Citrix Virtual Apps and Desktops 7 2311

委任された管理

May 31, 2026

寄稿者:

C C

注:

Citrix Virtual Apps and Desktops™ の展開は、ウェブベースのウェブスタジオと、Windowsベースのシトリックススタジオという2つの管理コンソールを使用して管理できます。この記事ではウェブスタジオのみを取り扱います。シトリックススタジオについては、Citrix Virtual Apps and Desktops 7 2212 以前の同等の記事を参照してください。

委任管理モデルは、ロールベースおよびオブジェクトベースの制御を使用して、組織が管理アクティビティを委任する方法に合わせた柔軟性を提供します。委任管理はあらゆる規模の展開に対応し、展開の複雑さが増すにつれて、より詳細な権限の粒度を設定できます。委任管理では、管理者、役割、スコープの3つの概念を使用します。

管理者: 管理者は、Active Directoryアカウントによって識別される個人またはグループを表します。各管理者は、1つ以上の役割とスコープのペアに関連付けられています。

役割: 役割は職務を表し、それに関連付けられた定義済みの権限を持ちます。たとえば、デリバリーグループ管理者役割には、「デリバリーグループの作成」や「デリバリーグループからのデスクトップの削除」などの権限があります。管理者はサイトに対して複数の役割を持つことができるため、ある人物がデリバリーグループ管理者とマシンカタログ管理者の両方になることができます。役割は組み込みまたはカスタムにできます。

組み込みの役割は次のとおりです。

役割	アクセス権限
フル管理者	すべてのタスクと操作を実行できます。フル管理者は常に「すべてのスコープ」と組み合わされます。
読み取り専用管理者	グローバル情報に加えて、指定されたスコープ内のすべてのオブジェクトを表示できますが、何も変更することはできません。たとえば、Scope=Londonの読み取り専用管理者は、すべてのグローバルオブジェクト（構成ログなど）とLondonスコープのオブジェクト（Londonデリバリーグループなど）を表示できます。ただし、その管理者はNew Yorkスコープ内のオブジェクトを表示できません（LondonとNew Yorkのスコープが重複しないと仮定した場合）。
ヘルプデスク管理者	デリバリーグループを表示し、それらのグループに関連付けられたセッションとマシンを管理できます。監視対象のデリバリーグループのマシンカタログとホスト情報を表示できます。また、それらのデリバリーグループ内のマシンに対してセッション管理およびマシン電源管理操作を実行できます。
マシンカタログ管理者	マシンカタログを作成および管理し、それらにマシンをプロビジョニングできます。仮想化インフラストラクチャ、Provisioning Services、および物理マシンからマシンカタログを構築できます。この役割は、ベースイメージの管理とソフトウェアのインストールはできますが、アプリケーションやデスクトップをユーザーに割り当てることはできません。
デリバリーグループ管理者	アプリケーション、デスクトップ、およびマシンを配信できます。関連するセッションも管理できます。ポリシーや電源管理設定など、アプリケーションとデスクトップの構成も管理できます。
ホスト管理者	ホスト接続とその関連リソース設定を管理できます。マシン、アプリケーション、またはデスクトップをユーザーに配信することはできません。

特定の製品エディションでは、組織の要件に合わせてカスタムロールを作成し、より詳細な権限を委任できます。カスタムロールを使用して、コンソールでのアクションまたはタスクの粒度で権限を割り当てることができます。

スコープ: スコープはオブジェクトのコレクションを表します。スコープは、組織に関連する方法でオブジェクトをグループ化するために使用されます（たとえば、営業チームが使用するデリバリーグループのセット）。オブジェクトは複数のスコープに属することができます。オブジェクトには1つ以上のスコープがラベル付けされていると考えることができます。組み込みスコープは1つあります。「すべて」で、すべてのオブジェクトが含まれます。フル管理者ロールは常に「すべて」スコープとペアになります。

例

XYZ社は、部門（経理、営業、倉庫）とデスクトップオペレーティングシステム（Windows 7またはWindows 8）に基づいてアプリケーションとデスクトップを管理することにしました。管理者は5つのスコープを作成し、各デリバリーグループに2つのスコープをラベル付けしました。1つは使用される部門用、もう1つは使用されるオペレーティングシステム用です。

次の管理者が作成されました。

管理者	役割	スコープ
ドメイン/フレッド	フル管理者	すべて（フル管理者ロールは常にすべてのスコープを持ちます）
ドメイン/ロブ	読み取り専用管理者	すべて
ドメイン/ハイジ	読み取り専用管理者、ヘルプデスク管理者	すべての営業
ドメイン/ウェアハウスアドミン	ヘルプデスク管理者	ウェアハウス
ドメイン/ピーター	デリバリーグループ管理者、マシンカタログ管理者	Win7

Fredはフル管理者であり、システム内のすべてのオブジェクトを表示、編集、削除できます。
Robはサイト内のすべてのオブジェクトを表示できますが、編集または削除はできません。
ハイジはすべてのオブジェクトを表示でき、Salesスコープ内のデリバリーグループでヘルプデスクタスクを実行できます。これにより、彼女はそれらのグループに関連付けられたセッションとマシンを管理できますが、マシンの追加や削除など、デリバリーグループに変更を加えることはできません。
warehouseadmin Active Directoryセキュリティグループのメンバーは誰でも、Warehouseスコープ内のマシンを表示し、ヘルプデスクタスクを実行できます。
Peter is a Windows 7 specialist and can manage all Windows 7 Machine Catalogs and can deliver Windows 7 applications, desktops, and machines, regardless of which department scope they are in. The administrator considered making Peter a Full Administrator for the Win7 scope. However, she decided against this, because a Full Administrator also has full rights over all objects that are not scoped, such as ‘Site’ and ‘Administrator.’

委任管理の使用方法

一般的に、管理者の数と権限の粒度は、展開の規模と複雑さによって異なります。

In small or proof-of-concept deployments, one or a few administrators do everything. There is no delegation. In this case, create each administrator with the built-in Full Administrator role, which has the All scope.
In larger deployments with more machines, applications, and desktops, more delegation is needed. Several administrators might have more specific functional responsibilities (roles). For example, two are Full Administrators, and others are Help Desk Administrators. Also, an administrator might manage only certain groups of objects (scopes), such as machine catalogs. In this case, create new scopes, plus administrators with one of the built-in roles and the appropriate scopes.
さらに大規模な展開では、より多くの（またはより具体的な）スコープと、型破りなロールを持つ異なる管理者が必要になる場合があります。この場合、既存のスコープと新しいスコープに加えて、より多くのスコープを編集または作成し、カスタムロールを作成し、組み込みまたはカスタムロールを持つ各管理者を作成します。

柔軟性と構成の容易さのために、管理者を作成する際にスコープを作成できます。マシンカタログまたは接続を作成または編集する際にもスコープを指定できます。

管理者の作成と管理

When you create a site as a local administrator, your user account automatically becomes a Full Administrator with full permissions over all objects. After a site is created, local administrators have no special privileges.

「フル管理者」ロールは常に「すべてのスコープ」を持ちます。これは変更できません。

デフォルトでは、管理者は有効になっています。管理者を今作成しても、その人が後で管理業務を開始しない場合は、管理者を無効にする必要があるかもしれません。既存の有効な管理者については、オブジェクト/スコープを再編成している間にそのうちのいくつかを無効にし、更新された構成で稼働準備ができたときに再度有効にしたい場合があります。有効なフル管理者がいなくなる場合は、フル管理者を無効にすることはできません。管理者を作成、コピー、または編集するときに、有効/無効のチェックボックスを利用できます。

管理者をコピー、編集、または削除する際にロール/スコープのペアを削除すると、その管理者に対するロールとスコープ間の関係のみが削除されます。ロールもスコープも削除されません。また、そのロール/スコープのペアで構成されている他の管理者にも影響しません。

管理者を作成および管理するには、次の手順に従います。

Web Studioにサインインし、左ペインで管理者をクリックし、管理者タブをクリックします。
実行したいタスクの手順に従ってください。
- 管理者を作成する: アクションバーで管理者を作成をクリックします。ユーザーアカウント名を入力または参照し、スコープを選択または作成し、役割を選択します。新しい管理者はデフォルトで有効になっています。これは変更できます。
- 管理者をコピーする: 管理者を選択し、アクションバーで管理者をコピーをクリックします。ユーザーアカウント名を入力または参照します。役割/スコープのペアを選択して編集または削除したり、新しいペアを追加したりできます。新しい管理者はデフォルトで有効になっています。これは変更できます。
- 管理者を編集する: 管理者を選択し、アクションバーで管理者を編集をクリックします。役割/スコープのペアを編集または削除したり、新しいペアを追加したりできます。
- 管理者を削除する: 管理者を選択し、アクションバーで管理者を削除をクリックします。有効なフル管理者がいなくなる場合、フル管理者を削除することはできません。

上部のペインには、作成した管理者が表示されます。管理者を選択すると、下部のペインにその詳細が表示されます。警告列は、管理者に関連付けられている役割とスコープのペアに、使用できない役割またはスコープが含まれているかどうかを示します。関連付けられている役割とスコープのペアに、使用できない役割またはスコープが含まれている場合、次の警告メッセージが表示されます。

関連付けられた役割またはスコープが使用できません

重要:

警告メッセージは、関連付けられた役割とスコープのペアに、使用できない役割、スコープ、またはその両方が含まれている場合にのみ表示されます。

管理者から役割とスコープのペアを削除するには、次のいずれかの手順を実行します。

役割とスコープのペアを削除します。
1. アクションバーで、管理者を編集をクリックします。
2. 管理者名と詳細ウィンドウで、役割とスコープのペアを選択し、削除をクリックします。
3. 「保存」をクリックして終了します。
管理者を削除します。
1. アクションバーで、「管理者削除」をクリックします。
2. 確認ウィンドウで、「削除」をクリックします。

役割の作成と管理

管理者が役割を作成または編集する場合、自分自身が持っている権限のみを有効にできます。これにより、管理者は現在持っている権限よりも多くの権限を持つ役割を作成し、それを自分自身に割り当てたり（またはすでに割り当てられている役割を編集したり）することを防ぎます。

役割名には最大64文字のUnicode文字を含めることができます。ただし、バックスラッシュ、スラッシュ、セミコロン、コロン、ポンド記号、コンマ、アスタリスク、疑問符、等号、左右の矢印、パイプ、左右の角かっこ、左右の丸かっこ、引用符、アポストロフィは含めることができません。説明には最大256文字のUnicode文字を含めることができます。

組み込みの役割を編集または削除することはできません。いずれかの管理者が使用しているカスタム役割を削除することはできません。

注：

特定の製品エディションのみがカスタム役割をサポートしています。カスタム役割をサポートするエディションのみが、アクションバーに関連エントリを持っています。

役割を作成および管理するには、次の手順に従います。

Web Studioにサインインし、左ペインで「管理者」をクリックし、次に「役割」タブをクリックします。
実行したいタスクの手順に従います。
- 役割の詳細を表示： 役割を選択します。下部のペインに、その役割のオブジェクトの種類と関連する権限が一覧表示されます。下部のペインで「管理者」タブをクリックすると、現在この役割を持つ管理者の一覧が表示されます。
- カスタム役割を作成： アクションペインで「役割の作成」をクリックします。名前と説明を入力します。オブジェクトの種類と権限を選択します。
- 役割をコピーする: 役割を選択し、アクションバーの [役割のコピー] をクリックします。必要に応じて、名前、説明、オブジェクトの種類、およびアクセス許可を変更します。
- カスタム役割を編集する: 役割を選択し、アクションバーの [役割の編集] をクリックします。必要に応じて、名前、説明、オブジェクトの種類、およびアクセス許可を変更します。
- カスタム役割を削除する: 役割を選択し、アクションバーの [役割の削除] をクリックします。確認を求められたら、削除を確定します。

スコープの作成と管理

サイトを作成するときに利用できるスコープは「すべて」スコープのみであり、これは削除できません。

次の手順を使用してスコープを作成できます。管理者を作成するときにスコープを作成することもできます。各管理者は、少なくとも1つの役割とスコープのペアに関連付けられている必要があります。デスクトップ、マシンカタログ、アプリケーション、またはホストを作成または編集するときに、それらを既存のスコープに追加できます。スコープに追加しない場合、それらは「すべて」スコープの一部として残ります。

サイトの作成はスコープ化できず、委任管理オブジェクト（スコープと役割）もスコープ化できません。ただし、スコープ化できないオブジェクトは「すべて」スコープに含まれます。（フル管理者は常に「すべて」スコープを持っています。）マシン、電源操作、デスクトップ、およびセッションは直接スコープ化されません。管理者は、関連付けられたマシンカタログまたはデリバリーグループを通じて、これらのオブジェクトに対するアクセス許可を割り当てることができます。

スコープを作成および管理するためのルール：

スコープ名には、最大64個のUnicode文字を含めることができます。スコープ名に含めることができない文字は、バックスラッシュ、スラッシュ、セミコロン、コロン、ポンド記号、コンマ、アスタリスク、疑問符、等号、左矢印、右矢印、パイプ、左または右角かっこ、左または右丸かっこ、引用符、アポストロフィです。
スコープの説明には、最大256個のUnicode文字を含めることができます。
スコープをコピーまたは編集する際は、スコープからオブジェクトを削除すると、それらのオブジェクトに管理者がアクセスできなくなる可能性があることに注意してください。編集されたスコープが1つ以上の役割とペアになっている場合、スコープの更新によって役割/スコープのペアが使用不能にならないようにしてください。

スコープを作成および管理するには、次の手順に従います。

Web Studioにサインインし、左ペインで [管理者] をクリックし、[スコープ] タブをクリックします。
完了したいタスクの手順に従います。
- スコープを作成する: アクションバーの [新しいスコープの作成] をクリックします。名前と説明を入力します。特定の種類のすべてのオブジェクト（例：デリバリーグループ）を含めるには、オブジェクトの種類を選択します。特定のオブジェクトを含めるには、種類を展開して個々のオブジェクト（例：営業チームが使用するデリバリーグループ）を選択します。
- スコープのコピー: スコープを選択し、アクションバーの [スコープのコピー] をクリックします。必要に応じて、名前と説明を入力し、オブジェクトの種類とオブジェクトを変更します。
- スコープの編集: スコープを選択し、アクションバーの [スコープの編集] をクリックします。必要に応じて、名前、説明、オブジェクトの種類、およびオブジェクトを変更します。
- スコープの削除: スコープを選択し、アクションバーの [スコープの削除] をクリックします。プロンプトが表示されたら、削除を確定します。

レポートの作成

委任管理レポートは、次の2種類を作成できます。

管理者に関連付けられている役割/スコープのペアと、各種類のオブジェクト（デリバリーグループやマシンカタログなど）の個々の権限を一覧表示するHTMLレポート。このレポートはWeb Studioから生成します。

このレポートを作成するには、次の手順に従います。
1. Web Studioにサインインし、左ペインで [管理者] をクリックします。
2. 管理者を選択し、アクションバーの [レポートの作成] をクリックします。
管理者の作成、コピー、または編集時に、このレポートを要求することもできます。

すべての組み込みロールとカスタムロールを権限にマッピングするHTMLまたはCSVレポート。このレポートは、OutputPermissionMapping.ps1という名前のPowerShellスクリプトを実行して生成します。

このスクリプトを実行するには、フル管理者、読み取り専用管理者、またはロールを読み取る権限を持つカスタム管理者である必要があります。スクリプトは、Program Files\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scriptsにあります。

構文：

OutputPermissionMapping.ps1 [-Help] [-Csv] [-Path string] [-AdminAddress string] [-Show] [CommonParameters]

パラメーター	ディスクリプション
`-Help`	スクリプトのヘルプを表示します。
`-Csv`	CSV出力を指定します。デフォルト = HTML
`-Path string`	出力先。デフォルト = stdout
`-AdminAddress string`	接続先のDelivery Controller™のIPアドレスまたはホスト名。デフォルト = localhost
`-Show`	(`-Path` パラメーターも指定されている場合にのみ有効) 出力をファイルに書き込むと、`-Show` によって、Webブラウザーなどの適切なプログラムで出力が開かれます。
共通パラメーター	`Verbose`、`Debug`、`ErrorAction`、`ErrorVariable`、`WarningAction`、`WarningVariable`、`OutBuffer`、および`OutVariable`。詳細については、Microsoftのドキュメントを参照してください。

次の例では、HTMLテーブルをRoles.htmlという名前のファイルに書き込み、そのテーブルをWebブラウザーで開きます。

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
-Path Roles.html –Show
<!--NeedCopy-->

次の例では、CSVテーブルをRoles.csvという名前のファイルに書き込みます。テーブルは表示されません。

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
–CSV -Path Roles.csv
<!--NeedCopy-->

Windowsコマンドプロンプトから、前述のコマンド例は次のとおりです。

powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1'
-CSV -Path Roles.csv"
<!--NeedCopy-->

この製品ドキュメントの正式なバージョンは英語版です。英語以外のすべてのバージョンは、お客様の利便性のためにのみ提供され、機械翻訳された内容が含まれている場合があります。詳しくは、Cloud Software Group home で機械翻訳に関する免責事項（Machine Translation Disclaimer）をご覧ください。

この情報は役に立ちましたか?

委任された管理

May 31, 2026

寄稿者:

C C

May 31, 2026

寄稿者:

C C

この情報は役に立ちましたか?