって、これらのグループをドメイン全体で一貫したものにすることもできます。You can also fill these groups consistently across your domain by configuring a Group Policy Object with the Restricted Groups Policy Setting.

複数のコンピューターへのロールベースのアクセス制御の適用Apply role-based access control to multiple machines

大規模なエンタープライズ展開では、Windows 管理センターゲートウェイから構成パッケージをダウンロードすることによって、既存の自動化ツールを使用して、ロールベースのアクセス制御機能をコンピューターにプッシュできます。In a large enterprise deployment, you can use your existing automation tools to push out the role-based access control feature to your computers by downloading the configuration package from the Windows Admin Center gateway. 構成パッケージは、PowerShell Desired State Configuration と共に使用するように設計されていますが、優先する automation ソリューションで動作するように調整することができます。The configuration package is designed to be used with PowerShell Desired State Configuration, but you can adapt it to work with your preferred automation solution.

ロールベースのアクセス制御構成をダウンロードするDownload the role-based access control configuration

ロールベースのアクセス制御構成パッケージをダウンロードするには、Windows 管理センターと PowerShell プロンプトにアクセスできる必要があります。To download the role-based access control configuration package, you'll need to have access to Windows Admin Center and a PowerShell prompt.

Windows Server で Windows 管理センターゲートウェイをサービスモードで実行している場合は、次のコマンドを使用して構成パッケージをダウンロードします。If you're running the Windows Admin Center gateway in service mode on Windows Server, use the following command to download the configuration package. ゲートウェイアドレスは、実際の環境に合わせて適切なものに更新してください。Be sure to update the gateway address with the correct one for your environment.

$WindowsAdminCenterGateway = 'https://windowsadmincenter.contoso.com'
Invoke-RestMethod -Uri "$WindowsAdminCenterGateway/api/nodes/all/features/jea/endpoint/export" -Method POST -UseDefaultCredentials -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"

Windows 10 コンピューターで Windows 管理センターゲートウェイを実行している場合は、代わりに次のコマンドを実行します。If you're running the Windows Admin Center gateway on your Windows 10 machine, run the following command instead:

$cert = Get-ChildItem Cert:\CurrentUser\My | Where-Object Subject -eq 'CN=Windows Admin Center Client' | Select-Object -First 1
Invoke-RestMethod -Uri "https://localhost:6516/api/nodes/all/features/jea/endpoint/export" -Method POST -Certificate $cert -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"

Zip アーカイブを展開すると、次のフォルダー構造が表示されます。When you expand the zip archive, you'll see the following folder structure:

  • InstallJeaFeaturesInstallJeaFeatures.ps1
  • ジャストの管理 (ディレクトリ)JustEnoughAdministration (directory)
  • モジュール (ディレクトリ)Modules (directory)
    • @No__t-0 (ディレクトリ)Microsoft.SME.* (directories)
    • WindowsAdminCenter Jea (ディレクトリ)WindowsAdminCenter.Jea (directory)

ノードでロールベースのアクセス制御のサポートを構成するには、次の操作を実行する必要があります。To configure support for role-based access control on a node, you need to perform the following actions:

  1. 対象のコンピューター上の PowerShell モジュールディレクトリに、ジャストイン *、および WindowsAdminCenter の各モジュールをコピーします。Copy the JustEnoughAdministration, Microsoft.SME.*, and WindowsAdminCenter.Jea modules to the PowerShell module directory on the target machine. 通常、これは @no__t 0 にあります。Typically, this is located at C:\Program Files\WindowsPowerShell\Modules.
  2. RBAC エンドポイントに必要な構成に合わせてInstallJeaFeatureファイルを更新します。Update InstallJeaFeature.ps1 file to match your desired configuration for the RBAC endpoint.
  3. InstallJeaFeature を実行して、DSC リソースをコンパイルします。Run InstallJeaFeature.ps1 to compile the DSC resource.
  4. すべてのコンピューターに DSC 構成をデプロイして、構成を適用します。Deploy your DSC configuration to all of your machines to apply the configuration.

次のセクションでは、PowerShell リモート処理を使用してこれを行う方法について説明します。The following section explains how to do this using PowerShell Remoting.

複数のコンピューターへのデプロイDeploy on multiple machines

ダウンロードした構成を複数のコンピューターに展開するには、 InstallJeaFeaturesスクリプトを更新して、環境に適したセキュリティグループを追加し、各コンピューターにファイルをコピーして、構成スクリプト。To deploy the configuration you downloaded onto multiple machines, you'll need to update the InstallJeaFeatures.ps1 script to include the appropriate security groups for your environment, copy the files to each of your computers, and invoke the configuration scripts. この記事では、適切なオートメーションツールを使用してこれを実現できます。ただし、この記事では、純粋な PowerShell ベースのアプローチに焦点を当てます。You can use your preferred automation tooling to accomplish this, however this article will focus on a pure PowerShell-based approach.

既定では、構成スクリプトは、各ロールへのアクセスを制御するために、コンピューター上にローカルセキュリティグループを作成します。By default, the configuration script will create local security groups on the machine to control access to each of the roles. これはワークグループとドメインに参加しているコンピューターに適していますが、ドメインのみの環境でを展開する場合は、ドメインセキュリティグループを各ロールに直接関連付けることをお勧めします。This is suitable for workgroup and domain joined machines, but if you're deploying in a domain-only environment you may wish to directly associate a domain security group with each role. ドメインセキュリティグループを使用するように構成を更新するには、 InstallJeaFeaturesを開き、次のように変更します。To update the configuration to use domain security groups, open InstallJeaFeatures.ps1 and make the following changes:

  1. ファイルから3つのグループリソースを削除します。Remove the 3 Group resources from the file:
    1. "Group MS-Reader-Group""Group MS-Readers-Group"
    2. "Group MS-Hyper-v-Administrators-Group""Group MS-Hyper-V-Administrators-Group"
    3. "グループ MS-Administrators-グループ""Group MS-Administrators-Group"
  2. JeaEndpoint DependsOnプロパティから3つのグループリソースを削除します。Remove the 3 Group resources from the JeaEndpoint DependsOn property
    1. "[Group] MS Reader-Group""[Group]MS-Readers-Group"
    2. "[グループ] MS-Hyper-v-Administrators-Group""[Group]MS-Hyper-V-Administrators-Group"
    3. "[グループ] MS-Administrators-グループ""[Group]MS-Administrators-Group"
  3. JeaEndpoint Roledefinitionsプロパティのグループ名を、目的のセキュリティグループに変更します。Change the group names in the JeaEndpoint RoleDefinitions property to your desired security groups. たとえば、Windows 管理センターの管理者ロールへのアクセスを割り当てる必要があるセキュリティグループCONTOSO\MyTrustedAdminsがある場合は、'$env:COMPUTERNAME\Windows Admin Center Administrators''CONTOSO\MyTrustedAdmins' に変更します。For example, if you have a security group CONTOSO\MyTrustedAdmins that should be assigned access to the Windows Admin Center Administrators role, change '$env:COMPUTERNAME\Windows Admin Center Administrators' to 'CONTOSO\MyTrustedAdmins'. 更新する必要がある3つの文字列は次のとおりです。The three strings you need to update are:
    1. ' $env: computer' 管理センター管理者 ''$env:COMPUTERNAME\Windows Admin Center Administrators'
    2. ' $env: computer' Admin Center Hyper-v Administrators ''$env:COMPUTERNAME\Windows Admin Center Hyper-V Administrators'
    3. ' $env: computer' 管理センターリーダー ''$env:COMPUTERNAME\Windows Admin Center Readers'

注意

ロールごとに一意のセキュリティグループを使用してください。Be sure to use unique security groups for each role. 同じセキュリティグループが複数のロールに割り当てられている場合、構成は失敗します。Configuration will fail if the same security group is assigned to multiple roles.

次に、 InstallJeaFeaturesファイルの末尾に、PowerShell の次の行をスクリプトの最後に追加します。Next, at the end of the InstallJeaFeatures.ps1 file, add the following lines of PowerShell to the bottom of the script:

Copy-Item "$PSScriptRoot\JustEnoughAdministration" "$env:ProgramFiles\WindowsPowerShell\Modules" -Recurse -Force
$ConfigData = @{
    AllNodes = @()
    ModuleBasePath = @{
        Source = "$PSScriptRoot\Modules"
        Destination = "$env:ProgramFiles\WindowsPowerShell\Modules"
    }
}
InstallJeaFeature -ConfigurationData $ConfigData | Out-Null
Start-DscConfiguration -Path "$PSScriptRoot\InstallJeaFeature" -JobName "Installing JEA for Windows Admin Center" -Force

最後に、モジュール、DSC リソース、および構成を含むフォルダーを各ターゲットノードにコピーし、 InstallJeaFeatureスクリプトを実行できます。Finally, you can copy the folder containing the modules, DSC resource and configuration to each target node and run the InstallJeaFeature.ps1 script. 管理ワークステーションからリモートでこれを行うには、次のコマンドを実行します。To do this remotely from your admin workstation, you can run the following commands:

$ComputersToConfigure = 'MyServer01', 'MyServer02'

$ComputersToConfigure | ForEach-Object {
    $session = New-PSSession -ComputerName $_ -ErrorAction Stop
    Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC\JustEnoughAdministration\" -Destination "$env:ProgramFiles\WindowsPowerShell\Modules\" -ToSession $session -Recurse -Force
    Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC" -Destination "$env:TEMP\WindowsAdminCenter_RBAC" -ToSession $session -Recurse -Force
    Invoke-Command -Session $session -ScriptBlock { Import-Module JustEnoughAdministration; & "$env:TEMP\WindowsAdminCenter_RBAC\InstallJeaFeature.ps1" } -AsJob
    Disconnect-PSSession $session
}