Citrix DaaS

Administration déléguée

Vue d’ensemble

L’administration déléguée de Citrix Cloud vous permet de configurer les autorisations d’accès requises par tous vos administrateurs conformément à leur rôle dans votre organisation.

Par défaut, les administrateurs ont un accès complet. Cette configuration permet d’accéder à toutes les fonctions d’administration et de gestion client disponibles dans Citrix Cloud, ainsi qu’à tous les services souscrits. Pour personnaliser l’accès d’un administrateur :

  • Configurez un accès personnalisé pour les autorisations de gestion générale d’un administrateur dans Citrix Cloud.
  • Configurez un accès personnalisé pour les services souscrits. Dans Citrix DaaS, vous pouvez configurer un accès personnalisé lorsque vous invitez un nouvel administrateur. Vous pouvez modifier l’accès d’un administrateur ultérieurement.

Pour plus d’informations sur l’affichage de la liste des administrateurs et la définition des autorisations d’accès, consultez Ajouter des administrateurs à un compte Citrix Cloud.

Cet article explique comment configurer l’accès personnalisé dans Citrix DaaS.

Administrateurs, rôles et étendues

L’administration déléguée utilise trois concepts pour l’accès personnalisé : les administrateurs, les rôles et les étendues.

  • Administrateurs : un administrateur représente une personne identifiée par sa connexion Citrix Cloud, qui est généralement une adresse électronique. Chaque administrateur est associé à une ou plusieurs paires rôle/étendue.
  • Rôles : un rôle représente une fonction de tâche à laquelle des permissions sont associées. Ces autorisations permettent certaines tâches uniques à Citrix DaaS. Par exemple, le rôle Administrateur du groupe de mise à disposition est autorisé à créer un groupe de mise à disposition et à supprimer un bureau d’un groupe de mise à disposition, et dispose d’autres autorisations associées. Un administrateur peut avoir plusieurs rôles. Un administrateur peut être Administrateur du groupe de mise à disposition et Administrateur du catalogue de machines.

    Citrix DaaS offre plusieurs rôles intégrés avec accès personnalisé. Vous ne pouvez pas modifier les autorisations de ces rôles intégrés, ni supprimer ces rôles.

    Vous pouvez créer vos propres rôles d’accès personnalisés correspondants aux besoins de votre organisation et déléguer des autorisations avec plus de détails. Utilisez les rôles personnalisés pour allouer des autorisations à la précision d’une action ou d’une tâche. Vous pouvez supprimer un rôle personnalisé uniquement s’il n’est pas affecté à un administrateur.

    Vous pouvez modifier les rôles attribués à un administrateur.

    Un rôle est toujours associé à une étendue.

  • Étendues : une étendue représente une collection d’objets. Les étendues permettent de regrouper des objets de manière pertinente pour votre organisation. Les objets peuvent être dans plusieurs étendues.

    Il existe une étendue intégrée appelée « Tous » qui contient tous les objets. Les administrateurs Citrix Cloud et Service d’assistance sont toujours associés à l’étendue Tous. Cette étendue ne peut pas être modifiée pour ces administrateurs.

    Lorsque vous invitez (ajoutez) un administrateur pour ce service, un rôle est toujours associé à une étendue (par défaut, l’étendue Tous).

    Les étendues sont créées et supprimées dans l’interface Gérer > Configuration complète. Les paires rôle/étendue sont affectées dans la console Citrix Cloud.

    Une étendue n’est pas affichée pour les administrateurs avec accès complet. Par définition, ces administrateurs ont accès à tous les objets de services d’abonnements et Citrix Cloud gérés par le client.

Étendues et rôles intégrés

Citrix DaaS possède les rôles intégrés suivants.

  • Administrateur Cloud : peut effectuer toutes les tâches pouvant être lancées à partir de Citrix DaaS.

    Peut voir les onglets Gérer et Surveiller dans la console. Ce rôle est toujours combiné à l’étendue Tous. Vous ne pouvez pas changer l’étendue.

    Le nom de ce rôle peut porter à confusion. Un administrateur cloud avec accès personnalisé ne peut pas effectuer de tâches de niveau Citrix Cloud (les tâches Citrix Cloud nécessitent un accès complet).

  • Administrateur en lecture seule : peut afficher tous les objets dans les étendues spécifiées (en plus des informations générales), mais ne peut rien modifier. Par exemple, un administrateur en lecture seule avec l’étendue = Londres peut voir tous les objets globaux et les objets appartenant à l’étendue Londres (par exemple, les groupes de mise à disposition Londres). Toutefois, cet administrateur ne peut pas afficher d’objets dans l’étendue New York (en supposant que les étendues Londres et New York ne se chevauchent pas).

    Peut voir l’onglet Gérer dans la console. Ne peut pas voir l’onglet Surveiller. Vous pouvez changer l’étendue.

  • Administrateur du service d’assistance : peut afficher des groupes de mise à disposition et gérer les sessions et les machines associées à ces groupes. Peut afficher le catalogue de machines et les informations d’hôte des groupes de mise à disposition en cours de surveillance. Peut également effectuer des opérations de gestion de session et de gestion de l’alimentation de la machine pour les machines figurant dans ces groupes de mise à disposition.

    Peut voir l’onglet Surveiller dans la console. Ne peut pas voir l’onglet Gérer. Ce rôle est toujours combiné à l’étendue Tous. Vous ne pouvez pas changer l’étendue.

  • Administrateur du catalogue de machines : peut créer et gérer des catalogues de machines et y provisionner les machines. Peut gérer les images de base et installer le logiciel, mais ne peut pas assigner les applications ou bureaux aux utilisateurs.

    Peut voir l’onglet Gérer dans la console. Ne peut pas voir l’onglet Surveiller. Vous pouvez changer l’étendue.

  • Administrateur du groupe de mise à disposition : peut mettre à disposition des applications, des bureaux et des machines. Peut également gérer les sessions associées. Il peut gérer les configurations d’applications et de bureaux, telles que les stratégies et les paramètres de gestion de l’alimentation.

    Peut voir l’onglet Gérer dans la console. Ne peut pas voir l’onglet Surveiller. Vous pouvez changer l’étendue.

  • Administrateur hôte : peut gérer les connexions hôtes et leurs paramètres de ressources associés. Impossible de mettre à disposition des machines, applications ou bureaux aux utilisateurs.

    Peut voir l’onglet Gérer dans la console. Ne peut pas voir l’onglet Surveiller. Vous pouvez changer l’étendue.

  • Session Administrator : peut afficher les groupes de mise à disposition surveillés et gérer leurs sessions et machines associées.

    Peut voir l’onglet Surveiller dans la console. Ne peut pas voir l’onglet Gérer. Vous ne pouvez pas changer l’étendue.

  • Full Administrator : peut effectuer toutes les tâches et toutes les opérations. Un administrateur complet est toujours associé à l’étendue Toutes les étendues.

    Peut voir les onglets Gérer et Surveiller dans la console. Ce rôle est toujours combiné à l’étendue Toutes les étendues. Vous ne pouvez pas changer l’étendue.

  • Full Monitor Administrator : a un accès complet à toutes les vues et commandes de l’onglet Surveiller.

    Peut voir l’onglet Surveiller dans la console. Ne peut pas voir l’onglet Gérer. Vous ne pouvez pas changer l’étendue.

  • Probe Agent Administrator : a accès aux API de Probe Agent.

    Peut voir l’onglet Surveiller dans la console. Ne peut pas voir l’onglet Gérer. A accès en lecture seule à la page Applications, mais ne peut accéder à aucune autre vue.

Le tableau suivant récapitule les onglets de la console visibles pour chaque rôle avec accès personnalisé dans Citrix DaaS et indique si le rôle peut être utilisé avec des étendues personnalisées.

Rôle administrateur à accès personnalisé Peut voir l’onglet Gérer dans la console ? Peut voir l’onglet Surveiller dans la console ? Le rôle peut-il être utilisé avec des étendues personnalisées ?
Administrateur Cloud Oui Oui Non
Administrateur en lecture seule Oui Non Oui
Administrateur du support technique Non Oui Non
Administrateur du catalogue de machines Oui Non Oui
Administrateur de groupe de mise à disposition Oui Non Oui
Administrateur d’hôte Oui Non Oui
Session Administrator Non Oui Non
Administrateur complet Oui Oui Non
Full Monitor Administrator Non Oui Non
Administrateur Probe Agent Non Oui Non

Remarque :

Les rôles d’administrateur avec accès personnalisé, à l’exception d’Administrateur Cloud et Administrateur du service d’assistance, ne sont pas disponibles pour Citrix Virtual Apps and Desktops Standard for Azure, Virtual Apps Essentials, and Virtual Desktops Essentials.

Pour afficher les autorisations associées à un rôle :

  1. Connectez-vous à Citrix Cloud. Sélectionnez Mes services > DaaS dans le menu supérieur gauche.
  2. Dans Gérer > Configuration complète, sélectionnez Administrateurs dans le volet gauche.
  3. Sélectionnez l’onglet Rôles .
  4. Sélectionnez un rôle dans le volet central supérieur. L’onglet Définition du rôle dans le volet inférieur répertorie les catégories et les autorisations. Sélectionnez une catégorie pour voir les autorisations spécifiques. L’onglet Administrateurs répertorie les administrateurs auxquels le rôle sélectionné a été attribué.

    Problème connu : une entrée Administrateur complet n’affiche pas le jeu d’autorisations correct pour un administrateur Citrix DaaS à accès complet.

Nombre d’administrateurs dont vous avez besoin

En général, le nombre d’administrateurs et la granularité de leurs autorisations dépendent de la taille et de la complexité du déploiement.

  • Dans les déploiements de petite taille ou de preuve de concept, toutes les tâches sont effectuées par un ou plusieurs administrateurs. Il n’y a pas de délégation d’accès personnalisée. Dans ce cas, chaque administrateur dispose d’un accès complet, qui a toujours l’étendue Tous.
  • Dans les déploiements plus importants avec plus d’ordinateurs, d’applications et de bureaux, une plus grande délégation est nécessaire. Plusieurs administrateurs ont peut-être des responsabilités fonctionnelles plus spécifiques (rôles). Par exemple, deux ont un accès complet et les autres sont des administrateurs du service d’assistance. En outre, un administrateur peut ne gérer que certains groupes d’objets (étendues), tels que des catalogues de machines dans un certain département. Dans ce cas, créez de nouvelles étendues, ainsi que des administrateurs avec le rôle à accès personnalisé et les étendues appropriés.

Résumé de la gestion des administrateurs

La configuration des administrateurs pour Citrix DaaS suit cette séquence :

  1. Si vous souhaitez que l’administrateur ait un rôle autre qu’un administrateur complet (qui couvre tous les services souscrits dans Citrix Cloud) ou un rôle intégré, créez un rôle personnalisé.

  2. Si vous souhaitez que l’administrateur ait une étendue autre que Tous (et qu’une autre étendue est autorisée pour le rôle prévu mais qu’elle n’a pas encore été créée), créez des étendues.

  3. Depuis Citrix Cloud, invitez un administrateur. Si vous souhaitez que le nouvel administrateur dispose d’un accès autre que l’accès complet par défaut, spécifiez une paire rôle d’accès/étendue personnalisée.

Plus tard, si vous voulez changer l’accès d’un administrateur (rôles et étendue), voir Configurer un accès personnalisé.

Ajouter un administrateur

Pour ajouter (inviter) des administrateurs, suivez les instructions Ajouter des administrateurs à un compte Citrix Cloud. Un sous-ensemble de ces informations est repris ici.

Important :

Ne confondez pas « personnalisé » et « accès personnalisé ».

  • Lors de la création d’administrateurs et de l’attribution de rôles pour Citrix DaaS dans la console Citrix Cloud, le terme « accès personnalisé » inclut à la fois les rôles intégrés et les rôles personnalisés supplémentaires créés dans l’interface Gérer > Configuration complète du service.
  • Dans l’interface Gérer > Configuration complète du service, « personnalisé » différencie simplement ce rôle d’un rôle intégré.

Le workflow général pour l’ajout d’administrateurs est le suivant :

  1. Connectez-vous à Citrix Cloud, puis sélectionnez Gestion des identités et des accès dans le menu supérieur gauche.

  2. Sur la page Gestion des identités et des accès, sélectionnez Administrateurs. L’onglet Administrateurs répertorie tous les administrateurs actuels du compte.

  3. Dans l’onglet Administrateurs, sélectionnez votre type d’identité, saisissez l’adresse e-mail de l’administrateur, puis cliquez sur Inviter.

  • Sélectionnez Accès complet si vous souhaitez que l’administrateur dispose d’un accès complet. De cette façon, l’administrateur peut accéder à toutes les fonctions d’administrateur client dans Citrix Cloud et à tous les services auxquels il est abonné.
  • Sélectionnez Accès personnalisé si vous souhaitez que l’administrateur dispose d’un accès limité. Vous pouvez ensuite sélectionner un rôle d’accès personnalisé et une paire d’étendue. De cette façon, l’administrateur dispose des autorisations prévues lorsqu’il se connecte à Citrix Cloud.
  1. Cliquez sur Envoyer invitation. Citrix Cloud envoie une invitation à l’adresse e-mail et ajoute l’administrateur à la liste une fois que l’administrateur a terminé l’intégration.

Lors de la réception de l’e-mail, l’administrateur clique sur le lien Se connecter pour accepter l’invitation.

Pour plus d’informations sur l’ajout d’administrateurs, consultez Gérer les administrateurs Citrix Cloud.

Vous pouvez également accéder à Gérer > Configuration complète > Administrateurs > Administrateurs et cliquer sur Ajouter un administrateur. Vous accédez directement à Gestion des identités et des accès > Administrateurs, qui s’ouvre dans un nouvel onglet de navigateur. Une fois que vous avez fini d’y ajouter des administrateurs, fermez l’onglet et revenez à la console pour poursuivre vos autres tâches de configuration.

Créer et gérer les rôles

Lorsque les administrateurs créent ou modifient un rôle, ils ne peuvent activer que les autorisations dont ils disposent eux-mêmes. Cela empêche les administrateurs de créer un rôle avec plus d’autorisations qu’ils ne disposent actuellement, puis de l’attribuer à eux-mêmes (ou de modifier un rôle qui leur est déjà attribué).

Les noms de rôle personnalisés peuvent contenir jusqu’à 64 caractères Unicode. Les noms ne peuvent pas contenir les caractères suivants : barre oblique inverse, barre oblique, point-virgule, deux-points, symbole de la livre, virgule, astérisque, point d’interrogation, signe égal, flèche gauche, flèche droite, barre verticale, crochet gauche ou droit, parenthèse gauche ou droite, guillemets et apostrophe.

Les descriptions de rôle peuvent contenir jusqu’à 256 caractères Unicode.

  1. Connectez-vous à Citrix Cloud si vous ne l’avez pas déjà fait. Sélectionnez Mes services > DaaS dans le menu supérieur gauche.
  2. Dans Gérer > Configuration complète, sélectionnez Administrateurs dans le volet gauche.
  3. Sélectionnez l’onglet Rôles .
  4. Suivez les instructions relatives à la tâche que vous souhaitez effectuer :

    • Afficher les détails d’un rôle : sélectionnez le rôle dans le volet central. La partie inférieure du panneau central répertorie les types d’objets et les autorisations associées pour le rôle. Sélectionnez l’onglet Administrateurs dans le volet inférieur pour afficher une liste des administrateurs détiennent actuellement ce rôle.
    • Pour créer un rôle personnalisé : sélectionnez Créer un rôle dans la barre d’actions. Configurez les paramètres comme suit :

      • Entrez un nom et une description.
      • Configurez l’accès aux consoles. Déterminez quelles consoles sont visibles par les administrateurs. Vous pouvez continuer sans sélectionner de console. Dans ce cas, les administrateurs ayant le rôle ne peuvent pas accéder à Gérer et Surveiller, mais peuvent accéder à des objets, les afficher ou les gérer via des kits SDK et des API.
      • Sélectionnez les types d’objets et les autorisations. Pour accorder l’autorisation d’accès complet à un type d’objet, activez sa case à cocher. Pour accorder une autorisation à un niveau granulaire, développez le type d’objet, puis sélectionnez Lecture seule ou des objets individuels sous Gérer dans le type.

      Boîte de dialogue Créer un rôle

    • Copier un rôle : sélectionnez le rôle dans le volet central, puis sélectionnez Copier rôle dans la barre d’actions. Modifiez le nom, la description, les types d’objet et les autorisations nécessaires. Lorsque vous avez terminé, sélectionnez Enregistrer.
    • Modifier un rôle personnalisé : sélectionnez le rôle dans le volet central, puis sélectionnez Modifier un rôle dans la barre d’actions. Modifiez le nom, la description, les types d’objet et les autorisations nécessaires. Vous ne pouvez pas modifier un rôle intégré. Lorsque vous avez terminé, sélectionnez Enregistrer.
    • Supprimer un rôle personnalisé : sélectionnez le rôle dans le volet central, puis sélectionnez Supprimer un rôle dans la barre d’actions. Lorsque vous y êtes invité, confirmez la suppression. Vous ne pouvez pas supprimer un rôle intégré. Vous ne pouvez pas supprimer un rôle personnalisé s’il est affecté à un administrateur.

Créer et gérer des étendues

Par défaut, tous les rôles ont l’étendue Tous pour leurs objets pertinents. Par exemple, un administrateur de groupe de mise à disposition peut gérer tous les groupes de mise à disposition. Pour certains rôles d’administrateur, vous pouvez créer une étendue permettant à ce rôle d’administrateur d’accéder à un sous-ensemble d’objets pertinents. Par exemple, vous pouvez souhaiter donner à un administrateur de catalogue de machines un accès aux catalogues contenant un certain type de machines uniquement, plutôt qu’à tous les catalogues.

  • Les administrateurs avec accès complet ou les administrateurs cloud avec accès personnalisé peuvent créer des étendues pour les rôles Administrateur en lecture seule, Administrateur du catalogue de machines, Administrateur du groupe de mise à disposition et Administrateur hôte.
  • Des étendues ne peuvent pas être créées pour les administrateurs avec accès complet, ni pour les administrateurs cloud ou les administrateurs du centre d’assistance. Ces administrateurs ont toujours l’étendue Tous.

Règles de création et de gestion des étendues :

  • Les noms d’étendue peuvent contenir jusqu’à 64 caractères Unicode. Les noms ne peuvent pas contenir les caractères suivants : barre oblique inverse, barre oblique, point-virgule, deux-points, symbole de la livre, virgule, astérisque, point d’interrogation, signe égal, flèche gauche ou droite, barre verticale, crochet gauche ou droit, parenthèse gauche ou droite, guillemets et apostrophe.
  • Les descriptions d’étendues peuvent contenir jusqu’à 256 caractères unicode.
  • Lorsque vous copiez ou modifiez une étendue, n’oubliez pas que la suppression des objets dans l’étendue peut rendre ces objets inaccessibles à un administrateur. Si l’étendue modifiée est associée à un ou plusieurs rôles, assurez-vous que les mises à jour que vous apportez à l’étendue ne rendent pas une paire rôle/étendue inutilisable.

Pour créer et gérer des étendues :

  1. Connectez-vous à Citrix Cloud. Sélectionnez Mes services > DaaS dans le menu supérieur gauche.
  2. Dans Gérer > Configuration complète, sélectionnez Administrateurs dans le volet gauche.
  3. Sélectionnez l’onglet Étendues .
  4. Suivez les instructions relatives à la tâche que vous souhaitez effectuer :

    • Afficher les détails de l’étendue : sélectionnez l’étendue. La partie inférieure du panneau répertorie les objets et les administrateurs disposant de cette étendue.
    • Créer une étendue : sélectionnez Créer une étendue dans la barre d’actions. Entrez un nom et une description. Les objets sont répertoriés par type, tels que le groupe de mise à disposition et le catalogue de machines.
      • Pour inclure tous les objets d’un type particulier (par exemple, tous les groupes de mise à disposition), sélectionnez la case du type d’objet.
      • Pour inclure des objets individuels d’un type donné, développez le type, puis sélectionnez les cases des objets individuels (par exemple, des groupes de mise à disposition spécifiques).
      • Pour créer un client locataire, activez la case à cocher Étendue du locataire. Si cette option est sélectionnée, le nom que vous avez saisi pour l’étendue est le nom du locataire. Pour plus d’informations sur l’étendue du locataire, consultez Gestion des locataires.

      Lorsque vous avez terminé, sélectionnez OK.

      Boîte de dialogue Créer une étendue

    • Copier une étendue : sélectionnez l’étendue dans le volet central, puis sélectionnez Copier étendue dans la barre d’actions. Modifiez le nom, la description. Modifiez les types d’objets et les objets, si nécessaire. Lorsque vous avez terminé, sélectionnez Enregistrer.
    • Modifier une étendue : sélectionnez l’étendue dans le volet central, puis sélectionnez Modifier l’étendue dans la barre d’actions. Modifiez le nom, la description, les types d’objet et les objets, si nécessaire. Lorsque vous avez terminé, sélectionnez Enregistrer.
    • Supprimer une étendue : sélectionnez l’étendue dans le volet central, puis sélectionnez Supprimer l’étendue dans la barre d’actions. Lorsque vous y êtes invité, confirmez la suppression.

      Vous ne pouvez pas supprimer une étendue si elle est affectée à un rôle. Si vous tentez de le faire, un message d’erreur indique que vous ne disposez pas de l’autorisation. En fait, l’erreur se produit parce que la paire rôle/étendue qui utilise cette étendue est attribuée à un administrateur. Supprimez d’abord l’attribution de cette paire rôle/étendue pour tous les administrateurs qui l’utilisent. Supprimez ensuite l’étendue dans la console Gérer.

Une fois que vous avez créé une étendue, elle apparaît dans la liste Accès personnalisé dans la console Citrix Cloud, associée au rôle approprié. Vous pouvez ensuite l’attribuer à un administrateur.

Par exemple, supposons que vous créez une étendue nommée CAO, puis que vous sélectionnez les catalogues contenant des machines adaptées aux applications de CAO. Lorsque vous revenez à la console Citrix Cloud, la liste des paires rôle/étendue à accès personnalisé au niveau du service contient désormais de nouvelles entrées (indiquées en gras) :

  • Administrateur Cloud, Tous
  • Administrateur du groupe de mise à disposition, Tous
  • Administrateur du groupe de mise à disposition, CAO
  • Administrateur du service d’assistance, Tous
  • Administrateur hôte, Tous
  • Administrateur hôte, CAO
  • Administrateur du catalogue de machines, Tous
  • Administrateur du catalogue de machines, CAO
  • Lecture seule, Tous
  • Lecture seule, CAO

L’administrateur Cloud et l’administrateur du centre d’assistance ont toujours l’étendue Tous, donc l’étendue CAO ne s’applique pas à eux.

Gestion des locataires

À l’aide de l’interface de gestion Configuration complète, vous pouvez créer des locataires mutuellement exclusifs sous un seul Citrix DaaS. Pour ce faire, créez des étendues de locataire dans Administrateurs > Étendues et associez des objets de configuration associés, tels que des catalogues de machines et des groupes de mise à disposition, à ces locataires. Par conséquent, les administrateurs ayant accès à un client peuvent gérer uniquement les objets associés au locataire.

Cette fonctionnalité est utile, par exemple, si votre organisation :

  • dispose de différents silos métier (divisions indépendantes ou équipes de gestion informatique distinctes) ou
  • possède plusieurs sites et souhaite conserver la même configuration dans une seule instance Citrix DaaS.

L’interface vous permet de filtrer les clients locataires par nom. Par défaut, l’interface affiche des informations sur tous les clients locataires. Pour afficher des informations sur un locataire spécifique, sélectionnez ce locataire dans la liste située dans le coin supérieur droit.

Créer un client locataire

Pour créer un client locataire, sélectionnez Étendue du locataire lors de la création d’une étendue. En sélectionnant cette option, vous créez un type d’étendue unique qui s’applique aux objets dans les scénarios où vous partagez une instance Citrix DaaS entre différentes unités commerciales, chacune de ces unités commerciales étant indépendante des autres. Une fois que vous avez créé une étendue de locataire, vous ne pouvez pas modifier le type d’étendue.

Créer un client locataire

L’onglet Étendues affiche tous les éléments d’étendue. La seule différence entre les étendues standard et les étendues du locataire se trouve dans la colonne Type. Un champ de colonne vide indique une étendue normale. Vous pouvez cliquer sur la colonne Type pour trier les éléments d’étendue si nécessaire.

Pour afficher les ressources (objets) attachées à une étendue, sélectionnez Administrateurs dans le volet gauche. Sous l’onglet Étendues, sélectionnez l’étendue, puis sélectionnez Modifier l’étendue dans la barre d’actions.

Conseil :

La propriété du locataire est attribuée au niveau de l’étendue. Les catalogues de machines, les groupes de mise à disposition, les applications et les connexions héritent de la propriété du locataire de l’étendue applicable.

Lorsque vous utilisez une étendue de locataire, tenez compte des points suivants :

  • La propriété du locataire est attribuée dans l’ordre suivant : Hébergement > Catalogues de machines > Groupes de mise à disposition > Applications. Les objets de niveau inférieur dépendent d’objets de niveau supérieur pour hériter de la propriété du locataire. Par exemple, lorsque vous sélectionnez un groupe de mise à disposition, vous devez sélectionner l’hébergement et le catalogue de machines associés. Sinon, le groupe de mise à disposition ne peut pas hériter de la propriété du locataire.
  • Après avoir créé une étendue de locataire, vous pouvez modifier les attributions de locataires en modifiant les objets. Lorsqu’une attribution de locataire est modifiée, elle est toujours soumise à la contrainte selon laquelle elle doit être attribuée aux mêmes locataires ou à un sous-ensemble de ces locataires. Toutefois, les objets de niveau inférieur ne sont pas réévalués lorsque les attributions de locataires changent. Assurez-vous que la restriction des objets est correctement appliquée lorsque vous modifiez les attributions de locataires. Par exemple, si un catalogue de machines est disponible pour TenantA et TenantB, vous pouvez créer un groupe de mise à disposition pour TenantA et un pour TenantB. (TenantA et TenantB sont tous deux associés à ce catalogue de machines.) Vous pouvez ensuite modifier le catalogue de machines pour qu’il soit associé uniquement à TenantA. Par conséquent, le groupe de mise à disposition associé à TenantB devient non valide.

Configurer un accès personnalisé pour les administrateurs

Après avoir créé des étendues de locataires, configurez un accès personnalisé pour les administrateurs respectifs. Pour plus d’informations, consultez Configurer un accès personnalisé pour un administrateur. Citrix Cloud envoie une invitation aux administrateurs clients que vous avez spécifiés et les ajoute à la liste. Lorsqu’ils reçoivent l’e-mail, ils cliquent sur Se connecter pour accepter l’invitation. Lorsqu’ils ouvrent une session sur l’interface de gestion Configuration complète, ils voient les ressources associées aux paires rôle/étendue attribuées.

Configurer un accès personnalisé pour les clients locataires

Les administrateurs ayant accès à un locataire peuvent gérer uniquement les objets (par exemple, catalogue de machines, groupe de mise à disposition) associés au locataire.

Configurer un accès personnalisé pour un administrateur

Cette fonctionnalité vous permet de configurer les autorisations d’accès des administrateurs existants ou des administrateurs que vous invitez en fonction de leur rôle dans votre organisation.

Les modifications apportées aux autorisations d’accès prennent effet au bout de 5 minutes. Si vous vous déconnectez de l’interface de gestion Configuration complète puis que vous vous y reconnectez, les modifications prennent effet immédiatement. Dans les scénarios où les administrateurs continuent d’utiliser l’interface de gestion après que les modifications ont pris effet sans s’y reconnecter, un avertissement s’affiche lorsqu’ils tentent d’accéder aux éléments pour lesquels ils ne disposent plus d’autorisations.

Par défaut, lorsque vous invitez des administrateurs, ils disposent d’un accès complet.

Rappel : l’accès complet permet à l’administrateur de gérer tous les services souscrits, ainsi que les opérations Citrix Cloud de l’administrateur client (telles que l’invitation d’administrateurs supplémentaires). Un déploiement Citrix Cloud nécessite au moins un administrateur avec un accès complet.

Pour configurer un accès personnalisé pour un administrateur :

  1. Connectez-vous à Citrix Cloud. Sélectionnez Gestion des identités et des accès > Administrateurs dans le menu en haut à gauche.
  2. Recherchez l’administrateur que vous souhaitez gérer, cliquez sur le menu d’ellipse et sélectionnez Modifier l’accès.
  3. Sélectionnez Accès personnalisé. Pour configurer un accès personnalisé spécifique à un service, sous Virtual Apps and Desktops, cochez ou décochez les cases en regard d’une ou de plusieurs paires de rôles et d’étendues dans la liste d’accès personnalisé.

    Si vous n’avez créé aucune étendue ni affecté aucune à aucun rôle, tous les rôles de la liste Accès personnalisé ont l’étendue Tous. Par exemple, l’entrée rôle/étendue Administrateur du groupe de mise à disposition, Tous indique que le rôle a l’étendue Tous.

    Lorsque vous créez un rôle ou une étendue, il/elle apparaît dans la liste d’accès personnalisés de Citrix DaaS et peut être sélectionné(e). Par exemple, si vous avez créé une étendue nommée Catalog1, la liste d’accès personnalisé comprend une entrée Administrateur du catalogue de machines, Catalog1, en plus de l’entrée par défaut Administrateur du catalogue de machines, Tous.

  4. Si l’administrateur que vous modifiez dispose déjà d’un accès personnalisé et que vous souhaitez lui accorder un accès complet, sélectionnez Accès complet.
  5. Lorsque vous avez terminé, sélectionnez Enregistrer.

La capture d’écran suivante montre les rôles d’administrateur intégrés avec accès complet et accès personnalisé.

Affichage d'accès personnalisé

Différences par rapport à Citrix Virtual Apps and Desktops sur site

Si vous connaissez l’administration déléguée dans Citrix Virtual Apps and Desktops sur site, la version de Citrix DaaS présente plusieurs différences.

Dans Citrix Cloud :

  • Les administrateurs sont identifiés par leur connexion Citrix Cloud, plutôt que par leur compte Active Directory. Vous pouvez créer des paires rôle/étendue pour des individus Active Directory, mais pas pour des groupes.
  • Les administrateurs sont créés, configurés et supprimés dans la console Citrix Cloud, plutôt que dans Citrix DaaS.
  • Les paires rôle/étendue sont attribuées aux administrateurs dans la console Citrix Cloud, plutôt que dans Citrix DaaS.
  • Les rapports ne sont pas disponibles. Vous pouvez afficher les informations d’administrateur, de rôle et d’étendue dans l’interface Gérer > Configuration complète du service.
  • L’accès personnalisé Administrateur Cloud est similaire à un administrateur complet dans la version locale. Les deux disposent d’autorisations complètes de gestion et de surveillance pour la version Citrix Virtual Apps and Desktops utilisée.

    Toutefois, dans Citrix DaaS, il n’existe aucun rôle d’administrateur complet nommé. N’associez pas « accès complet » dans Citrix Cloud à « administrateur complet » dans Citrix Virtual Apps and Desktops sur site. L’accès complet dans Citrix Cloud s’étend aux domaines, à la bibliothèque, aux notifications et aux emplacements de ressources de la plate-forme, ainsi qu’à tous les services auxquels vous êtes abonné.

Différences par rapport aux versions de Citrix DaaS antérieures

Avant la publication de la fonctionnalité d’accès personnalisé étendue (septembre 2018), il y avait deux rôles d’administrateur avec accès personnalisé : Administrateur complet et Administrateur du centre d’assistance. Lorsque l’administration déléguée est activée dans votre déploiement (ce qui correspond à un paramètre de plate-forme), ces rôles sont automatiquement mappés.

  • Un administrateur qui était auparavant configuré en tant que Virtual Apps and Desktops (ou XenApp and XenDesktop) : Administrateur complet avec accès personnalisé est maintenant un Administrateur Cloud avec accès personnalisé.
  • Un administrateur qui était auparavant configuré en tant que Virtual Apps and Desktops (ou XenApp and XenDesktop) : Administrateur du centre d’assistance avec accès personnalisé est maintenant un Administrateur du centre d’assistance avec accès personnalisé.

Informations supplémentaires

Pour plus d’informations sur les administrateurs, les rôles et les étendues utilisés dans la console Surveiller du service, reportez-vous à la section Administration déléguée et surveillance.