Citrix Secure Private Access

Citrix Endpoint Analysis Client für Device Posture Service verwalten

Der Citrix Device Posture Service ist eine cloudbasierte Lösung, mit der Administratoren bestimmte Anforderungen durchsetzen können, die die Endgeräte erfüllen müssen, um Zugriff auf Citrix DaaS (virtuelle Apps und Desktops) oder Citrix Secure Private Access-Ressourcen (SaaS, Web-Apps, TCP- und UDP-Apps) zu erhalten.

Um Device Posture Scans auf einem Endgerät auszuführen, müssen Sie den Citrix EndPoint Analysis (EPA) -Client, eine einfache Anwendung, auf diesem Gerät installieren. Der Device Posture Service wird immer mit der neuesten Version des von Citrix veröffentlichten EPA-Clients ausgeführt.

Installation des EPA-Clients

Während der Laufzeit fordert der Device Posture Service den Endbenutzer auf, den EPA-Client während der Laufzeit herunterzuladen und zu installieren. Einzelheiten finden Sie unter Endbenutzer-Flow. Normalerweise benötigt ein EPA-Client keine lokalen Administratorrechte, um ihn herunterzuladen und auf einem Endpunkt zu installieren. Um Scans zur Überprüfung von Gerätezertifikaten auf einem Endgerät durchzuführen, muss der EPA-Client jedoch mit Administratorzugriff installiert sein.

Vertrieb des EPA-Clients

EPA-Clients können mithilfe des Global App Configuration Service (GACS) und Tools zur Softwarebereitstellung verteilt werden.

  • Verteilen Sie den Client mithilfe von GACS: GACS ist eine von Citrix bereitgestellte Lösung zur Verwaltung der Verteilung von clientseitigen Agenten (Plug-ins). Der in GACS verfügbare Auto Update Service stellt sicher, dass auf den Endgeräten die neuesten EPA-Versionen installiert sind, ohne dass der Endbenutzer eingreifen muss. Weitere Informationen zu GACS finden Sie unter Wie verwende ich den Global App Configuration Service?.

Hinweis:

  • GACS wird auf Windows-Geräten nur für die Verteilung des EPA-Clients unterstützt.
  • Um einen EPA-Client über GACS zu verwalten, installieren Sie die Citrix Workspace Application (CWA) auf den Endgeräten.
  • Wenn CWA mit Administratorrechten auf einem Endbenutzergerät installiert ist, installiert GACS den EPA-Client mit denselben Administratorrechten.
  • Wenn CWA mit Benutzerrechten auf einem Endbenutzergerät installiert ist, installiert GACS den EPA-Client mit denselben Benutzerrechten.

Verteilen Sie den Client mithilfe von Softwarebereitstellungstools: Der neueste EPA-Client kann von Administratoren über Softwarebereitstellungstools wie Microsoft SCCM verteilt werden.

Verwaltung des EPA-Clients bei Verwendung mit NetScaler und Device Posture

Der EPA-Client kann zusammen mit NetScaler und Device Posture in den folgenden Bereitstellungen verwendet werden:

  • NetScaler-basierte adaptive Authentifizierung mit EPA
  • NetScaler-basiertes On-Premise-Gateway mit EPA

Der Device Posture Service überträgt die neueste Version des EPA-Clients auf die Endgeräte. Auf NetScaler können Administratoren jedoch die folgende Versionskontrolle für die EPA-Scans auf virtuellen Gateway-Servern konfigurieren:

  • Immer: Der EPA-Client auf dem Endgerät und NetScaler müssen dieselbe Version haben.
  • Unverzichtbar: Die EPA-Client-Version auf dem Endgerät muss innerhalb des auf NetScaler konfigurierten Bereichs liegen.
  • Niemals: Das Endgerät kann eine beliebige Version des EPA-Clients haben.

Weitere Informationen finden Sie unter Verhalten von Plug-ins.

Überlegungen bei der Verwendung des EPA-Clients mit NetScaler und Device Posture

Wenn ein EPA-Client zusammen mit Device Posture Service und NetScaler verwendet wird, kann es Szenarien geben, in denen auf dem Endgerät die neueste EPA-Client-Version ausgeführt wird, während NetScaler auf einer anderen Version des EPA-Clients läuft. Dies kann dazu führen, dass die EPA-Client-Version auf NetScaler und dem Endgerät nicht übereinstimmt. Daher fordert NetScaler den Endbenutzer möglicherweise auf, die EPA-Clientversion zu installieren, die auf NetScaler vorhanden ist. Um diesen Konflikt zu vermeiden, empfehlen wir die folgenden Konfigurationsänderungen:

  • Wenn Sie EPA mit adaptiver Authentifizierung oder on-premises Authentifizierung oder virtuellem Gateway-Server konfiguriert haben, wird empfohlen, die Versionskontrolle des EPA-Clients auf NetScaler zu deaktivieren. Dadurch wird sichergestellt, dass der GACS- oder Device Posture Service nicht die neueste Version des EPA-Clients auf die Endgeräte überträgt.
  • Die EPA-Versionskontrolle kann mithilfe der CLI oder der GUI auf Nie gesetzt werden. Diese Konfigurationsänderungen werden auf NetScaler 13.x und späteren Versionen unterstützt.

    • CLI: Verwenden Sie die CLI-Befehle für adaptive Authentifizierung und virtuellen Authentifizierungsserver on-premises.
    • GUI: Verwenden Sie die GUI für den virtuellen Gateway-Server on-premises. Einzelheiten finden Sie unter Steuern des Upgrades von Citrix Secure Access-Clients.

Beispiele für CLI-Befehle:

add rewrite action <rewrite_action_name> insert_http_header Plugin-Upgrade ""epa_win:Never;epa_mac:Always;epa_linux:Always;vpn_win:Never;vpn_mac:Always;vpn_linux:Always;""

add rewrite policy <rewrite_action_policy> "HTTP.REQ.URL.CONTAINS("pluginlist.xml")" <rewrite_action_name>

bind authentication vserver <Authentication_Vserver_Name> -policy <rewrite_action_policy> -priority 10 -type RESPONSE
<!--NeedCopy-->
Citrix Endpoint Analysis Client für Device Posture Service verwalten