Delegierte Administration

Übersicht

Mit der Delegierten Administration können Sie in Citrix Cloud die Zugriffsberechtigungen aller Administratoren gemäß ihrer Rolle in der Organisation konfigurieren.

Standardmäßig haben Administratoren Vollzugriff. Dies ermöglicht den Zugriff auf alle kundenbezogenen Administrations- und Verwaltungsfunktionen in Citrix Cloud und auf alle abonnierten Dienste. Die Zugriffsrechte eines Administrators lassen sich folgendermaßen anpassen:

  • Benutzerdefinierter Zugriff des Administrators auf allgemeine Verwaltungsberechtigungen in Citrix Cloud.
  • Benutzerdefinierter Zugriff auf abonnierte Dienste. Im Citrix Virtual Apps and Desktops-Service können Sie die Zugriffsrechte eines neuen Administrators direkt bei der Einladung benutzerdefiniert festlegen. Sie können den Zugriff eines Administrators später ändern.

Weitere Informationen zur Anzeige der Administratorliste und zum Definieren von Zugriffsberechtigungen finden Sie unter Hinzufügen von Administratoren zu einem Citrix Cloud-Konto.

In diesem Artikel wird beschrieben, wie Sie den benutzerdefinierten Zugriff in Citrix Virtual Apps and Desktops konfigurieren.

Administratoren, Rollen und Geltungsbereiche

Die Delegierte Administration verwendet drei Konzepte für den benutzerdefinierten Zugriff: Administratoren, Rollen und Geltungsbereiche.

  • Administratoren: Ein Administrator ist eine Person, die durch ihre Citrix Cloud-Anmeldeinformationen (meist eine E-Mail-Adresse) identifiziert wird. Jeder Administrator ist mit mindestens einem Paar aus Rolle und Geltungsbereich verknüpft.
  • Rollen: Eine Rolle steht für eine spezielle Jobfunktion, mit der bestimmte Berechtigungen verknüpft sind. Damit sind Aufgaben möglich, die nur für diesen Service gelten. Die Rolle des Bereitstellungsgruppenadministrators berechtigt beispielsweise dazu, Bereitstellungsgruppen zu erstellen oder Desktops aus einer Bereitstellungsgruppe zu entfernen. Ein Administrator kann mehrere Rollen haben. Ein Administrator kann ein Bereitstellungsgruppenadministrator und ein Maschinenkatalogadministrator sein.

    Der Service bietet auch mehrere integrierte Rollen für den benutzerdefinierten Zugriff. Weitere benutzerdefinierte Zugriffsrollen können nicht erstellt werden, und Sie können die Berechtigungen in den vordefinierten Rollen nicht ändern und die Rollen auch nicht löschen. Sie können die Rollen jedoch für jeden Administrator anpassen.

    Eine Rolle ist stets mit einem bestimmten Geltungsbereich verknüpft.

  • Geltungsbereiche: Ein Geltungsbereich steht für eine Sammlung von Objekten. Geltungsbereiche dienen dazu, Objekte auf relevante Weise im Unternehmen zu gruppieren. Objekte können auch in mehreren Geltungsbereichen sein.

    Der einzige integrierte Geltungsbereich “Alle” enthält alle Objekte. Citrix Cloud- und Helpdesk-Administratoren sind immer mit dem Geltungsbereich “Alle” verknüpft. Dieser Bereich kann für diese Administratoren nicht geändert werden.

    Wenn Sie einen Administrator einladen und zum Service hinzufügen, ist eine Rolle stets mit einem Geltungsbereich verknüpft (standardmäßig mit dem Geltungsbereich “Alle”).

    Sie erstellen und löschen Geltungsbereiche in der Studio-Konsole. Sie erstellen verknüpfte Rollen-/Geltungsbereichspaare in der Citrix Cloud-Konsole.

    Für Administratoren mit Vollzugriff wird kein Geltungsbereich angezeigt. Diese Administratoren haben per Definition Zugriff auf alle kundenverwalteten Objekte in Citrix Cloud und in abonnierten Diensten.

Integrierte Rollen und Geltungsbereiche für den benutzerdefinierten Zugriff

Folgende benutzerdefinierte Zugriffsrollen sind im Service vordefiniert.

  • Cloudadministrator: Kann alle Aufgaben ausführen, die vom Service initiiert werden können.

    Kann die Registerkarten Verwalten und Überwachen in der Konsole sehen. Diese Rolle wird stets mit dem Geltungsbereich “Alle” kombiniert. Sie können den Bereich nicht ändern.

    Lassen Sie sich vom Namen der Rolle nicht täuschen. Ein Cloudadministrator mit benutzerdefiniertem Zugriff kann keine Aufgaben auf Citrix Cloud-Ebene durchführen (für Citrix Cloud-Aufgaben ist ein Vollzugriff erforderlich).

  • Lesezugriffsadministrator: Kann alle Objekte in den angegebenen Geltungsbereichen (und globale Informationen) sehen, aber keine Änderungen vornehmen. Ein Lesezugriffadministrator mit Geltungsbereich = London kann beispielsweise alle globalen Objekte und alle Objekte für den Geltungsbereich London (z. B. London-Bereitstellungsgruppen) sehen. Dieser Administrator kann jedoch nicht die Objekte im Geltungsbereich “New York” sehen (sofern die Geltungsbereiche “London” und “New York” einander nicht überlappen).

    Kann in der Konsole die Registerkarte Verwalten anzeigen, jedoch nicht die Registerkarte Überwachen. Sie können den Geltungsbereich ändern.

  • Helpdeskadministrator: Kann Bereitstellungsgruppen sehen und die diesen Gruppen zugeordneten Sitzungen und Maschinen verwalten. Kann den Maschinenkatalog und die Hostinformationen der überwachten Bereitstellungsgruppen sehen. Kann auch Sitzungsverwaltungs- und Energieverwaltungsvorgänge für die Maschinen in diesen Bereitstellungsgruppen durchführen.

    Kann in der Konsole die Registerkarte Überwachen anzeigen, jedoch nicht die Registerkarte Verwalten. Diese Rolle wird stets mit dem Geltungsbereich “Alle” kombiniert. Sie können diesen Bereich nicht ändern.

  • Maschinenkatalogadministrator: Kann Maschinenkataloge erstellen und verwalten sowie Maschinen in ihnen bereitstellen. Kann Basisimages verwalten und Software installieren, aber Benutzern keine Anwendungen oder Desktops zuweisen.

    Kann in der Konsole die Registerkarte Verwalten anzeigen, jedoch nicht die Registerkarte Überwachen. Sie können den Geltungsbereich ändern.

  • Bereitstellungsgruppenadministrator: Kann Anwendungen, Desktops und Maschinen bereitstellen. Kann auch die zugehörigen Sitzungen verwalten. Kann Anwendungs- und Desktopkonfigurationen wie Richtlinien und Energieverwaltungseinstellungen verwalten.

    Kann in der Konsole die Registerkarte Verwalten anzeigen, jedoch nicht die Registerkarte Überwachen. Sie können den Geltungsbereich ändern.

  • Hostadministrator: Kann Hostverbindungen und ihre zugehörigen Ressourceneinstellungen verwalten. Kann keine Maschinen, Anwendungen oder Desktops für Benutzer bereitstellen.

    Kann in der Konsole die Registerkarte Verwalten anzeigen, jedoch nicht die Registerkarte Überwachen. Sie können den Geltungsbereich ändern.

In der folgenden Tabelle ist zusammengefasst, welche Konsolenregisterkarten für die einzelnen Rollen mit benutzerdefiniertem Zugriff sichtbar sind und ob der Geltungsbereich für die Rolle angepasst werden kann.

Administratorrolle mit benutzerdefiniertem Zugriff Konsole mit Registerkarte Verwalten? Konsole mit Registerkarte Überwachen? Benutzerdefinierte Geltungsbereiche verwendbar?
Cloudadministrator Ja Ja Nein
Lesezugriffadministrator Ja Nein Ja
Helpdeskadministrator Nein Ja Nein
Maschinenkatalogadministrator Ja Nein Ja
Bereitstellungsgruppenadministrator Ja Nein Ja
Hostadministrator Ja Nein Ja

Anzeige der zugewiesenen Berechtigungen für eine Rolle:

  1. Melden Sie sich bei Citrix Cloud an, falls Sie es noch nicht getan haben. Wählen Sie im Menü links oben Eigene Services > Virtual Apps and Desktops. Wählen Sie die Registerkarte Verwalten.
  2. Klicken Sie im Studio-Navigationsbereich auf Konfiguration > Administratoren und dann auf die Registerkarte Rollen.
  3. Wählen Sie im oberen mittleren Bereich eine Rolle aus. Auf der Registerkarte Rollendefinition im unteren Bereich sind alle Kategorien und Berechtigungen aufgelistet. Wählen Sie eine Kategorie aus, um die spezifischen Berechtigungen anzuzeigen. Auf der Registerkarte Administratoren sind die Administratoren aufgelistet, denen die oben ausgewählte Rolle zugewiesen wurde.

    Bekanntes Problem: Ein Volladministrator-Eintrag in Studio zeigt nicht den richtigen Berechtigungssatz für einen Dienstadministrator mit Vollzugriff an.

Anzahl der benötigten Administratoren

Die Anzahl der Administratoren und die Granularität der Berechtigungen hängen im Allgemeinen von der Größe und Komplexität der Bereitstellung ab.

  • In kleinen Bereitstellungen oder Machbarkeitsstudien übernehmen ein oder wenige Administratoren alle Aufgaben und es findet keine benutzerdefinierte Zugriffsdelegierung statt. In diesem Fall erhält jeder Administrator Vollzugriff, der stets mit dem Geltungsbereich “Alle” verknüpft ist.
  • In größeren Bereitstellungen mit mehr Maschinen, Anwendungen und Desktops ist mehr Delegierung erforderlich. Mehrere Administratoren haben möglicherweise bestimmte funktionale Zuständigkeiten (Rollen). Dann haben beispielsweise zwei Administratoren Vollzugriff, während andere als Helpdeskadministratoren fungieren. Weiterhin werden von einem Administrator ggf. nur bestimmte Objektgruppen (Geltungsbereiche) wie Maschinenkataloge in einer bestimmten Abteilung verwaltet. Erstellen Sie in diesem Fall neue Geltungsbereiche und Administratoren, und weisen Sie diesen eine benutzerdefinierte Zugriffsrolle und die entsprechenden Geltungsbereiche zu.

Zusammenfassung der Administratorverwaltung

Das Einrichten zusätzlicher Administratoren für den Service folgt dieser Reihenfolge:

  1. Wenn der neue Administrator einen anderen Geltungsbereich als “Alle” haben soll (und ein anderer Geltungsbereich für die beabsichtigte Rolle zulässig ist und nicht bereits erstellt wurde), können Sie in Studio Geltungsbereiche erstellen.
  2. Dann können Sie in Citrix Cloud einen Administrator einladen. Wenn der neue Administrator nicht den standardmäßigen Vollzugriff erhalten soll, legen Sie ein benutzerdefiniertes Rollen-/Geltungsbereichspaar fest.

Wenn Sie den Zugriff eines Administrators später ändern möchten, finden Sie weitere Informationen unter Konfigurieren von benutzerdefiniertem Zugriff.

Einladen eines Administrators

Zum Hinzufügen eines Administrators folgen Sie den Anweisungen unter Hinzufügen von Administratoren zu einem Citrix Cloud-Konto. Ein Teil dieser Informationen wird hier wiederholt.

  1. Nach dem Anmelden bei Citrix Cloud wählen Sie im Menü links oben die Option Identitäts- und Zugriffsverwaltung.

  2. Klicken Sie auf der Seite Identitäts- und Zugriffsverwaltung auf Administratoren. Es werden die aktuellen Administratoren im Konto angezeigt.
  3. Klicken Sie auf Administratoren hinzufügen von… und wählen Sie eine Authentifizierungsmethode aus. Geben Sie die E-Mail-Adresse der Person ein. Wählen Sie optional ein Rollen-/Geltungsbereichspaar aus.

    Wenn Sie kein benutzerdefiniertes Rollen-/Geltungsbereichspaar auswählen, wird dem neuen Administrator standardmäßig Vollzugriff zugewiesen. Er erhält damit Zugriff auf alle Kundenadministratorfunktionen in Citrix Cloud und in allen abonnierten Diensten.

    Wenn Sie den Zugriff des Administrators beschränken möchten, wählen Sie ein Rollen-/Geltungsbereichspaar mit benutzerdefiniertem Zugriff aus. Auf diese Weise haben neue Administratoren die gewünschten Berechtigungen, wenn sie sich erstmalig bei Citrix Cloud anmelden.

  4. Klicken Sie auf Einladen. Citrix Cloud sendet eine Einladung an die von Ihnen angegebene E-Mail-Adresse und fügt den Administrator der Liste hinzu.

    Wenn der Administrator die E-Mail erhält, kann er die Einladung mit einem Klick auf den Link Beitreten annehmen.

Erstellen von Geltungsbereichen

Standardmäßig verwenden alle Rollen den Geltungsbereich “Alle” für ihre relevanten Objekte. Beispielsweise kann ein Bereitstellungsgruppenadministrator alle Bereitstellungsgruppen verwalten. Für einige Administratorrollen können Sie einen Geltungsbereich erstellen, der dieser Administratorrolle den Zugriff auf einen Teil der relevanten Objekte ermöglicht. Vielleicht möchten Sie einem Maschinenkatalogadministrator nur Zugriff auf die Kataloge gewähren, die einen bestimmten Maschinentyp enthalten.

  • Administratoren mit Vollzugriff oder Cloudadministratoren mit benutzerdefiniertem Zugriff können Geltungsbereiche für die Rollen “Lesezugriffadministrator”, “Maschinenkatalogadministrator”, “Bereitstellungsgruppenadministrator” und “Hostadministrator” erstellen.
  • Geltungsbereiche können nicht für Administratoren mit Vollzugriff, Cloudadministratoren oder Helpdeskadministratoren erstellt werden, da diesen stets der Geltungsbereich “Alle” zugeordnet ist.

Regeln zum Erstellen und Verwalten von Geltungsbereichen:

  • Geltungsbereichsnamen können bis zu 64 Unicode-Zeichen enthalten. Geltungsbereichsnamen dürfen keines der folgenden Zeichen enthalten: umgekehrter Schrägstrich, Schrägstrich, Semikolon, Doppelpunkt, Raute, Komma, Sternchen, Fragezeichen, Gleichheitszeichen, Nach-links-Taste, Nach-rechts-Taste, senkrechter Strich, eckige, geschweifte oder runde Klammern, Anführungszeichen und Apostroph.
  • Geltungsbereichsbeschreibungen können bis zu 256 Unicode-Zeichen enthalten.
  • Wenn Sie einen Geltungsbereich kopieren oder bearbeiten, dürfen Sie nicht vergessen, dass Objekte, die aus dem Geltungsbereich entfernt werden, für einen Administrator ggf. nicht mehr zugänglich sind. Ist der bearbeitete Geltungsbereich mit einer oder mehreren Rollen verbunden, müssen Sie sicherstellen, dass kein Rollen-/Geltungsbereichspaar durch Änderungen am Bereich unbrauchbar wird.

Erstellen eines Geltungsbereichs:

  1. Melden Sie sich bei Citrix Cloud an, falls Sie es noch nicht getan haben. Wählen Sie im Menü links oben Eigene Services > Virtual Apps and Desktops. Wählen Sie die Registerkarte Verwalten.
  2. Klicken Sie im Studio-Navigationsbereich auf Konfiguration > Administratoren und dann auf die Registerkarte Geltungsbereiche.
  3. Klicken Sie im Bereich “Aktionen” auf Geltungsbereich erstellen. Geben Sie einen Namen und eine Beschreibung ein. Die Objekte sind nach Typ aufgelistet, z. B. Bereitstellungsgruppe und Maschinenkatalog.

    • Zum Einschließen aller Objekte eines bestimmten Typs (z. B. alle Bereitstellungsgruppen) aktivieren Sie das Kontrollkästchen für den Objekttyp.

    • Zum Einschließen einzelner Objekte eines Typs erweitern Sie den Typ und aktivieren die Kontrollkästchen für die Objekte (z. B. bestimmte Bereitstellungsgruppen).

  4. Zum Abschluss klicken Sie auf Speichern.

    Dialogfeld "Geltungsbereich erstellen"

Nachdem Sie einen Bereich in Studio erstellt haben, wird er in der Citrix Cloud-Konsole in der Liste Benutzerdefinierter Zugriff mit der zugehörigen Rolle angezeigt. Sie können ihn dann einem Administrator zuweisen.

Angenommen, Sie erstellen in Studio den Bereich CAD und wählen dann die Maschinenkataloge aus, die für CAD-Anwendungen geeignete Maschinen enthalten. Wenn Sie zur Citrix Cloud-Konsole zurückkehren, enthält die Serviceliste der Rollen-/Geltungsbereichspaare mit benutzerdefiniertem Zugriff neue Einträge (fett dargestellt):

  • Cloudadministrator, Alle
  • Bereitstellungsgruppenadministrator, Alle
  • Bereitstellungsgruppenadministrator, CAD
  • Helpdeskadministrator, Alle
  • Hostadministrator, Alle
  • Hostadministrator, CAD
  • Maschinenkatalogadministrator, Alle
  • Maschinenkatalogadministrator, CAD
  • Lesezugriff, Alle
  • Lesezugriff, CAD

Cloudadministrator und Helpdeskadministrator haben stets den Bereich “Alle”, sodass der CAD-Bereich für sie nicht gilt.

Verwalten von Geltungsbereichen

Nachdem Sie einen Geltungsbereich erstellt haben, können Sie ihn in Studio kopieren, bearbeiten oder löschen.

Klicken Sie im Studio-Navigationsbereich auf Konfiguration > Administratoren und dann auf die Registerkarte Geltungsbereiche.

  • Geltungsbereich kopieren: Wählen Sie den Geltungsbereich im mittleren Bereich aus und klicken Sie im Bereich “Aktionen” auf Geltungsbereich kopieren. Geben Sie einen Namen und eine Beschreibung ein. Ändern Sie bei Bedarf die Objekttypen und Berechtigungen.
  • Geltungsbereich bearbeiten: Wählen Sie den Geltungsbereich im mittleren Bereich aus und klicken Sie im Bereich “Aktionen” auf Geltungsbereich bearbeiten. Ändern Sie den Namen und die Beschreibung sowie die Objekttypen und Objekte nach Bedarf.
  • Geltungsbereich löschen: Wählen Sie den Geltungsbereich im mittleren Bereich aus und klicken Sie im Bereich “Aktionen” auf Geltungsbereich löschen. Bestätigen Sie die Löschung. Sie können einen Geltungsbereich nicht löschen, wenn er einer Rolle zugewiesen ist. Wenn Sie dies versuchen, wird in einer Fehlermeldung angezeigt, dass Sie hierfür keine Berechtigung haben. Der Fehler tritt auf, weil das zugehörige Rollen-/Geltungsbereichspaar einem Administrator zugewiesen ist. Heben Sie zunächst die Rollen-/Geltungsbereichspaarzuweisung für alle Administratoren auf, die sie verwenden. Danach können Sie den Geltungsbereich in Studio löschen.

Konfigurieren von benutzerdefiniertem Zugriff für einen Administrator

Wenn Sie Administratoren einladen, haben diese standardmäßig Vollzugriff.

Administratoren mit Vollzugriff können alle abonnierten Dienste sowie Kundenadministratorvorgänge in Citrix Cloud verwalten (z. B. weitere Administratoren einladen). Eine Citrix Cloud-Bereitstellung benötigt mindestens einen Administrator mit Vollzugriff.

Konfigurieren des benutzerdefinierten Zugriffs für einen Administrator:

  1. Melden Sie sich bei Citrix Cloud an, falls Sie es noch nicht getan haben. Wählen Sie im Menü links oben Identitäts- und Zugriffsverwaltung > Administratoren.
  2. Suchen Sie den gewünschten Administrator, klicken Sie auf die drei Punkte (…) und wählen Sie Zugriff bearbeiten.
  3. Wählen Sie Benutzerdefinierter Zugriff. Um einen benutzerdefinierten Zugriff im Service zu konfigurieren, aktivieren oder deaktivieren Sie die gewünschten Rollen-/Geltungsbereichspaare unter Virtual Apps and Desktops in der Liste “Benutzerdefinierter Zugriff”.

    Wenn Sie in Studio keine Bereiche erstellt und mit einer Rolle verbunden haben, gilt für jede Rolle in der Liste “Benutzerdefinierter Zugriff” der Bereich “Alle”. Der Rollen-/Geltungsbereich Bereitstellungsgruppenadministrator, Alle zeigt beispielsweise an, dass die Rolle mit dem Bereich “Alle” verbunden ist.

    Wenn Sie in Studio einen Bereich erstellt haben, wird dieser in der Liste “Benutzerdefinierter Zugriff” für den Service angezeigt und kann ausgewählt werden. Wenn Sie beispielsweise den Geltungsbereich “Catalog1” erstellen, enthält die Liste unter “Benutzerdefinierter Zugriff” neben dem Standardeintrag Maschinenkatalogadministrator, Alle auch den Eintrag Maschinenkatalogadministrator, Catalog1.

  4. Wenn ein Administrator bereits über benutzerdefinierten Zugriff verfügt und Sie ihm Vollzugriff gewähren möchten, wählen Sie Vollzugriff.
  5. Klicken Sie zum Abschluss auf Speichern.

Der folgende Screenshot zeigt die integrierten Administratorrollen mit Vollzugriff und benutzerdefiniertem Zugriff.

Benutzerdefinierte Zugriffsanzeige

Unterschiede zur On-premises-Version von Citrix Virtual Apps and Desktops

Die Serviceversion weist einige Unterschiede zur Delegierten Administration in der On-premises-Version von Citrix Virtual Apps and Desktops auf.

In Citrix Cloud:

  • Administratoren werden mit Citrix Cloud-Anmeldeinformationen und nicht über das Active Directory-Konto identifiziert. Sie können Rollen-/Geltungsbereichspaare für einzelne Active Directory-Benutzer, aber nicht für Gruppen erstellen.
  • Administratoren werden nicht in Studio, sondern in der Citrix Cloud-Konsole erstellt, konfiguriert und gelöscht.
  • Rollen-/Geltungsbereichspaare werden Administratoren nicht in Studio, sondern in der Citrix Cloud-Konsole zugewiesen.
  • Benutzerdefinierte Rollen sind nicht verfügbar. (Verwechseln Sie den “benutzerdefinierten Zugriff” nicht mit der Möglichkeit, benutzerdefinierte Rollen in der On-premises-Version zu erstellen.)
  • Berichte sind nicht verfügbar. Sie können Angaben zu Administratoren, Rollen und Geltungsbereichen in Studio anzeigen.
  • Der Cloudadministrator mit benutzerdefiniertem Zugriff ähnelt einem Volladministrator in der On-premises-Version. Beide verfügen über vollständige Verwaltungs- und Überwachungsberechtigungen für die verwendete Version von Citrix Virtual Apps und Desktops. Es gibt jedoch keine Rolle “Volladministrator” im Service. “Vollzugriff” in Citrix Cloud und “Volladministrator” in der On-premises-Version von Citrix Virtual Apps and Desktops sind nicht identisch. Vollzugriff in Citrix Cloud umfasst Domänen, Bibliothek, Benachrichtigungen und Ressourcenstandorte auf Plattformebene und alle abonnierten Dienste.

Unterschiede zu früheren Service-Releases

Vor Einführung der erweiterten Funktionen zum benutzerdefinierten Zugriff (im September 2018) gab es im Service zwei Administratorrollen mit benutzerdefiniertem Zugriff: Volladministrator und Helpdeskadministrator. Wenn die Delegierte Administration in Ihrer Bereitstellung (auf Plattformebene) aktiviert ist, werden diese Rollen automatisch zugeordnet.

  • Administratoren mit konfiguriertem benutzerdefiniertem Zugriff im Service Virtual Apps and Desktops (oder XenApp und XenDesktop): Volladministrator ist jetzt Cloudadministrator mit benutzerdefiniertem Zugriff.
  • Administratoren mit konfiguriertem benutzerdefiniertem Zugriff im Service Virtual Apps and Desktops (oder XenApp und XenDesktop): Helpdeskadministrator ist jetzt Helpdeskadministrator mit benutzerdefiniertem Zugriff.