Citrix DaaS

Adaptiver Zugriff nach Benutzer-Netzwerkstandort

Dieses Citrix Workspace-Feature nutzt eine erweiterte Richtlinieninfrastruktur, um den adaptiven Zugriff auf Citrix DaaS basierend auf dem Netzwerkstandort des Benutzers zu ermöglichen. Der Standort wird anhand des IP-Adressbereichs oder der Subnetzadressen definiert.

Administratoren können Richtlinien definieren, um virtuelle Apps und Desktops je nach Netzwerkstandort des Benutzers aufzulisten (oder nicht). Administratoren können auch festlegen, welche Benutzeraktionen möglich sind, indem sie den Zugriff auf Zwischenablage, Drucker, Clientlaufwerkzuordnung usw. je nach Netzwerkstandort des Benutzers aktivieren oder deaktivieren. Beispielsweise können Administratoren eine Richtlinie einrichten, dass Benutzer, die von zu Hause aus auf Ressourcen zugreifen, eingeschränkten Zugriff auf Anwendungen haben, während Benutzer, die vom Büro aus zugreifen, vollen Zugriff haben.

Überblick über den adaptiven Zugriff

Ein Administrator kann die folgenden Richtlinien für den Zugriff auf Anwendungen implementieren:

  • Auflisten einiger vertraulicher Anwendungen nur vom Unternehmensstandort aus oder auch von Zweigstellen.
  • Kein Auflisten vertraulicher Anwendungen, wenn Mitarbeiter von einem externen Netzwerk aus auf den Workspace zugreifen.
  • Deaktivieren des Druckerzugriffs von den Zweigstellen aus.
  • Deaktivieren des Zugriffs auf die Zwischenablage und den Drucker, wenn Benutzer sich außerhalb des Unternehmensnetzwerks befinden.

Ansprüche

Das FEature “adaptiver Zugriff” ist als Teil der Universal Hybrid Multi Cloud License (UHMC) und der Platform License (CPL) verfügbar. Weitere Informationen finden Sie unter https://www.citrix.com/buy/licensing/product.html.

Voraussetzungen

  • Achten Sie darauf, dass das Feature Adaptiver Zugriff aktiviert ist (Citrix Workspace > Zugriff > Adaptiver Zugriff). Einzelheiten siehe Adaptiven Zugriff aktivieren.

    Wenn der adaptive Zugriff aktiviert wird, werden die DaaS-Zugriffsrichtlinien zur Verwendung der Option Über Citrix Gateway hergestellte Verbindungen aktualisiert.

Hinweis

NetScaler Gateway ist erforderlich, um Smart Access-Tags in DaaS-Zugriffsrichtlinien hinzuzufügen. Da DaaS jedoch Tags von den Diensten Gerätestatus, adaptiver Zugriff und Adaptive Authentifizierung verwendet, ist es nicht erforderlich, in Ihrem Setup ein konfiguriertes NetScaler Gateway zu haben.

Wichtige Hinweise

Die folgenden Hinweise gelten nur, wenn Sie die Anzeige von Anwendungen auf der Grundlage des Standorts einschränken möchten. Wenn Sie mithilfe des adaptiven Zugriffs Steuerelemente für die Benutzer einschränken möchten (z. B. Deaktivieren des Zugriffs auf die Zwischenablage, die Druckerumleitung und die Clientlaufwerkzuweisung), können Sie diese Hinweise ignorieren.

  • Wenn Sie Citrix DaaS je nach Netzwerkstandort selektiv auflisten möchten, muss die Benutzerverwaltung für diese Bereitstellungsgruppen über Citrix Studio-Richtlinien und nicht mit Workspace erfolgen. Wählen Sie beim Erstellen einer Bereitstellungsgruppe unter Benutzereinstellung entweder Verwenden der Bereitstellungsgruppe auf diese Benutzer beschränken oder Alle authentifizierten Benutzer dürfen diese Bereitstellungsgruppe verwenden. Dadurch können Sie den adaptiven Zugriff unter Bereitstellungsgruppe auf der Registerkarte Zugriffsrichtlinie konfigurieren.

Bereitstellungsgruppe

  • Ändert sich zu “direkte Workloadverbindung”, wenn der adaptive Zugriff aktiviert ist.

    • Das Feld Standort-Tags ist in Citrix Cloud > Netzwerkstandorte > Netzwerkstandort hinzufügen > Standorttags sichtbar.
    • Bestehende Richtlinien für direkte Workloadverbindung funktionieren wie vorgesehen.
    • Neue Richtlinien müssen im Netzwerkstandortdienst (ohne Definition von Tags) und für die Bereitstellungsgruppe erstellt werden. Außerdem muss der Netzwerkverbindungstyp Intern sein.
    • Für neue Richtlinien für die direkte Workloadverbindung mit Tags müssen Tags im Netzwerkstandortdienst und identische Tags für die Bereitstellungsgruppe oder Zugriffsrichtlinie in DaaS Studio definiert werden. Außerdem muss der Netzwerkverbindungstyp Intern sein. Standort-Tags sind für eine direkte Workloadverbindung nicht relevant.
  • Folgendes wird für das Testen der Citrix DaaS-Bereitstellung empfohlen.

    • Identifizieren einer Testbereitstellungsgruppe oder Erstellen einer Bereitstellungsgruppe zum Implementieren dieser Funktion.
    • Erstellen einer Richtlinie oder Identifizieren einer Richtlinie, die mit einer Testbereitstellungsgruppe verwendet werden kann.

Adaptiven Zugriff aktivieren

  1. Melden Sie sich bei Citrix Cloud an.
  2. Wählen Sie im Hamburger-Menü die Option Workspacekonfiguration.
  3. Der Umschalter Adaptiver Zugriff ist standardmäßig deaktiviert. Aktivieren Sie Adaptiver Zugriff.
  4. Klicken Sie in der Bestätigungsmeldung auf Ja, adaptiven Zugriff aktivieren.

Adaptiven Zugriff aktivieren

Bestätigung: adaptiven Zugriff aktivieren

Wenn adaptiver Zugriff aktiviert ist, können Sie die Standorttags für den adaptiven Zugriff definieren (Citrix Cloud > Netzwerkstandorte > Netzwerkstandort hinzufügen > Standorttags).

Adaptiver Zugriff aktiviert

Wenn der adaptive Zugriff deaktiviert ist, können Sie keinen Netzwerkstandort hinzufügen. Standort-Tags sind in diesem Fall nicht anwendbar.

Adaptiver Zugriff deaktiviert

Wichtig:

Wenn Sie versuchen, den adaptiven Zugriff zu deaktivieren, wird die folgende Meldung angezeigt. Workspace sendet die Tags für den adaptiven Zugriff nicht an den DaaS, wenn das Feature deaktiviert ist.

Meldung: adaptiver Zugriff deaktiviert

Adaptiven Zugriff konfigurieren

Gehen Sie von einem Szenario aus, in dem ein Administrator die Zugriffskontrolle auf der Grundlage der Netzwerkstandorte der Benutzer (z. B. Büro und Zuhause) durchsetzen muss. Der Administrator muss auch intelligente Steuerelemente wie Einschränkungen der Zwischenablage für Benutzer durchsetzen, die von zu Hause aus arbeiten. Um dieses Szenario mit adaptivem Zugriff zu erreichen, muss der Administrator zwei Bereitstellungsgruppen erstellen, die auf dem Netzwerk des Benutzers basieren:

  • Adaptiver Zugriff-Bereitstellungsgruppe für BranchOffice mit Anwendungen, die für Zweigstellenbenutzer relevant sind.
  • WFH-Bereitstellungsgruppe für WorkFromHome mit Anwendungen, die für Heim-/Remote-Benutzer relevant sind.

Nachdem die Bereitstellungsgruppen erstellt wurden, sind die folgenden allgemeinen Schritte erforderlich, um den adaptiven Zugriff auf der Grundlage von Netzwerkstandorten zu konfigurieren:

Netzwerkstandorttags für den standortbasierten Zugriff definieren

Der erste Schritt beinhaltet die Definition von Tags für Benutzer auf der Grundlage ihres Standorts, im Büro oder zu Hause.

  • BRANCHOFFICE: Dieses Tag muss Benutzern zugewiesen werden, die eine Verbindung über das Büronetzwerk herstellen. Diese Benutzer haben vollen Zugriff auf alle ihnen zur Verfügung stehenden Anwendungen.
  • WORKFROMHOME: Dieses Tag muss Benutzern zugewiesen werden, die remote arbeiten. Diese Benutzer haben eingeschränkten Zugriff auf Anwendungen und bestimmte Features (wie die Zwischenablagefunktion).

Weitere Informationen zu Tags finden Sie unter Netzwerkstandorttags.

Nachdem Sie die Bereitstellungsgruppen und die entsprechenden Tags basierend auf dem Benutzerstandort erstellt haben, können Sie mit der Konfiguration der Netzwerkstandortrichtlinie fortfahren.

Netzwerkstandortrichtlinien konfigurieren

Definieren Sie Richtlinien für Netzwerkstandorte für den Standort Ihres Benutzers, indem Sie die öffentliche Quell-IP-Adresse und das Standorttag angeben.

  1. Melden Sie sich bei Citrix Cloud an.
  2. Wählen Sie Netzwerkstandorte im Hamburger-Menü. Stellen Sie sicher, dass der adaptive Zugriff aktiviert ist. Andernfalls wird die Benutzeroberfläche für die direkte Workloadverbindung angezeigt.
  3. Klicken Sie auf Netzwerkspeicherort hinzufügen.

    • Standortname: Geben Sie einen geeigneten Namen für die Richtlinie ein.

      Beispiel: BRANCHOFFICE oder WORKFROMHOME

    • Öffentlicher IP-Adressbereich: Definieren Sie den öffentlichen IP-Adressbereich für Ihr Netzwerk.

      Beispiel: 192.0.2.10 - 192.0.2.30

    • Tags für den Ort: Definieren Sie Tags für den Standort. Dies kann ein Name sein, der sich auf Ihren Standort bezieht. Diese Tags werden verwendet, um in Citrix Studio die Richtlinien für den adaptiven Zugriff zu konfigurieren. Einzelheiten finden Sie unter Tags in Citrix Studio definieren.

      Beispiel: BRANCHOFFICE oder WORKFROMHOME

    • Konnektivitätstyp: Definieren Sie den Typ des Anwendungsstarts.

    Intern: Gateway für den Anwendungsstart umgehen. Extern Citrix Gateway-Dienst oder ein herkömmliches Gateway für den Anwendungsstart verwenden.

  4. Klicken Sie auf Speichern.

NLS-Tags

Sie können diese Tags jetzt in DaaS Studio verwenden, um den adaptiven Zugriff zu aktivieren.

Hinweis

  • Wenn den Bereitstellungsgruppen keine Netzwerkstandorttags zugewiesen sind, erhalten die Benutzer uneingeschränkten Zugriff auf alle Anwendungen sowohl in Bereitstellungsgruppen mit adaptivem Zugriff als auch in WFH-Bereitstellungsgruppen. Dies kann zu Szenarien führen, in denen Benutzer versehentlich auf bestimmte Anwendungen zugreifen, für die sie nicht autorisiert sind. Durch das Zuweisen von Standorttags zu Bereitstellungsgruppen wird sichergestellt, dass der Zugriff anhand des Netzwerkstandorts der Benutzer gesteuert wird.
  • Achten Sie bei der Definition der Standorttags darauf, dass Sie nur den bevorzugten Tagnamen ohne das Präfix LOCATION_TAG eingeben, zum Beispiel BRANCHOFFICE. Bei der Definition von Tags in Citrix Studio müssen Sie dem Tagnamen jedoch LOCATION_TAG voranstellen. Zum Beispiel LOCATION_TAG_BRANCHOFFICE.

Definierte Tags in Bereitstellungsgruppen für die Anwendungsauflistung verwenden

  1. Melden Sie sich bei Citrix Cloud an.
  2. Klicken Sie auf der Citrix DaaS-Kachel auf Verwalten.
  3. Erstellen Sie eine Bereitstellungsgruppe. Weitere Informationen finden Sie unter Erstellen von Bereitstellungsgruppen.
  4. Wählen Sie die von Ihnen erstellte Bereitstellungsgruppe aus und klicken Sie auf Bereitstellungsgruppe bearbeiten.
  5. Klicken Sie auf Zugriffsrichtlinie.
  6. Für Kunden, die den adaptiven Zugriff in der Citrix Workspace-Plattform verwenden, können Sie für eine Bereitstellungsgruppe den Zugriff auf interne Netzwerke wie folgt beschränken:

    1. Klicken Sie mit der rechten Maustaste auf die Bereitstellungsgruppe und wählen Sie Bearbeiten aus.
    2. Wählen Sie im linken Bereich die Zugriffsrichtlinie aus.
    3. Klicken Sie auf das Bearbeitungssymbol, um die standardmäßige Citrix Gateway-Verbindungsrichtlinie zu ändern.

      Gateway-Verbindungen

    4. Wählen Sie auf der Seite Richtlinie bearbeiten die Option Verbindungen, die eines der folgenden Kriterien erfüllen und dann Stimmt mit beliebigen dieser Elemente überein aus und fügen Sie die Kriterien hinzu.

      Kriterien

      Geben Sie für WorkFromHome-Benutzer die folgenden Werte in den jeweiligen Delivery Controller ein.

      Filter: Workspace

      Wert: LOCATION_TAG_WORKFROMHOME

      Geben Sie für BranchOffice-Benutzer die folgenden Werte in den jeweiligen Delivery Controller ein.

      Filter: Workspace

      Wert: LOCATION_TAG_BRANCHOFFICE

Hinweis

  • Vergewissern Sie sich, dass im Feld Wert der richtige Name für das Standorttag eingegeben wird, den Sie bei der Erstellung von Netzwerkstandortrichtlinien mit dem Präfix LOCATION_TAG definiert haben. Wenn Sie beispielsweise das Standorttag als BRANCHOFFICE definiert haben, müssen Sie LOCATION_TAG_BRANCHOFFICE in das Feld Wert eingeben. Die Netzwerkstandort-Tags in Bereitstellungsgruppen müssen in Großbuchstaben eingegeben werden, unabhängig davon, wie sie in der Netzwerkstandortrichtlinie definiert wurden. Einzelheiten zur Konfiguration von Standort-Tags finden Sie unter Netzwerkstandortrichtlinien konfigurieren.
  • Die Netzwerkstandort-Tags in Bereitstellungsgruppen müssen in Großbuchstaben eingegeben werden, unabhängig davon, wie sie in der Netzwerkstandortrichtlinie definiert wurden. Einzelheiten zur Konfiguration von Standorttags finden Sie unter Netzwerkstandortrichtlinien konfigurieren.

(Optional) Intelligente Steuerungen für Anwendungen erzwingen

Administratoren können nicht nur den Zugriff mit Netzwerkstandorttags einschränken, sondern auch intelligente Steuerungen für Anwendungen durchsetzen. In diesem Beispiel wird die Umleitung der Clientzwischenablage für Benutzer des Standorts “WorkFromHome” deaktiviert.

  1. Melden Sie sich bei Citrix DaaS an.
  2. Gehen Sie zu Richtlinien und klicken Sie auf Richtlinie erstellen.
  3. Wählen Sie Clientzwischenablagenumleitung und klicken Sie auf Verbieten.
  4. Klicken Sie auf Weiter.

Zugriff auf Zwischenablage einschränken

  1. Wählen Sie auf der Seite Richtlinie zuweisen die Option Zugriffssteuerung.
  2. Definieren Sie die folgenden Werte für die Richtlinie:

    • Modus: Zulassen
    • Verbindungstyp: Mit Citrix Gateway
    • Gatewayfarmname: Workspace
    • Zugriffsbedingung: LOCATION_TAG_WORKFROMHOME (alles in Großbuchstaben)

Modus und Farm

  1. Klicken Sie auf Weiter.
  2. Geben Sie einen Namen für die Richtlinie und eine Richtlinienbeschreibung ein.
  3. Klicken Sie auf Fertigstellen.

Benutzer am Standort WORKFROMHOME können keinen Zugriff auf die Zwischenablage auf ihre gestarteten Ressourcen ausführen.

Netzwerkstandorttags

Der Netzwerkstandortdienst stellt die folgenden Tags bereit.

  • Standardtags: Diese Tags sind im Netzwerkstandortdienst definiert. Die folgenden Standardtags sind verfügbar.
    • LOCATION_internal: Tag, das standardmäßig gesendet wird, wenn der Netzwerkverbindungstyp bei der Definition eines Netzwerkstandorts auf Internal gesetzt ist.
    • LOCATION_external: Tag, das standardmäßig gesendet wird, wenn der Netzwerkverbindungstyp bei der Definition eines Netzwerkstandorts auf External gesetzt ist.
    • LOCATION_undefined: Tag, das für eine IP-Adresse gesendet wurde, die nicht in der Richtlinie definiert ist, aber über den Network Locations Service eingeht. Der Start für diese Benutzer entspricht dem, was in der Ressourcengruppe definiert ist.
  • Benutzerdefinierte Tags: Administratoren können benutzerdefinierte Tags in den Richtlinien definieren. Beispiel: Zuhause, Büro, FILIALE

Hinweis

  • Stellen Sie beim Definieren von Tags für den Network Location Service Folgendes sicher:

       The default tags always start with the prefix "LOCATION_`<tag name>`.   For example, LOCATION_INTERNAL.
        
       The custom tags always start with the prefix "LOCATION_TAG`<tag name>`.   For example, LOCATION_TAG_OFFICE.
    
  • Bei der Definition von Tags in den Bereitstellungsgruppen müssen Tags ausschließlich in Großbuchstaben eingegeben werden.

       Default tags: LOCATION_INTERNAL, LOCATION_EXTERNAL, LOCATION_UNDEFINED
        
       Custom tags: LOCATION_TAG_OFFICE, LOCATION_TAG_HOME
    

In der folgenden Tabelle sind die Richtlinien und Tags für das zuvor erwähnte Szenario zusammengefasst.

Standort Richtlinie Benutzerdefiniertes Tag Standardtag Tag, das in der DaaS-Bereitstellungsgruppe verwendet werden soll Tags, die in der Smart Access-Richtlinie verwendet werden sollen
WFH WFH VON ZU HAUSE AUS ARBEITEN STANDORT_EXTERN LOCATION_WORKFROMHOME und/oder LOCATION_EXTERNAL LOCATION_WORKFROMHOME und/oder LOCATION_EXTERNAL
Zweigstelle Zweigstelle ZWEIGSTELLE STANDORT_EXTERN LOCATION_BRANCHOFFICE und/oder LOCATION_EXTERNAL LOCATION_BRANCHOFFICE und/oder LOCATION_EXTERNAL
Sonstiges Nicht definiert Nicht definiert STANDORT_UNDEFINIERT STANDORT_UNDEFINIERT STANDORT_UNDEFINIERT

Bekannte Probleme

Wenn Sie den adaptiven Zugriff deaktivieren, nachdem er aktiviert wurde und Regeln festgelegt wurden (Tags und Konnektivitätstyp), werden die Standorte nicht von der Seite “Netzwerkstandorte” entfernt. Die Spalten für die Standort-Tags und den Konnektivitätstyp sind jedoch ausgeblendet. Die Standorte sind jedoch im Back-End deaktiviert. Es handelt sich um einen Schönheitsfehler.

Richtlinien für die Sitzungsaufzeichnung auf der Grundlage von Tags konfigurieren

Mit der Sitzungsaufzeichnung können Organisationen Benutzeraktivitäten auf dem Bildschirm in virtuellen Sitzungen aufzeichnen. Sie können Tags, einschließlich Netzwerkstandorttags, angeben, wenn Sie eine benutzerdefinierte Sitzungsaufzeichnungsrichtlinie, Ereigniserkennungsrichtlinie oder Ereignisreaktionsrichtlinie erstellen. Ein Beispiel finden Sie unter Benutzerdefinierte Aufzeichnungsrichtlinie erstellen.