Citrix Secure Private Access

Admin-geführter Workflow für einfaches Onboarding und Einrichten

Eine neue optimierte Admin-Erfahrung mit schrittweisem Prozess zur Konfiguration von Zero Trust Network Access für SaaS-Apps, interne Web-Apps und TCP-Apps ist im Secure Private Access-Dienst verfügbar. Es umfasst die Konfiguration von Adaptive Authentication, Anwendungen wie Benutzerabonnements, Richtlinien für den adaptiven Zugriff und andere innerhalb einer einzigen Admin-Konsole.

Dieser Assistent hilft Administratoren dabei, eine fehlerfreie Konfiguration zu erreichen, entweder beim Onboarding oder bei wiederkehrender Verwendung. Außerdem ist ein neues Dashboard mit vollständigem Einblick in die allgemeinen Nutzungsmetriken und andere wichtige Informationen verfügbar.

Zu den allgemeinen Schritten gehören die folgenden:

  1. Wählen Sie die Authentifizierungsmethode, mit der sich die Abonnenten bei Citrix Workspace anmelden möchten.
  2. Fügen Sie Anwendungen für Ihre Benutzer hinzu.
  3. Weist Berechtigungen für den App-Zugriff zu, indem die erforderlichen Zugriffsrichtlinien erstellt werden.
  4. Überprüfen Sie die Konfiguration der App.

Greifen Sie auf den administrativen Workflow-Assistenten Secure Private Access zu

Führen Sie die folgenden Schritte aus, um auf den Assistenten zuzugreifen.

  1. Klicken Sie auf der Secure Private Access-Dienstkachel auf Verwalten.
  2. Klicken Sie auf der Übersichtsseite auf Weiter.

Admin-geführte Workflow-Übersicht

Schritt 1: Identität und Authentifizierung einrichten

Wählen Sie die Authentifizierungsmethode für die Abonnenten aus, um sich bei Citrix Workspace anzumelden. Die adaptive Authentifizierung ist ein Citrix Cloud-Dienst, der Kunden und Benutzern, die sich bei Citrix Workspace anmelden, eine verbesserte Authentifizierung ermöglicht. Der Adaptive Authentication Service ist ein von Citrix gehosteter, von Citrix verwalteter, Cloud-gehosteter Citrix ADC, der alle erweiterten Authentifizierungsfunktionen wie die folgenden bietet.

  • Multifaktorauthentifizierung
  • Gerätestatusscans
  • Bedingte Authentifizierung
  • Adaptiver Zugriff auf Citrix Virtual Apps and Desktops

  • Um die Adaptive Authentifizierung zu konfigurieren, wählen Sie Adaptive Auth (Technical Preview) konfigurieren und verwenden und schließen Sie dann die Konfiguration ab. Weitere Informationen zur adaptiven Authentifizierung finden Sie unter Adaptive Authentication Service. Nachdem Sie die adaptive Authentifizierung konfiguriert haben, können Sie auf Verwalten klicken, um die Konfiguration bei Bedarf zu ändern.

Adaptive Authentifizierung

  • Wenn Sie anfangs eine andere Authentifizierungsmethode ausgewählt haben und zur adaptiven Authentifizierung wechseln möchten, klicken Sie auf Auswählen und konfigurieren, und schließen Sie dann die Konfiguration ab.

Adaptive Authentifizierung

Um die vorhandene Authentifizierungsmethode oder die vorhandene Authentifizierungsmethode zu ändern, klicken Sie auf Workspace-Authentifizierung.

Schritt 2: Anwendungen hinzufügen und verwalten

Nachdem Sie die Authentifizierungsmethode ausgewählt haben, konfigurieren Sie die Anwendungen. Für Erstbenutzer werden auf der Zielseite Anwendungen keine Anwendungen angezeigt. Fügen Sie eine App hinzu, indem Sie auf App hinzufügenklicken. Auf dieser Seite können Sie SaaS-Apps, Web-Apps und TCP/UDP-Apps hinzufügen. Um eine App hinzuzufügen, klicken Sie auf App hinzufügen.

Sobald Sie eine App hinzugefügt haben, können Sie sie hier sehen.

Eine App hinzufügen

Führen Sie die in der folgenden Abbildung angezeigten Schritte aus, um eine App hinzuzufügen.

Steps

Schritt 3: Konfigurieren Sie eine Zugriffsrichtlinie mit mehreren Regeln

Sie können mehrere Zugriffsregeln erstellen und verschiedene Zugriffsbedingungen für verschiedene Benutzer oder Benutzergruppen innerhalb einer einzigen Richtlinie konfigurieren. Diese Regeln können getrennt für HTTP/HTTPS- und TCP/UDP-Anwendungen angewendet werden, und das alles innerhalb einer einzigen Richtlinie.

Mit den Zugriffsrichtlinien in Secure Private Access können Sie den Zugriff auf die Apps je nach Kontext des Benutzers oder Benutzergeräts aktivieren oder deaktivieren. Darüber hinaus können Sie den eingeschränkten Zugriff auf die Apps aktivieren, indem Sie die folgenden Sicherheitseinschränkungen hinzufügen:

  • Zugriff auf Zwischenablage einschränken
  • Drucken einschränken
  • Downloads einschränken
  • Uploads einschränken
  • Wasserzeichen anzeigen
  • Schlüsselprotokollierung einschränken
  • Bildschirmaufnahme einschränken

Weitere Informationen zu diesen Einschränkungen finden Sie unter Verfügbare Zugriffsbeschränkungsoptionen.

  1. Klicken Sie im Navigationsbereich auf Zugriffsrichtlinien und dann auf Richtlinie erstellen.

    Richtlinie hinzufügen

    Für Erstbenutzer werden auf der Zielseite Zugriffsrichtlinien keine Richtlinien angezeigt. Sobald Sie eine Richtlinie erstellt haben, können Sie sie hier sehen.

  2. Geben Sie den Richtliniennamen und die Beschreibung der Richtlinie ein.
  3. Wählen Sie unter Anwendungen die App oder die Gruppe von Apps aus, für die diese Richtlinie durchgesetzt werden muss.
  4. Klicken Sie auf Regel erstellen, um Regeln für die Richtlinie zu erstellen.

    Regel erstellen

  5. Geben Sie den Regelnamen und eine kurze Beschreibung der Regel ein, und klicken Sie dann auf Weiter.

    Einzelheiten zur Regel

  6. Wählen Sie die Bedingungen der Benutzer aus. Die Benutzerbedingung ist eine zwingende Voraussetzung, die erfüllt sein muss, um den Benutzern Zugriff auf die Anwendungen zu gewähren. Wählen Sie eine Option aus:

    • Entspricht einem von — Nur die Benutzer oder Gruppen, die mit einem der im Feld aufgeführten Namen übereinstimmen und zur ausgewählten Domäne gehören, haben Zugriff.
    • Entspricht keinem — Alle Benutzer oder Gruppen mit Ausnahme der im Feld aufgeführten Benutzer oder Gruppen, die zur ausgewählten Domäne gehören, sind berechtigt, darauf zuzugreifen.

    Regelbedingungen erstellen

  7. (Optional) Klicken Sie auf +, um je nach Kontext mehrere Bedingungen hinzuzufügen.

    Wenn Sie Bedingungen hinzufügen, die auf einem Kontext basieren, wird eine UND-Operation auf die Bedingungen angewendet, wobei die Richtlinie nur ausgewertet wird, wenn die Benutzerbedingungen und die optionalen kontextbezogenen Bedingungen erfüllt sind. Sie können die folgenden Bedingungen je nach Kontext anwenden.

    • Desktop oder Mobilgerät — Wählen Sie das Gerät aus, für das Sie den Zugriff auf die Apps aktivieren möchten.
    • Geografischer Standort — Wählen Sie die Bedingung und den geografischen Standort aus, von dem aus die Benutzer auf die Apps zugreifen.
      • Entspricht einem von: Nur Benutzern oder Benutzergruppen, die von einem der aufgelisteten geografischen Standorte aus auf die Apps zugreifen, wird der Zugriff auf die Apps gewährt.
      • Entspricht keinem: Alle Benutzer oder Benutzergruppen außer denen aus den aufgelisteten geografischen Standorten haben Zugriff.
    • Netzwerkstandort — Wählen Sie die Bedingung und das Netzwerk aus, über das die Benutzer auf die Apps zugreifen.
      • Entspricht einem von: Nur Benutzern oder Benutzergruppen, die von einem der aufgelisteten Netzwerkstandorte aus auf die Apps zugreifen, wird der Zugriff auf die Apps gewährt.
      • Entspricht keinem: Alle Benutzer oder Benutzergruppen außer denen von den aufgelisteten Netzwerkstandorten haben Zugriff.
    • Gerätestatusprüfung — Wählen Sie die Bedingungen aus, die das Benutzergerät für den Zugriff auf die Anwendung erfüllen muss.
    • Risikobewertung für Benutzer — Wählen Sie die Risikobewertungskategorien aus, auf deren Grundlage die Benutzer Zugriff auf die Anwendung erhalten müssen.
    • Workspace-URL— Administratoren können Filter auf der Grundlage des vollqualifizierten Domainnamens angeben, der dem Workspace entspricht. Diese Option befindet sich derzeit in der Vorschau.
      • Entspricht einer derOptionen — Zugriff nur zulassen, wenn die eingehende Benutzerverbindung einer der konfigurierten Workspace-URLs entspricht.
      • Entspricht allen —Erlaubt den Zugriff nur, wenn die eingehende Benutzerverbindung alle konfigurierten Workspace-URLs erfüllt.
  8. Klicken Sie auf Weiter.
  9. Wählen Sie die Aktionen aus, die auf der Grundlage der Zustandsbewertung angewendet werden müssen.

    • Für HTTP/HTTPS-Apps können Sie Folgendes auswählen:
      • Zugriff erlauben
      • Zugriff mit Einschränkungen zulassen
      • Zugriff verweigern

      Hinweis:

      Wenn Sie Zugriff mit Einschränkungen zulassenauswählen, müssen Sie die Einschränkungen auswählen, die Sie für die Apps erzwingen möchten. Einzelheiten zu den Einschränkungen finden Sie unter Verfügbare Optionen für Zugriffsbeschränkungen . Sie können auch angeben, ob die App in einem Remote-Browser oder im Citrix Secure Browser geöffnet werden soll.

    • Für den TCP/UDP-Zugriff können Sie Folgendes auswählen:
      • Zugriff erlauben
      • Zugriff verweigern

    Regelaktion erstellen

  10. Klicken Sie auf Weiter. Auf der Übersichtsseite werden die Richtliniendetails angezeigt.
  11. Sie können die Details überprüfen und auf Fertig stellenklicken.

    Zusammenfassung mehrerer Regeln

Punkte, die Sie sich nach der Erstellung einer Richtlinie merken sollten

  • Die von Ihnen erstellte Richtlinie wird im Abschnitt Richtlinienregeln angezeigt und ist standardmäßig aktiviert. Sie können die Regeln bei Bedarf deaktivieren. Stellen Sie jedoch sicher, dass mindestens eine Regel aktiviert ist, damit die Richtlinie aktiv ist.

  • Der Richtlinie ist standardmäßig eine Prioritätsreihenfolge zugewiesen. Die Priorität mit einem niedrigeren Wert hat die höchste Präferenz. Die Regel mit der niedrigsten Prioritätsnummer wird zuerst bewertet. Wenn die Regel (n) nicht den definierten Bedingungen entspricht, wird die nächste Regel (n+1) ausgewertet und so weiter.

    Prioritätsreihenfolge mit mehreren Regeln

Beispiel für die Bewertung von Regeln mit Prioritätsreihenfolge:

Bedenken Sie, dass Sie zwei Regeln erstellt haben, Regel 1 und Regel 2. Regel 1 wird Benutzer A zugewiesen und Regel 2 wird Benutzer B zugewiesen, dann werden beide Regeln ausgewertet. Bedenken Sie, dass beide Regeln Regel 1 und Regel 2 dem Benutzer A zugewiesen sind. In diesem Fall hat Regel 1 die höhere Priorität. Wenn die Bedingung in Regel 1 erfüllt ist, wird Regel 1 angewendet und Regel 2 wird übersprungen. Andernfalls, wenn die Bedingung in Regel 1 nicht erfüllt ist, wird Regel 2 auf Benutzer A angewendet.

Hinweis:

Wenn keine der Regeln ausgewertet wird, wird die App für die Benutzer nicht aufgeführt.

Verfügbare Optionen für Zugriffsbeschränkungen

Wenn Sie die Aktion Zugriff mit Einschränkungen zulassenauswählen, müssen Sie mindestens eine der Sicherheitseinschränkungen auswählen. Diese Sicherheitseinschränkungen sind im System vordefiniert. Administratoren können keine anderen Kombinationen ändern oder hinzufügen. Die folgenden Sicherheitseinschränkungen können für die Anwendung aktiviert werden.

Zugangsbeschränkungen

  • Zugriff auf die Zwischenablage einschränken:Deaktiviert Ausschneiden/Kopieren/Einfügen zwischen der App und der Systemzwischenablage.
  • Drucken einschränken:Deaktiviert die Möglichkeit, im Citrix Enterprise Browser zu drucken.
  • Downloads einschränken:Deaktiviert die Fähigkeit des Benutzers, von der App aus herunterzuladen.
  • Uploads einschränken:Deaktiviert die Fähigkeit des Benutzers, innerhalb der App hochzuladen.
  • Wasserzeichen anzeigen:Zeigt auf dem Bildschirm des Benutzers ein Wasserzeichen an, das den Benutzernamen und die IP-Adresse des Computers des Benutzers anzeigt.
  • Key-Logging einschränken:Schützt vor Keyloggern. Wenn ein Benutzer versucht, sich mit dem Benutzernamen und dem Kennwort bei der App anzumelden, werden alle Schlüssel auf den Keyloggern verschlüsselt. Außerdem sind alle Aktivitäten, die der Benutzer in der App ausführt, vor Key-Logging geschützt. Wenn beispielsweise App-Schutzrichtlinien für Office 365 aktiviert sind und der Benutzer ein Office 365-Word-Dokument bearbeitet, werden alle Tastenanschläge auf Keyloggern verschlüsselt.
  • Bildschirmaufnahme einschränken:Deaktiviert die Möglichkeit, die Bildschirme mit einem der Bildschirmaufnahmeprogramme oder Apps aufzunehmen. Wenn ein Benutzer versucht, den Bildschirm zu erfassen, wird ein leerer Bildschirm aufgenommen.

  • Im Remote-Browser öffnen:Öffnet die App im Citrix Remote Browser.

    • Wenn Sie Im Remote-Browser öffnen auswählen und die Remote-Browser-Kataloge für Secure Private Access fehlen, wird die folgende Meldung angezeigt:

      Es ist kein veröffentlichter Remote-Isolationskatalog verfügbar, um diese Anwendung zu hosten. Rufen Sie die Remote Browser Isolation-Konsole auf, um den Katalog zu veröffentlichen.

    • Wenn Sie versuchen, eine Web- oder SaaS-App zu starten, schlägt der App-Start außerdem fehl, wenn die RBI-Kataloge fehlen und die folgende Meldung erscheint:

      Es wurden keine Kataloge erstellt, um diese Anfrage zu bearbeiten. Wenden Sie sich an den Administrator.

    Weitere Informationen zur Citrix Remotebrowser-Isolierung finden Sie unter Remote-Browser-Isolierung.

Schritt 4: Überprüfen Sie die Zusammenfassung jeder Konfiguration

Auf der Seite Überprüfen können Sie die vollständige App-Konfiguration anzeigen und dann auf Schließenklicken.

SPA-configuration-summary

Die folgende Abbildung zeigt die Seite an, nachdem Sie die 4-stufige Konfiguration abgeschlossen haben.

SPA-Konfiguration abgeschlossen

Wichtig:

  • Nachdem Sie die Konfiguration mit dem Assistenten abgeschlossen haben, können Sie die Konfiguration eines Abschnitts ändern, indem Sie direkt zu diesem Abschnitt gehen. Sie müssen die Reihenfolge nicht einhalten.
  • Wenn Sie alle konfigurierten Apps oder Richtlinien löschen, müssen Sie sie erneut hinzufügen. In diesem Fall wird das folgende Fenster angezeigt, wenn Sie alle Richtlinien gelöscht haben.

Gelöschte Richtlinien