委任管理

概要

Citrix Cloudでの委任管理により、組織内の役割に応じて管理者に必要となる、すべてのアクセス権限を構成できます。

デフォルトでは、管理者にはフルアクセス権があります。これにより、Citrix Cloud内の利用可能なすべての顧客管理機能および管理機能と、サブスクライブしているすべてのサービスにアクセスできます。管理者のアクセス権を調整するには:

  • Citrix Cloudでの管理者の一般的な管理権限についてカスタムアクセス権を構成します。
  • サブスクライブしているサービスについてカスタムアクセス権を構成します。Citrix Virtual AppsおよびDesktopsサービスでは、新しい管理者を招待するときにカスタムアクセス権を構成できます。管理者のアクセス権は後で変更できます。

管理者一覧の表示とアクセス権限の定義について詳しくは、「Citrix Cloudアカウントに管理者を追加する」を参照してください。

この記事では、Citrix Virtual AppsおよびDesktopsサービスでカスタムアクセス権を構成する方法について説明します。

管理者、役割、およびスコープ

委任管理では、カスタムアクセス権について次の3つの概念が使用されます:管理者、役割、およびスコープ。

  • 管理者: 管理者とは、Citrix Cloudサインイン(通常は電子メールアドレス)によって識別された人物を表します。各管理者には、1つまたは複数の役割とスコープのペアが割り当てられます。
  • 役割: 役割とは管理ジョブの機能を表し、それぞれ権限が割り当てられています。これらの権限により、サービス固有の特定のタスクが許可されます。たとえば、デリバリーグループ管理者役割には、デリバリーグループの作成とデリバリーグループからのデスクトップの削除の権限、およびその他の関連する権限があります。管理者は複数の役割を持つことができます。管理者は、デリバリーグループ管理者であり、マシンカタログ管理者でもある可能性があります。

    このサービスには、いくつかの組み込みのカスタムアクセス権役割が用意されています。(他のカスタムアクセス権役割を作成することはできません)。これらの組み込みのカスタムアクセス権役割内の権限の変更や、これらの役割の削除はできません。管理者が持つ役割は変更できます。

    役割は、必ずスコープとペアになっています。

  • スコープ: 接続、マシンカタログ、デリバリーグループなど、その管理者が管理できるオブジェクトをグループ化したものです。スコープは、組織に関連する方法でオブジェクトをグループ化するために使用されます。オブジェクトは、複数のスコープに存在できます。

    次の組み込みのスコープには、すべてのオブジェクトが含まれています:「すべて」。Citrix Cloud管理者とヘルプデスク管理者は、必ず「すべて」スコープとペアになっています。これらの管理者のそのスコープを変更することはできません。

    管理者をこのサービスに招待(追加)した場合、役割は必ずスコープ(デフォルトでは「すべて」スコープ)とペアになります。

    スコープの作成と削除は、Studioコンソールで行います。役割/スコープのペアの割り当ては、Citrix Cloudコンソールで行います。

    フルアクセス権管理者については、スコープは表示されません。定義上は、これらの管理者は、顧客が管理するCitrix Cloud、およびサブスクライブしているサービスのオブジェクトすべてにアクセスできます。

組み込みのカスタムアクセス権役割とスコープ

このサービスには、次のカスタムアクセス権役割が組み込まれています。

  • クラウド管理者: サービスから開始できるすべてのタスクを実行できます。

    コンソールで [管理] タブと [監視] タブを表示できます。この役割は、必ず「すべて」スコープと結合されており、そのスコープを変更することはできません。

    この役割の名前を混同しないでください。カスタムアクセス権クラウド管理者は、Citrix Cloudレベルのタスクを実行できません(Citrix Cloudのタスクにはフルアクセス権が必要です)。

  • 読み取り専用管理者:(全体的な情報のほかに)指定されたスコープ内のすべてのオブジェクトを表示できますが、変更はできません。たとえば、「大阪」というスコープを作成して読み取り専用管理者に割り当てると、グローバルオブジェクトと、[大阪]スコープのオブジェクト(大阪支社用のデリバリーグループなど)を表示できます。ただし、この管理者は「ニューヨーク」スコープのオブジェクトを表示できません(「大阪」スコープと「ニューヨーク」スコープは重複しないものと見なされます)。

    コンソールで [管理] タブを表示できます。[監視] タブは表示できません。スコープは変更できます。

  • ヘルプデスク管理者: デリバリーグループを表示し、デリバリーグループに関連付けられているセッションとマシンを管理できます。監視対象のデリバリーグループについて、マシンカタログとホスト情報を表示できます。また、それらのデリバリーグループ内のマシンのセッションや電源を管理できます。

    コンソールで [監視] タブを表示できます。[管理] タブは表示できません。この役割は、必ず「すべて」スコープと結合されており、そのスコープを変更することはできません。

  • マシンカタログ管理者: マシンカタログの作成と管理や、マシンカタログへのマシンのプロビジョニングができます。基本イメージの管理やソフトウェアのインストールができますが、アプリケーションやデスクトップをユーザーに割り当てることはできません。

    コンソールで [管理] タブを表示できます。[監視] タブは表示できません。スコープは変更できます。

  • デリバリーグループ管理者: アプリケーション、デスクトップ、およびマシンを配信できます。関連セッションを管理することもできます。ポリシーや電源管理設定など、アプリケーションおよびデスクトップの構成を管理できます。

    コンソールで [管理] タブを表示できます。[監視] タブは表示できません。スコープは変更できます。

  • ホスト管理者: ホスト接続およびその関連リソース設定を管理できます。マシン、アプリケーション、またはデスクトップをユーザーに配信することはできません。

    コンソールで [管理] タブを表示できます。[監視] タブは表示できません。スコープは変更できます。

次の表は、サービス内の各カスタムアクセス権役割にどのコンソールタブが表示されるかと、役割をカスタムスコープと共に使用できるかどうかの一覧です。

カスタムアクセス権管理者役割 コンソールで [管理] タブを表示できるか コンソールで [監視] タブを表示できるか 役割をカスタムスコープと共に使用できるか
クラウド管理者 不可
読み取り専用管理者 不可
ヘルプデスク管理者 不可 不可
マシンカタログ管理者 不可
デリバリーグループ管理者 不可
ホスト管理者 不可

役割に関連付けられた権限を表示するには:

  1. まだCitrix Cloudにサインインしていない場合は、サインインします。左上のメニューで、[マイサービス]>[Virtual AppsおよびDesktops] を選択します。[管理] タブを選択します。
  2. Studioのナビゲーションペインで [構成]>[管理者] の順にクリックし、[役割] タブをクリックします。
  3. 中央上部のペインで役割を選択します。下部のペインの [役割定義] タブに、カテゴリと権限が一覧表示されます。カテゴリを選択すると、特定の権限が表示されます。[管理者] タブには、上で選択した役割が割り当てられている管理者が一覧表示されます。

    既知の問題:Studio内の、すべての管理権限を実行できる管理者のエントリに、フルアクセス権サービス管理者の正しい権限セットが表示されません。

必要な管理者の数

一般的に、管理者数およびその権限の細分性は、環境の規模と複雑度に応じて異なります。

  • 小規模または検証用の環境では、1人または少数の管理者ですべてを管理し、カスタムアクセス権を持つ委任管理者は存在しません。この場合、各管理者はフルアクセス権を持ち、必ず「すべて」スコープを持ちます。
  • より多くのマシン、アプリケーション、およびデスクトップがある大規模な環境では、委任管理者の配置が必要になります。何人かの管理者に、より専門的な管理責任(役割)を付与できます。たとえば、2人にフルアクセス権を付与し、残りをヘルプデスク管理者にします。さらに、特定部門のマシンカタログなど、オブジェクトの特定グループ(スコープ)の管理を1人の管理者に任せることもできます。この場合は、新しいスコープを作成し、適切なカスタムアクセス権役割とスコープを持つ管理者を作成します。

管理者の管理の概要

サービスに追加で管理者を設定する手順は、次のとおりです:

  1. 新しい管理者に「すべて」以外のスコープを設定する場合(また、目的の役割に別のスコープが許可されており、そのスコープがまだ作成されていない場合)は、Studioでスコープを作成します
  2. Citrix Cloudから管理者を招待します。新しい管理者にデフォルトのフルアクセス権以外の権限を付与する場合は、カスタムの役割/スコープのペアを指定します。

後で管理者のアクセス権を変更する場合は、「カスタムアクセス権の構成」を参照してください。

管理者の招待

管理者を追加するには、「Citrix Cloudアカウントに管理者を追加する」の手順に従ってください。ここでは、その情報の一部を繰り返します。

  1. Citrix Cloudにサインインした後、左上のメニューで [IDおよびアクセス管理] を選択します。

  2. [IDおよびアクセス管理] ページで [管理者] をクリックします。アカウント内の現在の管理者が一覧表示されます。
  3. [追加する管理者の場所] をクリックしてから、認証方法を選択します。そのユーザーのメールアドレスを入力します。必要に応じて、役割/スコープのペアを選択します。

    カスタムの役割/スコープのペアを選択しない場合、新しい管理者には、デフォルトでフルアクセス権が割り当てられます。そのアクセス権には、Citrix Cloud内のすべての顧客管理者機能およびサブスクライブしているすべてのサービスへのアクセスが含まれます。

    その管理者に、より限定的なアクセス権を付与する場合は、カスタムアクセス権役割/スコープのペアのいずれかを選択します。このようにして、新しい管理者は、初めてCitrix Cloudにサインインするときに、意図した権限を与えられます。

  4. [招待] をクリックします。Citrix Cloudは、指定されたメールアドレスに招待状を送信し、管理者を一覧に追加します。

    メールを受信した管理者は、[参加] リンクをクリックして招待を承諾します。

スコープの作成

デフォルトでは、すべての役割に、関連オブジェクトの「すべて」スコープが設定されています。たとえば、デリバリーグループ管理者は、すべてのデリバリーグループを管理できます。一部の管理者役割では、その管理者役割が関連オブジェクトの一部にアクセスできるようにスコープを作成できます。たとえば、すべてのカタログではなく特定の種類のマシンを含むカタログのみに、マシンカタログ管理者がアクセスできるようにすることができます。

  • フルアクセス権管理者またはカスタムアクセス権クラウド管理者は、読み取り専用管理者、マシンカタログ管理者、デリバリーグループ管理者、およびホスト管理者の役割のスコープを作成できます。
  • スコープをフルアクセス権管理者用に作成することや、クラウド管理者またはヘルプデスク管理者用に作成することはできません。これらの管理者には、必ず「すべて」スコープが設定されているためです。

スコープの作成と管理のルール:

  • スコープには、Unicode文字で64文字以下の名前を付けることができます。スコープ名には、次の文字は使用できません:バックスラッシュ、スラッシュ、セミコロン、 コロン、番号記号、コンマ、アスタリスク、疑問符、等号、小なり記号、大なり記号、パイプ、角かっこ、丸かっこ、二重引用符、およびアポストロフィ。
  • スコープの説明には、256文字までのUnicode文字を入力できます。
  • スコープをコピーまたは編集するときにオブジェクトをスコープから削除すると、管理者がそのオブジェクトにアクセスできなくなる可能性があることに注意してください。編集するスコープにいくつかの役割が関連付けられている場合は、編集により役割/スコープのペアが使用できなくならないかどうかを確認してください。

スコープを作成するには:

  1. まだCitrix Cloudにサインインしていない場合は、サインインします。左上のメニューで、[マイサービス]>[Virtual AppsおよびDesktops] を選択します。[管理] タブを選択します。
  2. Studioのナビゲーションペインで [構成]>[管理者] の順にクリックし、[スコープ] タブをクリックします。
  3. [操作]ペインで [スコープの作成] をクリックします。名前と説明を入力します。オブジェクトは、デリバリーグループやマシンカタログなど、種類別に一覧表示されます。

    • オブジェクトの種類のチェックボックスをオンにすると、その種類のすべてのオブジェクト(たとえば、すべてのデリバリーグループ)がスコープに追加されます。

    • 特定の種類の個々のオブジェクトを追加するには、その種類を展開してから、そのオブジェクトのチェックボックス(たとえば、特定のデリバリーグループ)をオンにします。

  4. 完了したら、 [保存] をクリックします。

    [スコープの作成]ダイアログボックス

Studioでスコープを作成すると、そのスコープが適切な役割とペアでCitrix Cloudコンソール内の [カスタムアクセス] ボックスの一覧に表示されます。それを管理者に割り当てることができます。

たとえば、StudioでCADという名前のスコープを作成し、CADアプリケーションに適したマシンを含むマシンカタログを選択するとします。Citrix Cloudコンソールに戻ると、サービスレベルのカスタムアクセス権役割/スコープのペアの一覧に新しいエントリが追加されています(以下では太字で表示):

  • クラウド管理者、すべて
  • デリバリーグループ管理者、すべて
  • デリバリーグループ管理者、CAD
  • ヘルプデスク管理者、すべて
  • ホスト管理者、すべて
  • ホスト管理者、CAD
  • マシンカタログ管理者、すべて
  • マシンカタログ管理者、CAD
  • 読み取り専用、すべて
  • 読み取り専用、CAD

クラウド管理者とヘルプデスク管理者には必ず「すべて」スコープが設定されているため、「CAD」スコープは適用されません。

スコープの管理

スコープを作成した後は、そのスコープをStudioからコピー、編集、または削除できます。

Studioのナビゲーションペインで [構成]>[管理者] の順にクリックし、[スコープ] タブをクリックします。

  • スコープのコピー: 中央ペインでスコープを選択し、[操作]ペインの [スコープのコピー] をクリックします。名前と説明を入力します。必要に応じて、オブジェクトの種類とオブジェクトを変更します。
  • スコープの編集: 中央ペインでスコープを選択し、[操作]ペインの [スコープの編集] をクリックします。必要に応じて、名前、説明、オブジェクトの種類、およびオブジェクトを変更します。
  • スコープの削除: 中央ペインでスコープを選択し、[操作]ペインの [スコープの削除] をクリックします。確認のメッセージが表示されたら、[削除]をクリックします。スコープが役割に割り当てられている場合、そのスコープは削除できません。これを行おうとすると、権限がないことを示すエラーメッセージが表示されます。実際に、このスコープを使用する役割/スコープのペアが管理者に割り当てられているので、このエラーが発生します。まず、その役割/スコープのペアの割り当てを、それを使用するすべての管理者から削除する必要があります。その後、Studioでスコープを削除できます。

管理者のカスタムアクセス権の構成

デフォルトでは、管理者を招待すると、それらの管理者にフルアクセス権が与えられます。

注:フルアクセス権があると、管理者は、サブスクライブしているすべてのサービス、および顧客管理者のCitrix Cloud操作(管理者を追加で招待するなど)を管理できます。Citrix Cloud環境には、フルアクセス権を持つ管理者が少なくとも1人必要です。

管理者のカスタムアクセス権を構成するには:

  1. まだCitrix Cloudにサインインしていない場合は、サインインします。左上のメニューで [IDおよびアクセス管理]>[管理者] を選択します。
  2. 管理する管理者を見つけ、省略記号メニューをクリックし、[アクセスの編集] を選択します。
  3. [カスタムアクセス] を選択します。サービス固有のカスタムアクセス権を構成するには、[Virtual AppsおよびDesktops] の下の[カスタムアクセス]ボックスの一覧で役割/スコープのペアの横にあるチェックボックスをオンまたはオフにします。

    Studioでスコープを作成せずに役割に割り当てた場合は、[カスタムアクセス]ボックスの一覧にあるすべての役割に「すべて」スコープが設定されます。たとえば、[デリバリーグループ管理者、すべて]という役割/スコープのエントリは、その役割に「すべて」スコープが設定されていることを示します。

    Studioでスコープを作成した場合、そのスコープはサービスのカスタムアクセス権一覧に表示され、選択できます。たとえば、Catalog1という名前のスコープを作成した場合は、カスタムアクセス権一覧に、デフォルトの [マシンカタログ管理者、すべて] エントリのほかに、[マシンカタログ管理者、Catalog1]エントリが表示されます。

  4. 編集対象の管理者に既にカスタムアクセス権があり、その管理者にフルアクセス権を与える場合は、[フルアクセス] を選択します。
  5. 完了したら、[保存] をクリックします。

次のスクリーンショットは、フルアクセス権とカスタムアクセス権を持つ組み込みの管理者役割を示しています。

カスタムアクセス権の表示

オンプレミスCitrix Virtual AppsおよびDesktopsとの相違点

オンプレミスのCitrix Virtual AppsおよびDesktopsバージョンの委任管理を使い慣れている場合は、サービスバージョンにはいくつかの違いがあることに注意してください。

Citrix Cloudの場合:

  • 管理者は、Active Directoryアカウントではなく、Citrix Cloudログインによって識別されます。Active Directoryの個人(グループではない)の役割/スコープのペアを作成できます。
  • 管理者の作成、構成、削除は、StudioではなくCitrix Cloudコンソールで行います。
  • 管理者への役割/スコープのペアの割り当ては、StudioではなくCitrix Cloudコンソールで行います。
  • カスタム役割は使用できません。(「カスタムアクセス」を、オンプレミスバージョンでのカスタム役割作成機能と混同しないでください)。
  • レポートは利用できません。Studioでは、管理者、役割、およびスコープ情報を表示できます。
  • カスタムアクセス権クラウド管理者は、オンプレミスバージョンでのすべての管理権限を実行できる管理者に似ています。どちらも、使用しているCitrix Virtual AppsおよびDesktopsバージョンでの、管理と監視のすべての権限があります。ただし、このサービスでは、すべての管理権限を実行できる管理者という名前の役割はありません。Citrix Cloudでの「フルアクセス」を、オンプレミスのCitrix Virtual AppsおよびDesktopsでの「すべての管理権限を実行できる管理者」と同等と見なさないでください。Citrix Cloudでの「フルアクセス」とは、プラットフォームレベルのドメイン、ライブラリ、通知、およびリソースの場所に加え、サブスクライブしているすべてのサービスに及びます。

以前のサービスリリースとの相違点

このサービスの拡張カスタムアクセス権機能のリリース(2018年9月)の前は、次の2つのカスタムアクセス権管理者役割がありました:すべての管理権限を実行できる管理者、およびヘルプデスク管理者。環境で委任管理(プラットフォームレベルの設定)が有効になっている場合、それらの役割は自動的にマップされます。

  • カスタムアクセス権を持つ Virtual AppsおよびDesktops(またはXenAppおよびXenDesktop)サービス:すべての管理権限を実行できる管理者 として以前に構成されていた管理者は、カスタムアクセス権クラウド管理者になりました。
  • カスタムアクセス権を持つ Virtual AppsおよびDesktops(またはXenAppおよびXenDesktop)サービス:ヘルプデスク管理者 として以前に構成されていた管理者は、カスタムアクセス権ヘルプデスク管理者になりました。