Citrix DaaS

Delegierte Administration

Übersicht

Mit der delegierten Administration können Sie in Citrix Cloud die Zugriffsberechtigungen aller Administratoren gemäß ihrer Rolle in der Organisation konfigurieren.

Standardmäßig haben Administratoren Vollzugriff. Diese Einstellung ermöglicht den Zugriff auf alle kundenbezogenen Administrations- und Verwaltungsfunktionen in Citrix Cloud und auf alle abonnierten Dienste. Die Zugriffsrechte eines Administrators lassen sich folgendermaßen anpassen:

  • Benutzerdefinierter Zugriff des Administrators auf allgemeine Verwaltungsberechtigungen in Citrix Cloud.
  • Benutzerdefinierter Zugriff auf abonnierte Dienste. In Citrix DaaS (ehemals Citrix Virtual Apps and Desktops Service) können Sie die Zugriffsrechte eines neuen Administrators direkt bei der Einladung benutzerdefiniert festlegen. Sie können den Zugriff eines Administrators später ändern.

Weitere Informationen zur Anzeige der Administratorliste und zum Definieren von Zugriffsberechtigungen finden Sie unter Administratorzugriff auf Citrix Cloud verwalten.

In diesem Artikel wird beschrieben, wie Sie den benutzerdefinierten Zugriff in Citrix DaaS konfigurieren.

Administratoren, Rollen und Geltungsbereiche

Die Delegierte Administration verwendet drei Konzepte für den benutzerdefinierten Zugriff: Administratoren, Rollen und Geltungsbereiche.

  • Administratoren: Ein Administrator ist eine Person, die durch ihre Citrix Cloud-Anmeldeinformationen (meist eine E-Mail-Adresse) identifiziert wird. Jeder Administrator ist mit mindestens einem Paar aus Rolle und Geltungsbereich verknüpft.
  • Rollen: Eine Rolle steht für eine spezielle Jobfunktion, mit der bestimmte Berechtigungen verknüpft sind. Damit sind Aufgaben möglich, die nur für Citrix DaaS gelten. Die Rolle des Bereitstellungsgruppenadministrators berechtigt beispielsweise dazu, Bereitstellungsgruppen zu erstellen oder Desktops aus einer Bereitstellungsgruppe zu entfernen. Ein Administrator kann mehrere Rollen haben. Ein Administrator kann ein Bereitstellungsgruppenadministrator und ein Maschinenkatalogadministrator sein.

    Citrix DaaS bietet auch mehrere integrierte Rollen für den benutzerdefinierten Zugriff. Sie können die Berechtigungen in den vordefinierten Rollen nicht ändern und die Rollen auch nicht löschen.

    Sie können Ihre eigenen benutzerdefinierten Zugriffsrollen erstellen, um die Anforderungen Ihrer Organisation zu erfüllen, und Berechtigungen mit detaillierter delegieren. Verwenden Sie benutzerdefinierte Rollen, um Berechtigungen in der Granularität einer Aktion oder Aufgabe zuzuteilen. Sie können eine benutzerdefinierte Rolle nur löschen, wenn sie keinem Administrator zugewiesen ist.

    Sie können die Rollen jedoch für jeden Administrator anpassen.

    Eine Rolle ist stets mit einem bestimmten Geltungsbereich verknüpft.

  • Geltungsbereiche: Ein Geltungsbereich steht für eine Sammlung von Objekten. Geltungsbereiche dienen dazu, Objekte auf relevante Weise im Unternehmen zu gruppieren. Objekte können auch in mehreren Geltungsbereichen sein.

    Der einzige integrierte Geltungsbereich “Alle” enthält alle Objekte. Citrix Cloud- und Helpdesk-Administratoren sind immer mit dem Geltungsbereich “Alle” verknüpft. Dieser Bereich kann für diese Administratoren nicht geändert werden.

    Wenn Sie einen Administrator einladen und zum Service hinzufügen, ist eine Rolle stets mit einem Geltungsbereich verknüpft (standardmäßig mit dem Geltungsbereich “Alle”).

    Sie erstellen und löschen Bereiche mit Studio. Sie erstellen verknüpfte Rollen-/Geltungsbereichspaare in der Citrix Cloud-Konsole.

    Für Administratoren mit Vollzugriff wird kein Geltungsbereich angezeigt. Diese Administratoren haben per Definition Zugriff auf alle kundenverwalteten Objekte in Citrix Cloud und in abonnierten Diensten.

Integrierte Rollen und Bereiche

Folgende Rollen sind in Citrix DaaS vordefiniert.

  • Cloudadministrator: Kann alle Aufgaben ausführen, die von Citrix DaaS initiiert werden können.

    Kann die Konsolen Verwalten und Überwachen in Studio sehen. Diese Rolle wird stets mit dem Geltungsbereich “Alle” kombiniert. Sie können diesen Bereich nicht ändern.

    Lassen Sie sich vom Namen der Rolle nicht täuschen. Ein Cloudadministrator mit benutzerdefiniertem Zugriff kann keine Aufgaben auf Citrix Cloud-Ebene durchführen (für Citrix Cloud-Aufgaben ist ein Vollzugriff erforderlich).

  • Lesezugriffsadministrator: Kann alle Objekte in den angegebenen Geltungsbereichen (und globale Informationen) sehen, aber keine Änderungen vornehmen. Ein Lesezugriffadministrator mit dem Geltungsbereich London kann beispielsweise alle globalen Objekte und alle Objekte für den Geltungsbereich London (z. B. London-Bereitstellungsgruppen) sehen. Dieser Administrator kann jedoch nicht die Objekte im Geltungsbereich “New York” sehen (sofern die Geltungsbereiche “London” und “New York” einander nicht überlappen).

    Kann die Konsolen Verwalten und Überwachen in Studio sehen.

  • Helpdeskadministrator: Kann Bereitstellungsgruppen sehen und die diesen Gruppen zugeordneten Sitzungen und Maschinen verwalten. Kann den Maschinenkatalog und die Hostinformationen der überwachten Bereitstellungsgruppen sehen. Kann auch Sitzungsverwaltungs- und Energieverwaltungsvorgänge für die Maschinen in diesen Bereitstellungsgruppen durchführen.

    Kann die Überwachen-Konsole in Studio sehen. Die Verwaltungskonsole kann nicht angezeigt werden. Diese Rolle wird stets mit dem Geltungsbereich “Alle” kombiniert. Sie können diesen Bereich nicht ändern.

  • Maschinenkatalogadministrator: Kann Maschinenkataloge erstellen und verwalten sowie Maschinen in ihnen bereitstellen. Kann Basisimages verwalten und Software installieren, aber Benutzern keine Anwendungen oder Desktops zuweisen.

    Kann die Konsolen Überwachen und Verwalten in Studio sehen. Kann die Registerkarte Überwachen nicht sehen. Sie können den Geltungsbereich ändern.

  • Bereitstellungsgruppenadministrator: Kann Anwendungen, Desktops und Maschinen bereitstellen. Kann auch die zugehörigen Sitzungen verwalten. Kann Anwendungs- und Desktopkonfigurationen wie Richtlinien und Energieverwaltungseinstellungen verwalten.

    Kann die Konsolen Überwachen und Verwalten in Studio sehen. Sie können den Geltungsbereich ändern.

    Hinweis:

    Sie benötigen die Berechtigung Maschinenupdate ausführen, um den Anzeigenamen eines Desktops als Bereitstellungsgruppenadministrator zu ändern. Diese Berechtigung ist erforderlich, weil beim Ändern des Anzeigenamens die Maschineneigenschaft aktualisiert werden muss.

  • Hostadministrator: Kann Hostverbindungen und ihre zugehörigen Ressourceneinstellungen verwalten. Kann keine Maschinen, Anwendungen oder Desktops für Benutzer bereitstellen.

    Kann die Verwaltungskonsole in Studio sehen. Kann die Registerkarte Überwachen nicht sehen. Sie können den Geltungsbereich ändern.

  • Sitzungsadministrator: Kann überwachte Bereitstellungsgruppen sehen und die zugehörigen Sitzungen und Maschinen verwalten.

    Kann die Überwachen-Konsole in Studio sehen. Die Verwaltungskonsole kann nicht angezeigt werden. Sie können diesen Bereich nicht ändern.

  • Volladministrator: Kann alle Aufgaben und Vorgänge ausführen. Ein Volladministrator wird stets mit dem Geltungsbereich Alle kombiniert.

    Kann die Konsolen Verwalten und Überwachen in Studio sehen. Diese Rolle wird stets mit dem Geltungsbereich Alle kombiniert. Sie können diesen Bereich nicht ändern.

  • Volladministrator für “Überwachen”: Hat vollen Zugriff auf alle Ansichten und Befehle auf der Registerkarte Überwachen.

    Kann die Registerkarte Monitor in Studio sehen. Die Verwaltungskonsole kann nicht angezeigt werden. Sie können diesen Bereich nicht ändern.

  • Administrator für Probe Agent: Hat Zugriff auf Probe Agent-APIs.

    Kann die Konsolen Überwachen und Verwalten in Studio sehen. Hat nur Lesezugriff auf die Seite Anwendungen und kann nicht auf andere Ansichten zugreifen.

In der folgenden Tabelle ist zusammengefasst, welche Konsolenregisterkarten für die einzelnen Rollen in Citrix DaaS sichtbar sind und ob die Rolle mit benutzerdefinierten Geltungsbereichen verwendet werden kann.

Administratorrolle mit benutzerdefiniertem Zugriff Kann Verwalten in der Konsole sehen? Konsole mit Registerkarte Überwachen? Benutzerdefinierte Geltungsbereiche verwendbar?
Cloudadministrator Ja Ja Nein
Lesezugriffadministrator Ja Ja Ja
Helpdeskadministrator Nein Ja Nein
Maschinenkatalogadministrator Ja Ja Ja
Bereitstellungsgruppenadministrator Ja Ja Ja
Hostadministrator Ja Nein Ja
Sitzungsadministrator Nein Ja Nein
Volladministrator Ja Ja Nein
Volladministrator für Überwachen Nein Ja Nein
Administrator für Probe Agent Ja Ja Nein

Hinweis:

Außer Cloudadministrator und Helpdeskadministrator sind für Citrix Virtual Apps and Desktops Standard für Azure, Virtual Apps Essentials und Virtual Desktops Essentials keine Administratorrollen mit benutzerdefiniertem Zugriff verfügbar.

Anzeige der zugewiesenen Berechtigungen für eine Rolle:

  1. Melden Sie sich bei Citrix Cloud an.
  2. Klicken Sie in der DaaS-Kachel auf Verwalten, um Studio zu öffnen.
  3. Wählen Sie im linken Bereich Administratoren aus.
  4. Wählen Sie die Registerkarte Rollen.
  5. Wählen Sie im oberen mittleren Bereich eine Rolle aus. Auf der Registerkarte Rollendefinition im unteren Bereich sind alle Kategorien und Berechtigungen aufgelistet. Wählen Sie eine Kategorie aus, um die spezifischen Berechtigungen anzuzeigen. Auf der Registerkarte Administratoren sind die Administratoren aufgelistet, denen die ausgewählte Rolle zugewiesen wurde.

    Bekanntes Problem: Ein Volladministrator-Eintrag zeigt nicht den richtigen Berechtigungssatz für einen Citrix DaaS-Administrator mit Vollzugriff an.

Anzahl der benötigten Administratoren

Die Anzahl der Administratoren und die Granularität der Berechtigungen hängen im Allgemeinen von der Größe und Komplexität der Bereitstellung ab.

  • In kleinen Bereitstellungen oder Machbarkeitsstudien übernehmen ein oder wenige Administratoren alle Aufgaben. Es gibt keine benutzerdefinierte Zugriffsdelegierung. In diesem Fall erhält jeder Administrator Vollzugriff, der stets mit dem Geltungsbereich “Alle” verknüpft ist.
  • In größeren Bereitstellungen mit mehr Maschinen, Anwendungen und Desktops ist mehr Delegierung erforderlich. Mehrere Administratoren haben möglicherweise bestimmte funktionale Zuständigkeiten (Rollen). Dann haben beispielsweise zwei Administratoren Vollzugriff, während andere als Helpdeskadministratoren fungieren. Auch werden von einem Administrator ggf. nur bestimmte Objektgruppen (Geltungsbereiche) wie Maschinenkataloge in einer bestimmten Abteilung verwaltet. Erstellen Sie in diesem Fall neue Geltungsbereiche und Administratoren, und weisen Sie diesen eine benutzerdefinierte Zugriffsrolle und die entsprechenden Geltungsbereiche zu.

Zusammenfassung der Administratorverwaltung

Das Einrichten von Administratoren für Citrix DaaS folgt dieser Reihenfolge:

  1. Wenn der Administrator eine andere Rolle als Volladministrator (deckt alle abonnierten Dienste in Citrix Cloud ab) oder eine integrierte Rolle haben soll, erstellen Sie eine benutzerdefinierte Rolle.

  2. Wenn der Administrator einen anderen Geltungsbereich als “Alle” haben soll (und ein anderer Geltungsbereich für die beabsichtigte Rolle zulässig ist und nicht bereits erstellt wurde): erstellen Sie Geltungsbereiche.

  3. Dann können Sie in Citrix Cloud einen Administrator einladen. Wenn der neue Administrator nicht den standardmäßigen Vollzugriff erhalten soll, legen Sie ein benutzerdefiniertes Zugriffsrollen-/Geltungsbereichspaar fest.

Wenn Sie den Zugriff eines Administrators (Rollen und Geltungsbereiche) später ändern möchten, gehen Sie wie unter Konfigurieren von benutzerdefiniertem Zugriff beschrieben vor.

Administrator hinzufügen

Zum Hinzufügen (Einladen) eines Administrators folgen Sie den Anweisungen unter Hinzufügen von Administratoren zu einem Citrix Cloud-Konto. Ein Teil dieser Informationen wird hier wiederholt.

Wichtig:

Beachten Sie, wie “benutzerdefiniert” und “benutzerdefinierter Zugriff” verwendet werden.

  • Beim Erstellen von Administratoren und Zuweisen von Rollen für Citrix DaaS in der Citrix Cloud-Konsole umfasst der Begriff “benutzerdefinierter Zugriff” sowohl vordefinierte Rollen als auch alle zusätzlichen benutzerdefinierten Rollen, die in der Studio-Oberfläche des Diensts erstellt wurden.
  • In der Studio-Oberfläche des Diensts unterscheidet “Benutzerdefiniert” diese Rolle einfach von einer integrierten Rolle.

Der allgemeine Workflow beim Hinzufügen von Administratoren ist wie folgt:

  1. Melden Sie sich bei Citrix Cloud an und wählen Sie im Menü oben links Identitäts- und Zugriffsverwaltung.

  2. Wählen Sie auf der Seite Identitäts- und Zugriffsverwaltung die Option Administratoren. Auf der Registerkarte Administratoren werden alle aktuellen Administratoren für das Konto aufgeführt.

  3. Wählen Sie auf der Registerkarte Administratoren den Identitätstyp aus, geben Sie die E-Mail-Adresse des Administrators ein und klicken Sie dann auf Einladen.

  • Wählen Sie Vollzugriff, wenn der Administrator vollen Zugriff haben soll. Damit kann der Administrator auf alle kundenbezogenen Administrations- und Verwaltungsfunktionen in Citrix Cloud und auf alle abonnierten Dienste zugreifen.
  • Wählen Sie Benutzerdefinierter Zugriff, wenn der Administrator eingeschränkten Zugriff erhalten soll. Sie können dann ein benutzerdefiniertes Zugriffsrollen-/Bereichspaar auswählen. Auf diese Weise hat der Administrator die gewünschten Berechtigungen, wenn er sich bei Citrix Cloud anmeldet.
  1. Klicken Sie auf Einladung senden. Citrix Cloud sendet eine Einladung an die von Ihnen angegebene E-Mail-Adresse und fügt den Administrator der Liste hinzu, wenn der Administrator das Onboarding abgeschlossen hat.

Beim Erhalt der E-Mail klickt der Administrator auf den Link Anmelden, um die Einladung anzunehmen.

Weitere Informationen zum Hinzufügen von Administratoren finden Sie unter Verwalten von Citrix Cloud-Administratoren.

Gehen Sie alternativ in Studio zu Administratoren > Administratoren und klicken Sie auf Administrator hinzufügen. Der Bereich Identitäts- und Zugriffsverwaltung > Administratoren wird direkt in einer neuen Browser-Registerkarte geöffnet. Nachdem Sie dort Administratoren hinzugefügt haben, schließen Sie die Registerkarte und kehren Sie zur Konsole zurück, um mit anderen Konfigurationsaufgaben fortzufahren.

Erstellen und Verwalten von Rollen

Wenn Administratoren eine Rolle erstellen oder bearbeiten, können sie nur die Berechtigungen aktivieren, die sie selbst haben. Dadurch wird verhindert, dass Administratoren eine Rolle mit mehr Berechtigungen erstellen, als sie derzeit haben, und sie dann sich selbst zuweisen (oder eine ihnen bereits zugewiesene Rolle bearbeiten).

Namen für benutzerdefinierte Rollen können bis zu 64 Unicode-Zeichen haben. Namen dürfen keines der folgenden Zeichen enthalten: umgekehrter Schrägstrich, Schrägstrich, Semikolon, Doppelpunkt, Nummernzeichen, Komma, Sternchen, Fragezeichen, Gleichheitszeichen, Größer-Als- oder Kleiner-Als-Zeichen, senkrechter Strich, eckige Klammern, runde Klammern, Anführungszeichen und Apostroph.

Rollenbeschreibungen können bis zu 256 Unicode-Zeichen haben.

  1. Melden Sie sich bei Citrix Cloud an, falls Sie es noch nicht getan haben.
  2. Klicken Sie in der DaaS-Kachel auf Verwalten.
  3. Wählen Sie im linken Bereich Administratoren aus.
  4. Wählen Sie die Registerkarte Rollen.
  5. Folgen Sie den Anweisungen für die Aufgabe, die Sie ausführen möchten:

    • Anzeigen von Rollendetails: Wählen Sie die Rolle im mittleren Bereich aus. Im unteren Teil des mittleren Bereichs werden die Objekttypen und die zugehörigen Berechtigungen für die Rolle angezeigt. Klicken Sie auf die Registerkarte Administratoren im unteren Bereich, um eine Liste der Administratoren anzuzeigen, die derzeit diese Rolle haben.
    • Erstellen einer benutzerdefinierten Rolle: Wählen Sie in der Aktionsleiste Rolle erstellen. Konfigurieren Sie die Einstellungen wie folgt:

      • Geben Sie einen Namen und eine Beschreibung ein.
      • Konfigurieren Sie den Konsolenzugriff. Legen Sie fest, welche Konsolen für die Administratoren sichtbar sein sollen. Sie können fortfahren, ohne eine Konsole auszuwählen. In diesem Fall können Administratoren mit der Rolle nicht auf Verwalten und Überwachen zugreifen, doch sie können über SDKs und APIs auf Objekte zugreifen, diese anzeigen und verwalten.
      • Wählen Sie die Objekttypen und Berechtigungen aus. Um Vollzugriff auf einen Objekttyp zu gewähren, aktivieren Sie das zugehörige Kontrollkästchen. Um Berechtigungen granular zu gewähren, erweitern Sie den Objekttyp und wählen Schreibgeschützt oder einzelne Objekte unter Verwalten innerhalb des Typs aus.

      Dialogfeld "Rolle erstellen"

    • Kopieren einer Rolle: Wählen Sie die Rolle im mittleren Bereich aus und wählen Sie in der Aktionsleiste Rolle kopieren. Ändern Sie den Namen und die Beschreibung sowie die Objekttypen und Berechtigungen nach Bedarf. Wenn Sie fertig sind, wählen Sie Speichern.
    • Bearbeiten einer Rolle: Wählen Sie die Rolle im mittleren Bereich aus und wählen Sie in der Aktionsleiste Rolle bearbeiten. Ändern Sie den Namen und die Beschreibung sowie die Objekttypen und Berechtigungen nach Bedarf. Sie können eine integrierte Rolle nicht bearbeiten. Wenn Sie fertig sind, wählen Sie Speichern.
    • Löschen einer Rolle: Wählen Sie die Rolle im mittleren Bereich aus und wählen Sie in der Aktionsleiste Rolle löschen. Bestätigen Sie die Löschung. Sie können eine integrierte Rolle nicht löschen. Sie können eine benutzerdefinierte Rolle nicht löschen, wenn sie einem Administrator zugewiesen ist.

Erstellen und Verwalten von Geltungsbereichen

Standardmäßig verwenden alle Rollen den Geltungsbereich Alle für ihre relevanten Objekte. Beispielsweise kann ein Bereitstellungsgruppenadministrator alle Bereitstellungsgruppen verwalten. Für einige Administratorrollen können Sie einen Geltungsbereich erstellen, der dieser Administratorrolle den Zugriff auf einen Teil der relevanten Objekte ermöglicht. Vielleicht möchten Sie einem Maschinenkatalogadministrator nur Zugriff auf die Kataloge gewähren, die einen bestimmten Maschinentyp enthalten.

  • Administratoren mit Vollzugriff oder Cloudadministratoren mit benutzerdefiniertem Zugriff können Geltungsbereiche für die Rollen “Lesezugriffadministrator”, “Maschinenkatalogadministrator”, “Bereitstellungsgruppenadministrator” und “Hostadministrator” erstellen.
  • Geltungsbereiche können nicht für Administratoren mit Vollzugriff, Cloudadministratoren oder Helpdeskadministratoren erstellt werden. Diesen Administratoren ist stets der Geltungsbereich “Alle” zugeordnet.

Regeln zum Erstellen und Verwalten von Geltungsbereichen:

  • Geltungsbereichsnamen können bis zu 64 Unicode-Zeichen enthalten. Namen dürfen keines der folgenden Zeichen enthalten: umgekehrter Schrägstrich, Schrägstrich, Semikolon, Doppelpunkt, Nummernzeichen, Komma, Sternchen, Fragezeichen, Gleichheitszeichen, Größer-Als- oder Kleiner-Als-Zeichen, senkrechter Strich, eckige Klammern, runde Klammern, Anführungszeichen und Apostroph.
  • Geltungsbereichsbeschreibungen können bis zu 256 Unicode-Zeichen enthalten.
  • Wenn Sie einen Geltungsbereich kopieren oder bearbeiten, dürfen Sie nicht vergessen, dass Objekte, die aus dem Geltungsbereich entfernt werden, für einen Administrator ggf. nicht mehr zugänglich sind. Ist der bearbeitete Geltungsbereich mit einer oder mehreren Rollen verbunden, müssen Sie sicherstellen, dass kein Rollen-/Geltungsbereichspaar durch Änderungen am Bereich unbrauchbar wird.

Erstellen und Verwalten von Geltungsbereichen:

  1. Melden Sie sich bei Citrix Cloud an.
  2. Klicken Sie in der DaaS-Kachel auf Verwalten.
  3. Wählen Sie im linken Bereich Administratoren im linken Bereich aus.
  4. Wählen Sie die Registerkarte Geltungsbereiche.
  5. Folgen Sie den Anweisungen für die Aufgabe, die Sie ausführen möchten:

    • Bereichsdetails anzeigen: Wählen Sie den Bereich. Im unteren Fensterbereich werden die Objekte und Administratoren mit dem Bereich angezeigt.
    • Geltungsbereich erstellen: Wählen Sie in der Aktionsleiste Geltungsbereich erstellen. Geben Sie einen Namen und eine Beschreibung ein. Die Objekte sind nach Typ aufgelistet, z. B. Bereitstellungsgruppe und Maschinenkatalog.
      • Zum Einschließen aller Objekte eines bestimmten Typs (z. B. alle Bereitstellungsgruppen) aktivieren Sie das Kontrollkästchen für den Objekttyp.
      • Zum Einschließen einzelner Objekte eines Typs erweitern Sie den Typ und aktivieren die Kontrollkästchen für die Objekte (z. B. bestimmte Bereitstellungsgruppen).

        Hinweis:

        Anwendungsgruppen, Bereitstellungsgruppen oder Maschinenkataloge werden in Ordnerstrukturen angezeigt, die ihrer Verwaltung in DaaS entsprechen. Sie können einen Ordner auswählen, um alle darin enthaltenen Objekte auszuwählen, oder einen Ordner erweitern, um bestimmte Objekte auszuwählen.

      • Um einen Mandantenkunden zu erstellen, aktivieren Sie das Kontrollkästchen Mandantenbereich. Wenn ausgewählt, ist der Name, den Sie für den Geltungsbereich eingegeben haben, der Mandantenname. Weitere Informationen zum Mandantenbereich finden Sie unter Mandantenverwaltung.

      Wenn Sie fertig sind, wählen Sie OK.

      Dialogfeld "Bereich erstellen"

    • Geltungsbereich kopieren: Wählen Sie den Geltungsbereich im mittleren Bereich aus und wählen Sie in der Aktionsleiste Geltungsbereich kopieren. Ändern Sie den Namen und die Beschreibung. Ändern Sie bei Bedarf die Objekttypen und Berechtigungen. Wenn Sie fertig sind, wählen Sie Speichern.
    • Geltungsbereich bearbeiten: Wählen Sie den Geltungsbereich im mittleren Bereich aus und wählen Sie in der Aktionsleiste Geltungsbereich kopieren. Ändern Sie den Namen und die Beschreibung sowie die Objekttypen und Objekte nach Bedarf. Wenn Sie fertig sind, wählen Sie Speichern.
    • Geltungsbereich löschen: Wählen Sie den Geltungsbereich im mittleren Bereich aus und wählen Sie in der Aktionsleiste Geltungsbereich löschen. Bestätigen Sie die Löschung.

      Sie können einen Geltungsbereich nicht löschen, wenn er einer Rolle zugewiesen ist. Wenn Sie dies versuchen, wird in einer Fehlermeldung angezeigt, dass Sie hierfür keine Berechtigung haben. Der Fehler tritt auf, weil das zugehörige Rollen-/Geltungsbereichspaar einem Administrator zugewiesen ist. Heben Sie zunächst die Rollen-/Geltungsbereichspaarzuweisung für alle Administratoren auf, die sie verwenden. Danach können Sie den Geltungsbereich in Studio löschen.

Nachdem Sie einen Bereich erstellt haben, wird er in der Citrix Cloud-Konsole in der Liste Benutzerdefinierter Zugriff angezeigt. Sie können ihn dann auswählen, wenn Sie einem Administrator eine Rolle zuweisen.

Angenommen, Sie erstellen den Bereich CAD und wählen dann die Kataloge aus, die für CAD-Anwendungen geeignete Maschinen enthalten. Wenn Sie zur Citrix Cloud-Konsole zurückkehren und Bereiche bearbeiten für eine Rolle auswählen, wird in der Liste der verfügbaren Bereiche der zuvor erstellte CAD-Bereich angezeigt.

Cloudadministrator und Helpdeskadministrator haben stets den Bereich “Alle”, sodass der CAD-Bereich für sie nicht gilt.

Mandantenverwaltung

Mit Studio können Sie einander ausschließende Mandanten unter einem einzigen Citrix DaaS erstellen. Hierfür erstellen Sie unter Administratoren > Geltungsbereiche einzelne Mandantenbereiche, denen Sie dann zugehörige Konfigurationsobjekte (z. B. Maschinenkataloge und Bereitstellungsgruppen) zuordnen. Administratoren mit Zugriff auf einen Mandanten können damit nur die Objekte verwalten, die mit dem Mandanten verknüpft sind.

Das Feature ist in folgenden Fällen besonders nützlich:

  • Ihre Organisation besitzt mehrere Geschäftssilos (unabhängige Abteilungen oder separate IT-Teams) oder
  • Ihre Organisation betreibt mehrere On-Premises-Sites und möchte dasselbe Setup in einer einzigen Citrix DaaS-Instanz beibehalten.

Sie können Mandantenkunden auch nach Namen filtern. Standardmäßig werden hier Informationen zu allen Mandantenkunden angezeigt. Um Informationen zu einem bestimmten Mandanten anzuzeigen, wählen Sie ihn in der Liste in der oberen rechten Ecke aus.

Erstellen eines Mandantenkunden

Um einen Mandantenkunden zu erstellen, aktivieren Sie beim Erstellen eines Geltungsbereichs die Option Mandantenbereich. Durch Aktivieren dieser Option erstellen Sie einen eindeutigen Bereichstyp, der für Objekte in Szenarios gilt, wo verschiedene Geschäftseinheiten dieselbe Citrix DaaS-Instanz nutzen und jede Geschäftseinheit unabhängig von den anderen ist. Nachdem Sie einen Mandantenbereich erstellt haben, können Sie den Bereichstyp nicht mehr ändern.

Erstellen eines Mandantenkunden

Auf der Registerkarte Geltungsbereiche sind alle Bereichselemente angezeigt. Der einzige Unterschied zwischen Standardbereichen und Mandantenbereichen besteht in der Spalte Typ. Ein leeres Spaltenfeld verweist auf einen Standardbereich. Durch Klicken auf die Spalte Typ können Sie Bereichselemente bei Bedarf auch sortieren.

Um die Ressourcen (Objekte) anzuzeigen, die einem Bereich zugeordnet sind, wählen Sie im linken Bereich die Option Administratoren. Wählen Sie den Geltungsbereich auf der Registerkarte Geltungsbereiche und wählen Sie in der Aktionsleiste Geltungsbereich bearbeiten.

Tipp:

Die Mandanteneigenschaft wird auf einer Bereichsebene zugewiesen. Maschinenkataloge, Bereitstellungsgruppen, Anwendungen und Verbindungen erben die Mandanteneigenschaft vom entsprechenden Geltungsbereich.

Beachten Sie bei der Verwendung eines Mandantenbereichs Folgendes:

  • Die Mandanteneigenschaft wird in der folgenden Reihenfolge zugewiesen: Hosting > Maschinenkataloge > Bereitstellungsgruppen > Anwendungen. Untergeordnete Objekte müssen die Mandanteneigenschaft des übergeordneten Objekts übernehmen. Beim Auswählen einer Bereitstellungsgruppe müssen Sie beispielsweise den zugehörigen Hosting- und Maschinenkatalog auswählen. Andernfalls kann die Bereitstellungsgruppe die Mandanteneigenschaft nicht erben.
  • Nach dem Erstellen eines Mandantenbereichs können Sie Mandantenzuweisungen bearbeiten, indem Sie Objekte ändern. Eine geänderte Mandantenzuweisung unterliegt weiterhin der Einschränkung, dass sie denselben Mandanten oder einem Teil dieser Mandanten zugewiesen sein muss. Untergeordnete Objekte werden jedoch nicht neu evaluiert, wenn Mandantenzuweisungen sich ändern. Stellen Sie sicher, dass für Objekte ordnungsgemäße Einschränkungen gelten, wenn Sie Mandantenzuweisungen ändern. Wenn beispielsweise ein Maschinenkatalog für TenantA und TenantB verfügbar ist, können Sie je eine Bereitstellungsgruppe für TenantA und TenantB erstellen. (TenantA und TenantB sind beide mit diesem Maschinenkatalog verknüpft.) Sie können dann den Maschinenkatalog so ändern, dass er nur TenantA zugeordnet ist. Infolgedessen wird die TenantB zugeordnete Bereitstellungsgruppe ungültig.

Konfigurieren von benutzerdefiniertem Zugriff für Administratoren

Nach dem Erstellen von Mandantenbereichen konfigurieren Sie den benutzerdefinierten Zugriff für die jeweiligen Administratoren. Weitere Informationen finden Sie unter Konfigurieren von benutzerdefiniertem Zugriff für einen Administrator. Citrix Cloud sendet eine Einladung an die von Ihnen festgelegten Kundenadministratoren und fügt sie der Liste hinzu. Beim Erhalt der E-Mail klicken sie auf Anmelden, um die Einladung anzunehmen. Wenn sie sich bei Studio anmelden, werden ihnen Ressourcen angezeigt, die die zugewiesenen Rollen- und Bereichspaare enthalten.

Konfigurieren von benutzerdefiniertem Zugriff für Mandantenkunden

Administratoren mit Zugriff auf einen Mandanten können nur die Objekte (z. B. Maschinenkatalog, Bereitstellungsgruppe) verwalten, die mit dem Mandanten verknüpft sind.

Konfigurieren von benutzerdefiniertem Zugriff für einen Administrator

Mit dieser Funktion können Sie die Zugriffsberechtigungen vorhandener oder eingeladener Administratoren an ihre Rolle in der Organisation angleichen.

Änderungen an Zugriffsberechtigungen benötigen 5 Minuten, bis sie in Kraft treten. Wenn Sie sich von Studio ab- und wieder anmelden, werden die Änderungen sofort wirksam. Wenn Administratoren die Verwaltungsoberfläche weiterverwenden, nachdem die Änderungen wirksam geworden sind, ohne sich wieder mit ihr zu verbinden, wird eine Warnung angezeigt, wenn sie versuchen, auf Elemente zuzugreifen, für die sie keine Berechtigungen mehr haben.

Wenn Sie Administratoren einladen, haben diese standardmäßig Vollzugriff. Administratoren mit Vollzugriff können alle abonnierten Dienste sowie alle Vorgänge in Citrix Cloud (z. B. weitere Administratoren einladen) verwalten. Eine Citrix Cloudbereitstellung benötigt mindestens einen Administrator mit Vollzugriff.

Sie können auch benutzerdefinierten Zugriff gewähren, wenn Sie einen Administrator einladen. Durch den benutzerdefinierten Zugriff kann der Administrator nur die Dienste und Operationen verwalten, die Sie angeben.

Wenn Sie eine Rolle oder einen Geltungsbereich in Citrix DaaS erstellt haben, werden sie in der Liste “Benutzerdefinierter Zugriff” angezeigt und können ausgewählt werden. Wenn Sie eine Rolle für einen Administrator auswählen, können Sie die Bereiche an die Rolle des Administrators in Ihrer Organisation anpassen.

Konfigurieren des benutzerdefinierten Zugriffs für einen Administrator:

  1. Melden Sie sich bei Citrix Cloud an. Wählen Sie im Menü links oben Identitäts- und Zugriffsverwaltung > Administratoren.
  2. Suchen Sie den gewünschten Administrator, wählen Sie die drei Punkte (…) und dann Zugriff bearbeiten.

    Administratormenü mit markiertem "Zugriff bearbeiten"

  3. Wählen Sie Benutzerdefinierter Zugriff.

    Dialogfeld "Zugriff bearbeiten" mit hervorgehobenem "Benutzerdefinierter Zugriff"

  4. Aktivieren oder deaktivieren Sie unter DaaS die Häkchen neben einer oder mehreren Rollen. Um die einer zugewiesenen Rolle zugeordneten Bereiche zu ändern, wählen Sie Bereiche bearbeiten.

    Dialogfeld "Zugriff bearbeiten" mit hervorgehobenem "Bereiche bearbeiten"

    Standardmäßig sind für jede ausgewählte Rolle alle Bereiche ausgewählt (zu sehen an der Angabe Alle Bereiche).

  5. Um die Bereiche für eine ausgewählte Rolle anzugeben, wählen Sie Benutzerdefinierter Geltungsbereich und fügen Sie dann Bereiche nach Bedarf hinzu bzw. entfernen Sie sie. Standardmäßig werden alle benutzerdefinierten Bereiche zu einer Rolle hinzugefügt. Um einen Bereich zu entfernen, klicken Sie auf das zugehörige X-Symbol.

    Dialogfeld "Zugriff bearbeiten" mit hervorgehobenen X-Symbolen

    Entfernte Bereiche, die zur Rolle hinzugefügt werden können, werden in einer Liste unterhalb der bereits hinzugefügten Bereiche angezeigt. Um der Rolle einen Bereich hinzuzufügen, wählen Sie das Plussymbol für den Bereich.

    Dialogfeld "Zugriff bearbeiten" mit hervorgehobenen Plus-Symbolen

  6. Wenn Sie mit der Auswahl der Bereiche fertig sind, wählen Sie Anwenden.

  7. Wählen Sie Speichern, um die ausgewählten Rollen für den Administrator zu speichern.

Unterschiede zur On-Premises-Version von Citrix Virtual Apps and Desktops

Citrix DaaS weist einige Unterschiede zur delegierten Administration im On-Premises-Produkt von Citrix Virtual Apps and Desktops auf.

In Citrix Cloud:

  • Administratoren werden mit Citrix Cloud-Anmeldeinformationen und nicht über das Active Directory-Konto identifiziert. Sie können Rollen-/Geltungsbereichspaare für einzelne Active Directory-Benutzer, aber nicht für Gruppen erstellen.
  • Administratoren werden nicht in Citrix DaaS, sondern in der Citrix Cloud-Konsole erstellt, konfiguriert und gelöscht.
  • Rollen-/Geltungsbereichspaare werden Administratoren nicht in Citrix DaaS, sondern in der Citrix Cloud-Konsole zugewiesen.
  • Berichte sind nicht verfügbar. Sie können Administrator-, Rollen- und Bereichsinformationen in der Studio-Oberfläche des Dienstes einsehen.
  • Der Cloudadministrator mit benutzerdefiniertem Zugriff ähnelt einem Volladministrator in der On-Premises-Version. Beide verfügen über vollständige Verwaltungs- und Überwachungsberechtigungen für die verwendete Version von Citrix Virtual Apps and Desktops.

    Es gibt jedoch keine Rolle “Volladministrator” in Citrix DaaS. “Vollzugriff” in Citrix Cloud und “Volladministrator” in der On-Premises-Version von Citrix Virtual Apps and Desktops sind nicht identisch. Vollzugriff in Citrix Cloud umfasst Domänen, Bibliothek, Benachrichtigungen und Ressourcenstandorte auf Plattformebene und alle abonnierten Dienste.

Unterschiede zu früheren Citrix DaaS-Releases

Vor dem Release des erweiterten benutzerdefinierten Zugriffs (September 2018) gab es im Service zwei Administratorrollen mit benutzerdefiniertem Zugriff: Volladministrator und Helpdeskadministrator. Wenn die delegierte Administration in Ihrer Bereitstellung (ein Plattformeinstellung) aktiviert ist, werden diese Rollen automatisch zugeordnet.

  • Administratoren mit konfiguriertem benutzerdefiniertem Zugriff im Service Virtual Apps and Desktops (oder XenApp und XenDesktop): Volladministrator ist jetzt Cloudadministrator mit benutzerdefiniertem Zugriff.
  • Administratoren mit konfiguriertem benutzerdefiniertem Zugriff im Service Virtual Apps and Desktops (oder XenApp und XenDesktop): Helpdeskadministrator ist jetzt Helpdeskadministrator mit benutzerdefiniertem Zugriff.

Weitere Informationen

Siehe Delegierte Administration und Überwachung für weitere Informationen zu Administratoren, Rollen und Bereichen, die in der Konsole Überwachen verwendet werden.