Citrix DaaS

Delegierte Administration

Übersicht

Mit der delegierten Administration können Sie in Citrix Cloud die Zugriffsberechtigungen aller Administratoren gemäß ihrer Rolle in der Organisation konfigurieren.

Standardmäßig haben Administratoren Vollzugriff. Diese Einstellung ermöglicht den Zugriff auf alle kundenbezogenen Administrations- und Verwaltungsfunktionen in Citrix Cloud und auf alle abonnierten Dienste. Die Zugriffsrechte eines Administrators lassen sich folgendermaßen anpassen:

  • Benutzerdefinierter Zugriff des Administrators auf allgemeine Verwaltungsberechtigungen in Citrix Cloud.
  • Benutzerdefinierter Zugriff auf abonnierte Dienste. In Citrix DaaS (ehemals Citrix Virtual Apps and Desktops Service) können Sie die Zugriffsrechte eines neuen Administrators direkt bei der Einladung benutzerdefiniert festlegen. Sie können den Zugriff eines Administrators später ändern.

Weitere Informationen zur Anzeige der Administratorliste und zum Definieren von Zugriffsberechtigungen finden Sie unter Hinzufügen von Administratoren zu einem Citrix Cloud-Konto.

In diesem Artikel wird beschrieben, wie Sie den benutzerdefinierten Zugriff in Citrix DaaS konfigurieren.

Administratoren, Rollen und Geltungsbereiche

Die Delegierte Administration verwendet drei Konzepte für den benutzerdefinierten Zugriff: Administratoren, Rollen und Geltungsbereiche.

  • Administratoren: Ein Administrator ist eine Person, die durch ihre Citrix Cloud-Anmeldeinformationen (meist eine E-Mail-Adresse) identifiziert wird. Jeder Administrator ist mit mindestens einem Paar aus Rolle und Geltungsbereich verknüpft.
  • Rollen: Eine Rolle steht für eine spezielle Jobfunktion, mit der bestimmte Berechtigungen verknüpft sind. Damit sind Aufgaben möglich, die nur für Citrix DaaS gelten. Die Rolle des Bereitstellungsgruppenadministrators berechtigt beispielsweise dazu, Bereitstellungsgruppen zu erstellen oder Desktops aus einer Bereitstellungsgruppe zu entfernen. Ein Administrator kann mehrere Rollen haben. Ein Administrator kann ein Bereitstellungsgruppenadministrator und ein Maschinenkatalogadministrator sein.

    Citrix DaaS bietet auch mehrere integrierte Rollen für den benutzerdefinierten Zugriff. Sie können die Berechtigungen in den vordefinierten Rollen nicht ändern und die Rollen auch nicht löschen.

    Sie können Ihre eigenen benutzerdefinierten Zugriffsrollen erstellen, um die Anforderungen Ihrer Organisation zu erfüllen, und Berechtigungen mit detaillierter delegieren. Verwenden Sie benutzerdefinierte Rollen, um Berechtigungen in der Granularität einer Aktion oder Aufgabe zuzuteilen. Sie können eine benutzerdefinierte Rolle nur löschen, wenn sie keinem Administrator zugewiesen ist.

    Sie können die Rollen jedoch für jeden Administrator anpassen.

    Eine Rolle ist stets mit einem bestimmten Geltungsbereich verknüpft.

  • Geltungsbereiche: Ein Geltungsbereich steht für eine Sammlung von Objekten. Geltungsbereiche dienen dazu, Objekte auf relevante Weise im Unternehmen zu gruppieren. Objekte können auch in mehreren Geltungsbereichen sein.

    Der einzige integrierte Geltungsbereich “Alle” enthält alle Objekte. Citrix Cloud- und Helpdesk-Administratoren sind immer mit dem Geltungsbereich “Alle” verknüpft. Dieser Bereich kann für diese Administratoren nicht geändert werden.

    Wenn Sie einen Administrator einladen und zum Service hinzufügen, ist eine Rolle stets mit einem Geltungsbereich verknüpft (standardmäßig mit dem Geltungsbereich “Alle”).

    Sie erstellen und löschen Geltungsbereiche in der Oberfläche Verwalten > Vollständige Konfiguration. Sie erstellen verknüpfte Rollen-/Geltungsbereichspaare in der Citrix Cloud-Konsole.

    Für Administratoren mit Vollzugriff wird kein Geltungsbereich angezeigt. Diese Administratoren haben per Definition Zugriff auf alle kundenverwalteten Objekte in Citrix Cloud und in abonnierten Diensten.

Integrierte Rollen und Bereiche

Folgende Rollen sind in Citrix DaaS vordefiniert.

  • Cloudadministrator: Kann alle Aufgaben ausführen, die von Citrix DaaS initiiert werden können.

    Kann die Registerkarten Verwalten und Überwachen in der Konsole sehen. Diese Rolle wird stets mit dem Geltungsbereich “Alle” kombiniert. Sie können diesen Bereich nicht ändern.

    Lassen Sie sich vom Namen der Rolle nicht täuschen. Ein Cloudadministrator mit benutzerdefiniertem Zugriff kann keine Aufgaben auf Citrix Cloud-Ebene durchführen (für Citrix Cloud-Aufgaben ist ein Vollzugriff erforderlich).

  • Lesezugriffsadministrator: Kann alle Objekte in den angegebenen Geltungsbereichen (und globale Informationen) sehen, aber keine Änderungen vornehmen. Ein Lesezugriffadministrator mit dem Geltungsbereich London kann beispielsweise alle globalen Objekte und alle Objekte für den Geltungsbereich London (z. B. London-Bereitstellungsgruppen) sehen. Dieser Administrator kann jedoch nicht die Objekte im Geltungsbereich “New York” sehen (sofern die Geltungsbereiche “London” und “New York” einander nicht überlappen).

    Kann die Registerkarten Verwalten in der Konsole sehen. Kann die Registerkarte Überwachen nicht sehen. Sie können den Geltungsbereich ändern.

  • Helpdeskadministrator: Kann Bereitstellungsgruppen sehen und die diesen Gruppen zugeordneten Sitzungen und Maschinen verwalten. Kann den Maschinenkatalog und die Hostinformationen der überwachten Bereitstellungsgruppen sehen. Kann auch Sitzungsverwaltungs- und Energieverwaltungsvorgänge für die Maschinen in diesen Bereitstellungsgruppen durchführen.

    Kann die Registerkarte Überwachen in der Konsole sehen. Kann die Registerkarte Verwalten nicht anzeigen. Diese Rolle wird stets mit dem Geltungsbereich “Alle” kombiniert. Sie können diesen Bereich nicht ändern.

  • Maschinenkatalogadministrator: Kann Maschinenkataloge erstellen und verwalten sowie Maschinen in ihnen bereitstellen. Kann Basisimages verwalten und Software installieren, aber Benutzern keine Anwendungen oder Desktops zuweisen.

    Kann die Registerkarten Verwalten in der Konsole sehen. Kann die Registerkarte Überwachen nicht sehen. Sie können den Geltungsbereich ändern.

  • Bereitstellungsgruppenadministrator: Kann Anwendungen, Desktops und Maschinen bereitstellen. Kann auch die zugehörigen Sitzungen verwalten. Kann Anwendungs- und Desktopkonfigurationen wie Richtlinien und Energieverwaltungseinstellungen verwalten.

    Kann die Registerkarten Verwalten in der Konsole sehen. Kann die Registerkarte Überwachen nicht sehen. Sie können den Geltungsbereich ändern.

  • Hostadministrator: Kann Hostverbindungen und ihre zugehörigen Ressourceneinstellungen verwalten. Kann keine Maschinen, Anwendungen oder Desktops für Benutzer bereitstellen.

    Kann die Registerkarten Verwalten in der Konsole sehen. Kann die Registerkarte Überwachen nicht sehen. Sie können den Geltungsbereich ändern.

  • Sitzungsadministrator: Kann überwachte Bereitstellungsgruppen sehen und die zugehörigen Sitzungen und Maschinen verwalten.

    Kann die Registerkarte Überwachen in der Konsole sehen. Kann die Registerkarte Verwalten nicht anzeigen. Sie können diesen Bereich nicht ändern.

  • Volladministrator: Kann alle Aufgaben und Vorgänge ausführen. Ein Volladministrator wird stets mit dem Geltungsbereich Alle kombiniert.

    Kann die Registerkarten Verwalten und Überwachen in der Konsole sehen. Diese Rolle wird stets mit dem Geltungsbereich Alle kombiniert. Sie können diesen Bereich nicht ändern.

  • Volladministrator für “Überwachen”: Hat vollen Zugriff auf alle Ansichten und Befehle auf der Registerkarte Überwachen.

    Kann die Registerkarte Überwachen in der Konsole sehen. Kann die Registerkarte Verwalten nicht anzeigen. Sie können diesen Bereich nicht ändern.

  • Probe Agent-Administrator: Hat Zugriff auf Probe Agent-APIs.

    Kann die Registerkarte Überwachen in der Konsole sehen. Kann die Registerkarte Verwalten nicht anzeigen. Hat nur Lesezugriff auf die Seite Anwendungen und kann nicht auf andere Ansichten zugreifen.

In der folgenden Tabelle ist zusammengefasst, welche Konsolenregisterkarten für die einzelnen Rollen in Citrix DaaS sichtbar sind und ob die Rolle mit benutzerdefinierten Geltungsbereichen verwendet werden kann.

Administratorrolle mit benutzerdefiniertem Zugriff Konsole mit Registerkarte Verwalten? Konsole mit Registerkarte Überwachen? Benutzerdefinierte Geltungsbereiche verwendbar?
Cloudadministrator Ja Ja Nein
Lesezugriffadministrator Ja Nein Ja
Helpdeskadministrator Nein Ja Nein
Maschinenkatalogadministrator Ja Nein Ja
Bereitstellungsgruppenadministrator Ja Nein Ja
Hostadministrator Ja Nein Ja
Sitzungsadministrator Nein Ja Nein
Volladministrator Ja Ja Nein
Volladministrator für “Überwachen” Nein Ja Nein
Probe Agent-Administrator Nein Ja Nein

Hinweis:

Außer Cloudadministrator und Helpdeskadministrator sind für Citrix Virtual Apps and Desktops Standard für Azure, Virtual Apps Essentials und Virtual Desktops Essentials keine Administratorrollen mit benutzerdefiniertem Zugriff verfügbar.

Anzeige der zugewiesenen Berechtigungen für eine Rolle:

  1. Melden Sie sich bei Citrix Cloud an. Wählen Sie Eigene Services > DaaS im Menü links oben.
  2. Wählen Sie unter Verwalten > Vollständige Konfiguration im linken Bereich Administratoren.
  3. Wählen Sie die Registerkarte Rollen.
  4. Wählen Sie im oberen mittleren Bereich eine Rolle aus. Auf der Registerkarte Rollendefinition im unteren Bereich sind alle Kategorien und Berechtigungen aufgelistet. Wählen Sie eine Kategorie aus, um die spezifischen Berechtigungen anzuzeigen. Auf der Registerkarte Administratoren sind die Administratoren aufgelistet, denen die ausgewählte Rolle zugewiesen wurde.

    Bekanntes Problem: Ein Volladministrator-Eintrag zeigt nicht den richtigen Berechtigungssatz für einen Citrix DaaS-Administrator mit Vollzugriff an.

Anzahl der benötigten Administratoren

Die Anzahl der Administratoren und die Granularität der Berechtigungen hängen im Allgemeinen von der Größe und Komplexität der Bereitstellung ab.

  • In kleinen Bereitstellungen oder Machbarkeitsstudien übernehmen ein oder wenige Administratoren alle Aufgaben. Es gibt keine benutzerdefinierte Zugriffsdelegierung. In diesem Fall erhält jeder Administrator Vollzugriff, der stets mit dem Geltungsbereich “Alle” verknüpft ist.
  • In größeren Bereitstellungen mit mehr Maschinen, Anwendungen und Desktops ist mehr Delegierung erforderlich. Mehrere Administratoren haben möglicherweise bestimmte funktionale Zuständigkeiten (Rollen). Dann haben beispielsweise zwei Administratoren Vollzugriff, während andere als Helpdeskadministratoren fungieren. Auch werden von einem Administrator ggf. nur bestimmte Objektgruppen (Geltungsbereiche) wie Maschinenkataloge in einer bestimmten Abteilung verwaltet. Erstellen Sie in diesem Fall neue Geltungsbereiche und Administratoren, und weisen Sie diesen eine benutzerdefinierte Zugriffsrolle und die entsprechenden Geltungsbereiche zu.

Zusammenfassung der Administratorverwaltung

Das Einrichten von Administratoren für Citrix DaaS folgt dieser Reihenfolge:

  1. Wenn der Administrator eine andere Rolle als Volladministrator (deckt alle abonnierten Dienste in Citrix Cloud ab) oder eine integrierte Rolle haben soll, erstellen Sie eine benutzerdefinierte Rolle.

  2. Wenn der Administrator einen anderen Geltungsbereich als “Alle” haben soll (und ein anderer Geltungsbereich für die beabsichtigte Rolle zulässig ist und nicht bereits erstellt wurde): erstellen Sie Geltungsbereiche.

  3. Dann können Sie in Citrix Cloud einen Administrator einladen. Wenn der neue Administrator nicht den standardmäßigen Vollzugriff erhalten soll, legen Sie ein benutzerdefiniertes Zugriffsrollen-/Geltungsbereichspaar fest.

Wenn Sie den Zugriff eines Administrators (Rollen und Geltungsbereiche) später ändern möchten, gehen Sie wie unter Konfigurieren von benutzerdefiniertem Zugriff beschrieben vor.

Hinzufügen eines Administrators

Zum Hinzufügen (Einladen) eines Administrators folgen Sie den Anweisungen unter Hinzufügen von Administratoren zu einem Citrix Cloud-Konto. Ein Teil dieser Informationen wird hier wiederholt.

Wichtig:

Beachten Sie, wie “benutzerdefiniert” und “benutzerdefinierter Zugriff” verwendet werden.

  • Beim Erstellen von Administratoren und Zuweisen von Rollen für Citrix DaaS in der Citrix Cloud-Konsole umfasst der Begriff “benutzerdefinierter Zugriff” sowohl vordefinierte Rollen als auch alle zusätzlichen benutzerdefinierten Rollen, die in der Oberfläche Verwalten > Vollständige Konfiguration des Diensts erstellt wurden.
  • In der Oberfläche Verwalten > Vollständige Konfiguration des Diensts ist eine “benutzerdefinierte” Rolle einfach nur eine Rolle, die nicht integriert ist.

Der allgemeine Workflow beim Hinzufügen von Administratoren ist wie folgt:

  1. Melden Sie sich bei Citrix Cloud an und wählen Sie im Menü oben links Identitäts- und Zugriffsverwaltung.

  2. Wählen Sie auf der Seite Identitäts- und Zugriffsverwaltung die Option Administratoren. Auf der Registerkarte Administratoren werden alle aktuellen Administratoren für das Konto aufgeführt.

  3. Wählen Sie auf der Registerkarte Administratoren den Identitätstyp aus, geben Sie die E-Mail-Adresse des Administrators ein und klicken Sie dann auf Einladen.

  • Wählen Sie Vollzugriff, wenn der Administrator vollen Zugriff haben soll. Damit kann der Administrator auf alle kundenbezogenen Administrations- und Verwaltungsfunktionen in Citrix Cloud und auf alle abonnierten Dienste zugreifen.
  • Wählen Sie Benutzerdefinierter Zugriff, wenn der Administrator eingeschränkten Zugriff erhalten soll. Sie können dann ein benutzerdefiniertes Zugriffsrollen-/Bereichspaar auswählen. Auf diese Weise hat der Administrator die gewünschten Berechtigungen, wenn er sich bei Citrix Cloud anmeldet.
  1. Klicken Sie auf Einladung senden. Citrix Cloud sendet eine Einladung an die von Ihnen angegebene E-Mail-Adresse und fügt den Administrator der Liste hinzu, wenn der Administrator das Onboarding abgeschlossen hat.

Beim Erhalt der E-Mail klickt der Administrator auf den Link Anmelden, um die Einladung anzunehmen.

Weitere Informationen zum Hinzufügen von Administratoren finden Sie unter Verwalten von Citrix Cloud-Administratoren.

Klicken Sie alternativ unter Verwalten > Vollständige Konfiguration > Administratoren > Administratoren auf Administrator hinzufügen. Der Bereich Identitäts- und Zugriffsverwaltung > Administratoren wird direkt in einer neuen Browser-Registerkarte geöffnet. Nachdem Sie dort Administratoren hinzugefügt haben, schließen Sie die Registerkarte und kehren Sie zur Konsole zurück, um mit anderen Konfigurationsaufgaben fortzufahren.

Erstellen und Verwalten von Rollen

Wenn Administratoren eine Rolle erstellen oder bearbeiten, können sie nur die Berechtigungen aktivieren, die sie selbst haben. Dadurch wird verhindert, dass Administratoren eine Rolle mit mehr Berechtigungen erstellen, als sie derzeit haben, und sie dann sich selbst zuweisen (oder eine ihnen bereits zugewiesene Rolle bearbeiten).

Namen für benutzerdefinierte Rollen können bis zu 64 Unicode-Zeichen haben. Namen dürfen keines der folgenden Zeichen enthalten: umgekehrter Schrägstrich, Schrägstrich, Semikolon, Doppelpunkt, Nummernzeichen, Komma, Sternchen, Fragezeichen, Gleichheitszeichen, Größer-Als- oder Kleiner-Als-Zeichen, senkrechter Strich, eckige Klammern, runde Klammern, Anführungszeichen und Apostroph.

Rollenbeschreibungen können bis zu 256 Unicode-Zeichen haben.

  1. Melden Sie sich bei Citrix Cloud an, falls Sie es noch nicht getan haben. Wählen Sie Eigene Services > DaaS im Menü links oben.
  2. Wählen Sie unter Verwalten > Vollständige Konfiguration im linken Bereich Administratoren.
  3. Wählen Sie die Registerkarte Rollen.
  4. Folgen Sie den Anweisungen für die Aufgabe, die Sie ausführen möchten:

    • Anzeigen von Rollendetails: Wählen Sie die Rolle im mittleren Bereich aus. Im unteren Teil des mittleren Bereichs werden die Objekttypen und die zugehörigen Berechtigungen für die Rolle angezeigt. Klicken Sie auf die Registerkarte Administratoren im unteren Bereich, um eine Liste der Administratoren anzuzeigen, die derzeit diese Rolle haben.
    • Erstellen einer benutzerdefinierten Rolle: Wählen Sie in der Aktionsleiste Rolle erstellen. Konfigurieren Sie die Einstellungen wie folgt:

      • Geben Sie einen Namen und eine Beschreibung ein.
      • Konfigurieren Sie den Konsolenzugriff. Legen Sie fest, welche Konsolen für die Administratoren sichtbar sein sollen. Sie können fortfahren, ohne eine Konsole auszuwählen. In diesem Fall können Administratoren mit der Rolle nicht auf Verwalten und Überwachen zugreifen, doch sie können über SDKs und APIs auf Objekte zugreifen, diese anzeigen und verwalten.
      • Wählen Sie die Objekttypen und Berechtigungen aus. Um Vollzugriff auf einen Objekttyp zu gewähren, aktivieren Sie das zugehörige Kontrollkästchen. Um Berechtigungen granular zu gewähren, erweitern Sie den Objekttyp und wählen Schreibgeschützt oder einzelne Objekte unter Verwalten innerhalb des Typs aus.

      Dialogfeld "Rolle erstellen"

    • Kopieren einer Rolle: Wählen Sie die Rolle im mittleren Bereich aus und wählen Sie in der Aktionsleiste Rolle kopieren. Ändern Sie den Namen und die Beschreibung sowie die Objekttypen und Berechtigungen nach Bedarf. Wenn Sie fertig sind, wählen Sie Speichern.
    • Bearbeiten einer Rolle: Wählen Sie die Rolle im mittleren Bereich aus und wählen Sie in der Aktionsleiste Rolle bearbeiten. Ändern Sie den Namen und die Beschreibung sowie die Objekttypen und Berechtigungen nach Bedarf. Sie können eine integrierte Rolle nicht bearbeiten. Wenn Sie fertig sind, wählen Sie Speichern.
    • Löschen einer Rolle: Wählen Sie die Rolle im mittleren Bereich aus und wählen Sie in der Aktionsleiste Rolle löschen. Bestätigen Sie die Löschung. Sie können eine integrierte Rolle nicht löschen. Sie können eine benutzerdefinierte Rolle nicht löschen, wenn sie einem Administrator zugewiesen ist.

Erstellen und Verwalten von Geltungsbereichen

Standardmäßig verwenden alle Rollen den Geltungsbereich Alle für ihre relevanten Objekte. Beispielsweise kann ein Bereitstellungsgruppenadministrator alle Bereitstellungsgruppen verwalten. Für einige Administratorrollen können Sie einen Geltungsbereich erstellen, der dieser Administratorrolle den Zugriff auf einen Teil der relevanten Objekte ermöglicht. Vielleicht möchten Sie einem Maschinenkatalogadministrator nur Zugriff auf die Kataloge gewähren, die einen bestimmten Maschinentyp enthalten.

  • Administratoren mit Vollzugriff oder Cloudadministratoren mit benutzerdefiniertem Zugriff können Geltungsbereiche für die Rollen “Lesezugriffadministrator”, “Maschinenkatalogadministrator”, “Bereitstellungsgruppenadministrator” und “Hostadministrator” erstellen.
  • Geltungsbereiche können nicht für Administratoren mit Vollzugriff, Cloudadministratoren oder Helpdeskadministratoren erstellt werden. Diesen Administratoren ist stets der Geltungsbereich “Alle” zugeordnet.

Regeln zum Erstellen und Verwalten von Geltungsbereichen:

  • Geltungsbereichsnamen können bis zu 64 Unicode-Zeichen enthalten. Namen dürfen keines der folgenden Zeichen enthalten: umgekehrter Schrägstrich, Schrägstrich, Semikolon, Doppelpunkt, Nummernzeichen, Komma, Sternchen, Fragezeichen, Gleichheitszeichen, Größer-Als- oder Kleiner-Als-Zeichen, senkrechter Strich, eckige Klammern, runde Klammern, Anführungszeichen und Apostroph.
  • Geltungsbereichsbeschreibungen können bis zu 256 Unicode-Zeichen enthalten.
  • Wenn Sie einen Geltungsbereich kopieren oder bearbeiten, dürfen Sie nicht vergessen, dass Objekte, die aus dem Geltungsbereich entfernt werden, für einen Administrator ggf. nicht mehr zugänglich sind. Ist der bearbeitete Geltungsbereich mit einer oder mehreren Rollen verbunden, müssen Sie sicherstellen, dass kein Rollen-/Geltungsbereichspaar durch Änderungen am Bereich unbrauchbar wird.

Erstellen und Verwalten von Geltungsbereichen:

  1. Melden Sie sich bei Citrix Cloud an. Wählen Sie Eigene Services > DaaS im Menü links oben.
  2. Wählen Sie unter Verwalten > Vollständige Konfiguration im linken Bereich Administratoren.
  3. Wählen Sie die Registerkarte Geltungsbereiche.
  4. Folgen Sie den Anweisungen für die Aufgabe, die Sie ausführen möchten:

    • Bereichsdetails anzeigen: Wählen Sie den Bereich. Im unteren Fensterbereich werden die Objekte und Administratoren mit dem Bereich angezeigt.
    • Geltungsbereich erstellen: Wählen Sie in der Aktionsleiste Geltungsbereich erstellen. Geben Sie einen Namen und eine Beschreibung ein. Die Objekte sind nach Typ aufgelistet, z. B. Bereitstellungsgruppe und Maschinenkatalog.
      • Zum Einschließen aller Objekte eines bestimmten Typs (z. B. alle Bereitstellungsgruppen) aktivieren Sie das Kontrollkästchen für den Objekttyp.
      • Zum Einschließen einzelner Objekte eines Typs erweitern Sie den Typ und aktivieren die Kontrollkästchen für die Objekte (z. B. bestimmte Bereitstellungsgruppen).
      • Um einen Mandantenkunden zu erstellen, aktivieren Sie das Kontrollkästchen Mandantenbereich. Wenn ausgewählt, ist der Name, den Sie für den Geltungsbereich eingegeben haben, der Mandantenname. Weitere Informationen zum Mandantenbereich finden Sie unter Mandantenverwaltung.

      Wenn Sie fertig sind, wählen Sie OK.

      Dialogfeld "Bereich erstellen"

    • Geltungsbereich kopieren: Wählen Sie den Geltungsbereich im mittleren Bereich aus und wählen Sie in der Aktionsleiste Geltungsbereich kopieren. Ändern Sie den Namen und die Beschreibung. Ändern Sie bei Bedarf die Objekttypen und Berechtigungen. Wenn Sie fertig sind, wählen Sie Speichern.
    • Geltungsbereich bearbeiten: Wählen Sie den Geltungsbereich im mittleren Bereich aus und wählen Sie in der Aktionsleiste Geltungsbereich kopieren. Ändern Sie den Namen und die Beschreibung sowie die Objekttypen und Objekte nach Bedarf. Wenn Sie fertig sind, wählen Sie Speichern.
    • Geltungsbereich löschen: Wählen Sie den Geltungsbereich im mittleren Bereich aus und wählen Sie in der Aktionsleiste Geltungsbereich löschen. Bestätigen Sie die Löschung.

      Sie können einen Geltungsbereich nicht löschen, wenn er einer Rolle zugewiesen ist. Wenn Sie dies versuchen, wird in einer Fehlermeldung angezeigt, dass Sie hierfür keine Berechtigung haben. Der Fehler tritt auf, weil das zugehörige Rollen-/Geltungsbereichspaar einem Administrator zugewiesen ist. Heben Sie zunächst die Rollen-/Geltungsbereichspaarzuweisung für alle Administratoren auf, die sie verwenden. Löschen Sie dann den Bereich in der Konsole Verwalten.

Nachdem Sie einen Bereich erstellt haben, wird er in der Citrix Cloud-Konsole in der Liste Benutzerdefinierter Zugriff mit der zugehörigen Rolle angezeigt. Sie können ihn dann einem Administrator zuweisen.

Angenommen, Sie erstellen den Bereich CAD und wählen dann die Kataloge aus, die für CAD-Anwendungen geeignete Maschinen enthalten. Wenn Sie zur Citrix Cloud-Konsole zurückkehren, enthält die Serviceliste der Rollen-/Geltungsbereichspaare mit benutzerdefiniertem Zugriff neue Einträge (fett dargestellt):

  • Cloudadministrator, Alle
  • Bereitstellungsgruppenadministrator, Alle
  • Bereitstellungsgruppenadministrator, CAD
  • Helpdeskadministrator, Alle
  • Hostadministrator, Alle
  • Hostadministrator, CAD
  • Maschinenkatalogadministrator, Alle
  • Maschinenkatalogadministrator, CAD
  • Lesezugriff, Alle
  • Lesezugriff, CAD

Cloudadministrator und Helpdeskadministrator haben stets den Bereich “Alle”, sodass der CAD-Bereich für sie nicht gilt.

Mandantenverwaltung

Mit der Schnittstelle “Vollständige Konfiguration” können Sie einander ausschließende Mandanten in einem Citrix DaaS erstellen. Hierfür erstellen Sie unter Administratoren > Geltungsbereiche einzelne Mandantenbereiche, denen Sie dann zugehörige Konfigurationsobjekte (z. B. Maschinenkataloge und Bereitstellungsgruppen) zuordnen. Administratoren mit Zugriff auf einen Mandanten können damit nur die Objekte verwalten, die mit dem Mandanten verknüpft sind.

Das Feature ist in folgenden Fällen besonders nützlich:

  • Ihre Organisation besitzt mehrere Geschäftssilos (unabhängige Abteilungen oder separate IT-Teams) oder
  • Ihre Organisation betreibt mehrere On-Premises-Sites und möchte dasselbe Setup in einer einzigen Citrix DaaS-Instanz beibehalten.

Sie können Mandantenkunden auch nach Namen filtern. Standardmäßig werden hier Informationen zu allen Mandantenkunden angezeigt. Um Informationen zu einem bestimmten Mandanten anzuzeigen, wählen Sie ihn in der Liste in der oberen rechten Ecke aus.

Erstellen eines Mandantenkunden

Um einen Mandantenkunden zu erstellen, aktivieren Sie beim Erstellen eines Geltungsbereichs die Option Mandantenbereich. Durch Aktivieren dieser Option erstellen Sie einen eindeutigen Bereichstyp, der für Objekte in Szenarios gilt, wo verschiedene Geschäftseinheiten dieselbe Citrix DaaS-Instanz nutzen und jede Geschäftseinheit unabhängig von den anderen ist. Nachdem Sie einen Mandantenbereich erstellt haben, können Sie den Bereichstyp nicht mehr ändern.

Erstellen eines Mandantenkunden

Auf der Registerkarte Geltungsbereiche sind alle Bereichselemente angezeigt. Der einzige Unterschied zwischen Standardbereichen und Mandantenbereichen besteht in der Spalte Typ. Ein leeres Spaltenfeld verweist auf einen Standardbereich. Durch Klicken auf die Spalte Typ können Sie Bereichselemente bei Bedarf auch sortieren.

Um die Ressourcen (Objekte) anzuzeigen, die einem Bereich zugeordnet sind, wählen Sie im linken Bereich die Option Administratoren. Wählen Sie den Geltungsbereich auf der Registerkarte Geltungsbereiche und wählen Sie in der Aktionsleiste Geltungsbereich bearbeiten.

Tipp:

Die Mandanteneigenschaft wird auf einer Bereichsebene zugewiesen. Maschinenkataloge, Bereitstellungsgruppen, Anwendungen und Verbindungen erben die Mandanteneigenschaft vom entsprechenden Geltungsbereich.

Beachten Sie bei der Verwendung eines Mandantenbereichs Folgendes:

  • Die Mandanteneigenschaft wird in der folgenden Reihenfolge zugewiesen: Hosting > Maschinenkataloge > Bereitstellungsgruppen > Anwendungen. Untergeordnete Objekte müssen die Mandanteneigenschaft des übergeordneten Objekts übernehmen. Beim Auswählen einer Bereitstellungsgruppe müssen Sie beispielsweise den zugehörigen Hosting- und Maschinenkatalog auswählen. Andernfalls kann die Bereitstellungsgruppe die Mandanteneigenschaft nicht erben.
  • Nach dem Erstellen eines Mandantenbereichs können Sie Mandantenzuweisungen bearbeiten, indem Sie Objekte ändern. Eine geänderte Mandantenzuweisung unterliegt weiterhin der Einschränkung, dass sie denselben Mandanten oder einem Teil dieser Mandanten zugewiesen sein muss. Untergeordnete Objekte werden jedoch nicht neu evaluiert, wenn Mandantenzuweisungen sich ändern. Stellen Sie sicher, dass für Objekte ordnungsgemäße Einschränkungen gelten, wenn Sie Mandantenzuweisungen ändern. Wenn beispielsweise ein Maschinenkatalog für TenantA und TenantB verfügbar ist, können Sie je eine Bereitstellungsgruppe für TenantA und TenantB erstellen. (TenantA und TenantB sind beide mit diesem Maschinenkatalog verknüpft.) Sie können dann den Maschinenkatalog so ändern, dass er nur TenantA zugeordnet ist. Infolgedessen wird die TenantB zugeordnete Bereitstellungsgruppe ungültig.

Konfigurieren von benutzerdefiniertem Zugriff für Administratoren

Nach dem Erstellen von Mandantenbereichen konfigurieren Sie den benutzerdefinierten Zugriff für die jeweiligen Administratoren. Weitere Informationen finden Sie unter Konfigurieren von benutzerdefiniertem Zugriff für einen Administrator. Citrix Cloud sendet eine Einladung an die von Ihnen festgelegten Kundenadministratoren und fügt sie der Liste hinzu. Beim Erhalt der E-Mail klicken sie auf Anmelden, um die Einladung anzunehmen. Wenn sie sich an der Verwaltungsoberfläche Vollständige Konfiguration anmelden, sehen sie die Ressourcen in den zugewiesenen Rollen-/Geltungsbereichspaaren.

Konfigurieren von benutzerdefiniertem Zugriff für Mandantenkunden

Administratoren mit Zugriff auf einen Mandanten können nur die Objekte (z. B. Maschinenkatalog, Bereitstellungsgruppe) verwalten, die mit dem Mandanten verknüpft sind.

Konfigurieren von benutzerdefiniertem Zugriff für einen Administrator

Mit dieser Funktion können Sie die Zugriffsberechtigungen vorhandener oder eingeladener Administratoren an ihre Rolle in der Organisation angleichen.

Änderungen an Zugriffsberechtigungen benötigen 5 Minuten, bis sie in Kraft treten. Wenn Sie sich von der Verwaltungsoberfläche “Vollständige Konfiguration” ab- und wieder anmelden, werden die Änderungen sofort wirksam. Wenn Administratoren die Verwaltungsoberfläche weiterverwenden, nachdem die Änderungen wirksam geworden sind, ohne sich wieder mit ihr zu verbinden, wird eine Warnung angezeigt, wenn sie versuchen, auf Elemente zuzugreifen, für die sie keine Berechtigungen mehr haben.

Wenn Sie Administratoren einladen, haben diese standardmäßig Vollzugriff.

Administratoren mit Vollzugriff können alle abonnierten Dienste sowie Kundenadministratorvorgänge in Citrix Cloud verwalten (z. B. weitere Administratoren einladen). Eine Citrix Cloud-Bereitstellung benötigt mindestens einen Administrator mit Vollzugriff.

Konfigurieren des benutzerdefinierten Zugriffs für einen Administrator:

  1. Melden Sie sich bei Citrix Cloud an. Wählen Sie im Menü links oben Identitäts- und Zugriffsverwaltung > Administratoren.
  2. Suchen Sie den gewünschten Administrator, wählen Sie die drei Punkte (…) und dann Zugriff bearbeiten.
  3. Wählen Sie Benutzerdefinierter Zugriff. Um einen benutzerdefinierten Zugriff im Service zu konfigurieren, aktivieren oder deaktivieren Sie die gewünschten Rollen-/Geltungsbereichspaare unter Virtual Apps and Desktops in der Liste Benutzerdefinierter Zugriff.

    Wenn Sie keine Bereiche erstellt und mit einer Rolle verbunden haben, gilt für jede Rolle in der Liste Benutzerdefinierter Zugriff der Bereich “Alle”. Der Rollen-/Geltungsbereich Bereitstellungsgruppenadministrator, Alle zeigt beispielsweise an, dass die Rolle mit dem Bereich “Alle” verbunden ist.

    Wenn Sie eine Rolle oder einen Geltungsbereich erstellt haben, werden sie in der Liste “Benutzerdefinierter Zugriff” für Citrix DaaS angezeigt und können ausgewählt werden. Wenn Sie beispielsweise den Geltungsbereich “Catalog1” erstellen, enthält die Liste unter Benutzerdefinierter Zugriff neben dem Standardeintrag Maschinenkatalogadministrator, Alle auch den Eintrag Maschinenkatalogadministrator, Catalog1.

  4. Wenn ein Administrator bereits über benutzerdefinierten Zugriff verfügt und Sie ihm Vollzugriff gewähren möchten, wählen Sie Vollzugriff.
  5. Wenn Sie fertig sind, wählen Sie Speichern.

Der folgende Screenshot zeigt die integrierten Administratorrollen mit Vollzugriff und benutzerdefiniertem Zugriff.

Benutzerdefinierte Zugriffsanzeige

Unterschiede zur On-Premises-Version von Citrix Virtual Apps and Desktops

Citrix DaaS weist einige Unterschiede zur delegierten Administration im On-Premises-Produkt von Citrix Virtual Apps and Desktops auf.

In Citrix Cloud:

  • Administratoren werden mit Citrix Cloud-Anmeldeinformationen und nicht über das Active Directory-Konto identifiziert. Sie können Rollen-/Geltungsbereichspaare für einzelne Active Directory-Benutzer, aber nicht für Gruppen erstellen.
  • Administratoren werden nicht in Citrix DaaS, sondern in der Citrix Cloud-Konsole erstellt, konfiguriert und gelöscht.
  • Rollen-/Geltungsbereichspaare werden Administratoren nicht in Citrix DaaS, sondern in der Citrix Cloud-Konsole zugewiesen.
  • Berichte sind nicht verfügbar. Sie können Administrator-, Rollen- und Bereichsinformationen in der Oberfläche Verwalten > Vollständige Konfiguration des Diensts anzeigen.
  • Der Cloudadministrator mit benutzerdefiniertem Zugriff ähnelt einem Volladministrator in der On-Premises-Version. Beide verfügen über vollständige Verwaltungs- und Überwachungsberechtigungen für die verwendete Version von Citrix Virtual Apps and Desktops.

    Es gibt jedoch keine Rolle “Volladministrator” in Citrix DaaS. “Vollzugriff” in Citrix Cloud und “Volladministrator” in der On-Premises-Version von Citrix Virtual Apps and Desktops sind nicht identisch. Vollzugriff in Citrix Cloud umfasst Domänen, Bibliothek, Benachrichtigungen und Ressourcenstandorte auf Plattformebene und alle abonnierten Dienste.

Unterschiede zu früheren Citrix DaaS-Releases

Vor dem Release des erweiterten benutzerdefinierten Zugriffs (September 2018) gab es im Service zwei Administratorrollen mit benutzerdefiniertem Zugriff: Volladministrator und Helpdeskadministrator. Wenn die delegierte Administration in Ihrer Bereitstellung (ein Plattformeinstellung) aktiviert ist, werden diese Rollen automatisch zugeordnet.

  • Administratoren mit konfiguriertem benutzerdefiniertem Zugriff im Service Virtual Apps and Desktops (oder XenApp und XenDesktop): Volladministrator ist jetzt Cloudadministrator mit benutzerdefiniertem Zugriff.
  • Administratoren mit konfiguriertem benutzerdefiniertem Zugriff im Service Virtual Apps and Desktops (oder XenApp und XenDesktop): Helpdeskadministrator ist jetzt Helpdeskadministrator mit benutzerdefiniertem Zugriff.

Weitere Informationen

Siehe Delegierte Administration und Überwachung für weitere Informationen zu Administratoren, Rollen und Bereichen, die in der Konsole Überwachen verwendet werden.