使用 RBAC 配置角色
Citrix Endpoint Management 中的基于角色的访问控制 (RBAC) 功能允许您为用户和组分配角色。 角色是控制用户对系统功能的访问级别的权限集。
Citrix Endpoint Management 具有以下默认用户角色。 您可以使用默认角色作为自定义模板来创建自己的用户角色。
- 管理员: 授予完全系统访问权限。
- 用户: 允许用户注册设备并访问自助门户。
您可以使用 Citrix Endpoint Management 中的 RBAC 功能来执行以下操作:
- 创建和编辑用户角色。
- 将角色分配给本地用户组和 Active Directory (AD) 组。
- 通过 身份和访问管理 > 管理员为 Citrix Cloud 中的管理员分配角色。 请参阅[向 Citrix Cloud 管理员添加角色] (#add-roles-to-citrix-cloud-administrators)。
使用 RBAC 功能
您可以将角色分配给本地用户、云管理员(在 Citrix Cloud 中)以及本地用户组和 Active Directory 组。
- 本地用户: 使用 管理 > 用户为本地用户分配角色。 您只能为本地用户分配一个角色。 要更改角色,您可以手动编辑用户帐户。 或者,您可以为本地用户创建一个组并为该组分配角色。
- 云管理员: 云管理员是 Citrix Cloud 在将管理员添加到您的 Citrix Cloud 客户帐户时创建的特殊用户帐户。 云管理员帐户使用与 Citrix Cloud 上的管理员帐户相同的用户名。 在 Citrix Endpoint Management 控制台中创建 RBAC 角色,并通过 Citrix Cloud 中的 身份和访问管理 > 管理员 将角色分配给这些用户。
- Active Directory 组: Active Directory 组中的所有用户都具有相同的权限。 如果用户属于多个 Active Directory 组,则所有权限将合并以定义该用户的权限。 例如,假设 ADGroupA 用户可以定位管理员设备,而 ADGroupB 用户可以擦除员工设备。 属于这两个组的用户可以定位并擦除管理人员和员工的设备。 如果用户属于具有冲突权限的组,则以允许的权限为准。
有关更多信息,请参阅 关于用户帐户。
创建或编辑角色
-
在 Citrix Endpoint Management 控制台中,要访问 设置 页面,请单击右上角的齿轮图标。
-
单击 基于角色的访问控制。 基于角色的访问控制 页面显示默认用户角色和您添加的任何角色。
单击角色旁边的加号 (+) 可以查看该角色的所有权限。
-
要添加角色,请单击 添加。 或者,要编辑角色,请单击现有角色右侧的笔。
笔记:
您可以通过单击所定义角色右侧的垃圾桶来删除该角色。 您不能删除默认用户角色。
-
在 添加角色 页面上,输入以下信息:
- RBAC 名称: 为新用户角色输入一个描述性名称。 您不能更改现有角色的名称。
- RBAC 模板: 可选地,选择一个模板作为新角色的起点。 (编辑角色时,您不能选择或更改模板。)RBAC 模板是定义对系统功能的访问权限的默认用户角色。
单击 应用 按钮来填充 授权访问 和 控制台功能 复选框。 Citrix Endpoint Management 使用所选模板的预定义访问和功能权限填充这些字段。
-
要自定义角色,请选中或清除 授权访问 和 控制台功能中的复选框。
单击控制台功能旁边的三角形可以显示并选择特定于该功能的权限。 单击顶层复选框不会选择单独的权限。 扩展顶级权限后选择单独的选项。
-
应用权限: 单击 至特定用户组 将权限应用到您选择的组。
例如,如果 RBAC 管理员对 ActiveDirectory 用户组有权限:
- 管理员只能访问 ActiveDirectory 组中的用户的信息。
- 管理员无法查看任何其他本地或 AD 用户。 管理员可以查看属于其中任一组的子组成员的用户。
-
管理员可以发送邀请至:
- 权限组及其子组
- 属于权限组及其子组的用户
-
单击 下一步 并输入以下信息将角色分配给用户组。
- 选择域: 从列表中选择一个域。
- 搜索用户组: 单击 搜索 查看所有可用组的列表。 输入完整或部分组名以缩小搜索范围。
- 包括用户组: 在出现的列表中,选择您想要分配角色的用户组。
-
点击 保存。
向 Citrix Cloud 管理员添加角色
不要通过 Citrix Endpoint Management 控制台将 RBAC 角色分配给 Citrix Cloud 管理员,而是从 Citrix Cloud 控制台分配角色。
- 在 Citrix Cloud 控制台中,导航到 身份和访问管理 > 管理员。
-
选择身份提供者,然后输入电子邮件地址以添加管理员。 点击 邀请。
单击 … 在现有管理员行的末尾编辑这些权限。
-
单击 自定义访问。 为管理员分配权限时,您可以选择在 Citrix Endpoint Management 控制台中创建的 RBAC 角色。
- 单击 发送邀请 向新管理员发送邀请,或单击 保存 完成编辑管理员。
预定义角色
每个预定义的 RBAC 角色都具有某些相关的访问和功能权限。 下表描述了管理员角色和用户角色的各个权限。 您不能删除或编辑预定义的角色。
-
要查看每个内置角色的默认权限的完整列表,请下载 基于角色的访问控制默认值
-
有关 Citrix Endpoint Management 用户帐户的信息,请参阅 关于用户帐户。
重要的:
在设置权限下,RBAC 权限赋予管理员用户完全访问权限,包括分配自己的权限的能力。 仅向您希望授予其操作 Citrix Endpoint Management 系统中所有内容权限的用户授予此访问权限。
管理员角色
预定义的管理员角色在 Citrix Endpoint Management 中提供特定的访问权限。 默认情况下, 授权访问 (自助门户除外)、 控制台功能和 应用权限 处于启用状态。
您可以使用 管理 > 用户来更改分配了管理员角色的本地用户的角色。 对于具有管理员角色的云用户,使用 Citrix Cloud 控制台来更改角色。 默认情况下,具有管理员角色的云和本地用户拥有完全访问权限。
管理员授权访问
| 管理控制台访问 | 管理员可以访问 Citrix Endpoint Management 控制台上的所有功能。 |
| 自助门户访问 | 默认情况下,管理员无法访问自助服务门户。 (具有 用户角色 的用户只能访问自助门户。) |
| 远程支持访问 | 管理员可以访问远程支持功能。 |
| 公共 API 访问 | 管理员可以访问公共 API,以编程方式执行 Citrix Endpoint Management 控制台上可用的操作。 这些操作包括管理证书、应用程序、设备、交付组和本地用户。 |
管理员的控制台功能
管理员可以不受限制地访问 Citrix Endpoint Management 控制台。
| 仪表板 | 仪表板 是管理员登录 Citrix Endpoint Management 控制台后看到的第一个页面。 仪表板 显示有关通知和设备的基本信息。 |
| 报告 | 分析 > 报告 页面提供预定义报告,让您分析您的应用程序和设备部署。 |
| 设备 | 管理 > 设备 页面是您管理用户设备的地方。 您可以在页面上添加单个设备,也可以导入设备配置文件以一次添加多个设备。 |
| 本地用户和组 | 您可以在 管理 > 用户 页面添加、编辑或删除本地用户和本地用户组。 |
| 注册 | 在 管理 > 注册邀请 页面中您可以管理如何邀请用户在 Citrix Endpoint Management 中注册他们的设备。 |
| 策略 | 配置 > 设备策略 页面是您管理设备策略(例如 VPN 和网络)的地方。 |
| 应用程序 | 在 配置 > 应用程序 页面中您可以管理用户可以在其设备上安装的各种应用程序。 |
| 媒体 | 配置 > 媒体 页面用于管理用户可以在其设备上安装的各种媒体。 |
| 行动 | 配置 > 操作 页面是您管理触发事件的响应的地方。 |
| 交付组 | 配置 > 交付组 页面是您管理交付组及其相关资源的地方。 |
| 招生简介 | 在 配置 > 注册配置文件 页面中您可以指定用户如何注册他们的设备。 |
| Alexa 适用于商业 | 设置 页面是您管理 Alexa for Business 配置文件的地方。 |
| 设置 | 设置 页面是您管理系统设置的地方,例如客户端和服务器属性、证书和凭据提供程序。 重要: 这些设置包括 RBAC 权限。 RBAC 权限赋予管理员完全访问权限,包括分配自己的权限的能力。 仅向您希望授予其操作 Citrix Endpoint Management 系统中所有内容权限的用户授予此访问权限。 |
| 支持 | 您可以在 故障排除和支持 页面进行故障排除活动,例如运行诊断程序和生成日志。 |
管理员的设备限制
管理员可以通过设置设备限制、设置和向设备发送通知、管理设备上的应用程序等,通过控制台访问设备功能。
| 完全擦除设备 | 删除设备上的所有数据和应用程序,包括存储卡(如果设备有)。 |
| 明确限制 | 删除一个或多个设备限制。 |
| 选择性擦除设备 | 从设备上删除所有公司数据和应用程序,保留个人数据和应用程序。 |
| 查看地点 | 查看设备位置并设置地理限制。 包括:定位设备、跟踪设备。 |
| 锁定装置 | 远程锁定设备,使用户无法使用该设备。 |
| 解锁设备 | 远程解锁设备,以便用户可以使用该设备。 |
| 锁定容器 | 远程锁定设备上的公司容器。 |
| 解锁容器 | 远程解锁设备上的公司容器。 |
| 重置容器密码 | 重置企业容器密码。 |
| 启用 ASM/绕过激活锁 | 启用激活锁时,将绕过代码存储在受监督的 iOS 设备上。 要清除设备,请使用此代码自动清除激活锁。 |
| 获取常驻用户 | 列出当前设备上拥有活跃账户的用户。 此操作强制设备与 Citrix Endpoint Management 控制台之间同步。 |
| 登出常驻用户 | 强制注销当前用户。 |
| 删除常驻用户 | 删除特定用户的当前会话。 用户可以再次登录。 |
| 设备响铃 | 远程以最大音量响铃 Windows 设备 5 分钟。 |
| 重启设备 | 从 Citrix Endpoint Management 控制台重新启动 Windows 设备。 |
| 部署到设备 | 向设备发送应用程序、通知、限制和其他资源。 |
| 编辑设备 | 更改设备上的设置。 |
| 通知设备 | 向设备发送通知。 |
| 添加/删除设备 | 从 Citrix Endpoint Management 中添加或删除设备。 |
| 设备导入 | 将文件中的一组设备导入 Citrix Endpoint Management。 |
| 导出设备表 | 从设备页面收集设备信息并将其导出到.csv 文件。 |
| 吊销设备 | 禁止设备连接到 Citrix Endpoint Management。 |
| 应用程序锁 | 拒绝访问设备上的所有应用程序。 在 Android 上,此限制会阻止用户登录 Citrix Endpoint Management。 在 iOS 上,用户可以登录,但无法访问应用程序。 |
| 应用程序擦除 | 在 Android 上,此限制会删除用户的 Citrix Endpoint Management 帐户。 在 iOS 上,此限制会删除用户访问 Citrix Endpoint Management 功能所需的加密密钥。 |
| 查看软件清单 | 查看设备上安装了哪些软件。 |
| 请求 AirPlay 镜像 | 请求开始 AirPlay 流式传输。 |
| 停止 AirPlay 镜像 | 停止 AirPlay 流媒体。 |
| 启用丢失模式 | 在 管理 > 设备 页面上,您可以将受监管设备置于丢失模式,以在锁定屏幕上阻止受监管设备。 当设备丢失或被盗时,您就可以找到该设备。 |
| 禁用丢失模式 | 在 管理 > 设备 页面上,您可以为设置为丢失模式的设备禁用丢失模式。 |
| 操作系统更新设备 | 您可以将操作系统更新设备策略部署到设备。 |
| 关闭设备 | 从 Citrix Endpoint Management 控制台关闭 iOS 设备。 |
| 重启设备 | 从 Citrix Endpoint Management 控制台重新启动 iOS 设备。 |
| 续订设备注册证书 | 更新设备 CA 证书。 |
本地用户和组
管理员在 Citrix Endpoint Management 中的 管理 > 用户 页面上管理本地用户和本地用户组。
| 添加本地用户 |
| 删除本地用户 |
| 编辑本地用户 |
| 导入本地用户 |
| 导出本地用户 |
| 本地用户组 |
| 获取本地用户锁定ID |
| 删除本地用户锁 |
注册
管理员可以添加和删除注册邀请、向用户发送通知以及将注册表导出为.csv 文件。
| 添加/删除注册 | 添加或删除对用户或用户组的注册邀请。 |
| 通知用户 | 向用户或用户组发送注册邀请。 |
| 导出入学邀请表 | 从注册页面收集注册信息并将其导出到 .csv 文件。 |
策略
| 添加/删除策略 | 添加或删除设备或应用程序策略。 |
| 编辑政策 | 更改设备或应用程序策略。 |
| 上传政策 | 上传设备或应用程序策略。 |
| 克隆策略 | 复制设备或应用程序策略。 |
| 禁用策略 | 禁用现有的应用程序策略。 |
| 出口政策 | 从设备策略页面收集设备策略信息并将其导出到 .csv 文件。 |
| 分配策略 | 将设备策略分配给一个或多个交付组。 |
应用程序
管理员在 Citrix Endpoint Management 中的 配置 > 应用程序 页面上管理应用程序。
| 添加/删除应用商店或企业应用程序 | 添加或删除公共应用商店应用程序或企业应用程序(未启用 MDX)。 |
| 编辑应用商店或企业应用 | 更改公共应用商店应用程序或企业应用程序(未启用 MDX)。 |
| 添加/删除 MDX、Web 和 SaaS 应用程序 | 向 Citrix Endpoint Management 添加或删除启用 MDX 的应用程序、来自内部网络的应用程序(Web 应用程序)或来自公共网络的应用程序(SaaS)。 |
| 编辑 MDX、Web 和 SaaS 应用程序 | 将启用 MDX 的应用程序、来自内部网络的应用程序(Web 应用程序)或来自公共网络的应用程序(SaaS)更改为 Citrix Endpoint Management。 |
| 添加/删除类别 | 添加或删除应用程序可在应用商店中显示的类别。 |
| 将公共/企业应用程序分配给交付组 | 将公共应用商店应用程序或启用 MDX 的应用程序分配给交付组进行部署。 |
| 将 MDX/WebLink/SaaS 应用程序分配给交付组 | 将启用 MDX、不需要单点登录 (WebLink) 或来自公共网络 (SaaS) 的应用程序分配给交付组。 |
| 导出应用表 | 从App页面收集应用信息并导出为.csv文件。 |
媒体
管理来自公共应用商店或批量购买许可证的媒体。
| 添加/删除应用商店或企业图书 |
| 将公共/企业书籍分配给交付组 |
| 编辑应用商店或企业图书 |
行动
| 添加/删除动作 | 添加或删除由触发器和相关响应定义的操作。 触发器是事件、设备或用户属性、或已安装的应用程序名称。 |
| 编辑操作 | 更改由触发器和相关响应定义的操作。 触发器是事件、设备或用户属性、或已安装的应用程序名称。 |
| 将操作分配给交付组 | 将操作分配给交付组,以便部署到用户设备。 |
| 导出操作 | 从“操作”页面收集操作信息并将其导出到 .csv 文件。 |
交付组
管理员从 配置 > 交付组 页面管理交付组。
| 添加/删除配送组 | 创建或删除交付组,添加指定的用户和可选的策略、应用程序和操作。 |
| 编辑配送组 | 更改现有的交付组,从而修改用户和可选策略、应用程序和操作。 |
| 部署交付组 | 使交付组可供使用。 |
| 出口发货组 | 从交付组页面收集交付组信息并将其导出到 .csv 文件。 |
招生概况
管理注册资料。
| 添加/删除注册资料 |
| 编辑入学资料 |
| 将注册配置文件分配给交付组 |
Alexa 适用于商业
管理 Alexa for Business 配置文件。
| 添加/删除/编辑房间 |
| 添加/删除/编辑房间资料 |
| 添加/删除/编辑技能组 |
管理员设置
管理员在 设置 页面上配置各种设置。
| RBAC | RBAC 分配。 重要: 此权限授予管理员完全访问权限,包括分配自己的权限的能力。 仅向您希望授予其操作 Citrix Endpoint Management 系统中所有内容权限的用户授予此访问权限。 |
| LDAP | 管理一个或多个符合 LDAP 标准的目录(例如 Active Directory),以导入组、用户帐户和相关属性。 |
| 注册 | 为用户和自助门户启用注册安全模式。 |
| 发布管理 | 查看当前已安装的版本。 包括:发布管理更新 |
| 证书 | 编辑 APNS 证书 |
| 通知模板 | 创建通知模板以用于自动化操作、注册和向用户传递标准通知消息。 |
| 工作流程 | 管理用于应用程序配置的用户帐户的创建、批准和删除。 |
| 凭证提供商 | 添加一个或多个有权颁发设备证书的凭证提供程序。 凭证提供商控制证书格式以及更新或撤销证书的条件。 |
| PKI 实体 | 管理公钥基础设施实体(通用、Microsoft 证书服务或自主 CA)。 |
| 测试 PKI 连接 | 使用 设置 > PKI 实体 页面上的 测试连接 按钮确保服务器可访问。 |
| 客户端属性 | 管理用户设备上的各种属性,例如密码类型、强度和有效期。 |
| 客户支持 | 设置用户联系您的支持服务的方式(电子邮件、电话或支持票证电子邮件)。 |
| 客户品牌 | 为应用商店创建自定义商店名称和默认商店视图。 添加在应用商店或 Citrix Secure Hub 中显示的自定义徽标。 |
| 运营商短信网关 | 设置运营商 SMS 网关以配置 Citrix Endpoint Management 通过运营商 SMS 网关发送的通知。 |
| 通知服务器 | 设置 SMTP 网关服务器以向用户发送电子邮件。 |
| ActiveSync 网关 | 通过规则和属性管理用户对用户和设备的访问。 |
| 谷歌浏览器 | 配置 Citrix Endpoint Management 以与您的 Google Workspace 帐户通信。 |
| Apple 部署计划 | 将 Apple 部署计划帐户添加到 Citrix Endpoint Management。 |
| Apple Configurator 设备注册 | 在 Citrix Endpoint Management 控制台中配置 Apple Configurator 设置。 |
| iOS/批量购买设置 | 添加 Apple 批量购买帐户。 |
| NetScaler Gateway | 在 Citrix Endpoint Management 中配置 NetScaler Gateway(现已重命名为 NetScaler Gateway)设置。 |
| 网络访问控制 | 设置确定设备不合规的条件,以使其无法访问网络。 |
| 服务器属性 | 添加或修改服务器属性。 需要在所有节点上重新启动 Citrix Endpoint Management。 |
| 虚拟应用程序和桌面 | 允许用户通过 Citrix Workspace 应用程序添加 Citrix Virtual Apps 和 Desktops。 |
| Citrix Files | 使用具有企业帐户的 Citrix Endpoint Management 时:配置设置以连接到 ShareFile 和管理员服务帐户进行用户帐户管理。 需要现有的 Citrix Files 域和管理员凭据。 将 Citrix Endpoint Management 与存储区域连接器结合使用时:配置 Citrix Endpoint Management 以指向存储区域连接器中定义的网络共享和 SharePoint 位置。 |
| Android 企业版 | 配置 Android Enterprise 服务器设置。 |
| 身份提供者 (IdP) | 配置身份提供者。 |
| Citrix 端点管理工具 | 访问 Citrix Endpoint 管理工具页面。 |
| Windows 批量注册 | 配置 Windows 批量注册设置。 |
支持
管理员可以执行各种支持任务。
| NetScaler 网关连接检查 | 通过 IP 地址对 NetScaler Gateway 进行各种连接检查。 需要用户名和密码。 |
| Citrix Endpoint Management 连接检查 | 对选定的 Citrix Endpoint Management 功能(例如数据库、DNS 和 Google Plan)进行连接检查。 |
| Citrix 产品文档 | 访问公共 Citrix Endpoint Management 文档站点。 |
| Citrix 知识中心 | 访问 Citrix 支持站点以搜索知识库文章。 |
| 日志 | 查看和下载日志文件。 |
| 宏 | 在配置文件、策略、通知或注册模板的文本字段中填充用户或设备属性数据。 配置单一策略,将该策略部署到庞大的用户群,并为每个目标用户显示特定于用户的值。 |
| PKI 配置 | 导入和导出 PKI 配置信息。 |
| APNS 签名实用程序 | 提交 Apple Push Network 签名 (APNs) 证书请求,或上传适用于 iOS 的 Citrix Secure Mail APNs 证书。 |
| Citrix Insight 服务 | 将日志上传到 Citrix Insight Services (CIS) 以获得有关各种问题的帮助。 |
| 设备 NetScaler Gateway 连接器(用于 Exchange ActiveSync 状态) | 向 Citrix Endpoint Management 查询发送到 Exchange ActiveSync 连接器的设备的状态。 该查询基于设备 ActiveSync ID。 |
限制群组访问
管理员用户可以将权限应用于所有用户组。
用于设备配置的控制台功能
设备配置用户对 Citrix Endpoint Management 控制台具有以下受限访问权限。 默认情况下,下列每个功能均已启用。
设备限制
| 编辑设备 | 更改设备上的设置。 |
| 添加/删除设备 | 从 Citrix Endpoint Management 中添加或删除设备。 |
设备配置设置
设备配置用户可以访问 设置 页面,但无权配置功能。
用户角色
具有用户角色的用户对 Citrix Endpoint Management 具有以下有限的访问权限。
授权用户访问
| 自助门户 | 仅向用户提供对 Citrix Endpoint Management 中的自助门户的访问权限。 |
面向用户的控制台功能
用户对 Citrix Endpoint Management 控制台具有以下受限访问权限。
限制用户的设备访问
| 完全擦除设备 | 删除设备上的所有数据和应用程序,包括存储卡(如果设备有)。 |
| 选择性擦除设备 | 从设备上删除所有公司数据和应用程序,保留个人数据和应用程序。 |
| 查看地点 | 查看设备位置并设置地理限制。 包括:定位设备、查看设备位置、跟踪设备、随时间跟踪设备位置 |
| 锁定装置 | 远程锁定设备以使其无法使用。 |
| 解锁设备 | 远程解锁设备以便可以使用。 |
| 锁定容器 | 远程锁定设备上的公司容器。 |
| 解锁容器 | 远程解锁设备上的公司容器。 |
| 重置容器密码 | 重置企业容器密码。 |
| 启用 ASM/绕过激活锁 | 启用激活锁时,将绕过代码存储在受监督的 iOS 设备上。 要清除设备,请使用此代码自动清除激活锁。 |
| 获取常驻用户 | 列出当前设备上拥有活跃账户的用户。 此操作强制设备与 Citrix Endpoint Management 控制台之间同步。 |
| 登出常驻用户 | 强制注销当前用户。 |
| 删除常驻用户 | 删除特定用户的当前会话。 用户可以再次登录。 |
| 设备响铃 | 远程以最大音量响铃 Windows 设备 5 分钟。 |
| 重启设备 | 重新启动 Windows 设备。 |
| 应用程序锁 | 拒绝访问设备上的所有应用程序。 在 Android 上,用户无法登录 Citrix Endpoint Management。 在 iOS 上,用户可以登录,但无法访问应用程序。 |
| 应用程序擦除 | 在 Android 上,此限制会删除用户的 Citrix Endpoint Management 帐户。 在 iOS 上,此限制会删除用户访问 Citrix Endpoint Management 功能所需的加密密钥。 |
| 查看软件清单 | 查看设备上安装了哪些软件。 |
用户注册限制
| 添加/删除注册 | 添加或删除对用户或用户组的注册邀请。 |
| 通知用户 | 向用户或用户组发送注册邀请。 |
限制所有角色的组访问
对于默认角色,该权限是默认设置的,可以应用于所有用户组。 您无法编辑该角色。