製品ドキュメント
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
PDFを表示

委任管理

April 7, 2026
寄稿者: 
C C

注:

バージョン2511以降、Citrix Web Studio (Webベース) は、Citrix Virtual Apps and Desktops™ の唯一の管理コンソールです。Citrix Studio (MMCベース) はインストーラーから削除されました。この記事はWeb Studioにのみ適用されます。Citrix Studioに関する情報については、Citrix Virtual Apps and Desktops 7 2212以前の同等の記事を参照してください。

  • 委任管理モデルは、組織が管理アクティビティを委任する方法に合わせて、ロールベースおよびオブジェクトベースの制御を使用して柔軟性を提供します。委任管理は、あらゆる規模の展開に対応し、展開の複雑さが増すにつれて、より詳細な権限の粒度を設定できます。委任管理では、管理者、ロール、スコープの3つの概念を使用します。

  • 管理者: 管理者は、Active Directoryアカウントによって識別される個人またはグループを表します。各管理者は、1つ以上のロールとスコープのペアに関連付けられています。

  • ロール: ロールは職務を表し、それに関連付けられた定義済みの権限を持ちます。たとえば、デリバリーグループ管理者ロールには、「デリバリーグループの作成」や「デリバリーグループからのデスクトップの削除」などの権限があります。管理者はサイトに対して複数のロールを持つことができるため、ある人物がデリバリーグループ管理者とマシンカタログ管理者を兼ねることができます。ロールは組み込みまたはカスタムにできます。

    組み込みロールは次のとおりです。

    ロール 権限
    フル管理者 すべてのタスクと操作を実行できます。フル管理者は常に「すべて」スコープと組み合わされます。
    読み取り専用管理者 グローバル情報に加えて、指定されたスコープ内のすべてのオブジェクトを表示できますが、何も変更できません。たとえば、スコープ=Londonの読み取り専用管理者は、すべてのグローバルオブジェクト(構成ログなど)とLondonスコープのオブジェクト(Londonデリバリーグループなど)を表示できます。ただし、その管理者はNew Yorkスコープ内のオブジェクトを表示できません(LondonスコープとNew Yorkスコープが重複しないと仮定した場合)。
  • ヘルプデスク管理者 デリバリーグループを表示し、それらのグループに関連付けられたセッションとマシンを管理できます。監視対象のデリバリーグループのマシンカタログとホスト情報を表示できます。また、それらのデリバリーグループ内のマシンのセッション管理およびマシン電源管理操作を実行できます。
    マシンカタログ管理者 マシンカタログを作成および管理し、それらにマシンをプロビジョニングできます。仮想化インフラストラクチャ、Provisioning Services、および物理マシンからマシンカタログを構築できます。このロールはベースイメージを管理し、ソフトウェアをインストールできますが、アプリケーションやデスクトップをユーザーに割り当てることはできません。
    デリバリーグループ管理者 アプリケーション、デスクトップ、およびマシンを配信できます。また、関連するセッションを管理できます。ポリシーや電源管理設定などのアプリケーションおよびデスクトップ構成も管理できます。
    ホスト管理者 ホスト接続とその関連リソース設定を管理できます。ユーザーにマシン、アプリケーション、またはデスクトップを配信することはできません。
    コスト管理者 Azure MCSカタログのコスト詳細を監視および表示できます。具体的には、過去30日間に発生した総コストと、現在および過去30日間の比較を表示できます。

    特定の製品エディションでは、組織の要件に合わせてカスタムロールを作成し、より詳細な権限を委任できます。カスタムロールを使用して、コンソールでのアクションまたはタスクの粒度で権限を割り当てることができます。

  • スコープ: スコープはオブジェクトのコレクションを表します。スコープは、組織に関連する方法でオブジェクトをグループ化するために使用されます(たとえば、営業チームが使用するデリバリーグループのセット)。オブジェクトは複数のスコープに属することができます。オブジェクトに1つ以上のスコープがラベル付けされていると考えることができます。組み込みスコープは1つだけあり、「All」という名前で、すべてのオブジェクトが含まれます。フル管理者ロールは常に All スコープとペアになります。

  • XYZ社は、部門(経理、営業、倉庫)とデスクトップオペレーティングシステム(Windows 7またはWindows 8)に基づいてアプリケーションとデスクトップを管理することにしました。管理者は5つのスコープを作成し、各デリバリーグループに2つのスコープをラベル付けしました。1つは使用される部門用、もう1つは使用されるオペレーティングシステム用です。

  • 次の管理者が作成されました。

| **管理者** | **ロール** | **スコープ** | | – | – | – |

  • domain/fred フル管理者 All(フル管理者ロールは常にAllスコープを持ちます)
  • domain/rob 読み取り専用管理者 All
  • domain/heidi 読み取り専用管理者、ヘルプデスク管理者 All Sales
    domain/warehouseadmin ヘルプデスク管理者 Warehouse
    domain/peter デリバリーグループ管理者、マシンカタログ管理者 Win7
  • Fredはフル管理者であり、システム内のすべてのオブジェクトを表示、編集、削除できます。
    • Robはサイト内のすべてのオブジェクトを表示できますが、編集または削除はできません。
    • Heidiはすべてのオブジェクトを表示でき、Salesスコープ内のデリバリーグループに対してヘルプデスクタスクを実行できます。これにより、それらのグループに関連付けられたセッションとマシンを管理できますが、マシンの追加や削除など、デリバリーグループに変更を加えることはできません。
    • warehouseadmin Active Directoryセキュリティグループのメンバーは誰でも、Warehouseスコープ内のマシンを表示し、ヘルプデスクタスクを実行できます。
    • PeterはWindows 7のスペシャリストであり、すべてのWindows 7マシンカタログを管理でき、どの部門スコープに属していてもWindows 7アプリケーション、デスクトップ、およびマシンを配信できます。管理者はPeterをWin7スコープのフル管理者にすることを検討しました。しかし、フル管理者は「サイト」や「管理者」など、スコープが設定されていないすべてのオブジェクトに対しても完全な権限を持つため、これに反対しました。

委任管理の使用方法

-  一般に、管理者の数とその権限の粒度は、展開の規模と複雑さに依存します。
  • 小規模な展開や概念実証の展開では、1人または数人の管理者がすべてを実行します。委任はありません。この場合、各管理者を、Allスコープを持つ組み込みのフル管理者ロールで作成します。
    • より多くのマシン、アプリケーション、およびデスクトップを持つ大規模な展開では、より多くの委任が必要です。複数の管理者が、より具体的な機能的責任(ロール)を持つ場合があります。たとえば、2人がフル管理者で、他の人がヘルプデスク管理者であるなどです。また、管理者はマシンカタログなど、特定のオブジェクトグループ(スコープ)のみを管理する場合があります。この場合、新しいスコープと、組み込みロールおよび適切なスコープを持つ管理者を作成します。
    • さらに大規模な展開では、より多くの(またはより具体的な)スコープと、型にはまらないロールを持つ異なる管理者が必要になる場合があります。この場合、既存のスコープを編集または新しいスコープを作成し、カスタムロールを作成し、組み込みまたはカスタムロールと既存および新しいスコープを持つ各管理者を作成します。

柔軟性と構成の容易さのために、管理者を作成するときにスコープを作成できます。マシンカタログまたは接続を作成するときにスコープを指定することもできます。

-  ## 管理者の作成と管理

ローカル管理者としてサイトを作成すると、ユーザーアカウントは自動的にフル管理者となり、すべてのオブジェクトに対する完全な権限を持ちます。サイトが作成された後、ローカル管理者には特別な特権はありません。

-  フル管理者ロールは常にAllスコープを持ちます。これを変更することはできません。

デフォルトでは、アドミニストレーターは有効になっています。アドミニストレーターを今作成するものの、その担当者が後で管理業務を開始する場合、アドミニストレーターを無効にする必要があるかもしれません。既存の有効なアドミニストレーターの場合、オブジェクト/スコープを再編成している間は複数人を無効にし、更新されたコンフィギュレーションで運用を開始する準備ができたときに再度有効にしたい場合があります。有効なフルアドミニストレーターがいなくなる結果となる場合、フルアドミニストレーターを無効にすることはできません。アドミニストレーターを作成、コピー、または編集する際に、有効/無効チェックボックスが利用可能です。

管理者のコピー、編集、または削除中にロール/スコープのペアを削除すると、その管理者に対するロールとスコープ間の関連付けのみが削除されます。ロールまたはスコープのいずれも削除されません。また、そのロール/スコープのペアで構成されている他の管理者にも影響しません。

管理者を作成および管理するには、次の手順に従います。

  1. Web Studio にサインインし、左側のペインで [管理者] をクリックし、[管理者] タブをクリックします。

  2. 実行するタスクの手順に従います。

    • 管理者の作成: アクションバーで [管理者を作成] をクリックします。ユーザーアカウント名を入力または参照し、スコープを選択または作成してから、ロールを選択します。新しい管理者はデフォルトで有効になっています。これは変更できます。
    • 管理者のコピー: 管理者を選択し、アクションバーで [管理者をコピー] をクリックします。ユーザーアカウント名を入力または参照します。ロール/スコープのペアを選択して編集または削除したり、新しいペアを追加したりできます。新しい管理者はデフォルトで有効になっています。これは変更できます。
    • 管理者の編集: 管理者を選択し、アクションバーで [管理者を編集] をクリックします。ロール/スコープのペアを編集または削除したり、新しいペアを追加したりできます。

    • 管理者の削除: 管理者を選択し、アクションバーで [管理者を削除] をクリックします。有効なフル管理者がいなくなる場合は、フル管理者を削除できません。

    • 上部のペインには、作成した管理者が表示されます。管理者を選択すると、下部のペインにその詳細が表示されます。[警告] 列は、管理者に関連付けられているロールとスコープのペアに、使用できないロールまたはスコープが含まれているかどうかを示します。関連付けられているロールとスコープのペアに、使用できないロールまたはスコープが含まれている場合、次の警告メッセージが表示されます。

    • 関連付けられたロールまたはスコープが使用できません

重要:

-  > 警告メッセージは、関連付けられたロールとスコープのペアに、使用できないロール、使用できないスコープ、またはその両方が含まれている場合にのみ表示されます。

-  管理者からロールとスコープのペアを削除するには、次のいずれかの手順を実行します。
  • ロールとスコープのペアを削除します。
    1. アクションバーで [管理者を編集] をクリックします。
        1. [管理者名と詳細] ウィンドウで、ロールとスコープのペアを選択し、[削除] をクリックします。
        1. [保存] をクリックして終了します。
  • 管理者を削除します。
    1. アクションバーで [管理者を削除] をクリックします。
    2. 確認ウィンドウで [削除] をクリックします。

ロールの作成と管理

管理者がロールを作成または編集する場合、自分自身が持っている権限のみを有効にできます。これにより、管理者が現在持っている権限よりも多くの権限を持つロールを作成して自分に割り当てたり(またはすでに割り当てられているロールを編集したり)することを防ぎます。

ロール名には最大 64 文字の Unicode 文字を含めることができます。ただし、バックスラッシュ、スラッシュ、セミコロン、コロン、ポンド記号、コンマ、アスタリスク、疑問符、等号、左右の矢印、パイプ、左右の角かっこ、左右の丸かっこ、引用符、アポストロフィは含めることができません。説明には最大 256 文字の Unicode 文字を含めることができます。

組み込みロールは編集または削除できません。カスタムロールは、いずれかの管理者が使用している場合は削除できません。

注:

特定の製品エディションのみがカスタムロールをサポートしています。カスタムロールをサポートするエディションのみが、アクションバーに関連エントリを持っています。

ロールを作成および管理するには、次の手順に従います。

    1. Web Studio にサインインし、左側のペインで [管理者] をクリックし、[ロール] タブをクリックします。
    1. 実行するタスクの手順に従います。
    • ロールの詳細の表示: ロールを選択します。下部のペインには、ロールのオブジェクトタイプと関連する権限が一覧表示されます。下部のペインで [管理者] タブをクリックすると、現在このロールを持つ管理者の一覧が表示されます。
    • カスタムロールの作成: アクションペインで [ロールを作成] をクリックします。名前と説明を入力します。オブジェクトタイプと権限を選択します。
    • ロールのコピー: ロールを選択し、アクションバーで [ロールをコピー] をクリックします。必要に応じて、名前、説明、オブジェクトタイプ、および権限を変更します。
    • カスタムロールの編集: ロールを選択し、アクションバーで [ロールを編集] をクリックします。必要に応じて、名前、説明、オブジェクトタイプ、および権限を変更します。
    • カスタムロールの削除: ロールを選択し、アクションバーで [ロールを削除] をクリックします。プロンプトが表示されたら、削除を確認します。

スコープの作成と管理

サイトを作成すると、利用可能なスコープは「すべて」スコープのみであり、これは削除できません。

以下の手順でスコープを作成できます。管理者を作成する際にもスコープを作成できます。各管理者は、少なくとも1つの役割とスコープのペアに関連付けられている必要があります。デスクトップ、マシンカタログ、アプリケーション、またはホストを作成または編集する際に、それらを既存のスコープに追加できます。スコープに追加しない場合、それらは「すべて」スコープの一部として残ります。

  • サイトの作成はスコープ化できません。また、委任された管理オブジェクト(スコープと役割)もスコープ化できません。ただし、スコープ化できないオブジェクトは「すべて」スコープに含まれます。(フル管理者は常に「すべて」スコープを持ちます。)マシン、電源操作、デスクトップ、およびセッションは直接スコープ化されません。管理者は、関連付けられたマシンカタログまたはデリバリーグループを介して、これらのオブジェクトに対する権限を割り当てることができます。

スコープの作成と管理に関するルール

  • スコープ名には最大64文字のUnicode文字を含めることができます。スコープ名には、バックスラッシュ、スラッシュ、セミコロン、コロン、ポンド記号、コンマ、アスタリスク、疑問符、等号、左矢印、右矢印、パイプ、左右の角括弧、左右の丸括弧、引用符、アポストロフィを含めることはできません。
  • スコープの説明には最大256文字のUnicode文字を含めることができます。
  • スコープをコピーまたは編集する際は、スコープからオブジェクトを削除すると、それらのオブジェクトが管理者からアクセスできなくなる可能性があることに注意してください。編集されたスコープが1つ以上の役割とペアになっている場合、スコープの更新によって役割/スコープのペアが使用できなくなることがないようにしてください。

スコープを作成および管理するには、次の手順に従います。

  1. Web Studioにサインインし、左ペインで [管理者] をクリックし、[スコープ] タブをクリックします。
  2. 実行したいタスクの手順に従います。
    • スコープを作成する: アクションバーで [新しいスコープの作成] をクリックします。名前と説明を入力します。特定の種類のすべてのオブジェクト(例: デリバリーグループ)を含めるには、オブジェクトの種類を選択します。特定のオブジェクトを含めるには、種類を展開し、個々のオブジェクト(例: 営業チームが使用するデリバリーグループ)を選択します。
    • スコープをコピーする: スコープを選択し、アクションバーで [スコープのコピー] をクリックします。名前と説明を入力します。必要に応じて、オブジェクトの種類とオブジェクトを変更します。
    • スコープを編集する: スコープを選択し、アクションバーで [スコープの編集] をクリックします。必要に応じて、名前、説明、オブジェクトの種類、およびオブジェクトを変更します。
    • スコープを削除する: スコープを選択し、アクションバーで [スコープの削除] をクリックします。プロンプトが表示されたら、削除を確認します。

テナント管理のセットアップ

単一のCitrix Virtual Apps™ and Desktopsサイト内で管理パーティションを作成するために、テナント管理をセットアップします。各テナントは、マシンカタログやデリバリーグループなどの分離されたリソースと構成を持っています。特定のテナントにアクセスできる管理者は、そのテナントに関連付けられたリソースと構成のみを管理できます。使用例としては、単一サイト内に異なるビジネスサイロ(独立した部門または個別のIT管理チーム)を持つ企業が挙げられます。

テナント管理をセットアップするための大まかなワークフローは次のとおりです。

  1. テナントの作成
  2. テナントの管理者を追加

テナントの作成

テナントスコープを作成してテナントを作成します。詳細な手順は次のとおりです。

  1. Web Studioにサインインし、左ペインで [管理者] をクリックし、[スコープ] タブをクリックします。
  2. [スコープの作成] をクリックしてテナントの作成を開始します。
  3. テナントスコープの以下の詳細を入力します。
    1. スコープのわかりやすい名前を入力します。この名前はテナントの識別子としても機能します。
    2. (オプション)簡単な説明を入力します。
    3. [テナントスコープ] を選択します。
    4. 必要に応じて、テナントに関連付けられたオブジェクトを選択します。オブジェクトの作成または管理時に、テナントスコープにオブジェクトを追加することもできます。
    5. [OK] をクリックして作成を完了します。

完了後、以下を確認できます。

  • 新しいテナントスコープレコードがスコープリストに表示され、[種類] 列で [テナント] として識別されます。
  • スコープ名は、Web Studioの右上隅にある [すべてのテナント] ドロップダウンリストに表示されます。

テナントスコープを操作する際は、以下の考慮事項に留意してください。

  • テナントプロパティは、ホスティング > マシンカタログ > デリバリーグループ > アプリケーションという階層的な割り当て順序に従います。下位レベルのオブジェクトは、上位レベルのオブジェクトからテナントプロパティを継承します。たとえば、テナントスコープのデリバリーグループを選択する際は、関連付けられたホスティングとマシンカタログも選択していることを確認してください。そうしないと、デリバリーグループはテナントのプロパティを継承できません。
  • テナントスコープを作成した後、オブジェクトを変更することでテナントの割り当てを編集できます。テナントの割り当てが変更された場合でも、同じテナントまたはそれらのテナントのサブセットに割り当てられるという制約が適用されます。ただし、テナントの割り当てが変更されても、下位レベルのオブジェクトは再評価されません。テナントの割り当てを変更する際は、オブジェクトが適切に制限されていることを確認してください。たとえば、マシンカタログが TenantATenantB で利用可能な場合、TenantA 用と TenantB 用のデリバリーグループを作成できます。(TenantATenantB は両方ともそのマシンカタログに関連付けられています。)その後、マシンカタログを TenantA のみに割り当てるように変更できます。その結果、TenantB に関連付けられたデリバリーグループは無効になります。

テナントの管理者を追加

テナントに管理者を追加するには、管理者ロールとテナントを持つユーザーアカウントを割り当てます。

テナントに管理者を追加するには、次の手順に従います。

  1. Web Studio にサインインし、左ペインで [管理者] をクリックし、次に [管理者] タブをクリックします。
  2. [管理者を追加] をクリックし、次の手順に従って完了します。
    1. ユーザーアカウント名を入力または参照し、[次へ] をクリックします。
    2. [カスタムアクセス] を選択し、必要に応じて 1 つ以上のロール (例: マシンカタログ管理者) を選択します。
    3. 各ロールの横にある [スコープを編集] をクリックし、スコープを [すべて] から目的のテナントスコープに変更し、[保存] をクリックします。
  3. [次へ] をクリックします。
  4. [確認と確定] ページで、[招待を送信] をクリックします。

レポートの作成

委任管理レポートには、次の 2 種類を作成できます。

  • 管理者に関連付けられているロール/スコープのペアと、各オブジェクトタイプ (例: デリバリーグループやマシンカタログ) の個々の権限を一覧表示する HTML レポート。このレポートは Web Studio から生成します。

    このレポートを作成するには、次の手順に従います。

    1. Web Studio にサインインし、左ペインで [管理者] をクリックします。
    2. 管理者を選択し、アクションバーで [レポートを作成] をクリックします。

    管理者の作成、コピー、または編集時に、このレポートを要求することもできます。

  • すべての組み込みロールとカスタムロールを権限にマッピングする HTML または CSV レポート。このレポートは、OutputPermissionMapping.ps1 という名前の PowerShell スクリプトを実行して生成します。

    このスクリプトを実行するには、フル管理者、読み取り専用管理者、またはロールを読み取る権限を持つカスタム管理者である必要があります。スクリプトは次の場所にあります: Program Files\Citrix\DelegatedAdmin\SnapIn\Citrix.DelegatedAdmin.Admin.V1\Scripts。

    構文:

    OutputPermissionMapping.ps1 [-Help] [-Csv] [-Path string] [-AdminAddress string] [-Show] [CommonParameters]

    パラメーター 説明
    -Help スクリプトのヘルプを表示します。
    -Csv CSV 出力を指定します。デフォルト = HTML
    -Path string 出力の書き込み先。デフォルト = stdout
    -AdminAddress string 接続する Delivery Controller™ の IP アドレスまたはホスト名。デフォルト = localhost
    -Show (-Path パラメーターも指定されている場合にのみ有効) 出力をファイルに書き込む際、-Show を指定すると、Web ブラウザーなどの適切なプログラムで出力が開かれます。
    CommonParameters VerboseDebugErrorActionErrorVariableWarningActionWarningVariableOutBuffer、および OutVariable。詳細については、Microsoft のドキュメントを参照してください。

次の例では、HTML テーブルを Roles.html という名前のファイルに書き込み、Web ブラウザーでテーブルを開きます。

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
-Path Roles.html –Show
<!--NeedCopy-->

次の例では、CSV テーブルを Roles.csv という名前のファイルに書き込みます。テーブルは表示されません。

& "$env:ProgramFiles\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1"
–CSV -Path Roles.csv
<!--NeedCopy-->

Windows コマンドプロンプトから、上記の例のコマンドは次のとおりです。

powershell -command "& '%ProgramFiles%\Citrix\DelegatedAdmin\SnapIn\
Citrix.DelegatedAdmin.Admin.V1\Scripts\OutputPermissionMapping.ps1'
-CSV -Path Roles.csv"
<!--NeedCopy-->
委任管理
April 7, 2026
寄稿者: 
C C
April 7, 2026
寄稿者: 
C C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.