Citrix Cloud 的 Azure Active Directory 权限
本文介绍 Citrix Cloud 在连接和使用 Azure Active Directory (AD) 时请求的权限。 根据 Azure AD 与 Citrix Cloud 帐户的使用方式,可能会在目标 Azure AD 租户中创建一个或多个企业应用程序。 您可以将多个 Citrix Cloud 帐户连接到一个 Azure AD 租户并使用相同的企业应用程序,而无需为每个帐户创建一组应用程序。
注意:
自 2022 年 4 月起,Citrix Cloud 用于连接您的 Azure AD 的 Azure AD 应用已更新为使用 GroupMember.Read.All 权限,而不是 Group.Read.All 权限。 如果您有现有的 Azure AD 连接(2022 年 4 月之前)并且希望应用程序使用新权限,则必须断开连接,然后将 Azure AD 重新连接到 Citrix Cloud。 此操作可确保您的帐户正在使用 Citrix Cloud 中最新的 Azure AD 应用程序。 有关详细信息,请参阅 为升级后的应用重新连接到 Azure AD。
如果您选择不更新应用程序,您现有的连接仍然可以正常运行。
企业应用程序
下表列出了 Citrix Cloud 在连接和使用 Azure AD 时使用的 Azure AD 企业应用程序以及每个应用程序的用途。
| 姓名 | 应用程序 ID | 用法 |
|---|---|---|
| Citrix Cloud | e95c4605-aeab-48d9-9c36-1a262ef8048e | 工作区订户登录 |
| Citrix Cloud | f9c0e999-22e7-409f-bb5e-956986abdf02 | Azure AD 与 Citrix Cloud 之间的默认连接 |
| Citrix Cloud | 1b32f261-b20c-4399-8368-c8f0092b4470 | 管理员邀请和登录 |
| Citrix Cloud | 5c913119-2257-4316-9994-5e8f3832265b | 使用 Citrix Endpoint Management 在 Azure AD 和 Citrix Cloud 之间建立默认连接 |
| Citrix Cloud | e067934c-b52d-4e92-b1ca-70700bd1124e | 使用 Citrix Endpoint Management 在 Azure AD 和 Citrix Cloud 之间建立旧式连接 |
权限
Citrix Cloud 企业应用程序中的权限允许 Citrix Cloud 访问 Azure AD 租户中的某些数据。 Citrix Cloud 使用这些数据执行特定功能,例如连接到您的 Azure AD 租户、允许管理员使用专用登录 URL 登录 Citrix Cloud 以及将您的 Azure AD 租户与 Endpoint Management 连接。 Citrix Cloud 只有在您同意的情况下才能访问这些数据。 这些权限代表 Citrix Cloud 与 Azure AD 一起运行所需的最少特权。 有关 Azure AD 权限和同意的详细信息,请参阅 Microsoft Azure 文档网站上的 Microsoft 身份平台中的权限和同意 。
在本文中,每组 Azure AD 应用程序权限都包含以下信息:
- API 名称: Citrix Cloud 请求权限的资源应用程序。 这些应用程序是 Microsoft Graph 和 Windows Azure Active Directory。 Citrix Cloud 向这两个资源应用程序请求相同的权限。
-
类型: Citrix Cloud 针对给定权限请求的访问级别。 给定企业应用程序中的权限可以具有以下访问级别之一:
- 委托权限 用于代表已登录用户行事,例如查询用户的个人资料时。
- 应用程序权限 在应用程序在没有用户在场的情况下执行操作时使用,例如查询特定组内的用户。 此权限类型需要 Azure AD 中全局管理员的同意。
-
声明值: Azure AD 分配给给定权限的信息字符串。 给定企业应用程序中的权限可以具有以下声明值之一:
- 用户.读取: 允许 Citrix Cloud 管理员将连接的 Azure AD 中的用户添加为 Citrix Cloud 帐户的管理员。
- User.ReadBasic.All: 从用户的个人资料收集基本信息。 它是 User.Read.All 的一个子集,但权限本身保留以实现向后兼容。
-
User.Read.All: Citrix Cloud 调用 在 Microsoft Graph 中列出用户 以启用从客户连接的 Azure AD 中浏览和选择用户。 例如,可以授予 Azure AD 用户通过工作区访问 Citrix DaaS 资源的权限。 Citrix Cloud 不能使用
User.ReadBasic.All因为 Citrix Cloud 需要访问基本配置文件之外的属性,例如onPremisesSecurityIdentifier。 - GroupMember.Read.All: Citrix Cloud 调用 Microsoft Graph 中的 列出组 以允许从客户连接的 Azure AD 中浏览和选择组。 例如,Azure AD 中的组也可以被授予对 Citrix DaaS 应用程序的访问权限。
-
Directory.Read.All: Citrix Cloud 调用 Microsoft Graph 中的 List memberOf 来获取用户的组成员身份,因为
Groups.Read.All是不够的。 - DeviceManagementApps.ReadWrite.All: 允许 Citrix Cloud 读取和写入由 Microsoft Intune 管理的属性、组分配、应用程序状态、应用程序配置和应用程序保护策略。
- Directory.AccessAsUser.All: 允许 Citrix Cloud 对目录中的信息拥有与登录用户相同的访问权限。
注意:
Directory.Read.All 仅适用于 Azure AD 与 Citrix Cloud 与 Endpoint Management之间的默认连接。
工作区订户登录
此 Citrix Cloud 应用程序(ID:e95c4605-aeab-48d9-9c36-1a262ef8048e)使用以下权限:
| API 名称 | 索赔价值 | 权限名称 | 类型 |
|---|---|---|---|
| 微软图表 | 用户.读取 | 登录并阅读用户资料 | 委派 |
Azure AD 与 Citrix Cloud 之间的默认连接
此 Citrix Cloud 应用程序(ID:f9c0e999-22e7-409f-bb5e-956986abdf02)使用以下权限:
| API 名称 | 索赔价值 | 允许 | 类型 |
|---|---|---|---|
| 微软图表 | 组成员.读取.全部 | 阅读全部群组 | 委派 |
| 微软图表 | 用户.读取基本信息.全部 | 查看所有用户的基本资料 | 委派 |
| 微软图表 | 用户.读取.全部 | 查看所有用户的完整个人资料 | 委派 |
| 微软图表 | 用户.读取 | 登录并阅读用户资料 | 委派 |
| 微软图表 | 组成员.读取.全部 | 阅读全部群组 | 应用 |
| 微软图表 | 用户.读取.全部 | 查看所有用户的完整个人资料 | 应用 |
管理员邀请和登录
此 Citrix Cloud 应用程序(ID:1b32f261-b20c-4399-8368-c8f0092b4470)使用以下权限:
| API 名称 | 索赔价值 | 权限名称 | 类型 |
|---|---|---|---|
| 微软图表 | 用户.读取 | 登录并阅读用户资料 | 委派 |
| 微软图表 | 用户.读取基本信息.全部 | 查看所有用户的基本资料 | 委派 |
Azure AD 与 Citrix Cloud 与 Endpoint Management 之间的默认连接
此 Citrix Cloud 应用程序(ID:5c913119-2257-4316-9994-5e8f3832265b)使用以下权限:
| API 名称 | 索赔价值 | 权限名称 | 类型 |
|---|---|---|---|
| 微软图表 | 组成员.读取.全部 | 阅读全部群组 | 委派 |
| 微软图表 | 用户.读取基本信息.全部 | 查看所有用户的基本资料 | 委派 |
| 微软图表 | 用户.读取 | 登录并阅读用户资料 | 委派 |
| 微软图表 | 目录.读取.全部 | 读取目录数据 | 应用 |
| 微软图表 | 目录.读取.全部 | 读取目录数据 | 委派 |
| 微软图表 | 设备管理应用程序.ReadWrite.All | 读取和编写 Microsoft Intune 应用 | 委派 |
| 微软图表 | 目录.AccessAsUser.全部 | 以登录用户身份访问目录 | 委派 |
Azure AD 与 Citrix Cloud 与 Endpoint Management 之间的旧式连接
此 Citrix Cloud 应用程序(ID:e067934c-b52d-4e92-b1ca-70700bd1124e)使用以下权限:
| API 名称 | 索赔价值 | 权限名称 | 类型 |
|---|---|---|---|
| 微软图表 | 组成员.读取.全部 | 阅读全部群组 | 委派 |
| 微软图表 | 用户.读取基本信息.全部 | 查看所有用户的基本资料 | 委派 |
| 微软图表 | 用户.读取 | 登录并阅读用户资料 | 委派 |
| 微软图表 | 设备管理应用程序.ReadWrite.All | 读取和编写 Microsoft Intune 应用 | 委派 |
| 微软图表 | 目录.AccessAsUser.全部 | 以登录用户身份访问目录 | 委派 |