通过RBAC配置角色
端点管理中的基于角色的访问控制(RBAC)特性允许您为用户和组分配角色。角色是权限的集合,用于控制用户对系统功能的访问级别。
端点管理附带以下默认用户角色。您可以使用默认角色作为自定义模板来创建自己的用户角色。
- 管理员:授予完全系统访问权。
- 用户:允许用户注册设备并访问自助Portal。
你可以使用端点管理中的RBAC特性:
- 创建和编辑用户角色。
- 为本地用户组和AD (Active Directory)组分配角色。
- 通过在Citrix Cloud中为管理员分配角色身份和访问管理>管理员.看到为Citrix Cloud管理员添加角色.
使用RBAC特性
您可以为本地用户、云管理员(Citrix cloud)、本地用户组和Active Directory组分配角色。
- 本地用户:分配角色给本地用户使用管理>用户.说明本地用户只能分配一个角色。如需更改角色,可手动编辑用户帐号。或者,您可以为本地用户创建一个组,并为该组分配一个角色。
- 云管理员:云管理员是Citrix cloud在向您的Citrix cloud客户帐户添加管理员时创建的特殊用户帐户。云管理员帐号与Citrix cloud上的管理员帐号具有相同的用户名。在Endpoint Management控制台中创建RBAC角色,并通过它为这些用户分配角色身份和访问管理>管理员在Citrix云。
- 活动目录组:Active Directory组中的所有用户具有相同的权限。如果一个用户属于多个Active Directory组,则所有权限将合并以定义该用户的权限。例如,假设ADGroupA用户可以定位经理设备,ADGroupB用户可以擦除员工设备。同时属于这两个组的用户可以定位和清除经理和员工的设备。如果用户属于权限冲突的组,则以允许的权限为准。
有关更多信息,请参见对用户帐户.
创建或编辑角色
在端点管理控制台中,要访问设置页,点击右上角的齿轮图标。
点击基于角色的访问控制.的基于角色的访问控制页面显示默认的用户角色和您添加的任何角色。
单击角色旁边的加号(+)可以查看该角色的所有权限。
单击,新增角色添加.如果要编辑角色,请单击已存在角色右侧的钢笔。
注意:
单击已定义角色右侧的垃圾桶,可以删除角色。默认用户角色不能删除。
在添加角色页面中,输入以下信息:
- RBAC的名字:为新用户角色输入描述性名称。不能更改现有角色的名称。
- RBAC模板:可以选择一个模板作为新角色的起点。(编辑角色时,不能选择或更改模板。)RBAC模板是默认的用户角色,用于定义对系统功能的访问。
单击应用按钮填充授权访问而且控制台的功能复选框。端点管理用所选模板的预定义访问和特性权限填充这些字段。
若要自定义角色,请选择或清除中的复选框授权访问而且控制台的功能.
单击控制台特性旁边的三角形,显示并选择该特性的特定权限。单击顶级复选框并不会选择各个权限。在扩展顶级权限之后选择各个选项。
使用权限:点击针对特定用户组将权限应用到所选的组。
例如,RBAC管理员具有ActiveDirectory用户组权限:
- 管理员只能访问ActiveDirectory组内用户的信息。
- 管理员无法查看到其他本地用户和AD用户。管理员可以查看属于这两个组中的任意一个子组的成员的用户。
管理员可以向以下用户发送邀请:
- 权限组及其子组
- 属于权限组及其子组的用户
点击下一个输入以下信息,将角色分配给用户组。
- 选择域:从列表中选择一个域。
- 搜索用户组:点击搜索查看所有可用组的列表。键入完整或部分组名以缩小搜索范围。
- 包括用户组:在出现的列表中,选择要分配角色的用户组。
点击保存.
为Citrix Cloud管理员添加角色
与其通过端点管理控制台将RBAC角色分配给Citrix云管理员,不如从Citrix云控制台分配角色。
- 在Citrix云控制台中,导航到身份和访问管理>管理员.
选择身份提供程序,然后输入电子邮件地址以添加管理员。点击邀请.
单击...在现有管理员行末尾编辑这些权限。
点击自定义访问.在为管理员分配权限时,可以选择在Endpoint Management控制台中创建的RBAC角色。
- 点击发送邀请向新管理员发送邀请或单击保存完成管理员的编辑。
预定义的角色
每个预定义的RBAC角色都具有一定的相关访问权限和特性权限。下面的表描述了Admin角色和User角色的每个权限。预定义角色不能被删除或编辑。
有关每个内置角色的默认权限的完整列表,请下载基于角色访问控制默认值
有关端点管理用户帐户的信息,请参见对用户帐户.
重要的是:
在Settings权限下,RBAC权限为Admin用户提供完全访问权限,包括分配自己权限的能力。仅将此访问权限授予那些希望能够操作端点管理系统中的所有内容的用户。
管理角色
预定义的Admin角色在端点管理中提供特定的访问。默认情况下,授权访问(自助门户除外),控制台的功能,申请权限启用。
对于拥有Admin角色的本地用户,可以通过以下方式修改其角色管理>用户.对于具有“Admin”角色的云用户,可以通过Citrix cloud控制台进行修改。默认情况下,“Admin”角色的云用户和本地用户具有“完全访问权限”。
管理员授权访问
| 管理控制台访问 | 管理员可以访问Endpoint Management控制台上的所有特性。 |
| 自助门户访问 | 默认情况下,管理员无法访问自助Portal。(用户用户角色只能访问自助portal。) |
| 远程支持访问 | 管理员可以访问Remote Support特性。 |
| 公共API访问 | 管理员可以访问公共API,以编程方式执行端点管理控制台上可用的操作。操作包括管理证书、应用程序、设备、交付组和本地用户。 |
为管理员提供控制台功能
管理员可以无限制地访问端点管理控制台。
| 指示板 | 的指示板是管理员登录到Endpoint Management控制台后看到的第一个页面。的指示板显示通知和设备的基本信息。 |
| 报告 | 的分析报告>Page提供预定义的报告,让您分析您的应用程序和设备部署。 |
| 设备 | 的管理>设备页面是您管理用户设备的地方。您可以通过页面添加单个设备,也可以通过导入设备发放文件实现一次添加多个设备的功能。 |
| 本地用户和组 | 的管理>用户页面,您可以添加、编辑或删除本地用户和本地用户组。 |
| 招生 | 的管理>注册邀请页面是您管理如何邀请用户在Endpoint Management中注册他们的设备的地方。 |
| 政策 | 的配置>设备策略页面是设备策略管理页面,可以对VPN、网络等设备策略进行管理。 |
| 应用程序 | 的配置>应用程序页面是您管理各种应用程序,用户可以安装在他们的设备。 |
| 媒体 | 的配置>媒体页面是您管理用户可以安装在其设备上的各种媒体的地方。 |
| 行动 | 的配置>动作页面是您管理触发事件响应的地方。 |
| 交付组 | 的配置>下发组页面是您管理交付组以及与之关联的资源的地方。 |
| 登记档案 | 的配置>注册配置文件页面是指定用户如何注册他们的设备的地方。 |
| Alexa的业务 | 的设置页面是您管理您的Alexa的商业档案。 |
| 设置 | 的设置页面是管理系统设置的地方,例如客户端和服务器属性、证书和凭据提供程序。重要的是:这些设置包括RBAC权限。RBAC权限为管理员提供了完全的访问权限,包括分配自己权限的能力。仅将此访问权限授予那些希望能够操作端点管理系统中的所有内容的用户。 |
| 支持 | 的故障诊断和支持页面是您执行故障排除活动的地方,例如运行诊断和生成日志。 |
对管理员的设备限制
管理员通过设置设备限制、设置并向设备发送通知、管理设备上的应用程序等方式,在控制台中访问设备特性。
| 全部擦拭设备 | 清除设备上的所有数据和应用程序,包括如果设备有存储卡的话。 |
| 明确的限制 | 删除一个或多个设备限制。 |
| 选择性擦拭设备 | 删除设备上的所有企业数据和应用程序,保留个人数据和应用程序。 |
| 视图的位置 | 查看设备的位置并设置设备的地理限制。包括:定位装置,跟踪装置。 |
| 锁定装置 | 远程锁定设备,使用户无法使用该设备。 |
| 打开设备 | 远程解锁设备,用户可以使用该设备。 |
| 锁的容器 | 远程锁定设备上的企业容器。 |
| 打开容器 | 远程解锁设备上的企业容器。 |
| 容器重置密码 | 重置企业容器密码。 |
| 启用ASM/Bypass激活锁 | 激活锁启用时,在受监督的iOS设备上存储旁路代码。若要清除设备,请使用此代码自动清除激活锁。 |
| 让居民用户 | 列出当前设备上有活动账号的用户。此操作强制设备和Endpoint Management控制台之间进行同步。 |
| 注销居民用户 | 强制当前用户注销。 |
| 删除居民用户 | 删除指定用户的当前会话。用户可以再次登录。 |
| 环设备 | 以最大音量远程摇响Windows设备5分钟。 |
| 重新启动设备 | 从Endpoint Management控制台重新启动Windows设备。 |
| 部署到设备 | 发送应用程序、通知、限制和其他资源到设备。 |
| 编辑设备 | 修改设备上的设置。 |
| 通知设备 | 向设备发送通知。 |
| 添加/删除设备 | 从端点管理中添加或删除设备。 |
| 设备进口 | 将一组设备从文件导入Endpoint Management。 |
| 出口设备表 | 在“设备”页面收集设备信息并导出为“。csv”文件。 |
| 撤销设备 | 禁止设备连接到端点管理。 |
| 应用锁 | 拒绝访问设备上的所有应用程序。在Android上,这个限制阻止用户登录到Endpoint Management。在iOS系统上,用户可以登录,但不能访问应用程序。 |
| 应用程序删除 | 在Android上,这个限制会删除用户的Endpoint Management帐户。在iOS上,该限制删除了用户访问端点管理特性所需的加密密钥。 |
| 查看软件目录 | 查看设备上安装了什么软件。 |
| 请求AirPlay镜像 | 请求启动AirPlay流媒体。 |
| 停止播送镜像 | 停止播送流。 |
| 启用了模式 | 在管理>设备页面中,您可以将监督设备置于丢失模式,以在锁定屏幕上阻止监督设备。当设备丢失或被盗时,你可以找到它。 |
| 禁用了模式 | 在管理>设备页,您可以禁用丢失模式设置为丢失模式的设备。 |
| 操作系统更新设备 | 您可以部署操作系统将设备策略更新到设备。 |
| 关闭设备 | 在Endpoint Management控制台关闭iOS设备。 |
| 重启设备 | 从Endpoint Management控制台重新启动iOS设备。 |
| 更新设备登记证书 | 更新设备CA证书。 |
本地用户和组
管理员管理本地用户和本地用户组管理>用户页面。
| 添加本地用户 |
| 删除本地用户 |
| 编辑本地用户 |
| 导入本地用户 |
| 出口本地用户 |
| 本地用户组 |
| 获取本地用户锁定ID |
| 删除本地用户锁定 |
招生
管理员可以添加和删除注册邀请,向用户发送通知,并将注册表导出为.csv文件。
| 添加/删除注册 | 向用户或用户组添加或删除注册邀请。 |
| 通知用户 | 向用户或用户组发送注册邀请。 |
| 出口登记邀请表 | 在“enrollment”页面收集注册信息并导出为“。csv”文件。 |
政策
| 添加/删除策略 | 添加/移除设备或应用策略。 |
| 编辑政策 | 修改设备或应用策略。 |
| 上传的政策 | 上传设备或应用策略。 |
| 克隆策略 | 复制设备或应用策略。 |
| 禁用政策 | 禁用已存在的应用策略。 |
| 出口政策 | 在“设备策略”页面收集设备策略信息并导出为“。csv”文件。 |
| 分配政策 | 将设备策略分配给一个或多个下发组。 |
应用程序
管理员管理应用程序配置>应用程序页面。
| 添加/删除应用商店、企业应用 | 添加或删除公共应用商店应用程序或企业应用程序(不启用mdx)。 |
| 编辑应用商店或企业应用 | 更改一个公共应用商店的应用程序或一个企业应用程序(不启用mdx)。 |
| 添加/删除MDX、Web、SaaS应用 | 添加或删除一个启用mdx的应用程序,一个应用程序从您的内部网络(Web应用程序),或一个应用程序从公共网络(SaaS)到端点管理。 |
| 编辑MDX、Web和SaaS应用程序 | 将一个启用mdx的应用程序、一个来自内部网络的应用程序(Web应用程序)或一个来自公共网络的应用程序(SaaS)更改为端点管理。 |
| 添加/删除类别 | 添加或删除一个类别,应用程序可以出现在应用程序商店。 |
| 分配公共/企业应用到交付组 | 将一个公共应用商店应用程序或一个启用mdx的应用程序分配到一个交付组进行部署。 |
| 将MDX/WebLink/SaaS应用分配给交付组 | 给配送组分配一个应用程序,该应用程序支持mdx,不需要单点登录(WebLink),或者来自公共网络(SaaS)。 |
| 导出应用程序表 | 在app页面收集app相关信息并导出为csv文件。 |
媒体
从公共应用程序商店或批量购买许可证管理媒体。
| 添加/删除应用商店或企业图书 |
| 将公共/企业图书分配给配送组 |
| 编辑应用商店或企业图书 |
行动
| 添加/删除操作 | 添加或删除触发器和关联响应定义的操作。触发器是一个事件,设备或用户属性,或已安装的应用程序名称。 |
| 编辑操作 | 更改触发器和关联响应定义的操作。触发器是一个事件,设备或用户属性,或已安装的应用程序名称。 |
| 为交付组分配动作 | 为部署到用户设备的交付组分配一个操作。 |
| 出口操作 | 从“Actions”页面收集操作信息并导出为“。csv”文件。 |
交付组
管理员管理下发组配置>下发组页面。
| 添加/删除组交付 | 创建或删除交付组,用于添加指定用户、可选策略、应用程序和操作。 |
| 编辑交付组 | 修改已存在的交付组,可以修改用户、可选策略、应用和操作。 |
| 部署交付组 | 使交付组可用。 |
| 出口交付组 | 在“交付组”页面收集交付组信息,导出为“。csv”文件。 |
登记档案
管理登记资料。
| 添加/删除登记资料 |
| 编辑招生简介 |
| 向交付组分配注册概要文件 |
Alexa的业务
管理Alexa的商业配置文件。
| 添加/删除/编辑房间 |
| 添加/删除/编辑房间配置文件 |
| 添加/删除/编辑技能组 |
设置为管理员
上配置各种设置设置页面。
| RBAC | RBAC的任务。重要的是:这个权限赋予管理员完全的访问权限,包括分配他们自己的权限的能力。仅将此访问权限授予那些希望能够操作端点管理系统中的所有内容的用户。 |
| LDAP | 管理一个或多个ldap兼容的目录(如Active Directory),以导入组、用户帐户和相关属性。 |
| 招生 | 为用户和自助Portal启用注册安全模式。 |
| 发布管理 | 查看当前安装的版本。包括:发布管理更新 |
| 证书 | 编辑导引和证书 |
| 通知模板 | 创建用于自动操作、注册和向用户传递标准通知消息的通知模板。 |
| 工作流 | 管理应用配置中使用的用户帐户的创建、批准和删除。 |
| 证书提供商 | 添加一个或多个授权颁发设备证书的凭据提供者。证书提供者控制证书格式以及更新或撤销证书的条件。 |
| PKI实体 | 管理公共密钥基础设施实体(通用、微软证书服务或可自由支配的CA)。 |
| 测试PKI连接 | 使用测试连接按钮设置> PKI实体页以确保服务器是可访问的。 |
| 客户属性 | 管理用户设备上的各种属性,如密码类型、强度和过期时间。 |
| 客户端支持 | 设置用户联系支持服务的方式(电子邮件、电话或支持票电子邮件)。 |
| 客户的品牌 | 为应用商店创建一个自定义的商店名称和默认的商店视图。添加出现在应用程序商店或安全中心的自定义标志。 |
| 运营商短信网关 | 设置运营商短消息网关,配置端点管理通过运营商短消息网关发送的通知。 |
| 通知服务器 | 设置SMTP网关服务器,向用户发送邮件。 |
| ActiveSync网关 | 通过规则和属性管理用户对用户和设备的访问。 |
| 谷歌浏览器 | 配置端点管理以与您的谷歌工作区帐户通信。 |
| 苹果的部署计划 | 在端点管理中添加一个苹果部署程序帐户。 |
| Apple Configurator Device Enrollment | 在Endpoint Management控制台中配置Apple Configurator设置。 |
| iOS /卷采购设置 | 添加苹果批量购买账户。 |
| NetScaler网关 | 在端点管理中配置NetScaler网关(现在更名为Citrix网关)设置。 |
| 网络访问控制 | 设置判定设备不兼容的条件,使其无法访问网络。 |
| 三星诺克斯 | 启用或禁用端点管理查询三星Knox认证服务器REST api。 |
| 服务器属性 | 添加或修改服务器属性。需要在所有节点上重新启动端点管理。 |
| 虚拟应用和桌面 | 允许用户通过Citrix Workspace添加Citrix虚拟应用和桌面。 |
| Citrix文件 | 当使用端点管理与企业帐户:配置设置连接到内容协作和管理员服务帐户,以进行用户帐户管理。需要已有的Citrix Files域和管理员凭证。使用存储区域连接器使用端点管理时:将端点管理配置为指向存储区域连接器中定义的网络共享和SharePoint位置。 |
| Android的企业 | 配置Android Enterprise服务器设置。 |
| 身份提供商(IdP) | 配置身份提供程序。 |
| 微软商业商店 | 在Endpoint Management控制台中配置Microsoft Store for Business设置。 |
| 端点管理工具 | 访问端点管理工具页面。 |
| Windows批量注册 | 配置Windows批量注册设置。 |
支持
管理员可以执行各种支持任务。
| NetScaler网关连通性检查 | 执行各种连接检查NetScaler网关的IP地址。需要用户名和密码。 |
| 端点管理连接性检查 | 对选定的端点管理特性(如数据库、DNS和谷歌Plan)进行连接检查。 |
| Citrix产品文档 | 访问公共Citrix端点管理文档站点。 |
| Citrix知识中心 | 访问Citrix Support站点以搜索知识库文章。 |
| 日志 | 查看和下载日志文件。 |
| 宏 | 在配置文件、策略、通知或注册模板的文本字段中填充用户或设备属性数据。配置单个策略,将策略部署到大型用户群,并为每个目标用户显示特定于用户的值。 |
| PKI的配置 | 导入导出PKI配置信息。 |
| apn签署效用 | 请提交Apple Push Network signing (APNs)证书请求,或上传适用于iOS的安全邮件APNs证书。 |
| Citrix洞察服务 | 上传日志到Citrix Insight Services (CIS),以帮助解决各种问题。 |
| 设备Citrix网关连接器用于Exchange ActiveSync状态 | 查询端点管理以获取发送到连接器的用于Exchange ActiveSync的设备的状态。根据设备的ActiveSync ID查询。 |
限制组访问
管理员用户可以对所有用户组应用权限。
用于设备配置的控制台功能
设备供应用户对端点管理控制台具有以下受限访问权限。默认情况下,以下每个特性都是启用的。
设备的限制
| 编辑设备 | 修改设备上的设置。 |
| 添加/删除设备 | 从端点管理中添加或删除设备。 |
设备发放设置
设备发放用户可以访问设置页,但没有配置特性的权限。
用户角色
具有User角色的用户对端点管理有以下有限的访问权限。
用户授权访问
| 自助门户 | 在“终端管理”中,用户只能访问自助Portal。 |
为用户提供控制台功能
用户对端点管理控制台具有以下受限访问权限。
设备限制用户访问
| 全部擦拭设备 | 清除设备上的所有数据和应用程序,包括如果设备有存储卡的话。 |
| 选择性擦拭设备 | 删除设备上的所有企业数据和应用程序,保留个人数据和应用程序。 |
| 视图的位置 | 查看设备的位置并设置设备的地理限制。包括:定位设备,查看设备的位置,跟踪设备,跟踪设备位置的时间 |
| 锁定装置 | 远程锁定设备,使设备无法使用。 |
| 打开设备 | 远程解锁设备,使其可以使用。 |
| 锁的容器 | 远程锁定设备上的企业容器。 |
| 打开容器 | 远程解锁设备上的企业容器。 |
| 容器重置密码 | 重置企业容器密码。 |
| 启用ASM/Bypass激活锁 | 激活锁启用时,在受监督的iOS设备上存储旁路代码。若要清除设备,请使用此代码自动清除激活锁。 |
| 让居民用户 | 列出当前设备上有活动账号的用户。此操作强制设备和Endpoint Management控制台之间进行同步。 |
| 注销居民用户 | 强制当前用户注销。 |
| 删除居民用户 | 删除指定用户的当前会话。用户可以再次登录。 |
| 环设备 | 以最大音量远程摇响Windows设备5分钟。 |
| 重新启动设备 | 重启Windows设备。 |
| 应用锁 | 拒绝访问设备上的所有应用程序。在Android上,用户无法登录到Endpoint Management。在iOS系统上,用户可以登录,但不能访问应用程序。 |
| 应用程序删除 | 在Android上,这个限制会删除用户的Endpoint Management帐户。在iOS上,该限制删除了用户访问端点管理特性所需的加密密钥。 |
| 查看软件目录 | 查看设备上安装了什么软件。 |
用户注册限制
| 添加/删除注册 | 向用户或用户组添加或删除注册邀请。 |
| 通知用户 | 向用户或用户组发送注册邀请。 |
限制所有角色的组访问权限
对于默认角色,默认设置该权限,可应用于所有用户组。您不能编辑角色。
通过RBAC配置角色
复制!
失败了!