Citrix Cloud

Autorisations Azure Active Directory pour Citrix Cloud

Cet article décrit les autorisations demandées par Citrix Cloud lors de la connexion et de l’utilisation d’Azure Active Directory (AD). Selon la façon dont Azure AD est utilisé avec le compte Citrix Cloud, une ou plusieurs applications d’entreprise peuvent être créées dans le locataire Azure AD cible. Vous pouvez connecter plusieurs comptes Citrix Cloud à un locataire Azure AD et utiliser les mêmes applications d’entreprise, sans créer d’ensemble d’applications pour chaque compte.

Remarque :

En avril 2022, l’application Azure AD utilisée par Citrix Cloud pour connecter votre instance Azure AD a été mise à jour pour utiliser l’autorisation GroupMember.Read.All au lieu de l’autorisation Group.Read.All. Si vous disposez d’une connexion Azure AD existante (avant avril 2022) et que vous souhaitez que l’application utilise la nouvelle autorisation, vous devez déconnecter, puis reconnecter votre instance Azure AD à Citrix Cloud. Cette action garantit que votre compte utilise la dernière application Azure AD dans Citrix Cloud. Pour plus d’informations, consultez Se reconnecter à Azure AD pour l’application mise à niveau.

Si vous choisissez de ne pas mettre à jour l’application, votre connexion existante continue de fonctionner normalement.

Applications d’entreprise

Le tableau suivant répertorie les applications d’entreprise Azure AD que Citrix Cloud utilise lors de la connexion et de l’utilisation d’Azure AD et la fonction de chaque application.

Nom ID de l’application Utilisation
Citrix Cloud e95c4605-aeab-48d9-9c36-1a262ef8048e Connexion de l’abonné Workspace
Citrix Cloud f9c0e999-22e7-409f-bb5e-956986abdf02 Connexion par défaut entre Azure AD et Citrix Cloud
Citrix Cloud 1b32f261-b20c-4399-8368-c8f0092b4470 Invitations et connexions d’administrateur
Citrix Cloud 5c913119-2257-4316-9994-5e8f3832265b Connexion par défaut entre Azure AD et Citrix Cloud avec Citrix Endpoint Management
Citrix Cloud e067934c-b52d-4e92-b1ca-70700bd1124e Ancienne connexion entre Azure AD et Citrix Cloud avec Citrix Endpoint Management

Autorisations

Les autorisations dans les applications d’entreprise de Citrix Cloud permettent à Citrix Cloud d’accéder à certaines données de votre locataire Azure AD. Citrix Cloud utilise ces données pour effectuer des fonctions spécifiques, telles que la connexion à votre locataire Azure AD, la possibilité pour les administrateurs de se connecter à Citrix Cloud à l’aide d’une URL de connexion dédiée et la connexion de votre locataire Azure AD à Endpoint Management. Citrix Cloud ne peut accéder à ces données qu’avec votre consentement. Ces autorisations représentent le minimum de privilèges requis par Citrix Cloud pour fonctionner avec votre Azure AD. Pour plus d’informations sur les autorisations et le consentement pour Azure AD, consultez Autorisations et consentement dans la plateforme d’identités Microsoft sur le site Web de la documentation Microsoft Azure.

Dans cet article, chaque ensemble d’autorisations d’application Azure AD inclut les informations suivantes :

  • Nom de l’API : applications de ressources auprès desquelles Citrix Cloud demande des autorisations. Ces applications sont Microsoft Graph et Windows Azure Active Directory. Citrix Cloud demande les mêmes autorisations à ces deux applications de ressources.
  • Type : niveaux d’accès requis par Citrix Cloud pour une autorisation donnée. Les autorisations d’une application d’entreprise donnée peuvent avoir l’un des niveaux d’accès suivants :
    • Les autorisations déléguées sont utilisées pour agir au nom d’un utilisateur connecté, par exemple lors de l’interrogation du profil de l’utilisateur.
    • Les autorisations d’application sont utilisées lorsque l’application exécute une action sans la présence de l’utilisateur, par exemple lors de l’interrogation d’utilisateurs au sein d’un groupe particulier. Ce type d’autorisation nécessite le consentement d’un administrateur général dans Azure AD.
  • Valeur de revendication : chaîne d’informations qu’Azure AD attribue à une autorisation donnée. Les autorisations d’une application d’entreprise donnée peuvent avoir l’une des valeurs de revendication suivantes :
    • User.Read : permet aux administrateurs Citrix Cloud d’ajouter des utilisateurs de l’instance Azure AD connectée en tant qu’administrateurs sur le compte Citrix Cloud.
    • User.ReadBasic.All : collecte des informations de base à partir du profil de l’utilisateur. Il s’agit d’un sous-ensemble de User.Read.All, mais l’autorisation elle-même est conservée pour la rétrocompatibilité.
    • User.Read.All : Citrix Cloud appelle List users dans Microsoft Graph pour permettre la recherche et la sélection d’utilisateurs de l’instance Azure AD connectée du client. Par exemple, les utilisateurs d’Azure AD peuvent avoir accès à une ressource Citrix DaaS avec l’espace de travail. Citrix Cloud ne peut pas utiliser User.ReadBasic.All car Citrix Cloud doit accéder à des propriétés en dehors du profil de base telles que onPremisesSecurityIdentifier.
    • GroupMember.Read.All : Citrix Cloud appelle List groups dans Microsoft Graph pour permettre la recherche et la sélection de groupes de l’instance Azure AD connectée du client. Par exemple, les groupes d’Azure AD peuvent également avoir accès aux applications Citrix DaaS.
    • Directory.Read.All : Citrix Cloud appelle List memberOf dans Microsoft Graph pour obtenir l’appartenance à un groupe de l’utilisateur, car Groups.Read.All ne suffit pas.
    • DeviceManagementApps.ReadWrite.All : permet à Citrix Cloud de lire et d’écrire les propriétés, les attributions de groupe, l’état des applications, les configurations d’applications et les stratégies de protection des applications gérées par Microsoft Intune.
    • Directory.AccessAsUser.All : permet à Citrix Cloud d’avoir le même accès aux informations de répertoire que l’utilisateur connecté.

Remarque :

Directory.Read.All s’applique uniquement à la connexion par défaut entre Azure AD et Citrix Cloud avec Endpoint Management.

Connexion de l’abonné Workspace

Cette application Citrix Cloud (ID : e95c4605-aeab-48d9-9c36-1a262ef8048e) utilise les autorisations suivantes :

API Name Valeur de revendication Nom de l’autorisation Type
Microsoft Graph User.Read Connecter et lire le profil utilisateur Délégué

Connexion par défaut entre Azure AD et Citrix Cloud

Cette application Citrix Cloud (ID : f9c0e999-22e7-409f-bb5e-956986abdf02) utilise les autorisations suivantes :

API Name Valeur de revendication Autorisation Type
Microsoft Graph GroupMember.Read.All Lire tous les groupes Délégué
Microsoft Graph User.ReadBasic.All Lire les profils de base de tous les utilisateurs Délégué
Microsoft Graph User.Read.All Lire les profils complets de tous les utilisateurs Délégué
Microsoft Graph User.Read Connecter et lire le profil utilisateur Délégué
Microsoft Graph GroupMember.Read.All Lire tous les groupes Application
Microsoft Graph User.Read.All Lire les profils complets de tous les utilisateurs Application
Microsoft Graph User.Read Connecter et lire le profil utilisateur Application

Invitations et connexions d’administrateur

Cette application Citrix Cloud (ID : 1b32f261-b20c-4399-8368-c8f0092b4470) utilise les autorisations suivantes :

API Name Valeur de revendication Nom de l’autorisation Type
Microsoft Graph User.Read Connecter et lire le profil utilisateur Délégué
Microsoft Graph User.ReadBasic.All Lire les profils de base de tous les utilisateurs Délégué

Connexion par défaut entre Azure AD et Citrix Cloud avec Endpoint Management

Cette application Citrix Cloud (ID : 5c913119-2257-4316-9994-5e8f3832265b) utilise les autorisations suivantes :

API Name Valeur de revendication Nom de l’autorisation Type
Microsoft Graph GroupMember.Read.All Lire tous les groupes Délégué
Microsoft Graph User.ReadBasic.All Lire les profils de base de tous les utilisateurs Délégué
Microsoft Graph User.Read Connecter et lire le profil utilisateur Délégué
Microsoft Graph Directory.Read.All Lire les données de répertoire Application
Microsoft Graph Directory.Read.All Lire les données de répertoire Délégué
Microsoft Graph DeviceManagementApps.ReadWrite.All Lire et écrire des applications Microsoft Intune Délégué
Microsoft Graph Directory.AccessAsUser.All Accéder au répertoire en tant qu’utilisateur connecté Délégué

Connexion d’ancienne génération entre Azure AD et Citrix Cloud avec Endpoint Management

Cette application Citrix Cloud (ID : e067934c-b52d-4e92-b1ca-70700bd1124e) utilise les autorisations suivantes :

API Name Valeur de revendication Nom de l’autorisation Type
Microsoft Graph GroupMember.Read.All Lire tous les groupes Délégué
Microsoft Graph User.ReadBasic.All Lire les profils de base de tous les utilisateurs Délégué
Microsoft Graph User.Read Connecter et lire le profil utilisateur Délégué
Microsoft Graph DeviceManagementApps.ReadWrite.All Lire et écrire des applications Microsoft Intune Délégué
Microsoft Graph Directory.AccessAsUser.All Accéder au répertoire en tant qu’utilisateur connecté Délégué
Autorisations Azure Active Directory pour Citrix Cloud