Citrix Endpoint Management

使用 RBAC 配置角色

Endpoint Management 中基于角色的访问控制 (RBAC) 功能允许您为用户和组分配角色。角色是一组权限,用于控制用户对系统功能的访问级别。

Endpoint Management 附带以下默认用户角色。可以将默认角色用作您自定义的用于创建自己的用户角色的模板。

  • 管理员: 授予完整系统访问权限。
  • 用户: 允许用户注册设备和访问自助服务门户。

可以使用 Endpoint Management 中的 RBAC 功能执行以下操作:

  • 创建和编辑用户角色。
  • 将角色分配给本地用户组和 Active Directory (AD) 组。
  • 通过 Identity and Access Management(身份和访问管理)> Administrators(管理员)将角色分配给 Citrix Cloud 中的管理员。请参阅向 Citrix Cloud 管理员添加角色

重要:

只有 2021 年 10 月 4 日之后加入的新 Endpoint Management 客户才能向云管理员分配 RBAC 角色。由于此功能对现有客户可用,Citrix 将自动迁移管理员帐户和角色。

有关预定义的管理员和用户角色权限的详细信息,请参阅预定义的角色

使用 RBAC 功能

可以将角色分配给本地用户、云管理员(在 Citrix Cloud 中)以及本地用户组和 Active Directory 组。

  • 本地用户: 使用管理 > 用户向本地用户分配角色。只能为本地用户分配一个角色。要更改角色,可以手动编辑用户帐户。或者,也可以为本地用户创建一个组,并为该组分配一个角色。
  • 云管理员: 云管理员是 Citrix Cloud 在将管理员添加到您的 Citrix Cloud 客户帐户时创建的一个特殊用户帐户。云管理员帐户使用与 Citrix Cloud 上的管理员帐户相同的用户名。在 Endpoint Management 控制台中创建 RBAC 角色,并在 Citrix Cloud 中通过 Identity and Access Management(身份和访问管理)> Administrators(管理员)向这些用户分配角色。
  • Active Directory 组: Active Directory 组中的所有用户都具有相同的权限。如果用户属于多个 Active Directory 组,所有权限将合并以定义该用户的权限。例如,假设 ADGroupA 用户可以定位经理的设备,而 ADGroupB 用户可以擦除员工的设备。属于两个组的用户可以找到并擦除经理和员工的设备。如果用户属于具有冲突权限的组,则以允许的权限为准。

有关详细信息,请参阅关于用户帐户

创建或编辑角色

  1. 在 Endpoint Management 控制台中,要访问设置页面,请单击右上角的齿轮图标。

  2. 单击基于角色的访问控制基于角色的访问控制页面显示默认用户角色以及您添加的任何角色。

    单击某个角色旁边的加号 (+) 可查看该角色的所有权限。

    Endpoint Management RBAC 配置

  3. 要添加角色,请单击添加。或者,要编辑某个角色,请单击现有角色右侧的笔。

    注意:

    可以通过单击您定义的角色右侧的垃圾桶来删除角色。无法删除默认用户角色。

  4. 添加角色页面上,输入以下信息:

    • RBAC 名称: 输入新用户角色的描述性名称。无法更改现有角色的名称。
    • RBAC 模板: (可选)选择某个模板以将其作为新角色的起点。(编辑角色时,无法选择或更改模板。)RBAC 模板是用于定义系统功能访问权限的默认用户角色。

    单击应用按钮以填充授权访问控制台功能复选框。Endpoint Management 使用选定模板的预定义访问权限和功能权限填充这些字段。

    Endpoint Management RBAC 配置

  5. 要自定义角色,请选中或取消选中授权访问控制台功能中的复选框。

    单击控制台功能旁边的三角形可显示并选择该功能特定的权限。单击顶层的复选框不会选择各个权限。请展开顶层权限后选择各个选项。

  6. Apply permissions(应用权限):单击 To specific user groups(至特定用户组)以对选择的组应用权限。

    例如,如果 RBAC 管理员具有对 ActiveDirectory 和 MSP 用户组的权限:

    • 管理员只能访问 ActiveDirectory 组、MSP 组或这两个组中的用户的信息。
    • 管理员无法查看任何其他本地或 AD 用户。管理员可以查看属于这些组的子组成员的用户。
    • 管理员可以发送邀请至:

      • 权限组及其子组
      • 属于权限组及其子组的成员的用户

    Endpoint Management RBAC 配置

  7. 单击下一步,输入以下信息,以将角色分配给用户组。

    Endpoint Management RBAC 配置

    • 选择域: 在列表中,选择一个域。
    • 搜索用户组: 单击搜索可查看所有可用组的列表。键入完整组名称或部分组名称以缩小搜索范围。
    • 包括用户组: 在显示的列表中,选择要向其分配角色的用户组。
  8. 单击保存

向 Citrix Cloud 管理员添加角色

无需通过 Endpoint Management 控制台向 Citrix Cloud 管理员分配 RBAC 角色,而应从 Citrix Cloud 控制台分配角色。

  1. 在 Citrix Cloud 控制台中,导航到 Identity and Access Management(身份和访问管理)> Administrators(管理员)
  2. 选择身份提供程序,然后键入电子邮件地址以添加管理员。单击 Invite(邀请)。

    单击现有管理员行结尾的 可编辑这些权限。

  3. 单击 Custom access(自定义访问权限)。向管理员分配权限时,可以选择在 Endpoint Management 控制台中创建的 RBAC 角色。

    Citrix Cloud 中的 RBAC 角色

  4. 单击 Send Invite(发送邀请)以向新管理员发送邀请,或者单击 Save(保存)完成对管理员的编辑。

预定义的角色

每个预定义的 RBAC 角色都具有某些关联的访问权限和功能权限。以下各表介绍了管理员角色和用户角色的每种权限。不能删除或编辑预定义的角色。

重要:

在“设置”权限下,RBAC 权限向管理员用户授予完全访问权限,包括分配自己的权限的能力。请仅向打算提供控制 Endpoint Management 系统中的所有对象的功能的用户授予此访问权限。

管理角色

预定义的管理员角色在 Endpoint Management 中提供特定的访问权限。默认情况下,启用授权访问(自助服务门户除外)、控制台功能以及应用权限

,可以使用 Manage(管理)> Users(用户)更改分配了管理员角色的本地用户的角色。对于具有管理员角色的云用户,请使用 Citrix Cloud 控制台更改角色。默认情况下,具有管理员角色的云用户和本地用户具有完全访问权限。

管理员的授权访问权限

   
管理控制台访问 管理员可以访问 Endpoint Management 控制台上的所有功能。
自助门户访问 默认情况下,管理员无法访问自助服务门户。(具有用户角色的用户只能访问自助服务门户。)
远程支持访问 管理员可以访问远程支持功能。
公共 API 访问 管理员可以访问公共 API,以便以编程方式执行可以在 Endpoint Management 控制台上执行的操作。这些操作包括管理证书、应用程序、设备、交付组和本地用户。

面向管理员的控制台功能

管理员对 Endpoint Management 控制台具有不受限制的访问权限。

   
控制板 控制板是管理员在登录 Endpoint Management 控制台后看到的第一个页面。控制板显示有关通知和设备的基本信息。
报告 分析 > 报告页面提供预定义的报告,您可以利用这些报告分析应用程序和设备部署情况。
设备 管理 > 设备页面中,可以管理用户设备。可以在此页面上逐个添加设备,也可以通过导入设备预配文件一次添加多个设备。
本地用户和组 管理 > 用户页面中,可以添加、编辑或删除本地用户和本地用户组。
注册 管理 > 注册邀请页面中,可以管理如何邀请用户在 Endpoint Management 中注册其设备。
策略 配置 > 设备策略页面中,可以管理 VPN 和网络等设备策略。
应用程序 配置 > 应用程序页面中,可以管理用户能够在其设备上安装的各种应用程序。
媒体 配置 > 媒体页面中,可以管理用户能够在其设备上安装的各种媒体。
操作 配置 > 操作页面中,可以管理触发事件的响应。
交付组 配置 > 交付组页面中,可以管理交付组以及与其关联的资源。
注册配置文件 配置 > 注册配置文件页面中,可以配置用户如何注册其设备。
Alexa for Business 设置页面中,可以管理您的 Alexa for Business 配置文件。
设置 设置页面中,可以管理系统设置,例如,客户端和服务器属性、证书和凭据提供程序。重要: 这些设置包括 RBAC 权限。RBAC 权限向管理员授予完全访问权限,包括分配自己的权限的能力。请仅向打算提供控制 Endpoint Management 系统中的所有对象的功能的用户授予此访问权限。
支持 故障排除和支持页面中,可以执行运行诊断和生成日志等故障排除活动。
面向管理员的设备限制

管理员可以通过设置设备限制、设置并向设备发送通知、管理设备上的应用程序等操作,访问控制台各处的设备功能。

   
完全擦除设备 擦除设备上的所有数据和应用程序,包括内存卡(如果设备具有内存卡)。
清除限制 删除一项或多项设备限制。
选择性擦除设备 擦除设备上的所有公司数据和应用程序,保留个人数据和应用程序。
查看位置 查看设备的位置以及在设备上设置地理区域限制。包括:定位设备、跟踪设备。
锁定设备 远程锁定设备,使用户无法使用设备。
解锁设备 远程解锁设备,使用户可以使用设备。
锁定容器 远程锁定设备上的企业容器。
解锁容器 远程解锁设备上的企业容器。
重置容器密码 重置企业容器密码。
启用 ASM/绕过激活锁 启用激活锁时,在受监督的 iOS 设备上存储绕过码。要擦除该设备,请使用此代码自动清除激活锁。
获取常驻用户 列出在当前设备上具有活动帐户的用户。此操作将强制在设备与 Endpoint Management 控制台之间进行同步。
注销常驻用户 强制注销当前用户。
删除常驻用户 删除特定用户的当前会话。该用户可以重新登录。
使设备响铃 远程使 Windows 设备以最高音量响铃 5 分钟。
重新启动设备 从 Endpoint Management 控制台重新启动 Windows 设备。
部署到设备 向设备发送应用程序、通知、限制和其他资源。
编辑设备 更改设备上的设置。
通知设备 向设备发送通知。
添加/删除设备 在 Endpoint Management 中添加或删除设备。
设备导入 通过文件向 Endpoint Management 导入一组设备。
导出设备表 从“设备”页面收集设备信息,并将其导出到 .csv 文件。
吊销设备 禁止设备连接到 Endpoint Management。
应用程序锁定 拒绝访问设备上的所有应用程序。在 Android 上,此限制会阻止用户登录到 Endpoint Management。在 iOS 中,用户可以登录,但无法访问应用程序。
应用程序擦除 在 Android 上,此限制将删除用户的 Endpoint Management 帐户。在 iOS 上,此限制将删除用户访问 Endpoint Management 功能所需的加密密钥。
查看软件清单 查看设备上安装的软件。
请求使用 AirPlay 镜像 请求启动 AirPlay 流。
停止使用 AirPlay 镜像 停止 AirPlay 流。
启用丢失模式 管理 > 设备页面上,可以将受监督的设备置于丢失模式,以阻止锁屏界面上的受监督设备。然后,您可以在设备丢失或被盗时找到设备。
禁用丢失模式 管理 > 设备页面上,可以禁用设置为丢失模式的设备的丢失模式。
操作系统更新设备 可以将“操作系统更新”设备策略部署到设备。
关闭设备 从 Endpoint Management 控制台关闭 iOS 设备。
重新启动设备 从 Endpoint Management 控制台重新启动 iOS 设备。
续订设备注册证书 续订设备 CA 证书。
本地用户和组

管理员在 Endpoint Management 中的管理 > 用户页面上管理本地用户和本地用户组。

 
添加本地用户
删除本地用户
编辑本地用户
导入本地用户
导出本地用户
本地用户组
获取本地用户锁 ID
删除本地用户锁
注册

管理员可以添加和删除注册邀请、向用户发送通知以及将注册表导出到 .csv 文件。

   
添加/删除注册 添加或删除向一个或一组用户发送的注册邀请。
通知用户 向一个或一组用户发送注册邀请。
导出注册邀请表 从“注册”页收集注册信息并将其导出到 .csv 文件。
策略
   
添加/删除策略 添加或删除设备策略或应用程序策略。
编辑策略 更改设备策略或应用程序策略。
上载策略 上载设备策略或应用程序策略。
克隆策略 复制设备策略或应用程序策略。
禁用策略 禁用现有应用程序策略。
导出策略 从“设备策略”页面收集设备策略信息,并将其导出到 .csv 文件。
分配策略 将设备策略分配给一个或多个交付组。
应用程序

管理员在 Endpoint Management 中的配置 > 应用程序页面上管理应用程序。

   
添加/删除应用商店或企业应用程序 添加或删除公共应用商店应用程序或企业应用程序(未启用 MDX)。
编辑应用商店或企业应用程序 更改公共应用商店应用程序或企业应用程序(未启用 MDX)。
添加/删除 MDX、Web 和 SaaS 应用程序 在 Endpoint Management 中添加或删除启用了 MDX 的应用程序、内部网络中的应用程序(Web 应用程序)或公共网络中的应用程序 (SaaS)。
添加 MDX、Web 和 SaaS 应用程序 更改启用了 MDX 的应用程序、内部网络中的应用程序(Web 应用程序)或从公共网络(SaaS)连接到 Endpoint Management 的应用程序。
添加/删除类别 添加或删除应用程序在应用商店中可以归属的类别。
将公共/企业应用程序分配给交付组 将公共应用商店应用程序或启用了 MDX 的应用程序分配给交付组以便部署。
将 MDX/WebLink/SaaS 应用程序分配给交付组 将启用了 MDX、不需要单点登录 (WebLink) 或来自公共网络 (SaaS) 的应用程序分配给交付组。
导出应用程序表 从“应用程序”页收集应用程序信息并将其导出到 .csv 文件。
媒体

管理来自公共应用商店的媒体或批量购买许可证。

 
添加/删除应用商店或企业书籍
将公共/企业书籍分配给交付组
编辑应用商店或企业书籍
操作
   
添加/删除操作 添加或删除由触发器和关联响应定义的操作。触发器是事件、设备或用户属性或已安装的应用程序名称。
编辑操作 更改由触发器和关联响应定义的操作。触发器是事件、设备或用户属性或已安装的应用程序名称。
将操作分配给交付组 将操作分配给交付组以便部署到用户设备。
导出操作 从“操作”页收集操作信息并将其导出到 .csv 文件。
交付组

管理员在配置 > 交付组页面上管理交付组。

   
添加/删除交付组 创建或删除交付组,即添加指定用户和可选策略、应用程序和操作。
编辑交付组 更改现有交付组,即修改用户和可选策略、应用程序和操作。
部署交付组 使交付组可供使用。
导出交付组 从“交付组”页收集交付组信息并将其导出到 .csv 文件。
注册配置文件

管理注册配置文件。

 
添加/删除注册配置文件
编辑注册配置文件
将注册配置文件分配给交付组
Alexa for Business

管理 Alexa for Business 配置文件。

 
添加/删除/编辑会议室
添加/删除/编辑会议室配置文件
添加/删除/编辑技能组
面向管理员的设置

管理员在设置页面上配置各种设置。

   
RBAC RBAC 分配。重要: 此权限向管理员授予完全访问权限,包括分配自己的权限的能力。请仅向打算提供控制 Endpoint Management 系统中的所有对象的功能的用户授予此访问权限。
LDAP 管理一个或多个 LDAP 兼容目录(例如 Active Directory),以导入组、用户帐户和相关属性。
注册 为用户和自助门户启用注册安全模式。
发布管理 查看当前安装的版本。包括:发布管理更新
证书 编辑 APNS 证书
通知模板 创建要在自动执行的操作、注册以及对用户的标准通知消息交付中使用的通知模板。
工作流 管理用于应用程序配置的用户帐户的创建、审批和删除。
凭据提供程序 添加一个或多个授权颁发设备证书的凭据提供程序。凭据提供程序控制证书格式以及续订或吊销证书的条件。
PKI 实体 管理公钥基础结构实体(通用、Microsoft Certificate Services 或任意 CA)。
测试 PKI 连接 使用设置 > PKI 实体页面上的测试连接按钮可确保服务器可访问。
客户端属性 管理用户设备上的各种属性,例如通行码类型、长度和过期日期。
客户端支持 设置用户联系支持服务的方式(电子邮件、电话或支持票证电子邮件)。
客户端外观方案 为应用商店创建自定义的应用商店名称和默认应用商店视图。添加显示在应用商店或 Secure Hub 中的自定义徽标。
运营商 SMS 网关 设置运营商 SMS 网关以配置 Endpoint Management 通过运营商 SMS 网关发送的通知。
通知服务器 设置用于向用户发送电子邮件的 SMTP 网关服务器。
ActiveSync Gateway 通过规则和属性,管理用户对用户和设备的访问权限。
Google Chrome 配置 Endpoint Management 以与 Google Workspace 帐户进行通信。
Apple 部署计划 将 Apple 部署计划帐户添加到 Endpoint Management。
Apple Configurator 设备注册 在 Endpoint Management 控制台中配置 Apple Configurator 设置。
iOS/批量购买设置 添加 Apple 批量购买帐户。
移动服务提供商 使用移动服务提供商界面查询 BlackBerry 及其他 Exchange ActiveSync 设备并发布操作。
NetScaler Gateway 在 Endpoint Management 中配置 NetScaler Gateway(现已重命名为 Citrix Gateway)设置。
网络访问控制 设置确定设备不兼容的条件,以使其无法访问网络。
Samsung Knox 启用或禁用 Endpoint Management 查询 Samsung Knox 认证服务器 REST API。
服务器属性 添加或修改服务器属性。需要在所有节点上重新启动 Endpoint Management。
Virtual Apps and Desktops 允许用户通过 Citrix Workspace 添加 Citrix Virtual Apps and Desktops。
Citrix Files 将 Endpoint Management 与 Enterprise 帐户结合使用时:配置连接到 Content Collaboration 帐户和管理员服务帐户以管理用户帐户的设置。需要使用现有 Citrix Files 域和管理员凭据。在 Endpoint Management 中使用存储区域连接器时:将 Endpoint Management 配置为指向在存储区域连接器中定义的网络共享和 SharePoint 位置。
Android Enterprise 配置 Android Enterprise 服务器设置
身份提供程序 (IdP) 配置身份提供程序。
适用于企业的 Microsoft 应用商店 在 Endpoint Management 控制台中配置适用于企业的 Microsoft Store 设置。
Endpoint Management 工具 “访问 Endpoint Management 工具”页面。
Windows 批量注册 配置 Windows 批量注册设置。
支持

管理员可以执行各种支持任务。

   
NetScaler Gateway 连接检查 通过 IP 地址执行 NetScaler Gateway 的各种连接检查。需要用户名和密码。
Endpoint Management 连接性检查 为选定的 Endpoint Management 功能(例如数据库、DNS、Google Plan)执行连接检查。
Citrix 产品文档 访问公共 Citrix Endpoint Management 文档站点。
Citrix 知识中心 访问 Citrix 支持站点以搜索知识库文章。
日志 查看和下载文件。
在配置文件、策略、通知或注册模板的文本字段中填充用户或设备属性数据。配置一个策略并将其部署到较大的用户群,并为每个目标用户显示特定于用户的值。
PKI 配置 导入和导出 PKI 配置信息。
APNS 签名实用程序 提交 Apple 推送网络签名 (Apple Push Network signing, APNs) 证书请求,或上载适用于 iOS 的 Secure Mail APNs 证书。
Citrix Insight Services 将日志上载到 Citrix Insight Services (CIS),以帮助解决各种问题。
发送到适用于 Exchange ActiveSync 的 Citrix Gateway 连接器的设备状态 向 Endpoint Management 查询发送到适用于 Exchange ActiveSync 的连接器的设备状态。查询基于设备 ActiveSync ID。

限制组访问

管理员用户可以应用所有用户组的权限。

用于设备预配的控制台功能

设备预配用户具有 Endpoint Management 控制台的以下有限访问权限。默认情况下,以下各功能均处于启用状态。

设备限制
   
编辑设备 更改设备上的设置。
添加/删除设备 在 Endpoint Management 中添加或删除设备。

设备预配设置

设备预配用户可以访问设置页面,但无权配置功能。

用户角色

具有用户角色的用户具有 Endpoint Management 的以下有限访问权限。

授权用户访问权限

   
自助服务门户 仅向用户提供访问 Endpoint Management 中的自助门户的权限。

面向用户的控制台功能

用户具有 Endpoint Management 控制台的以下有限访问权限。

面向用户的设备限制访问
   
完全擦除设备 擦除设备上的所有数据和应用程序,包括内存卡(如果设备具有内存卡)。
选择性擦除设备 擦除设备上的所有公司数据和应用程序,保留个人数据和应用程序。
查看位置 查看设备的位置以及在设备上设置地理区域限制。包括:定位设备、查看设备的位置、跟踪设备、跟踪设备位置随时间的变化。
锁定设备 远程锁定设备,使其无法使用。
解锁设备 远程解锁设备,使其可以使用。
锁定容器 远程锁定设备上的企业容器。
解锁容器 远程解锁设备上的企业容器。
重置容器密码 重置企业容器密码。
启用 ASM/绕过激活锁 启用激活锁时,在受监督的 iOS 设备上存储绕过码。要擦除该设备,请使用此代码自动清除激活锁。
获取常驻用户 列出在当前设备上具有活动帐户的用户。此操作将强制在设备与 Endpoint Management 控制台之间进行同步。
注销常驻用户 强制注销当前用户。
删除常驻用户 删除特定用户的当前会话。该用户可以重新登录。
使设备响铃 远程使 Windows 设备以最高音量响铃 5 分钟。
重新启动设备 重新启动 Windows 设备。
应用程序锁定 拒绝访问设备上的所有应用程序。在 Android 上,用户无法登录 Endpoint Management。在 iOS 中,用户可以登录,但无法访问应用程序。
应用程序擦除 在 Android 上,此限制将删除用户的 Endpoint Management 帐户。在 iOS 上,此限制将删除用户访问 Endpoint Management 功能所需的加密密钥。
查看软件清单 查看设备上安装的软件。
面向用户的注册限制
   
添加/删除注册 添加或删除向一个或一组用户发送的注册邀请。
通知用户 向一个或一组用户发送注册邀请。

限制所有角色的组访问权限

对于默认角色,此权限在默认情况下设置,并且可应用于所有用户组。您无法编辑此角色。

使用 RBAC 配置角色