Citrix Virtual Apps and Desktopsサービス

委任管理

概要

Citrix Cloudでの委任管理により、組織内の役割に応じて管理者に必要となる、すべてのアクセス権限を構成できます。

デフォルトでは、管理者にはフルアクセス権があります。この設定により、Citrix Cloud内の利用可能なすべての顧客管理機能および管理機能と、サブスクライブしているすべてのサービスにアクセスできます。管理者のアクセス権を調整するには:

  • Citrix Cloudでの管理者の一般的な管理権限についてカスタムアクセス権を構成します。
  • サブスクライブしているサービスについてカスタムアクセス権を構成します。Citrix Virtual Apps and Desktopsサービスでは、新しい管理者を招待するときにカスタムアクセス権を構成できます。管理者のアクセス権は後で変更できます。

管理者一覧の表示とアクセス権限の定義について詳しくは、「Citrix Cloudアカウントに管理者を追加する」を参照してください。

この記事では、Citrix Virtual Apps and Desktopsサービスでカスタムアクセス権を構成する方法について説明します。

管理者、役割、およびスコープ

管理権限の委任機能では、カスタムアクセス権について次の3つの概念が使用されます:管理者、役割、およびスコープ。

  • 管理者: 管理者とは、Citrix Cloudサインイン(通常は電子メールアドレス)によって識別された人物を表します。各管理者には、1つまたは複数の役割とスコープのペアが割り当てられます。
  • 役割: 役割とは管理ジョブの機能を表し、それぞれ権限が割り当てられています。これらの権限により、サービス固有の特定のタスクが許可されます。たとえば、デリバリーグループ管理者役割には、デリバリーグループの作成とデリバリーグループからのデスクトップの削除の権限、およびその他の関連する権限があります。管理者は複数の役割を持つことができます。管理者は、デリバリーグループ管理者であり、マシンカタログ管理者でもある可能性があります。

    このサービスには、いくつかの組み込みのカスタムアクセス権役割が用意されています。これらの組み込みの役割内の権限の変更や、これらの役割の削除はできません。

    必要に応じてカスタムアクセス権役割を作成して、より詳細な権限を委任することができます。カスタム役割を使用して、操作またはタスク単位で権限を割り当てることができます。カスタマイズされた役割は、管理者に割り当てられていない場合にのみ削除できます。

    管理者が持つ役割は変更できます。

    役割は、必ずスコープとペアになっています。

  • スコープ: 接続、マシンカタログ、デリバリーグループなど、その管理者が管理できるオブジェクトをグループ化したものです。スコープは、組織に関連する方法でオブジェクトをグループ化するために使用されます。オブジェクトは、複数のスコープに存在できます。

    次の組み込みのスコープには、すべてのオブジェクトが含まれています:「すべて」。Citrix Cloud管理者とヘルプデスク管理者は、必ず「すべて」スコープとペアになっています。これらの管理者のそのスコープを変更することはできません。

    管理者をこのサービスに招待(追加)した場合、役割は必ずスコープ(デフォルトでは「すべて」スコープ)とペアになります。

    スコープの作成と削除は、サービスの [管理] コンソールで行います。役割/スコープのペアの割り当ては、Citrix Cloudコンソールで行います。

    フルアクセス権管理者については、スコープは表示されません。定義上は、これらの管理者は、顧客が管理するCitrix Cloud、およびサブスクライブしているサービスのオブジェクトすべてにアクセスできます。

組み込みの役割とスコープ

このサービスには、次の役割が組み込まれています。

  • クラウド管理者: サービスから開始できるすべてのタスクを実行できます。

    コンソールで [管理] タブと [監視] タブを表示できます。この役割は、必ず「すべて」スコープと結合されています。スコープは変更できません。

    この役割の名前を混同しないでください。カスタムアクセス権クラウド管理者は、Citrix Cloudレベルのタスクを実行できません(Citrix Cloudのタスクにはフルアクセス権が必要です)。

  • 読み取り専用管理者:(全体的な情報のほかに)指定されたスコープ内のすべてのオブジェクトを表示できますが、変更はできません。たとえば、「大阪」というスコープを作成して読み取り専用管理者に割り当てると、グローバルオブジェクトと、[大阪]スコープのオブジェクト(大阪支社用のデリバリーグループなど)を表示できます。ただし、この管理者は「ニューヨーク」スコープのオブジェクトを表示できません。

    コンソールで [管理] タブを表示できます。[監視] タブは表示できません。スコープは変更できます。

  • ヘルプデスク管理者: デリバリーグループを表示し、デリバリーグループに関連付けられているセッションとマシンを管理できます。監視対象のデリバリーグループについて、マシンカタログとホスト情報を表示できます。また、それらのデリバリーグループ内のマシンのセッションや電源を管理できます。

    コンソールで [監視] タブを表示できます。[管理] タブは表示できません。この役割は、必ず「すべて」スコープと結合されています。スコープは変更できません。

  • マシンカタログ管理者: マシンカタログの作成と管理や、マシンカタログへのマシンのプロビジョニングができます。基本イメージの管理やソフトウェアのインストールができますが、アプリケーションやデスクトップをユーザーに割り当てることはできません。

    コンソールで [管理] タブを表示できます。[監視] タブは表示できません。スコープは変更できます。

  • デリバリーグループ管理者: アプリケーション、デスクトップ、およびマシンを配信できます。関連セッションを管理することもできます。ポリシーや電源管理設定など、アプリケーションおよびデスクトップの構成を管理できます。

    コンソールで [管理] タブを表示できます。[監視] タブは表示できません。スコープは変更できます。

  • ホスト管理者: ホスト接続およびその関連リソース設定を管理できます。マシン、アプリケーション、またはデスクトップをユーザーに配信することはできません。

    コンソールで [管理] タブを表示できます。[監視] タブは表示できません。スコープは変更できます。

  • セッション管理者: 監視されているデリバリーグループを表示し、関連するセッションとマシンを管理できます。

    コンソールで [監視] タブを表示できます。[管理] タブは表示できません。スコープは変更できません。

  • 完全な管理者: すべてのタスクと操作を実行できます。完全な管理者は、常に [すべて]のスコープ と結び付けられています。

    コンソールで [管理] タブと [監視] タブを表示できます。この役割は、常に [すべて]のスコープ と結び付けられています。スコープは変更できません。

  • 完全なモニター管理者: [監視] タブのすべてのビューとコマンドに対するフルアクセス権限があります。

    コンソールで [監視] タブを表示できます。[管理] タブは表示できません。スコープは変更できません。

  • プローブエージェント管理者: プローブエージェントAPIへのアクセス権限があります。

    コンソールで [監視] タブを表示できます。[管理] タブは表示できません。[アプリケーション] ページへの読み取り専用アクセス権限がありますが、他のビューにはアクセスできません。

次の表は、サービス内の各カスタムアクセス権役割にどのコンソールタブが表示されるかと、役割をカスタムスコープと共に使用できるかどうかの一覧です。

カスタムアクセス権管理者役割 コンソールで [管理] タブを表示できるか コンソールで [監視] タブを表示できるか 役割をカスタムスコープと共に使用できるか
クラウド管理者 はい はい いいえ
読み取り専用管理者 はい いいえ はい
ヘルプデスク管理者 いいえ はい いいえ
マシンカタログ管理者 はい いいえ はい
デリバリーグループ管理者 はい いいえ はい
ホスト管理者 はい いいえ はい
セッション管理者 いいえ はい いいえ
すべての管理権限を実行できる管理者 はい はい いいえ
完全なモニター管理者 いいえ はい いいえ
Probe Agent管理者 いいえ はい いいえ

注:

クラウド管理者およびヘルプデスク管理者以外のカスタムアクセス権管理者役割は、Citrix Managed Desktops、Virtual Apps Essentials、Virtual Desktops Essentialsで利用できません。

役割に関連付けられた権限を表示するには:

  1. まだCitrix Cloudにサインインしていない場合は、サインインします。左上のメニューで、[マイサービス]>[Virtual Apps and Desktops] を選択します。[管理] タブを選択します。
  2. ナビゲーションペインで [構成]>[管理者] の順にクリックし、[役割] タブをクリックします。
  3. 中央上部のペインで役割を選択します。下部のペインの [役割定義] タブに、カテゴリと権限が一覧表示されます。カテゴリを選択すると、特定の権限が表示されます。[管理者] タブには、選択した役割が割り当てられている管理者が一覧表示されます。

    既知の問題:[管理] コンソールのすべての管理権限を実行できる管理者のエントリに、フルアクセス権サービス管理者の正しい権限セットが表示されません。

必要な管理者の数

一般的に、管理者数およびその権限の細分性は、環境の規模と複雑度に応じて異なります。

  • 小規模または検証用の展開サイトでは、1人または少数の管理者ですべてを管理します。カスタムアクセス権を持つ委任管理者は存在しません。この場合、各管理者はフルアクセス権を持ち、必ず「すべて」スコープを持ちます。
  • より多くのマシン、アプリケーション、およびデスクトップがあるサイトでは、委任管理者の配置が必要になります。何人かの管理者に、より専門的な管理責任(役割)を付与できます。たとえば、2人にフルアクセス権を付与し、残りをヘルプデスク管理者にします。さらに、特定部門のマシンカタログなど、オブジェクトの特定グループ(スコープ)の管理を1人の管理者に任せることもできます。この場合は、新しいスコープを作成し、適切なカスタムアクセス権役割とスコープを持つ管理者を作成します。

管理者の管理の概要

サービスに管理者を設定する手順は、次のとおりです:

  1. 新しい管理者に付与する役割が、(Citrix Cloudのすべてのサブスクライブされたサービスを含む)すべての管理権限を実行できる管理者の役割または組み込みの役割以外である場合、カスタム役割の作成を実行します。

  2. 新しい管理者に「すべて」以外のスコープを設定する場合(また、目的の役割に別のスコープが許可されており、そのスコープがまだ作成されていない場合)は、スコープの作成を実行します。

  3. Citrix Cloudで、管理者の招待を実行します。新しい管理者にデフォルトのフルアクセス権以外の権限を付与する場合は、カスタムアクセス権役割/スコープのペアを指定します。

後から管理者のアクセス権(役割とスコープ)を変更する場合は、「カスタムアクセス権の構成」を参照してください。

管理者の招待

管理者を追加するには、Citrix Cloudアカウントに管理者を追加するのガイダンスに従います。ここでは、その情報の一部を繰り返します。

重要:

「カスタム」と「カスタムアクセス権」の使用方法を混同しないでください。

  • 管理者を作成し、Citrix Cloudコンソールでサービスの役割を割り当てる場合、「カスタムアクセス権」という用語には、組み込みの役割とサービスの [管理] コンソールで作成された追加のカスタム役割が含まれます。
  • サービスの [管理] コンソールにおける「カスタム」は、組み込みの役割から区別するための呼称です。

管理者を追加し招待するには:

  1. Citrix Cloudにサインインした後、左上のメニューで [IDおよびアクセス管理] を選択します。

  2. [IDおよびアクセス管理] ページで [管理者] をクリックします。アカウント内の現在の管理者が一覧表示されます。
  3. [追加する管理者の場所] をクリックしてから、認証方法を選択します。そのユーザーのメールアドレスを入力します。必要に応じて、役割/スコープのペアを選択します。

    カスタムアクセス権役割/スコープのペアを選択しない場合、新しい管理者には、デフォルトでフルアクセス権が割り当てられます。その設定には、Citrix Cloud内のすべての顧客管理者機能およびサブスクライブしているすべてのサービスへのアクセスが含まれます。

    その管理者に、より限定的なアクセス権を付与する場合は、カスタムアクセス権役割/スコープのペアを選択します。このようにして、新しい管理者は、初めてCitrix Cloudにサインインするときに、意図した権限を与えられます。

  4. [招待] をクリックします。Citrix Cloudは、指定されたメールアドレスに招待状を送信し、管理者を一覧に追加します。

    メールを受信した管理者は、[参加] リンクをクリックして招待を承諾します。

役割の作成と管理

管理者が役割を作成または編集する場合、自身が持っている権限のみを有効にできます。これにより、管理者は現在よりも多くの権限を持つ役割を作成して自身に割り当てる(または既に割り当てられた役割を編集する)ことができなくなります。

カスタム役割には、Unicode文字で64文字以下の名前を付けることができます。名前には、次の文字は使用できません:バックスラッシュ、スラッシュ、セミコロン、コロン、番号記号、コンマ、アスタリスク、疑問符、等号、小なり記号、大なり記号、パイプ、角かっこ、丸かっこ、二重引用符、およびアポストロフィ。

役割の説明には、256文字までのUnicode文字を入力できます。

  1. まだCitrix Cloudにサインインしていない場合は、サインインします。左上のメニューで、[マイサービス]>[Virtual Apps and Desktops] を選択します。[管理] タブを選択します。
  2. ナビゲーションペインで [構成]>[管理者] の順にクリックし、中央ペインの上部の [役割] タブをクリックします。
  3. 完了するタスク用の手順を実行します:

    • 役割の詳細を表示する: 中央ペインでその役割を選択します。中央ペインの下部に、その役割のオブジェクトの種類および許可される権限が表示されます。ここで [管理者] タブをクリックすると、その役割が割り当てられている管理者が表示されます。
    • カスタム役割を作成する: [操作]ペインの [役割の作成] をクリックします。名前と説明を入力します。この役割に割り当てるオブジェクトの種類と権限を選択します。完了したら、[保存] をクリックします。

      [役割の作成]ダイアログボックス

    • 役割をコピーする: 中央ペインで役割を選択し、[操作]ペインの [役割のコピー] をクリックします。必要に応じて、役割の名前、説明、および権限を変更します。完了したら、[保存] をクリックします。
    • カスタム役割を編集する: 中央ペインで役割を選択し、[操作]ペインの [役割の編集] をクリックします。必要に応じて、役割の名前、説明、および権限を変更します。組み込みの役割を編集することはできません。完了したら、[保存] をクリックします。
    • カスタム役割を削除する: 中央ペインで役割を選択し、[操作]ペインの [役割の削除] をクリックします。確認のメッセージが表示されたら、[削除]をクリックします。組み込みの役割を削除することはできません。管理者に割り当てられたカスタム役割は削除できません。

スコープの作成と管理

デフォルトでは、すべての役割に、関連オブジェクトの [すべて] スコープが設定されています。たとえば、デリバリーグループ管理者は、すべてのデリバリーグループを管理できます。一部の管理者役割では、その管理者役割が関連オブジェクトの一部にアクセスできるようにスコープを作成できます。たとえば、すべてのカタログではなく特定の種類のマシンを含むカタログのみに、マシンカタログ管理者がアクセスできるようにすることができます。

  • フルアクセス権管理者またはカスタムアクセス権クラウド管理者は、読み取り専用管理者、マシンカタログ管理者、デリバリーグループ管理者、およびホスト管理者の役割のスコープを作成できます。
  • スコープをフルアクセス権管理者用に作成することや、クラウド管理者またはヘルプデスク管理者用に作成することはできません。これらの管理者には、必ず[すべて]スコープが設定されます。

スコープの作成と管理のルール:

  • スコープには、Unicode文字で64文字以下の名前を付けることができます。名前には、次の文字は使用できません:バックスラッシュ、スラッシュ、セミコロン、 コロン、番号記号、コンマ、アスタリスク、疑問符、等号、小なり記号、大なり記号、パイプ、角かっこ、丸かっこ、二重引用符、およびアポストロフィ。
  • スコープの説明には、256文字までのUnicode文字を入力できます。
  • スコープをコピーまたは編集するときにオブジェクトをスコープから削除すると、管理者がそのオブジェクトにアクセスできなくなる可能性があることに注意してください。編集するスコープにいくつかの役割が関連付けられている場合は、編集により役割/スコープのペアが使用できなくならないかどうかを確認してください。

スコープを作成し管理するには:

  1. まだCitrix Cloudにサインインしていない場合は、サインインします。左上のメニューで、[マイサービス]>[Virtual Apps and Desktops] を選択します。[管理] タブを選択します。
  2. ナビゲーションペインで [構成]>[管理者] の順にクリックし、中央ペイン上部の [スコープ] タブをクリックします。
  3. 完了するタスク用の手順を実行します:

    • スコープの詳細を表示する: 中央ペインでその役割を選択します。中央ペインの下部に、その役割のオブジェクトの種類および許可される権限が表示されます。ここで [管理者] タブをクリックすると、その役割が割り当てられている管理者が表示されます。
    • スコープを作成する: [操作]ペインの [スコープの作成] をクリックします。名前と説明を入力します。オブジェクトは、デリバリーグループやマシンカタログなど、種類別に一覧表示されます。
      • オブジェクトの種類のチェックボックスをオンにすると、その種類のすべてのオブジェクト(たとえば、すべてのデリバリーグループ)がスコープに追加されます。
      • 特定の種類の個々のオブジェクトを追加するには、その種類を展開してから、そのオブジェクトのチェックボックス(たとえば、特定のデリバリーグループ)をオンにします。

      完了したら、[保存] をクリックします。

      [スコープの作成]ダイアログボックス

    • スコープのコピー: 中央ペインでスコープを選択し、[操作]ペインの [スコープのコピー] をクリックします。名前と説明を変更します。必要に応じて、オブジェクトの種類とオブジェクトを変更します。完了したら、[保存] をクリックします。
    • スコープの編集: 中央ペインでスコープを選択し、[操作]ペインの [スコープの編集] をクリックします。必要に応じて、名前、説明、オブジェクトの種類、およびオブジェクトを変更します。完了したら、[保存] をクリックします。
    • スコープの削除: 中央ペインでスコープを選択し、[操作]ペインの [スコープの削除] をクリックします。確認のメッセージが表示されたら、[削除]をクリックします。

      スコープが役割に割り当てられている場合、そのスコープは削除できません。これを行おうとすると、権限がないことを示すエラーメッセージが表示されます。実際に、このスコープを使用する役割/スコープのペアが管理者に割り当てられているので、このエラーが発生します。まず、その役割/スコープのペアの割り当てを、それを使用するすべての管理者から削除します。次に、[管理] コンソールのスコープを削除します。

スコープを作成すると、そのスコープが適切な役割とペアでCitrix Cloudコンソール内の [カスタムアクセス] ボックスの一覧に表示されます。それを管理者に割り当てることができます。

たとえば、CADという名前のスコープを作成し、CADアプリケーションに適したマシンを含むカタログを選択するとします。Citrix Cloudコンソールに戻ると、サービスレベルのカスタムアクセス権役割/スコープのペアの一覧に新しいエントリが追加されています(太字で表示):

  • クラウド管理者、すべて
  • デリバリーグループ管理者、すべて
  • デリバリーグループ管理者、CAD
  • ヘルプデスク管理者、すべて
  • ホスト管理者、すべて
  • ホスト管理者、CAD
  • マシンカタログ管理者、すべて
  • マシンカタログ管理者、CAD
  • 読み取り専用、すべて
  • 読み取り専用、CAD

クラウド管理者とヘルプデスク管理者には必ず「すべて」スコープが設定されているため、「CAD」スコープは適用されません。

管理者のカスタムアクセス権の構成

デフォルトでは、管理者を招待すると、それらの管理者にフルアクセス権が与えられます。

注:フルアクセス権があると、管理者は、サブスクライブしているすべてのサービス、および顧客管理者のCitrix Cloud操作(管理者を追加で招待するなど)を管理できます。Citrix Cloud環境には、フルアクセス権を持つ管理者が少なくとも1人必要です。

管理者のカスタムアクセス権を構成するには:

  1. まだCitrix Cloudにサインインしていない場合は、サインインします。左上のメニューで [IDおよびアクセス管理]>[管理者] を選択します。
  2. 管理する管理者を見つけ、省略記号メニューをクリックし、[アクセスの編集] を選択します。
  3. [カスタムアクセス] を選択します。サービス固有のカスタムアクセス権を構成するには、[Virtual Apps and Desktops] の下の[カスタムアクセス]ボックスの一覧で役割/スコープのペアの横にあるチェックボックスをオンまたはオフにします。

    スコープを作成せずに役割に割り当てた場合は、[カスタムアクセス]ボックスの一覧にあるすべての役割に「すべて」スコープが設定されます。たとえば、[デリバリーグループ管理者、すべて] という役割/スコープのエントリは、その役割に「すべて」スコープが設定されていることを示します。

    役割またはスコープを作成した場合、サービスのカスタムアクセス権一覧に表示され、選択できます。たとえば、Catalog1という名前のスコープを作成した場合は、カスタムアクセス権一覧に、デフォルトの [マシンカタログ管理者、すべて] エントリのほかに、[マシンカタログ管理者、Catalog1] エントリが表示されます。

  4. 編集対象の管理者に既にカスタムアクセス権があり、その管理者にフルアクセス権を与える場合は、[フルアクセス] を選択します。
  5. 完了したら、[保存] をクリックします。

次のスクリーンショットは、フルアクセス権とカスタムアクセス権を持つ組み込みの管理者役割を示しています。

カスタムアクセス権の表示

オンプレミスCitrix Virtual Apps and Desktopsとの相違点

オンプレミスのCitrix Virtual Apps and Desktopsバージョンの委任管理を使い慣れている場合は、サービスバージョンにはいくつかの違いがあることに注意してください。

Citrix Cloudの場合:

  • 管理者は、Active Directoryアカウントではなく、Citrix Cloudログインによって識別されます。Active Directoryの個人(グループではない)の役割/スコープのペアを作成できます。
  • 管理者の作成、構成、削除は、サービスの [管理] コンソール(Studio)ではなくCitrix Cloudコンソールで行います。
  • 管理者への役割/スコープのペアの割り当ては、サービスの [管理] コンソール(Studio)ではなくCitrix Cloudコンソールで行います。
  • レポートは利用できません。[管理] コンソールでは、管理者、役割、およびスコープ情報を表示できます。
  • カスタムアクセス権クラウド管理者は、オンプレミスバージョンでのすべての管理権限を実行できる管理者に似ています。どちらも、使用しているCitrix Virtual Apps and Desktopsバージョンでの、管理と監視のすべての権限があります。ただし、このサービスでは、すべての管理権限を実行できる管理者という名前の役割はありません。Citrix Cloudでの「フルアクセス」を、オンプレミスのCitrix Virtual Apps and Desktopsでの「すべての管理権限を実行できる管理者」と同等と見なさないでください。Citrix Cloudでの「フルアクセス」とは、プラットフォームレベルのドメイン、ライブラリ、通知、およびリソースの場所に加え、サブスクライブしているすべてのサービスに及びます。

以前のサービスリリースとの相違点

拡張カスタムアクセス権機能のリリース(2018年9月)の前は、次の2つのカスタムアクセス権管理者役割がありました:すべての管理権限を実行できる管理者、およびヘルプデスク管理者。環境で委任管理(プラットフォームの設定)が有効になっている場合、それらの役割は自動的にマップされます。

  • カスタムアクセス権を持つ Virtual Apps and Desktops(またはXenAppおよびXenDesktop)サービス:すべての管理権限を実行できる管理者 として以前に構成されていた管理者は、カスタムアクセス権クラウド管理者になりました。
  • カスタムアクセス権を持つ Virtual Apps and Desktops(またはXenAppおよびXenDesktop)サービス:ヘルプデスク管理者 として以前に構成されていた管理者は、カスタムアクセス権ヘルプデスク管理者になりました。

詳細情報の表示

サービスの [監視] コンソールで使用される管理者、役割、スコープについて詳しくは、「委任管理と監視」を参照してください。