Adaptiver Zugriff nach Benutzer-Netzwerkstandort
Dieses Citrix Workspace-Feature nutzt eine erweiterte Richtlinieninfrastruktur, um den adaptiven Zugriff auf Citrix DaaS basierend auf dem Netzwerkstandort des Benutzers zu ermöglichen. Der Standort wird anhand des IP-Adressbereichs oder der Subnetzadressen definiert.
Administratoren können Richtlinien definieren, um virtuelle Apps und Desktops je nach Netzwerkstandort des Benutzers aufzulisten (oder nicht). Administratoren können auch festlegen, welche Benutzeraktionen möglich sind, indem sie den Zugriff auf Zwischenablage, Drucker, Clientlaufwerkzuordnung usw. je nach Netzwerkstandort des Benutzers aktivieren oder deaktivieren. Beispielsweise können Administratoren eine Richtlinie einrichten, dass Benutzer, die von zu Hause aus auf Ressourcen zugreifen, eingeschränkten Zugriff auf Anwendungen haben, während Benutzer, die vom Büro aus zugreifen, vollen Zugriff haben.
Ein Administrator kann die folgenden Richtlinien für den Zugriff auf Anwendungen implementieren:
- Auflisten einiger vertraulicher Anwendungen nur vom Unternehmensstandort aus oder auch von Zweigstellen.
- Kein Auflisten vertraulicher Anwendungen, wenn Mitarbeiter von einem externen Netzwerk aus auf den Workspace zugreifen.
- Deaktivieren des Druckerzugriffs von den Zweigstellen aus.
- Deaktivieren des Zugriffs auf die Zwischenablage und den Drucker, wenn Benutzer sich außerhalb des Unternehmensnetzwerks befinden.
Ansprüche
Der adaptive Zugriff ist für Kunden mit jeder der folgenden Lizenzen verfügbar.
- DaaS Premium/Premium Plus
- Secure Private Access Advanced
Voraussetzungen
-
Stellen Sie sicher, dass Adaptiver Zugriff aktiviert ist (Citrix Workspace > Zugriff > Adaptiver Zugriff). Einzelheiten siehe Adaptiven Zugriff aktivieren.
Wenn der adaptive Zugriff aktiviert wird, werden die DaaS-Zugriffsrichtlinien zur Verwendung der Option Über Citrix Gateway hergestellte Verbindungen aktualisiert.
Hinweis:
NetScaler Gateway ist erforderlich, um Smart Access-Tags in DaaS-Zugriffsrichtlinien hinzuzufügen. Da DaaS jedoch Tags aus den Diensten Gerätestatus, adaptiver Zugriff und adaptive Authentifizierung verwendet, ist kein konfiguriertes NetScaler Gateway erforderlich.
-
Kenntnis der Standort-Tags. Einzelheiten siehe Netzwerkstandort-Tags.
Wichtige Hinweise
Die folgenden Hinweise gelten nur, wenn Sie die Anzeige von Anwendungen auf der Grundlage des Standorts einschränken möchten. Wenn Sie mithilfe des adaptiven Zugriffs Steuerelemente für die Benutzer einschränken möchten (z. B. Deaktivieren des Zugriffs auf die Zwischenablage, die Druckerumleitung und die Clientlaufwerkzuweisung), können Sie diese Hinweise ignorieren.
- Bei Auswahl der Option Benutzerverwaltung mit Citrix Cloud beim Erstellen einer Bereitstellungsgruppe können Sie keine Smart Access-Richtlinien anwenden (z. B. adaptiver Zugriff auf Citrix DaaS je nach Netzwerkstandort). Das liegt daran, dass die Bereitstellungsgruppen zu Bibliotheksangeboten werden und daher nicht von Web Studio bearbeitet werden.
- Wenn Sie Citrix DaaS je nach Netzwerkstandort selektiv auflisten möchten, muss die Benutzerverwaltung für diese Bereitstellungsgruppen über Citrix Studio-Richtlinien und nicht mit Workspace erfolgen. Wählen Sie beim Erstellen einer Bereitstellungsgruppe unter Benutzereinstellung entweder Verwenden der Bereitstellungsgruppe auf diese Benutzer beschränken oder Alle authentifizierten Benutzer dürfen diese Bereitstellungsgruppe verwenden. Dadurch können Sie den adaptiven Zugriff unter Bereitstellungsgruppe auf der Registerkarte Zugriffsrichtlinie konfigurieren.
-
Ändert sich zu “direkte Workloadverbindung”, wenn der adaptive Zugriff aktiviert ist.
- Das Feld Tags für den Ort finden Sie in Citrix Cloud > Netzwerkstandorte > Netzwerkstandort hinzufügen > Tags für den Ort.
- Bestehende Richtlinien für direkte Workloadverbindung funktionieren wie vorgesehen.
- Neue Richtlinien müssen im Netzwerkstandortdienst (ohne Definition von Tags) und für die Bereitstellungsgruppe erstellt werden. Außerdem muss der Netzwerkverbindungstyp Intern sein.
- Für neue Richtlinien für die direkte Workloadverbindung mit Tags müssen Tags im Netzwerkstandortdienst und identische Tags für die Bereitstellungsgruppe oder Zugriffsrichtlinie in DaaS Studio definiert werden. Außerdem muss der Netzwerkverbindungstyp Intern sein. Standort-Tags sind für eine direkte Workloadverbindung nicht relevant.
-
Folgendes wird für das Testen der Citrix DaaS-Bereitstellung empfohlen.
- Identifizieren einer Testbereitstellungsgruppe oder Erstellen einer Bereitstellungsgruppe zum Implementieren dieser Funktion.
- Erstellen einer Richtlinie oder Identifizieren einer Richtlinie, die mit einer Testbereitstellungsgruppe verwendet werden kann.
Adaptiven Zugriff aktivieren
- Melden Sie sich bei Citrix Cloud an.
- Wählen Sie im Hamburger-Menü die Option Workspacekonfiguration.
- Der Umschalter Adaptiver Zugriff ist standardmäßig deaktiviert. Aktivieren Sie Adaptiver Zugriff.
- Klicken Sie in der Bestätigungsmeldung auf Ja, adaptiven Zugriff aktivieren.
Wenn der adaptive Zugriff aktiviert ist, können Sie die Standort-Tags für den adaptiven Zugriff definieren (Citrix Cloud > Netzwerkstandorte > Netzwerkstandort hinzufügen > Tags für den Ort).
Wenn der adaptive Zugriff deaktiviert ist, können Sie keinen Netzwerkstandort hinzufügen. Standort-Tags sind in diesem Fall nicht anwendbar.
Wichtig:
Wenn Sie versuchen, den adaptiven Zugriff zu deaktivieren, wird die folgende Meldung angezeigt. Workspace sendet die Tags für den adaptiven Zugriff nicht an den DaaS, wenn das Feature deaktiviert ist.
Adaptiven Zugriff konfigurieren
Die Konfiguration des adaptiven Zugriffs auf der Grundlage von Netzwerkstandorten umfasst die folgenden allgemeinen Schritte.
- Netzwerkstandortrichtlinien definieren
- Tags in DaaS Studio definieren
Die Erläuterung der Konfiguration erfolgt anhand der Benutzertypen BrancOffice und WorkFromHome.
- BranchOffice-Benutzer müssen vollen Zugriff auf Anwendungen haben.
- WorkFromHome-Benutzer dürfen keinen Zugriff auf die Zwischenablage haben.
In diesem Konfigurationsbeispiel heißen die Tags Home und Office.
Netzwerkstandortrichtlinien konfigurieren
- Melden Sie sich bei Citrix Cloud an.
- Wählen Sie Netzwerkstandorte im Hamburger-Menü. Stellen Sie sicher, dass der adaptive Zugriff aktiviert ist. Andernfalls wird die Benutzeroberfläche für die direkte Workloadverbindung angezeigt.
-
Klicken Sie auf Netzwerkspeicherort hinzufügen.
-
Standortname: Geben Sie einen geeigneten Namen für die Richtlinie ein.
Beispiel: BranchOffice bzw. WorkFromHome
-
Öffentlicher IP-Adressbereich: Definieren Sie den öffentlichen IP-Adressbereich für Ihr Netzwerk.
Beispiel: 172.9.2.1-172.9.2.30
-
Tags für den Ort: Definieren Sie Tags für den Standort. Dies kann ein Name sein, der sich auf Ihren Standort bezieht. Diese Tags werden verwendet, um in Citrix Studio die Richtlinien für den adaptiven Zugriff zu konfigurieren. Einzelheiten finden Sie unter Tags in Citrix Studio definieren.
Beispiel: Office oder Home
-
Konnektivitätstyp: Definieren Sie den Typ des Anwendungsstarts.
Intern: Gateway für den Anwendungsstart umgehen. Extern Citrix Gateway-Dienst oder ein herkömmliches Gateway für den Anwendungsstart verwenden.
-
- Klicken Sie auf Speichern.
Sie können diese Tags jetzt in DaaS Studio verwenden, um den adaptiven Zugriff zu aktivieren.
Tags in Citrix Studio mithilfe der GUI definieren
In diesem Beispiel werden Tags in den Bereitstellungsgruppen definiert, um die Anwendungsanzeige für Benutzer einzuschränken. Es werden zwei Bereitstellungsgruppen erstellt.
- Bereitstellungsgruppe mit adaptivem Zugriff: für die Benutzer des Standorts BranchOffice. Diese Benutzer müssen alle Anwendungen aus der Bereitstellungsgruppe sehen können.
- WFH-Bereitstellungsgruppe: für die Benutzer des Standorts WorkfromHome. Diese Benutzer müssen Anwendungen aus der Bereitstellungsgruppe sehen können.
- Melden Sie sich bei Citrix Cloud an.
- Klicken Sie auf der Citrix DaaS-Kachel auf Verwalten.
- Erstellen Sie eine Bereitstellungsgruppe. Weitere Informationen finden Sie unter Erstellen von Bereitstellungsgruppen.
- Wählen Sie die von Ihnen erstellte Bereitstellungsgruppe aus und klicken Sie auf Bereitstellungsgruppe bearbeiten.
- Klicken Sie auf Zugriffsrichtlinie.
-
Für Kunden, die den adaptiven Zugriff in der Citrix Workspace-Plattform verwenden, können Sie für eine Bereitstellungsgruppe den Zugriff auf interne Netzwerke wie folgt beschränken:
- Klicken Sie mit der rechten Maustaste auf die Bereitstellungsgruppe und wählen Sie Bearbeiten aus.
- Wählen Sie im linken Bereich die Zugriffsrichtlinie aus.
-
Klicken Sie auf das Bearbeitungssymbol, um die standardmäßige Citrix Gateway-Verbindungsrichtlinie zu ändern.
-
Wählen Sie auf der Seite Richtlinie bearbeiten die Option Verbindungen, die eines der folgenden Kriterien erfüllen und dann Stimmt mit beliebigen dieser Elemente überein aus und fügen Sie die Kriterien hinzu.
Geben Sie für WorkFromHome-Benutzer die folgenden Werte in den jeweiligen Delivery Controller ein.
Farm: Workspace
Filter: LOCATION_TAG_HOME
Geben Sie für BranchOffice-Benutzer die folgenden Werte in den jeweiligen Delivery Controller ein.
Filter: Workspace
Wert: LOCATION_TAG_OFFICE
Sie können diese Tags jetzt verwenden, um den Zugriff auf Anwendungen einzuschränken.
Zugriff auf Anwendungen einschränken
In diesem Beispiel wird die Umleitung der Clientzwischenablage für Benutzer des Standorts “WorkFromHome” deaktiviert.
- Melden Sie sich bei Citrix DaaS an.
- Gehen Sie zu Richtlinien und klicken Sie auf Richtlinie erstellen.
- Wählen Sie Clientzwischenablagenumleitung und klicken Sie auf Verbieten.
- Klicken Sie auf Weiter.
- Wählen Sie auf der Seite “Richtlinie zuweisen” die Option Zugriffssteuerung.
-
Definieren Sie die folgenden Werte für die Richtlinie:
- Modus: Zulassen
- Verbindungstyp: Mit Citrix Gateway
- Gatewayfarmname: Workspace
- Zugriffsbedingung: LOCATION_TAG_HOME (alles in Großbuchstaben)
- Klicken Sie auf Weiter.
- Geben Sie einen Namen für die Richtlinie und eine Richtlinienbeschreibung ein.
- Klicken Sie auf Fertig stellen.
Benutzer des Standorts WorkFromHome haben keinen Zugriff auf die Zwischenablage für ihre gestarteten Ressourcen.
Netzwerkstandort-Tags
Der Netzwerkstandortdienst stellt die folgenden Tags bereit.
-
Standardtags: Diese Tags sind im Netzwerkstandortdienst definiert. Die folgenden Standardtags sind verfügbar.
- Location_internal: Das Tag wird standardmäßig gesendet, wenn der Netzwerkverbindungstyp auf INTERNAL festgelegt ist.
- Location_external:Das Tag wird standardmäßig gesendet, wenn der Netzwerkverbindungstyp auf EXTERNAL festgelegt ist.
- Location_undefined: Das Tag wird für eine IP-Adresse gesendet, die nicht in der Richtlinie definiert ist, jedoch über den Netzwerkstandortdienst zugreift. Der Start für diese Benutzer entspricht dem, was in der Ressourcengruppe definiert ist.
- Benutzerdefinierte Tags: Administratoren können benutzerdefinierte Tags in den Richtlinien definieren. Beispiel: office, home, branch
Beispiele:
Standardtags: LOCATION_INTERNAL, LOCATION_EXTERNAL, LOCATION_UNDEFINED
Benutzerdefinierte Tags: LOCATION_TAG_OFFICE, LOCATION_TAG_HOME
Hinweis:
Stellen Sie beim Definieren von Tags für den Netzwerkstandortdienst Folgendes sicher:
- Die Standard-Tags beginnen immer mit dem Präfix “LOCATION_
<tag name>”. Beispiel: LOCATION_INTERNAL.- Die benutzerdefinierten Tags beginnen immer mit dem Präfix “LOCATION_TAG
<tag name>”. Beispiel: LOCATION_TAG_OFFICE.
Bekannte Probleme
Wenn Sie den adaptiven Zugriff deaktivieren, nachdem er aktiviert wurde und Regeln festgelegt wurden (Tags und Konnektivitätstyp), werden die Standorte nicht von der Seite “Netzwerkstandorte” entfernt. Die Spalten für die Standort-Tags und den Konnektivitätstyp sind jedoch ausgeblendet. Die Standorte sind jedoch im Back-End deaktiviert. Es handelt sich um einen Schönheitsfehler.