Citrix Cloud

Citrix Cloud 的 Azure Active Directory 权限

本文介绍了 Citrix Cloud 在连接和使用 Azure Active Directory (AD) 时请求的权限。根据在 Citrix Cloud 帐户中使用 Azure AD 的方式,可能会在目标 Azure AD 租户中创建一个或多个企业应用程序。您可以将多个 Citrix Cloud 帐户连接到一个 Azure AD 租户并使用相同的企业应用程序,而无需为每个帐户创建一组应用程序。

注意:

截至 2022 年 4 月,Citrix Cloud 用于连接 Azure AD 的 Azure AD 应用程序已更新为使用 GroupMember.Read.All 权限而不是 Group.Read.All 权限。如果你有现有 Azure AD 连接(2022 年 4 月之前),并且你希望应用程序使用新权限,则必须断开连接然后将你的 Azure AD 重新连接到 Citrix Cloud。此操作可确保你的帐户使用的是 Citrix Cloud 中最新的 Azure AD 应用程序。有关详细信息,请参阅 为升级后的应用程序重新连接到 Azure AD

如果您选择不更新应用程序,则现有连接仍能正常运行。

企业应用程序

下表列出了 Citrix Cloud 在连接和使用 Azure AD 时使用的 Azure AD 企业应用程序以及每个应用程序的用途。

名称 应用程序 ID 使用情况
Citrix Cloud e95c4605-aeab-48d9-9c36-1a262ef8048e Workspace 订阅者登录
Citrix Cloud f9c0e999-22e7-409f-bb5e-956986abdf02 Azure AD 和 Citrix Cloud 之间的默认连接
Citrix Cloud 1b32f261-b20c-4399-8368-c8f0092b4470 管理员邀请和登录
Citrix Cloud 5c913119-2257-4316-9994-5e8f3832265b Azure AD 与使用 Citrix Endpoint Management 的 Citrix Cloud 之间的默认连接
Citrix Cloud e067934c-b52d-4e92-b1ca-70700bd1124e Azure AD 与使用 Citrix Endpoint Management 的 Citrix Cloud 之间的传统连接

权限

Citrix Cloud 企业应用程序中的权限允许 Citrix Cloud 访问你的 Azure AD 租户中的某些数据。Citrix Cloud 使用这些数据执行特定功能,例如连接到你的 Azure AD 租户、允许管理员使用专用的登录 URL 登录 Citrix Cloud 以及将 Azure AD 租户与Endpoint Management 连接起来。Citrix Cloud 只有在您同意的情况下才能访问这些数据。这些权限表示 Citrix Cloud 使用你的 Azure AD 所需的最低权限量。有关 Azure AD 权限和同意的更多信息,请参阅 Microsoft Azure 文档网站上的 Microsoft 身份平台中的权限和同意

在本文中,每组 Azure AD 应用程序权限都包含以下信息:

  • API 名称: Citrix Cloud 从中请求权限的资源应用程序。这些应用程序是Microsoft Graph 和 Windows Azure Active Directory。Citrix Cloud 向这两个资源应用程序请求相同的权限。
  • 类型: Citrix Cloud 为给定权限请求的访问级别。给定企业应用程序中的权限可以具有以下访问级别之一:
    • 委派权限 用于代表登录用户执行操作,例如在查询用户的配置文件时。
    • 当应用程序在用户不在场的情况下执行某项操作(例如查询特定群中的用户)时,将使用应用程序权限。此权限类型需要 Azure AD 中全局管理员的同意。
  • 声明值: Azure AD 分配给给定权限的信息字符串。给定企业应用程序中的权限可以具有以下声明值之一:
    • User.Read: 允许 Citrix Cloud 管理员将连接的 Azure AD 中的用户添加为 Citrix Cloud 帐户的管理员。
    • User.ReadBasic.All: 从用户的个人资料中收集基本信息。它是 User.Read.All 的一个子集,但为了向后兼容,权限本身仍然存在。
    • User.Read.All: Citrix Cloud 调用 Microsoft Graph 中的 列出用户 ,以允许浏览和选择客户连接的 Azure AD 中的用户。例如,可以向来自 Azure AD 的用户授予使用 Workspace 访问 Citrix DaaS 资源的权限。Citrix Cloud 无法使用, User.ReadBasic.All 因为 Citrix Cloud 需要访问基本配置文件之外的属性,例如 onPremisesSecurityIdentifier
    • GroupMember.read.all: Citrix Cloud 在 Microsoft Graph 中调用 列表 组,允许从客户连接的 Azure AD 中浏览和选择组。例如,也可以授予来自 Azure AD 的组访问 Citrix DaaS 应用程序的权限。
    • Directory.Read.All: Citrix Cloud 调用 Microsoft Graph 中的 List memberOf 来获取用户的组成员资格,因为 Groups.Read.All 权限不足。
    • DeviceManagementApps.ReadWrite.All: 允许 Citrix Cloud 读写由 Microsoft Intune 管理的属性、组分配、应用程序状态、应用程序配置和 App Protection 策略。
    • Directory.AccessAsUser.All: 允许 Citrix Cloud 拥有与登录用户相同的目录中信息的访问权限。

注意:

Direct ory.Read.All 仅适用于 Azure AD 和带有 Endpoint Management 的 Citrix Cloud 之间的默认连接。

Workspace 订阅者登录

此 Citrix Cloud 应用程序(ID:e95c4605-aeab-48d9-9c36-1a262ef8048e)使用以下权限:

API 名称 索赔价值 权限名称 类型
Microsoft Graph User.Read 登录并阅读用户个人资料 已委派

Azure AD 和 Citrix Cloud 之间的默认连接

此 Citrix Cloud 应用程序(ID:f9c0e999-22e7-409f-bb5e-956986abdf02)使用以下权限:

API 名称 索赔价值 权限 类型
Microsoft Graph GroupMember.Read.All 阅读所有组 已委派
Microsoft Graph User.ReadBasic.All 阅读所有用户的基本配置文件 已委派
Microsoft Graph User.Read.All 阅读所有用户的完整档案 已委派
Microsoft Graph User.Read 登录并阅读用户个人资料 已委派
Microsoft Graph GroupMember.Read.All 阅读所有组 应用程序
Microsoft Graph User.Read.All 阅读所有用户的完整档案 应用程序
Microsoft Graph User.Read 登录并阅读用户个人资料 应用程序

管理员邀请和登录

此 Citrix Cloud 应用程序(ID:1b32f261-b20c-4399-8368-c8f0092b4470)使用以下权限:

API 名称 索赔价值 权限名称 类型
Microsoft Graph User.Read 登录并阅读用户个人资料 已委派
Microsoft Graph User.ReadBasic.All 阅读所有用户的基本配置文件 已委派

Azure AD 和 Citrix Cloud 之间的默认连接以及Endpoint Management

此 Citrix Cloud 应用程序(ID:5c913119-2257-4316-9994-5e8f3832265b)使用以下权限:

API 名称 索赔价值 权限名称 类型
Microsoft Graph GroupMember.Read.All 阅读所有组 已委派
Microsoft Graph User.ReadBasic.All 阅读所有用户的基本配置文件 已委派
Microsoft Graph User.Read 登录并阅读用户个人资料 已委派
Microsoft Graph Directory.Read.All 读取目录数据 应用程序
Microsoft Graph Directory.Read.All 读取目录数据 已委派
Microsoft Graph DeviceManagementApps.ReadWrite.All 读写Microsoft Intune 应用程序 已委派
Microsoft Graph Directory.AccessAsUser.All 以登录用户身份访问目录 已委派

Azure AD 和 Citrix Cloud 之间的传统连接以及Endpoint Management

此 Citrix Cloud 应用程序(ID:e067934c-b52d-4e92-b1ca-70700bd1124e)使用以下权限:

API 名称 索赔价值 权限名称 类型
Microsoft Graph GroupMember.Read.All 阅读所有组 已委派
Microsoft Graph User.ReadBasic.All 阅读所有用户的基本配置文件 已委派
Microsoft Graph User.Read 登录并阅读用户个人资料 已委派
Microsoft Graph DeviceManagementApps.ReadWrite.All 读写Microsoft Intune 应用程序 已委派
Microsoft Graph Directory.AccessAsUser.All 以登录用户身份访问目录 已委派