Citrix DaaS

Adaptiver Zugriff nach Benutzer-Netzwerkstandort

Dieses Citrix Workspace-Feature nutzt eine erweiterte Richtlinieninfrastruktur, um den adaptiven Zugriff auf Citrix DaaS basierend auf dem Netzwerkstandort des Benutzers zu ermöglichen. Der Standort wird anhand des IP-Adressbereichs oder der Subnetzadressen definiert.

Administratoren können Richtlinien definieren, um virtuelle Apps und Desktops je nach Netzwerkstandort des Benutzers aufzulisten (oder nicht). Administratoren können auch festlegen, welche Benutzeraktionen möglich sind, indem sie den Zugriff auf Zwischenablage, Drucker, Clientlaufwerkzuordnung usw. je nach Netzwerkstandort des Benutzers aktivieren oder deaktivieren. Beispielsweise können Administratoren eine Richtlinie einrichten, dass Benutzer, die von zu Hause aus auf Ressourcen zugreifen, eingeschränkten Zugriff auf Anwendungen haben, während Benutzer, die vom Büro aus zugreifen, vollen Zugriff haben.

Überblick über den adaptiven Zugriff

Ein Administrator kann die folgenden Richtlinien für den Zugriff auf Anwendungen implementieren:

  • Auflisten einiger vertraulicher Anwendungen nur vom Unternehmensstandort aus oder auch von Zweigstellen.
  • Kein Auflisten vertraulicher Anwendungen, wenn Mitarbeiter von einem externen Netzwerk aus auf den Workspace zugreifen.
  • Deaktivieren des Druckerzugriffs von den Zweigstellen aus.
  • Deaktivieren des Zugriffs auf die Zwischenablage und den Drucker, wenn Benutzer sich außerhalb des Unternehmensnetzwerks befinden.

Ansprüche

Der adaptive Zugriff ist für Kunden mit jeder der folgenden Lizenzen verfügbar.

  • DaaS Premium/Premium Plus
  • Secure Private Access Advanced

Voraussetzungen

  • Stellen Sie sicher, dass Adaptiver Zugriff aktiviert ist (Citrix Workspace > Zugriff > Adaptiver Zugriff). Einzelheiten siehe Adaptiven Zugriff aktivieren.

    Wenn der adaptive Zugriff aktiviert wird, werden die DaaS-Zugriffsrichtlinien zur Verwendung der Option Über Citrix Gateway hergestellte Verbindungen aktualisiert.

    Hinweis:

    NetScaler Gateway ist erforderlich, um Smart Access-Tags in DaaS-Zugriffsrichtlinien hinzuzufügen. Da DaaS jedoch Tags aus den Diensten Gerätestatus, adaptiver Zugriff und adaptive Authentifizierung verwendet, ist kein konfiguriertes NetScaler Gateway erforderlich.

  • Kenntnis der Standort-Tags. Einzelheiten siehe Netzwerkstandort-Tags.

Wichtige Hinweise

Die folgenden Hinweise gelten nur, wenn Sie die Anzeige von Anwendungen auf der Grundlage des Standorts einschränken möchten. Wenn Sie mithilfe des adaptiven Zugriffs Steuerelemente für die Benutzer einschränken möchten (z. B. Deaktivieren des Zugriffs auf die Zwischenablage, die Druckerumleitung und die Clientlaufwerkzuweisung), können Sie diese Hinweise ignorieren.

  • Wenn Sie Citrix DaaS je nach Netzwerkstandort selektiv auflisten möchten, muss die Benutzerverwaltung für diese Bereitstellungsgruppen über Citrix Studio-Richtlinien und nicht mit Workspace erfolgen. Wählen Sie beim Erstellen einer Bereitstellungsgruppe unter Benutzereinstellung entweder Verwenden der Bereitstellungsgruppe auf diese Benutzer beschränken oder Alle authentifizierten Benutzer dürfen diese Bereitstellungsgruppe verwenden. Dadurch können Sie den adaptiven Zugriff unter Bereitstellungsgruppe auf der Registerkarte Zugriffsrichtlinie konfigurieren.

Bereitstellungsgruppe

  • Ändert sich zu “direkte Workloadverbindung”, wenn der adaptive Zugriff aktiviert ist.

    • Das Feld Tags für den Ort finden Sie in Citrix Cloud > Netzwerkstandorte > Netzwerkstandort hinzufügen > Tags für den Ort.
    • Bestehende Richtlinien für direkte Workloadverbindung funktionieren wie vorgesehen.
    • Neue Richtlinien müssen im Netzwerkstandortdienst (ohne Definition von Tags) und für die Bereitstellungsgruppe erstellt werden. Außerdem muss der Netzwerkverbindungstyp Intern sein.
    • Für neue Richtlinien für die direkte Workloadverbindung mit Tags müssen Tags im Netzwerkstandortdienst und identische Tags für die Bereitstellungsgruppe oder Zugriffsrichtlinie in DaaS Studio definiert werden. Außerdem muss der Netzwerkverbindungstyp Intern sein. Standort-Tags sind für eine direkte Workloadverbindung nicht relevant.
  • Folgendes wird für das Testen der Citrix DaaS-Bereitstellung empfohlen.

    • Identifizieren einer Testbereitstellungsgruppe oder Erstellen einer Bereitstellungsgruppe zum Implementieren dieser Funktion.
    • Erstellen einer Richtlinie oder Identifizieren einer Richtlinie, die mit einer Testbereitstellungsgruppe verwendet werden kann.

Adaptiven Zugriff aktivieren

  1. Melden Sie sich bei Citrix Cloud an.
  2. Wählen Sie im Hamburger-Menü die Option Workspacekonfiguration.
  3. Der Umschalter Adaptiver Zugriff ist standardmäßig deaktiviert. Aktivieren Sie Adaptiver Zugriff.
  4. Klicken Sie in der Bestätigungsmeldung auf Ja, adaptiven Zugriff aktivieren.

Adaptiven Zugriff aktivieren

Bestätigung: adaptiven Zugriff aktivieren

Wenn der adaptive Zugriff aktiviert ist, können Sie die Standort-Tags für den adaptiven Zugriff definieren (Citrix Cloud > Netzwerkstandorte > Netzwerkstandort hinzufügen > Tags für den Ort).

Adaptiver Zugriff aktiviert

Wenn der adaptive Zugriff deaktiviert ist, können Sie keinen Netzwerkstandort hinzufügen. Standort-Tags sind in diesem Fall nicht anwendbar.

Adaptiver Zugriff deaktiviert

Wichtig:

Wenn Sie versuchen, den adaptiven Zugriff zu deaktivieren, wird die folgende Meldung angezeigt. Workspace sendet die Tags für den adaptiven Zugriff nicht an den DaaS, wenn das Feature deaktiviert ist.

Meldung: adaptiver Zugriff deaktiviert

Adaptiven Zugriff konfigurieren

Die Konfiguration des adaptiven Zugriffs auf der Grundlage von Netzwerkstandorten umfasst die folgenden allgemeinen Schritte.

  1. Netzwerkstandortrichtlinien definieren
  2. Tags in DaaS Studio definieren

Die Erläuterung der Konfiguration erfolgt anhand der Benutzertypen BranchOffice und WorkFromHome, die ausgewählt werden, um den folgenden Anwendungsfall zu erzielen.

  • BranchOffice-Benutzer müssen vollen Zugriff auf Anwendungen haben.
  • WorkFromHome-Benutzer dürfen keinen Zugriff auf die Zwischenablage haben.

In diesem Konfigurationsbeispiel heißen die Tags Home und Office.

Netzwerkstandortrichtlinien konfigurieren

  1. Melden Sie sich bei Citrix Cloud an.
  2. Wählen Sie Netzwerkstandorte im Hamburger-Menü. Stellen Sie sicher, dass der adaptive Zugriff aktiviert ist. Andernfalls wird die Benutzeroberfläche für die direkte Workloadverbindung angezeigt.
  3. Klicken Sie auf Netzwerkspeicherort hinzufügen.

    • Standortname: Geben Sie einen geeigneten Namen für die Richtlinie ein.

      Beispiel: BranchOffice oder WorkFromHome

    • Öffentlicher IP-Adressbereich: Definieren Sie den öffentlichen IP-Adressbereich für Ihr Netzwerk.

      Beispiel: 172.9.2.1-172.9.2.30

    • Tags für den Ort: Definieren Sie Tags für den Standort. Dies kann ein Name sein, der sich auf Ihren Standort bezieht. Diese Tags werden verwendet, um in Citrix Studio die Richtlinien für den adaptiven Zugriff zu konfigurieren. Einzelheiten finden Sie unter Tags in Citrix Studio definieren.

      Beispiel: BranchOffice oder WorkFromHome

    • Konnektivitätstyp: Definieren Sie den Typ des Anwendungsstarts.

    Intern: Gateway für den Anwendungsstart umgehen. Extern Citrix Gateway-Dienst oder ein herkömmliches Gateway für den Anwendungsstart verwenden.

  4. Klicken Sie auf Speichern.

Sie können diese Tags jetzt in DaaS Studio verwenden, um den adaptiven Zugriff zu aktivieren.

Hinweis:

Achten Sie bei der Definition der Standorttags darauf, dass Sie nur den bevorzugten Tagnamen ohne das Präfix “LOCATION_TAG” eingeben, zum Beispiel “BranchOffice”. Bei der Definition von Tags in Citrix Studio müssen Sie dem Tagnamen jedoch “LOCATION_TAG” voranstellen. Zum Beispiel “LOCATION_TAG_BRANCHOFFICE”.

Tags in Citrix Studio mithilfe der GUI definieren

In diesem Beispiel werden Tags in den Bereitstellungsgruppen definiert, um die Anwendungsanzeige für Benutzer einzuschränken. Es werden zwei Bereitstellungsgruppen erstellt.

  • Bereitstellungsgruppe mit adaptivem Zugriff: für die Benutzer des Standorts BranchOffice. Diese Benutzer müssen alle Anwendungen aus der Bereitstellungsgruppe sehen können.
  • WFH-Bereitstellungsgruppe: für die Benutzer des Standorts WorkfromHome. Diese Benutzer müssen Anwendungen aus der Bereitstellungsgruppe sehen können.
  1. Melden Sie sich bei Citrix Cloud an.
  2. Klicken Sie auf der Citrix DaaS-Kachel auf Verwalten.
  3. Erstellen Sie eine Bereitstellungsgruppe. Weitere Informationen finden Sie unter Erstellen von Bereitstellungsgruppen.
  4. Wählen Sie die von Ihnen erstellte Bereitstellungsgruppe aus und klicken Sie auf Bereitstellungsgruppe bearbeiten.
  5. Klicken Sie auf Zugriffsrichtlinie.
  6. Für Kunden, die den adaptiven Zugriff in der Citrix Workspace-Plattform verwenden, können Sie für eine Bereitstellungsgruppe den Zugriff auf interne Netzwerke wie folgt beschränken:

    1. Klicken Sie mit der rechten Maustaste auf die Bereitstellungsgruppe und wählen Sie Bearbeiten aus.
    2. Wählen Sie im linken Bereich die Zugriffsrichtlinie aus.
    3. Klicken Sie auf das Bearbeitungssymbol, um die standardmäßige Citrix Gateway-Verbindungsrichtlinie zu ändern.

      Gateway-Verbindungen

    4. Wählen Sie auf der Seite Richtlinie bearbeiten die Option Verbindungen, die eines der folgenden Kriterien erfüllen und dann Stimmt mit beliebigen dieser Elemente überein aus und fügen Sie die Kriterien hinzu.

      Kriterien

      Geben Sie für WorkFromHome-Benutzer die folgenden Werte in den jeweiligen Delivery Controller ein.

      Farm: Workspace

      Filter: LOCATION_TAG_WORKFROMHOME

      Geben Sie für BranchOffice-Benutzer die folgenden Werte in den jeweiligen Delivery Controller ein.

      Filter: Workspace

      Wert: LOCATION_TAG_BRANCHOFFICE

Sie können diese Tags jetzt verwenden, um den Zugriff auf Anwendungen einzuschränken.

Hinweis:

Stellen Sie sicher, dass Sie im Feld Wert den richtigen Namen für die Standortkennzeichnung eingeben, wie Sie ihn bei der Erstellung von Netzwerkstandortrichtlinien mit dem Präfix “LOCATION_TAG” definiert haben. Wenn Sie beispielsweise das Standorttag als “BranchOffice” definiert haben, müssen Sie “LOCATION_TAG_BRANCHOFFICE” in das Feld Wert eingeben. Einzelheiten zur Konfiguration von Standort-Tags finden Sie unter Netzwerkstandortrichtlinien konfigurieren.

Zugriff auf Anwendungen einschränken

In diesem Beispiel wird die Umleitung der Clientzwischenablage für Benutzer des Standorts “WorkFromHome” deaktiviert.

  1. Melden Sie sich bei Citrix DaaS an.
  2. Gehen Sie zu Richtlinien und klicken Sie auf Richtlinie erstellen.
  3. Wählen Sie Clientzwischenablagenumleitung und klicken Sie auf Verbieten.
  4. Klicken Sie auf Weiter.

Zugriff auf Zwischenablage einschränken

  1. Wählen Sie auf der Seite Richtlinie zuweisen die Option Zugriffssteuerung.
  2. Definieren Sie die folgenden Werte für die Richtlinie:

    • Modus: Zulassen
    • Verbindungstyp: Mit Citrix Gateway
    • Gatewayfarmname: Workspace
    • Zugriffsbedingung: LOCATION_TAG_WORKFROMHOME (alles in Großbuchstaben)

Modus und Farm

  1. Klicken Sie auf Weiter.
  2. Geben Sie einen Namen für die Richtlinie und eine Richtlinienbeschreibung ein.
  3. Klicken Sie auf Fertigstellen.

Benutzer des Standorts WorkFromHome haben keinen Zugriff auf die Zwischenablage für ihre gestarteten Ressourcen.

Richtlinien für die Sitzungsaufzeichnung auf der Grundlage von Tags konfigurieren

Mit der Sitzungsaufzeichnung können Organisationen Benutzeraktivitäten auf dem Bildschirm in virtuellen Sitzungen aufzeichnen. Sie können Tags, einschließlich Netzwerkstandorttags, angeben, wenn Sie eine benutzerdefinierte Sitzungsaufzeichnungsrichtlinie, Ereigniserkennungsrichtlinie oder Ereignisreaktionsrichtlinie erstellen. Ein Beispiel finden Sie unter Benutzerdefinierte Aufzeichnungsrichtlinie erstellen.

Netzwerkstandort-Tags

Der Netzwerkstandortdienst stellt die folgenden Tags bereit.

  • Standardtags: Diese Tags sind im Netzwerkstandortdienst definiert. Die folgenden Standardtags sind verfügbar.
    • Location_internal: Das Tag wird standardmäßig gesendet, wenn der Netzwerkverbindungstyp auf INTERNAL festgelegt ist.
    • Location_external:Das Tag wird standardmäßig gesendet, wenn der Netzwerkverbindungstyp auf EXTERNAL festgelegt ist.
    • Location_undefined: Das Tag wird für eine IP-Adresse gesendet, die nicht in der Richtlinie definiert ist, jedoch über den Netzwerkstandortdienst zugreift. Der Start für diese Benutzer entspricht dem, was in der Ressourcengruppe definiert ist.
  • Benutzerdefinierte Tags: Administratoren können benutzerdefinierte Tags in den Richtlinien definieren. Beispiel: office, home, branch

Beispiele:

Standardtags: LOCATION_INTERNAL, LOCATION_EXTERNAL, LOCATION_UNDEFINED

Benutzerdefinierte Tags: LOCATION_TAG_OFFICE, LOCATION_TAG_HOME

Hinweis:

Stellen Sie beim Definieren von Tags für den Netzwerkstandortdienst Folgendes sicher:

  • Die Standard-Tags beginnen immer mit dem Präfix “LOCATION_<tag name>”. Beispiel: LOCATION_INTERNAL.
  • Die benutzerdefinierten Tags beginnen immer mit dem Präfix “LOCATION_TAG<tag name>”. Beispiel: LOCATION_TAG_OFFICE.

Bekannte Probleme

Wenn Sie den adaptiven Zugriff deaktivieren, nachdem er aktiviert wurde und Regeln festgelegt wurden (Tags und Konnektivitätstyp), werden die Standorte nicht von der Seite “Netzwerkstandorte” entfernt. Die Spalten für die Standort-Tags und den Konnektivitätstyp sind jedoch ausgeblendet. Die Standorte sind jedoch im Back-End deaktiviert. Es handelt sich um einen Schönheitsfehler.