Citrix DaaS

Adaptiver Zugriff je nach Netzwerkstandort des Benutzers - Preview

Dieses Feature der Citrix Workspace-Plattform nutzt eine erweiterte Richtlinieninfrastruktur, um den adaptiven Zugriff auf Citrix DaaS (früher Citrix Virtual Apps and Desktops) basierend auf dem Netzwerkstandort des Benutzers zu ermöglichen. Der Standort wird anhand des IP-Adressbereichs oder der Subnetzadressen definiert.

Administratoren können Richtlinien definieren, um virtuelle Apps und Desktops je nach Netzwerkstandort des Benutzers aufzulisten (oder nicht). Administratoren können auch festlegen, welche Benutzeraktionen in Citrix DaaS möglich sind, indem sie den Zugriff auf Zwischenablage, Drucker, Clientlaufwerkzuordnung usw. je nach Netzwerkstandort des Benutzers aktivieren oder deaktivieren. Ein Administrator kann beispielsweise die folgenden Richtlinien für den Zugriff auf Anwendungen implementieren:

  • Auflisten einiger vertraulicher Anwendungen nur vom Unternehmensstandort aus oder auch von Zweigstellen.
  • Kein Auflisten vertraulicher Anwendungen, wenn Mitarbeiter von einem externen Netzwerk aus auf den Workspace zugreifen.
  • Deaktivieren des Druckerzugriffs von den Zweigstellen aus.
  • Deaktivieren des Zugriffs auf die Zwischenablage und den Drucker, wenn Benutzer sich außerhalb des Unternehmensnetzwerks befinden.

Voraussetzungen

  • Citrix DaaS-Bereitstellung mit Zugriff über die Citrix Workspace-Plattform.

  • Anmeldung an der Preview-Version des adaptiven Zugriffs über (https://podio.com/webforms/25412100/1884833).

    Hinweis: Dies ist nur in der Preview-Phase erforderlich.

Empfehlungen

In Ihrer Citrix DaaS-Bereitstellung:

  • Identifizieren einer Testbereitstellungsgruppe oder Erstellen einer Bereitstellungsgruppe zum Implementieren dieser Funktion.
  • Erstellen einer Richtlinie oder Identifizieren einer Richtlinie, die mit einer Testbereitstellungsgruppe verwendet werden kann.

Wichtige Hinweise

  • Bei Auswahl der Option Benutzerverwaltung mit Citrix Cloud können Sie keine Smart Access-Richtlinien anwenden (z. B. adaptiver Zugriff auf Citrix DaaS je nach Netzwerkstandort). Das liegt daran, dass die Bereitstellungsgruppen zu Bibliotheksangeboten werden und daher nicht mehr von Web Studio bearbeitet werden.
  • Wenn Sie Citrix DaaS je nach Netzwerkstandort selektiv auflisten möchten, muss die Benutzerverwaltung für diese Bereitstellungsgruppen über Citrix Studio-Richtlinien und nicht mit Workspace erfolgen. Wählen Sie beim Erstellen einer Bereitstellungsgruppe unter Benutzereinstellung entweder Verwenden der Bereitstellungsgruppe auf diese Benutzer beschränken oder Alle authentifizierten Benutzer dürfen diese Bereitstellungsgruppe verwenden. Dadurch wird unter “Bereitstellungsgruppe” die Registerkarte Zugriffsrichtlinie zum Konfigurieren des adaptiven Zugriffs aktiviert.

Hinweis: Dies ist nicht erforderlich, wenn Sie mit dem adaptiven Zugriff Benutzersteuerelemente einschränken und zum Beispiel den Zugriff auf die Zwischenablage, die Druckerumleitung und die Clientlaufwerkzuordnung für einzelne Netzwerkstandorte deaktivieren möchten.

Bereitstellungsgruppe erstellen

Informationen zur Konfiguration

Ganz allgemein müssen Sie die folgenden Schritte ausführen:

  1. Definieren Sie die Richtlinien für den adaptiven Zugriff, die Sie auf Basis des Benutzerstandorts implementieren möchten.
  2. Konfigurieren Sie Ihre Netzwerkstandorte für Unternehmen und Zweigstellen, für die der adaptive Zugriff implementiert werden soll.
  3. Konfigurieren Sie auf Basis der definierten Netzwerkstandorte Richtlinien für den adaptiven Zugriff auf virtuelle Apps und Desktops in Citrix Studio.

Definieren adaptiver Richtlinien zum Implementieren

Betrachten wir folgendes Beispiel:

Standort Zugriff oder Benutzersteuerelemente
Intern Alle Anwendungen auflisten
Zweigstelle (BranchOffice) Alle Anwendungen auflisten
Extern Einige vertrauliche Anwendungen nicht auflisten und Zugriff auf Drucker und Zwischenablage für alle Anwendungen deaktivieren

Konfigurieren von Netzwerkstandorten

Sie können Netzwerkstandorte in Citrix Cloud mit dem Netzwerkpositionsdienst https://citrix.cloud.com/networksites konfigurieren. Sie können die Sites erstellen und festlegen, ob sie je nach Netzwerkkonnektivität als interne oder externe Sites zu behandeln sind. Sie können dann Tags für die Sites anfügen. Sobald die Sites erstellt sind, muss jede Client-IP-Adresse mit einer Reihe von Tags verknüpft werden.

Konfigurieren von Netzwerkstandorten

Hinweis:

  • Es wird empfohlen, anstelle von externen Netzwerken eher Netzwerkstandorte zu definieren, die Benutzern einen Zugriff mit mehr Privilegien bieten. Verwenden Sie die Netzwerkstandorte, um Ihre internen Netzwerke, Ihre Zweigstellen usw. zu definieren, um von diesen Standorten aus bevorzugten Zugriff zu gewähren.
  • Definieren Sie Tags für jeden Netzwerkstandort bzw. jede Site. Zum Beispiel “BranchOffice”. Diese Tags werden verwendet, um in Citrix Studio die Richtlinien für den adaptiven Zugriff zu konfigurieren. Die definierten Standardtags sind LOCATION_external und LOCATION_Internal. Hinweis: In Citrix Studio müssen Sie dem Tagnamen das Präfix “LOCATION_TAG_” voranstellen. Wenn Sie beispielsweise einen Netzwerkstandort mit dem Tag “BranchOffice” definiert haben, verwenden Sie bei der Konfiguration der Filteroption in der Citrix Studio-Richtlinie den Namen “LOCATION_TAG_BranchOffice”.

Konfigurieren der Richtlinie für den adaptiven Zugriff in Citrix Studio

Hinweis: Dies ist keine vollständige Konfiguration, sondern ein Beispiel für die Verwendung der Tag-Namen zum Konfigurieren von Studio-Richtlinien.

Die im vorherigen Schritt definierten Netzwerkstandort-Tags werden zum Konfigurieren von Richtlinien für den adaptiven Zugriff in Citrix Studio verwendet. Dieser Schritt ähnelt dem Konfigurieren einer SmartAccess-Richtlinie mit dem On-Premises-Gateway. Sie müssen unter “FARM” Citrix Gateway durch Workspace und unter “Filter” die Sitzungsrichtlinie durch Netzwerkstandort-Tags ersetzen.

Wählen Sie in diesem Schritt die (vorhandene oder neue) Citrix Studio-Richtlinie und ordnen Sie sie einer (vorhandenen oder neuen) Bereitstellungsgruppe zu. Informationen zum Erstellen einer Bereitstellungsgruppe finden Sie unter Erstellen von Bereitstellungsgruppen. Informationen zum Erstellen einer Richtlinie finden Sie unter Erstellen von Richtlinien.

Konfigurieren der Richtlinie für den adaptiven Zugriff zum Auflisten virtueller Apps und Desktops

Erstellen wir nun mit dem vorherigen Beispiel eine Richtlinie, um vertrauliche Anwendungen nur für das Unternehmensnetzwerk aufzulisten (in diesem Fall “BranchOffice”). Mit der folgenden Schrittfolge weisen Sie der Bereitstellungsgruppe, die zum Testen von Richtlinien für den adaptiven Zugriff identifiziert wurde, das Tag LOCATION_TAG_BranchOffice zu:

  1. Melden Sie sich bei Citrix Cloud an.
  2. Wählen Sie Eigene Services > DaaS.
  3. Klicken Sie auf Verwalten.
  4. Erstellen Sie Bereitstellungsgruppen gemäß Ihrer Anforderung. Weitere Informationen finden Sie unter Erstellen von Bereitstellungsgruppen.
  5. Wählen Sie die von Ihnen erstellte Bereitstellungsgruppe aus und klicken Sie auf Bereitstellungsgruppe bearbeiten.
  6. Klicken Sie auf Zugriffsrichtlinie.
  7. Klicken Sie auf Hinzufügen und wählen Sie Folgendes aus:

    • Workspace in Farm
    • LOCATION_TAG_BranchOffice in Filter

    Bereitstellungsgruppe bearbeiten

    Hinweis: Sie können derselben Farm mehrere Filter hinzufügen. Die Farm muss immer auf Workspace festgelegt sein, und der Filter muss über eines der Tags für den adaptiven Zugriff verfügen, die basierend auf den konfigurierten Netzwerkstandorten erstellt werden.

  8. Für Kunden, die den adaptiven Zugriff in der Citrix Workspace-Plattform verwenden, können Sie für eine Bereitstellungsgruppe den Zugriff auf interne Netzwerke wie folgt beschränken:

    • Aktivieren Sie das Kontrollkästchen Über NetScaler Gateway hergestellte Verbindungen und aktivieren Sie dann das Kontrollkästchen Verbindungen, auf die mindestens einer der folgenden Filter zutrifft.
    • Geben Sie die entsprechenden Tags für interne Standorte ein.

    Hinweis: Wenn Sie Alle nicht über NetScaler Gateway hergestellten Verbindungen aktivieren, können Sie Ihre Apps unabhängig davon sehen, ob Ihr Zugriff über das interne oder externe Netzwerk erfolgt. Kunden, die den adaptiven Zugriff mit der Citrix Workspace-Plattform verwenden, sollten sich nicht auf die Option Alle nicht über NetScaler Gateway hergestellten Verbindungen verlassen, um für eine Bereitstellungsgruppe den Zugriff auf interne Netzwerke zu beschränken.

Konfigurieren von Richtlinien für den adaptiven Zugriff zur Definition von Benutzersteuerelementen beim Zugriff auf virtuelle Apps und Desktops

Erstellen Sie nun mit dem vorherigen Beispiel eine Richtlinie, um die Funktion zum Kopieren und Einfügen nur für Zweigstellen zu deaktivieren.

Um die Funktion zum Kopieren und Einfügen für Benutzer am Standort LOCATION_TAG_BranchOffice zu deaktivieren, führen Sie folgende Schritte aus:

  1. Klicken Sie auf der Konfigurationsseite für Citrix DaaS auf die Registerkarte Verwalten.
  2. Klicken Sie auf die Registerkarte Richtlinien.
  3. Wählen Sie Richtlinie erstellen.
  4. Wählen Sie unter “Einstellungen auswählen” die Option Clientzwischenablagenumleitung.
  5. Wählen Sie unter “Einstellung bearbeiten” die Option Nicht zugelassen und klicken Sie auf OK.

    Einstellung bearbeiten

  6. Klicken Sie auf der Seite “Benutzer und Maschinen” auf Select user and machine objects und weisen Sie diese Richtlinie dann der Zugriffssteuerung zu.

  7. Geben Sie einen Namen für die Richtlinie ein (oder akzeptieren Sie den Standardwert). Empfehlenswert sind Richtliniennamen, die beschreiben, wer von der Richtlinie betroffen ist, z. B. Buchhaltung oder Remotebenutzer. Geben Sie optional eine Beschreibung ein.

Die Richtlinie ist standardmäßig aktiviert. Sie können sie deaktivieren. Wenn die Richtlinie aktiviert ist, kann sie sofort auf Benutzer, die sich anmelden, angewendet werden. Deaktivieren der Richtlinie verhindert, dass sie angewendet wird. Wenn Sie die Priorität der Richtlinie ändern müssen oder später weitere Einstellungen hinzufügen möchten, können Sie die Richtlinie deaktivieren, bis Sie damit fertig sind, und die Richtlinie dann anwenden.

Zuweisen der Richtlinie für den adaptiven Zugriff zu einem externen Standort (LOCATION_External)

Wenn Sie eine Zugriffsrichtlinie auf einen externen Standort anwenden möchten, um beispielsweise den Zugriff auf die Zwischenablage für Benutzer zu deaktivieren, die von nicht konfigurierten Standorten aus zugreifen (also nicht LOCATION_TAG_BranchOffice, LOCATION_internal), müssen Sie die Richtlinie nur LOCATION_external zuweisen (da keiner der definierten Netzwerkstandorte erfasst wird, wird LOCATION_external zurückgegeben).

Richtlinie zuweisen

Validieren der Richtlinienkonfiguration

Validieren Sie die adaptiven Richtlinien, um sicherzustellen, dass sie wie beabsichtigt funktionieren, bevor Sie die Richtlinien umfassend implementieren. Im Konfigurationsbeispiel gilt Folgendes:

  • Für Benutzer, deren Zugriff vom Netzwerkstandort LOCATION_Internal erfolgt, müssen die Apps aufgelistet sein. Die Funktion zum Kopieren und Einfügen muss für diese Benutzer ebenfalls verfügbar sein.
  • Für Benutzer, deren Zugriff vom Netzwerkstandort LOCATION_TAG_BranchOffice erfolgt, müssen die Apps aufgelistet sein. Die Funktion zum Kopieren und Einfügen muss für diese Benutzer deaktiviert sein.
  • Für Benutzer, deren Zugriff vom Standort LOCATION_External erfolgt, dürfen die Apps nicht aufgelistet sein.
Adaptiver Zugriff je nach Netzwerkstandort des Benutzers - Preview