-
-
-
委派管理
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
委派管理
概述
- Citrix Cloud™ 中的委派管理允许您根据管理员在组织中的角色,配置其所需的所有访问权限。
默认情况下,管理员拥有完全访问权限。此设置允许访问 Citrix Cloud 中所有可用的客户管理和管理功能,以及所有订阅服务。要自定义管理员的访问权限:
- 配置管理员在 Citrix Cloud 中的常规管理权限的自定义访问权限。
-
配置订阅服务的自定义访问权限。在 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops™ 服务)中,您可以在邀请新管理员时配置自定义访问权限。您可以稍后更改管理员的访问权限。
- 有关显示管理员列表和定义访问权限的信息,请参阅管理对 Citrix Cloud 的管理员访问权限。
本文介绍了如何在 Citrix DaaS 中配置自定义访问权限。
管理员、角色和作用域
委派管理使用三个概念来实现自定义访问:管理员、角色和作用域。
- 管理员: 管理员代表通过其 Citrix Cloud 登录名(通常是电子邮件地址)标识的用户。每个管理员都与一个或多个角色和作用域对相关联。
-
角色: 角色代表一项工作职能,并具有与其关联的权限。这些权限允许执行 Citrix DaaS 独有的某些任务。例如,“交付组管理员”角色具有创建交付组和从交付组中删除桌面以及其他相关权限。一个管理员可以拥有多个角色。管理员可以是交付组管理员和计算机目录管理员。
Citrix DaaS 提供了多个内置的自定义访问角色。您无法更改这些内置角色中的权限,也无法删除这些角色。
您可以创建自己的自定义访问角色,以满足组织的需要,并更详细地委派权限。使用自定义角色可以按操作或任务的粒度分配权限。只有在未分配给管理员的情况下,才能删除自定义角色。
-
您可以更改管理员拥有的角色。
-
角色始终与作用域配对。
-
作用域: 作用域表示对象的集合。作用域用于以与您的组织相关的方式对对象进行分组。对象可以存在于多个作用域中。
-
有一个内置作用域:“所有”,其中包含所有对象。Citrix Cloud 和技术支持管理员始终与“所有”作用域配对。对于这些管理员,该作用域无法更改。
当您邀请(添加)此服务的管理员时,角色始终与作用域配对(默认情况下为“所有”作用域)。
您可以使用 Studio 创建和删除作用域。您可以在 Citrix Cloud 控制台中分配角色/作用域对。
对于完全访问权限的管理员,不显示作用域。根据定义,这些管理员可以访问所有客户管理的 Citrix Cloud 和订阅服务对象。
内置角色和作用域
Citrix DaaS 具有以下内置角色。
-
云管理员: 可以执行管理 DaaS 的所有任务和操作。
可以在 Studio 中查看管理和监视控制台。此角色始终与“所有”作用域结合使用。您无法更改作用域。
请勿混淆此角色的名称。自定义访问云管理员无法执行 Citrix Cloud 级别的任务(Citrix Cloud 任务需要完全访问权限)。
-
只读管理员: 可以查看指定作用域中的所有对象(除了全局信息),但不能更改任何内容。例如,作用域为 London 的只读管理员可以查看所有全局对象以及 London 作用域中的任何对象(例如,London 交付组)。但是,该管理员无法查看 New York 作用域中的对象(假设 London 和 New York 作用域不重叠)。
可以在 Studio 中查看管理和监视控制台。
-
技术支持管理员: 可以查看交付组,并管理与这些组关联的会话和计算机。可以查看正在监视的交付组的计算机目录和主机信息。还可以对这些交付组中的计算机执行会话管理和计算机电源管理操作。
可以在 Studio 中查看监视控制台。无法查看管理控制台。此角色始终与“所有”作用域结合使用。您无法更改作用域。
-
计算机目录管理员: 可以创建和管理计算机目录,并将计算机预配到其中。可以管理基础映像和安装软件,但不能将应用程序或桌面分配给用户。
可以在 Studio 中查看管理和监视控制台。您可以更改范围。
-
交付组管理员:可以交付应用程序、桌面和计算机。还可以管理关联的会话。可以管理应用程序和桌面配置,例如策略和电源管理设置。
可以在 Studio 中查看管理和监视控制台。您可以更改范围。
注意:
作为交付组管理员,要更改桌面的显示名称,您需要执行计算机更新权限。此权限是必需的,因为更改显示名称涉及更新计算机属性。
-
主机管理员:可以管理主机连接及其关联的资源设置。无法向用户交付计算机、应用程序或桌面。
可以在 Studio 中查看管理控制台。无法查看监视控制台。您可以更改范围。
-
会话管理员:可以查看正在监视的交付组并管理其关联的会话和计算机。
可以在 Studio 中查看监视控制台。无法查看管理控制台。您无法更改范围。
-
完全监视管理员:可以执行监视 DaaS 的所有任务和操作。
可以在 Studio 中查看监视控制台。无法查看管理控制台。您无法更改范围。
-
探测代理管理员:可以访问探测代理 API。
可以在 Studio 中查看管理和监视控制台。对应用程序页面具有只读访问权限,但无法访问任何其他视图。
下表总结了 Citrix DaaS 中每个自定义访问角色可见的控制台选项卡,以及该角色是否可用于自定义范围。
| 自定义访问管理员角色 | 可以在 Studio 中查看管理控制台吗? | 可以在 Studio 中查看监视控制台吗? | 角色可以与自定义范围一起使用吗? |
- | — | — | – | – |
-
云管理员 是 是 否
| 只读管理员 | 是 | 是 | 是 |
| 帮助台管理员 | 否 | 是 | 否 |
| 计算机目录管理员 | 是 | 是 | 是 |
| 交付组管理员 | 是 | 是 | 是 |
| 主机管理员 | 是 | 否 | 是 |
| 会话管理员 | 否 | 是 | 否 |
| 完全监视管理员 | 否 | 是 | 否 |
| 探测代理管理员 | 是 | 是 | 否 |
注意:
- 自定义访问管理员角色(云管理员和帮助台管理员除外)不适用于 Virtual Apps Essentials 和 Virtual Desktops Essentials。
- 自定义访问管理员角色(云管理员和完全监视管理员除外)不适用于 Citrix DaaS Standard for Azure。
- 要查看与角色关联的权限:
- 1. 登录到 [Citrix Cloud](https://citrix.cloud.com)。
- 1. 在 **DaaS** 磁贴中,单击**管理**以打开 Studio。
- 在左侧窗格中,选择管理 > 管理员。
- 1. 选择角色选项卡。
-
- 在上方中间窗格中选择一个角色。下方窗格中的角色定义选项卡列出了类别和权限。选择一个类别以查看特定权限。管理员选项卡列出了已分配所选角色的管理员。
-
您需要多少管理员
- 管理员的数量及其权限的粒度通常取决于部署的规模和复杂性。
- 在小型部署或概念验证部署中,一个或几个管理员执行所有操作。没有自定义访问委派。在这种情况下,每个管理员都具有完全访问权限,该权限始终具有“所有”范围。
- 在具有更多计算机、应用程序和桌面的大型部署中,需要更多的委派。一些管理员可能具有更具体的功能职责(角色)。例如,两个管理员具有完全访问权限,而其他管理员是帮助台管理员。此外,管理员可能只管理某些对象组(范围),例如特定部门中的计算机目录。在这种情况下,请创建新范围,并创建具有相应自定义访问角色和范围的管理员。
管理员管理摘要
- 为 Citrix DaaS 设置管理员遵循以下顺序:
-
如果您希望管理员拥有内置角色以外的角色,请创建自定义角色。
-
- 如果您希望管理员拥有“所有”以外的范围(并且目标角色允许不同的范围,并且尚未创建),请创建范围。
-
-
从 Citrix Cloud 邀请管理员。如果您希望新管理员拥有除默认完全访问权限以外的任何权限,请指定自定义访问角色和范围对。
- 稍后,如果您想更改管理员的访问权限(角色和范围),请参阅配置自定义访问权限。
添加管理员
- 要添加(邀请)管理员,请遵循 [将管理员添加到 Citrix Cloud 帐户](/zh-cn/citrix-cloud/citrix-cloud-management/identity-access-management/add-admins.html) 中的指导。此处重复了该信息的一个子集。
重要提示:
请勿混淆“自定义”和“自定义访问”的用法。
- 在 Citrix Cloud 控制台中为 Citrix DaaS 创建管理员和分配角色时,“自定义访问”一词包括内置角色以及在服务的 Studio 界面中创建的任何其他自定义角色。 - 在服务的 Studio 界面中,“自定义”仅用于区分该角色与内置角色。
添加管理员的常规工作流程如下:
- 1. 登录 [Citrix Cloud](https://citrix.cloud.com),然后在左上角菜单中选择**身份和访问管理**。
-
在身份和访问管理页面上,选择管理员。管理员选项卡列出了帐户的所有当前管理员。
-
在管理员选项卡上,选择您的身份类型,输入管理员的电子邮件地址,然后单击邀请。
- 如果您希望管理员拥有完全访问权限,请选择完全访问权限。这样,管理员就可以访问 Citrix Cloud 和所有订阅服务中的所有客户管理员功能。
- 如果您希望管理员拥有有限的访问权限,请选择自定义访问权限。然后,您可以选择自定义访问角色和范围对。这样,管理员在登录 Citrix Cloud 时就拥有了预期的权限。
- 单击发送邀请。Citrix Cloud 会向该电子邮件地址发送邀请,并在管理员完成入职后将其添加到列表中。
- 收到电子邮件后,管理员单击登录链接以接受邀请。
有关添加管理员的更多信息,请参阅管理 Citrix Cloud 管理员。
或者,在 Studio 中转至管理员 > 管理员,然后单击添加管理员。您将直接转到身份和访问管理 > 管理员,该页面将在新的浏览器选项卡中打开。完成管理员添加后,关闭该选项卡并返回控制台以继续执行其他配置任务。
创建和管理角色
管理员创建或编辑角色时,只能启用其自身拥有的权限。此控制可防止管理员创建权限超出其当前权限的角色,然后将其分配给自己(或编辑已分配给他们的角色)。
自定义角色名称最多可包含 64 个 Unicode 字符。名称不能包含:反斜杠、正斜杠、分号、冒号、井号、逗号、星号、问号、等号、左箭头、右箭头、管道符、左方括号或右方括号、左括号或右括号、引号和撇号。
- 角色描述最多可包含 256 个 Unicode 字符。
- 登录 Citrix Cloud(如果尚未登录)。
- 在 DaaS 磁贴中,单击管理以打开 Studio。
- 在左窗格中,选择管理 > 管理员。
- 选择角色选项卡。
-
按照您要完成的任务的说明进行操作:
- 查看角色详细信息: 在中间窗格中选择角色。中间窗格的下半部分列出了该对象的对象类型和关联权限。选择下部窗格中的管理员选项卡以显示当前拥有此角色的管理员列表。
-
创建自定义角色: 在操作栏中选择创建角色。按如下方式配置设置:
- 输入名称和描述。
- 配置控制台访问权限。确定哪些控制台对管理员可见。您可以不选择任何控制台继续操作。在这种情况下,拥有该角色的管理员无法访问管理和监视,但可以通过 SDK 和 API 访问、查看或管理对象。
- 选择对象类型和权限。要授予对象类型完全访问权限,请选中其复选框。要授予精细级别的权限,请展开对象类型,然后选择只读或该类型中管理下的单个对象。
- 复制角色: 在中间窗格中选择角色,然后在操作栏中选择复制角色。根据需要更改名称、描述、对象类型和权限。完成后,选择保存。
- 编辑自定义角色: 在中间窗格中选择角色,然后在操作栏中选择编辑角色。根据需要更改名称、描述、对象类型和权限。您无法编辑内置角色。完成后,选择保存。
- 删除自定义角色: 在中间窗格中选择角色,然后在操作栏中选择删除角色。出现提示时,确认删除。您无法删除内置角色。如果自定义角色已分配给管理员,则无法删除该角色。
创建和管理范围
默认情况下,所有角色都对其相关对象拥有“所有”范围。例如,交付组管理员可以管理所有交付组。对于某些管理员角色,您可以创建一个范围,允许该管理员角色访问相关对象的子集。例如,您可能希望授予计算机目录管理员仅访问包含特定类型计算机的目录,而不是所有目录的权限。
- 完全访问权限管理员或自定义访问权限云管理员可以为只读管理员、计算机目录管理员、交付组管理员和主机管理员角色创建范围。
- 无法为完全访问权限管理员创建范围,也无法为云管理员或技术支持管理员创建范围。这些管理员始终拥有“所有”范围。
创建范围
-
- 在 Studio 中,在左窗格中选择管理 > 管理员。
-
- 选择范围选项卡。
-
- 在操作栏中,选择创建范围。
-
- 输入名称和描述:
- 范围名称最多可包含 64 个 Unicode 字符。名称不能包含:反斜杠、正斜杠、分号、冒号、井号、逗号、星号、问号、等号、左箭头或右箭头、管道符、左方括号或右方括号、左括号或右括号、引号和撇号。
- 范围描述最多可包含 256 个 Unicode 字符。
-
选择要包含在此范围中的对象。对象按类型列出,例如交付组和计算机目录。
- 要包含特定类型的所有对象(例如,所有交付组),请选中该对象类型的复选框。
-
要包含类型中的单个对象,请展开该类型,然后选中对象的复选框(例如,特定的交付组)。
注意:
应用程序组、交付组或计算机目录以文件夹结构显示,这些结构与其在 DaaS 中的管理方式保持一致。您可以选择一个文件夹以选择其所有对象,或展开一个文件夹以选择特定对象。
-
要包含以前不支持范围控制(未限定范围的对象)但现在支持范围控制(限定范围的对象)的对象,请禁用对象旁边的绕过范围控制,然后选择该对象。
注意:
未限定范围的对象对所有具有所需权限的管理员可见。当此类对象变为限定范围时,绕过范围控制将显示并默认启用,以保留对所有管理员的可见性。
- 要创建租户客户,请选中租户范围复选框。如果选中,您为该范围输入的名称即为租户名称。有关租户范围的更多信息,请参阅管理租户。
-
完成后,选择确定。
创建范围后,它将显示在 Citrix Cloud 控制台的自定义访问列表中。然后,您可以在为管理员分配角色时选择它。
例如,如果您创建了一个名为 CAD 的范围,并包含适用于 CAD 应用程序的计算机目录,则在 Citrix Cloud 控制台中分配角色时,CAD 范围将显示在编辑范围列表中。
注意:
云管理员和技术支持管理员角色始终具有所有范围。CAD 范围不适用于他们。
管理范围
您可以执行以下任务来管理范围:
- 查看范围详细信息: 选择范围。窗格的下半部分列出了具有该范围的对象和管理员。
- 复制范围: 在中间窗格中选择范围,然后在操作栏中选择复制范围。根据需要更改名称、描述、对象类型和对象。完成后,选择保存。
-
编辑范围: 在中间窗格中选择范围,然后在操作栏中选择编辑范围。根据需要更改名称、描述、对象类型和对象。完成后,选择保存。
注意:
复制或编辑范围时,请记住,从范围中删除对象可能会导致管理员无法访问这些对象。如果编辑后的范围与一个或多个角色配对,请确保您的范围更新不会导致任何角色/范围对无法使用。
-
删除范围: 在中间窗格中选择范围,然后在操作栏中选择删除范围。出现提示时,确认删除。
如果范围已分配给某个角色,则无法删除该范围。如果您尝试执行此操作,错误消息会指示您没有权限。实际上,发生此错误是因为使用此范围的角色/范围对已分配给管理员。首先,删除使用它的所有管理员的角色/范围对分配。然后在 Studio 中删除范围。
管理租户
使用 Studio,您可以在单个 Citrix DaaS 下创建互斥的租户。您可以通过在管理员 > 范围中创建租户范围并将相关的配置对象(例如计算机目录和交付组)与这些租户关联来实现此目的。因此,有权访问租户的管理员只能管理与该租户关联的对象。
例如,如果您的组织出现以下情况,此功能将非常有用:
- 拥有不同的业务孤岛(独立的部门或独立的 IT 管理团队)或
- 拥有多个本地站点并希望在单个 Citrix DaaS 实例中保持相同的设置。
该界面允许您按名称筛选租户客户。默认情况下,该界面显示所有租户客户的信息。要显示特定租户的信息,请从右上角的列表中选择该租户。
创建租户客户
要创建租户客户,请在创建范围时选择租户范围。通过选择此选项,您可以创建一种独特的范围类型,该类型适用于在不同业务部门之间共享 Citrix DaaS 实例的场景 — 每个业务部门都相互独立。创建租户范围后,您无法更改范围类型。
范围选项卡显示所有范围项目。常规范围和租户范围之间的唯一区别在于类型列。空白列字段表示常规范围。如果需要,您可以单击类型列对范围项目进行排序。
要查看附加到范围的资源(对象),请在左侧窗格中选择管理员。在范围选项卡上,选择范围,然后在操作栏中选择编辑范围。
提示:
租户属性在范围级别分配。计算机目录、交付组、应用程序和连接从适用的范围继承租户属性。
使用租户范围时,请注意以下事项:
- 租户属性按以下顺序分配:托管 > 计算机目录 > 交付组 > 应用程序。低级对象依赖于高级对象来继承租户属性。例如,选择交付组时,必须选择关联的托管和计算机目录。否则,交付组无法继承租户属性。
- 创建租户范围后,可以通过修改对象来编辑租户分配。当租户分配发生更改时,它仍然受限于必须分配给相同租户或这些租户的子集的约束。但是,当租户分配更改时,不会重新评估低级对象。更改租户分配时,请确保对象受到适当的限制。例如,如果计算机目录可用于
TenantA和TenantB,则可以为TenantA创建一个交付组,为TenantB创建一个交付组。(TenantA和TenantB都与该计算机目录关联。)然后,您可以将计算机目录更改为仅与TenantA关联。结果,与TenantB关联的交付组将变为无效。
为管理员配置自定义访问权限
创建租户范围后,为相应的管理员配置自定义访问权限。有关详细信息,请参阅为管理员配置自定义访问权限。Citrix Cloud 会向您指定的客户管理员发送邀请,并将其添加到列表中。当他们收到电子邮件时,他们会单击登录以接受邀请。当他们登录 Studio 时,他们会看到分配的角色和范围对所包含的资源。
有权访问租户的管理员只能管理与该租户关联的对象(例如,计算机目录、交付组)。
为管理员配置自定义访问权限
此功能允许您根据管理员在组织中的角色,定义现有管理员或您邀请的管理员的访问权限。
您对访问权限所做的更改需要 5 分钟才能生效。退出 Studio 并重新登录可使更改立即生效。如果管理员在更改生效后仍在使用管理界面而未重新连接,则当他们尝试访问不再具有权限的项目时,将显示警告。
默认情况下,当您邀请管理员时,他们拥有完全访问权限。完全访问权限允许管理员管理所有订阅服务和所有 Citrix Cloud 操作(例如邀请更多管理员)。Citrix Cloud 部署至少需要一名具有完全访问权限的管理员。
您还可以在邀请管理员时授予自定义访问权限。自定义访问权限允许管理员仅管理您指定的服务和操作。
当您在 Citrix DaaS 中创建角色或范围时,它会显示在自定义访问权限列表中,并且可以选择。当您为管理员选择角色时,可以根据需要修改范围,以反映管理员在组织中的角色。
为管理员配置自定义访问权限的步骤:
- 登录 Citrix Cloud。在左上角菜单中选择身份和访问管理 > 管理员。
-
找到要管理的管理员,选择省略号菜单,然后选择编辑访问权限。
-
选择自定义访问权限。
-
在 DaaS 下,选中或清除一个或多个角色旁边的复选标记。要修改与分配的角色关联的范围,请选择编辑范围。
默认情况下,每个选定的角色都选中了所有范围,如所有范围标签所示。
-
要为选定的角色指定范围,请选择自定义范围,然后添加或删除相应的范围。默认情况下,所有自定义范围都已添加到角色中。要删除范围,请单击范围上的 X 图标。
已删除且可添加到角色的范围将显示在已添加范围下方的列表中。要将范围添加到角色,请选择该范围的加号图标。
-
完成范围选择后,选择应用。
- 选择保存以保存为管理员选择的角色。
与本地 Citrix Virtual Apps and Desktops 的区别
如果您熟悉本地 Citrix Virtual Apps and Desktops 产品中的委派管理,则 Citrix DaaS 版本存在一些差异。
在 Citrix Cloud 中:
- 管理员通过其 Citrix Cloud 登录名而非其 Active Directory 帐户进行标识。您可以为 Active Directory 个人创建角色/范围对,但不能为组创建。
- 管理员是在 Citrix Cloud 控制台中创建、配置和删除的,而不是在 Citrix DaaS 中。
- 角色/范围对是在 Citrix Cloud 控制台中分配给管理员的,而不是在 Citrix DaaS 中。
- 报告不可用。您可以在服务的 Studio 界面中查看管理员、角色和范围信息。
-
自定义访问权限的云管理员类似于本地版本中的完全管理员。两者都对所使用的 Citrix Virtual Apps and Desktops 版本具有完全管理和监视权限。
但是,在 Citrix DaaS 中,没有名为“完全管理员”的角色。请勿将 Citrix Cloud 中的“完全访问权限”等同于本地 Citrix Virtual Apps and Desktops 中的“完全管理员”。Citrix Cloud 中的完全访问权限涵盖平台级域、库、通知和资源位置,以及所有订阅服务。
更多信息
有关服务监视节点中使用的管理员、角色和范围的信息,请参阅委派管理和监视。
共享
共享
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.