Gerätestatus — Vorschau

Der Device Posture Service stellt sicher, dass die Geräte bestimmte Bedingungen erfüllen, um den Zugriff auf Unternehmensressourcen über Citrix Workspace wie Citrix DaaS (virtuelle Apps und Desktops) und Secure Private Access (SaaS- und Web-Apps, TCP- und UDP-Apps) zu ermöglichen. Um ein Zero-Trust-Framework für den Remotezugriff zu haben, ist die Einrichtung von Gerätevertrauen der Schlüssel. Der Device Posture Service versucht, Zero-Trust zu erreichen, indem er das Gerät auf Konformität (Managed/BYOD und Sicherheitsstatus) überprüft.

Funktionsweise

Der Administrator definiert Richtlinien für den Gerätestatus, um zu bestimmen, ob den Geräten die Anmeldung und der Zugriff auf Ressourcen erlaubt oder verweigert werden. Im Folgenden sind die wichtigsten Bedingungen aufgeführt, anhand derer ein Gerät als richtlinientreu oder nicht richtlinientreu eingestuft wird.

• Richtlinientreue Geräte

  • Ein Gerät, das die vorkonfigurierten Richtlinien erfüllt, wenn es für die Anmeldung im Unternehmensnetzwerk verwendet wird.

• Nicht richtlinientreue Geräte

  • Geräte, auf denen nicht Windows oder macOS ausgeführt wird. In der aktuellen Version wird der Gerätestatus nur auf Windows- und macOS-Plattformen unterstützt.
  • Für ein Gerät ist keine Richtlinie zum Gerätestatus definiert, aber der Gerätestatus ist aktiviert.
  • Ein Gerät, das nicht den definierten Richtlinien entspricht. In der aktuellen Version müssen Administratoren die Ablehnungsoptionen für solche Geräte explizit konfigurieren.
• In der aktuellen Version wird der Gerätestatus nur auf Windows- und macOS-Plattformen unterstützt. Wenn sich die Benutzer von anderen Geräten aus anmelden, werden diese Geräte als nicht richtlinientreu eingestuft.
• Ein Gerät wird als richtlinientreu eingestuft, wenn es die vorkonfigurierten Bedingungen erfüllt, wenn es für die Anmeldung am Unternehmensnetzwerk verwendet wird.
• Wenn der Gerätestatus aktiviert ist und für ein Gerät keine Richtlinie für den Gerätestatus definiert ist, wird dieses Gerät als nicht richtlinientreu eingestuft.
• Einem Gerät, das die Bedingungen nicht erfüllt, wird der Zugriff auf das Unternehmensnetzwerk verweigert.
• Wenn ein Gerät keiner der Richtlinien entspricht, wird es als nicht richtlinientreu konfiguriert. In der aktuellen Version müssen Administratoren die Ablehnungsoptionen für solche Geräte explizit konfigurieren.

Die Klassifizierung von “richtlinientreuen” und “nicht richtlinientreuen” Geräten wird an Citrix DaaS und an den Citrix Secure Private Access Service weitergegeben, der wiederum die Geräteklassifizierung verwendet, um kontextuellen Zugriff/intelligenten Zugriff zu ermöglichen. Die folgende Abbildung zeigt ein Beispiel für einen Anwendungsfall.

Hinweis:

• Die Richtlinien zum Gerätestatus müssen für jede Plattform spezifisch konfiguriert werden. Für macOS kann ein Administrator beispielsweise den Zugriff für Geräte mit einer bestimmten Betriebssystemversion gewähren. In ähnlicher Weise kann der Administrator für Windows Richtlinien so konfigurieren, dass sie eine bestimmte Autorisierungsdatei, Registrierungseinstellungen usw. enthalten.
• Scans des Gerätestatus werden nur während der Vorauthentifizierung/vor der Anmeldung durchgeführt.
• Definitionen von “konform” und “nicht konform” finden Sie unter [Definitionen](/de-de/citrix-secure-private-access/device-posture.html#definitionen].

Vom Gerätestatus unterstützte Scans

Der Gerätestatus wird nur mit Windows Version 22.6.1.5 und höher und macOS-Version 22.06.1 und höher unterstützt.

Integration von Drittanbietern mit Gerätestatus

Gerätestatus ist in Microsoft Endpoint Manager (MEM) unter Windows und macOS integriert.

Einzelheiten zur Konfiguration der MEM-Integration finden Sie unter Microsoft Endpoint Manager-Integration mit Device Posture.

Voraussetzungen

Melden Sie sich hier für eine Vorschau an: https://podio.com/webforms/27886155/2183565.

Konfiguration der Gerätestatusrichtlinie

Die Gerätestatusrichtlinie ist eine Kombination aus Ausdrücken/Bedingungen, die ein Gerät erfüllen muss, um Zugriff auf die Ressourcen zu erhalten. Eine Reihe von Ausdrücken/Bedingungen bildet eine Richtlinie, und eine Reihe von Richtlinien bestimmt den gesamten Gerätestatus. Jeder Richtlinie ist eine der Aktionen zugeordnet, nämlich konform, nicht konform und Anmeldung verweigert. Darüber hinaus ist jede Richtlinie mit einer Priorität verknüpft, und die Bewertung der Richtlinie wird beendet, wenn eine Richtlinie als wahr bewertet wird und die zugehörigen Maßnahmen ergriffen werden.

1. Melden Sie sich bei Citrix Cloud an und wählen Sie dann im Hamburger-Menü Identitäts- und Zugriffsverwaltung aus.

2. Klicken Sie auf die Registerkarte Gerätestatus und dann auf Verwalten.

   

   Erstbenutzer werden auf der Landingpage des Gerätestatus aufgefordert, eine Gerätestatusrichtlinie zu erstellen. Die Gerätestatusrichtlinie muss für jede Plattform individuell konfiguriert werden. Sobald Sie eine Gerätestatusrichtlinie erstellt haben, wird diese unter den entsprechenden Plattformen aufgeführt.

   

   Eine Richtlinie tritt erst in Kraft, nachdem der Gerätestatus aktiviert wurde. Um den Gerätestatus zu aktivieren, schieben Sie den Schalter Gerätestatus ist deaktiviert in der rechten oberen Ecke auf ON.

3. Klicken Sie auf Geräterichtlinie erstellen.
4. Geben Sie einen Namen für die Richtlinie ein.

5. Wählen Sie unter Plattformdie Plattform aus, für die Sie eine Richtlinie anwenden möchten.

   Hinweis:

   Sie können die Plattform unabhängig von der Registerkarte, die Sie auf der Startseite von Gerätestatus ausgewählt haben, von Windows auf macOS oder umgekehrt ändern.

6. Fügen Sie einen oder mehrere Ausdruck/Bedingungen gemäß Ihrer Anforderung hinzu. Sie können einigen Ausdrücken auch Qualifikatoren hinzufügen.

   Hinweis:

   Jede Plattform kann maximal 10 Richtlinien und jede Richtlinie kann maximal 10 Ausdrücke/Bedingungen haben.

7. Geben Sie im Feld Prioritätdie Reihenfolge ein, in der die Richtlinien bewertet werden müssen.

   • Sie können einen Wert zwischen 1 und 100 eingeben. Es wird empfohlen, Ablehnungsrichtlinien mit einer höheren Priorität zu konfigurieren, gefolgt von “Nicht konform” und schließlich “konform”.
   • Die Priorität mit dem niedrigeren Wert hat die höchste Präferenz.
   • Nur die aktivierten Richtlinien werden anhand der Priorität bewertet.

   

8. Unter Select Rule wählen Sie die Prüfung aus, die Sie im Rahmen des Gerätestatus durchführen möchten, und wählen Sie die Bedingungen aus, die erfüllt sein müssen.

9. Klicken Sie auf Regel hinzufügen, um mehrere Regeln zu erstellen. Eine UND-Bedingung wird auf mehrere Regeln angewendet.

10. Wählen Sie unter Then the device is: basierend auf den Bedingungen, die Sie konfiguriert haben, eine der folgenden Optionen aus.

    • Konform (voller Zugriff wird gewährt)
    • Nicht konform (Eingeschränkter Zugriff wird gewährt)
    • Anmeldung verweigert
11. Klicken Sie auf Erstellen.

Wichtig:

Sie müssen auf der Startseite von Device Posture den Schalter Bei Erstellung aktivierenauf ON stellen, damit die Gerätestatusrichtlinien wirksam werden. Bevor Sie die Richtlinien aktivieren, sollten Sie sicherstellen, dass die Richtlinien korrekt konfiguriert sind und dass Sie diese Aufgaben in Ihrem Test-Setup ausführen.

Gerätestatusrichtlinie bearbeiten

Auf der Seite Device Posture können Sie unter der jeweiligen Plattform nach der Richtlinie suchen, die Sie bearbeiten möchten.

Auf dieser Seite können Sie eine Richtlinie aktivieren, deaktivieren, bearbeiten oder löschen. Sie können alle Felder in der Richtlinie bearbeiten.

Kontextueller Zugriff basierend auf dem Gerätestatus

Nachdem ein Gerät nach der Überprüfung des Gerätestatus angemeldet werden darf, werden die Geräte als konform und nicht konform eingestuft. Diese Informationen können vom Secure Private Access Service und Citrix DaaS verwendet werden, um den kontextuellen Zugriff bereitzustellen.

Wichtig:

Die Syntax für die Geräteklassifizierungs-Tags muss auf dieselbe Weise eingegeben werden, wie in den folgenden Beispielen für Citrix Secure Private Access bzw. Citrix DaaS gezeigt. Andernfalls kann der Gerätestatusservice die Geräteklassifizierungsinformationen nicht abrufen.

• Citrix Secure Private Access: Geben Sie auf der Seite “Zugriffsrichtlinien erstellen” für die Bedingung zur Überprüfung des Gerätestatus einen der folgenden Werte in benutzerdefinierte Tags ein.

  • Konform — Für richtlinientreue Geräte
  • Nicht konform — Für nicht richtlinientreue Geräte

  

• Citrix DaaS: Geben Sie auf der Seite Bereitstellungsgruppe bearbeiten > Zugriffsrichtlinie den Wert Workspace in Farm ein. Geben Sie im Feld Filter einen der folgenden Werte ein.

  • KONFORM — Für richtlinientreue Geräte
  • NICHT KONFORM — Für nicht richtlinientreue Geräte

  

Ablauf für Endbenutzer

Sobald die Richtlinien für den Gerätestatus festgelegt und der Gerätestatus aktiviert ist, sieht der Endbenutzerablauf wie folgt aus:

1. Greifen Sie auf die Citrix Workspace-URL zu: <https://<your custom workspace URL>. Der Gerätestatus scannt das Endgerät.

2. Klicken Sie auf Link öffnen, um den Scan zu starten.

   

3. Wenn die Aufforderung abläuft, werden die Benutzer zurück zu der Seite weitergeleitet, auf der die Optionen Erneut überprüfen und Plug-In herunterladen angezeigt werden. Der Benutzer muss erneut auf Prüfen klicken.

   

Ergebnisse des Gerätestatus

Je nach den Bedingungen der Gerätestatusrichtlinie gibt es drei Möglichkeiten:

• Wenn das Gerät die Bedingung erfüllt, dass es für die Zugriffsverweigerung qualifiziert ist, wird der folgende Bildschirm angezeigt.

  

• Wenn es sich bei dem Gerät um ein kompatibles Gerät handelt, erhält der Benutzer uneingeschränkten Zugriff.

  

• Wenn es sich bei dem Gerät um ein nicht kompatibles Gerät handelt, erhält der Benutzer eingeschränkten Zugriff.

  

Behebung einiger häufiger Fehler

Im Folgenden finden Sie typische Fehler mit Tipps zur Selbsthilfe-Fehlerbehebung.

• Wenn ein Scan mit einem unerwarteten Fehler fehlschlägt, zeigt der Scan eine Transaktions-ID an. Teilen Sie diese ID Ihrem Citrix-Ansprechpartner mit, um das Problem zu lösen.

• Sie können die Protokolle für mögliche Systemfehler einsehen. Wenn die Protokolle nicht helfen, wenden Sie sich an Ihren Citrix-Ansprechpartner.

  

  • %localappdata%\Citrix\EPA\dpaCitrix.txt
  • %localappdata%\Citrix\EPA\epalib.txt

Servicequalität von Device Posture

• Leistung: Unter idealen Bedingungen fügt der Device Posture Service bei der Anmeldung eine zusätzliche Verzögerung von 2 Sekunden hinzu. Diese Verzögerung kann sich je nach zusätzlichen Konfigurationen wie Gerätezertifikat und Integrationen von Drittanbietern wie Microsoft Endpoint Manager (MEM) erhöhen.
• Resilienz: Der Device Posture Service ist äußerst robust und verfügt über mehrere POPs, um sicherzustellen, dass es zu keinen Ausfallzeiten kommt.

Hinweise zur Konfiguration von Device Posture

• Benutzerdefinierte Workspace-URLs funktionieren nicht mit dem Device Posture Service.
• Änderungen an der Konfiguration des Gerätestatusservices werden nicht sofort wirksam. Es kann etwa 10 Minuten dauern, bis die Änderungen wirksam werden.
• Wenn Sie die Option Service Continuity in Citrix Workspace aktiviert haben und der Device Posture Service nicht verfügbar ist, können sich Benutzer möglicherweise nicht bei Workspace anmelden. Dies liegt daran, dass Citrix Workspace Apps und Desktops auf der Grundlage des lokalen Caches auf dem Benutzergerät auflistet.
• Wenn Sie ein langlebiges Token und ein Kennwort für Citrix Workspace konfiguriert haben, funktioniert der Gerätestatusscan für diese Konfiguration nicht. Die Geräte werden nur gescannt, wenn sich die Benutzer bei Citrix Workspace anmelden.
• Wenn die Größe der Ausdrücke groß ist (mehr als 2000 Byte), zeigt der Windows EPA-Client einen Fehler an, da er die Chunk-Antwortkodierung nicht verarbeitet.
• Im Rahmen des MAC-Adress-Scans können nur 19 MAC-Adressen konfiguriert werden.
• Mehr als ein Ausdruck vom Typ Datei/Prozes/Registrierung wird nicht unterstützt (einzelner Ausdruck oder mehrere Ausdrücke).
• Die MAC-Adresse unterscheidet zwischen Groß- und Kleinschreibung und muss in der GUI nur in Großbuchstaben konfiguriert werden.

Definitionen

Im Folgenden finden Sie die Definitionen der Begriffe “konform” und “nicht konform” in Bezug auf den Device Posture Service.

• Konform: Das Gerät ist mit den Bedingungen compliant, die von den Administratoren mithilfe der Richtlinienkonfiguration für die Gerätestatusscans festgelegt wurden.
• Nicht konform: Das Gerät ist nicht mit den Richtlinien compliant, die für die Gerätestatusscans konfiguriert wurden.