使用 RBAC 配置角色
每个基于角色的访问控制 (RBAC) 预定义角色都具有某些关联的访问权限和功能权限。本文描述其中的每个权限可以执行的操作。要获取每个内置角色的默认权限的完整列表,请下载基于角色的访问控制默认设置。
应用权限时,您将定义 RBAC 角色有权管理的用户组。默认管理员无法更改应用的权限设置。默认情况下,所应用的权限适用于所有用户组。
进行分配时,要向组分配 RBAC 角色,以便用户组拥有 RBAC 管理员权限。
重要:
在“设置”权限下,RBAC 权限向管理员用户授予完全访问权限,包括分配自己的权限的能力。请仅向打算提供控制 Endpoint Management 系统中的所有对象的功能的用户授予此访问权限。
本文包含以下各部分内容:
管理角色
具有预定义管理员角色的用户具有或不具有 XenMobile 中以下功能的访问权限。默认情况下,启用授权访问(自助服务门户除外)、控制台功能以及应用权限。
授权访问
| 管理控制台访问 | 管理员有权访问 XenMobile 控制台上的所有功能。 |
| 自助门户访问 | 管理员不具有自助门户访问权限。 |
| 共享的设备注册程序 | 管理员不具有“共享设备注册人员”访问权限。此功能适用于需要注册共享设备的用户。 |
| 远程支持访问 | 管理员拥有远程支持访问权限。* |
| 公共 API 访问 | 管理员有权访问公共 API,以便以编程方式执行可以在 XenMobile 控制台上执行的操作。这些操作包括管理证书、应用程序、设备、交付组和本地用户。 |
| COSU 设备注册器 | 如果未使用注册配置文件配置此功能,则为管理员提供注册专用 Android Enterprise 设备(又称为 COSU 设备)的方法。 |
* 通过 Remote Support,您的技术支持代表能够远程控制托管的 Android 移动设备。屏幕录像功能仅在 Samsung Knox 设备上受支持。远程支持不适用于本地群集 XenMobile Server 部署。自 2019 年 1 月 1 日起,远程支持功能不再向新客户提供。现有客户可以继续使用此产品,但 Citrix 将不提供增强功能或修复。
控制台功能
管理员对 XenMobile 控制台具有不受限制的访问权限。
| | | | ———————- | ————————————————————————————————————————————————————————————- | | 控制板 | **控制板**是管理员在登录 XenMobile 控制台后看到的第一个页面。**控制板**显示有关通知和设备的基本信息。 | | 报告 | **分析 > 报告**页面提供预定义的报告,您可以利用这些报告分析应用程序和设备部署情况。 | | 设备 | 在**管理 > 设备**页面中,可以管理用户设备。可以在此页面上逐个添加设备,也可以通过导入设备预配文件一次添加多个设备。 | | 本地用户和组 | 在**管理 > 用户**页面中,可以添加、编辑或删除本地用户和本地用户组。 | | 注册 | 在**管理 > 注册邀请**页面中,可以管理如何邀请用户在 XenMobile 中注册其设备。 | | 策略 | 在**配置 > 设备策略**页面中,可以管理 VPN 和 Wi-Fi 等设备策略。 | | 应用程序 | 在**配置 > 应用程序**页面中,可以管理用户能够在其设备上安装的各种应用程序。 | | 媒体 | 在**配置 > 媒体**页面中,可以管理用户能够在其设备上安装的各种媒体。 | | 操作 | 在**配置 > 操作**页面中,可以管理触发事件的响应。 | | 注册配置文件 | 在**配置 > 注册配置文件**页面中,可以配置注册配置文件(模式)以允许用户注册其设备。 | | 交付组 | 在**配置 > 交付组**页面中,可以管理交付组以及与其关联的资源。 | | 设置 | 在设置页面中,可以管理系统设置,例如,客户端和服务器属性、证书和凭据提供程序。重要: 这些设置包括 RBAC 权限。RBAC 权限向管理员授予完全访问权限,包括分配自己的权限的能力。请仅向打算提供控制 Endpoint Management 系统中的所有对象的功能的用户授予此访问权限。 | | | 支持 | 在故障排除和支持页面中,可以执行运行诊断和生成日志等故障排除活动。 |
设备
管理员可以通过设置设备限制、设置并向设备发送通知、管理设备上的应用程序等操作,访问控制台各处的设备功能。
| 完全擦除设备 | 擦除设备上的所有数据和应用程序,包括内存卡(如果设备具有内存卡)。 |
| 清除限制 | 删除一项或多项设备限制。 |
| 选择性擦除设备 | 擦除设备上的所有公司数据和应用程序,保留个人数据和应用程序。 |
| 查看位置 | 查看设备的位置以及在设备上设置地理区域限制。包括:定位设备、查看设备的位置、跟踪设备、跟踪设备位置随时间的变化。 |
| 锁定设备 | 远程锁定设备,使用户无法使用设备。 |
| 解锁设备 | 远程解锁设备,使用户可以使用设备。 |
| 锁定容器 | 远程锁定设备上的企业容器。 |
| 解锁容器 | 远程解锁设备上的企业容器。 |
| 重置容器密码 | 重置企业容器密码。 |
| 启用 ASM DEP/绕过激活锁 | 启用激活锁时,在受监督的 iOS 设备上存储绕过码。如果需要擦除该设备,请使用此代码自动清除激活锁。 |
| 使设备响铃 | 远程使 Windows 设备以最高音量响铃 5 分钟。 |
| 重新启动设备 | 从 XenMobile 控制台重新启动 Windows 设备。 |
| 部署到设备 | 向设备发送应用程序、通知、限制等。 |
| 编辑设备 | 更改设备上的设置。 |
| 通知设备 | 向设备发送通知。 |
| 添加/删除设备 | 从 XenMobile 添加或删除设备。 |
| 设备导入 | 通过文件向 XenMobile 导入一组设备。 |
| 导出设备表 | 从“设备”页面收集设备信息,并将其导出到 .csv 文件。 |
| 吊销设备 | 禁止设备连接到 XenMobile。 |
| 应用程序锁定 | 拒绝访问设备上的所有应用程序。在 Android 上,用户无法登录 XenMobile。在 iOS 中,用户可以登录,但无法访问应用程序。 |
| 应用程序擦除 | 在 Android 上,此操作将删除用户的 XenMobile 帐户。在 iOS 上,此操作将删除用户访问 XenMobile 功能所需的加密密钥。 |
| 查看软件清单 | 查看设备上安装的软件。 |
| 请求使用 AirPlay 镜像 | 请求启动 AirPlay 流。 |
| 停止使用 AirPlay 镜像 | 停止 AirPlay 流。 |
| 启用丢失模式 | 在管理 > 设备上,可以将受监督的设备置于丢失模式,以阻止锁屏界面上的受监督设备。丢失模式还允许您在设备丢失或被盗时定位设备。 |
| 禁用丢失模式 | 在管理 > 设备上,可以禁用设置为丢失模式的设备的丢失模式。 |
| 操作系统更新设备 | 可以在设备中部署“控制操作系统更新”设备策略。 |
| 关闭设备 | 从 XenMobile 控制台关闭 iOS 设备。 |
| 重新启动设备 | 从 XenMobile 控制台重新启动 iOS 设备。 |
本地用户和组
管理员在 XenMobile 中的管理 > 用户页面上管理本地用户和本地用户组。
| 添加本地用户 |
| 删除本地用户 |
| 编辑本地用户 |
| 导入本地用户 |
| 导出本地用户 |
| 本地用户组 |
| 获取本地用户锁 ID |
| 删除本地用户锁 |
注册
管理员可以添加和删除注册邀请、向用户发送通知以及将注册表导出到 .csv 文件。
| 添加/删除注册 | 添加或删除向一个或一组用户发送的注册邀请。 |
| 通知用户 | 向一个或一组用户发送注册邀请。 |
| 导出注册邀请表 | 从“注册”页收集注册信息并将其导出到 .csv 文件。 |
策略
| 添加/删除策略 | 添加或删除设备策略或应用程序策略。 |
| 编辑策略 | 更改设备策略或应用程序策略。 |
| 上载策略 | 上载设备策略或应用程序策略。 |
| 克隆策略 | 复制设备策略或应用程序策略。 |
| 禁用策略 | 禁用现有应用程序策略。 |
| 导出策略 | 从“设备策略”页面收集设备策略信息,并将其导出到 .csv 文件。 |
| 分配策略 | 将设备策略分配给一个或多个交付组。 |
应用程序
管理员在 XenMobile 中的配置 > 应用程序页面上管理应用程序。
| 添加/删除应用商店或企业应用程序 | 添加或删除公共应用商店应用程序或企业应用程序(未启用 MDX)。 |
| 编辑应用商店或企业应用程序 | 更改公共应用商店应用程序或企业应用程序(未启用 MDX)。 |
| 添加/删除 MDX、Web 和 SaaS 应用程序 | 在 XenMobile 中添加或删除启用了 MDX 的应用程序、内部网络中的应用程序(Web 应用程序)或公共网络中的应用程序 (SaaS)。 |
| 添加 MDX、Web 和 SaaS 应用程序 | 更改启用了 MDX 的应用程序、内部网络中的应用程序(Web 应用程序)或从公共网络连接到 XenMobile 的应用程序 (SaaS)。 |
| 添加/删除类别 | 添加或删除应用程序在 XenMobile Store 中可以归属的类别。 |
| 将公共/企业应用程序分配给交付组 | 将公共应用商店应用程序或启用了 MDX 的应用程序分配给交付组以便部署。 |
| 将 MDX/WebLink/SaaS 应用程序分配给交付组 | 将启用了 MDX、不需要单点登录 (WebLink) 或来自公共网络 (SaaS) 的应用程序分配给交付组。 |
| 导出应用程序表 | 从“应用程序”页收集应用程序信息并将其导出到 .csv 文件。 |
注意:
当您选择控制台功能 > 应用程序时,API 端点
GET <https://XMS_IP:4443/controlpoint/rest/ad>按设计返回 LDAP 信息。
媒体
管理从公共应用商店或通过批量购买许可证获取的媒体。
| 添加/删除应用商店或企业书籍 |
| 将公共/企业书籍分配给交付组 |
| 编辑应用商店或企业书籍 |
操作
| 添加/删除操作 | 添加或删除通过触发器(事件、设备或用户属性、已安装的应用程序名称)定义的操作及其关联响应。 |
| 编辑操作 | 更改通过触发器(事件、设备或用户属性、已安装的应用程序名称)定义的操作及其关联响应。 |
| 将操作分配给交付组 | 将操作分配给交付组以便部署到用户设备。 |
| 导出操作 | 从“操作”页收集操作信息并将其导出到 .csv 文件。 |
交付组
管理员在配置 > 交付组页面上管理交付组。
| 添加/删除交付组 | 创建或删除交付组,即添加指定用户和可选策略、应用程序和操作。 |
| 编辑交付组 | 更改现有交付组,即修改用户和可选策略、应用程序和操作。 |
| 部署交付组 | 使交付组可供使用。 |
| 导出交付组 | 从“交付组”页收集交付组信息并将其导出到 .csv 文件。 |
注册配置文件
管理注册配置文件。
| 添加/删除注册配置文件 |
| 编辑注册配置文件 |
| 将注册配置文件分配给交付组 |
设置
管理员在设置页面上配置各种设置。
| RBAC | RBAC 分配、分配角色。重要: 此权限向管理员授予完全访问权限,包括分配自己的权限的能力。请仅向打算提供控制 Endpoint Management 系统中的所有对象的功能的用户授予此访问权限。 |
| LDAP | 管理一个或多个 LDAP 兼容目录(例如 Active Directory),以导入组、用户帐户和相关属性。 |
| 许可证 | 适用于本地 XenMobile Server。管理您的 Citrix 许可证。 |
| 注册 | 为用户和自助门户启用注册安全模式。 |
| 发布管理 | 查看当前安装的版本。包括:发布管理更新 |
| Certificates(证书) | 编辑 APNS 证书、证书 SSL 侦听器 |
| 通知模板 | 创建要在自动执行的操作、注册以及对用户的标准通知消息交付中使用的通知模板。 |
| 工作流 | 管理用于应用程序配置的用户帐户的创建、审批和删除。 |
| 凭据提供程序 | 添加一个或多个授权颁发设备证书的凭据提供程序。凭据提供程序控制证书格式以及续订或吊销证书的条件。 |
| PKI 实体 | 管理公钥基础结构实体(通用、Microsoft Certificate Services 或任意 CA)。 |
| 测试 PKI 连接 | 使用设置 > PKI 实体页面上的测试连接按钮可确保服务器可访问。 |
| 客户端属性 | 管理用户设备上的各种属性,例如通行码类型、长度或过期日期。 |
| 客户端支持 | 设置用户联系支持服务的方式(电子邮件、电话或支持票证电子邮件)。 |
| 客户端外观方案 | 为 XenMobile Store 创建自定义的应用商店名称和默认应用商店视图。添加在 XenMobile Store 或 Secure Hub 中显示的自定义徽标。 |
| 运营商 SMS 网关 | 设置运营商 SMS 网关以配置 XenMobile 通过运营商 SMS 网关发送的通知。 |
| 通知服务器 | 设置用于向用户发送电子邮件的 SMTP 网关服务器。 |
| ActiveSync Gateway | 通过规则和属性,管理用户对用户和设备的访问权限。 |
| Apple 部署计划 | 在 XenMobile 中添加一个 Apple 部署计划帐户。 |
| Apple Configurator 设备注册 | 在 XenMobile 中配置 Apple Configurator 设置。 |
| iOS/批量购买设置 | 添加 Apple 批量购买帐户。 |
| 移动服务提供商 | 使用移动服务提供商界面查询 BlackBerry 及其他 Exchange ActiveSync 设备并发布操作。 |
| Citrix Gateway | 适用于本地 XenMobile Server。添加 Citrix Gateway。选择是否启用身份验证以及是否推送用户证书以进行身份验证。选择凭据提供程序。 |
| 网络访问控制 | 设置确定设备不兼容并因此拒绝访问网络的条件。 |
| Samsung Knox | 启用或禁用 XenMobile 查询 Samsung Knox 认证服务器 REST API。 |
| 服务器属性 | 添加或修改服务器属性。需要在所有节点上重新启动 XenMobile。 |
| Syslog | 适用于本地 XenMobile Server。使用服务器主机名或 IP 地址将日志文件发送到系统日志 (syslog) 服务器。 |
| XenApp 和 XenDesktop | 允许用户通过 Secure Hub 添加 Virtual Apps and Desktops。 |
| Citrix Files | 将 XenMobile 与 Enterprise 帐户结合使用时:配置用于连接到 ShareFile 帐户和管理员服务帐户以管理用户帐户的设置。需要使用现有 Citrix Files 域和管理员凭据。在 XenMobile 中使用存储区域连接器时:将 XenMobile 配置为指向在存储区域连接器中定义的网络共享和 SharePoint 位置。 |
| 体验改善计划 | 适用于本地 XenMobile Server。选择是否参与向 Citrix 发送匿名统计数据和使用信息。 |
| Microsoft Azure | 适用于本地 XenMobile Server。将 XenMobile 与 Microsoft Azure 相集成。 |
| Android Enterprise | 配置 Android Enterprise 服务器设置。 |
| 身份提供商 (IdP) | 配置身份提供程序。 |
| XenMobile Tools | 访问“XenMobile Tools”页面。 |
| SNMP 配置 | 为 XenMobile Server 节点启用 SNMP。编辑或添加监视用户、设置显示陷阱通知的 SNMP 管理器以及配置陷阱时间间隔和阈值。 |
支持
管理员可以执行各种支持任务。
| Citrix Gateway 连接检查 | 通过 IP 地址执行 Citrix Gateway 的各种连接检查。需要用户名和密码。 |
| XenMobile 连接检查 | 为选定的 XenMobile 功能(如数据库、DNS 或 Google Plan)执行连接检查。 |
| 创建支持包 | 适用于本地 XenMobile Server。创建一个文件,以发送给 Citrix 支持用于进行故障排除。该文件中包含系统信息、日志、数据库信息、内核信息、跟踪文件以及 XenMobile 或 Citrix Gateway 的最新配置信息。 |
| Citrix 产品文档 | 访问公共 Citrix XenMobile 文档站点。 |
| Citrix 知识中心 | 访问 Citrix 支持站点以搜索知识库文章。 |
| 日志 | 访问并分析用于调试、管理员审核和用户审核的日志文件详细信息。 |
| 群集信息 | 适用于本地 XenMobile Server。访问群集环境中关于每个节点的信息。 |
| 垃圾回收 | 适用于本地 XenMobile Server。访问不再使用的内存对象的信息。 |
| Java 内存属性 | 适用于本地 XenMobile Server。访问 Java 内存使用情况、内存详细信息和内存池详细信息的快照。 |
| 宏 | 在配置文件、策略、通知或注册模板的文本字段内填充用户或设备属性数据。配置一个策略并将其部署到较大的用户群,并为每个目标用户显示特定于用户的值。 |
| PKI 配置 | 导入和导出 PKI 配置信息。 |
| APNS 签名实用程序 | 提交 Apple 推送网络签名 (Apple Push Network signing, APNs) 证书请求,或上载适用于 iOS 的 Secure Mail APNs 证书。 |
| Citrix Insight Services | 将日志上载到 Citrix Insight Services (CIS),以帮助解决各种问题。 |
| 发送到适用于 Exchange ActiveSync 的 Citrix Gateway 连接器的设备状态 | 根据设备 ActiveSync ID 向 XenMobile 查询发送到适用于 Exchange ActiveSync 的 Citrix Gateway 连接器的设备状态。 |
| 匿名和取消匿名 | 适用于本地 XenMobile Server。在 XenMobile 中创建支持包时,默认情况下会将敏感用户、服务器和网络数据设为匿名。可以在高级下的支持 > 匿名和取消匿名中更改此行为。 |
| 日志设置 | 自定义日志级别或添加自定义调试器。 |
限制组访问
管理员用户可以应用所有用户组的权限。
支持角色
具有支持角色的用户可以访问远程支持。默认情况下,其权限适用于所有用户,并且他们无法编辑此设置。
用户角色
具有用户角色的用户具有 XenMobile 的以下有限访问权限。
授权访问
| 自助服务门户 | 用户在 XenMobile 中仅具有自助服务门户的访问权限。 |
控制台功能
用户具有 XenMobile 控制台的以下有限访问权限。
设备
| 完全擦除设备 | 擦除设备上的所有数据和应用程序,包括内存卡(如果设备具有内存卡)。 |
| 选择性擦除设备 | 擦除设备上的所有公司数据和应用程序,保留个人数据和应用程序。 |
| 查看位置 | 查看设备的位置以及在设备上设置地理区域限制。包括:定位设备、查看设备的位置、跟踪设备、跟踪设备位置随时间的变化 |
| 锁定设备 | 远程锁定设备,使其无法使用。 |
| 解锁设备 | 远程解锁设备,使其可以使用。 |
| 锁定容器 | 远程锁定设备上的企业容器。 |
| 解锁容器 | 远程解锁设备上的企业容器。 |
| 重置容器密码 | 重置企业容器密码。 |
| 启用 ASM DEP/绕过激活锁 | 启用激活锁时,在受监督的 iOS 设备上存储绕过码。如果需要擦除该设备,请使用此代码自动清除激活锁。 |
| 使设备响铃 | 远程使 Windows 设备以最高音量响铃 5 分钟。 |
| 重新启动设备 | 重新启动 Windows 设备。 |
| 查看软件清单 | 查看设备上安装的软件。 |
注册
| 添加/删除注册 | 添加或删除向一个或一组用户发送的注册邀请。 |
| 通知用户 | 向一个或一组用户发送注册邀请。 |
限制组访问
对于所有四种默认角色,此权限在默认情况下设置,并且可应用于所有用户组。您无法编辑此角色。
使用 RBAC 配置角色
通过 XenMobile 中基于角色的访问控制 (RBAC) 功能,可以向用户和组分配预定义的角色(或称权限集)。这些权限控制用户对系统功能的访问级别。
XenMobile 实现四种默认用户角色,用于在逻辑上区分系统功能的访问权限:
- 管理员: 授予完整系统访问权限。
- 支持: 授予访问远程支持的权限。
- 用户: 供可以注册设备和访问自助服务门户的用户使用。
还可以将默认角色用作自定义的用于创建用户角色的模板。可以分配角色权限,以访问默认角色定义的功能以外的特定系统功能。
角色可以分配给本地用户(在用户级别)或 Active Directory 组(此组中的所有用户具有相同的权限)。如果用户属于多个 Active Directory 组,则所有权限合并起来,以定义该用户的权限。例如,假设 ADGroupA 用户可以定位经理的设备,而 ADGroupB 用户可以擦除员工的设备。在这种情况下,属于两个组的用户可以找到并擦除经理和员工的设备。
注意:
只能为本地用户分配一个角色。
可以使用 XenMobile 中的 RBAC 功能执行以下操作:
- 创建角色。
- 将组添加到角色。
- 向本地用户分配角色。
-
在 XenMobile 控制台中,转到设置 > 基于角色的访问控制。此时将显示基于角色的访问控制页面,其中显示了四种默认用户角色以及您之前添加的所有角色。
如果单击某个角色旁边的加号 (+),角色将展开以显示此角色的所有权限,如下图所示。
-
单击添加添加一个新用户角色。要编辑该角色,请单击现有角色右侧的笔图标。要删除角色,请单击角色右侧的垃圾桶图标。无法删除默认用户角色。
- 单击添加或铅笔图标时,将显示添加角色或编辑角色页面。
- 单击垃圾桶图标时,将显示一个确认对话框。单击删除可删除选定的角色。
-
输入以下信息以创建或编辑用户角色:
- RBAC 名称: 输入新用户角色的描述性名称。无法更改现有角色的名称。
- RBAC 模板: (可选)单击某个模板以将其作为新角色的起点。如果正在编辑现有角色,则无法选择模板。
RBAC 模板是默认用户角色。它们定义与此角色关联的用户对系统功能的访问权限。选择某个 RBAC 模板后,可以在授权访问和控制台功能字段看到与该角色关联的所有权限。可以选择使用模板。可以直接在授权访问和控制台功能字段中选择要分配给角色的选项。
-
单击选定的 RBAC 模板字段旁边的应用以使用预定义的访问权限和功能权限填充授权访问和控制台功能。
-
选中或取消选中授权访问和控制台功能复选框可自定义角色。
如果单击某项控制台功能旁边的三角形,将显示特定于此功能的权限,您可以选中或取消选中相应的权限。单击顶层复选框禁止访问该控制台区域的权限。选择顶层下方的单个选项可启用这些选项。例如,在下图中,不会为分配给角色的用户显示完全擦除设备和清除限制选项。确实会出现选中的选项。
-
应用程序权限: 选择一个或多个用户组,以限制管理员可以管理的组。如果单击至特定用户组,将显示组列表,您可以从中选择一个或多个组。
例如,如果 RBAC 管理员具有对 ActiveDirectory 和 MSP 用户组的权限:
- 管理员只能访问 ActiveDirectory 组、MSP 组或这两个组中的用户的信息。
- 管理员无法查看任何其他本地或 AD 用户。管理员可以查看属于这些组的子组成员的用户。
- 管理员可以发送邀请至:
- 权限组及其子组
- 属于权限组及其子组的成员的用户
-
单击下一步。此时将显示分配页面。
-
输入下列信息,以将角色分配给用户组。
- 选择域: 在下拉列表中,单击某个域。
- 包括用户组: 单击“搜索”以查看所有可用组的列表,或键入完整或部分组名称以将列表限制为仅显示具有该名称的组。
- 在显示的列表中,选择要向其分配角色的用户组。选择某个用户组后,此组将显示在选定用户组列表中。
注意:
要从选定用户组列表中删除用户组,请单击用户组名称旁边的 X。
-
单击保存。