Azureの権限とNerdio Manager
Nerdio Managerは、Azure Marketplaceから展開され、あなた自身のEntra IDテナントおよびAzureサブスクリプション内で実行されるAzureアプリケーションです。インストール、構成、および継続的な使用中に特定の権限が必要です。
ヒント: Azureの権限とNerdio Managerについて詳しくは、次の文書をご覧ください: Nerdio Manager for Enterprise - 権限。
インストール権限
Nerdio Managerのインストールを行うEntra IDユーザーには、以下の権限が必要です:
Entra IDのグローバル管理者ロール。
Azureサブスクリプションの所有者ロール。
注意: これらの昇格された権限は、初回のインストールおよび構成プロセスにのみ必要であり、Nerdio Managerの継続的な使用には必要ありません。
Nerdio Managerがインストールされると、Azure内で以下のAPIアプリケーション権限を持ちます:
サービス |
権限 |
機能 |
|---|---|---|
Azure リソース マネージャー |
サブスクリプション リーダー サブスクリプション バックアップ リーダー |
Azure サブスクリプション内の利用可能なリソースを一覧表示し、ユーザーの代わりにリクエストを送信します。 |
Microsoft Graph |
Application.Read.All (委任) AppRoleAssignment.ReadWrite.All Application.ReadWrite.All (委任) |
Nerdio Manager アプリのサービスプリンシパルを管理し、ユーザーがサインインできるように、Nerdio Manager アプリにユーザーをアサインします。 |
Microsoft Graph |
Organization.Read.All (委任) Organization.Read.All (アプリ) |
テナント名などの組織レベルの情報を読み取ります。 |
Microsoft Graph |
User.Read (委任) User.ReadBasic.All (delegated) User.Read.All (アプリ) User.Read.All (委任) Group.Read.All (アプリ) Group.Read.All (委任) GroupMember.Read.All (delegated) |
アプリ グループの割り当て用に、Entra ID のグループとメンバーシップを読み取ります。 |
Microsoft Graph |
Offline_access (委任) Openid (委任) プロファイル (委任) (オプション)Mail.Send (委任) |
ユーザーのサインインと委任アクションを許可します。 |
Azure Service Management |
user_impersonation (delegated) |
ユーザーの代わりに Azure にリクエストを送信します。 |
Windows Virtual Desktop |
TenantCreator(アプリ) |
(AVD Classic/V1)AVDテナントを作成します。 |
Windows Virtual Desktop |
user_impersonation (delegated) |
(AVD Classic/V1)ユーザーの代わりにリクエストを送信します。 |
注意:Group.Read.AllおよびUser.Read.AllアプリケーションレベルのAPI権限は、バージョン4.0以降で削除される可能性があります。これらの権限を削除すると、以下の影響があります:
REST APIは、User.Read.Allアプリケーションレベルの権限なしでは、ユーザーをホストプールに割り当てることができません。
既存のルールセットを使用してインストール済みアプリの管理を行う場合、Group.Read.Allアプリケーションレベルの権限を削除した後、各ルールセットを開いて保存することを忘れないでください。
サブスクリプション権限
Nerdio Managerライセンスサブスクリプションを有効化する際に、新しいSaaSサブスクリプションオブジェクトAzureリソースがAzureサブスクリプション上に作成され、Nerdio ManagerがAzure請求書上でライセンス消費に対して3者サービスとして請求できるようになります。SaaSサブスクリプションオブジェクトを構成するためには、追加のコストがサブスクリプションに含まれるため、構成を完了するユーザーはサブスクリプション所有者でなければなりません。
Nerdio Managerの請求に特化した新しいEntra IDアプリケーション登録も、リソース展開の一部として自動的に作成されます。このアプリケーションは、あなたのAzureテナントを代表してユーザーとして認証し、SaaSサブスクリプションオブジェクトをあなたのAzureサブスクリプションに関連付けて登録するために、以下の権限が付与されます。これらの権限により、請求アプリケーションはNerdio Managerのライセンスサービスに以下の詳細を通知できます:
購入を完了するのは誰か?
請求に使用されるSaaSサブスクリプションオブジェクトはどれですか?
どのEntra IDテナントから接続しているか。
注意: これらは、上記の主要なNerdio Managerアプリケーションに付与されるのと同じ権限が請求アプリケーションにも付与されます。
| サービス | 権限 | 機能 |
|---|---|---|
Microsoft Graph |
openid、プロファイル、User.Read(委任) |
ユーザーのサインインを可能にします(名前とAzureテナントIDが共有されます)。 |
構成権限
Nerdio Managerアプリケーションがインストールされると、既存のAzureリソースに"リンク"するか、新しいリソースを作成するために、Nerdio Manager内でいくつかの構成アクションを実行できます。これらのアクションを実行するには、要求するユーザー(つまり、Nerdio Managerを通じてサインインし、アクションを実行しているユーザー)が使用されるAzureリソースに対して特定の権限を持っている必要があります。
アクション |
必要な権限 |
|---|---|
リソースグループをリンクする |
リクエストを行うユーザーは、リンクされるリソースグループの所有者でなければなりません。 |
ネットワークをリンクする |
リクエストを行うユーザーは、リンクされるVNet(またはそのVNetを含むリソースグループ)の所有者でなければなりません。 注意: ログインしているユーザーは、オーナーまたはユーザーアクセス管理者である必要があります。その後、Nerdio Manager およびサービスプリンシパルは、リソースグループまたはVNetに対して共同作成者の権限を保持します。 |
追加のAzureサブスクリプションをリンクする |
リクエストを行うユーザーは、リンクされるサブスクリプションの所有者でなければなりません。 |
AVDオブジェクトモデルをClassicからARMに切り替える |
リクエストを行うユーザーは、必要な管理者承諾を付与するためにEntra IDのグローバル管理者でなければなりません。 |
Sepago Azureモニタリングを有効にする |
リクエストを行うユーザーは、Log Analyticsリソースのデプロイと権限の割り当てのために選択されたリソースグループの所有者でなければなりません。 |
Azure Files 共有を作成 |
リクエストを行うユーザーは、ストレージアカウントのデプロイのために選択されたリソースグループの共同作成者でなければなりません。新しく作成されたAzure Files ファイル共有をActive Directoryに参加させるには、選択されたADプロファイルがServicePrincipalNameオブジェクトを作成する権限を持っている必要があります(詳細についてはAzure Files 共有をドメイン(Active Directory)に参加させるための必要な権限を参照してください)。 |
Azure NetApp Filesボリュームを作成する |
リクエストを行うユーザーは、NetAppアカウントのデプロイおよびNetApp Files サブネットを含むvNetのために選択されたリソースグループの共同作成者でなければなりません。 |
AVD ARMホストプールを作成する |
リクエストを行うユーザーは、ホストプールが作成されるリソースグループの共同作成者でなければなりません。Nerdio Managerがアプリグループメンバーシップを管理できるようにするには、リクエストを行うユーザーは、ホストプールとアプリグループがデプロイされるリソースグループの所有者でなければなりません。 |
他のユーザーに対してNerdio Managerへのアクセスを付与する。 |
リクエストを行うユーザーは、Nerdio ManagerのAVD管理者でなければなりません。 |
以前のAVDデプロイメントからセッションホストVMを関連付けます。 |
リクエストを行うユーザーは、VMを含むリソースグループの共同作成者でなければなりません。 |
継続的な使用権限
Nerdio Managerアプリケーションがインストールされ、構成されると、Nerdio Managerを通じて構成されたAVD環境を管理するためにAzureでのユーザー権限は必要ありません。Nerdio Managerのほとんどのアクションは、サインインしているユーザーを代表してNerdio Managerで実行されます。
注意:利用可能なRBACロールがいくつかあります。詳細については、ロールベースのアクセス制御(RBAC)をNME でご覧ください。
コメント (0件のコメント)