Produktdokumentation
Citrix Secure Private Access
PDF anzeigen

Device Posture

May 17, 2023
Beitrag von: 
C

Der Citrix Device Posture Service ist eine cloudbasierte Lösung, mit der Administratoren bestimmte Anforderungen durchsetzen können, die die Endgeräte erfüllen müssen, um Zugriff auf Citrix DaaS (virtuelle Apps und Desktops) oder Citrix Secure Private Access-Ressourcen (SaaS, Web-Apps, TCP- und UDP-Apps) zu erhalten. Um einen Zero-Trust-basierten Zugriff zu implementieren, ist es wichtig, das Vertrauen zwischen Geräten herzustellen, indem der Status des Geräts überprüft wird. Der Device Posture Service setzt die Zero-Trust-Prinzipien in Ihrem Netzwerk durch, indem er die Endgeräte auf Konformität überprüft (Managed/BYOD und Sicherheitsstatus), bevor sich ein Endbenutzer anmelden kann.

Voraussetzungen

  • Lizenzanforderungen: Die Berechtigung für den Citrix Device Posture Service ist Teil des Adaptive Authentication-Angebots von Citrix, das in den Lizenzen Citrix DaaS Premium, Citrix DaaS Premium Plus und Citrix Secure Private Access Advanced enthalten ist. Kunden mit anderen Lizenzen können Adaptive Authentication als Add-on erwerben.

  • Unterstützte Plattformen:

    • Windows (10 und 11)
    • macOS 13 Ventura
    • macOS 12 Monterey

    Hinweis:

    • Ein Gerät, das auf einer Plattform läuft, die nicht unterstützt wird, ist standardmäßig als nicht konform gekennzeichnet. Sie können die Klassifizierung auf der Seite „Gerätestatus“ auf der Registerkarte „ Einstellungen “ von „ Nicht konform “ in „ Anmeldung verweigert “ ändern.

    • Ein Gerät, das auf einer unterstützten Plattform läuft, aber keiner vordefinierten Gerätezustandsrichtlinie entspricht, wird standardmäßig als nicht konform markiert. Sie können die Klassifizierung auf der Seite „Gerätestatus“ auf der Registerkarte „ Einstellungen “ von „ Nicht konform “ in „ Anmeldung verweigert “ ändern.

  • Citrix Device Posture Client (EPA-Client): Eine einfache Anwendung, die auf dem Endgerät installiert werden muss, um Gerätestatusscans auszuführen. Diese Anwendung benötigt keine lokalen Administratorrechte, um sie herunterzuladen und auf einem Endpunkt zu installieren.

  • Unterstützte Browser: Chrome, Edge und Firefox.

  • Versionen der Citrix Workspace-App

    • Windows - 2303 und höher
    • macOS - 2304 und höher

Funktionsweise

Die Administratoren können Richtlinien für den Gerätestatus erstellen, um den Status der Endgeräte zu überprüfen und festzustellen, ob die Anmeldung für ein Endgerät zulässig ist oder verweigert wird. Die Geräte, die sich anmelden dürfen, werden außerdem als konform oder nicht konform eingestuft. Benutzer können sich über einen Browser oder die Citrix Workspace-App anmelden.

Im Folgenden sind die allgemeinen Bedingungen aufgeführt, anhand derer ein Gerät als konform, nicht konform und als verweigerte Anmeldung eingestuft wird.

  • Konforme Geräte — Ein Gerät, das die vorkonfigurierten Richtlinienanforderungen erfüllt und sich mit vollem oder uneingeschränktem Zugriff auf Citrix Secure Private Access-Ressourcen oder Citrix DaaS-Ressourcen im Unternehmensnetzwerk anmelden darf.
  • Nicht konforme Geräte — Ein Gerät, das die vorkonfigurierten Richtlinienanforderungen erfüllt und sich mit teilweisem oder eingeschränktem Zugriff auf Citrix Secure Private Access-Ressourcen oder Citrix DaaS-Ressourcen am Unternehmensnetzwerk anmelden darf.
  • Anmeldung verweigert: - Einem Gerät, das die Richtlinienanforderungen nicht erfüllt, wird die Anmeldung verweigert.

Gerätestatus - Einstellungen1

Die Klassifizierung der Geräte als konform, nicht konform und Anmeldung verweigert wird an Citrix DaaS und den Citrix Secure Private Access-Dienst weitergegeben, der wiederum die Geräteklassifizierung verwendet, um Smart-Access-Funktionen bereitzustellen.

Anwendungsfall für den Gerätestatus des Geräts

Hinweis:

  • Die Richtlinien zum Gerätestatus müssen für jede Plattform spezifisch konfiguriert werden. Für macOS kann ein Administrator beispielsweise den Zugriff für Geräte mit einer bestimmten Betriebssystemversion gewähren. In ähnlicher Weise kann der Administrator für Windows Richtlinien so konfigurieren, dass sie eine bestimmte Autorisierungsdatei, Registrierungseinstellungen usw. enthalten.
  • Gerätestatusscans werden nur während der Vorauthentifizierung/vor der Anmeldung durchgeführt.
  • Definitionen von „konform“ und „nicht konform“ finden Sie unter Definitionen.

Vom Gerätestatus unterstützte Scans

Die folgenden Scans werden vom Citrix Device Posture Service unterstützt:

Windows macOS
Citrix Workspace-App Citrix Workspace-App
Datei — (vorhanden, Dateiname und Pfad) Datei — (vorhanden, Dateiname und Pfad)
MAC-Adresse MAC-Adresse
Betriebssystemversion Betriebssystemversion
Prozess (vorhanden) Prozess (vorhanden)
Microsoft Endpoint Manager Microsoft Endpoint Manager
Domänenname -
Nichtnumerische Registrierung (32 Bit) -
Nichtnumerische Registrierung (64 Bit) -
Numerische Registrierung (32 Bit) -
Numerische Registrierung (64 Bit) -
Windows Update-Installationstyp -
Windows Update-Installation — Überprüfung des letzten Updates -

Integration von Drittanbietern in Device Posture

Zusätzlich zu den nativen Scans, die der Device Posture Service anbietet, kann der Dienst auch in andere Lösungen von Drittanbietern integriert werden. Gerätestatus ist in Microsoft Endpoint Manager (MEM) unter Windows und macOS integriert. Einzelheiten zur Konfiguration der MEM-Integration finden Sie unter Microsoft Endpoint Manager-Integration mit Device Posture — Preview.

Gerätestatus konfigurieren

Der Gerätestatus ist eine Kombination aus Richtlinien und Regeln, die ein Gerät erfüllen muss, um Zugriff auf die Ressourcen zu erhalten. Jeder Richtlinie ist eine der Aktionen zugeordnet, nämlich konform, nicht konform und Anmeldung verweigert. Darüber hinaus ist jede Richtlinie mit einer Priorität verknüpft, und die Bewertung der Richtlinie wird beendet, wenn eine Richtlinie als wahr bewertet wird und die zugehörigen Maßnahmen ergriffen werden.

  1. Melden Sie sich bei Citrix Cloud an und wählen Sie dann im Hamburger-Menü Identitäts- und Zugriffsverwaltung aus.

  2. Klicken Sie auf die Registerkarte Gerätestatus und dann auf Verwalten.

    Registerkarte Gerätestatus

    Hinweis:

    • Kunden des Secure Private Access Service können in der Admin-Benutzeroberfläche in der linken Navigationsleiste direkt auf Device Posture klicken.
    • Erstbenutzer werden auf der Landingpage des Gerätestatus aufgefordert, eine Gerätestatusrichtlinie zu erstellen. Die Gerätestatusrichtlinie muss für jede Plattform individuell konfiguriert werden. Sobald Sie eine Gerätestatusrichtlinie erstellt haben, wird diese unter den entsprechenden Plattformen aufgeführt.
    • Eine Richtlinie tritt erst in Kraft, nachdem der Gerätestatus aktiviert wurde. Um den Gerätestatus zu aktivieren, stellen Sie den Schalter Gerätestatus ist deaktiviert in der rechten oberen Ecke auf ON.

    Gerätestatus aktivieren

  3. Klicken Sie auf Geräterichtlinie erstellen.

  4. Wählen Sie unter Plattformdie Plattform aus, für die Sie eine Richtlinie anwenden möchten. Sie können die Plattform von Windows auf macOS oder umgekehrt ändern, unabhängig von der Registerkarte, die Sie auf der Device Posture Homepage ausgewählt haben.

  5. Wählen Sie unter Regel auswählen die Prüfung aus, die Sie im Rahmen von Device Posture durchführen möchten, und wählen Sie die Bedingungen aus, die erfüllt sein müssen.

  6. Klicken Sie auf Weitere Regel hinzufügen, um mehrere Regeln zu erstellen. Eine UND-Bedingung wird auf mehrere Regeln angewendet.

    Gerätestatus konfigurieren

  7. Wählen Sie unter Richtlinienergebnis basierend auf den von Ihnen konfigurierten Bedingungen den Typ aus, unter dem der Gerätescan das Benutzergerät klassifizieren muss.

    • Konform
    • Nicht konform
    • Zugriff verweigert
  8. Geben Sie einen Namen für die Richtlinie ein.

  9. Geben Sie im Feld Prioritätdie Reihenfolge ein, in der die Richtlinien bewertet werden müssen.

    • Sie können einen Wert zwischen 1 und 100 eingeben. Es wird empfohlen, Ablehnungsrichtlinien mit einer höheren Priorität zu konfigurieren, gefolgt von “Nicht konform” und schließlich “konform”.
    • Die Priorität mit dem niedrigeren Wert hat die höchste Präferenz.
    • Nur die aktivierten Richtlinien werden anhand der Priorität bewertet.

  10. Klicken Sie auf Erstellen.

    Gerätestatus konfigurieren

Wichtig:

Sie müssen den Schalter Bei Erstellung aktivieren auf ON stellen, damit die Richtlinien zum Gerätestatus wirksam werden. Bevor Sie die Richtlinien aktivieren, sollten Sie sicherstellen, dass die Richtlinien korrekt konfiguriert sind und dass Sie diese Aufgaben in Ihrem Test-Setup ausführen.

Gerätestatusrichtlinie bearbeiten

Die konfigurierten Gerätestatusrichtlinien sind unter der jeweiligen Plattform auf der Seite Gerätescans aufgeführt. Auf dieser Seite können Sie nach der Richtlinie suchen, die Sie bearbeiten möchten. Sie können auf dieser Seite auch eine Richtlinie aktivieren, deaktivieren oder löschen.

Edit device posture policy1

Kontextbezogenen Zugriff (Smart Access) mit Gerätestatus konfigurieren

Nachdem sich ein Gerät nach der Überprüfung des Gerätestatus anmelden darf, kann es konform oder nicht konform sein. Diese Informationen sind als Tags für den Citrix DaaS-Dienst und den Citrix Secure Private Access-Dienst verfügbar und werden verwendet, um kontextbezogenen Zugriff auf der Grundlage des Gerätestatus bereitzustellen. Daher müssen Citrix DaaS und der Citrix Secure Private Access Service so konfiguriert werden, dass die Zugriffskontrolle mithilfe von Device Posture Tags durchgesetzt wird.

Citrix DaaS-Konfiguration mit Device Posture

  1. Melden Sie sich bei Citrix Cloud an.
  2. Klicken Sie auf der DaaS-Kachel auf Verwalten.
  3. Gehen Sie im linken Menü zum Abschnitt Delivery Group .
  4. Wählen Sie die Bereitstellungsgruppe aus, für die Sie die Zugriffskontrolle basierend auf dem Gerätestatus konfigurieren möchten, und klicken Sie auf Bearbeiten.
  5. Klicken Sie auf der Seite „Bereitstellungsgruppe bearbeiten “ auf Access Policy.
  6. Klicken Sie auf der Seite mit den Zugriffsrichtlinien auf Hinzufügen und geben Sie den Wert Workspace in Farmein.

  7. Geben Sie im Feld Filtereinen der folgenden Werte ein.

    • KONFORM — Für konforme Geräte

    • NICHT KONFORM — Für nicht konforme Geräte

      Hinweis:

      Die Syntax für die Geräteklassifizierungs-Tags muss auf dieselbe Weise eingegeben werden, wie sie zuvor beschrieben wurde, d. h. in Großbuchstaben (COMPLIANT undNON-COMPLIANT**). Andernfalls funktionieren die Gerätestatusrichtlinien nicht wie vorgesehen.

  8. Klicken Sie auf Speichern.

Gerätestatus-Tags

Hinweis:

Jede DaaS-Bereitstellungsgruppe, die in der DaaS-Zugriffsrichtlinie nicht als konform oder nicht konform gekennzeichnet ist, wird als Standardbereitstellungsgruppe behandelt und ist unabhängig vom Gerätestatus auf allen Endpunkten zugänglich.

Citrix Secure Private Access-Konfiguration mit Device Posture

  1. Melden Sie sich bei Citrix Cloud an.
  2. Klicken Sie auf der Kachel Secure Private Access auf Verwalten.
  3. Klicken Sie im linken Navigationsbereich auf Richtlinien zugreifen und dann auf Richtlinie erstellen.
  4. Fügen Sie Anwendungen hinzu, für die Sie die Zugriffsrichtlinie durchsetzen möchten.
  5. Definieren Sie die Benutzer/Benutzergruppen, für die die Zugriffsrichtlinie durchgesetzt werden soll, und klicken Sie dann auf Bedingung hinzufügen.
  6. Wählen Sie im Dropdownmenü die Option Device Posture Check and Logical Expression aus.

  7. Geben Sie einen der folgenden Werte in benutzerdefinierte Tags ein:

    • Konform — Für konforme Geräte
    • Nicht konform — Für nicht konforme Geräte

    Hinweis:

    Die Syntax für die Geräteklassifizierungs-Tags muss auf dieselbe Weise eingegeben werden, wie sie zuvor erfasst wurde, d. h. in Großbuchstaben (konform und nicht konform). Andernfalls funktionieren die Gerätestatusrichtlinien nicht wie vorgesehen.

  8. Wählen Sie im Feld Dann wie folgteine der folgenden Optionen aus:

    • Zugriff zulassen (Vollzugriff wird gewährt)
    • Zugriff mit Einschränkungen zulassen (Anwendungszugriff mit Sicherheitseinschränkungen)
    • Zugriff verweigert
  9. Geben Sie einen Namen für die Richtlinie ein.
  10. Klicken Sie auf Speichern.

Hinweis:

Jede Secure Private Access-Anwendung, die in der Zugriffsrichtlinie nicht als konform oder nicht konform gekennzeichnet ist, wird als Standardanwendung behandelt und ist unabhängig vom Gerätestatus auf allen Endpunkten zugänglich.

SPA-Tags für den Gerätestatus

Ablauf für Endbenutzer

Sobald die Gerätestatusrichtlinien festgelegt und der Gerätestatus aktiviert ist, finden Sie im Folgenden die Endbenutzerabläufe, die darauf basieren, wie sich der Endbenutzer bei Citrix Workspace anmeldet.

Endbenutzerfluss per Browserzugriff

Hinweis:

Der macOS-Client und der Chrome-Browser werden zur Veranschaulichung als Beispiel verwendet. Die Bildschirme und Benachrichtigungen variieren je nach Client und Browser, den Sie für den Zugriff auf die Citrix Workspace-URL verwenden.

  • Wenn sich ein Endbenutzer über einen Browser an der Citrix Workspace-URL https://<your-workspace-URL anmeldet, wird der Endbenutzer aufgefordert, die Citrix Endpoint Analysis-Anwendung auszuführen.

    Anwendung installieren

  • Wenn der Endbenutzer auf Citrix Endpoint Analysis öffnen klickt, wird der Device Posture Client ausgeführt und scannt die Endpunktparameter auf der Grundlage der Anforderungen der Device Posture Policy.

  • Wenn der neueste Device Posture Client nicht auf dem Endpunkt installiert ist, werden die Benutzer auf die Seite weitergeleitet, auf der die Optionen, Erneut prüfen und Client herunterladen angezeigt werden. Der Benutzer muss auf Client herunterladen klicken.

  • Wenn der neueste Device Posture Client bereits auf dem Endpunkt installiert ist, muss der Benutzer erneut auf Erneut prüfen klicken.

    Client-Version bestätigen

Endbenutzerfluss über die Citrix Workspace-Anwendung

  • Wenn sich ein Endbenutzer über die Citrix Workspace-Anwendung an der Citrix Workspace-URL https://your-workspace-url anmeldet, wird der auf dem Endpunkt installierte Device Posture Client ausgeführt und scannt die Endpunktparameter auf der Grundlage der Device Posture Policy-Anforderungen.
  • Wenn der neueste Device Posture Client nicht auf dem Endpunkt installiert ist, werden die Benutzer auf die Seite weitergeleitet, auf der die Optionen, Erneut prüfen und Client herunterladen angezeigt werden. Der Benutzer muss auf Client herunterladen klicken.
  • Wenn der neueste Device Posture Client bereits auf dem Endpunkt installiert ist, muss der Benutzer erneut auf Erneut prüfen klicken.

Ablauf beim Endbenutzer — Gerätestatus - Ergebnisse

Basierend auf den Gerätestatusrichtlinien können drei Möglichkeiten auftreten.

Wenn ein Endpunkt die Policy-Bedingungen erfüllt, sodass das Gerät in folgende Kategorien unterteilt ist:

  • Konform — Der Endbenutzer darf sich mit uneingeschränktem Zugriff auf Secure Private Access- oder Citrix DaaS-Ressourcen anmelden.

  • Nicht konform — Der Endbenutzer darf sich mit eingeschränktem Zugriff auf Secure Private Access- oder Citrix DaaS-Ressourcen anmelden.

    Zugriff erlaubt

Wenn ein Endpunkt die Richtlinienbedingungen erfüllt, sodass das Gerät als Zugriff verweigerteingestuft wird, wird die Meldung Zugriff verweigert angezeigt.

Zugriff verweigert

Gerätestatusprotokolle

In der aktuellen Version können die Ereignisprotokolle für den Gerätestatus auf dem Secure Private Access-Dashboard eingesehen werden. Gehen Sie wie folgt vor, um die Ereignisprotokolle für den Device Posture Service einzusehen.

  1. Melden Sie sich bei Citrix Cloud an.
  2. Klicken Sie auf der Kachel Secure Private Access auf Verwalten,
  3. Gehen Sie im Menü auf der linken Seite zum Abschnitt Dashboard.
  4. Klicken Sie im Diagramm mit den Diagnoseprotokollen auf den Link Mehr anzeigen, um die Ereignisprotokolle zum Gerätestatus einzusehen.

Dashboard

  • Administratoren können die Protokolle anhand der Transaktions-ID in der Tabelle mit den Diagnoseprotokollen filtern. Die Transaktions-ID wird dem Endbenutzer auch angezeigt, wenn der Zugriff verweigert wird.

    Transaktion-ID

  • Im Falle eines Fehlers oder eines Scanfehlers zeigt der Device Posture Service eine Transaktions-ID an. Diese Transaktions-ID ist im Secure Private Access Service Access-Dienst-Dashboard verfügbar. Wenn die Protokolle das Problem nicht lösen, können Endbenutzer die Transaktions-ID an den Citrix Support weitergeben, um das Problem zu lösen.

    Error

  • Die Windows-Client-Logs finden Sie unter:

    • %localappdata%\Citrix\EPA\dpaCitrix.txt
    • %localappdata%\Citrix\EPA\epalib.txt

  • Die macOS-Client-Logs finden Sie unter:

    • ~/Bibliothek/Anwendung Support/Citrix/EPAPlugin/EpaCloud.log
    • ~/Library/Application Support/Citrix/EPAPlugin/epaplugin.log

Bekannte Einschränkungen

  • Benutzerdefinierte Workspace-URLs werden vom Device Posture Service nicht unterstützt.
  • Es kann einige Minuten bis zu einer Stunde dauern, bis die Gerätestatusfunktion aktiviert oder deaktiviert wird, nachdem der Schalter für den Gerätestatus ein- oder ausgeschaltet wurde.
  • Änderungen an der Konfiguration des Gerätestatusservices werden nicht sofort wirksam. Es kann etwa 10 Minuten dauern, bis die Änderungen wirksam werden.
  • Wenn Sie die Option Service Continuity in Citrix Workspace aktiviert haben und der Device Posture Service nicht verfügbar ist, können sich Benutzer möglicherweise nicht bei Workspace anmelden. Dies liegt daran, dass Citrix Workspace Apps und Desktops auf der Grundlage des lokalen Caches auf dem Benutzergerät auflistet.
  • Wenn Sie ein langlebiges Token und ein Kennwort für Citrix Workspace konfiguriert haben, funktioniert der Gerätestatusscan für diese Konfiguration nicht. Die Geräte werden nur gescannt, wenn sich die Benutzer bei Citrix Workspace anmelden.
  • Jede Plattform kann maximal 10 Richtlinien haben und jede Richtlinie kann maximal 10 Regeln haben.
  • Der rollenbasierte Zugriff wird vom Device Posture Service nicht unterstützt.

Qualität der Dienstleistung

  • Leistung: Unter idealen Bedingungen verzögert der Device Posture Service die Anmeldung um weitere 2 Sekunden. Diese Verzögerung kann sich je nach zusätzlichen Konfigurationen wie Integrationen von Drittanbietern wie Microsoft Endpoint Manager (MEM) erhöhen. Die Integration des Gerätestatus mit MEM befindet sich in der Vorschauversion.
  • Resilienz: Der Device Posture Service ist äußerst robust und verfügt über mehrere POPs, um sicherzustellen, dass es zu keinen Ausfallzeiten kommt.

Definitionen

Die Begriffe konform und nicht konform in Bezug auf den Device Posture Service sind wie folgt definiert.

  • Konforme Geräte — Ein Gerät, das die vorkonfigurierten Richtlinienanforderungen erfüllt und sich mit vollem oder uneingeschränktem Zugriff auf Citrix Secure Private Access-Ressourcen oder Citrix DaaS-Ressourcen im Unternehmensnetzwerk anmelden darf.
  • Nicht konforme Geräte — Ein Gerät, das die vorkonfigurierten Richtlinienanforderungen erfüllt und sich mit teilweisem oder eingeschränktem Zugriff auf Citrix Secure Private Access-Ressourcen oder Citrix DaaS-Ressourcen am Unternehmensnetzwerk anmelden darf.
Device Posture
May 17, 2023
Beitrag von: 
C
May 17, 2023
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.