ロールベースのアクセス制御 (RBAC):複数のグループ割り当て
組み込みアカウントのいずれかを使用する場合、Nerdio Managerへの管理者アクセスは、Entra IDに登録されたNerdio Managerのアプリケーションへの個々のユーザーまたはグループのアサインによって制御されます。Nerdio Manager v6.4以降、カスタムロールに対する累積RBACのサポートが導入されました。この変更の影響を正しく理解するために、この文書をよくご確認ください。新しい動作と以前の動作の詳細は、以下に示します。
ユーザーが複数のグループメンバーシップを通じてNerdio Managerへの権限を得ることは可能ですが、組み込みアカウントや組み込みアカウントとカスタムロールの組み合わせの場合は、サポートされない構成となります。組み込みアカウントを使用する場合、ユーザーへのNerdio Managerアクセスの割り当ては1件のみになるように注意してください。
Nerdio Manager v6.4以降のRBACに関する考慮事項
注: ここで説明している動作は、Nerdio Managerの新規インストール時の既定の動作です。既存のインストールの場合、累積RBAC機能を利用したい場合は、App Service の設定機能:累積RBACの値をTrueに設定する必要があります。
Nerdio Manager v6.4のリリースに伴い、カスタムロールに対する累積RBACの概念が導入されました。この新機能では、個別の直接割り当てやユーザー・グループメンバーシップを通じて付与されたさまざまな権限が、Nerdio Managerコンソール内で累積的に適用されます。
割り当てられたロール内で競合がある場合は、より高い権限の割り当てが適用されます。カスタムロールを通じてユーザーやグループに割り当てる権限が、組織のセキュリティ要件を満たすか、上回っていることを確認してください。
注: 複数の直接割り当てはサポートされていません。単一の直接割り当ては、複数の間接(グループ)割り当てと組み合わせることができます。この新機能は、Nerdio Managerアプリ内で定義されたカスタムロールにのみ適用されます。組み込みロールは、この新機能の対象外です。
以下は、Entra ID経由で権限の割り当てがどのように適用され、Nerdio Managerがそれをどのように解釈するかに関するコア原則です。
ユーザーは、特定の役割とワークスペースの組み合わせでアプリに直接割り当てるか、アプリに割り当てられたグループの直接メンバーになることができます。ユーザーおよびグループメンバーとしての割り当てがサポートされています。
Entra ID アプリに割り当てられたグループで、別のグループに入れ子になっているメンバーは対象外です。これはEntra IDの制限です。詳細については、この Microsoft 記事を参照してください。
Nerdio Managerの組み込み既定ロールは、権限が高い順から低い順に並んでいます。ユーザーが複数の同等の組み込み役割の階層を持つグループのメンバーである場合、Entra IDはNerdio Managerに対してその割り当てのうちの1つのみを提供します。一般的に、アルファベット順に提供されるため、最初のアルファベット順のグループの割り当てがほとんどの状況で適用されますが、技術的には任意の順序で処理できます。
Nerdio Managerのカスタム役割は、アプリレベルでフィルタリングされた体験を提供します。したがって、カスタム役割は、直接割り当てまたはグループメンバーシップを通じて1つ以上割り当てることができ、これらはNerdio Managerアプリ内で組み合わされ、最も広範な権限セットを形成します。
直接ユーザーの割り当ては、最優先と見なされます。したがって、Nerdio Managerに直接割り当てられたユーザーは、グループ経由で付与される他の権限よりも優先されます。
ユーザーのアカウントは、ABC-ADMグループおよびDEF-ADMグループのメンバーです。
ABC-ADMグループは、グループXYZ-NerdioSupport-Adminに入れ子になっています。
ABC-ADMグループは、Nerdio Manager内のカスタム役割でワークスペースAに割り当てられています。
DEF-ADMグループは、Nerdio Manager内のカスタム役割でワークスペースBに割り当てられています。
XYZ-NerdioSupport-Adminは、Nerdio Manager内のAVD管理者としてワークスペースCおよびDに割り当てられています。
入れ子になっているメンバーシップは、権限に影響を与えません。したがって、Entra ID上では、ABC-ADMグループがXYZ-NerdioSupport-Adminのメンバーとして扱われません。XYZ-NerdioSupport-Adminグループの直接メンバーであるユーザーのみが考慮されます。ユーザーはXYZ-NerdioSupport-Adminの直接メンバーではないため、ワークスペースCまたはDにアクセスできません。
ユーザーはABC-ADMグループとDEF-ADMグループの両方の直接メンバーであり、かつこれらのグループが同一レベルの権限を持つカスタムロールに割り当てられているため、ユーザーの実効権限は、ABC-ADMグループとDEF-ADMグループに個別に割り当てられた権限の合計となります。
この累積RBAC機能の初期リリースでは、いくつかの機能的制限があります。これらは、可能な限り将来対処される予定です。
この機能では組み込みロールはサポートされていません。カスタムロールのみが使用可能です。
この機能は、別々の割り当て間でワークスペースモジュールへの異なるアクセスレベルの混合をサポートしていません。例えば、ワークスペースモジュールの別々の割り当て間で「ホストの管理」と「セッションの管理」権限を混合することはできません。なぜなら、ワークスペースモジュールにはグローバルにサポートされるアクセスレベルが1つしかないからです。
特定のワークスペースに範囲を制限しても、制限された権限とフルアクセスを混合することはできません。なぜなら、フルアクセスのユーザーインターフェースが設定された制限と衝突するからです。
特定のワークスペースに範囲を制限しても、制限された権限と読み取り専用を混合することはできません。なぜなら、読み取り専用のユーザーインターフェースが設定された制限と衝突するからです。
サポートされる最大割り当て数は10です。追加の割り当てはフィルタリングされます。
Nerdio Managerv6.4以前のRBAC考慮事項
このセクションでは、ユーザーがv6.4以前の異なるグループのメンバーである可能性がある状況について説明します。これらのいくつかは直接の割り当てまたはネストされたグループの割り当てである可能性があります。
グループは異なるカスタムロールに割り当てられています。例えば、2つの割り当てが異なるカスタム権限を持つワークスペースAへのアクセスを付与し(つまり、同じワークスペース)、1つの割り当てがワークスペースB、C、Dへのアクセスを付与します。
ユーザーがサインインすると、ワークスペースAのみが表示されます。ワークスペースB、C、Dは表示されません。
実際には、ユーザーがすべてのワークスペース(A、B、C、D)にアクセスできるようにしたいのです。
以下は、Entra IDを通じて権限の割り当てがどのように適用されるか、そしてNerdio Managerがそれをどのように解釈するかに関連する基本原則です。
Entra IDアプリケーションへのユーザー割り当ては、ネストされたグループメンバーシップをサポートしていません。つまり、ユーザーは特定の役割とワークスペースの組み合わせを持つアプリケーションに直接割り当てられるか、アプリケーションに割り当てられたグループの直接メンバーである必要があります。ユーザーおよびグループメンバーとしての割り当てはサポートされていますが、Nerdio Managerはまずユーザー割り当てを優先します(下記参照)。
Entra IDアプリケーションに割り当てられているグループの、さらにネストされたグループのメンバーは考慮されません。これはEntra IDの制限です。詳細については、この Microsoft 記事を参照してください。
Nerdio Managerの組み込み既定ロールは、権限が減少する順に整理されています。ユーザーが複数の同等の役割階層を持つグループのメンバーである場合、Entra IDはその割り当てのうちの1つのみをNerdio Managerに提供します。一般的に、アルファベット順に提供されるため、最初のアルファベット順のグループの割り当てがほとんどの状況で適用されますが、技術的には任意の順序で処理できます。
Nerdio Managerで作成されたすべてのカスタム役割は、Entra IDの役割権限の観点から同じ階層と見なされます。Nerdio Managerは、最も多くのアクセス許可が与えられる組み合わせへのアクセスを有効にするために、アクセス許可を統合または合併することはできません。
すべてのアクセス許可を有効にするカスタムロールと、単一のアクセス許可のみを含む2番目のロールがあった場合でも、両方ともカスタムロールと見なされるため、Azureアプリケーションの観点からは同じ階層で等しいと見なされます。
直接のユーザー割り当ては、最も高い優先度と見なされます。したがって、Nerdio Managerに直接割り当てられたユーザーは、グループによる割り当てがあってもその割り当ては適用されません。ただし、ユーザーは単一の割り当てのみを持つべきであり、そうでなければ複数のグループメンバーシップと同じ処理上の課題に直面します。
ユーザーのアカウントは、ABC-ADMグループおよびDEF-ADMグループのメンバーです。
ABC-ADMグループは、グループXYZ-NerdioSupport-Adminの下にネストされています。
ABC-ADMグループは、Nerdio Manager内のカスタムロールを通じてワークスペースAに割り当てられています。
DEF-ADMグループは、Nerdio Manager内のカスタムロールを通じてワークスペースBに割り当てられています。
XYZ-NerdioSupport-Adminは、Nerdio ManagerのAVD管理者としてワークスペースCおよびDに割り当てられています。
ネストされたメンバーシップは役割を果たしません。したがって、Entra IDに関しては、ABC-ADMグループがXYZ-NerdioSupport-Adminのメンバーとして存在しないと見なされます。XYZ-NerdioSupport-Adminグループの直接メンバーであるユーザーのみが考慮されます。ユーザーはXYZ-NerdioSupport-Adminの直接メンバーではないため、ワークスペースCまたはDにアクセスできません。
ユーザーはABC-ADM グループとDEF-ADM グループの直接メンバーで、両グループがカスタムロールに割り当てられているため(つまり、Entra IDごとに同じ階層の権限が付与されます)、どのワークスペースやプールの権限が適用されるかは、各グループの割り当て状況次第となります。この例では、ワークスペースAまたはワークスペースBのいずれかです。
通常、割り当てはアルファベット順に行われますが、Entra IDによってどのように解釈されるかについての公式な定義はありません。したがって、今日、ユーザーはABC-ADMグループによって有効にされたワークスペースAを見ることができます。明日、ユーザーはDEF-ADMグループによって有効にされたワークスペースBを見るかもしれません。Entra IDは評価を行い、そのグループの下でNerdio Managerへのアクセスをユーザーに提供します。Nerdio Managerは、特定のグループのメンバーがサインインするのを確認し、それに応じて権限を付与します。
注: これは、Nerdio Manager において、例えばワークスペース A に対して、異なるグループが割り当てられ、それぞれに異なるカスタムロール定義が適用される場合にも当てはまります。ある割り当てが特定のホストプール群に権限を付与するのに対し、別のグループは異なるホストプール群に割り当てられる可能性があります。
すべてのカスタムロールが同等の階層にあるため、ユーザーに表示される特定のホストプールは、Nerdio Manager にサインインする際に Entra ID がどのグループ評価を行うかによって変わる可能性があります。
ヒント: 明確で一貫した体験を確保するために、これらの推奨事項に従うことをお勧めします。
-
オプション #1: ユーザーがNerdio Managerにアクセスできるよう、グループメンバーシップまたは割り当てのいずれかを変更し、単一のカスタムロールを通じて必要な全ワークスペースへのアクセスが付与されるよう、グループメンバーシップを一つに統一します。
注: Entra ID が評価するグループが一つであると、正しい割り当てのみが適用されることが保証されます。
-
オプション #2: ユーザーのアカウントを明示的に、グループメンバーシップではなくカスタムロールに直接割り当て、権利を持つべきすべてのワークスペースへのアクセスを付与します。
注: 直接割り当てが一つであることで、必要な権限が確実に適用されることが保証されます。
ヒント: どちらの解決策も機能しますが、オプション #1 の使用をお勧めします。これにより、個々のユーザーが多数存在することで権限リストが肥大化するのを防ぐことができます。
コメント (0件のコメント)