Windows 管理センターでのユーザーアクセスオプションUser access options with Windows Admin Center

適用先:Windows Admin Center、Windows Admin Center PreviewApplies To: Windows Admin Center, Windows Admin Center Preview

Windows Server に展開されている場合、Windows 管理センターでは、サーバー環境を一元的に管理することができます。When deployed on Windows Server, Windows Admin Center provides a centralized point of management for your server environment. Windows 管理センターへのアクセスを制御することにより、管理ランドスケープのセキュリティを向上させることができます。By controlling access to Windows Admin Center, you can improve the security of your management landscape.

ゲートウェイアクセスの役割Gateway access roles

Windows 管理センターでは、ゲートウェイサービスにアクセスするための2つのロール (ゲートウェイユーザーとゲートウェイ管理者) が定義されています。Windows Admin Center defines two roles for access to the gateway service: gateway users and gateway administrators.

注意

ゲートウェイへのアクセスは、ゲートウェイが参照できるターゲットサーバーへのアクセスを意味しません。Access to the gateway does not imply access to the target servers visible by the gateway. 対象サーバーを管理するには、対象サーバーで管理者特権を持つ資格情報を使用して接続する必要があります。To manage a target server, a user must connect with credentials that have administrative privileges on the target server.

ゲートウェイユーザーは、Windows 管理センターゲートウェイサービスに接続して、そのゲートウェイを介してサーバーを管理できますが、アクセス許可や、ゲートウェイに対する認証に使用される認証メカニズムを変更することはできません。Gateway users can connect to the Windows Admin Center gateway service in order to manage servers through that gateway, but they cannot change access permissions nor the authentication mechanism used to authenticate to the gateway.

ゲートウェイ管理者は、アクセスを許可するユーザーと、ユーザーがゲートウェイに対して認証する方法を構成できます。Gateway administrators can configure who gets access as well as how users will authenticate to the gateway.

注意

Windows 管理センターでアクセスグループが定義されていない場合、ロールにはゲートウェイサーバーへの Windows アカウントのアクセスが反映されます。If there are no access groups defined in Windows Admin Center, the roles will reflect the Windows account access to the gateway server.

Windows 管理センターでゲートウェイユーザーと管理者アクセスを構成します。Configure gateway user and administrator access in Windows Admin Center.

Id プロバイダーのオプションIdentity provider options

ゲートウェイ管理者は、次のいずれかを選択できます。Gateway administrators can choose either of the following:

スマートカード認証Smartcard authentication

Active Directory またはローカルコンピューターグループを id プロバイダーとして使用する場合、Windows 管理センターにアクセスするユーザーに対して、追加のスマートカードベースのセキュリティグループのメンバーになるように要求することによって、スマートカード認証を適用できます。When using Active Directory or local machine groups as the identity provider, you can enforce smartcard authentication by requiring users who access Windows Admin Center to be a member of additional smartcard-based security groups. Windows 管理センターでスマートカード認証を構成します。Configure smartcard authentication in Windows Admin Center.

条件付きアクセスと多要素認証Conditional access and multi-factor authentication

ゲートウェイに Azure AD 認証を要求することにより、Azure AD によって提供される条件付きアクセスや多要素認証などの追加のセキュリティ機能を利用できます。By requiring Azure AD authentication for the gateway, you can leverage additional security features like conditional access and multi-factor authentication provided by Azure AD. Azure Active Directory を使用した条件付きアクセスの構成の詳細については、こちらをご覧ください。Learn more about configuring conditional access with Azure Active Directory.

役割ベースのアクセス制御Role-based access control

既定では、ユーザーは、Windows 管理センターを使用して管理するコンピューターに対して完全なローカル管理者特権を必要とします。By default, users require full local administrator privileges on the machines they wish to manage using Windows Admin Center. これにより、コンピューターにリモート接続して、システム設定を表示および変更するための十分なアクセス許可があることを確認できます。This allows them to connect to the machine remotely and ensures they have sufficient permissions to view and modify system settings. ただし、ユーザーによっては、ジョブを実行するためにコンピューターへの無制限のアクセスが必要になる場合があります。However, some users may not need unrestricted access to the machine to perform their jobs. Windows 管理センターでロールベースのアクセス制御を使用すると、ローカルの完全な管理者ではなく、このようなユーザーにコンピューターへの制限付きアクセスを提供できます。You can use role-based access control in Windows Admin Center to provide such users with limited access to the machine instead of making them full local administrators.

Windows 管理センターでのロールベースのアクセス制御は、管理エンドポイントが十分にある PowerShell を使用して各管理対象サーバーを構成することによって機能します。Role-based access control in Windows Admin Center works by configuring each managed server with a PowerShell Just Enough Administration endpoint. このエンドポイントでは、各ロールが管理できるシステムの側面や、ロールに割り当てられているユーザーなど、ロールが定義されます。This endpoint defines the roles, including what aspects of the system each role is allowed to manage and which users are assigned to the role. ユーザーが制限付きのエンドポイントに接続すると、システムを管理するための一時的なローカル管理者アカウントが自動的に作成されます。When a user connects to the restricted endpoint, a temporary local administrator account is created to manage the system on their behalf. これにより、独自の委任モデルを持たないツールでも、引き続き Windows 管理センターで管理できるようになります。This ensures that even tools which do not have their own delegation model can still be managed with Windows Admin Center. 一時アカウントは、ユーザーが Windows 管理センターを使用してコンピューターの管理を停止すると、自動的に削除されます。The temporary account is automatically removed when the user stops managing the machine through Windows Admin Center.

ユーザーがロールベースのアクセス制御を使用して構成されたコンピューターに接続すると、Windows 管理センターは、ローカル管理者であるかどうかを最初に確認します。When a user connects to a machine configured with role-based access control, Windows Admin Center will first check if they are a local administrator. これらのユーザーは、制限なしで Windows 管理センター全体のエクスペリエンスを受け取ります。If they are, they will receive the full Windows Admin Center experience with no restrictions. それ以外の場合、Windows 管理センターは、ユーザーが定義済みロールのいずれかに属しているかどうかを確認します。Otherwise, Windows Admin Center will check if the user belongs to any of the pre-defined roles. ユーザーは、Windows 管理センターロールに属しているが、完全な管理者ではない場合は、アクセスが制限されていると言います。A user is said to have limited access if they belong to a Windows Admin Center role but are not a full administrator. 最後に、ユーザーが管理者でもロールのメンバーでもない場合は、コンピューターを管理するためのアクセスが拒否されます。Finally, if the user is neither an administrator nor a member of a role, they will be denied access to manage the machine.

ロールベースのアクセス制御は、サーバーマネージャーおよびフェールオーバークラスターソリューションで使用できます。Role-based access control is available for the Server Manager and Failover Cluster solutions.

[利用できる役割]Available roles

Windows 管理センターでは、次のエンドユーザーロールがサポートされています。Windows Admin Center supports the following end-user roles:

ロール名Role name 使用目的Intended use
管理者Administrators リモートデスクトップまたは PowerShell へのアクセス権をユーザーに付与することなく、Windows 管理センターのほとんどの機能を使用できます。Allows users to use most of the features in Windows Admin Center without granting them access to Remote Desktop or PowerShell. この役割は、コンピューター上の管理エントリポイントを制限する "ジャンプサーバー" のシナリオに適しています。This role is good for "jump server" scenarios where you want to limit the management entry points on a machine.
ReadersReaders ユーザーはサーバー上の情報や設定を表示できますが、変更することはできません。Allows users to view information and settings on the server, but not make changes.
Hyper-V 管理者Hyper-V Administrators ユーザーは Hyper-v 仮想マシンとスイッチに変更を加えることができますが、他の機能は読み取り専用アクセスに制限されます。Allows users to make changes to Hyper-V virtual machines and switches, but limits other features to read-only access.

次の組み込みの拡張機能は、ユーザーが制限付きアクセスで接続した場合に機能が制限されます。The following built-in extensions have reduced functionality when a user connects with limited access:

  • ファイル (ファイルのアップロードまたはダウンロードなし)Files (no file upload or download)
  • PowerShell (利用不可)PowerShell (unavailable)
  • リモートデスクトップ (利用不可)Remote Desktop (unavailable)
  • 記憶域レプリカ (利用不可)Storage Replica (unavailable)

現時点では、組織のカスタムロールを作成することはできませんが、各ロールへのアクセスを許可するユーザーを選択できます。At this time, you cannot create custom roles for your organization, but you can choose which users are granted access to each role.

ロールベースのアクセス制御の準備Preparing for role-based access control

一時的なローカルアカウントを利用するには、Windows 管理センターでロールベースのアクセス制御をサポートするように各ターゲットコンピューターを構成する必要があります。To leverage the temporary local accounts, each target machine needs to be configured to support role-based access control in Windows Admin Center. 構成プロセスでは、必要な状態の構成を使用して、PowerShell スクリプトと、十分な管理エンドポイントをコンピューターにインストールする必要があります。The configuration process involves installing PowerShell scripts and a Just Enough Administration endpoint on the machine using Desired State Configuration.

コンピューターが数台しかない場合は、Windows 管理センターのロールベースのアクセス制御ページを使用して、各コンピューターに構成を個別に適用することができます。If you only have a few computers, you can easily apply the configuration individually to each computer using the role-based access control page in Windows Admin Center. 個々のコンピューターでロールベースのアクセス制御を設定すると、各ロールへのアクセスを制御するためのローカルセキュリティグループが作成されます。When you set up role-based access control on an individual computer, local security groups are created to control access to each role. ユーザーまたは他のセキュリティグループには、ロールセキュリティグループのメンバーとして追加することによって、アクセスを許可できます。You can grant access to users or other security groups by adding them as members of the role security groups.

複数のコンピューターでのエンタープライズ規模の展開では、ゲートウェイから構成スクリプトをダウンロードし、Desired State Configuration プルサーバー、Azure Automation、または優先管理ツールを使用してコンピューターに配布することができます。For an enterprise-wide deployment on multiple machines, you can download the configuration script from the gateway and distribute it to your computers using a Desired State Configuration pull server, Azure Automation, or your preferred management tooling.