Citrix DaaS

委任管理

概要

Citrix Cloudでの委任管理により、組織内の役割に応じて管理者に必要となる、すべてのアクセス権限を構成できます。

デフォルトでは、管理者にはフルアクセス権があります。この設定により、Citrix Cloud内の利用可能なすべての顧客管理機能および管理機能と、サブスクライブしているすべてのサービスにアクセスできます。管理者のアクセス権を調整するには:

  • Citrix Cloudでの管理者の一般的な管理権限についてカスタムアクセス権を構成します。
  • サブスクライブしているサービスについてカスタムアクセス権を構成します。Citrix DaaS(旧称Citrix Virtual Apps and Desktopsサービス)では、新しい管理者を招待するときにカスタムアクセス権を構成できます。管理者のアクセス権は後で変更できます。

管理者一覧の表示とアクセス権限の定義については、「Citrix Cloudへの管理者のアクセスを管理する」を参照してください。

この記事では、Citrix DaaSでカスタムアクセス権を構成する方法について説明します。

管理者、役割、およびスコープ

管理権限の委任機能では、カスタムアクセス権について次の3つの概念が使用されます:管理者、役割、およびスコープ。

  • 管理者: 管理者とは、Citrix Cloudサインイン(通常は電子メールアドレス)によって識別された人物を表します。各管理者には、1つまたは複数の役割とスコープのペアが割り当てられます。
  • 役割: 役割とは管理ジョブの機能を表し、それぞれ権限が割り当てられています。これらの権限により、Citrix DaaS固有の特定のタスクが許可されます。たとえば、デリバリーグループ管理者役割には、デリバリーグループの作成とデリバリーグループからのデスクトップの削除の権限、およびその他の関連する権限があります。管理者は複数の役割を持つことができます。管理者は、デリバリーグループ管理者であり、マシンカタログ管理者でもある可能性があります。

    Citrix DaaSには、いくつかの組み込みのカスタムアクセス権役割が用意されています。これらの組み込みの役割内の権限の変更や、これらの役割の削除はできません。

    必要に応じてカスタムアクセス権役割を作成して、より詳細な権限を委任することができます。カスタム役割を使用して、操作またはタスク単位で権限を割り当てることができます。カスタマイズされた役割は、管理者に割り当てられていない場合にのみ削除できます。

    管理者が持つ役割は変更できます。

    役割は、必ずスコープとペアになっています。

  • スコープ: 接続、マシンカタログ、デリバリーグループなど、その管理者が管理できるオブジェクトをグループ化したものです。スコープは、組織に関連する方法でオブジェクトをグループ化するために使用されます。オブジェクトは、複数のスコープに存在できます。

    次の組み込みのスコープには、すべてのオブジェクトが含まれています:「すべて」。Citrix Cloud管理者とヘルプデスク管理者は、必ず「すべて」スコープとペアになっています。これらの管理者のそのスコープを変更することはできません。

    管理者をこのサービスに招待(追加)した場合、役割は必ずスコープ(デフォルトでは「すべて」スコープ)とペアになります。

    スコープの作成と削除は、[管理]>[完全な構成] インターフェイスで行います。役割/スコープのペアの割り当ては、Citrix Cloudコンソールで行います。

    フルアクセス権管理者については、スコープは表示されません。定義上は、これらの管理者は、顧客が管理するCitrix Cloud、およびサブスクライブしているサービスのオブジェクトすべてにアクセスできます。

組み込みの役割とスコープ

Citrix DaaSには、次の役割が組み込まれています。

  • クラウド管理者: Citrix DaaSから開始できるすべてのタスクを実行できます。

    コンソールで [管理] タブと [監視] タブを表示できます。この役割は、必ず「すべて」スコープと結合されています。スコープは変更できません。

    この役割の名前を混同しないでください。カスタムアクセス権クラウド管理者は、Citrix Cloudレベルのタスクを実行できません(Citrix Cloudのタスクにはフルアクセス権が必要です)。

  • 読み取り専用管理者:(全体的な情報のほかに)指定されたスコープ内のすべてのオブジェクトを表示できますが、変更はできません。たとえば、「大阪」というスコープを作成して読み取り専用管理者に割り当てると、グローバルオブジェクトと、[大阪]スコープのオブジェクト(大阪支社用のデリバリーグループなど)を表示できます。ただし、この管理者は「ニューヨーク」スコープのオブジェクトを表示できません。

    コンソールで [管理] タブを表示できます。[監視] タブは表示できません。スコープは変更できます。

  • ヘルプデスク管理者: デリバリーグループを表示し、デリバリーグループに関連付けられているセッションとマシンを管理できます。監視対象のデリバリーグループについて、マシンカタログとホスト情報を表示できます。また、それらのデリバリーグループ内のマシンのセッションや電源を管理できます。

    コンソールで [監視] タブを表示できます。[管理] タブは表示できません。この役割は、必ず「すべて」スコープと結合されています。スコープは変更できません。

  • マシンカタログ管理者: マシンカタログの作成と管理や、マシンカタログへのマシンのプロビジョニングができます。基本イメージの管理やソフトウェアのインストールができますが、アプリケーションやデスクトップをユーザーに割り当てることはできません。

    コンソールで [管理] タブを表示できます。[監視] タブは表示できません。スコープは変更できます。

  • デリバリーグループ管理者: アプリケーション、デスクトップ、およびマシンを配信できます。関連セッションを管理することもできます。ポリシーや電源管理設定など、アプリケーションおよびデスクトップの構成を管理できます。

    コンソールで [管理] タブを表示できます。[監視] タブは表示できません。スコープは変更できます。

    注:

    デリバリーグループ管理者としてデスクトップの表示名を変更するには、マシンの更新権限が必要です。この権限が必要になる理由は、表示名を変更するのにマシンのプロパティを更新する必要があるためです。

  • ホスト管理者: ホスト接続およびその関連リソース設定を管理できます。マシン、アプリケーション、またはデスクトップをユーザーに配信することはできません。

    コンソールで [管理] タブを表示できます。[監視] タブは表示できません。スコープは変更できます。

  • セッション管理者: 監視されているデリバリーグループを表示し、関連するセッションとマシンを管理できます。

    コンソールで [監視] タブを表示できます。[管理] タブは表示できません。スコープは変更できません。

  • 完全な管理者: すべてのタスクと操作を実行できます。完全な管理者は、常に [すべて]のスコープ と結び付けられています。

    コンソールで [管理] タブと [監視] タブを表示できます。この役割は、常に [すべて]のスコープ と結び付けられています。スコープは変更できません。

  • 完全なモニター管理者: [監視] タブのすべてのビューとコマンドに対するフルアクセス権限があります。

    コンソールで [監視] タブを表示できます。[管理] タブは表示できません。スコープは変更できません。

  • プローブエージェント管理者: プローブエージェントAPIへのアクセス権限があります。

    コンソールで [監視] タブを表示できます。[管理] タブは表示できません。[アプリケーション] ページへの読み取り専用アクセス権限がありますが、他のビューにはアクセスできません。

次の表は、Citrix DaaS内の各カスタムアクセス権役割にどのコンソールタブが表示されるかと、役割をカスタムスコープとともに使用できるかどうかの一覧です。

カスタムアクセス権管理者役割 コンソールで [管理] タブを表示できるか コンソールで [監視] タブを表示できるか 役割をカスタムスコープと共に使用できるか
クラウド管理者 はい はい いいえ
読み取り専用管理者 はい いいえ はい
ヘルプデスク管理者 いいえ はい いいえ
マシンカタログ管理者 はい いいえ はい
デリバリーグループ管理者 はい いいえ はい
ホスト管理者 はい いいえ はい
セッション管理者 いいえ はい いいえ
すべての管理権限を実行できる管理者 はい はい いいえ
完全なモニター管理者 いいえ はい いいえ
Probe Agent管理者 いいえ はい いいえ

注:

クラウド管理者およびヘルプデスク管理者以外のカスタムアクセス権管理者の役割は、Citrix Virtual Apps and Desktops Standard for Azures、Virtual Apps Essentials、Virtual Desktops Essentialsで利用できません。

役割に関連付けられた権限を表示するには:

  1. Citrix Cloudにサインインします。左上のメニューで、[マイサービス]>[DaaS] を選択します。
  2. [管理]>[完全な構成] の左側ペインで [管理者] を選択します。
  3. [役割] タブを選択します。
  4. 中央上部のペインで役割を選択します。下部のペインの [役割定義] タブに、カテゴリと権限が一覧表示されます。カテゴリを選択すると、特定の権限が表示されます。[管理者] タブには、選択した役割が割り当てられている管理者が一覧表示されます。

    既知の問題:すべての管理権限を実行できる管理者のエントリに、フルアクセス権Citrix DaaS管理者の正しい権限セットが表示されません。

必要な管理者の数

一般的に、管理者数およびその権限の細分性は、環境の規模と複雑度に応じて異なります。

  • 小規模または検証用の展開サイトでは、1人または少数の管理者ですべてを管理します。カスタムアクセス権を持つ委任管理者は存在しません。この場合、各管理者はフルアクセス権を持ち、必ず「すべて」スコープを持ちます。
  • より多くのマシン、アプリケーション、およびデスクトップがあるサイトでは、委任管理者の配置が必要になります。何人かの管理者に、より専門的な管理責任(役割)を付与できます。たとえば、2人にフルアクセス権を付与し、残りをヘルプデスク管理者にします。さらに、特定部門のマシンカタログなど、オブジェクトの特定グループ(スコープ)の管理を1人の管理者に任せることもできます。この場合は、新しいスコープを作成し、適切なカスタムアクセス権役割とスコープを持つ管理者を作成します。

管理者の管理の概要

Citrix DaaSに管理者を設定する手順は、次のとおりです:

  1. 管理者に付与する役割が、(Citrix Cloudのすべてのサブスクライブされたサービスを含む)すべての管理権限を実行できる管理者の役割または組み込みの役割以外である場合、カスタムの役割を作成します。

  2. 管理者に「すべて」以外のスコープを設定する場合(また、目的の役割に別のスコープが許可されており、そのスコープがまだ作成されていない場合)は、スコープを作成します。

  3. Citrix Cloudから管理者を招待します。新しい管理者にデフォルトのフルアクセス権以外の権限を付与する場合は、カスタムアクセス権役割/スコープのペアを指定します。

後で管理者のアクセス権(役割とスコープ)を変更する場合は、「カスタムアクセス権の構成」を参照してください。

管理者を追加する

管理者を追加(招待)するには、「Citrix Cloudアカウントに管理者を追加する」の手順に従ってください。ここでは、その情報の一部を繰り返します。

重要:

「カスタム」と「カスタムアクセス権」を混同して使用しないでください。

  • 管理者を作成し、Citrix CloudコンソールでCitrix DaaSの役割を割り当てる場合、「カスタムアクセス権」という用語には、組み込みの役割とサービスの [管理]>[完全な構成] インターフェイスで作成された追加のカスタム役割が含まれます。
  • サービスの [管理]>[完全な構成] インターフェイスにおける「カスタム」は、組み込みの役割から区別するための呼称です。

管理者を追加するための一般的なワークフローは次のとおりです:

  1. Citrix Cloudにサインインし、左上のメニューで [IDおよびアクセス管理] を選択します。

  2. [IDおよびアクセス管理] ページで [管理者] を選択します。[管理者] タブには、そのアカウントに対する現在のすべての管理者が一覧表示されます。

  3. [管理者] タブで、IDの種類を選択し、管理者のメールアドレスを入力して、[招待] をクリックします。

  • 管理者にフルアクセスを許可する場合は、[フルアクセス] を選択します。このようにして、管理者はCitrix Cloudとサブスクライブされたすべてのサービスで、すべての顧客管理者機能にアクセスできます。
  • 管理者に制限付きアクセスを許可する場合は、[カスタムアクセス] を選択します。次に、カスタムアクセス権役割とスコープのペアを選択できます。このようにして、管理者にはCitrix Cloudにサインインするときに意図した権限が付与されます。
  1. [招待を送信する] をクリックします。管理者がオンボードを完了した後、Citrix Cloudはメールアドレスに招待状を送信し、管理者をリストに追加します。

メールを受信した管理者は、[サインイン] リンクをクリックして招待を承諾します。

Citrix Cloud管理者の追加について詳しくは、「Citrix Cloud管理者を管理する」を参照してください。

または、[管理]>[完全な構成]>[管理者]>[管理者] の順に移動し、[管理者の追加] をクリックします。[IDおよびアクセス管理]>[管理者] に直接移動します。これは、新しいブラウザータブで開きます。そこで管理者を追加し終えたら、タブを閉じてコンソールに戻り、ほかの構成タスクに移ります。

役割の作成と管理

管理者が役割を作成または編集する場合、自身が持っている権限のみを有効にできます。これにより、管理者は現在よりも多くの権限を持つ役割を作成して自身に割り当てる(または既に割り当てられた役割を編集する)ことができなくなります。

カスタム役割には、Unicode文字で64文字以下の名前を付けることができます。名前には、次の文字は使用できません:バックスラッシュ、スラッシュ、セミコロン、コロン、番号記号、コンマ、アスタリスク、疑問符、等号、小なり記号、大なり記号、パイプ、角かっこ、丸かっこ、二重引用符、およびアポストロフィ。

役割の説明には、256文字までのUnicode文字を入力できます。

  1. まだCitrix Cloudにサインインしていない場合は、サインインします。左上のメニューで、[マイサービス]>[DaaS] を選択します。
  2. [管理]>[完全な構成] の左側ペインで [管理者] を選択します。
  3. [役割] タブを選択します。
  4. 完了するタスク用の手順を実行します:

    • 役割の詳細を表示する: 中央ペインでその役割を選択します。中央ペインの下部に、その役割のオブジェクトの種類および許可される権限が表示されます。ここで [管理者] タブをクリックすると、その役割が割り当てられている管理者が表示されます。
    • カスタム役割を作成する: 操作バーで [役割の作成] を選択します。次のように設定を構成します:

      • 名前と説明を入力します。
      • コンソールアクセス権を構成します。管理者に表示されるコンソールを指定します。コンソールを選択せずに続行することもできます。その場合、役割を持つ管理者は [管理][監視] にはアクセスできませんが、SDKとAPIを使用してオブジェクトにアクセスしたり、オブジェクトを表示または管理したりできます。
      • この役割に割り当てるオブジェクトの種類と権限を選択します。オブジェクトの種類にフルアクセス権限を付与するには、そのチェックボックスをオンにします。より細かくアクセス権限を付与するには、[オブジェクトの種類]を広げて[種類]内の [管理][読み取り専用] または個々のオブジェクトを選択します。

      [役割の作成]ダイアログボックス

    • 役割をコピーする: 中央ペインで役割を選択し、操作バーの [役割のコピー] を選択します。必要に応じて、役割の名前、説明、および権限を変更します。完了したら、[保存]を選択します。
    • カスタム役割を編集する: 中央ペインで役割を選択し、操作バーの [役割の編集] を選択します。必要に応じて、役割の名前、説明、および権限を変更します。組み込みの役割を編集することはできません。完了したら、[保存]を選択します。
    • カスタム役割を削除する: 中央ペインで役割を選択し、操作バーの [役割の削除] を選択します。確認のメッセージが表示されたら、[削除]をクリックします。組み込みの役割を削除することはできません。管理者に割り当てられたカスタム役割は削除できません。

スコープの作成と管理

デフォルトでは、すべての役割に、関連オブジェクトの [すべて] スコープが設定されています。たとえば、デリバリーグループ管理者は、すべてのデリバリーグループを管理できます。一部の管理者役割では、その管理者役割が関連オブジェクトの一部にアクセスできるようにスコープを作成できます。たとえば、すべてのカタログではなく特定の種類のマシンを含むカタログのみに、マシンカタログ管理者がアクセスできるようにすることができます。

  • フルアクセス権管理者またはカスタムアクセス権クラウド管理者は、読み取り専用管理者、マシンカタログ管理者、デリバリーグループ管理者、およびホスト管理者の役割のスコープを作成できます。
  • スコープをフルアクセス権管理者用に作成することや、クラウド管理者またはヘルプデスク管理者用に作成することはできません。これらの管理者には、必ず[すべて]スコープが設定されます。

スコープの作成と管理のルール:

  • スコープには、Unicode文字で64文字以下の名前を付けることができます。名前には、次の文字は使用できません:バックスラッシュ、スラッシュ、セミコロン、コロン、番号記号、コンマ、アスタリスク、疑問符、等号、小なり記号、大なり記号、パイプ、角かっこ、丸かっこ、二重引用符、およびアポストロフィ。
  • スコープの説明には、256文字までのUnicode文字を入力できます。
  • スコープをコピーまたは編集するときにオブジェクトをスコープから削除すると、管理者がそのオブジェクトにアクセスできなくなる可能性があることに注意してください。編集するスコープにいくつかの役割が関連付けられている場合は、編集により役割/スコープのペアが使用できなくならないかどうかを確認してください。

スコープを作成し管理するには:

  1. Citrix Cloudにサインインします。左上のメニューで、[マイサービス]>[DaaS] を選択します。
  2. [管理]>[完全な構成] の左側ペインで [管理者] を選択します。
  3. [スコープ] タブを選択します。
  4. 完了するタスク用の手順を実行します:

    • スコープの詳細を表示する: スコープを選択します。ペインの下部には、そのスコープを持つオブジェクトと管理者が一覧表示されます。
    • スコープを作成する: 操作バーの [スコープの作成] を選択します。名前と説明を入力します。オブジェクトは、デリバリーグループやマシンカタログなど、種類別に一覧表示されます。
      • オブジェクトの種類のチェックボックスをオンにすると、その種類のすべてのオブジェクト(たとえば、すべてのデリバリーグループ)がスコープに追加されます。
      • 特定の種類の個々のオブジェクトを追加するには、その種類を展開してから、そのオブジェクトのチェックボックス(たとえば、特定のデリバリーグループ)をオンにします。

        注:

        アプリケーショングループ、デリバリーグループ、またはマシンカタログは、DaaSでの管理に合わせたフォルダー構造で表示されます。フォルダーを選択してそのすべてのオブジェクトを選択したり、フォルダーを展開して特定のオブジェクトを選択したりできます。

      • テナント顧客を作成するには、[テナントスコープ] チェックボックスをオンにします。選択した場合、スコープに入力した名前はテナント名です。テナントスコープについて詳しくは、[テナント管理] を参照してください。

      完了したら、[OK] を選択します。

      [スコープの作成]ダイアログボックス

    • スコープのコピー: 中央ペインでスコープを選択し、操作バーの [スコープのコピー] を選択します。名前と説明を変更します。必要に応じて、オブジェクトの種類とオブジェクトを変更します。完了したら、[保存]を選択します。
    • スコープの編集: 中央ペインでスコープを選択し、操作バーの [スコープの編集] を選択します。必要に応じて、名前、説明、オブジェクトの種類、およびオブジェクトを変更します。完了したら、[保存]を選択します。
    • スコープの削除: 中央ペインでスコープを選択し、操作バーの [スコープの削除] を選択します。確認のメッセージが表示されたら、[削除]をクリックします。

      スコープが役割に割り当てられている場合、そのスコープは削除できません。これを行おうとすると、権限がないことを示すエラーメッセージが表示されます。実際に、このスコープを使用する役割/スコープのペアが管理者に割り当てられているので、このエラーが発生します。まず、その役割/スコープのペアの割り当てを、それを使用するすべての管理者から削除します。次に、[管理] コンソールのスコープを削除します。

スコープを作成すると、Citrix Cloudコンソール内の [カスタムアクセス] ボックスの一覧に表示されます。その後、役割を管理者に割り当てるときに選択できます。

たとえば、CADという名前のスコープを作成し、CADアプリケーションに適したマシンを含むカタログを選択するとします。Citrix Cloudコンソールに戻り、役割の [スコープを編集] を選択すると、使用可能なスコープの一覧に、以前に作成したCADスコープが表示されます。

クラウド管理者とヘルプデスク管理者には必ず「すべて」スコープが設定されているため、「CAD」スコープは適用されません。

テナント管理

[完全な構成]管理インターフェイスを使用すると、単一のCitrix DaaSの下に相互排他的なテナントを作成できます。構成パーティションは、[管理者]>[スコープ] でテナントスコープを作成し、マシンカタログやデリバリーグループなど、関連する構成オブジェクトをそれらのテナントと関連付けることで作成できます。これにより、テナントへのアクセス権を持つ管理者は、テナントに関連付けられているオブジェクトのみを管理できます。

この機能は、たとえば、組織が以下のような場合に役立ちます:

  • さまざまなビジネスサイロ(独立した部門または個別のIT管理チーム)がある、または
  • 複数のオンプレミスサイトがあり、単一のCitrix DaaSインスタンスで同じセットアップを維持したいと考えている。

このインターフェイスでは、テナント顧客を名前でフィルタリングできます。デフォルトでは、このインターフェイスにはすべてのテナント顧客に関する情報が表示されます。特定のテナントに関する情報を表示するには、右上隅の一覧からそのテナントを選択します。

テナント顧客の作成

テナント顧客を作成するには、スコープ作成時に [テナントスコープ] をオンにします。このオプションを選択することにより、異なるビジネスユニット間でCitrix DaaSインスタンスを共有するシナリオにおいて、オブジェクトに適用される一意のスコープタイプを作成します。これらの各ビジネスユニットは、他のビジネスユニットから独立しています。テナントスコープを作成した後は、スコープタイプを変更することはできません。

テナント顧客の作成

[スコープ] タブには、すべてのスコープアイテムが表示されます。通常のスコープとテナントスコープの唯一の違いは、[タイプ] 列にあります。空白の列フィールドは、通常のスコープを意味します。必要に応じて、[タイプ] 列をクリックしてスコープアイテムを並べ替えることができます。

スコープに接続されているリソース(オブジェクト)を表示するには、左側ペインで [管理者] を選択します。[スコープ] タブでスコープを選択し、操作バーの [スコープの編集] を選択します。

ヒント:

テナントプロパティはスコープレベルで割り当てられます。マシンカタログ、デリバリーグループ、アプリケーション、および接続は、該当するスコープからテナントプロパティを継承します。

テナントスコープを使用する場合は、次の考慮事項に注意してください:

  • テナントプロパティは、次の順序で割り当てられます:ホスト > マシンカタログ > デリバリーグループ > アプリケーション。下位レベルのオブジェクトは、上位レベルのオブジェクトに依存してテナントプロパティを継承します。たとえば、デリバリーグループを選択するときは、関連するホストとマシンのカタログを選択する必要があります。選択しないと、デリバリーグループはテナントプロパティを継承できません。
  • テナントスコープを作成した後、オブジェクトを変更してテナントの割り当てを編集できます。テナントの割り当てが変更された場合でも、同じテナントまたはそれらのテナントのサブセットに割り当てる必要があるという制約があります。ただし、テナントの割り当てが変更されても、下位レベルのオブジェクトは再評価されません。テナントの割り当てを変更するときは、オブジェクトが適切に制限されていることを確認してください。たとえば、TenantATenantBのマシンカタログが使用できる場合、TenantAのデリバリーグループとTenantBのデリバリーグループを作成できます(TenantATenantBは両方ともそのマシンカタログに関連付けられています)。次に、TenantAのみに関連付けられるようにマシンカタログを変更できます。その結果、TenantBに関連付けられているデリバリーグループは無効になります。

管理者のカスタムアクセス権の構成

テナントスコープを作成したら、それぞれの管理者のカスタムアクセス権を構成します。詳しくは、「管理者のカスタムアクセス権の構成」を参照してください。Citrix Cloudは、指定したこれらの顧客管理者に招待状を送信し、管理者を一覧に追加します。メールを受信した管理者は、[サインイン] をクリックして招待を承諾します。[完全な構成] 管理インターフェイスにログオンすると、割り当てられた役割とスコープのペアに含まれるリソースが表示されます。

テナント顧客のカスタムアクセス権の構成

テナントへのアクセス権を持つ管理者は、テナントに関連付けられているオブジェクト(マシンカタログ、デリバリーグループなど)のみを管理できます。

管理者のカスタムアクセス権の構成

この機能を使用すると、既存の管理者または招待した管理者のアクセス権限を、組織での役割に合わせて定義できます。

アクセス権限に加えた変更が有効になるまで5分かかります。[完全な構成]管理インターフェイスからログアウトして再度ログオンすると、変更がすぐに有効になります。変更が有効になった後も管理者が再接続せずに管理インターフェイスを引き続き使用するシナリオでは、アクセス権限がなくなったアイテムにアクセスしようとすると警告が表示されます。

デフォルトでは、管理者を招待すると、それらの管理者にフルアクセス権が与えられます。フルアクセス権があると、管理者は、サブスクライブしているすべてのサービス、およびCitrix Cloud操作(管理者を追加で招待するなど)を管理できます。Citrix Cloud環境には、フルアクセス権を持つ管理者が少なくとも1人必要です。

管理者を招待するときに、カスタムアクセス権を付与することもできます。カスタムアクセス権により、管理者は指定したサービスと操作のみを管理できます。

Citrix DaaSで役割またはスコープを作成した場合、Citrix DaaSのカスタムアクセス権一覧に表示され、選択できます。管理者の役割を選択すると、必要に応じてスコープを変更して、組織内の管理者の役割に反映できます。

管理者のカスタムアクセス権を構成するには:

  1. Citrix Cloudにサインインします。左上のメニューで [IDおよびアクセス管理]>[管理者] を選択します。
  2. 管理対象の管理者を見つけ、省略記号メニューを選択し、[アクセスの編集] を選択します。

    [アクセスの編集]メニューが強調表示された管理者メニュー

  3. [カスタムアクセス] を選択します。

    [カスタムアクセス]が強調表示された[アクセスの編集]ダイアログ

  4. DaaSの下で、1つまたは複数の役割の横にあるチェックマークを選択または選択解除します。割り当てられた役割に関連付けられているスコープを変更するには、[スコープの編集] を選択します。

    [スコープの編集]が強調表示された[アクセスの編集]ダイアログ

    デフォルトでは、[すべてのスコープ] ラベルで示されているように、選択された各役割ですべてのスコープが選択されています。

  5. 選択した役割でスコープを指定するには、[カスタムスコープ] を選択し、適切なスコープを追加または削除します。デフォルトでは、すべてのカスタムスコープが役割に追加されます。スコープを削除するには、スコープの[X]アイコンをクリックします。

    [X]アイコンが強調表示された[アクセスの編集]ダイアログ

    削除され、役割に追加できるスコープは、既に追加されているスコープの下の一覧に表示されます。役割にスコープを追加するには、スコープのプラスアイコン(+)を選択します。

    プラスアイコンが強調表示された[アクセスの編集]ダイアログ

  6. スコープの選択が完了したら、[適用] を選択します。

  7. [保存] を選択して、選択した管理者の役割を保存します。

オンプレミスCitrix Virtual Apps and Desktopsとの相違点

オンプレミスのCitrix Virtual Apps and Desktops製品の委任管理機能を使い慣れている場合は、Citrix DaaSといくつかの違いがあることに注意してください。

Citrix Cloudの場合:

  • 管理者は、Active Directoryアカウントではなく、Citrix Cloudログインによって識別されます。Active Directoryの個人(グループではない)の役割/スコープのペアを作成できます。
  • 管理者の作成、構成、削除は、Citrix DaaSではなくCitrix Cloudコンソールで行います。
  • 管理者への役割/スコープのペアの割り当ては、Citrix DaaSではなくCitrix Cloudコンソールで行います。
  • レポートは利用できません。サービスの [管理]>[完全な構成] インターフェイスでは、管理者、役割、およびスコープ情報を表示できます。
  • カスタムアクセス権クラウド管理者は、オンプレミスバージョンでのすべての管理権限を実行できる管理者に似ています。どちらも、使用しているCitrix Virtual Apps and Desktopsバージョンでの、管理と監視のすべての権限があります。

    ただし、Citrix DaaSでは、すべての管理権限を実行できる管理者という名前の役割はありません。Citrix Cloudでの「フルアクセス」を、オンプレミスのCitrix Virtual Apps and Desktopsでの「すべての管理権限を実行できる管理者」と同等と見なさないでください。Citrix Cloudでの「フルアクセス」とは、プラットフォームレベルのドメイン、ライブラリ、通知、およびリソースの場所に加え、サブスクライブしているすべてのサービスに及びます。

以前のCitrix DaaSリリースとの相違点

拡張カスタムアクセス権機能のリリース(2018年9月)の前は、次の2つのカスタムアクセス権管理者役割がありました:すべての管理権限を実行できる管理者、およびヘルプデスク管理者。環境で委任管理(プラットフォームの設定)が有効になっている場合、それらの役割は自動的にマップされます。

  • カスタムアクセス権を持つ Virtual Apps and Desktops(またはXenAppおよびXenDesktop)サービス:すべての管理権限を実行できる管理者 として以前に構成されていた管理者は、カスタムアクセス権クラウド管理者になりました。
  • カスタムアクセス権を持つ Virtual Apps and Desktops(またはXenAppおよびXenDesktop)サービス:ヘルプデスク管理者 として以前に構成されていた管理者は、カスタムアクセス権ヘルプデスク管理者になりました。

追加情報

サービスの [監視] コンソールで使用される管理者、役割、スコープについて詳しくは、「委任管理と監視」を参照してください。