Citrix Endpoint Management

Konfigurieren von Rollen mit RBAC

Mit der rollenbasierten Zugriffssteuerung (RBAC) in Endpoint Management können Sie Benutzern und Gruppen Rollen zuweisen. Rollen sind Berechtigungssätze, die den Zugriff von Benutzern auf Systemfunktionen steuern.

Endpoint Management enthält die folgenden Standardbenutzerrollen. Sie können die Standardrollen als Vorlagen verwenden und anpassen, um ihre eigenen Benutzerrollen zu erstellen.

  • Administrator: gewährt vollen Zugriff auf das System.
  • Benutzer: ermöglicht Benutzern die Registrierung von Geräten und den Zugriff auf das Selbsthilfeportal.

Mit dem RBAC-Feature in Endpoint Management ist Folgendes möglich:

  • Erstellen und Bearbeiten von Benutzerrollen
  • Zuweisen von Rollen zu lokalen Benutzergruppen und Active Directory-Gruppen
  • Zuweisen von Rollen zu Administratoren in Citrix Cloud über Identitäts- und Zugriffsverwaltung > Administratoren. Weitere Informationen finden Sie unter Hinzufügen von Rollen zu Citrix Cloud-Administratoren.

Wichtig:

Nur neue Endpoint Management-Kunden, deren Onboarding nach dem 4. Oktober 2021 erfolgte, können Cloudadministratoren RBAC-Rollen zuweisen. Sobald dieses Feature für bestehende Kunden verfügbar wird, werden Administratorkonten und Rollen automatisch von Citrix migriert.

Weitere Informationen zu den vordefinierten Administrator- und Benutzerrollenberechtigungen finden Sie unter Vordefinierte Rollen.

Verwenden der RBAC-Features

Sie können lokalen Benutzern, Cloudadministratoren (in Citrix Cloud) und lokalen Benutzergruppen und Active Directory-Gruppen Rollen zuweisen.

  • Lokale Benutzer: Weisen Sie lokalen Benutzern Rollen über Verwalten > Benutzer zu. Sie können lokalen Benutzern nur eine Rolle zuweisen. Um die Rollen zu ändern, können Sie das Benutzerkonto manuell bearbeiten. Sie können auch eine Gruppe für lokale Benutzer erstellen und dieser eine Rolle zuweisen.
  • Cloudadministratoren: Ein Cloudadministrator ist ein spezielles Benutzerkonto, das Citrix Cloud erstellt, wenn Ihrem Citrix Cloud-Kundenkonto ein Administrator hinzugefügt wird. Ein Cloudadministratorkonto verwendet denselben Benutzernamen wie das Administratorkonto in Citrix Cloud. Erstellen Sie RBAC-Rollen in der Endpoint Management-Konsole und weisen Sie diesen Benutzern Rollen über Identitäts- und Zugriffsverwaltung > Administratoren in Citrix Cloud zu.
  • Active Directory Gruppen: Alle Benutzer in einer Active Directory-Gruppe haben die gleichen Berechtigungen. Gehört ein Benutzer mehreren Active Directory-Gruppen an, werden alle entsprechenden Berechtigungen zu einem für diesen Benutzer spezifischen Satz zusammengeführt. Angenommen, Benutzer der Gruppe “ADGroupA” können Geräte von Managern orten und Benutzer der Gruppe “ADGroupB” können eine Datenlöschung auf Mitarbeitergeräten durchführen. Ein Benutzer, der beiden Gruppen angehört, kann Geräte von Managern und Mitarbeitern suchen und eine Datenlöschung darauf durchführen. Wenn ein Benutzer zu Gruppen mit widersprüchlichen Berechtigungen gehört, haben die zulässigen Berechtigungen Vorrang.

Weitere Informationen finden Sie unter Informationen zu Benutzerkonten.

Erstellen oder Bearbeiten von Rollen

  1. Klicken Sie in der Endpoint Management-Konsole auf das Zahnradsymbol rechts oben, um auf die Seite Einstellungen zuzugreifen.

  2. Klicken Sie auf Rollenbasierte Zugriffssteuerung. Auf der Seite Rollenbasierte Zugriffssteuerung werden die Standardbenutzerrollen und alle von Ihnen hinzugefügten Rollen angezeigt.

    Klicken Sie auf das Pluszeichen (+) neben einer Rolle, um alle Berechtigungen für diese Rolle anzuzeigen.

    RBAC-Konfiguration in Endpoint Management

  3. Klicken Sie zum Hinzufügen einer Rolle auf Hinzufügen. Zum Bearbeiten einer vorhandenen Rolle klicken Sie auf das Stiftsymbol rechts neben der Rolle.

    Hinweis:

    Sie können eine Rolle löschen, indem Sie auf das Papierkorbsymbol rechts neben einer von Ihnen definierten Rolle klicken. Sie können die Standardbenutzerrollen nicht löschen.

  4. Geben Sie auf der Seite Rolle hinzufügen die folgenden Informationen ein:

    • RBAC-Name: Geben Sie einen aussagekräftigen Namen für die neue Benutzerrolle ein. Sie können den Namen einer vorhandenen Rolle nicht ändern.
    • RBAC-Vorlage: Wählen Sie optional eine Vorlage als Ausgangsbasis für die neue Rolle aus. (Beim Bearbeiten einer Rolle können Sie keine Vorlagen auswählen oder ändern.) RBAC-Vorlagen sind die Standardbenutzerrollen, die den Zugriff auf Systemfunktionen definieren.

    Klicken Sie auf Übernehmen, damit die Kontrollkästchen Autorisierter Zugriff und Konsolenfeatures aufgefüllt werden. Endpoint Management füllt diese Felder mit den vordefinierten Zugriffs- und Featureberechtigungen für die ausgewählte Vorlage aus.

    RBAC-Konfiguration in Endpoint Management

  5. Zum Anpassen der Rolle aktivieren bzw. deaktivieren Sie die Kontrollkästchen unter Autorisierter Zugriff und Konsolenfeatures.

    Klicken Sie auf das Dreieck neben einem Konsolenfeature, um die spezifischen Berechtigungen für dieses Feature anzuzeigen und auszuwählen. Beim Klicken auf das oberste Kontrollkästchen werden die einzelnen Berechtigungen nicht ausgewählt. Wählen Sie einzelne Optionen aus, nachdem Sie die Berechtigung auf der obersten Ebene erweitert haben.

  6. Berechtigungen anwenden: Klicken Sie auf Auf bestimmte Benutzergruppen, um Berechtigungen auf die von Ihnen ausgewählten Gruppen anzuwenden.

    Beispiel: Ein RBAC-Administrator verfügt über Berechtigungen für die Benutzergruppen “ActiveDirectory” und “MSP”:

    • Der Administrator kann nur Informationen für Benutzer anzeigen, die in “ActiveDirectory”, “MSP” oder in beiden Gruppen sind.
    • Der Administrator kann keine anderen lokalen Benutzer oder AD-Benutzer anzeigen. Der Administrator kann Benutzer anzeigen, die Mitglieder einer untergeordneten Gruppe dieser Gruppen sind.
    • Der Administrator kann Einladungen senden an:

      • die Berechtigungsgruppen und ihre untergeordneten Gruppen
      • die Benutzer, die Mitglieder der Berechtigungsgruppen und ihrer untergeordneten Gruppen sind

    RBAC-Konfiguration in Endpoint Management

  7. Klicken Sie auf Weiter und geben Sie die folgenden Informationen zum Zuweisen der Rolle zu Benutzergruppen ein.

    RBAC-Konfiguration in Endpoint Management

    • Domäne auswählen: Wählen Sie eine Domäne aus der Liste aus.
    • Nach Benutzergruppen suchen: Klicken Sie auf Suchen, um eine Liste aller verfügbaren Gruppen anzuzeigen. Geben Sie den Gruppennamen vollständig oder teilweise ein, um die Suche einzugrenzen.
    • Benutzergruppen einschließen: Wählen Sie in der nun angezeigten Liste die Benutzergruppen aus, denen Sie die Rolle zuweisen möchten.
  8. Klicken Sie auf Speichern.

Hinzufügen von Rollen zu Citrix Cloud-Administratoren

Anstatt über die Endpoint Management-Konsole können Sie RBAC-Rollen auch über die Citrix Cloud-Konsole Ihren Citrix Cloud-Administratoren zuzuweisen.

  1. Navigieren Sie in der Citrix Cloud-Konsole zu Identitäts- und Zugriffsverwaltung > Administratoren.
  2. Wählen Sie einen Identitätsanbieter und geben Sie eine E-Mail-Adresse ein, um einen Administrator hinzuzufügen. Klicken Sie auf Einladen.

    Klicken Sie am Ende einer bestehenden Administratorzeile auf die drei Punkte , um die Berechtigungen zu bearbeiten.

  3. Klicken Sie auf Benutzerdefinierter Zugriff. Wenn Sie dem Administrator Berechtigungen zuweisen, können Sie die in der Endpoint Management-Konsole erstellten RBAC-Rollen auswählen.

    RBAC-Rollen in Citrix Cloud

  4. Klicken Sie auf Einladung senden, um eine Einladung an einen neuen Administrator zu senden, oder klicken Sie auf Speichern, um die Bearbeitung des Administrators abzuschließen.

Vordefinierte Rollen

Jeder vordefinierten RBAC-Rolle sind bestimmte Zugriffs- und Featureberechtigungen zugewiesen. In den folgenden Tabellen werden die einzelnen Berechtigungen für die Administratorrolle und die Benutzerrolle beschrieben. Sie können die vordefinierten Rollen nicht löschen oder bearbeiten.

Wichtig:

Durch die RBAC-Berechtigung unter den Einstellungen erhalten Administratoren Vollzugriff, einschließlich der Möglichkeit, eigene Berechtigungen zuzuweisen. Geben Sie diese Zugriffsrechte nur Benutzern, die die Möglichkeit haben sollen, alles im Endpoint Management-System zu bearbeiten.

Administratorrolle

Die vordefinierte Administratorrolle ermöglicht spezifischen Zugriff in Endpoint Management. Standardmäßig sind Autorisierter Zugriff (außer Selbsthilfeportal), Konsolenfeatures und Berechtigungen anwenden aktiviert.

Sie können die Rolle für lokale Benutzer, denen die Administratorrolle zugewiesen ist, über Verwalten > Benutzer ändern. Verwenden Sie für Cloudbenutzer mit Administratorrolle die Citrix Cloud-Konsole, um die Rolle zu ändern. Standardmäßig haben Cloud- und lokale Benutzer mit Administratorrolle Vollzugriff.

Autorisierter Zugriff für Administratoren

   
Konsolenzugriff für Administratoren Administratoren haben Zugriff auf alle Features der Endpoint Management-Konsole.
Zugriff auf das Selbsthilfeportal Standardmäßig können Administratoren nicht auf das Selbsthilfeportal zugreifen. (Benutzer mit der Benutzerrolle können nur auf das Selbsthilfeportal zugreifen.)
Remotesupportzugriff Administratoren haben Zugriff auf das Remotesupport-Feature.
Zugriff über öffentliche API Mit der öffentlichen API für Administratoren können Aktionen, die in der Endpoint Management-Konsole verfügbar sind, programmatisch durchgeführt werden. Ein Beispiel für solche Aktionen ist das Verwalten von Zertifikaten, Apps, Geräten, Bereitstellungsgruppen und lokalen Benutzern.

Konsolenfeatures für Administratoren

Administratoren haben uneingeschränkten Zugriff auf die Endpoint Management-Konsole.

   
Dashboard Das Dashboard ist die erste Seite, die Administratoren nach der Anmeldung an der Endpoint Management-Konsole angezeigt wird. Das Dashboard enthält grundlegende Informationen zu Benachrichtigungen und Geräten.
Berichterstellung Die Seite Analyse > Berichterstellung bietet vordefinierte Berichte für die Analyse von App- und Gerätebereitstellungen.
Geräte Die Seite Verwalten > Geräte dient zum Verwalten der Benutzergeräte. Sie können einzelne Geräte auf der Seite hinzufügen oder eine Provisioningdatei zum Hinzufügen mehrerer Geräte in einem Arbeitsgang importieren.
Lokale Benutzer und Gruppen Auf der Seite Verwalten > Benutzer können Sie lokale Benutzer und Gruppen hinzufügen, bearbeiten und löschen.
Registrierung Auf der Seite Verwalten > Registrierungseinladungen geben Sie vor, wie Benutzer zur Registrierung ihrer Geräte bei Endpoint Management eingeladen werden.
Richtlinien Die Seite Verwalten > Geräterichtlinien dient zur Verwaltung von Geräterichtlinien wie VPN und Netzwerk.
App Auf der Seite Konfigurieren > Apps verwalten Sie die Apps, die die Benutzer auf ihren Geräten installieren können.
Medien Auf der Seite Konfigurieren > Medien verwalten Sie die Medien, die die Benutzer auf ihren Geräten installieren können.
Aktion Auf der Seite Konfigurieren > Aktionen verwalten Sie Antworten auf Auslöser.
Bereitstellungsgruppe Auf der Seite Konfigurieren > Bereitstellungsgruppen verwalten Sie Bereitstellungsgruppen und die ihnen zugeordneten Ressourcen.
Registrierungsprofil Auf der Seite Konfigurieren > Registrierungsprofile legen Sie fest, wie die Benutzer ihre Geräte registrieren können.
Alexa for Business Auf der Seite Einstellungen verwalten Sie Ihre Alexa for Business-Profile.
Einstellungen Die Seite Einstellungen dient zur Verwaltung der Systemeinstellungen, z. B. von Client- und Servereigenschaften, Zertifikaten und Anmeldeinformationsanbietern. Wichtig: Diese Einstellungen umfassen die RBAC-Berechtigung. Durch die RBAC-Berechtigung erhalten Administratoren Vollzugriff, einschließlich der Möglichkeit, eigene Berechtigungen zuzuweisen. Geben Sie diese Zugriffsrechte nur Benutzern, die die Möglichkeit haben sollen, alles im Endpoint Management-System zu bearbeiten.
Support Die Seite Problembehandlung und Support ermöglicht die Behandlung von Problemen, z. B. die Ausführung einer Diagnose und das Generieren von Protokollen.
Geräteeinschränkungen für Administratoren

Administratoren greifen in jedem Bereich der Konsole auf Gerätefeatures zu, indem sie Geräteeinschränkungen festlegen, Benachrichtigungen für Geräte einrichten und senden, Apps auf den Geräten verwalten usw.

   
Gerät vollständig löschen Löschen aller Daten und Apps von einem Gerät und, sofern vorhanden, dessen Speicherkarten.
Einschränkungen deaktivieren Entfernen einer oder mehrerer Geräteeinschränkungen.
Gerät selektiv löschen Löschen aller Unternehmensdaten und -Apps von einem Gerät, private Daten und Apps bleiben erhalten.
Standorte anzeigen Anzeigen des Standorts eines Geräts und Festlegen geografischer Einschränkungen. Einschließlich: Gerät orten, Gerätetracking.
Gerät sperren Remotesperren eines Geräts, sodass es nicht verwendet werden kann.
Gerät entsperren Remoteentsperren eines Geräts, sodass es verwendet werden kann.
Container sperren Remotesperren des Unternehmenscontainers auf einem Gerät.
Container entsperren Remoteentsperren des Unternehmenscontainers auf einem Gerät.
Containerkennwort zurücksetzen Zurücksetzen des Containerkennworts.
Umgehung der Aktivierungssperre für ASM aktivieren Speichern eines Umgehungscodes auf einem betreuten iOS-Gerät bei aktivierter Aktivierungssperre. Zum Löschen der Daten auf dem Gerät verwenden Sie diesen Code, um die Aktivierungssperre automatisch aufzuheben.
Residente Benutzer abrufen Liste der Benutzer, die auf dem aktuellen Gerät aktive Konten haben. Diese Aktion erzwingt eine Synchronisierung zwischen Gerät und Endpoint Management-Konsole.
Residenten Benutzer abmelden Abmelden des aktuellen Benutzers erzwingen.
Residenten Benutzer löschen Die aktuelle Sitzung für einen bestimmten Benutzer löschen. Der Benutzer kann sich erneut anmelden.
Gerät klingeln lassen Remoteauslösen des Klingeltons auf einem Windows-Gerät in voller Lautstärke für 5 Minuten.
Gerät neu starten Neustarten von Windows-Geräten über die Endpoint Management-Konsole.
Auf Gerät bereitstellen Senden von Apps, Benachrichtigungen, Einschränkungen und anderen Ressourcen an ein Gerät.
Gerät bearbeiten Ändern der Einstellungen auf dem Gerät.
Benachrichtigung an Gerät Senden von Benachrichtigungen an ein Gerät.
Gerät hinzufügen/löschen Hinzufügen oder Löschen von Geräten in Endpoint Management.
Geräte importieren Importieren einer Gerätegruppe aus einer Datei in Endpoint Management.
Gerätetabelle exportieren Sammeln von Geräteinformationen auf der Geräteseite und Exportieren in eine CSV-Datei.
Gerät widerrufen Verhindern der Verbindung zwischen einem Gerät und Endpoint Management.
App-Sperre Verhindern des Zugriffs auf alle Apps auf einem Gerät. Unter Android verhindert diese Einschränkung, dass sich Benutzer bei Endpoint Management anmelden können. Unter iOS können Benutzer sich anmelden, jedoch nicht auf Apps zugreifen.
App löschen Diese Einschränkung löscht auf Android-Geräten das Endpoint Management-Konto der Benutzer. Auf iOS-Geräten wird mit dieser Einschränkung der Verschlüsselungsschlüssel gelöscht, den Benutzer für den Zugriff auf Endpoint Management-Features benötigen.
Softwarebestand anzeigen Anzeigen einer Liste der auf einem Gerät installierten Software.
AirPlay-Synchronisierung anfordern Anforderung, AirPlay-Streaming zu starten.
AirPlay-Synchronisierung beenden AirPlay-Streaming beenden.
Modus “Verloren” aktivieren Auf der Seite Verwalten > Geräte können Sie betreute Geräte in den Modus “Verloren” versetzen, damit das betreute Gerät mit dem Sperrbildschirm gesperrt wird. Sie können das Gerät dann orten, wenn das Gerät verloren oder gestohlen wurde.
Modus ‘Verloren’ deaktivieren Auf der Seite Verwalten > Geräte können Sie den Modus “Verloren” für Geräte deaktivieren, die auf diesen Modus eingestellt sind.
OS-Update für Gerät Sie können die Geräterichtlinie “OS-Update” auf Geräten bereitstellen.
Gerät herunterfahren Herunterfahren von iOS-Geräten über die Endpoint Management-Konsole.
Gerät neu starten Neustarten von iOS-Geräten über die Endpoint Management-Konsole.
Geräteregistrierungszertifikat erneuern ZS-Zertifikat für Gerät erneuern
Lokale Benutzer und Gruppen

Administratoren verwalten auf der Seite Verwalten > Benutzer in Endpoint Management lokale Benutzer und Gruppen.

 
Lokale Benutzer hinzufügen
Lokale Benutzer löschen
Lokale Benutzer bearbeiten
Lokale Benutzer importieren
Lokalen Benutzer exportieren
Lokale Benutzergruppen
Lokale Benutzersperr-ID abrufen
Lokale Benutzersperr-ID löschen
Registrierung

Administratoren können Registrierungseinladungen hinzufügen und löschen, Benachrichtigungen an Benutzer senden und die Registrierungstabelle in eine CSV-Datei exportieren.

   
Registrierung hinzufügen/löschen Hinzufügen und Entfernen einer Registrierungseinladung an einen Benutzer oder eine Gruppe.
Benutzer benachrichtigen Senden einer Registrierungseinladung an einen Benutzer oder eine Gruppe.
Registrierungseinladungstabelle exportieren Sammeln von Registrierungsinformationen auf der Seite “Registrierung” und Exportieren in eine CSV-Datei.
Richtlinien
   
Richtlinie hinzufügen/löschen Hinzufügen und Entfernen von Geräte- und App-Richtlinien.
Richtlinie bearbeiten Ändern einer Geräte- oder App-Richtlinie.
Richtlinie hochladen Hochladen einer Geräte- oder App-Richtlinie.
Richtlinie klonen Kopieren einer Geräte- oder App-Richtlinie.
Richtlinie deaktivieren Deaktivieren einer App-Richtlinie.
Richtlinie exportieren Sammeln von Richtlinieninformationen auf der Seite “Geräterichtlinien” und Exportieren in eine CSV-Datei.
Richtlinie zuweisen Zuweisen einer Richtlinie zu einer oder mehreren Bereitstellungsgruppen.
App

Administratoren verwalten Apps auf der Seite Konfigurieren > Apps in Endpoint Management.

   
App-Store- oder Unternehmensapp hinzufügen/löschen Hinzufügen oder Entfernen von öffentlichen App Store-Apps oder Unternehmensapps (nicht MDX-fähig).
App-Store- oder Unternehmensapp bearbeiten Ändern von öffentlichen App Store-Apps oder Unternehmensapps (nicht MDX-fähig).
MDX-, Web- und SaaS-App hinzufügen/löschen Hinzufügen bzw. Entfernen von MDX-fähigen Apps, Apps aus dem internen Netzwerk (Web-Apps) oder Apps aus einem öffentlichen Netzwerk (SaaS) zu bzw. aus Endpoint Management.
MDX-, Web- und SaaS-App bearbeiten Ändern einer MDX-fähigen App, einer App aus dem internen Netzwerk (Web-App) oder einer App aus einem öffentlichen Netzwerk (SaaS) in Endpoint Management.
Kategorie hinzufügen/löschen Hinzufügen oder Löschen einer Kategorie für die Anzeige von Apps im App-Store.
Öffentliche App/Unternehmensapp Bereitstellungsgruppe zuweisen Zuweisen von öffentlichen App-Store-Apps oder nicht MDX-fähigen Apps zu einer Bereitstellungsgruppe.
MDX-/Weblink-/SaaS-App einer Bereitstellungsgruppe zuweisen Zuweisen von MDX-fähigen Apps, Apps ohne erforderlichen Single Sign-On (WebLink) oder Apps aus einem öffentlichen Netzwerk (SaaS) zu einer Bereitstellungsgruppe.
App-Tabelle exportieren Sammeln von App-Informationen auf der App-Seite und Exportieren in eine CSV-Datei.
Medien

Verwalten von Medien aus einem öffentlichen App-Store oder einer Volume Purchase-Lizenz.

 
App-Store- oder Unternehmensbücher hinzufügen/löschen
Öffentliche bzw. Unternehmensbücher Bereitstellungsgruppe zuweisen
App-Store- oder Unternehmensbücher bearbeiten
Aktion
   
Aktion hinzufügen/löschen Hinzufügen oder Entfernen einer Aktion, die über einen Auslöser und die zugehörige Antwort definiert wird. Ein Auslöser ist ein Ereignis, eine Geräte- oder Benutzereigenschaft oder der Name der installierten App.
Aktion bearbeiten Ändern einer Aktion, die über einen Auslöser und die zugehörige Antwort definiert wird. Ein Auslöser ist ein Ereignis, eine Geräte- oder Benutzereigenschaft oder der Name der installierten App.
Aktion einer Bereitstellungsgruppe zuweisen Zuweisen einer Aktion zu einer Bereitstellungsgruppe für die Bereitstellung auf den Benutzergeräten.
Aktion exportieren Sammeln von Aktionsinformationen auf der Aktionen-Seite und Exportieren in eine CSV-Datei.
Bereitstellungsgruppe

Administratoren verwalten Bereitstellungsgruppen auf der Seite Konfigurieren > Bereitstellungsgruppen.

   
Bereitstellungsgruppe hinzufügen/löschen Erstellen oder Löschen einer Bereitstellungsgruppe zum Hinzufügen bzw. Löschen der angegebenen Benutzer und optional von Richtlinien, Apps und Aktionen.
Bereitstellungsgruppe bearbeiten Ändern einer Bereitstellungsgruppe zum Ändern der angegebenen Benutzer und optional von Richtlinien, Apps und Aktionen.
Bereitstellungsgruppe bereitstellen Verfügbarmachen einer Bereitstellungsgruppe.
Bereitstellungsgruppe exportieren Sammeln von Informationen zu einer Bereitstellungsgruppe auf der Seite mit den Bereitstellungsgruppen und Exportieren in eine CSV-Datei.
Registrierungsprofil

Verwalten von Registrierungsprofilen.

 
Registrierungsprofil hinzufügen/löschen
Registrierungsprofil bearbeiten
Registrierungsprofil der Bereitstellungsgruppe zuweisen
Alexa for Business

Verwalten von Alexa for Business-Profilen.

 
Räume hinzufügen/löschen/bearbeiten
Raumprofile hinzufügen/löschen/bearbeiten
Skillgruppen hinzufügen/löschen/bearbeiten
Einstellungen für Administratoren

Administratoren konfigurieren diverse Einstellungen auf der Seite Einstellungen.

   
RBAC RBAC-Zuweisung. Wichtig: Durch diese Berechtigung erhalten Administratoren Vollzugriff, einschließlich der Möglichkeit, eigene Berechtigungen zuzuweisen. Geben Sie diese Zugriffsrechte nur Benutzern, die die Möglichkeit haben sollen, alles im Endpoint Management-System zu bearbeiten.
LDAP Verwalten LDAP-kompatibler Verzeichnisse, z. B. von Active Directory, zum Importieren von Gruppen, Benutzerkonten und zugehörigen Eigenschaften.
Registrierung Aktivieren von Registrierungssicherheitsmodi für Benutzer und das Selbsthilfeportal.
Releasemanagement Anzeigen des aktuell installierten Release. Inklusive Releasemanagementupdate.
Zertifikate APNs-Zertifikat bearbeiten
Benachrichtigungsvorlagen Erstellen von Benachrichtigungsvorlagen zur Verwendung für automatisierte Aktionen, die Registrierung und Standardbenachrichtigungen an Benutzer.
Workflows Verwalten von Erstellen, Genehmigen und Entfernen von Benutzerkonten für die Verwendung mit App-Konfigurationen.
Anmeldeinformationsanbieter Hinzufügen von Anmeldeinformationsanbietern mit Berechtigung zum Ausstellen von Gerätezertifikaten. Die Anmeldeinformationsanbieter steuern das Zertifikatformat und die Bedingungen für die Verlängerung und Sperrung von Zertifikaten.
PKI-Entitäten Verwalten von Public Key-Infrastrukturentitäten (allgemeine, Microsoft Zertifikatdienste oder eigenverwaltete ZS).
PKI-Verbindung testen Verwenden Sie die Schaltfläche Verbindung testen auf der Seite Einstellungen > PKI-Entitäten, um sicherzustellen, dass der Server erreichbar ist.
Clienteigenschaften Verwalten diverser Eigenschaften auf den Benutzergeräten, z. B. Passcodetyp, -sicherheit und -ablauf.
Clientsupport Festlegen der Methoden, mit denen Benutzer sich an den hauseigenen Support wenden können (E-Mail, Telefon oder Supportticket per E-Mail).
Clientbranding Erstellen eines benutzerdefinierten Storenamens und von Standardansichten für den App-Store. Hinzufügen eines benutzerdefinierten Logos für den App-Store oder Secure Hub.
SMS-Gateway des Netzbetreibers Einrichten von Netzbetreiber-SMS-Gateways zum Konfigurieren von Benachrichtigungen, die Endpoint Management durch SMS-Gateways sendet.
Benachrichtigungsserver Einrichten eines SMTP-Gatewayservers zum Senden von E-Mail an Benutzer.
ActiveSync-Gateway Verwalten des Benutzerzugriffs für Benutzer und Geräte über Regeln und Eigenschaften.
Google Chrome Konfigurieren von Endpoint Management für die Kommunikation mit Ihrem Google Workspace-Konto.
Apple-Bereitstellungsprogramm Hinzufügen eines Apple-Bereitstellungsprogramm-Kontos zu Endpoint Management.
Apple Configurator-Geräteregistrierung Konfigurieren von Apple Configurator-Einstellungen in der Endpoint Management-Konsole.
iOS-/Volume Purchase-Einstellungen Hinzufügen von Apple Volume Purchase-Konten.
Mobilfunkanbieter Verwenden der Mobilfunkanbieterschnittstelle zum Abfragen von BlackBerry- und anderen Exchange ActiveSync-Geräten und zum Auslösen von Vorgängen.
NetScaler Gateway Konfigurieren der NetScaler Gateway-Einstellungen (jetzt Citrix Gateway) in Endpoint Management.
Netzwerkzugriffssteuerung (NAC) Festlegen der Bedingungen zum Einordnen von Geräten als nicht richtlinientreu, sodass diese Geräte keinen Zugriff auf das Netzwerk haben
Samsung Knox Aktivieren und Deaktivieren von Endpoint Management für die Abfrage der REST-APIs des Samsung Knox-Nachweisservers.
Servereigenschaften Hinzufügen und Ändern von Servereigenschaften. Erfordert einen Neustart von Endpoint Management auf allen Knoten.
Virtual Apps and Desktops Zulassen, dass Benutzer Citrix Virtual Apps and Desktops über Citrix Workspace hinzuzufügen.
Citrix Files Endpoint Management mit Enterprise-Konten: Konfigurieren Sie Einstellungen für Verbindungen mit dem Content Collaboration-Konto und dem Administratordienstkonto, um Benutzerkonten zu verwalten. Eine Citrix Files-Domäne und Administratoranmeldeinformationen sind erforderlich. Endpoint Management mit Speicherzonenconnectors: Konfigurieren Sie Endpoint Management zum Verweisen auf Netzwerkfreigaben und SharePoint-Speicherorte, die in Speicherzonenconnectors definiert sind.
Android Enterprise Konfigurieren der Android Enterprise-Servereinstellungen.
Identitätsanbieter (IdP) Konfigurieren eines Identitätsanbieters.
Microsoft Store für Unternehmen Konfigurieren von Microsoft Store for Business-Einstellungen in der Endpoint Management-Konsole.
Endpoint Management Tools Zugriff auf die Endpoint Management Tools-Seite.
Windows-Massenregistrierung Einstellungen für Windows-Massenregistrierung konfigurieren
Support

Administratoren können verschiedene Supportaufgaben ausführen.

   
NetScaler Gateway-Konnektivitätsprüfung Durchführen diverser Verbindungsprüfungen für NetScaler Gateway nach IP-Adresse. Erfordert Benutzernamen und Kennwort.
Endpoint Management-Konnektivitätsprüfung Durchführen von Konnektivitätsprüfungen für bestimmte Endpoint Management-Features, z. B. Datenbank, DNS und Google-Abonnement.
Citrix-Produktdokumentation Zugriff auf die öffentliche Citrix Endpoint Management-Dokumentationssite.
Citrix Knowledge Center Zugriff auf die Citrix Support-Website für die Suche nach Wissensdatenbankartikeln.
Protokolle Protokolldateien anzeigen und herunterladen
Makros Auffüllen der Benutzer- oder Geräteeigenschaftsdaten im Textfeld eines Profils, einer Richtlinie, einer Benachrichtigung oder einer Registrierungsvorlage. Konfigurieren einer einzelnen Richtlinie und Bereitstellen der Richtlinie für eine große Benutzergruppe, wobei für jeden Zielbenutzer benutzerspezifische Werte angezeigt werden.
Konfigurieren von PKI Importieren und Exportieren von PKI-Konfigurationsinformationen.
Hilfsprogramm für APNs-Signierung Senden einer Anforderung für ein APNs-Signaturzertifikat und Hochladen eines Secure Mail-APNs-Zertifikats für iOS.
Citrix Insight Services Hochladen von Protokollen an Citrix Insight Services (CIS) für Hilfe bei verschiedenen Problemen.
Citrix Gateway Connector für Exchange ActiveSync - Gerätestatus Statusabfrage für ein Gerät in Endpoint Management. Der Status wird dann an den Connector für Exchange ActiveSync gesendet. Die Abfrage basiert auf der Geräte-ID in ActiveSync.

Gruppenzugriff einschränken

Administratoren können auf alle Benutzergruppen Berechtigungen anwenden.

Konsolenfeatures für das Geräteprovisioning

Benutzer mit der Geräteprovisioningrolle haben den folgenden eingeschränkten Zugriff auf die Endpoint Management-Konsole. Standardmäßig sind die folgenden Features aktiviert.

Geräteeinschränkungen
   
Gerät bearbeiten Ändern der Einstellungen auf dem Gerät.
Gerät hinzufügen/löschen Hinzufügen oder Löschen von Geräten in Endpoint Management.

Einstellungen für das Geräteprovisioning

Geräteprovisioningbenutzer können auf die Seite Einstellungen zugreifen, jedoch keine Features konfigurieren.

Benutzerrolle

Benutzer mit der Benutzerrolle haben den folgenden eingeschränkten Zugriff auf Endpoint Management.

Autorisierter Zugriff für Benutzer

   
Selbsthilfeportal Benutzern nur Zugriff auf das Selbsthilfeportal in Endpoint Management geben.

Konsolenfeatures für Benutzer

Benutzer haben den folgenden eingeschränkten Zugriff auf die Endpoint Management-Konsole.

Beschränkter Zugriff für Benutzer auf dem Gerät
   
Gerät vollständig löschen Löschen aller Daten und Apps von einem Gerät und, sofern vorhanden, dessen Speicherkarten.
Gerät selektiv löschen Löschen aller Unternehmensdaten und -Apps von einem Gerät, private Daten und Apps bleiben erhalten.
Standorte anzeigen Anzeigen des Standorts eines Geräts und Festlegen geografischer Einschränkungen. Optionen: Gerät orten, Standort eines Geräts anzeigen, Gerätetracking, Standort eines Geräts verfolgen.
Gerät sperren Remotesperren eines Geräts, sodass es nicht verwendet werden kann.
Gerät entsperren Remoteentsperren eines Geräts, sodass es verwendet werden kann.
Container sperren Remotesperren des Unternehmenscontainers auf einem Gerät.
Container entsperren Remoteentsperren des Unternehmenscontainers auf einem Gerät.
Containerkennwort zurücksetzen Zurücksetzen des Containerkennworts.
Umgehung der Aktivierungssperre für ASM aktivieren Speichern eines Umgehungscodes auf einem betreuten iOS-Gerät bei aktivierter Aktivierungssperre. Zum Löschen der Daten auf dem Gerät verwenden Sie diesen Code, um die Aktivierungssperre automatisch aufzuheben.
Residente Benutzer abrufen Liste der Benutzer, die auf dem aktuellen Gerät aktive Konten haben. Diese Aktion erzwingt eine Synchronisierung zwischen Gerät und Endpoint Management-Konsole.
Residenten Benutzer abmelden Abmelden des aktuellen Benutzers erzwingen.
Residenten Benutzer löschen Die aktuelle Sitzung für einen bestimmten Benutzer löschen. Der Benutzer kann sich erneut anmelden.
Gerät klingeln lassen Remoteauslösen des Klingeltons auf einem Windows-Gerät in voller Lautstärke für 5 Minuten.
Gerät neu starten Neustarten von Windows-Geräten.
App-Sperre Verhindern des Zugriffs auf alle Apps auf einem Gerät. Auf Android-Geräten können Benutzer sich nicht bei Endpoint Management anmelden. Unter iOS können Benutzer sich anmelden, jedoch nicht auf Apps zugreifen.
App löschen Diese Einschränkung löscht auf Android-Geräten das Endpoint Management-Konto der Benutzer. Auf iOS-Geräten wird mit dieser Einschränkung der Verschlüsselungsschlüssel gelöscht, den Benutzer für den Zugriff auf Endpoint Management-Features benötigen.
Softwarebestand anzeigen Anzeigen einer Liste der auf einem Gerät installierten Software.
Registrierungsbeschränkungen für Benutzer
   
Registrierung hinzufügen/löschen Hinzufügen und Entfernen einer Registrierungseinladung an einen Benutzer oder eine Gruppe.
Benutzer benachrichtigen Senden einer Registrierungseinladung an einen Benutzer oder eine Gruppe.

Gruppenzugriff für alle Rollen einschränken

Für die Standardrollen ist diese Berechtigung standardmäßig festgelegt. Sie kann auf alle Benutzergruppen angewendet werden. Sie können die Rolle nicht bearbeiten.

Konfigurieren von Rollen mit RBAC