Active Roles

変更履歴ログにActive Roles Consoleからアクセスできるため、任意のユーザまたはグループに対して行われた変更を素早く確認することができます。これには、どのような変更が行われたか、いつ行われたか、誰が行ったかの詳細が含まれます。例えば、あるユーザのパスワードがActive Roles経由でリセットされた場合、変更履歴にはリセットがいつ行われたか、誰が実行したかが表示されます。

Active Directoryでは、オブジェクトを選択し、これをグループに手動で追加することで、グループ（ここでは基本グループと呼ぶ）にメンバーを静的に含めることができます。これとは対照的に、Active Rolesでは柔軟なルールベースのグループ作成メカニズムが使用されます。一度設定すると、このプロセスでは、事前に定義されたルールに基づいてメンバーのグループへの追加やグループからの削除が自動的に行われます。

プロパティダイアログのタブでメンバーシップルールを追加します。

一時的なグループメンバーシップを使用することで、Active Rolesでは、特定の期間のみアクセスが必要なグループメンバーを追加または削除するタスクを自動化できます。管理者は、ユーザ、コンピュータ、グループなどのオブジェクトを特定のグループに追加する正確なタイミングを指定したり、これらのオブジェクトをグループから削除するタイミングを指定したりできます。この機能により、一時的なグループメンバーシップの管理を簡素化できます。

Active Rolesでは、既存のオブジェクトタイプにカスタム（仮想）属性を定義することができます。これにより、Active Directoryスキーマを拡張することなく、追加のオブジェクトプロパティを指定できます。例えば、カスタム属性を使用して特定のユーザデータを保存できます。また、仮想属性の値をActive Rolesデータベースに保存するように設定できます。そうでない場合、仮想属性を使用するには、属性値を管理するスクリプトポリシーを実装する必要があります。

Active Rolesには、一般的な管理者ロールを表す事前に設定済みのAccess Templatesが幅広く用意されているため、適切なレベルの管理者権限を迅速かつ一貫して委任することができます。

ポリシーオブジェクトは、適用されるビジネスルールを定義する管理ポリシーのコレクションです。ポリシーオブジェクトには、保存されたポリシープロシージャと、各プロシージャをトリガするイベントの仕様が含まれます。ポリシーオブジェクトは特定のイベントをそのポリシープロシージャに関連付けますが、このポリシープロシージャには組み込みプロシージャまたはカスタムスクリプトを使用できます。これにより、ポリシーの制約の定義、高度な検証基準の実装、さまざまなデータソースの同期、また1つのバッチでの複数の管理タスクの実施を簡単に行うことができます。

Active Rolesで登録されたActive Directoryドメインは、管理ドメインと呼ばれます。各管理サービスは管理対象ドメインのリストを保持し、サービス設定の一環としてこのリストを管理データベースに保存します。

Active Rolesにより、オンプレミス環境、クラウド専用環境、およびハイブリッド環境におけるAzure ADリソースの管理とプロビジョニングが容易になります。これらのリソースはすべてActive Roles Webインターフェイスで管理できます。

Active Rolesは、デフォルトで3種類のWebインターフェイスをサポートしています。これらはあらゆる目的のために拡張し、カスタマイズすることができます。