SmartAccess für HDX-Apps

Mit dieser Funktion können Sie den Zugriff auf HDX-Apps basierend auf den Geräteeigenschaften, den Benutzereigenschaften eines Geräts oder den auf einem Gerät installierten Anwendungen steuern. Mit dieser Funktion richten Sie automatisierte Aktionen ein, um das Gerät als nicht richtlinientreu zu markieren und diesem Gerät den Zugriff zu verweigern. HDX-Apps, die mit dieser Funktion verwendet werden, werden in Citrix Virtual Apps and Desktops anhand einer SmartAccess-Richtlinie konfiguriert, die nicht richtlinientreuen Geräten den Zugriff verweigert. Endpoint Management übermittelt den Gerätestatus an StoreFront mit einem signierten verschlüsselten Tag. StoreFront gewährt oder verweigert dann den Zugriff entsprechend der Zugriffssteuerungsrichtlinie der App.

Für die Verwendung dieser Funktion muss die Bereitstellung folgende Komponenten umfassen:

  • Citrix Virtual Apps and Desktops
  • Citrix Endpoint Management
  • Citrix Workspace-Benutzeroberfläche
  • Endpoint Management mit SAML-Zertifikat für das Signieren und Verschlüsseln von Tags. Das gleiche Zertifikat ohne privaten Schlüssel wird auf den StoreFront-Server hochgeladen.

Um diese Funktion verwenden zu können, gehen Sie wie folgt vor:

  • Konfigurieren Sie das Endpoint Management-Serverzertifikat für den StoreFront-Store
  • Konfigurieren Sie mindestens eine Citrix Virtual Apps and Desktops-Bereitstellungsgruppe mit der erforderlichen SmartAccess-Richtlinie
  • Legen Sie die automatisierter Aktion in Endpoint Management fest

Exportieren und konfigurieren Sie das Endpoint Management-Serverzertifikat für den StoreFront-Store

SmartAccess verwendet signierte und verschlüsselte Tags für die Kommunikation zwischen Endpoint Management- und StoreFront-Servern. Um diese Kommunikation zu ermöglichen, fügen Sie das Endpoint Management-Serverzertifikat dem StoreFront-Store hinzu.

Weitere Informationen zur Integration von StoreFront in Endpoint Management, wenn für Endpoint Management die domänen- und zertifikatbasierte Authentifizierung konfiguriert ist, finden Sie im Support Knowledge Center.

Exportieren des SAML-Zertifikats von Endpoint Management

  1. Klicken Sie in der Endpoint Management-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt. Klicken Sie auf Zertifikate.

  2. Suchen Sie das SAML-Zertifikat für den Endpoint Management-Server.

    Abbildung der SmartAccess-Konfiguration

  3. Vergewissern Sie sich, dass Privaten Schlüssel exportieren auf Aus festgelegt ist. Klicken Sie auf Exportieren, um das Zertifikat in das Downloadverzeichnis zu exportieren.

    Abbildung der SmartAccess-Konfiguration

  4. Suchen Sie das Zertifikat im Downloadverzeichnis. Das Zertifikat weist das PEM-Format auf.

    Abbildung der SmartAccess-Konfiguration

Konvertieren des Zertifikats von PEM in CER

  1. Öffnen Sie die Microsoft Management Console (MMC) und klicken Sie mit der rechten Maustaste auf Zertifikate > Alle Aufgaben > Importieren.

    Abbildung der SmartAccess-Konfiguration

  2. Wenn der Zertifikatimport-Assistent geöffnet wird, klicken Sie auf Weiter.

    Abbildung der SmartAccess-Konfiguration

  3. Navigieren Sie zum Zertifikat im Downloadverzeichnis.

    Abbildung der SmartAccess-Konfiguration

  4. Markieren Sie Alle Zertifikate in folgendem Speicher speichern und wählen Sie Eigene Zertifikate als Zertifikatspeicher. Klicken Sie auf Weiter.

    Abbildung der SmartAccess-Konfiguration

  5. Überprüfen Sie Ihre Auswahl und klicken Sie auf Fertig stellen. Klicken Sie im Bestätigungsfenster auf OK.

  6. Klicken Sie in der MMC mit der rechten Maustaste auf das Zertifikat und dann auf Alle Aufgaben > Exportieren.

    Abbildung der SmartAccess-Konfiguration

  7. Wenn der Zertifikatexport-Assistent geöffnet wird, klicken Sie auf Weiter.

    Abbildung der SmartAccess-Konfiguration

  8. Wählen Sie das Format DER-codiert-binär X.509 (.CER). Klicken Sie auf Weiter.

    Abbildung der SmartAccess-Konfiguration

  9. Navigieren Sie zu dem Zertifikat. Geben Sie einen Namen für das Zertifikat ein und klicken Sie auf Weiter.

    Abbildung der SmartAccess-Konfiguration

  10. Speichern Sie das Zertifikat.

    Abbildung der SmartAccess-Konfiguration

  11. Navigieren Sie zu dem Zertifikat und klicken Sie auf Weiter.

    Abbildung der SmartAccess-Konfiguration

  12. Überprüfen Sie Ihre Auswahl und klicken Sie auf Fertig stellen. Klicken Sie im Bestätigungsfenster auf OK.

    Abbildung der SmartAccess-Konfiguration

  13. Suchen Sie das Zertifikat im Downloadverzeichnis. Beachten Sie, dass das Zertifikat im CER-Format vorliegt.

    Abbildung der SmartAccess-Konfiguration

Kopieren Sie das Zertifikat auf den StoreFront-Server

  1. Erstellen Sie auf dem StoreFront-Server einen Ordner mit dem Namen SmartCert.

  2. Kopieren Sie das Zertifikat in den Ordner SmartCert.

    Abbildung der SmartAccess-Konfiguration

Konfigurieren des Zertifikats im StoreFront-Store

Führen Sie auf dem StoreFront-Server den folgenden PowerShell-Befehl aus, um das konvertierte Endpoint Management-Serverzertifikat im Store zu konfigurieren:

    Grant-STFStorePnaSmartAccess –StoreService $store –CertificatePath  “C:\xms\xms.cer” –ServerName “XMS server”

Abbildung der SmartAccess-Konfiguration

Wenn der StoreFront-Store vorhandene Zertifikate enthält, führen Sie folgenden PowerShell-Befehl aus, um sie zu widerrufen:

    Revoke-STFStorePnaSmartAccess –StoreService $store –All

Abbildung der SmartAccess-Konfiguration

Alternativ können Sie einen der folgenden PowerShell-Befehle auf dem StoreFront-Server ausführen, um vorhandene Zertifikate im StoreFront-Store zu widerrufen:

  • Nach Name widerrufen:
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    Revoke-STFStorePnaSmartAccess –StoreService $store –ServerName “My XM Server"
  • Nach Fingerabdruck widerrufen:
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    Revoke-STFStorePnaSmartAccess –StoreService $store –CertificateThumbprint “1094821dec7834d5d42 bb456329efe4fca86c60b”
  • Nach Serverobjekt widerrufen:
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    $access = Get-STFStorePnaSmartAccess –StoreService $store

    Revoke-STFStorePnaSmartAccess –StoreService $store –SmartAccess $access.AccessConditionsTrusts[0]

Konfigurieren der SmartAccess-Richtlinie für Citrix Virtual Apps and Desktops

Hinzufügen der erforderlichen SmartAccess-Richtlinie zur Bereitstellungsgruppe, die die HDX-App bereitstellt

  1. Öffnen Sie Citrix Studio über die Citrix Cloud-Konsole.

  2. Wählen Sie im Studio-Navigationsbereich Bereitstellungsgruppen aus.

  3. Wählen Sie eine Gruppe aus, die die App bzw. Apps bereitstellt und deren Zugriff Sie steuern möchten. Wählen Sie dann im Bereich Aktion die Option Bereitstellungsgruppe bearbeiten aus.

  4. Wählen Sie auf der Seite Zugriffsrichtlinie die Optionen Über Citrix Gateway hergestellte Verbindungen und Verbindungen, auf die mindestens einer der folgenden Filter zutrifft aus.

  5. Klicken Sie auf Hinzufügen.

  6. Fügen Sie eine Zugriffsrichtlinie hinzu, in der Farm XM und Filter XMCompliantDevice ist.

    Abbildung der SmartAccess-Konfiguration

  7. Klicken Sie auf Anwenden, damit die Änderungen angewendet werden und das Fenster geöffnet bleibt, oder klicken Sie auf OK, damit die Änderungen angewendet werden und das Fenster geschlossen wird.

Festlegen automatisierter Aktionen in Endpoint Management

Die SmartAccess-Richtlinie, die Sie in der Bereitstellungsgruppe für eine HDX-App festlegen, verweigert den Zugriff auf ein Gerät, wenn das Gerät nicht richtlinientreu ist. Verwenden Sie automatisierte Aktionen, um das Gerät als nicht richtlinientreu zu markieren.

Abbildung der SmartAccess-Konfiguration

  1. Klicken Sie in der Endpoint Management-Konsole auf Konfigurieren > Aktionen. Die Seite Aktionen wird angezeigt.

  2. Klicken Sie auf Hinzufügen, um eine Aktion hinzuzufügen. Die Seite Aktionsinformationen wird angezeigt.

  3. Geben Sie auf der Seite Aktionsinformationen einen Namen und eine Beschreibung für die Aktion ein.

  4. Klicken Sie auf Weiter. Die Seite Aktionsdetails wird angezeigt. Im folgenden Beispiel wird ein Auslöser erstellt, der Geräte sofort als nicht richtlinientreu markiert, wenn sie den Benutzereigenschaftsnamen eng5 oder eng6 aufweisen.

    Abbildung der SmartAccess-Konfiguration

  5. Wählen Sie in der Liste Auslöser die Option Geräteeigenschaft, Benutzereigenschaft oder Name der installierten App aus. SmartAccess unterstützt keine Ereignisauslöser.

  6. Führen Sie in der Liste Aktion folgende Schritte aus:

    • Wählen Sie Geräte als nicht richtlinientreu markieren.
    • Wählen Sie Ist.
    • Wählen Sie Wahr.
    • Wenn das Gerät sofort bei Erfüllen der Auslösebedingung als nicht richtlinientreu markiert werden soll, legen Sie den Zeitrahmen auf 0 fest.
  7. Wählen Sie die Endpoint Management-Bereitstellungsgruppe bzw. -gruppen aus, auf die diese Aktion angewendet werden soll.

  8. Überprüfen Sie die Zusammenfassung der Aktion.

  9. Klicken Sie auf Weiter und dann auf Speichern.

Wenn ein Gerät als nicht richtlinientreu markiert ist, werden die HDX-Apps nicht mehr im Secure Hub-Store angezeigt. Der Benutzer hat die Apps nicht mehr abonniert. Es wird keine Benachrichtigung an das Gerät gesendet, und nichts im Secure Hub-Store weist darauf hin, dass die HDX-Apps zuvor verfügbar waren.

Wenn Sie möchten, dass Benutzer benachrichtigt werden, wenn ein Gerät als nicht richtlinientreu markiert wird, erstellen Sie eine Benachrichtigung und dann eine automatisierte Aktion zum Senden der Benachrichtigung.

In diesem Beispiel wird die folgende Benachrichtigung erstellt und gesendet, wenn ein Gerät als nicht richtlinientreu markiert wird: “Die Geräteseriennummer oder Telefonnummer erfüllt die Geräterichtlinie nicht mehr und HDX-Apps werden gesperrt.”

Abbildung der SmartAccess-Konfiguration

Erstellen der Benachrichtigung, die Benutzern angezeigt wird, wenn ein Gerät als nicht richtlinientreu markiert wird

  1. Klicken Sie in der Endpoint Management-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie auf Benachrichtigungsvorlagen. Die Seite Benachrichtigungsvorlagen wird angezeigt.

  3. Klicken Sie auf Hinzufügen, um auf der Seite Benachrichtigungsvorlagen eine Vorlage hinzuzufügen.

  4. Wenn Sie aufgefordert werden, zuerst den SMS-Server einzurichten, klicken Sie auf Nein, später einrichten.

    Abbildung der SmartAccess-Konfiguration

  5. Konfigurieren Sie folgende Einstellungen:

    • Name: HDX-Anwendungsblockierung
    • Beschreibung: Agent-Benachrichtigung, wenn das Gerät nicht richtlinientreu ist
    • Typ: Ad-Hoc-Benachrichtigung
    • Secure Hub: Aktiviert
    • Nachricht: Gerät ${firstnotnull(device.TEL_NUMBER,device.serialNumber)} erfüllt die Geräterichtlinie nicht mehr und HDX-Apps werden gesperrt.

    Abbildung der SmartAccess-Konfiguration

  6. Klicken Sie auf Speichern.

Erstellen der Aktion, mit der die Benachrichtigung gesendet wird, wenn ein Gerät als nicht richtlinientreu markiert wird

  1. Klicken Sie in der Endpoint Management-Konsole auf Konfigurieren > Aktionen. Die Seite Aktionen wird angezeigt.

  2. Klicken Sie auf Hinzufügen, um eine Aktion hinzuzufügen. Die Seite Aktionsinformationen wird angezeigt.

  3. Geben Sie auf der Seite Aktionsinformationen einen Namen für die Aktion und optional eine Beschreibung ein.

    • Name: HDX hat Benachrichtigung gesperrt
    • Beschreibung: HDX hat die Benachrichtigung gesperrt, weil das Gerät nicht richtlinientreu ist
  4. Klicken Sie auf Weiter. Die Seite Aktionsdetails wird angezeigt.

  5. In der Liste Auslöser:

    • Wählen Sie Geräteeigenschaft aus.
    • Wählen Sie Nicht richtlinientreu.
    • Wählen Sie Ist.
    • Wählen Sie Wahr.

    Abbildung der SmartAccess-Konfiguration

  6. Geben Sie in der Liste Aktion die Aktionen an, die ausgeführt werden, wenn die Auslösebedingung erfüllt ist:

    • Wählen Sie Benachrichtigung senden aus.
    • Wählen Sie die von Ihnen erstellte Benachrichtigung HDX-Anwendungsblockierung.
    • Wählen Sie 0. Wenn der Wert auf 0 festgelegt ist, wird die Benachrichtigung sofort gesendet, sobald die Auslösebedingung erfüllt ist.
  7. Wählen Sie die Endpoint Management-Bereitstellungsgruppe bzw. -gruppen aus, auf die diese Aktion angewendet werden soll. Wählen Sie in diesem Beispiel AllUsers.

  8. Überprüfen Sie die Zusammenfassung der Aktion.

  9. Klicken Sie auf Weiter und dann auf Speichern.

Details über das Festlegen von automatisierten Aktionen finden Sie unter Automatisierte Aktionen.

Zurückerhalten des Zugriffs auf HDX-Apps

Nachdem das Gerät wieder richtlinientreu ist, können Benutzer den Zugriff auf die HDX-Apps zurückerhalten:

  1. Gehen Sie auf dem Gerät zu Secure Hub-Store, um die Apps im Store zu aktualisieren.

  2. Gehen Sie zur App und tippen Sie auf Hinzufügen für die App.

Nach dem Hinzufügen der App wird sie unter “Eigene Apps” mit einem blauen Punkt angezeigt, da es sich um eine neu installierte App handelt.

Abbildung der SmartAccess-Konfiguration