Citrix Cloud

Hinzufügen von Azure AD-Administratorgruppen zu Citrix Cloud

Mithilfe von Azure Active Directory-Gruppen (AD-Gruppen) können Sie Ihrem Citrix Cloud-Konto Administratoren hinzufügen. Sie können dann die Dienstzugriffsberechtigungen für alle Administratoren in der Gruppe verwalten.

Dieses Feature wird nur für die Verwendung mit Citrix DaaS (früher Citrix Virtual Apps and Desktops Service) unterstützt. Administratoren in der Gruppe haben keinen Zugriff auf die Verwaltung anderer Dienste im Citrix Cloud-Konto.

Voraussetzungen

Für die Verwendung von Azure AD-Gruppen ist die neueste Version der Azure AD-Anwendung zum Verbinden von Azure AD mit Citrix Cloud erforderlich. Citrix Cloud erwarb diese Anwendung, als Sie Ihr Azure AD zum ersten Mal verbunden haben. Wenn Sie Azure AD vor Mai 2019 mit Citrix Cloud verbunden haben, verwenden Sie möglicherweise nicht die aktuelle Anwendung für die Verbindung mit Azure AD. Citrix Cloud kann Ihre Azure AD-Gruppen nicht anzeigen, wenn Ihr Konto nicht die neueste Anwendung verwendet.

Führen Sie die folgenden Aufgaben aus, bevor Sie Azure AD-Gruppen in Citrix Cloud verwenden:

  1. Überprüfen Sie, ob Sie die neueste Anwendung für Ihre Azure AD-Verbindung verwenden. Citrix Cloud zeigt eine Benachrichtigung an, wenn Sie nicht die neueste Anwendung verwenden.
  2. Wenn die Anwendung aktualisiert werden muss, verbinden Sie Azure AD erneut mit Citrix Cloud. Durch die Wiederverbindung mit Azure AD erteilen Sie Citrix Cloud Lesezugriff auf Anwendungsebene und ermöglichen Citrix Cloud, in Ihrem Namen wieder eine Verbindung mit Azure AD herzustellen. Während der Wiederverbindung wird eine Liste dieser Berechtigungen angezeigt, die Sie überprüfen können. Weitere Informationen zu den Berechtigungen, die Citrix Cloud anfordert, finden Sie unter Azure Active Directory-Berechtigungen für Citrix Cloud.

    Wichtig:

    Für diese Aufgabe müssen Sie ein globaler Administrator in Azure AD sein. Außerdem müssen Sie mit einem Administratorkonto mit Vollzugriff unter dem Citrix-Identitätsanbieter bei Citrix Cloud angemeldet sein. Wenn Sie sich mit Ihren Azure AD-Anmeldeinformationen anmelden, schlägt die Wiederverbindung fehl. Wenn Sie keine Administratoren haben, die den Citrix-Identitätsanbieter verwenden, können Sie vorübergehend einen hinzufügen, um diese Aufgabe auszuführen, und ihn anschließend löschen.

Verbindung mit Azure AD überprüfen

  1. Melden Sie sich mit einem Administratorkonto mit Vollzugriff unter dem Citrix-Identitätsanbieter bei Citrix Cloud an.
  2. Wählen Sie im Menü “Citrix Cloud” Identitäts- und Zugriffsverwaltung und dann Authentifizierung aus.
  3. Suchen Sie Azure Active Directory. Es wird eine Benachrichtigung angezeigt, wenn Citrix Cloud die Anwendung für die Azure AD-Verbindung aktualisieren muss.

    Aufforderung zum Wiederherstellen der Verbindung mit Azure AD in der Citrix Cloud-Konsole

    Wenn Citrix Cloud bereits die neueste Anwendung verwendet, wird keine Benachrichtigung angezeigt.

Verbindung mit Azure AD wiederherstellen

  1. Klicken Sie in der Azure AD-Benachrichtigung in der Citrix Cloud-Konsole auf den Link für die Wiederverbindung. Eine Liste der angeforderten Azure-Berechtigungen wird angezeigt.
  2. Prüfen Sie die Berechtigungen und wählen Sie dann Akzeptieren aus.

Unterstützte Citrix Cloud-Berechtigungen

Für Azure AD-Gruppen werden nur benutzerdefinierte Zugriffsberechtigungen unterstützt. Vollzugriffsberechtigungen werden nicht unterstützt.

Änderungen der Berechtigungen für einen bereits angemeldeten Administrator werden erst wirksam, nachdem sich der Administrator abgemeldet und erneut authentifiziert hat.

Resultierende Berechtigungen für Administratoren mit Citrix- und Azure AD-Identitäten

Wenn sich ein Administrator bei Citrix Cloud anmeldet, sind möglicherweise nur bestimmte Berechtigungen verfügbar, wenn der Administrator sowohl über eine Citrix-Identität (Standard-Identitätsanbieter in Citrix Cloud) als auch über eine Azure AD-Identität für Einzelbenutzer oder eine gruppenbasierte Azure AD-Identität verfügt. In der Tabelle in diesem Abschnitt werden die Berechtigungen beschrieben, die für jede Kombination dieser Identitäten verfügbar sind.

Azure AD-Identität für Einzelbenutzer bezieht sich auf Azure AD-Berechtigungen, die dem Administrator über ein Einzelkonto erteilt werden. Gruppenbasierte Azure AD-Identität bezieht sich auf Azure AD-Berechtigungen, die dem Administrator als Mitglied einer Azure AD-Gruppe erteilt werden.

Citrix-Identität Azure AD-Identität für Einzelbenutzer Gruppenbasierte Azure AD-Identität Nach der Authentifizierung verfügbare Berechtigungen
X X   Administrator verfügt nach erfolgreicher Authentifizierung mit der Citrix- oder Azure AD-Identität über kumulative Berechtigungen beider Identitäten.
X   X Jede Identität wird wie eine unabhängige Einheit behandelt. Verfügbare Berechtigungen hängen davon ab, ob sich der Administrator mit der Citrix-Identität oder der Azure AD-Identität authentifiziert.
  X X Administrator hat kumulative Berechtigungen beider Identitäten, wenn er sich mit Azure AD bei Citrix Cloud authentifiziert.
X X X Bei Authentifizierung mit seiner Citrix-Identität verfügt der Administrator über kumulative Berechtigungen sowohl der Citrix-Identität als auch der Azure AD-Identität für Einzelbenutzer. Bei Authentifizierung mit Azure AD verfügt der Administrator über kumulative Berechtigungen aller drei Identitäten.

Anmeldeumgebung für Administratoren

Nach dem Hinzufügen einer Azure AD-Gruppe zu Citrix Cloud und dem Definieren der Dienstberechtigungen melden sich die Administratoren in der Gruppe einfach an, indem sie auf der Citrix Cloud-Anmeldeseite Mit Firmenanmeldeinformationen anmelden auswählen und die Azure AD-Anmelde-URL für das Konto eingeben (z. B. https://citrix.cloud.com/go/mycompany). Anders als beim Hinzufügen einzelner Azure AD-Administratoren werden Administratoren in der Azure AD-Gruppe nicht explizit eingeladen und erhalten daher keine E-Mails mit einer Einladung, Citrix Cloud-Administratoren zu werden.

Nach der Anmeldung wählen Administratoren in der Citrix DaaS-Kachel die Option Verwalten aus, um auf die Verwaltungskonsole des Diensts zuzugreifen.

Launchpad mit Citrix DaaS-Kachel

Administratoren, denen nur Berechtigungen als Mitglieder von Azure AD-Gruppen erteilt wurden, können mithilfe der Azure AD-Anmelde-URL für das Konto auf das Citrix Cloud-Konto zugreifen.

Administratoren, denen Berechtigungen über ein einzelnes Azure AD-Konto und als Mitglied von Azure AD-Gruppen erteilt wurden, können das Citrix Cloud-Konto auswählen, auf das sie zugreifen möchten. Administratoren, die Mitglied mehrerer Citrix Cloud-Konten sind, können nach erfolgreicher Authentifizierung ein Citrix Cloud-Konto aus der Kundenauswahl auswählen.

Einschränkungen

Zugriff auf Plattform- und Service-Features

Citrix Cloud-Plattform-Features sind für Administratoren in der Azure AD-Gruppe nicht verfügbar. Zu diesen Features gehören Folgende:

  • Ressourcenstandorte
  • Benachrichtigungen
  • Bibliothek
  • Workspacekonfiguration

Außerdem sind Citrix DaaS-Features, die auf Funktionen der Citrix Cloud-Plattform wie Quick Deploy-Benutzerzuweisung basieren, nicht verfügbar.

Auswirkung mehrerer Gruppen auf die Anwendungsleistung

Citrix empfiehlt, dass ein einzelner Administrator in höchstens 20 Azure AD-Gruppen, die zu Citrix Cloud hinzugefügt wurden, Mitglied sein sollte. Die Mitgliedschaft in einer größeren Anzahl von Gruppen kann zur Verringerung der Anwendungsleistung führen.

Auswirkung mehrerer Gruppen auf die Authentifizierung

Wenn ein gruppenbasierter Azure AD-Administrator mehreren Gruppen in Azure AD zugewiesen ist, schlägt die Authentifizierung möglicherweise fehl, da die Anzahl der Gruppen zu groß ist. Dieses Problem tritt aufgrund einer Einschränkung der Integration zwischen Citrix Cloud und Azure AD auf. Wenn der Administrator versucht, sich anzumelden, versucht Citrix Cloud, die Anzahl der abgerufenen Gruppen zu komprimieren. Wenn Citrix Cloud die Komprimierung nicht erfolgreich anwenden kann, können nicht alle Gruppen abgerufen werden und die Authentifizierung schlägt fehl.

Dieses Problem kann auch Benutzer betreffen, die sich über Azure AD bei Citrix Workspace authentifizieren. Wenn ein Benutzer mehreren Azure AD-Gruppen angehört, schlägt die Authentifizierung möglicherweise fehl, da die Anzahl der Gruppen zu groß ist.

Um dieses Problem zu beheben, überprüfen Sie das Administrator- oder Benutzerkonto und stellen Sie sicher, dass Benutzer nur den Gruppen angehören, die für ihre Rolle in der Organisation erforderlich sind.

Hinzufügen von Gruppen schlägt aufgrund zu vieler zugewiesener Rollen-/Bereichspaare fehl

Beim Hinzufügen einer Gruppe mit mehreren Rollen-/Bereichspaaren kann ein Fehler auftreten, der anzeigt, dass die Gruppe nicht erstellt werden kann. Dieser Fehler tritt auf, weil die Anzahl der Rollen-/Bereichspaare, die der Gruppe zugewiesen sind, zu groß ist. Um diesen Fehler zu beheben, teilen Sie die Rollen-/Bereichspaare in zwei oder mehr Gruppen auf und weisen Sie die Administratoren diesen Gruppen zu.

Hinzufügen einer Azure AD-Gruppe zu Citrix Cloud-Administratoren

  1. Klicken Sie im Menü “Citrix Cloud” auf Identitäts- und Zugriffsverwaltung und wählen Sie dann Administratoren aus.
  2. Wählen Sie unter Wählen Sie einen Identitätsanbieter aus Ihr Azure AD aus und melden Sie sich ggf. bei Azure an. Konsole "Identitäts- und Zugriffsverwaltung" mit aktivierten Schaltflächen "Azure AD" und "Anmelden"
  3. Suchen Sie nach der Gruppe, die Sie hinzufügen möchten, und wählen Sie die Gruppe aus. Suche nach Azure AD-Gruppe
  4. Wählen Sie die Rollen aus, die Sie der Gruppe zuweisen möchten. Sie müssen mindestens eine Rolle auswählen. Auswahl benutzerdefinierter Zugriffsberechtigungen
  5. Wenn Sie fertig sind, wählen Sie Speichern aus.

Ändern der Dienstberechtigungen für eine Azure AD-Gruppe

  1. Klicken Sie im Menü “Citrix Cloud” auf Identitäts- und Zugriffsverwaltung und wählen Sie dann Administratoren aus.
  2. Wählen Sie unter Wählen Sie einen Identitätsanbieter aus Ihr Azure AD aus und melden Sie sich ggf. an.
  3. Suchen Sie die Azure AD-Gruppe, die Sie verwalten möchten, klicken Sie auf die Auslassungspunkte und wählen Sie Zugriff bearbeiten aus. Gruppe mit ausgewähltem Menü "Zugriff bearbeiten"
  4. Setzen oder entfernen Sie die Häkchen neben einem oder mehreren Rollen- und Bereichspaaren nach Bedarf. Konsole für benutzerdefinierte Zugriffsberechtigungen
  5. Wenn Sie fertig sind, wählen Sie Speichern aus.

Löschen einer Azure AD-Gruppe

  1. Klicken Sie im Menü “Citrix Cloud” auf Identitäts- und Zugriffsverwaltung und wählen Sie dann Administratoren aus.
  2. Suchen Sie die Azure AD-Gruppe, die Sie verwalten möchten, klicken Sie auf die Auslassungspunkte und wählen Sie Gruppe löschen aus. Auslassungspunkte mit ausgewählter Option "Gruppe löschen"

    Eine Bestätigungsmeldung wird angezeigt. Bestätigungsmeldung "Gruppe löschen"

  3. Wählen Sie Ich verstehe, dass Administratoren in dieser Gruppe nach dem Löschen dieser Gruppe nicht mehr auf Citrix Cloud zugreifen können aus. Damit bestätigen Sie, dass Sie sich der Auswirkungen des Löschens der Gruppe bewusst sind.
  4. Wählen Sie Löschen aus.

Änderungen an Azure AD-Gruppen

Wenn Sie Änderungen an Ihren Gruppen in Azure AD vornehmen, werden diese Änderungen möglicherweise nicht automatisch an Citrix Cloud weitergegeben. Um sicherzustellen, dass Citrix Cloud diese Änderungen anzeigt, wählen Sie Aktualisieren auf der Seite Identitäts- und Zugriffsverwaltung > Administratoren aus.

Seite "Administratoren" mit ausgewähltem Azure AD und hervorgehobener Schaltfläche "Aktualisieren"

Wechseln zwischen mehreren Citrix Cloud-Konten

Standardmäßig können Citrix Cloud-Administratoren die Menüoption Kunde ändern verwenden, um zwischen anderen Citrix Cloud-Konten zu wechseln, die sie verwalten.

Benutzermenü mit hervorgehobener Schaltfläche "Kunde ändern"

Diese Menüoption ist für Mitglieder von Azure AD-Gruppen nicht verfügbar. Um diese Menüoption zu aktivieren, müssen Sie die Citrix Cloud-Konten verknüpfen, zwischen denen Sie wechseln möchten.

Das Verknüpfen von Citrix Cloud-Konten erfordert einen Hub-and-Spoke-Ansatz. Entscheiden Sie vor dem Verknüpfen von Konten, welches Citrix Cloud-Konto als das Konto fungieren soll, von dem aus auf die anderen Konten zugegriffen wird (“Hub”), und welche Konten in der Kundenauswahl (“Spokes”) aufgeführt werden sollen.

Stellen Sie vor dem Verknüpfen von Konten sicher, dass die folgenden Anforderungen erfüllt sind:

  • Sie haben volle Administratorrechte in Citrix Cloud.
  • Sie haben Zugriff auf die Windows PowerShell Integrated Scripting Environment (ISE).
  • Sie haben die Kunden-IDs für die Citrix Cloud-Konten, die Sie verknüpfen möchten. Die Kunden-ID wird oben rechts in der Verwaltungskonsole für jedes Konto angezeigt. Citrix Cloud-Konsole mit hervorgehobener Kunden-ID
  • Sie haben das Citrix CWSAuth-Bearertoken für das Citrix Cloud-Konto, das Sie als Hub-Konto verknüpfen möchten. Befolgen Sie die Anweisungen in CTX330675, um dieses Bearertoken abzurufen. Sie müssen diese Informationen angeben, wenn Sie Ihre Citrix Cloud-Konten verknüpfen.

So verknüpfen Sie Citrix Cloud-Konten

  1. Öffnen Sie die PowerShell ISE und fügen Sie das folgende Skript in den Arbeitsbereich ein:

    $headers = @{}
    $headers.Add("Accept","application/json")
    $headers.Add("Content-Type","application/json")
    $headers.Add("Authorization","CWSAuth bearer=XXXXXXX")
    
    $uri = "https://trust.citrixworkspacesapi.net/HubCustomerID/links"
    
    $resp = Invoke-RestMethod -Method Get -Uri $uri -Headers $headers
    $allLinks = $resp.linkedCustomers + @("SpokeCustomerID")
    
    $body = @{"customers"=$allLinks}
    $bodyjson = $body | ConvertTo-Json
    
    $resp = Invoke-WebRequest -Method Post -Uri $uri -Headers $headers -Body $bodyjson -ContentType 'application/json'
    Write-Host "Citrix Cloud Status Code: $($resp.RawContent)"
    <!--NeedCopy-->
    
  2. Ersetzen Sie in Zeile 4 CWSAuth bearer=XXXXXXX durch Ihren CWSAuth-Wert (z. B. CWSAuth bearer=AbCdef123Ghik…). Dieser Wert ist ein langer Hash, der einem Zertifikatsschlüssel ähnelt.
  3. Ersetzen Sie in Zeile 6 HubCustomerID durch die Kunden-ID des Hub-Kontos.
  4. Ersetzen Sie in Zeile 9 SpokeCustomerID durch die Kunden-ID des Spoke-Kontos.
  5. Führen Sie das Skript aus.
  6. Wiederholen Sie die Schritte 3 bis 5, um weitere Konten als Spokes zu verknüpfen.

So heben Sie die Verknüpfung von Citrix Cloud-Konten auf

  1. Öffnen Sie die PowerShell ISE. Wenn die PowerShell ISE bereits geöffnet ist, löschen Sie den Arbeitsbereich.
  2. Fügen Sie das folgende Skript in den Arbeitsbereich ein:

    $headers = @{}
    $headers.Add("Accept","application/json")
    $headers.Add("Content-Type","application/json")
    $headers.Add("Authorization","CWSAuth bearer=XXXXXXX")
    
    $uri = "https://trust.citrixworkspacesapi.net/HubCustomerID/links/SpokeCustomerID"
    
    $resp = Invoke-WebRequest -Method Delete -Uri $uri -Headers $headers
    Write-Host "Response: $($resp.RawContent)"
    <!--NeedCopy-->
    
  3. Ersetzen Sie in Zeile 4 CWSAuth bearer=xxxxxxx1 durch Ihren CWSAuth-Wert (z. B. CWSAuth bearer=AbCdef123Ghik…). Dieser Wert ist ein langer Hash, der einem Zertifikatsschlüssel ähnelt.
  4. Ersetzen Sie in Zeile 6 HubCustomerID durch die Kunden-ID des Hub-Kontos.
  5. Ersetzen Sie in Zeile 6 SpokeCustomerID durch die Kunden-ID des Spoke-Kontos.
  6. Führen Sie das Skript aus.
  7. Wiederholen Sie die Schritte 4 bis 6, um die Verknüpfung weiterer Konten aufzuheben.