委任された管理
注:
Citrix Virtual Apps and Desktops™の展開は、WebベースのWeb StudioとWindowsベースのCitrix Studioという2つの管理コンソールを使用して管理できます。本記事では、Web Studioのみを対象としています。Citrix Studioに関する詳細については、Citrix Virtual Apps and Desktops 7 2212以前のバージョンにおける同等の記事をご参照ください。
委任管理モデルは、役割ベースおよびオブジェクトベースの制御を使用して、組織が管理アクティビティを委任する方法に合わせて柔軟性を提供します。委任管理は、あらゆる規模の展開に対応し、展開の複雑さが増すにつれて、より詳細な権限の粒度を構成できます。委任管理では、管理者、役割、スコープの3つの概念を使用します。
-
管理者: 管理者は、Active Directoryアカウントによって識別される個人またはグループを表します。各管理者は、1つ以上の役割とスコープのペアに関連付けられています。
-
役割: 役割は職務を表し、それに関連付けられた定義済みの権限を持ちます。たとえば、デリバリーグループ管理者役割には、「デリバリーグループの作成」や「デリバリーグループからのデスクトップの削除」などの権限があります。管理者はサイトに対して複数の役割を持つことができるため、ある人物がデリバリーグループ管理者とマシンカタログ管理者の両方になることができます。役割は組み込みまたはカスタムにできます。
組み込みの役割は次のとおりです。
役割 アクセス権限 フル管理者 すべてのタスクと操作を実行できます。フル管理者は常に「すべてのスコープ」と組み合わされます。 読み取り専用管理者 グローバル情報に加えて、指定されたスコープ内のすべてのオブジェクトを表示できますが、何も変更できません。たとえば、Scope=Londonの読み取り専用管理者は、すべてのグローバルオブジェクト(構成ログなど)とLondonスコープのオブジェクト(Londonデリバリーグループなど)を表示できます。ただし、その管理者はNew Yorkスコープ内のオブジェクトを表示できません(LondonスコープとNew Yorkスコープが重複しないと仮定した場合)。 ヘルプデスク管理者 デリバリーグループを表示し、それらのグループに関連付けられたセッションとマシンを管理できます。監視対象のデリバリーグループのマシンカタログとホスト情報を表示できます。また、それらのデリバリーグループ内のマシンに対して、セッション管理とマシン電源管理操作を実行できます。 マシンカタログ管理者 マシンカタログを作成および管理し、マシンをそれらにプロビジョニングできます。仮想化インフラストラクチャ、Provisioning Services、および物理マシンからマシンカタログを構築できます。この役割は、ベースイメージを管理し、ソフトウェアをインストールできますが、アプリケーションまたはデスクトップをユーザーに割り当てることはできません。 デリバリーグループ管理者 アプリケーション、デスクトップ、およびマシンを配信できます。また、関連するセッションを管理することもできます。ポリシーや電源管理設定などのアプリケーションおよびデスクトップ構成も管理できます。 ホスト管理者 ホスト接続とそれに関連するリソース設定を管理できます。マシン、アプリケーション、またはデスクトップをユーザーに配信することはできません。 特定の製品エディションでは、組織の要件に合わせてカスタムロールを作成し、より詳細に権限を委任できます。カスタムロールを使用して、コンソール内のアクションまたはタスクの粒度で権限を割り当てることができます。
-
スコープ: スコープはオブジェクトのコレクションを表します。スコープは、組織に関連する方法でオブジェクトをグループ化するために使用されます(たとえば、営業チームが使用するデリバリーグループのセットなど)。オブジェクトは複数のスコープに属することができます。オブジェクトには1つ以上のスコープがラベル付けされていると考えることができます。組み込みスコープは1つだけです。「All」で、すべてのオブジェクトが含まれます。フル管理者ロールは常にAllスコープとペアになります。
例
XYZ社は、部門(経理、営業、倉庫)とデスクトップオペレーティングシステム(Windows 7またはWindows 8)に基づいてアプリケーションとデスクトップを管理することにしました。管理者は5つのスコープを作成し、各デリバリーグループに2つのスコープをラベル付けしました。1つは使用される部門用、もう1つは使用されるオペレーティングシステム用です。
次の管理者が作成されました。
| 管理者 | 役割 | スコープ |
|---|---|---|
| ドメイン/fred | フル管理者 | すべて (フル管理者ロールには常にすべてのスコープがあります) |
| ドメイン/rob | 読み取り専用管理者 | すべて |
| ドメイン/heidi | 読み取り専用管理者、ヘルプデスク管理者 | すべての営業 |
| ドメイン/ウェアハウス管理者 | ヘルプデスク管理者 | ウェアハウス |
| ドメイン/peter | デリバリーグループ管理者、マシンカタログ管理者 | Win7 |
- Fredはフル管理者であり、システム内のすべてのオブジェクトを表示、編集、削除できます。
- Robはサイト内のすべてのオブジェクトを表示できますが、編集または削除はできません。
- ハイジはすべてのオブジェクトを表示でき、Salesスコープ内のデリバリーグループに対してヘルプデスクタスクを実行できます。これにより、彼女はそれらのグループに関連付けられたセッションとマシンを管理できますが、マシンの追加や削除など、デリバリーグループに変更を加えることはできません。
- warehouseadmin Active Directoryセキュリティグループのメンバーであるすべてのユーザーは、Warehouseスコープ内のマシンを表示し、ヘルプデスクタスクを実行できます。
- ピーターはWindows 7のスペシャリストであり、どの部門スコープに属しているかに関わらず、すべてのWindows 7マシンカタログを管理し、Windows 7アプリケーション、デスクトップ、およびマシンを配信できます。管理者はピーターをWin7スコープのフル管理者とすることを検討しました。しかし、フル管理者は「サイト」や「管理者」など、スコープが設定されていないすべてのオブジェクトに対しても完全な権限を持つため、この案は却下されました。
委任管理の使用方法
一般に、管理者の数とその権限の粒度は、展開の規模と複雑さによって異なります。
- 小規模な展開や概念実証の展開では、1人または数人の管理者がすべての作業を行います。委任はありません。この場合、各管理者を、すべてのスコープを持つ組み込みのフル管理者ロールで作成します。
- より多くのマシン、アプリケーション、デスクトップを含む大規模な展開では、より多くの委任が必要です。複数の管理者が、より具体的な機能的責任(ロール)を持つ場合があります。たとえば、2人がフル管理者で、他の管理者がヘルプデスク管理者であるといったケースです。また、管理者はマシンカタログなど、特定のオブジェクトグループ(スコープ)のみを管理する場合があります。この場合、新しいスコープを作成し、組み込みロールのいずれかと適切なスコープを持つ管理者を作成します。
- さらに大規模な展開では、より多くの(またはより具体的な)スコープと、型にはまらないロールを持つ異なる管理者が必要になる場合があります。この場合、スコープを編集または追加作成し、カスタムロールを作成し、組み込みロールまたはカスタムロール、および既存のスコープと新しいスコープを持つ各管理者を作成します。
柔軟性と構成の容易さのために、管理者を作成する際にスコープを作成できます。また、マシンカタログまたは接続を作成または編集する際にもスコープを指定できます。
管理者の作成と管理
ローカル管理者としてサイトを作成すると、ユーザーアカウントは自動的にすべてのオブジェクトに対する完全な権限を持つフル管理者になります。サイトが作成された後、ローカル管理者には特別な権限はありません。
フル管理者ロールは常にすべてのスコープを持ちます。これを変更することはできません。
デフォルトでは、管理者は有効になっています。管理者を作成したばかりで、その人が後で管理業務を開始する場合、管理者を無効にする必要があるかもしれません。既存の有効な管理者については、オブジェクト/スコープを再編成している間、一部を無効にし、更新された構成で運用を開始する準備ができたときに再度有効にしたい場合があります。有効なフル管理者がいなくなる場合、フル管理者を無効にすることはできません。有効/無効のチェックボックスは、管理者を作成、コピー、または編集する際に利用できます。
管理者をコピー、編集、または削除する際にロール/スコープのペアを削除すると、その管理者に対するロールとスコープ間の関係のみが削除されます。ロールまたはスコープのいずれも削除されません。また、そのロール/スコープのペアで構成されている他の管理者にも影響しません。
管理者を作成および管理するには、次の手順に従います。
-
Web Studioにサインインし、左ペインで [Administrators] をクリックし、 [Administrators] タブをクリックします。
-
実行するタスクの手順に従います。
- 管理者を作成する: アクションバーで [Create Administrator] をクリックします。ユーザーアカウント名を入力または参照し、スコープを選択または作成してから、役割を選択します。新しい管理者はデフォルトで有効になっています。これは変更できます。
- 管理者をコピーする: 管理者を選択し、アクションバーで [Copy Administrator] をクリックします。ユーザーアカウント名を入力または参照します。役割/スコープのペアを選択して編集または削除したり、新しいペアを追加したりできます。新しい管理者はデフォルトで有効になっています。これは変更できます。
- 管理者を編集する: 管理者を選択し、アクションバーで [Edit Administrator] をクリックします。役割/スコープのペアを編集または削除したり、新しいペアを追加したりできます。
- 管理者を削除する: 管理者を選択し、アクションバーで [Delete Administrator] をクリックします。有効なフル管理者がいなくなる場合は、フル管理者を削除できません。
上部のペインには、作成した管理者が表示されます。管理者を選択すると、下部のペインにその詳細が表示されます。 [Warnings] 列は、管理者に関連付けられている役割とスコープのペアに、使用できない役割またはスコープが含まれているかどうかを示します。関連付けられている役割とスコープのペアに、使用できない役割またはスコープが含まれている場合、次の警告メッセージが表示されます。
- 関連付けられている役割またはスコープが使用できません
重要:
警告メッセージは、関連付けられている役割とスコープのペアに、使用できない役割、使用できないスコープ、またはその両方が含まれている場合にのみ表示されます。
管理者から役割とスコープのペアを削除するには、次のいずれかの手順を実行します。
- 役割とスコープのペアを削除します。
- アクションバーで [Edit Administrator] をクリックします。
- [Administrator Name and Details] ウィンドウで、役割とスコープのペアを選択し、 [Delete] をクリックします。
- 「保存」をクリックして終了します。
- 管理者を削除します。
- アクションバーで、「管理者削除」をクリックします。
- 確認ウィンドウで、「削除」をクリックします。
ロールの作成と管理
管理者がロールを作成または編集する場合、自分自身が持っている権限のみを有効にできます。これにより、管理者が現在持っている権限よりも多くの権限を持つロールを作成し、それを自分自身に割り当てたり(またはすでに割り当てられているロールを編集したりする)ことを防ぎます。
ロール名には最大64個のUnicode文字を含めることができます。ただし、バックスラッシュ、スラッシュ、セミコロン、コロン、ポンド記号、コンマ、アスタリスク、疑問符、等号、左右の矢印、パイプ、左右の角括弧、左右の丸括弧、引用符、アポストロフィは含めることができません。説明には最大256個のUnicode文字を含めることができます。
組み込みロールを編集または削除することはできません。いずれかの管理者が使用しているカスタムロールを削除することはできません。
注:
特定の製品エディションのみがカスタムロールをサポートしています。カスタムロールをサポートするエディションのみが、アクションバーに関連エントリを持っています。
ロールを作成および管理するには、次の手順に従います。
-
Web Studioにサインインし、左ペインで「管理者」をクリックし、次に「ロール」タブをクリックします。
-
実行したいタスクの手順に従います。
- ロールの詳細を表示: ロールを選択します。下部のペインに、ロールのオブジェクトタイプと関連する権限が一覧表示されます。下部のペインにある「管理者」タブをクリックすると、現在このロールを持つ管理者の一覧が表示されます。
- カスタムロールを作成: アクションペインで「ロールの作成」をクリックします。名前と説明を入力します。オブジェクトタイプと権限を選択します。
- 役割のコピー: 役割を選択し、アクションバーで [役割のコピー] をクリックします。必要に応じて、名前、説明、オブジェクトの種類、および権限を変更します。
- カスタム役割の編集: 役割を選択し、アクションバーで [役割の編集] をクリックします。必要に応じて、名前、説明、オブジェクトの種類、および権限を変更します。
- カスタム役割の削除: 役割を選択し、アクションバーで [役割の削除] をクリックします。プロンプトが表示されたら、削除を確定します。
スコープの作成と管理
サイトを作成するときに利用できるスコープは「すべて」スコープのみであり、これは削除できません。
次の手順でスコープを作成できます。管理者を作成するときにスコープを作成することもできます。各管理者は、少なくとも1つの役割とスコープのペアに関連付けられている必要があります。デスクトップ、マシンカタログ、アプリケーション、またはホストを作成または編集するときに、それらを既存のスコープに追加できます。スコープに追加しない場合、それらは「すべて」スコープの一部として残ります。
サイトの作成はスコープ化できず、委任された管理オブジェクト(スコープと役割)もスコープ化できません。ただし、スコープ化できないオブジェクトは「すべて」スコープに含まれます。(フル管理者は常に「すべて」スコープを持っています。)マシン、電源操作、デスクトップ、およびセッションは直接スコープ化されません。管理者は、関連付けられたマシンカタログまたはデリバリーグループを通じて、これらのオブジェクトに対する権限を割り当てることができます。
スコープを作成および管理するためのルール:
-
スコープ名には、最大64個のUnicode文字を含めることができます。スコープ名には、バックスラッシュ、スラッシュ、セミコロン、コロン、ポンド記号、コンマ、アスタリスク、疑問符、等号、左矢印、右矢印、パイプ、左右の角かっこ、左右の丸かっこ、引用符、またはアポストロフィを含めることはできません。
-
スコープの説明には、最大256個のUnicode文字を含めることができます。
-
スコープをコピーまたは編集するときは、スコープからオブジェクトを削除すると、それらのオブジェクトが管理者からアクセスできなくなる可能性があることに注意してください。編集されたスコープが1つ以上の役割とペアになっている場合、スコープの更新によって役割/スコープのペアが使用不能にならないようにしてください。
スコープを作成および管理するには、次の手順に従います。
-
Web Studioにサインインし、左ペインで [管理者] をクリックし、[スコープ] タブをクリックします。
-
完了したいタスクの手順に従います。
- スコープの作成: アクションバーで [新しいスコープの作成] をクリックします。名前と説明を入力します。特定の種類のすべてのオブジェクト(例:デリバリーグループ)を含めるには、オブジェクトの種類を選択します。特定のオブジェクトを含めるには、種類を展開し、個々のオブジェクト(例:営業チームが使用するデリバリーグループ)を選択します。
- スコープのコピー: スコープを選択し、アクションバーでスコープのコピーをクリックします。名前と説明を入力します。必要に応じて、オブジェクトの種類とオブジェクトを変更します。
- スコープの編集: スコープを選択し、アクションバーでスコープの編集をクリックします。必要に応じて、名前、説明、オブジェクトの種類、およびオブジェクトを変更します。
- スコープの削除: スコープを選択し、アクションバーでスコープの削除をクリックします。プロンプトが表示されたら、削除を確定します。
テナント管理をセットアップする
単一のCitrix Virtual Apps and Desktopsサイト内に管理パーティションを作成するために、テナント管理をセットアップします。各テナントには、マシンカタログやデリバリーグループなどの分離されたリソースと構成があります。特定のテナントへのアクセス権を持つ管理者は、そのテナントに関連付けられたリソースと構成のみを管理できます。使用例としては、単一サイト内に異なるビジネスサイロ(独立した部門または個別のIT管理チーム)を持つ企業が挙げられます。
大まかに言うと、テナント管理をセットアップするためのワークフローには以下が含まれます。
テナントを作成する
テナントスコープを作成してテナントを作成します。詳細な手順は次のとおりです。
- Web Studioにサインインし、左ペインで管理者をクリックし、スコープタブをクリックします。
- スコープの作成をクリックして、テナントの作成を開始します。
- テナントスコープの以下の詳細を入力します。
- スコープのわかりやすい名前を入力します。この名前はテナントの識別子としても機能します。
- (オプション)簡単な説明を入力します。
- 「テナントスコープ」を選択します。
- 必要に応じて、テナントに関連付けられているオブジェクトを選択します。オブジェクトの作成時または管理時に、テナントスコープにオブジェクトを追加することもできます。
- 「OK」をクリックして作成を完了します。
完了後、以下が表示されます。
- 新しいテナントスコープレコードがスコープリストに表示され、「種類」列で「テナント」として識別されます。
- スコープ名は、Web Studio の右上隅にある「すべてのテナント」ドロップダウンリストに表示されます。
テナントスコープを使用する際は、次の考慮事項に留意してください。
- テナントプロパティは、ホスティング > マシンカタログ > デリバリーグループ > アプリケーションという階層的な割り当て順序に従います。下位レベルのオブジェクトは、上位レベルのオブジェクトからテナントプロパティを継承します。たとえば、テナントスコープのデリバリーグループを選択する場合は、関連するホスティングとマシンカタログも選択していることを確認してください。そうしないと、デリバリーグループはテナントのプロパティを継承できません。
- テナントスコープを作成した後、オブジェクトを変更することでテナントの割り当てを編集できます。テナントの割り当てが変更された場合でも、同じテナントまたはそれらのテナントのサブセットに割り当てる必要があるという制約が適用されます。ただし、テナントの割り当てが変更されても、下位レベルのオブジェクトは再評価されません。テナントの割り当てを変更する際は、オブジェクトが適切に制限されていることを確認してください。たとえば、マシンカタログが
TenantAとTenantBで利用可能な場合、TenantA用とTenantB用のデリバリーグループを作成できます。(TenantAとTenantBは両方ともそのマシンカタログに関連付けられています。)その後、マシンカタログをTenantAのみに関連付けるように変更できます。その結果、TenantBに関連付けられているデリバリーグループは無効になります。
テナントの管理者を追加する
管理者ロールとテナントを持つユーザーアカウントを割り当てることで、テナントの管理者を追加します。
テナントの管理者を追加するには、次の手順に従います。
- Web Studio にサインインし、左側のペインで「管理者」をクリックし、次に「管理者」タブをクリックします。
- 「管理者を追加」をクリックし、次の手順に従って完了します。
- ユーザーアカウント名を入力または参照し、「次へ」をクリックします。
- 「カスタムアクセス」を選択し、必要に応じて1つ以上の役割(例:マシンカタログ管理者)を選択します。
- 各役割の横にある「スコープの編集」をクリックし、スコープを「すべて」から目的のテナントスコープに変更して、「保存」をクリックします。
- 「次へ」をクリックします。
- 「確認と確定」ページで、「招待状を送信」をクリックします。
レポートを作成する
委任管理レポートには、次の2種類を作成できます。
-
管理者に関連付けられている役割/スコープのペアと、各オブジェクトタイプ(例:デリバリーグループやマシンカタログ)の個々の権限を一覧表示するHTMLレポート。このレポートはWeb Studioから生成します。
このレポートを作成するには、次の手順に従います。
- Web Studioにサインインし、左ペインで「管理者」をクリックします。
- 管理者を選択し、アクションバーで「レポートの作成」をクリックします。
管理者の作成、コピー、または編集時に、このレポートを要求することもできます。
-
すべての組み込み役割とカスタム役割を権限にマッピングするHTMLまたはCSVレポート。このレポートは、OutputPermissionMapping.ps1という名前のPowerShellスクリプトを実行して生成します。
このスクリプトを実行するには、フル管理者、読み取り専用管理者、または役割を読み取る権限を持つカスタム管理者である必要があります。スクリプトは、Program Files\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scriptsにあります。
構文:
OutputPermissionMapping.ps1 [-Help] [-Csv] [-Path string] [-AdminAddress string] [-Show] [CommonParameters]パラメーター 項目説明 -Helpスクリプトのヘルプを表示します。 -CsvCSV出力を指定します。デフォルト = HTML -Path string出力の書き込み先。デフォルト = stdout -AdminAddress string接続先のDelivery Controller™のIPアドレスまたはホスト名。デフォルト = localhost -Show( -Pathパラメーターも指定されている場合にのみ有効) 出力をファイルに書き込むと、-Showによって、Webブラウザーなどの適切なプログラムで出力が開かれます。共通パラメータ Verbose、Debug、ErrorAction、ErrorVariable、WarningAction、WarningVariable、OutBuffer、およびOutVariable。詳細については、Microsoftのドキュメントを参照してください。
次の例では、HTMLテーブルをRoles.htmlという名前のファイルに書き込み、そのテーブルをWebブラウザーで開きます。
& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
-Path Roles.html –Show
<!--NeedCopy-->
以下の例では、CSVテーブルをRoles.csvという名前のファイルに書き込みます。テーブルは表示されません。
& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
–CSV -Path Roles.csv
<!--NeedCopy-->
Windowsコマンドプロンプトから、前述のコマンド例は次のとおりです。
powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1'
-CSV -Path Roles.csv"
<!--NeedCopy-->