使用 RBAC 配置角色

每个基于角色的访问控制 (RBAC) 预定义角色都具有某些关联的访问权限和功能权限。本文描述其中的每个权限可以执行的操作。要获取每个内置角色的默认权限的完整列表,请下载基于角色的访问控制默认设置

应用权限时,您将定义 RBAC 角色有权管理的用户组。请注意,默认管理员无法更改应用的权限设置。默认情况下,所应用的权限适用于所有用户组。

进行分配时,要向组分配 RBAC 角色,以便用户组拥有 RBAC 管理员权限。

本文包含以下各节:

管理角色

具有预定义管理员角色的用户具有或不具有 XenMobile 中以下功能的访问权限。默认情况下,启用授权访问(自助服务门户除外)、控制台功能以及应用权限

授权访问

   
管理控制台访问 管理员有权访问 XenMobile 控制台上的所有功能。
自助门户访问 管理员不具有自助门户访问权限。
共享的设备注册程序 管理员不具有“共享设备注册人员”访问权限。此功能适用于需要注册共享设备的用户。
远程支持访问 管理员拥有远程支持访问权限。*
公共 API 访问 管理员有权访问公共 API,以便以编程方式执行可以在 XenMobile 控制台上执行的操作。这些操作包括管理证书、应用程序、设备、交付组和本地用户。

* 通过 Remote Support,您的技术支持代表能够远程控制托管的 Windows CE 和 Android 移动设备。屏幕录像功能仅在 Samsung KNOX 设备上受支持。远程支持不适用于本地群集 XenMobile Server 部署。

控制台功能

管理员对 XenMobile 控制台具有不受限制的访问权限。

   
控制板 控制板是管理员在登录 XenMobile 控制台后看到的第一个页面。控制板显示有关通知和设备的基本信息。
报告 分析 > 报告页面提供预定义的报告,您可以利用这些报告分析应用程序和设备部署情况。
设备 管理 > 设备页面中,可以管理用户设备。可以在此页面上逐个添加设备,也可以通过导入设备预配文件一次添加多个设备。
本地用户和组 管理 > 用户页面中,可以添加、编辑或删除本地用户和本地用户组。
注册 管理 > 注册邀请页面中,可以管理如何邀请用户在 XenMobile 中注册其设备。
策略 配置 > 设备策略页面中,可以管理 VPN 和 WiFi 等设备策略。
应用程序 配置 > 应用程序页面中,可以管理用户能够在其设备上安装的各种应用程序。
媒体 配置 > 媒体页面中,可以管理用户能够在其设备上安装的各种媒体。
智能操作 配置 > 操作页面中,可以管理触发事件的响应。
注册配置文件 配置 > 注册配置文件页面中,可以配置注册配置文件(模式)以允许用户注册其设备。
交付组 配置 > 交付组页面中,可以管理交付组以及与其关联的资源。
设置 设置页面中,可以管理系统设置,例如,客户端和服务器属性、证书和凭据提供程序。
支持 故障排除和支持页面中,可以执行运行诊断和生成日志等故障排除活动。

设备

管理员可以通过设置设备限制、设置并向设备发送通知、管理设备上的应用程序等操作,访问控制台各处的设备功能。

   
完全擦除设备 擦除设备上的所有数据和应用程序,包括内存卡(如果设备具有内存卡)。
清除限制 删除一项或多项设备限制。
选择性擦除设备 擦除设备上的所有公司数据和应用程序,保留个人数据和应用程序。
查看位置 查看设备的位置以及在设备上设置地理区域限制。包括:定位设备、查看设备的位置、跟踪设备、跟踪设备位置随时间的变化。
锁定设备 远程锁定设备,使用户无法使用设备。
解锁设备 远程解锁设备,使用户可以使用设备。
锁定容器 远程锁定设备上的企业容器。
解锁容器 远程解锁设备上的企业容器。
重置容器密码 重置企业容器密码。
启用 ASM DEP/绕过激活锁 启用激活锁时,在受监督的 iOS 设备上存储绕过码。如果需要擦除该设备,请使用此代码自动清除激活锁。
使设备响铃 远程使 Windows 设备以最高音量响铃 5 分钟。
重新启动设备 从 XenMobile 控制台重新启动 Windows 设备。
部署到设备 向设备发送应用程序、通知、限制等。
编辑设备 更改设备上的设置。
通知设备 向设备发送通知。
添加/删除设备 从 XenMobile 添加或删除设备。
设备导入 通过文件向 XenMobile 导入一组设备。
导出设备表 从“设备”页面收集设备信息,并将其导出到 .csv 文件。
吊销设备 禁止设备连接到 XenMobile。
应用程序锁定 拒绝访问设备上的所有应用程序。在 Android 上,用户根本无法登录 XenMobile。在 iOS 上,用户仍然能够登录,但无法访问应用程序。
应用程序擦除 在 Android 上,此操作将删除用户的 XenMobile 帐户。在 iOS 上,此操作将删除用户访问 XenMobile 功能所需的加密密钥。
查看软件清单 查看设备上安装的软件。
请求使用 AirPlay 镜像 请求启动 AirPlay 流。
停止使用 AirPlay 镜像 停止 AirPlay 流。
启用丢失模式 在“管理”页面上的“设备”中,可以将受监督的设备置于丢失模式以阻止锁屏界面上的受监督设备,并在设备丢失或被盗时定位该设备。
禁用丢失模式 在“管理”页面上的“设备”中,可以禁用设置为丢失模式的设备的丢失模式。
操作系统更新设备 可以在设备中部署“控制操作系统更新”设备策略。
关闭设备 从 XenMobile 控制台关闭 iOS 设备。
重新启动设备 从 XenMobile 控制台重新启动 iOS 设备。

本地用户和组

管理员在 XenMobile 中的管理 > 用户页面上管理本地用户和本地用户组。

 
添加/删除本地用户
编辑本地用户
导入本地用户
导出本地用户
本地用户组

注册

管理员可以添加和删除注册邀请、向用户发送通知以及将注册表导出到 .csv 文件。

   
添加/删除注册 添加或删除向一个或一组用户发送的注册邀请。
通知用户 向一个或一组用户发送注册邀请。
导出注册邀请表 从“注册”页收集注册信息并将其导出到 .csv 文件。

策略

   
添加/删除策略 添加或删除设备策略或应用程序策略。
编辑策略 更改设备策略或应用程序策略。
上载策略 上载设备策略或应用程序策略。
克隆策略 复制设备策略或应用程序策略。
禁用策略 禁用现有应用程序策略。
导出策略 从“设备策略”页面收集设备策略信息,并将其导出到 .csv 文件。
分配策略 将设备策略分配给一个或多个交付组。

应用程序

管理员在 XenMobile 中的配置 > 应用程序页面上管理应用程序。

   
添加/删除应用商店或企业应用程序 添加或删除公共应用商店应用程序或未使用 MDX Toolkit 打包的应用程序。
编辑应用商店或企业应用程序 更改公共应用商店应用程序或未使用 MDX Toolkit 打包的应用程序。
添加/删除 MDX、Web 和 SaaS 应用程序 向 XenMobile 添加或从中删除使用 MDX Toolkit 打包的应用程序(MDX 应用程序)、内部网络中的应用程序(Web 应用程序)或公用网络中的应用程序 (SaaS)。
添加 MDX、Web 和 SaaS 应用程序 更改 XenMobile 中使用 MDX Toolkit 打包的应用程序(MDX 应用程序)、内部网络中的应用程序(Web 应用程序)或公用网络中的应用程序 (SaaS)。
添加/删除类别 添加或删除应用程序在 XenMobile Store 中可以归属的类别。
将公共/企业应用程序分配给交付组 将公共应用商店应用程序或未使用 MDX Toolkit 打包的应用程序分配给交付组以便部署。
将 MDX/WebLink/SaaS 应用程序分配给交付组 将使用 MDX Toolkit 打包的应用程序(MDX 应用程序)、无需单点登录的应用程序 (WebLink) 或公用网络中的应用程序 (SaaS) 分配到交付组以便部署到用户设备。
导出应用程序表 从“应用程序”页收集应用程序信息并将其导出到 .csv 文件。

媒体

管理从公共应用商店或通过 VPP 许可证获取的媒体。

 
添加/删除应用商店或企业书籍
将公共/企业书籍分配给交付组
编辑应用商店或企业书籍

智能操作

   
添加/删除智能操作 添加或删除通过触发器(事件、设备或用户属性、已安装的应用程序名称)定义的操作及其关联响应。
编辑智能操作 更改通过触发器(事件、设备或用户属性、已安装的应用程序名称)定义的操作及其关联响应。
将智能操作分配给交付组 将操作分配给交付组以便部署到用户设备。
导出智能操作 从“操作”页收集操作信息并将其导出到 .csv 文件。

交付组

管理员在配置 > 交付组页面上管理交付组。

   
添加/删除交付组 创建或删除交付组,即添加指定用户和可选策略、应用程序和操作。
编辑交付组 更改现有交付组,即修改用户和可选策略、应用程序和操作。
部署交付组 使交付组可供使用。
导出交付组 从“交付组”页收集交付组信息并将其导出到 .csv 文件。

注册配置文件

管理注册配置文件。

 
添加/删除注册配置文件
编辑注册配置文件
将注册配置文件分配给交付组

Settings(设置)

管理员在设置页面上配置各种设置。

   
RBAC RBAC 分配、分配角色
LDAP 管理一个或多个 LDAP 兼容目录(例如 Active Directory),以导入组、用户帐户和相关属性。
许可证 适用于本地 XenMobile Server。管理您的 Citrix 许可证。
注册 为用户以及自助门户启用注册模式。
发布管理 查看当前安装的版本。包括:发布管理更新
证书 编辑 APNS 证书、证书 SSL 侦听器
通知模板 创建要在自动执行的操作、注册以及对用户的标准通知消息交付中使用的通知模板。
工作流 管理用于应用程序配置的用户帐户的创建、审批和删除。
凭据提供程序 添加一个或多个授权颁发设备证书的凭据提供程序。凭据提供程序控制证书格式以及续订或吊销证书的条件。
PKI 实体 管理公钥基础结构实体(通用、Microsoft Certificate Services 或任意 CA)。
测试 PKI 连接 使用设置 > PKI 实体页面上的“测试连接”按钮可确保服务器可访问。
客户端属性 管理用户设备上的各种属性,例如通行码类型、长度、过期日期等。
客户端支持 设置用户联系支持服务的方式(电子邮件、电话或支持票证电子邮件)。
客户端外观方案 为 XenMobile Store 创建自定义的应用商店名称和默认应用商店视图。添加在 XenMobile Store 或 Secure Hub 中显示的自定义徽标。
运营商 SMS 网关 设置运营商 SMS 网关以配置 XenMobile 通过运营商 SMS 网关发送的通知。
通知服务器 设置用于向用户发送电子邮件的 SMTP 网关服务器。
ActiveSync Gateway 通过规则和属性,管理用户对用户和设备的访问权限。
Google Play 凭据 设置用户名、密码和设备 ID,以允许访问 Google Play。
Apple 设备注册计划 (DEP) 在 XenMobile 中添加一个 Apple DEP 帐户。
Apple Configurator 设备注册 在 XenMobile 中配置 Apple Configurator 设置。
iOS/VPP 设置 添加 Apple 批量购买计划帐户。
移动服务提供商 使用移动服务提供商界面查询 BlackBerry 及其他 Exchange ActiveSync 设备并发布操作。
NetScaler Gateway 适用于本地 XenMobile Server。添加 NetScaler Gateway。选择是否启用身份验证以及是否推送用户证书以进行身份验证。选择凭据提供程序。
网络访问控制 设置确定设备不兼容并因此拒绝访问网络的条件。
Samsung KNOX 启用或禁用 XenMobile 查询 Samsung KNOX 认证服务器 REST API。
服务器属性 添加或修改服务器属性。需要在所有节点上重新启动 XenMobile。
Syslog 适用于本地 XenMobile Server。使用服务器主机名或 IP 地址将日志文件发送到系统日志 (syslog) 服务器。
XenApp/XenDesktop 允许用户通过 Secure Hub 添加 XenApp 和 XenDesktop。
ShareFile 将 XenMobile 与 ShareFile Enterprise 结合使用时:配置连接到 ShareFile 帐户和管理员服务帐户以管理用户帐户的设置。需要使用现有 ShareFile 域和管理员凭据。在 XenMobile 中使用 StorageZone 连接器时:将 XenMobile 配置为指向在 ShareFile StorageZone 连接器中定义的网络共享和 SharePoint 位置。
体验改善计划 适用于本地 XenMobile Server。选择是否参与向 Citrix 发送匿名统计数据和使用信息。
Microsoft Azure 适用于本地 XenMobile Server。将 XenMobile 与 Microsoft Azure 相集成。
Android for Work 配置 Android for Work 服务器设置。
身份提供程序(IDP) 配置身份提供程序。
派生凭据 配置适用于 iOS 设备注册的派生凭据。
XenMobile Tools 访问“XenMobile Tools”页面。
SNMP 配置 为 XenMobile Server 节点启用 SNMP。编辑或添加监视用户、设置显示陷阱通知的 SNMP 管理器以及配置陷阱时间间隔和阈值。

支持

管理员可以执行各种支持任务。

   
NetScaler Gateway 连接检查 通过 IP 地址执行 NetScaler Gateway 的各种连接检查。需要用户名和密码。
XenMobile 连接检查 为选定的 XenMobile 功能(如数据库、DNS、Google Plan 等)执行连接检查。
创建支持包 适用于本地 XenMobile Server。创建一个文件,以发送给 Citrix 支持用于进行故障排除。该文件中包含系统信息、日志、数据库信息、内核信息、跟踪文件以及 XenMobile 或 NetScaler Gateway 的最新配置信息。
Citrix 产品文档 访问公共 Citrix XenMobile 文档站点。
Citrix 知识中心 访问 Citrix 支持站点以搜索知识库文章。
日志 访问并分析用于调试、管理员审核和用户审核的日志文件详细信息。
群集信息 适用于本地 XenMobile Server。访问群集环境中关于每个节点的信息。
垃圾回收 适用于本地 XenMobile Server。访问不再使用的内存对象的信息。
Java 内存属性 适用于本地 XenMobile Server。访问 Java 内存使用情况、内存详细信息和内存池详细信息的快照。
在配置文件、策略、通知或注册模板的文本字段内填充用户或设备属性数据。配置一个策略并将其部署到较大的用户群,并为每个目标用户显示特定于用户的值。
PKI 配置 导入和导出 PKI 配置信息。
APNS 签名实用程序 提交 Apple 推送网络签名 (Apple Push Network signing, APNs) 证书请求,或上载适用于 iOS 的 Secure Mail APNs 证书。
Citrix Insight Services 将日志上载到 Citrix Insight Services (CIS),以帮助解决各种问题。
发送到适用于 Exchange ActiveSync 的 Citrix Gateway 连接器的设备状态 根据设备 ActiveSync ID 向 XenMobile 查询发送到适用于 Exchange ActiveSync 的 Citrix Gateway 连接器的设备状态。
匿名和取消匿名 适用于本地 XenMobile Server。在 XenMobile 中创建支持包时,默认情况下会将敏感用户、服务器和网络数据设为匿名。可以在“高级”下的“支持”中的“匿名和取消匿名”页面上更改此行为。
日志设置 自定义日志级别或添加自定义调试器。

限制组访问

管理员用户可以应用所有用户组的权限。

设备预配角色

重要:

“设备预配角色”仅适用于 Windows CE 设备。

具有预定义设备预配角色的用户对控制台功能具有有限访问权限;默认情况下,其权限针对所有用户组设置,用户无法更改此设置。

控制台功能

设备预配用户具有 XenMobile 控制台的以下有限访问权限。默认情况下,以下各功能均处于启用状态。

设备

   
编辑设备 更改设备上的设置。
添加/删除设备 从 XenMobile 添加或删除设备。

Settings(设置)

设备预配用户可以访问设置页面,但无权配置功能。

支持角色

具有支持角色的用户有权访问远程支持;其权限默认应用于所有用户,用户无法编辑此设置。

用户角色

具有用户角色的用户具有 XenMobile 的以下有限访问权限。

授权访问

   
自助服务门户 用户在 XenMobile 中仅具有自助服务门户的访问权限。

控制台功能

用户具有 XenMobile 控制台的以下有限访问权限。

设备

   
完全擦除设备 擦除设备上的所有数据和应用程序,包括内存卡(如果设备具有内存卡)。
选择性擦除设备 擦除设备上的所有公司数据和应用程序,保留个人数据和应用程序。
查看位置 查看设备的位置以及在设备上设置地理区域限制。包括:定位设备、查看设备的位置、跟踪设备、跟踪设备位置随时间的变化。
锁定设备 远程锁定设备,使其无法使用。
解锁设备 远程解锁设备,使其可以使用。
锁定容器 远程锁定设备上的企业容器。
解锁容器 远程解锁设备上的企业容器。
重置容器密码 重置企业容器密码。
启用 ASM DEP/绕过激活锁 启用激活锁时,在受监督的 iOS 设备上存储绕过码。如果需要擦除该设备,请使用此代码自动清除激活锁。
使设备响铃 远程使 Windows 设备以最高音量响铃 5 分钟。
重新启动设备 重新启动 Windows 设备。
查看软件清单 查看设备上安装的软件。

注册

   
添加/删除注册 添加或删除向一个或一组用户发送的注册邀请。
通知用户 向一个或一组用户发送注册邀请。

限制组访问

对于所有四种默认角色,此权限在默认情况下设置,并且可应用于所有用户组。您无法编辑此角色。

使用 RBAC 配置角色

通过 XenMobile 中基于角色的访问控制 (RBAC) 功能,可以向用户和组分配预定义的角色(或称权限集)。这些权限控制用户对系统功能的访问级别。

XenMobile 实现四种默认用户角色,用于在逻辑上区分系统功能的访问权限:

  • 管理员: 授予完整系统访问权限。
  • 设备预配: 授予访问针对 Windows CE 设备的基本设备管理的权限。
  • 支持: 授予访问远程支持的权限。
  • 用户: 供可以注册设备和访问自助服务门户的用户使用。

您可以使用默认角色作为模板,通过自定义来创建具有默认角色定义的功能之外的其他特定系统功能的访问权限的新用户角色。

角色可以分配给本地用户(在用户级别)或 Active Directory 组(此组中的所有用户具有相同的权限)。如果用户属于多个 Active Directory 组,则所有权限合并起来,以定义该用户的权限。例如,如果 ADGroupA 可以查找管理员设备,ADGroupB 用户可以擦除员工设备,则同时属于这两个组的用户可以查找和擦除管理员和员工的设备。

注意:

只能为本地用户分配一个角色。

可以使用 XenMobile 中的 RBAC 功能执行以下操作:

  • 创建新角色。
  • 将组添加到角色。
  • 向本地用户分配角色。
  1. 在 XenMobile 控制台中,单击控制台右上角的齿轮图标。此时将显示设置页面。

  2. 单击基于角色的访问控制。此时将显示基于角色的访问控制页面,其中显示了四种默认用户角色以及您之前添加的任何角色。

    XenMobile RBAC 图

    如果单击某个角色旁边的加号 (+),角色将展开以显示此角色的所有权限,如下图所示。

    XenMobile RBAC 配置图

  3. 单击添加可添加新用户角色,单击现有角色右侧的铅笔图标可编辑此角色,单击您之前定义角色右侧的垃圾桶图标可删除此角色。无法删除默认用户角色。

    • 单击添加或铅笔图标时,将显示添加角色编辑角色页面。
    • 单击垃圾桶图标时,将显示一个确认对话框。单击删除可删除选定的角色。
  4. 要创建新用户角色或编辑现有用户角色,请输入以下信息:

    • RBAC 名称: 输入新用户角色的描述性名称。无法更改现有角色的名称。
    • RBAC 模板: (可选)单击某个模板以将其作为新角色的起点。如果正在编辑现有角色,则无法选择模板。

    RBAC 模板是默认用户角色。它们定义与此角色关联的用户对系统功能的访问权限。选择某个 RBAC 模板后,可以在授权访问控制台功能字段看到与该角色关联的所有权限。使用模板为可选操作;您可以直接在授权访问控制台功能字段中选择要分配给角色的选项。

    XenMobile RBAC 配置图

  5. 单击 RBAC 模板字段右侧的应用以使用选定模板的预定义访问权限和功能权限填充授权访问控制台功能复选框。

    XenMobile RBAC 配置图

  6. 选中或取消选中授权访问控制台功能复选框可自定义角色。

    如果单击某项控制台功能旁边的三角形,将显示特定于此功能的权限,您可以选中或取消选中相应的权限。单击顶层的复选框可以阻止访问此控制台部分;您必须选择顶层下面的单独选项,才能启用这些选项。例如,在下图中,完全擦除设备清除限制选项不会显示在分配给此角色的用户的控制台上,但是,选中的选项会显示。

    XenMobile RBAC 配置图

  7. 应用权限: 选择要向其应用选定权限的组。如果单击至特定用户组,将显示组列表,您可以从中选择一个或多个组。

    XenMobile RBAC 配置图

  8. 单击下一步。此时将显示分配页面。

    XenMobile RBAC 配置图

  9. 输入下列信息,以将角色分配给用户组。

    • 选择域: 在列表中,单击某个域。
    • 包括用户组: 单击“搜索”以查看所有可用组的列表,或键入完整或部分组名称以将列表限制为仅显示具有该名称的组。
    • 在显示的列表中,选择要向其分配角色的用户组。选择某个用户组后,此组将显示在选定用户组列表中。

    XenMobile RBAC 配置图

    注意:

    要从选定用户组列表中删除用户组,请单击用户组名称旁边的 X。

  10. 单击保存

使用 RBAC 配置角色