本說明文件主題說明當您想要讓人員登入 Horizon Universal Console並在 Horizon Cloud 環境中工作時,必須為其提供兩個角色類型的最佳做法。其中一個類型的角色可用來啟用或停用 Horizon Universal Console使用者介面本身的不同部分。另一個類型的角色可用來判斷具有該指派角色的人員可叫用的動作。您必須確保您為特定個人所提供兩個角色的使用者組合,可反映您針對該特定個人想要的結果。

重要: 由於其中一個類型的角色會控制使用者可在主控台中看到的內容,而另一個類型的角色會控制動作的叫用,因此您必須確保特定個人所擁有兩個角色的整體組合可反映您針對該特定個人想要的結果。以下幾節說明最佳做法組合。如果您未遵循這些最佳做法,可能會發生衝突的情況。例如,如果指派的角色不符合此處所述的準則,則個人可能會登入主控台且無法執行您想要他們執行的動作,或者個人可能會登入且可以執行您不想要讓他們執行的動作。因此,請務必確保在 一般設定頁面的 My VMware 帳戶區域中,讓個人的角色與在 角色及權限頁面中指派給該個人 Active Directory 群組的角色一致。

以下幾節說明兩個類型的角色,以及根據一般組織中的標準案例,所要使用的最佳做法組合。

記住:雲端式 Horizon Universal Console 導覽中所述,第一代主控台是動態的,且可反映適用於第一代租用戶環境的最新組態的功能。對本說明文件中所述功能的存取權可能取決於多個因素,包括但不限於:
  • 功能是否取決於僅在最新第一代 Horizon Cloud Pod 資訊清單、Horizon 網繭版本或 Horizon Cloud Connector 版本中可用的系統程式碼。
  • 是否存取處於「限制可用性」的功能,如功能首次推出時的版本說明中所述。
  • 功能是否需要特定授權或 SKU。

當您在本說明文件中提及某項功能,但未在第一代主控台中看見該功能時,先檢查版本說明以瞭解該功能的存取是否受到限制,以及您可以在租用戶中要求啟用的方式。或者,如果您認為有權使用本說明文件中所述的功能,但您未在主控台中看見該功能,您可以詢問您的 VMware Horizon Cloud Service 代表,或如果您沒有代表,則可以向 Horizon Cloud Service 團隊提出服務要求 (SR),如如何在 Customer Connect 中提出支援要求 (VMware KB 2006985) 中所述。

可針對 Active Directory 群組中具有該受指派角色的人員,啟用或停用主控台使用者介面不同部分的角色

這些角色會在系統中預先定義,並與您的 Active Directory 群組相關。當個人向 Horizon Cloud 環境進行驗證時,主控台會偵測該個人帳戶所在的 Active Directory (AD) 群組。主控台也會識別在主控台的 [角色及權限] 頁面上,將其中哪些角色指派給該 AD 群組。然後,隨著人員導覽主控台的使用者介面頁面、索引標籤和視窗,這些項目會根據個人的 AD 群組的受指派角色顯示為已啟用或已停用。

重要: 這些角色只能指派給群組,而無法指派給個別 AD 使用者帳戶,這也意味著您必須避免將這兩個角色指派給相同的 AD 網域群組。如果您將這兩個角色提供給相同的 AD 群組,且來自該群組中的個人登入,則在主控台發現這兩個角色皆獲指派該人員的群組之後,當他們導覽使用者介面頁面時,他們可能會看到停用的項目,因為這兩個角色中的一個角色會防止其存取這些項目。

您可以在 AD 群組層級上套用每個這些角色。由於這些角色是在群組層級 (而非個別層級) 上套用,因此相同 AD 群組中的所有使用者都將取得您使用主控台的 [角色及權限] 頁面指派給該 Active Directory 群組的角色。在 AD 環境中,您可以控制哪些個人位於您的 AD 群組。因此,當您將 AD 環境中的個人,從一個 AD 群組移至另一個時,您必須確定這些個人所移至的群組,所具有的其中一角色持續與其另一個獲指派的角色 (即指派給其 My VMware 帳戶的角色) 一致。當您將個人從某個 AD 群組移至另一個時,您必須確認另一個類型的角色 (即指派給該個人 My VMware 帳戶的角色),是否需要進行調整,才能與來自此角色類型而指派給個人之新 AD 群組的角色維持一致。

這些角色中的其中一個範例為Help Desk Read Only Administrator角色。在 [角色及權限] 頁面上將該角色指派給 AD 群組時,主控台可讓該群組中的個人導覽至使用者的使用者卡片以及檢視資訊,但無法在桌面上執行作業。

決定可由已將該角色指派給其 My VMware 帳戶的人員叫用何種動作的角色

與另一個角色類型一樣,這些角色是在系統中預先定義的。這些角色與 [一般設定] 頁面的 My VMware 帳戶區域中所設定的 My VMware 帳戶相關。當個人向 Horizon Cloud 環境進行驗證時,主控台會偵測指派給用來驗證已登入工作階段之 My VMware 帳戶的角色為何。然後,當人員嘗試在主控台中叫用動作時,系統會允許 API 呼叫通過或防止 API 呼叫,取決於在 [一般設定] 頁面中指派給該已登入人員 My VMware 帳戶的角色。

因此,在對主控台進行初始驗證之後,此受指派角色通常會與另一個類型的受指派角色一併運作:

  1. 人員可以導覽主控台的使用者介面頁面、索引標籤和視窗,以及查看使用者介面元素根據個人的 AD 群組的受指派角色顯示為已啟用或已停用。
  2. 當該人員按一下將叫用 API 呼叫以執行動作的按鈕時,如果指派給其 My VMware 帳戶的角色不允許執行該動作,則 API 呼叫將不會通過,且動作將不會完成。
重要: 考慮到在主控台中,此角色會與指派給人員之 AD 群組的角色一併運作 (後者會判斷哪些主控台元素處於作用中狀態,而前者會判斷按一下元素時允許完成哪些動作),您必須確保特定個人所具有兩個角色的整體組合可反映您針對該特定個人想要的結果。否則可能會發生衝突。當您將個人從一個 AD 群組移至另一個時,請確認其 My VMware 帳戶上的角色與其新 AD 群組上的角色一致,並視需要進行調整。以下幾節說明標準最佳做法組合。

五個標準最佳做法角色組合

由於在人員的兩個角色未根據下表維持一致時可能會發生衝突行為,因此建議您根據下表,讓授與您組織中個人的角色維持一致。系統不會防止您將角色指派給相較於指派給該群組中個人 My VMware 帳戶之角色具有更多權限的 AD 群組。如果個人屬於多個 AD 群組,請確保在 [角色及權限] 頁面上指派給這些群組的角色也彼此一致,且與該個人 My VMware 帳戶上的角色一致。

[一般設定] 頁面中人員的 My VMware 帳戶上的角色 [角色及權限] 頁面中人員的 Active Directory 群組上的角色 說明
客戶管理員 超級管理員 可檢視主控台的所有區域,以及在主控台中執行所有動作的完整存取權。
客戶指派管理員 指派管理員 能夠檢視主控台的所有區域,以及執行與修改及管理使用者指派和伺服器陣列相關的動作。
客戶管理員 (唯讀) 示範管理員 能夠檢視主控台的所有區域、檢視設定,以及選取選項以查看其他選項,而無法叫用可變更環境 (例如刪除項目) 的動作。使用此組合的一個範例是允許組織中的人員登入,並向其他人示範系統的功能,同時避免對系統進行變更。
客戶服務台 服務台管理員 檢視主控台的服務台相關區域的存取權,以及執行主控台提供的所有服務台相關動作。此組合的目的是讓人員利用使用者卡片功能來查看使用者工作階段的狀態,以及在工作階段上執行疑難排解作業。
客戶服務台 (唯讀) 服務台唯讀管理員 檢視主控台中服務台相關區域的存取權,以及在使用者卡片中查看使用者工作階段的狀態,同時防止叫用服務台相關動作的能力。

當您想要限制人員,讓其對主控台所有區域擁有主控台的唯讀和檢視存取權時

如果您想要讓個人能夠瀏覽主控台的所有使用者介面頁面以及開啟對話方塊和檢視報告,並同時限制其叫用在您租用戶環境中變更內容的動作,則您必須確保同時符合下列兩個條件:

  • 在 [一般設定] 頁面的 My VMware 帳戶區域中,將Customer Administrator Read-Only角色指派給其 My VMware 帳戶。如果該個人的帳戶在此處列出了不同的角色,您可以將其列從 My VMware 帳戶區段中移除然後再次新增,這次指定Customer Administrator Read-Only角色。
  • 在 [角色及權限] 頁面中,將Demo Administrator角色指派給該個人的 Active Directory 群組。

同時符合這兩個條件時,個人將可登入主控台、導覽至主控台的所有頁面、瀏覽頁面、開啟對話方塊和檢視報告,且會受到限制而無法叫用可變更環境中內容的動作。

備註: 由於 [角色及權限] 頁面可在 AD 群組層級 (而非個人帳戶層級) 運作,因此,您必須確保 AD 群組在其中具有適當的個人帳戶,具體取決於您的組織需求。

當您想要限制人員,讓其對主控台的服務台功能擁有存取權,同時也有能力在使用者卡片中執行動作

如果您想要讓個人能夠登入主控台,並受限於僅能存取服務台相關功能 (而非主控台的所有區域),同時也允許他們執行服務台相關的動作,則您必須確保同時符合下列兩個條件:

  • 在 [一般設定] 頁面的 My VMware 帳戶區域中,將Customer Helpdesk角色指派給其 My VMware 帳戶。如果該個人的帳戶在此處列出了不同的角色,您可以將其列從 My VMware 帳戶區段中移除然後再次新增,這次指定Customer Helpdesk角色。
  • 在 [角色及權限] 頁面中,將Help Desk Administrator角色指派給該個人的 Active Directory 群組。

同時符合這兩個條件時,個人將可登入主控台、查看服務台相關功能,以及執行服務台相關的動作。

備註: 由於 [角色及權限] 頁面可在 AD 群組層級 (而非個人帳戶層級) 運作,因此,您必須確保 AD 群組在其中具有適當的個人帳戶,具體取決於您的組織需求。

當您想要限制人員,讓其對主控台的服務台功能擁有唯讀存取權時

如果您想要讓個人能夠登入主控台,並受限於僅能以唯讀方式存取服務台相關功能,且受到限制而無法執行任何服務台相關的動作,則您必須確保同時符合下列兩個條件:

  • 在 [一般設定] 頁面的 My VMware 帳戶區域中,將Customer Helpdesk Read-Only角色指派給其 My VMware 帳戶。如果該個人的帳戶在此處列出了不同的角色,您可以將其列從 My VMware 帳戶區段中移除然後再次新增,這次指定Customer Helpdesk Read-Only角色。
  • 在 [角色及權限] 頁面中,將Help Desk Read Only Administrator角色指派給該個人的 Active Directory 群組。

同時符合這兩個條件時,個人將可登入主控台,且能以唯讀方式使用服務台相關的功能。

備註: 由於 [角色及權限] 頁面可在 AD 群組層級 (而非個人帳戶層級) 運作,因此,您必須確保 AD 群組在其中具有適當的個人帳戶,具體取決於您的組織需求。

當您想要限制人員,讓其對主控台的指派和伺服器陣列相關功能具備存取權時

如果您想要讓個人擁有主控台的存取權,使其能執行與管理使用者指派和伺服器陣列相關的作業,以及擁有主控台所有其他區域的唯讀存取權,請確定同時符合下列兩個條件:

  • 在 [一般設定] 頁面的 My VMware 帳戶區域中,將Customer Assignment Administrator角色指派給其 My VMware 帳戶。如果該個人的帳戶在此處列出了不同的角色,您可以將其列從 My VMware 帳戶區段中移除然後再次新增,這次指定Customer Assignment Administrator角色。
  • 在 [角色及權限] 頁面中,將Assignment Administrator角色指派給該個人的 Active Directory 群組。

如果同時符合這兩個條件,該個人將能夠登入主控台、導覽至主控台的所有頁面並加以檢視,以及叫用可建立、修改或刪除使用者指派和伺服器陣列的動作。個人還可以執行與管理指派和伺服器陣列相關的作業,例如:虛擬機器組態、電源管理和遠端應用程式組態。

備註: 由於 [角色及權限] 頁面可在 AD 群組層級 (而非個人帳戶層級) 運作,因此,您必須確保 AD 群組在其中具有適當的個人帳戶,具體取決於您的組織需求。

當您想要讓人員對主控台的所有區域和動作擁有主控台的完整存取權時

如果您想要讓個人擁有主控台的完整存取權,以檢視其所有區域,以及叫用可變更租用戶環境中內容的動作,請確保同時符合下列兩個條件:

  • 在 [一般設定] 頁面的 My VMware 帳戶區域中,將Customer Administrator角色指派給其 My VMware 帳戶。如果該個人的帳戶在此處列出了不同的角色,您可以將其列從 My VMware 帳戶區段中移除然後再次新增,這次指定Customer Administrator角色。
  • 在 [角色及權限] 頁面中,將Super Administrator角色指派給該個人的 Active Directory 群組。

同時符合這兩個條件時,個人將可登入主控台、導覽至主控台的所有頁面,以及叫用可變更環境中內容的動作。

備註: 由於 [角色及權限] 頁面可在 AD 群組層級 (而非個人帳戶層級) 運作,因此,您必須確保 AD 群組在其中具有適當的個人帳戶,具體取決於您的組織需求。