使用 RBAC 配置角色
Citrix Endpoint Management 中基于角色的访问控制 (RBAC) 功能允许您为用户和组分配角色。角色是一组权限,用于控制用户对系统功能的访问级别。
Citrix Endpoint Management 自带以下默认用户角色。可以将默认角色用作您自定义的用于创建自己的用户角色的模板。
- 管理员: 授予完整系统访问权限。
- 用户: 允许用户注册设备和访问自助服务门户。
您可以使用 Citrix Endpoint Management 中的 RBAC 功能来:
- 创建和编辑用户角色。
- 将角色分配给本地用户组和 Active Directory (AD) 组。
- 通过 Identity and Access Management(身份和访问管理)> Administrators(管理员)将角色分配给 Citrix Cloud 中的管理员。请参阅向 Citrix Cloud 管理员添加角色。
使用 RBAC 功能
可以将角色分配给本地用户、云管理员(在 Citrix Cloud 中)以及本地用户组和 Active Directory 组。
- 本地用户: 使用管理 > 用户向本地用户分配角色。只能为本地用户分配一个角色。要更改角色,可以手动编辑用户帐户。或者,也可以为本地用户创建一个组,并为该组分配一个角色。
- 云管理员: 云管理员是 Citrix Cloud 在将管理员添加到您的 Citrix Cloud 客户帐户时创建的一个特殊用户帐户。云管理员帐户使用与 Citrix Cloud 上的管理员帐户相同的用户名。在 Citrix Endpoint Management 控制台中创建 RBAC 角色,并 通过 Citrix Cloud 中的“身份和访问管理”>“管理员”为这些用户分配角色。
- Active Directory 组: Active Directory 组中的所有用户都具有相同的权限。如果用户属于多个 Active Directory 组,所有权限将合并以定义该用户的权限。例如,假设 ADGroupA 用户可以定位经理的设备,而 ADGroupB 用户可以擦除员工的设备。属于两个组的用户可以找到并擦除经理和员工的设备。如果用户属于具有冲突权限的组,则以允许的权限为准。
有关详细信息,请参阅关于用户帐户。
创建或编辑角色
-
在 Citrix Endpoint Management 控制台中,要访问设置页面,请单击右上角的齿轮图标。
-
单击基于角色的访问控制。基于角色的访问控制页面显示默认用户角色以及您添加的任何角色。
单击某个角色旁边的加号 (+) 可查看该角色的所有权限。
-
要添加角色,请单击添加。或者,要编辑某个角色,请单击现有角色右侧的笔。
注意:
可以通过单击您定义的角色右侧的垃圾桶来删除角色。无法删除默认用户角色。
-
在添加角色页面上,输入以下信息:
- RBAC 名称: 输入新用户角色的描述性名称。无法更改现有角色的名称。
- RBAC 模板: (可选)选择某个模板以将其作为新角色的起点。(编辑角色时,无法选择或更改模板。)RBAC 模板是用于定义系统功能访问权限的默认用户角色。
单击“应用”按钮填充“授权访问”和“控制台功能”复选框。Citrix Endpoint Management 使用所选模板的预定义访问权限和功能权限填充这些字段。
-
要自定义角色,请选中或清除“授权访问权限”和“控制台功能”中的复选框。
单击控制台功能旁边的三角形可显示并选择该功能特定的权限。单击顶层复选框不会选择个人权限。请展开顶层权限后选择各个选项。
-
应用权限: 单击 To specific user groups(至特定用户组)以对选择的组应用权限。
例如,如果 RBAC 管理员拥有 ActiveDirectory 用户组的权限:
- 管理员只能访问 ActiveDirectory 组中的用户的信息。
- 管理员无法查看任何其他本地或 AD 用户。管理员可以查看属于这些组的子组成员的用户。
-
管理员可以发送邀请至:
- 权限组及其子组
- 属于权限组及其子组的成员的用户
-
单击下一步,输入以下信息,以将角色分配给用户组。
- 选择域: 在列表中,选择一个域。
- 搜索用户组: 单击搜索可查看所有可用组的列表。键入完整组名称或部分组名称以缩小搜索范围。
- 包括用户组: 在显示的列表中,选择要向其分配角色的用户组。
-
单击保存。
向 Citrix Cloud 管理员添加角色
与其通过 Citrix Endpoint Management 控制台为 Citrix Cloud 管理员分配 RBAC 角色,不如从 Citrix Cloud 控制台分配角色。
- 在 Citrix Cloud 控制台中,导航到 Identity and Access Management(身份和访问管理)> Administrators(管理员)。
-
选择身份提供程序,然后键入电子邮件地址以添加管理员。单击 Invite(邀请)。
单击现有管理员行结尾的 … 可编辑这些权限。
-
单击 Custom access(自定义访问权限)。向管理员分配权限时,您可以选择在 Citrix Endpoint Management 控制台中创建的 RBAC 角色。
- 单击 Send Invite(发送邀请)以向新管理员发送邀请,或者单击 Save(保存)完成对管理员的编辑。
预定义的角色
每个预定义的 RBAC 角色都具有某些关联的访问权限和功能权限。以下各表介绍了管理员角色和用户角色的每种权限。不能删除或编辑预定义的角色。
-
要获取每个内置角色的默认权限的完整列表,请下载基于角色的访问控制默认设置
-
有关 Citrix Endpoint Management 用户帐户的信息, 请参阅关于用户帐户。
重要:
在“设置”权限下,RBAC 权限向管理员用户授予完全访问权限,包括分配自己的权限的能力。仅将此访问权限授予您打算授予其在 Citrix Endpoint Management 系统中操作所有内容的权限的用户。
管理角色
预定义的管理员角色在 Citrix Endpoint Management 中提供特定访问权限。默认情况下,启用授权访问(自助服务门户除外)、控制台功能以及应用权限。
,可以使用 Manage(管理)> Users(用户)更改分配了管理员角色的本地用户的角色。对于具有管理员角色的云用户,请使用 Citrix Cloud 控制台更改角色。默认情况下,具有管理员角色的云和本地用户具有完全访问权限。
管理员的授权访问权限
| 管理控制台访问 | 管理员可以访问 Citrix Endpoint Management 控制台上的所有功能。 |
| 自助门户访问 | 默认情况下,管理员无法访问自助服务门户。(具有用户角色的用户只能访问自助服务门户。) |
| 远程支持访问 | 管理员可以访问远程支持功能。 |
| 公共 API 访问 | 管理员可以访问公共 API,以编程方式执行在 Citrix Endpoint Management 控制台上可用的操作。这些操作包括管理证书、应用程序、设备、交付组和本地用户。 |
面向管理员的控制台功能
管理员可以不受限制地访问 Citrix Endpoint Management 控制台。
| 控制板 | 控制面板 是管理员登录 Citrix Endpoint Management 控制台后看到的第一个页面。控制板显示有关通知和设备的基本信息。 |
| 报告 | 分析 > 报告页面提供预定义的报告,您可以利用这些报告分析应用程序和设备部署情况。 |
| 设备 | 在管理 > 设备页面中,可以管理用户设备。可以在此页面上逐个添加设备,也可以通过导入设备预配文件一次添加多个设备。 |
| 本地用户和组 | 在管理 > 用户页面中,可以添加、编辑或删除本地用户和本地用户组。 |
| 注册 | 在“管理”>“注册邀请”页面上,您可以管理如何邀请用户在 Citrix Endpoint Management 中注册其设备。 |
| 策略 | “配置”>“设备策略”页面是管理设备策略(例如 VPN 和网络)的位置。 |
| 应用程序 | 在配置 > 应用程序页面中,可以管理用户能够在其设备上安装的各种应用程序。 |
| 媒体 | 在配置 > 媒体页面中,可以管理用户能够在其设备上安装的各种媒体。 |
| 操作 | 在配置 > 操作页面中,可以管理触发事件的响应。 |
| 交付组 | 在配置 > 交付组页面中,可以管理交付组以及与其关联的资源。 |
| 注册配置文件 | 在配置 > 注册配置文件页面中,可以配置用户如何注册其设备。 |
| Alexa for Business | 在设置页面中,可以管理您的 Alexa for Business 配置文件。 |
| 设置 | 在设置页面中,可以管理系统设置,例如,客户端和服务器属性、证书和凭据提供程序。重要: 这些设置包括 RBAC 权限。RBAC 权限向管理员授予完全访问权限,包括分配自己的权限的能力。仅将此访问权限授予您打算授予其在 Citrix Endpoint Management 系统中操作所有内容的权限的用户。 |
| 支持 | 在“故障排除和支持”页面上,您可以进行故障排除活动,例如运行诊断和生成日志。 |
面向管理员的设备限制
管理员可以通过设置设备限制、设置并向设备发送通知、管理设备上的应用程序等操作,访问控制台各处的设备功能。
| 完全擦除设备 | 擦除设备上的所有数据和应用程序,包括内存卡(如果设备具有内存卡)。 |
| 清除限制 | 删除一项或多项设备限制。 |
| 选择性擦除设备 | 擦除设备上的所有公司数据和应用程序,保留个人数据和应用程序。 |
| 查看位置 | 查看设备的位置以及在设备上设置地理区域限制。包括:定位设备、跟踪设备。 |
| 锁定设备 | 远程锁定设备,使用户无法使用设备。 |
| 解锁设备 | 远程解锁设备,使用户可以使用设备。 |
| 锁定容器 | 远程锁定设备上的企业容器。 |
| 解锁容器 | 远程解锁设备上的企业容器。 |
| 重置容器密码 | 重置企业容器密码。 |
| 启用 ASM/绕过激活锁 | 启用激活锁时,在受监督的 iOS 设备上存储绕过码。要擦除该设备,请使用此代码自动清除激活锁。 |
| 获取常驻用户 | 列出在当前设备上具有活动帐户的用户。此操作会强制设备与 Citrix Endpoint Management 控制台之间进行同步。 |
| 注销常驻用户 | 强制注销当前用户。 |
| 删除常驻用户 | 删除特定用户的当前会话。该用户可以重新登录。 |
| 使设备响铃 | 远程使 Windows 设备以最高音量响铃 5 分钟。 |
| 重新启动设备 | 从 Citrix Endpoint Management 控制台重启 Windows 设备。 |
| 部署到设备 | 向设备发送应用程序、通知、限制和其他资源。 |
| 编辑设备 | 更改设备上的设置。 |
| 通知设备 | 向设备发送通知。 |
| 添加/删除设备 | 在 Citrix Endpoint Management 中添加或删除设备。 |
| 设备导入 | 将一组设备从文件导入 Citrix Endpoint Management。 |
| 导出设备表 | 从“设备”页面收集设备信息,并将其导出到 .csv 文件。 |
| 吊销设备 | 禁止设备连接到 Citrix Endpoint Management。 |
| 应用程序锁定 | 拒绝访问设备上的所有应用程序。在 Android 上,此限制会阻止用户登录 Citrix Endpoint Management。在 iOS 上,用户可以登录,但无法访问应用程序。 |
| 应用程序擦除 | 在 Android 中,此限制会删除用户的 Citrix Endpoint Management 帐户。在 iOS 上,此限制删除了用户访问 Citrix Endpoint Management 功能所需的加密密钥。 |
| 查看软件清单 | 查看设备上安装的软件。 |
| 请求使用 AirPlay 镜像 | 请求启动 AirPlay 流。 |
| 停止使用 AirPlay 镜像 | 停止 AirPlay 流。 |
| 启用丢失模式 | 在管理 > 设备页面上,可以将受监督的设备置于丢失模式,以阻止锁屏界面上的受监督设备。然后,您可以在设备丢失或被盗时找到设备。 |
| 禁用丢失模式 | 在管理 > 设备页面上,可以禁用设置为丢失模式的设备的丢失模式。 |
| 操作系统更新设备 | 可以将“操作系统更新”设备策略部署到设备。 |
| 关闭设备 | 从 Citrix Endpoint Management 控制台关闭 iOS 设备。 |
| 重新启动设备 | 从 Citrix Endpoint Management 控制台重启 iOS 设备。 |
| 续订设备注册证书 | 续订设备 CA 证书。 |
本地用户和组
管理员在 Citrix Endpoint Management 的“管理”>“用户”页面上管理本地用户和本地用户组。
| 添加本地用户 |
| 删除本地用户 |
| 编辑本地用户 |
| 导入本地用户 |
| 导出本地用户 |
| 本地用户组 |
| 获取本地用户锁 ID |
| 删除本地用户锁 |
注册
管理员可以添加和删除注册邀请、向用户发送通知以及将注册表导出到 .csv 文件。
| 添加/删除注册 | 添加或删除向一个或一组用户发送的注册邀请。 |
| 通知用户 | 向一个或一组用户发送注册邀请。 |
| 导出注册邀请表 | 从“注册”页收集注册信息并将其导出到 .csv 文件。 |
策略
| 添加/删除策略 | 添加或删除设备策略或应用程序策略。 |
| 编辑策略 | 更改设备策略或应用程序策略。 |
| 上载策略 | 上载设备策略或应用程序策略。 |
| 克隆策略 | 复制设备策略或应用程序策略。 |
| 禁用策略 | 禁用现有应用程序策略。 |
| 导出策略 | 从“设备策略”页面收集设备策略信息,并将其导出到 .csv 文件。 |
| 分配策略 | 将设备策略分配给一个或多个交付组。 |
应用程序
管理员在 Citrix Endpoint Management 的“配置”>“应用程序”页面上管理应用程序。
| 添加/删除应用商店或企业应用程序 | 添加或删除公共应用商店应用程序或企业应用程序(未启用 MDX)。 |
| 编辑应用商店或企业应用程序 | 更改公共应用商店应用程序或企业应用程序(未启用 MDX)。 |
| 添加/删除 MDX、Web 和 SaaS 应用程序 | 向 Citrix Endpoint Management 添加或移除支持 MDX 的应用程序、内部网络中的应用程序(Web 应用程序)或公共网络(SaaS)中的应用程序。 |
| 添加 MDX、Web 和 SaaS 应用程序 | 将支持 MDX 的应用程序、内部网络中的应用程序(Web 应用程序)或应用程序从公共网络(SaaS)更改为 Citrix Endpoint Management。 |
| 添加/删除类别 | 添加或删除应用程序在应用商店中可以归属的类别。 |
| 将公共/企业应用程序分配给交付组 | 将公共应用商店应用程序或启用了 MDX 的应用程序分配给交付组以便部署。 |
| 将 MDX/WebLink/SaaS 应用程序分配给交付组 | 将启用了 MDX、不需要单点登录 (WebLink) 或来自公共网络 (SaaS) 的应用程序分配给交付组。 |
| 导出应用程序表 | 从“应用程序”页收集应用程序信息并将其导出到 .csv 文件。 |
媒体
管理来自公共应用商店或批量购买许可证的媒体。
| 添加/删除应用商店或企业书籍 |
| 将公共/企业书籍分配给交付组 |
| 编辑应用商店或企业书籍 |
操作
| 添加/删除操作 | 添加或删除由触发器和关联响应定义的操作。触发器是事件、设备或用户属性或已安装的应用程序名称。 |
| 编辑操作 | 更改由触发器和关联响应定义的操作。触发器是事件、设备或用户属性或已安装的应用程序名称。 |
| 将操作分配给交付组 | 将操作分配给交付组以便部署到用户设备。 |
| 导出操作 | 从“操作”页收集操作信息并将其导出到 .csv 文件。 |
交付组
管理员在配置 > 交付组页面上管理交付组。
| 添加/删除交付组 | 创建或删除交付组,即添加指定用户和可选策略、应用程序和操作。 |
| 编辑交付组 | 更改现有交付组,即修改用户和可选策略、应用程序和操作。 |
| 部署交付组 | 使交付组可供使用。 |
| 导出交付组 | 从“交付组”页收集交付组信息并将其导出到 .csv 文件。 |
注册配置文件
管理注册配置文件。
| 添加/删除注册配置文件 |
| 编辑注册配置文件 |
| 将注册配置文件分配给交付组 |
Alexa for Business
管理 Alexa for Business 配置文件。
| 添加/删除/编辑会议室 |
| 添加/删除/编辑会议室配置文件 |
| 添加/删除/编辑技能组 |
面向管理员的设置
管理员在设置页面上配置各种设置。
| RBAC | RBAC 分配。重要: 此权限向管理员授予完全访问权限,包括分配自己的权限的能力。仅将此访问权限授予您打算授予其在 Citrix Endpoint Management 系统中操作所有内容的权限的用户。 |
| LDAP | 管理一个或多个 LDAP 兼容目录(例如 Active Directory),以导入组、用户帐户和相关属性。 |
| 注册 | 为用户和自助门户启用注册安全模式。 |
| 发布管理 | 查看当前安装的版本。包括:发布管理更新 |
| Certificates(证书) | 编辑 APNs 证书 |
| 通知模板 | 创建要在自动执行的操作、注册以及对用户的标准通知消息交付中使用的通知模板。 |
| 工作流 | 管理用于应用程序配置的用户帐户的创建、审批和删除。 |
| 凭据提供程序 | 添加一个或多个授权颁发设备证书的凭据提供程序。凭据提供程序控制证书格式以及续订或吊销证书的条件。 |
| PKI 实体 | 管理公钥基础结构实体(通用、Microsoft Certificate Services 或任意 CA)。 |
| 测试 PKI 连接 | 使用设置 > PKI 实体页面上的测试连接按钮可确保服务器可访问。 |
| 客户端属性 | 管理用户设备上的各种属性,例如通行码类型、长度和过期日期。 |
| 客户端支持 | 设置用户联系支持服务的方式(电子邮件、电话或支持票证电子邮件)。 |
| 客户端外观方案 | 为应用商店创建自定义的应用商店名称和默认应用商店视图。添加出现在应用商店或 Citrix Secure Hub 中的自定义徽标。 |
| 运营商 SMS 网关 | 设置运营商短信网关以配置 Citrix Endpoint Management 通过运营商短信网关发送的通知。 |
| 通知服务器 | 设置 SMTP 网关服务器以向用户发送电子邮件。 |
| ActiveSync Gateway | 通过规则和属性,管理用户对用户和设备的访问权限。 |
| Google Chrome | 将 Citrix Endpoint Management 配置为与您的 Google Workspace 帐户进行通信。 |
| Apple 部署计划 | 将 Apple 部署计划帐户添加到 Citrix Endpoint Management。 |
| Apple Configurator 设备注册 | 在 Citrix Endpoint Management 控制台中配置 Apple Configurator 设置。 |
| iOS/批量购买设置 | 添加 Apple 批量购买帐户。 |
| NetScaler Gateway | 在 Citrix Endpoint Management 中配置 NetScaler Gateway(现更名为 NetScaler Gateway)设置。 |
| 网络访问控制 | 设置确定设备不兼容的条件,以使其无法访问网络。 |
| 服务器属性 | 添加或修改服务器属性。需要在所有节点上重新启动 Citrix Endpoint Management。 |
| Virtual Apps and Desktops | 允许用户通过 Citrix Workspace 应用程序添加 Citrix Virtual Apps and Desktops。 |
| Citrix Files | 将 Citrix Endpoint Management 用于企业帐户时:配置设置以连接到 ShareFile 和管理服务帐户进行用户帐户管理。需要使用现有 Citrix Files 域和管理员凭据。使用带有存储区域连接器的 Citrix Endpoint Management 时:将 Citrix Endpoint Management 配置为指向存储区域连接器中定义的网络共享和 SharePoint 位置。 |
| Android Enterprise | 配置 Android Enterprise 服务器设置。 |
| 身份提供商 (IdP) | 配置身份提供程序。 |
| Citrix Endpoint Management 工具 | 访问 Citrix Endpoint Management 工具页面。 |
| Windows 批量注册 | 配置 Windows 批量注册设置。 |
支持
管理员可以执行各种支持任务。
| NetScaler Gateway 连接性检查 | 按 IP 地址对 NetScaler Gateway 进行各种连接检查。需要用户名和密码。 |
| Citrix Endpoint Management 连接检查 | 对选定的 Citrix Endpoint Management 功能(例如数据库、DNS 和 Google 套餐)进行连接检查。 |
| Citrix 产品文档 | 访问公共 Citrix Endpoint Management 文档站点。 |
| Citrix 知识中心 | 访问 Citrix 支持网站搜索知识库文章。 |
| 日志 | 查看和下载文件。 |
| 宏 | 在配置文件、策略、通知或注册模板的文本字段中填充用户或设备属性数据。配置一个策略并将其部署到较大的用户群,并为每个目标用户显示特定于用户的值。 |
| PKI 配置 | 导入和导出 PKI 配置信息。 |
| APNs 签名实用程序 | 提交申请 Apple Push Network 签名 (APNs) 证书,或上载适用于 iOS 的 Citrix Secure Mail APNs 证书。 |
| Citrix Insight Services | 将日志上载到 Citrix Insight Services (CIS),以帮助解决各种问题。 |
| 用于显示 Exchange ActiveSync 状态的设备 NetScaler Gateway 连接器 | 向 Citrix Endpoint Management 查询 Exchange ActiveSync 发送到连接器的设备的状态。查询基于设备 ActiveSync ID。 |
限制组访问
管理员用户可以应用所有用户组的权限。
用于设备预配的控制台功能
设备配置用户对 Citrix Endpoint Management 控制台具有以下限制访问权限。默认情况下,以下各功能均处于启用状态。
设备限制
| 编辑设备 | 更改设备上的设置。 |
| 添加/删除设备 | 在 Citrix Endpoint Management 中添加或删除设备。 |
设备预配设置
设备配置用户可以访问设置页面,但无权配置这些功能。
用户角色
具有用户角色的用户对 Citrix Endpoint Management 具有以下有限访问权限。
授权用户访问权限
| 自助服务门户 | 仅向用户提供 Citrix Endpoint Management 中自助门户的访问权限。 |
面向用户的控制台功能
用户对 Citrix Endpoint Management 控制台具有以下限制访问权限。
面向用户的设备限制访问
| 完全擦除设备 | 擦除设备上的所有数据和应用程序,包括内存卡(如果设备具有内存卡)。 |
| 选择性擦除设备 | 擦除设备上的所有公司数据和应用程序,保留个人数据和应用程序。 |
| 查看位置 | 查看设备的位置以及在设备上设置地理区域限制。包括:定位设备、查看设备的位置、跟踪设备、跟踪设备位置随时间的变化 |
| 锁定设备 | 远程锁定设备,使其无法使用。 |
| 解锁设备 | 远程解锁设备,使其可以使用。 |
| 锁定容器 | 远程锁定设备上的企业容器。 |
| 解锁容器 | 远程解锁设备上的企业容器。 |
| 重置容器密码 | 重置企业容器密码。 |
| 启用 ASM/绕过激活锁 | 启用激活锁时,在受监督的 iOS 设备上存储绕过码。要擦除该设备,请使用此代码自动清除激活锁。 |
| 获取常驻用户 | 列出在当前设备上具有活动帐户的用户。此操作会强制设备与 Citrix Endpoint Management 控制台之间进行同步。 |
| 注销常驻用户 | 强制注销当前用户。 |
| 删除常驻用户 | 删除特定用户的当前会话。该用户可以重新登录。 |
| 使设备响铃 | 远程使 Windows 设备以最高音量响铃 5 分钟。 |
| 重新启动设备 | 重新启动 Windows 设备。 |
| 应用程序锁定 | 拒绝访问设备上的所有应用程序。在 Android 上,用户无法登录 Citrix Endpoint Management。在 iOS 上,用户可以登录,但无法访问应用程序。 |
| 应用程序擦除 | 在 Android 中,此限制会删除用户的 Citrix Endpoint Management 帐户。在 iOS 上,此限制删除了用户访问 Citrix Endpoint Management 功能所需的加密密钥。 |
| 查看软件清单 | 查看设备上安装的软件。 |
面向用户的注册限制
| 添加/删除注册 | 添加或删除向一个或一组用户发送的注册邀请。 |
| 通知用户 | 向一个或一组用户发送注册邀请。 |
限制所有角色的组访问权限
对于默认角色,此权限在默认情况下设置,并且可应用于所有用户组。您无法编辑此角色。