Citrix Cloud

Azure Active Directory-Berechtigungen für Citrix Cloud

In diesem Artikel werden die Berechtigungen beschrieben, die von Citrix Cloud beim Verbinden und Verwenden von Azure Active Directory (AD) angefordert werden. Je nach Art der Verwendung von Azure AD mit dem Citrix Cloud-Konto werden möglicherweise eine oder mehrere Unternehmensanwendungen im Azure AD-Zielmandanten erstellt. Sie können mehrere Citrix Cloud-Konten mit einem Azure AD-Mandanten verbinden und dieselben Unternehmensanwendungen verwenden, ohne für jedes Konto einen Anwendungssatz zu erstellen.

Hinweis:

Ab April 2022 verwendet die Azure AD-App, die Citrix Cloud zum Verbinden Ihres Azure AD verwendet, die Berechtigung GroupMember.Read.All anstelle von Group.Read.All. Wenn Sie eine bestehende Azure AD-Verbindung (vor April 2022) haben und möchten, dass die App die neue Berechtigung verwendet, müssen Sie Ihr Azure AD trennen und dann erneut mit Citrix Cloud verbinden. Diese Aktion stellt sicher, dass Ihr Konto die neueste Azure AD-App in Citrix Cloud verwendet. Weitere Informationen finden Sie unter Wiederverbinden mit Azure AD für die aktualisierte App.

Wenn Sie die App nicht aktualisieren, funktioniert Ihre bestehende Verbindung weiterhin normal.

Unternehmensanwendungen

Die folgende Tabelle enthält die Azure AD-Unternehmensanwendungen, die von Citrix Cloud beim Verbinden und Verwenden von Azure AD genutzt werden, und der Verwendungszweck jeder Anwendung.

Name Anwendungs-ID Verwendung
Citrix Cloud e95c4605-aeab-48d9-9c36-1a262ef8048e Workspace-Abonnentenanmeldung
Citrix Cloud f9c0e999-22e7-409f-bb5e-956986abdf02 Standardverbindung zwischen Azure AD und Citrix Cloud
Citrix Cloud 1b32f261-b20c-4399-8368-c8f0092b4470 Administratorseinladungen und -anmeldungen
Citrix Cloud 5c913119-2257-4316-9994-5e8f3832265b Standardverbindung zwischen Azure AD und Citrix Cloud mit Citrix Endpoint Management
Citrix Cloud e067934c-b52d-4e92-b1ca-70700bd1124e Legacy-Verbindung zwischen Azure AD und Citrix Cloud mit Citrix Endpoint Management

Berechtigungen

Die Berechtigungen in den Unternehmensanwendungen von Citrix Cloud ermöglichen Citrix Cloud den Zugriff auf bestimmte Daten in Ihrem Azure AD-Mandanten. Anhand dieser Daten kann Citrix Cloud bestimmte Funktionen ausführen, zum Beispiel die Verbindung zu Ihrem Azure AD-Mandanten herstellen, Administratoren mit einer dedizierten Anmelde-URL bei Citrix Cloud anmelden und Ihren Azure AD-Mandanten mit Endpoint Management verbinden. Citrix Cloud kann nur mit Ihrer Zustimmung auf diese Daten zugreifen. Die Berechtigungen stellen das Mindestmaß an Privilegien dar, die Citrix Cloud benötigt, um mit Ihrem Azure AD zu funktionieren. Weitere Informationen zu Azure AD-Berechtigungen und zur Zustimmung finden Sie unter Permissions and consent in the Microsoft identity platform in der Dokumentation zu Microsoft Azure.

In diesem Artikel enthält jede Gruppe von Azure AD-Anwendungsberechtigungen die folgenden Informationen:

  • API-Name: Die Ressourcenanwendungen, von denen Citrix Cloud Berechtigungen anfordert. Diese Anwendungen sind Microsoft Graph und Windows Azure Active Directory. Citrix Cloud fordert von beiden Ressourcenanwendungen dieselben Berechtigungen an.
  • Typ: Die Zugriffsebenen, die Citrix Cloud für eine bestimmte Berechtigung anfordert. Berechtigungen in einer Unternehmensanwendung können eine der folgenden Zugriffsebenen haben:
    • Delegierte Berechtigungen werden verwendet, um im Namen eines angemeldeten Benutzers zu agieren, z. B. beim Abfragen des Benutzerprofils.
    • Anwendungsberechtigungen werden verwendet, wenn die Anwendung eine Aktion in Abwesenheit des Benutzers ausführt, z. B. beim Abfragen von Benutzern innerhalb einer bestimmten Gruppe. Dieser Berechtigungstyp erfordert die Zustimmung eines globalen Administrators in Azure AD.
  • Anspruchswert: Die Zeichenfolge, die Azure AD einer bestimmten Berechtigung zuweist. Berechtigungen in einer Unternehmensanwendung können einen der folgenden Zugriffswerte haben:
    • User.Read: Hiermit können Citrix Cloud-Administratoren Benutzer aus dem verbundenen Azure AD als Administratoren zum Citrix Cloud-Konto hinzuzufügen.
    • User.ReadBasic.All: Sammelt grundlegende Informationen aus dem Benutzerprofil. Dies ist eine Teilmenge von User.Read.All, die Berechtigung selbst verbleibt jedoch zur Abwärtskompatibilität.
    • User.Read.All: Citrix Cloud ruft Benutzer auflisten in Microsoft Graph auf, um das Durchsuchen und Auswählen von Benutzern aus dem verbundenen Azure AD des Kunden zu aktivieren. Beispielsweise können Benutzer von Azure AD aus Zugriff auf eine Citrix DaaS-Ressource mit dem Workspace erhalten. Citrix Cloud kann User.ReadBasic.All nicht verwenden, da Citrix Cloud Zugriff auf Eigenschaften außerhalb des grundlegenden Profils (z. B. onPremisesSecurityIdentifier) benötigt.
    • GroupMember.Read.All: Citrix Cloud ruft Gruppen auflisten in Microsoft Graph auf, um das Durchsuchen und Auswählen von Gruppen aus dem verbundenen Azure AD des Kunden zu aktivieren. Beispielsweise können Gruppen von Azure AD aus auch Zugriff auf Citrix DaaS-Anwendungen erhalten.
    • Directory.Read.All: Citrix Cloud ruft memberOf auflisten in Microsoft Graph auf, um die Gruppenmitgliedschaft des Benutzers abzurufen, da Groups.Read.All nicht ausreicht.
    • DeviceManagementApps.ReadWrite.All: Hiermit kann Citrix Cloud von Microsoft Intune verwaltete Eigenschaften, Gruppenzuweisungen, den Status von Apps, App-Konfigurationen und App-Schutzrichtlinien lesen und bearbeiten.
    • Directory.AccessAsUser.All: Hiermit erhält Citrix Cloud den gleichen Zugriff auf Informationen im Verzeichnis wie der angemeldete Benutzer.

Hinweis:

Directory.Read.All gilt nur für Standardverbindung zwischen Azure AD und Citrix Cloud mit Endpoint Management.

Workspace-Abonnentenanmeldung

Diese Citrix Cloud-Anwendung (ID: e95c4605-aeab-48d9-9c36-1a262ef8048e) verwendet die folgenden Berechtigungen:

API-Name Anspruchswert Berechtigungswert Typ
Microsoft Graph User.Read Anmelden und Benutzerprofil lesen Delegiert

Standardverbindung zwischen Azure AD und Citrix Cloud

Diese Citrix Cloud-Anwendung (ID: f9c0e999-22e7-409f-bb5e-956986abdf02) verwendet die folgenden Berechtigungen:

API-Name Anspruchswert Berechtigung Typ
Microsoft Graph GroupMember.Read.All Alle Gruppen lesen Delegiert
Microsoft Graph User.ReadBasic.All Grundlegende Profile aller Benutzer lesen Delegiert
Microsoft Graph User.Read.All Vollständige Profile aller Benutzer lesen Delegiert
Microsoft Graph User.Read Anmelden und Benutzerprofil lesen Delegiert
Microsoft Graph GroupMember.Read.All Alle Gruppen lesen Anwendung
Microsoft Graph User.Read.All Vollständiges Profil aller Benutzer lesen Anwendung
Microsoft Graph User.Read Anmelden und Benutzerprofil lesen Anwendung

Administratorseinladungen und -anmeldungen

Diese Citrix Cloud-Anwendung (ID: 1b32f261-b20c-4399-8368-c8f0092b4470) verwendet die folgenden Berechtigungen:

API-Name Anspruchswert Berechtigungswert Typ
Microsoft Graph User.Read Anmelden und Benutzerprofil lesen Delegiert
Microsoft Graph User.ReadBasic.All Grundlegende Profile aller Benutzer lesen Delegiert

Standardverbindung zwischen Azure AD und Citrix Cloud mit Endpoint Management

Diese Citrix Cloud-Anwendung (ID: 5c913119-2257-4316-9994-5e8f3832265b) verwendet die folgenden Berechtigungen:

API-Name Anspruchswert Berechtigungswert Typ
Microsoft Graph GroupMember.Read.All Alle Gruppen lesen Delegiert
Microsoft Graph User.ReadBasic.All Grundlegende Profile aller Benutzer lesen Delegiert
Microsoft Graph User.Read Anmelden und Benutzerprofil lesen Delegiert
Microsoft Graph Directory.Read.All Verzeichnisdaten lesen Anwendung
Microsoft Graph Directory.Read.All Verzeichnisdaten lesen Delegiert
Microsoft Graph DeviceManagementApps.ReadWrite.All Microsoft Intune-Apps lesen und schreiben Delegiert
Microsoft Graph Directory.AccessAsUser.All Als angemeldeter Benutzer auf das Verzeichnis zugreifen Delegiert

Legacy-Verbindung zwischen Azure AD und Citrix Cloud mit Endpoint Management

Diese Citrix Cloud-Anwendung (ID: e067934c-b52d-4e92-b1ca-70700bd1124e) verwendet die folgenden Berechtigungen:

API-Name Anspruchswert Berechtigungswert Typ
Microsoft Graph GroupMember.Read.All Alle Gruppen lesen Delegiert
Microsoft Graph User.ReadBasic.All Grundlegende Profile aller Benutzer lesen Delegiert
Microsoft Graph User.Read Anmelden und Benutzerprofil lesen Delegiert
Microsoft Graph DeviceManagementApps.ReadWrite.All Microsoft Intune-Apps lesen und schreiben Delegiert
Microsoft Graph Directory.AccessAsUser.All Als angemeldeter Benutzer auf das Verzeichnis zugreifen Delegiert
Azure Active Directory-Berechtigungen für Citrix Cloud