委任管理
注:
Web Studio(Webベース)とCitrix Studio(Windowsベース)の2つの管理コンソールを使用して、Citrix Virtual Apps and Desktopsの展開を管理できます。この記事ではWeb Studioのみを扱います。Citrix Studioについて詳しくは、Citrix Virtual Apps and Desktops 7 2212以前の同様の記事を参照してください。
委任管理モデルにより、役割やオブジェクトベースの制御により、組織の管理業務の分担に基づいて柔軟に管理権限を委任することができます。あらゆる規模のサイトで委任管理機能を使用でき、展開環境が複雑化するにつれてより詳細な権限の分担を構成できます。管理権限の委任機能では、管理者、役割、およびスコープという3つの概念が使用されます。
-
管理者: 管理者は、Active Directoryアカウントにより識別される、管理権限を持つ個人またはそのグループを示します。各管理者には、1つまたは複数の役割とスコープのペアが割り当てられます。
-
役割: 役割は管理ジョブの機能を表し、それぞれ定義された権限が割り当てられています。たとえば、[デリバリーグループ管理者]の役割には、「デリバリーグループの作成」および「デリバリーグループからのデスクトップの削除」などの権限があります。管理者は、サイトに対して複数の役割を有することができ、1人の管理者がデリバリーグループ管理者とマシンカタログ管理者を兼ねることができます。役割には、組み込みの役割とカスタムの役割があります。
組み込みの役割は、次のとおりです。
役割 アクセス許可 すべての管理権限を実行できる管理者 すべてのタスクおよび操作を実行できます。[すべての管理権限を実行できる管理者]の役割は、常に[すべて]のスコープとペアになります。 読み取り専用管理者 全体的な情報に加えて、指定されたスコープのすべてのオブジェクトを表示できますが、変更はできません。たとえば、「大阪」というスコープを作成して読み取り専用管理者に割り当てると、構成ログなどのグローバルオブジェクトと、大阪支社用のデリバリーグループなど、[大阪]スコープのオブジェクトを表示できます。ただし、この管理者は「ニューヨーク」スコープのオブジェクトを表示できません。 ヘルプデスク管理者 デリバリー グループを表示して、そのセッションやマシンを管理できます。監視対象のデリバリーグループについて、マシンカタログとホスト情報を表示できます。また、それらのデリバリーグループ内のマシンのセッションや電源を管理できます。 マシンカタログ管理者 マシンカタログを作成および管理したり、マシンカタログにマシンをプロビジョニングしたりできます。仮想化インフラストラクチャ、Provisioning Services、および物理マシンを使用してマシンカタログを作成できます。この役割では、基本イメージを管理したりソフトウェアをインストールしたりできますが、アプリケーションやデスクトップをユーザーに割り当てることはできません。 デリバリーグループ管理者 アプリケーション、デスクトップ、およびマシンを配信し、関連するセッションの管理もできます。ポリシーや電源管理設定など、アプリケーションおよびデスクトップの構成を管理することもできます。 ホスト管理者 ホスト接続およびその関連リソース設定を管理できます。マシン、アプリケーション、またはデスクトップをユーザーに配信することはできません。 この製品の一部のエディションでは、必要に応じてカスタムの役割を作成して、より詳細な権限を委任することができます。カスタムの役割では、コンソールにおける操作またはタスク単位で権限を割り当てることができます。
-
スコープ: 接続、マシンカタログ、デリバリーグループなど、その管理者が管理できるオブジェクトをグループ化したものです。スコープでは、組織の要件に基づいてオブジェクトをグループ化します(営業チームで使用されるデリバリーグループのセットなど)。オブジェクトを複数のスコープに含めることができます。つまり、1つまたは複数のスコープでオブジェクトをラベル付けすることができます。組み込みのスコープである「すべて」には、すべてのオブジェクトが含まれています。[すべての管理権限を実行できる管理者]の役割は、常に [すべて] スコープとペアになります。
例
XYZ社は自社の部署(経理、営業、倉庫)およびそのデスクトップオペレーティングシステム(Windows 7またはWindows 8)に基づいてアプリケーションとデスクトップを管理することにしました。管理者は5つのスコープを作成し、各デリバリーグループに2つのスコープ(部署を表すスコープと使用するオペレーティングシステムを表すスコープ)を割り当てました。
次の管理者を作成しました:
管理者 | 役割 | スコープ |
---|---|---|
ドメイン/fred | すべての管理権限を実行できる管理者 | すべて([すべての管理権限を実行できる管理者]の役割は、常に[すべて]スコープとペアになります) |
ドメイン/rob | 読み取り専用管理者 | すべて |
ドメイン/heidi | 読み取り専用管理者、ヘルプデスク管理者 | すべての営業担当者 |
ドメイン/warehouseadmin | ヘルプデスク管理者 | 倉庫 |
ドメイン/peter | デリバリーグループ管理者、マシンカタログ管理者 | Win7 |
- Fredは「すべての管理権限を実行できる管理者」で、システム内のすべてのオブジェクトを表示、編集、および削除できます。
- Robはサイト内のすべてのオブジェクトを表示できますが、それらを編集または削除することはできません。
- Heidiはすべてのオブジェクトを表示でき、[営業]スコープのデリバリーグループでヘルプデスクタスクを実行できます。これにより、[営業]スコープのデリバリーグループに割り当てられているセッションとマシンを管理できます。ただし、これらのデリバリーグループに(マシンの追加や削除などの)変更を加えることはできません。
- Active Directoryセキュリティグループwarehouseadminのすべてのメンバーは、[倉庫]スコープのマシンに対するヘルプデスクタスクを表示および実行できます。
- PeterはWindows 7の専門家で、すべてのWindows 7マシンカタログを管理でき、所属している部署のスコープに関係なくWindows 7アプリケーション、デスクトップ、およびマシンを配信できます。当初、管理者はPeterを[Win7]スコープの「すべての管理権限を実行できる管理者」にしようとしました。しかし、管理者はこれを考え直しました。これは、「すべての管理権限を実行できる管理者」には、そのスコープに含まれていないオブジェクト(「サイト」や「管理者」など)に対する全権限が付与されるためです。
委任管理の使用方法
一般的に、管理者数およびその権限の細分性は展開のサイズおよびその複雑度に応じて異なります。
- 小規模または検証用の展開サイトでは、1人または少数の管理者ですべてを管理します。委任管理はありません。この場合、組み込みの[すべての管理権限を実行できる管理者]役割(および[すべて]スコープ)の管理者を作成します。
- より多くのマシン、アプリケーション、およびデスクトップがあるサイトでは、委任管理者の配置が必要になります。何人かの管理者に、より専門的な管理責任(役割)を付与できます。たとえば、2人の「すべての管理権限を実行できる管理者」を設定して、残りをヘルプデスク管理者にします。さらに、マシンカタログなど、特定グループ(スコープ)のオブジェクトの管理を1人の管理者に委任することもできます。この場合、新しいスコープを作成して、組み込みの役割とそのスコープをペアにした管理者を作成します。
- 大規模サイトにおいても、より多くの(またはより詳細な)スコープと、特殊な役割を持つさまざまな管理者が必要になることがあります。この場合は、追加のスコープを作成または編集して、カスタムの役割を作成し、組み込みまたはカスタムの役割と既存または新しいスコープを持つ各管理者を作成します。
スコープは、管理者を作成するときに作成できます。また、マシンカタログやホスト接続を作成または編集するときにスコープを指定することもできます。
管理者の作成と管理
ローカルの管理者アカウントを使用してサイトを作成するときは、すべてのオブジェクトに対するすべての管理権限を実行できる管理者としてそのアカウントが設定されます。ただし、サイトを作成した後では、ローカル管理者には特別な特権は与えられません。
すべての管理権限を実行できる管理者には、常に[すべて]のスコープが割り当てられます。これを変更することはできません。
デフォルトでは、管理者は有効になります。管理者を作成するときに、その管理者が実際に作業を始めるまで管理者を無効にしておく必要が生じる場合があります。また、オブジェクトやスコープを再構成するときに、既存の管理者を一時的に無効にすることもできます。すべての管理権限を実行できる管理者が1人しかいない環境では、その管理者を無効にすることはできません。管理者の有効/無効は、管理者を作成、コピー、または編集するときの[管理者を有効にする]チェックボックスで設定できます。
管理者を編集したりコピーしたりするときのダイアログボックスでスコープ/役割ペアを削除すると、その管理者とスコープ/役割ペアとの関連付けが削除され、個々のスコープや役割は削除されません。役割やスコープは削除されません。また、同じスコープ/役割ペアが割り当てられている管理者がいる場合でも、その関連付けは削除されません。
管理者を作成および管理するには、次の手順に従います:
-
Web Studioにサインインして、左側のペインで [管理者] をクリックし、[管理者] タブをクリックします。
-
完了するタスク用の手順を実行します:
- 管理者を作成する: 操作バーの [管理者の作成] をクリックします。ユーザーアカウント名を入力するか参照し、スコープを選択または作成して、役割を選択します。新しい管理者はデフォルトで有効になりますが、無効にすることもできます。
- 管理者をコピーする: 管理者を選択し、操作バーで [管理者のコピー] をクリックします。ユーザーアカウント名を入力するか参照します。必要に応じて、スコープ/役割ペアを編集または削除したり、新しいペアを追加したりできます。新しい管理者はデフォルトで有効になりますが、無効にすることもできます。
- 管理者を編集する: 管理者を選択し、操作バーで [管理者の編集] をクリックします。必要に応じて、スコープ/役割ペアを編集または削除したり、新しいペアを追加したりできます。
- 管理者を削除する: 管理者を選択し、操作バーで [管理者の削除] をクリックします。すべての管理権限を実行できる管理者が1人しかいない環境では、その管理者を削除することはできません。
上ペインに、作成した管理者が表示されます。管理者を選択すると、その詳細が下ペインに表示されます。[警告] 列に、管理者に割り当てられた役割とスコープのペアに、使用できない役割またはスコープが含まれているかどうかが示されます。割り当てられた役割とスコープのペアに使用できない役割またはスコープが含まれている場合、次の警告メッセージが表示されます:
- 割り当てられている役割またはスコープが使用できません
重要:
警告メッセージは、割り当てられた役割とスコープのペアに使用できない役割またはスコープ(もしくはその両方)が含まれている場合にのみ表示されます。
管理者から役割とスコープのペアを削除するには、次のいずれかの手順を実行します:
- 役割とスコープのペアを削除する。
- 操作バーで、[管理者の編集] をクリックします。
- [管理者名および詳細] ウィンドウで、役割とスコープのペアを選択し、[削除] をクリックします。
- [保存] をクリックして終了します。
- 管理者を削除する。
- 操作バーで、[管理者の削除] をクリックします。
- 確認のウィンドウで [削除] をクリックします。
役割の作成と管理
管理者が役割を作成または編集する場合、自身が持っている権限のみを有効にできます。これにより、管理者は現在よりも多くの権限を持つ役割を作成して自身に割り当てる(または既に割り当てられた役割を編集する)ことができなくなります。
役割には、64文字までのUnicode文字で名前を付けることができます。ただし、バックスラッシュ、スラッシュ、セミコロン、コロン、番号記号、コンマ、アスタリスク、疑問符、等号、小なり記号、大なり記号、パイプ、角かっこ、丸かっこ、二重引用符、およびアポストロフィは使用できません。説明には、256文字までのUnicode文字を入力できます。
組み込みの役割を編集または削除することはできません。いずれかの管理者が使用しているカスタムの役割は削除できません。
注:
カスタムの役割を作成するには、特定の製品エディションが必要です。カスタムの役割をサポートするエディションのみで、操作バーに関連エントリが表示されます。
役割を作成および管理するには、次の手順に従います:
-
Web Studioにサインインして、左側のペインで [管理者] をクリックし、[役割] タブをクリックします。
-
完了するタスク用の手順を実行します:
- 役割の詳細を表示する: その役割を選択します。下ペインに、その役割のオブジェクトの種類および許可される権限が一覧表示されます。ここで [管理者] タブをクリックすると、その役割が割り当てられている管理者が表示されます。
- カスタム役割を作成する: 操作バーの [役割の作成] をクリックします。名前と説明を入力します。この役割に割り当てるオブジェクトの種類と権限を選択します。
- 役割をコピーする: 役割を選択し、操作バーの [役割のコピー] をクリックします。必要に応じて、役割の名前、説明、および権限を変更します。
- カスタム役割を編集する: 役割を選択し、操作バーの [役割の編集] をクリックします。必要に応じて、役割の名前、説明、および権限を変更します。
- カスタム役割を削除する: 役割を選択し、操作バーの [役割の削除] をクリックします。確認のメッセージが表示されたら、[削除]をクリックします。
スコープの作成と管理
サイトを作成すると、[すべて]のスコープのみが使用可能になります。このスコープは削除できません。
スコープを作成するには、次の手順を使用します。管理者を作成するときにスコープを作成することもできます。すべての管理者は、少なくとも1つの役割とスコープのペアが割り当てられている必要があります。デスクトップ、マシンカタログ、アプリケーション、またはホストを作成したり編集したりするときに、それらを既存のスコープに追加できます。ただし、特定のスコープに追加しない場合でも、自動的に[すべて]のスコープに追加されます。
サイトの作成および委任管理オブジェクト(スコープおよび役割)をスコープに含めることはできません。ただし、スコープに含めることができないオブジェクトも[すべて]のスコープには含まれています。すべての管理権限を実行できる管理者には、常に[すべて]のスコープが割り当てられます。マシン、電源操作、デスクトップ、およびセッションはスコープに含まれません。これらのオブジェクトに関する権限は、マシンカタログまたはデリバリーグループで管理者に割り当てることができます。
スコープの作成と管理のルール:
-
スコープには、Unicode文字で64文字以下の名前を付けることができます。スコープ名には、次の文字は使用できません:バックスラッシュ、スラッシュ、セミコロン、コロン、番号記号、コンマ、アスタリスク、疑問符、等号、小なり記号、大なり記号、パイプ、角かっこ、丸かっこ、二重引用符、アポストロフィ。
-
スコープの説明には、256文字までのUnicode文字を入力できます。
-
スコープをコピーまたは編集するときにオブジェクトをスコープから削除すると、管理者がそのオブジェクトにアクセスできなくなる可能性があることに注意してください。編集するスコープにいくつかの役割が関連付けられている場合は、編集により役割/スコープのペアが使用できなくならないかどうかを確認してください。
スコープを作成および管理するには、次の手順に従います:
-
Web Studioにサインインして、左側のペインで [管理者] をクリックし、[スコープ] タブをクリックします。
-
完了するタスク用の手順を実行します:
- スコープを作成する: 操作バーの [Create new Scope] をクリックします。名前と説明を入力します。オブジェクトの種類([デリバリーグループ]チェックボックスなど)を選択すると、その種類のすべてのオブジェクトがスコープに追加されます。特定のオブジェクトを追加するには、オブジェクトの種類を開き、個々のオブジェクトを選択します(営業部で使用される特定のデリバリーグループを選択する場合など)。
- スコープのコピー: スコープを選択し、操作バーの [スコープのコピー] をクリックします。名前と説明を入力します。必要に応じて、オブジェクトの種類とオブジェクトを変更します。
- スコープの編集: スコープを選択し、操作バーの [スコープの編集] をクリックします。必要に応じて、名前、説明、オブジェクトの種類、およびオブジェクトを変更します。
- スコープの削除: スコープを選択し、操作バーの [スコープの削除] をクリックします。確認のメッセージが表示されたら、[削除]をクリックします。
テナント管理の設定
テナント管理を設定して、単一のCitrix Virtual Apps and Desktopsサイト内に管理パーティションを作成します。各テナントには、マシンカタログやデリバリーグループなどの分離されたリソースと構成があります。特定のテナントへのアクセス権を持つ管理者は、そのテナントに関連付けられたリソースと構成のみを管理できます。ユースケースには、単一のサイトにさまざまなビジネスサイロ(独立した部門または個別のIT管理チーム)が含まれる企業の例があります。
大まかに言えば、テナント管理を設定するためのワークフローには次のものが含まれます:
テナントを作成する
テナントスコープを作成してテナントを作成します。詳細な手順は次のとおりです:
- Web Studioにサインインして、左側のペインで [管理者] をクリックし、[スコープ] タブをクリックします。
- *[スコープの作成]** をクリックして、テナントの作成を開始します。
- テナントのスコープの次の詳細を入力します:
- スコープのわかりやすい名前を入力します。この名前はテナントの識別子としても機能します。
- (オプション)簡単な説明を入力します。
- [テナントのスコープ] を選択します。
- 必要に応じて、テナントに関連付けられているオブジェクトを選択します。オブジェクトを作成または管理するときに、テナントのスコープにオブジェクトを追加することもできます。
- [OK] をクリックして作成を完了します。
完了すると、次の内容が表示されます:
- 新しいテナントスコープのレコードがスコープ一覧に表示され、[種類] 列でテナントとして識別されます。
- スコープ名は、Web Studioの右上隅にある [すべてのテナント] ドロップダウンリストに表示されます。
テナントのスコープを使用する場合は、次の点に注意してください:
- テナントプロパティは、次の階層の順序で割り当てられます:ホスト > マシンカタログ > デリバリーグループ > アプリケーション。下位レベルのオブジェクトは、上位レベルのオブジェクトからテナントプロパティを継承します。たとえば、テナントのスコープでデリバリーグループを選択するときは、関連するホストとマシンカタログも選択する必要があります。選択しないと、デリバリーグループはテナントプロパティを継承できません。
- テナントスコープを作成した後、オブジェクトを変更してテナントの割り当てを編集できます。テナントの割り当てが変更された場合でも、同じテナントまたはそれらのテナントのサブセットに割り当てる必要があるという制約があります。ただし、テナントの割り当てが変更されても、下位レベルのオブジェクトは再評価されません。テナントの割り当てを変更するときは、オブジェクトが適切に制限されていることを確認してください。たとえば、
TenantA
とTenantB
のマシンカタログが使用できる場合、TenantA
のデリバリーグループとTenantB
のデリバリーグループを作成できます(TenantA
とTenantB
は両方ともそのマシンカタログに関連付けられています)。次に、TenantA
のみに関連付けられるようにマシンカタログを変更できます。その結果、TenantB
に関連付けられているデリバリーグループは無効になります。
テナントの管理者を追加する
ユーザーアカウントに管理者の役割とテナントを割り当てて、テナントの管理者を追加します。
テナントの管理者を追加するには、次の手順を実行します:
- Web Studioにサインインして、左側のペインで [管理者] をクリックし、[管理者] タブをクリックします。
-
[管理者の追加] をクリックし、次の手順に従って完了します:
- ユーザーアカウント名を入力するか、参照してから [次へ] をクリックします。
- [カスタムアクセス] を選択し、必要に応じて1つまたは複数の役割(マシンカタログ管理者など)を選択します。
- 各役割の横にある [スコープの編集] をクリックし、スコープを [すべて] から目的のテナントスコープに変更して、[保存] をクリックします。
- [次へ] をクリックします。
- [Review and confirm] ページで [Send invitation] をクリックします。
レポートの作成
次の2種類の委任管理レポートを作成できます:
-
管理者に関連付けられているスコープ/役割ペアと各種類のオブジェクト(デリバリーグループおよびマシンカタログなど)に対する個々の権限の一覧についてのHTMLレポート。Web Studioで生成できます。
このレポートを作成するには、以下の手順に従います:
- Web Studioにサインインして、左側のペインで [管理者] をクリックします。
- 管理者を選択し、操作バーで [レポートの作成] をクリックします。
このレポートは、管理者の作成、コピー、および編集時に作成することもできます。
-
組み込みおよびカスタムの役割とそれらに関連付けられた権限を一覧表示するHTMLまたはCSVレポート。このレポートは、PowerShellスクリプトOutputPermissionMapping.ps1を実行して生成します。
このスクリプトを実行するには、すべての管理権限を実行できる管理者、読み取り専用管理者、または役割の読み取り権限を持つ管理者である必要があります。このスクリプトは、Program Files\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scripts\ にあります。
構文:
OutputPermissionMapping.ps1 [-Help] [-Csv] [-Path string] [-AdminAddress string] [-Show] [CommonParameters]
パラメーター 説明 -Help
スクリプトのヘルプを表示します。 -Csv
CSVレポートを作成します。デフォルト値:HTML -Path string
出力先を指定します。デフォルト値:stdout -AdminAddress string
接続先のDelivery ControllerのIPアドレスまたはホスト名を指定します。デフォルト値:localhost -Show
( -Path
パラメーターを指定した場合のみ有効)ファイルに出力する場合に-Showを指定すると、-Show
によりレポートが適切なアプリケーションプログラム(Webブラウザーなど)で表示されます。CommonParameters Verbose
、Debug
、ErrorAction
、ErrorVariable
、WarningAction
、WarningVariable
、OutBuffer
、OutVariable
。詳しくは、Microsoft社のドキュメントを参照してください。
次の例では、Roles.htmlという名前のファイルにHTMLテーブルが出力され、Webブラウザーで表示されます。
& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
-Path Roles.html –Show
<!--NeedCopy-->
次の例では、Roles.csvという名前のファイルにCSVテーブルが出力されます。このテーブルは自動的には表示されません。
& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
–CSV -Path Roles.csv
<!--NeedCopy-->
上の例をWindowsコマンドプロンプトから実行する場合は、次のコマンドを実行します:
powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1'
-CSV -Path Roles.csv"
<!--NeedCopy-->