Gerätestatus

Der Citrix Device Posture Service ist eine cloudbasierte Lösung, mit der Administratoren bestimmte Anforderungen durchsetzen können, die die Endgeräte erfüllen müssen, um Zugriff auf Citrix DaaS (virtuelle Apps und Desktops) oder Citrix Secure Private Access-Ressourcen (SaaS, Web-Apps, TCP- und UDP-Apps) zu erhalten. Um einen Zero-Trust-basierten Zugriff zu implementieren, ist es wichtig, das Vertrauen zwischen Geräten herzustellen, indem der Status des Geräts überprüft wird. Der Device Posture Service setzt die Zero-Trust-Prinzipien in Ihrem Netzwerk durch, indem er die Endgeräte auf Konformität (verwaltet/BYOD und Sicherheitsstatus) überprüft, bevor ein Endbenutzer sich anmelden kann.

Voraussetzungen

  • Lizenzanforderungen: Die Berechtigung für den Citrix Device Posture Service ist Teil der Lizenzen Citrix DaaS Premium, Citrix DaaS Premium Plus und Citrix Secure Private Access Advanced. Kunden mit anderen Lizenzen können eine Device Posture Service-Lizenz als Add-on erwerben. Für ein Add-on müssen Kunden eine eigenständige Adaptive Authentication-SKU erwerben, müssen diese aber nicht unbedingt bereitstellen, um den Device Posture Service nutzen zu können.

  • Unterstützte Plattformen:

    • Windows (10 und 11)
    • macOS 13 Ventura
    • macOS 12 Monterey
    • iOS
    • IGEL

    Hinweis:

    • Ein Gerät, das auf einer Plattform läuft, die nicht unterstützt wird, ist standardmäßig als nicht konform gekennzeichnet. Sie können die Klassifizierung auf der Seite “Gerätestatus” auf der Registerkarte Einstellungen von Nicht konform in Anmeldung verweigert ändern.

    • Ein Gerät, das auf einer unterstützten Plattform läuft, aber keiner vordefinierten Gerätezustandsrichtlinie entspricht, wird standardmäßig als nicht konform markiert. Sie können die Klassifizierung auf der Seite “Gerätestatus” auf der Registerkarte Einstellungen von Nicht konform in Anmeldung verweigert ändern.

    • Für die iOS-Unterstützung im Device Posture Service ist der EPA-Client als Teil der Citrix Workspace-App für iOS integriert. Einzelheiten zu den Versionen finden Sie unter Citrix Workspace-App für iOS.

    • Für die Unterstützung von IGEL OS im Device Posture Service ist der EPA-Client als Teil des IGEL OS integriert. Wenden Sie sich an das IGEL-Supportteam, um den EPA-Client auf den IGEL-Geräten zu installieren.

  • Citrix Device Posture Client (EPA-Client): Eine einfache Anwendung, die auf dem Endgerät installiert werden muss, um Gerätestatusscans auszuführen. Diese Anwendung benötigt keine lokalen Administratorrechte, um sie herunterzuladen und auf einem Endpunkt zu installieren.

    Hinweis:

    Wenn Sie eine Gerätezertifikatsprüfung verwenden, müssen Sie den EPA-Client mit Administratorrechten installieren.

  • Unterstützte Browser: Chrome, Edge und Firefox.

  • Firewall-Konfiguration: Damit der Device Posture Service die EPA-Clients auf einem Endgerät aktualisieren kann, muss die Firewall/der Proxy so konfiguriert sein, dass die folgenden Domänen zugelassen werden:

    • https://swa-ui-cdn-endpoint-prod.azureedge.net
    • https://productioniconstorage.blob.core.windows.net
    • *.netscalergateway.net
    • *.nssvc.net
    • *.cloud.com
    • *.pendo.io
    • *.citrixworkspacesapi.net

Preview-Features

Funktionsweise

Die Administratoren können Richtlinien für den Gerätestatus erstellen, um den Status der Endgeräte zu überprüfen und festzustellen, ob die Anmeldung für ein Endgerät zulässig ist oder verweigert wird. Die Geräte, die sich anmelden dürfen, werden außerdem als konform oder nicht konform eingestuft. Benutzer können sich über einen Browser oder die Citrix Workspace-App anmelden.

Im Folgenden sind die allgemeinen Bedingungen aufgeführt, anhand derer ein Gerät als konform, nicht konform und als verweigerte Anmeldung eingestuft wird.

  • Kompatible Geräte — Ein Gerät, das die vorkonfigurierten Richtlinienanforderungen erfüllt und sich mit vollem oder uneingeschränktem Zugriff auf Citrix Secure Private Access-Ressourcen oder Citrix DaaS-Ressourcen im Unternehmensnetzwerk anmelden darf.
  • Nicht konforme Geräte — Ein Gerät, das die vorkonfigurierten Richtlinienanforderungen erfüllt und sich mit teilweisem oder eingeschränktem Zugriff auf Citrix Secure Private Access-Ressourcen oder Citrix DaaS-Ressourcen im Unternehmensnetzwerk anmelden darf.
  • Anmeldung verweigert: - Einem Gerät, das die Richtlinienanforderungen nicht erfüllt, wird die Anmeldung verweigert.

Die Klassifizierung von Geräten als konform, nicht konformund verweigerte Anmeldung wird an den Citrix DaaS- und Citrix Secure Private Access-Dienst weitergegeben, der wiederum die Geräteklassifizierung verwendet, um intelligente Zugriffsfunktionen bereitzustellen.

Anwendungsfall für den Gerätestatus des Geräts

Hinweis:

  • Die Richtlinien zum Gerätestatus müssen für jede Plattform spezifisch konfiguriert werden. Für macOS kann ein Administrator beispielsweise den Zugriff für Geräte mit einer bestimmten Betriebssystemversion gewähren. In ähnlicher Weise kann der Administrator für Windows Richtlinien so konfigurieren, dass sie eine bestimmte Autorisierungsdatei, Registrierungseinstellungen usw. enthalten.
  • Scans der Geräteposition werden nur während der Vorauthentifizierung/vor der Anmeldung durchgeführt.
  • Definitionen von “konform” und “nicht konform” finden Sie unter Definitionen.

Vom Gerätestatus unterstützte Scans

Die folgenden Scans werden vom Citrix Device Posture Service unterstützt:

Windows macOS iOS IGEL
Citrix Workspace-App Citrix Workspace-App Citrix Workspace-App -
Betriebssystemversion Betriebssystemversion Betriebssystemversion -
Datei (existiert, Dateiname und Pfad) Datei (existiert, Dateiname und Pfad) - Datei (existiert, Dateiname und Pfad)
Geolocation Geolocation - -
Standort im Netzwerk Standort im Netzwerk - -
MAC-Adresse MAC-Adresse - -
Prozess (vorhanden) Prozess (vorhanden) - -
Microsoft Endpoint Manager Microsoft Endpoint Manager - -
CrowdStrike CrowdStrike - -
Gerätezertifikat Gerätezertifikat - -
Browser Browser - -
Antivirus Antivirus - -
Nichtnumerische Registrierung (32 Bit) - - -
Nichtnumerische Registrierung (64 Bit) - - -
Numerische Registrierung (32 Bit) - - -
Numerische Registrierung (64 Bit) - - -
Windows Update-Installationstyp - - -
Windows Update-Installation — Überprüfung des letzten Updates - - -

Hinweis:

  • Für die iOS-Unterstützung im Device Posture Service ist der EPA-Client als Teil der Citrix Workspace-App für iOS integriert. Einzelheiten zu den Versionen finden Sie unter Citrix Workspace-App für iOS.

Integration von Drittanbietern in Device Posture

Zusätzlich zu den vom Device Posture Service angebotenen nativen Scans kann der Dienst auch in die folgenden Drittanbieterlösungen unter Windows und macOS integriert werden.

Gerätestatus konfigurieren

Der Gerätestatus ist eine Kombination aus Richtlinien und Regeln, die ein Gerät erfüllen muss, um Zugriff auf die Ressourcen zu erhalten. Jeder Richtlinie ist eine der Aktionen zugeordnet, nämlich konform, nicht konform und Anmeldung verweigert. Darüber hinaus ist jede Richtlinie mit einer Priorität verknüpft, und die Bewertung der Richtlinie wird beendet, wenn eine Richtlinie als wahr bewertet wird und die zugehörigen Maßnahmen ergriffen werden.

  1. Melden Sie sich bei Citrix Cloud an und wählen Sie dann im Hamburger-Menü Identitäts- und Zugriffsverwaltung aus.
  2. Klicken Sie auf die Registerkarte Gerätestatus und dann auf Verwalten.

    Hinweis:

    • Kunden des Secure Private Access Service können in der Admin-Benutzeroberfläche in der linken Navigationsleiste direkt auf Device Posture klicken.
    • Erstbenutzer werden auf der Landingpage des Gerätestatus aufgefordert, eine Gerätestatusrichtlinie zu erstellen. Die Gerätestatusrichtlinie muss für jede Plattform individuell konfiguriert werden. Sobald Sie eine Gerätestatusrichtlinie erstellt haben, wird diese unter den entsprechenden Plattformen aufgeführt.
    • Eine Richtlinie tritt erst in Kraft, nachdem der Gerätestatus aktiviert wurde. Um den Gerätestatus zu aktivieren, stellen Sie den Schalter Gerätestatus ist deaktiviert in der rechten oberen Ecke auf ON.
  3. Klicken Sie auf Geräterichtlinie erstellen.
  4. Wählen Sie unter Plattformdie Plattform aus, für die Sie eine Richtlinie anwenden möchten. Sie können die Plattform von Windows auf macOS oder umgekehrt ändern, unabhängig von der Registerkarte, die Sie auf der Device Posture Homepage ausgewählt haben.

  5. Wählen Sie unter Richtlinienregelndie Prüfung aus, die Sie im Rahmen des Gerätestatus durchführen möchten, und wählen Sie die Bedingungen aus, die erfüllt werden müssen.

    Hinweis:

    • Stellen Sie bei der Überprüfung des Gerätezertifikats sicher, dass das Ausstellerzertifikat auf dem Gerät vorhanden ist. Andernfalls können Sie bei der Erstellung der Device Posture-Richtlinie ein Gerätezertifikat importieren oder das Zertifikat über die Einstellungen auf der Device Posture-Startseite hochladen. Einzelheiten finden Sie unter Gerätezertifikat importieren beim Erstellen der Richtlinie für das Gerätezertifikat und Gerätezertifikat hochladen.
    • Für die Prüfung des Gerätezertifikats muss der EPA-Client auf dem Endgerät mit Administratorrechten installiert sein.
    • Die Überprüfung von Gerätezertifikaten mit dem Device Posture Service unterstützt die Überprüfung des Zertifikatswiderrufs nicht.
  6. Klicken Sie auf Weitere Regel hinzufügen, um mehrere Regeln zu erstellen. Eine UND-Bedingung wird auf mehrere Regeln angewendet.

    Gerätestatus konfigurieren

  7. Wählen Sie unter Richtlinienergebnis basierend auf den von Ihnen konfigurierten Bedingungen den Typ aus, unter dem der Gerätescan das Benutzergerät klassifizieren muss.

    • Konform
    • Nicht konform
    • Zugriff verweigert
  8. Geben Sie einen Namen für die Richtlinie ein.
  9. Geben Sie im Feld Prioritätdie Reihenfolge ein, in der die Richtlinien bewertet werden müssen.

    • Sie können einen Wert zwischen 1 und 100 eingeben. Es wird empfohlen, Ablehnungsrichtlinien mit einer höheren Priorität zu konfigurieren, gefolgt von „Nicht konform“ und schließlich „konform“.
    • Die Priorität mit dem niedrigeren Wert hat die höchste Präferenz.
    • Nur die aktivierten Richtlinien werden anhand der Priorität bewertet.
  10. Klicken Sie auf Erstellen.

    Gerätestatus konfigurieren

Wichtig:

Sie müssen den Schalter Bei Erstellung aktivieren auf ON stellen, damit die Richtlinien zum Gerätestatus wirksam werden. Bevor Sie die Richtlinien aktivieren, sollten Sie sicherstellen, dass die Richtlinien korrekt konfiguriert sind und dass Sie diese Aufgaben in Ihrem Test-Setup ausführen.

Gerätestatusrichtlinie bearbeiten

Die konfigurierten Gerätestatusrichtlinien sind unter der jeweiligen Plattform auf der Seite Gerätescans aufgeführt. Auf dieser Seite können Sie nach der Richtlinie suchen, die Sie bearbeiten möchten. Sie können auf dieser Seite auch eine Richtlinie aktivieren, deaktivieren oder löschen.

Edit device posture policy1

Kontextbezogenen Zugriff (Smart Access) mit Gerätestatus konfigurieren

Nach der Überprüfung der Gerätehaltung darf sich das Gerät anmelden und wird als konform oder nicht konform eingestuft. Diese Informationen sind als Tags für den Citrix DaaS-Dienst und den Citrix Secure Private Access-Dienst verfügbar und werden verwendet, um den kontextbezogenen Zugriff auf der Grundlage der Gerätehaltung bereitzustellen. Daher müssen Citrix DaaS und Citrix Secure Private Access so konfiguriert werden, dass die Zugriffskontrolle mithilfe von Device Posture Tags erzwungen wird.

Citrix DaaS-Konfiguration mit Device Posture mithilfe der neuen Studio-Benutzeroberfläche (Vorschau)

Melde dich für die Vorschau an.

  1. Melden Sie sich bei Citrix Cloud an.
  2. Klicken Sie auf der DaaS-Kachel auf Verwalten.
  3. Gehen Sie im linken Menü zum Abschnitt Delivery Group .
  4. Wählen Sie die Bereitstellungsgruppe aus, für die Sie die Zugriffskontrolle basierend auf dem Gerätestatus konfigurieren möchten, und klicken Sie auf Bearbeiten.
  5. Klicken Sie auf der Seite Bereitstellungsgruppe bearbeiten auf Access Policy.
  6. Klicken Sie in der Zeile Citrix Gateway-Verbindungen auf das Bearbeitungssymbol, um die Gateway-Verbindungsrichtlinie zu bearbeiten.

    Zugriffsrichtlinie 1 bearbeiten

    1. Wählen Sie auf der Seite “Richtlinie bearbeiten” die Option Verbindungen, die folgende Kriterien erfüllen.
    2. Wählen Sie Mit beliebigem übereinstimmen aus, und klicken Sie dann auf Kriterium hinzufügen.
    3. Fügen Sie Kriterien für alle Standort-Tags hinzu, die Sie unter Netzwerkstandorte konfigurieren konfiguriert haben: Geben Sie Workspace für Filter und COMPLIANT oder NON-COMPLIANT für Value ein.

    Zugriffsrichtlinie 2 bearbeiten

    Hinweis:

    Die Syntax für die Geräteklassifizierungs-Tags muss auf dieselbe Weise eingegeben werden, wie sie zuvor erfasst wurde, d. h. ausschließlich in Großbuchstaben (COMPLIANT und NON-COMPLIANT). Andernfalls funktionieren die Gerätestatusrichtlinien nicht wie vorgesehen.

    Zusätzlich zu den Geräteklassifizierungs-Tags gibt der Device Posture Service auch das Betriebssystem-Tag und das dem Gerät zugeordnete Zugriffsrichtlinien-Tag zurück. Die Betriebssystem-Tags und die Zugriffsrichtlinien-Tags dürfen nur in Großbuchstaben eingegeben werden.

    • DEVICE_TYPE_WINDOWS
    • DEVICE_TYPE_MAC
    • Genauer Richtlinienname (Großbuchstaben)

Citrix Secure Private Access-Konfiguration mit Device Posture

  1. Melden Sie sich bei Citrix Cloud an.
  2. Klicken Sie auf der Kachel Secure Private Access auf Verwalten .
  3. Klicken Sie im linken Navigationsbereich auf Richtlinien zugreifen und dann auf Richtlinie erstellen.
  4. Geben Sie den Richtliniennamen und die Beschreibung der Richtlinie ein.
  5. Wählen Sie unter Anwendungen die App oder die Gruppe von Apps aus, für die diese Richtlinie durchgesetzt werden muss.
  6. Klicken Sie auf Regel erstellen, um Regeln für die Richtlinie zu erstellen.
  7. Geben Sie den Regelnamen und eine kurze Beschreibung der Regel ein, und klicken Sie dann auf Weiter.
  8. Wählen Sie die Bedingungen der Benutzer aus. Die Benutzerbedingung ist eine zwingende Voraussetzung, die erfüllt sein muss, um den Benutzern Zugriff auf die Anwendungen zu gewähren.
  9. Klicken Sie auf +, um den Zustand der Gerätehaltung hinzuzufügen.
  10. Wählen Sie Device Posture Check und den logischen Ausdruck aus dem Drop-down-Menü aus.
  11. Geben Sie einen der folgenden Werte in benutzerdefinierte Tags ein:

    • Konform — Für konforme Geräte
    • Nicht konform — Für Geräte, die nicht konform sind
  12. Klicken Sie auf Weiter.
  13. Wählen Sie die Aktionen aus, die auf der Grundlage der Zustandsbewertung angewendet werden müssen, und klicken Sie dann auf Weiter.

    Auf der Übersichtsseite werden die Richtliniendetails angezeigt.

  14. Sie können die Details überprüfen und auf Fertig stellenklicken.

    Weitere Informationen zum Erstellen von Zugriffsrichtlinien finden Sie unter Konfigurieren einer Zugriffsrichtlinie mit mehreren Regeln.

Hinweis:

Jede Secure Private Access-Anwendung, die in der Zugriffsrichtlinie nicht als konform oder nicht konform gekennzeichnet ist, wird als Standardanwendung behandelt und ist unabhängig vom Gerätestatus auf allen Endgeräten zugänglich.

SPA-Tags für den Gerätestatus

Ablauf für Endbenutzer

Sobald die Gerätestatusrichtlinien festgelegt und der Gerätestatus aktiviert ist, finden Sie im Folgenden die Endbenutzerabläufe, die darauf basieren, wie sich der Endbenutzer bei Citrix Workspace anmeldet.

Endbenutzerfluss per Browserzugriff

Hinweis:

Der macOS-Client und der Chrome-Browser werden als Beispiel zur Veranschaulichung verwendet. Die Bildschirme und Benachrichtigungen variieren je nach Client und Browser, den Sie für den Zugriff auf die Citrix Workspace-URL verwenden.

  • Wenn sich ein Endbenutzer über einen Browser an der Citrix Workspace-URL https://<your-workspace-URL anmeldet, wird der Endbenutzer aufgefordert, die Citrix Endpoint Analysis-Anwendung auszuführen.

    Installieren Sie die Anwendung

  • Wenn der Endbenutzer auf Citrix Endpoint Analysis öffnen klickt, wird der Device Posture Client ausgeführt und scannt die Endpunktparameter auf der Grundlage der Anforderungen der Device Posture Policy.

  • Wenn der neueste Device Posture Client nicht auf dem Endpunkt installiert ist, werden die Benutzer zu der Seite weitergeleitet, auf der die Optionen „ Erneut prüfen “ und „ Client herunterladen“ angezeigt werden. Der Benutzer muss auf Client herunterladen klicken.

  • Wenn der neueste Device Posture Client bereits auf dem Endpunkt installiert ist, muss der Benutzer erneut auf Erneut prüfen klicken.

    Client-Version bestätigen

Endbenutzerfluss über die Citrix Workspace-Anwendung

  • Wenn sich ein Endbenutzer über die Citrix Workspace-Anwendung an der Citrix Workspace-URL https://your-workspace-url anmeldet, wird der auf dem Endpunkt installierte Device Posture Client ausgeführt und scannt die Endpunktparameter auf der Grundlage der Device Posture Policy-Anforderungen.
  • Wenn der neueste Device Posture Client nicht auf dem Endpunkt installiert ist, werden die Benutzer zu der Seite weitergeleitet, auf der die Optionen „ Erneut prüfen “ und „ Client herunterladen“ angezeigt werden. Der Benutzer muss auf Client herunterladen klicken.
  • Wenn der neueste Device Posture Client bereits auf dem Endpunkt installiert ist, muss der Benutzer erneut auf Erneut prüfen klicken.

Ablauf beim Endbenutzer — Gerätestatus - Ergebnisse

Basierend auf den Gerätestatusrichtlinien können drei Möglichkeiten auftreten.

Wenn ein Endpunkt die Policy-Bedingungen erfüllt, sodass das Gerät in folgende Kategorien unterteilt ist:

  • Konform — Der Endbenutzer darf sich mit uneingeschränktem Zugriff auf Secure Private Access- oder Citrix DaaS-Ressourcen anmelden.
  • Nicht konform — Der Endbenutzer darf sich mit eingeschränktem Zugriff auf Secure Private Access- oder Citrix DaaS-Ressourcen anmelden.

    Zugriff erlaubt

Wenn ein Endpunkt die Richtlinienbedingungen erfüllt, sodass das Gerät als Zugriff verweigerteingestuft wird, wird die Meldung Zugriff verweigert angezeigt.

Zugriff verweigert

Maßgeschneiderte Meldungen für Szenarien mit Zugriffsverweigerungen (Vorschau)

Admins haben die Möglichkeit, die Meldung anzupassen, die auf dem Endgerät angezeigt wird, wenn ein Zugriff verweigert wird.

Diese Funktion befindet sich in der Vorschau. Melden Sie sich für die Vorschau an mit https://podio.com/webforms/29219975/2385710.

Gehen Sie wie folgt vor, um benutzerdefinierte Nachrichten hinzuzufügen:

  1. Navigieren Sie zur Seite Gerätestatus > Gerätescans .
  2. Klicken Sie auf Einstellungen.
  3. Klicken Sie auf Bearbeiten und geben Sie im Feld Meldung die Meldung ein, die in Szenarien mit verweigertem Zugriff angezeigt werden muss. Sie können maximal 256 Zeichen eingeben.
  4. Klicken Sie beim Speichern auf Benutzerdefinierte Nachricht aktivieren , um die Option zum Anzeigen der benutzerdefinierten Nachricht zu erzwingen. Wenn Sie dieses Kontrollkästchen nicht aktivieren, wird die benutzerdefinierte Nachricht zwar erstellt, aber nicht auf den Geräten angezeigt, in denen der Zugriff verweigert wurde.

    Alternativ können Sie auf der Seite „ Einstellungen “ den Kippschalterfür benutzerdefinierte Nachrichten aktivieren, um die Nachricht auf den Geräten anzuzeigen.

  5. Klicken Sie auf Speichern.

Die von Ihnen eingegebene Meldung erscheint immer dann, wenn dem Endgerät der Zugriff verweigert wird.

Device Posture Ereignisse überwachen und Fehler beheben

Die Ereignisprotokolle zur Gerätehaltung können an zwei Stellen eingesehen werden:

  • Citrix DaaS-Monitor
  • Citrix Secure Private Access-Dashboard

Gerätezustandsereignisse auf Citrix DaaS Monitor

Gehen Sie wie folgt vor, um die Ereignisprotokolle für den Device Posture Service einzusehen.

  1. Kopieren Sie die Transaktions-ID der fehlgeschlagenen Sitzung oder der Sitzung mit verweigertem Zugriff vom Endbenutzergerät.
  2. Melden Sie sich bei Citrix Cloud an.
  3. Klicken Sie auf der DaaS-Kachel auf Verwaltenund dann auf die Registerkarte Überwachen .
  4. Suchen Sie in der Benutzeroberfläche “Überwachen” nach der 32-stelligen Transaktions-ID klicken Sie auf Details.

DaaS-Monitor

Gerätezustandsereignisse im Secure Private Access-Dashboard

Gehen Sie wie folgt vor, um die Ereignisprotokolle für den Device Posture Service einzusehen.

  1. Melden Sie sich bei Citrix Cloud an.
  2. Klicken Sie auf der Kachel Secure Private Access auf Verwalten .
  3. Gehen Sie im Menü auf der linken Seite zum Abschnitt Dashboard.
  4. Klicken Sie im Diagramm mit den Diagnoseprotokollen auf den Link Mehr anzeigen, um die Ereignisprotokolle zum Gerätestatus einzusehen.

    Dashboard

  • Administratoren können die Protokolle anhand der Transaktions-ID in der Tabelle mit den Diagnoseprotokollen filtern. Die Transaktions-ID wird dem Endbenutzer auch angezeigt, wenn der Zugriff verweigert wird.

    Transaktion-ID

  • Wenn ein Fehler oder ein Scanfehler auftritt, zeigt der Device Posture Service eine Transaktions-ID an. Diese Transaktions-ID ist im Secure Private Access Service Access-Dienst-Dashboard verfügbar. Wenn die Protokolle das Problem nicht lösen, können Endbenutzer die Transaktions-ID an den Citrix Support weitergeben, um das Problem zu lösen.

    Error

  • Die Windows-Client-Logs finden Sie unter:

    • %localappdata%\Citrix\EPA\dpaCitrix.txt
    • %localappdata%\Citrix\EPA\epalib.txt
  • Die macOS-Client-Logs finden Sie unter:

    • ~/Bibliothek/Anwendung Support/Citrix/EPAPlugin/EpaCloud.log
    • ~/Library/Application Support/Citrix/EPAPlugin/epaplugin.log

Fehlerprotokolle zur Gerätehaltung

Die folgenden Protokolle zum Device Posture Service können auf dem Citrix Monitor- und Secure Private Access-Dashboard eingesehen werden. Für all diese Protokolle wird empfohlen, dass Sie sich an den Citrix Support wenden, um eine Lösung zu finden.

  • Konnte konfigurierte Richtlinien nicht lesen
  • Endpunktscans konnten nicht ausgewertet werden
  • Richtlinien/Ausdruck konnten nicht verarbeitet werden
  • Endpunktdetails konnten nicht gespeichert werden
  • Scanergebnisse von Endpunkten konnten nicht verarbeitet werden

Bekannte Einschränkungen

  • Benutzerdefinierte Workspace-URLs werden vom Device Posture Service nicht unterstützt.
  • Es kann einige Minuten bis zu einer Stunde dauern, bis die Funktion zur Gerätehaltung aktiviert oder deaktiviert wird, nachdem die Taste zum Umschalten der Gerätehaltung ein- oder ausgeschaltet wurde.
  • Änderungen an der Konfiguration des Gerätestatusservices werden nicht sofort wirksam. Es kann etwa 10 Minuten dauern, bis die Änderungen wirksam werden.
  • Wenn Sie die Option Service Continuity in Citrix Workspace aktiviert haben und der Device Posture Service nicht verfügbar ist, können sich Benutzer möglicherweise nicht bei Workspace anmelden. Dies liegt daran, dass Citrix Workspace Apps und Desktops auf der Grundlage des lokalen Caches auf dem Benutzergerät auflistet.
  • Wenn Sie in Citrix Workspace ein langlebiges Token und ein Kennwort konfiguriert haben, funktioniert der Gerätestatus-Scan für diese Konfiguration nicht. Die Geräte werden nur gescannt, wenn sich die Benutzer bei Citrix Workspace anmelden.
  • Jede Plattform kann maximal 10 Richtlinien haben und jede Richtlinie kann maximal 10 Regeln haben.
  • Rollenbasierter Zugriff wird vom Device Posture Service nicht unterstützt.

Qualität der Dienstleistung

  • Leistung: Unter idealen Bedingungen verzögert der Device Posture Service die Anmeldung um weitere 2 Sekunden. Diese Verzögerung kann sich je nach zusätzlichen Konfigurationen wie Integrationen von Drittanbietern wie Microsoft Intune erhöhen.
  • Resilienz: Der Device Posture Service ist äußerst widerstandsfähig und verfügt über mehrere POPs, um sicherzustellen, dass keine Ausfallzeiten auftreten.

Definitionen

Die Begriffe konform und nicht konform in Bezug auf den Device Posture Service sind wie folgt definiert.

  • Kompatible Geräte — Ein Gerät, das die vorkonfigurierten Richtlinienanforderungen erfüllt und sich mit vollem oder uneingeschränktem Zugriff auf Citrix Secure Private Access-Ressourcen oder Citrix DaaS-Ressourcen im Unternehmensnetzwerk anmelden darf.
  • Nicht konforme Geräte — Ein Gerät, das die vorkonfigurierten Richtlinienanforderungen erfüllt und sich mit teilweisem oder eingeschränktem Zugriff auf Citrix Secure Private Access-Ressourcen oder Citrix DaaS-Ressourcen im Unternehmensnetzwerk anmelden darf.