Standardmäßig wird der Zugriff auf die Apps verweigert
Um den Zero-Trust-basierten Zugriff auf die Apps zu ermöglichen, wird Apps standardmäßig der Zugriff verweigert. Der Zugriff auf die Apps ist nur aktiviert, wenn der Anwendung eine Zugriffsrichtlinie zugeordnet ist.
-
Zugriff auf veröffentlichte Apps:
-
Wenn ein Endbenutzer auf einen FQDN zugreift, der einer veröffentlichten App zugeordnet ist, ist der Zugriff nur zulässig, wenn eine Zugriffsrichtlinie explizit mit der Aktion Zugriff zulassenkonfiguriert ist.
Hinweis:
Wenn es mehrere Apps gibt, die dem App-FQDN entsprechen, werden die Richtlinien der passenden Apps basierend auf der Richtlinienpriorität bewertet.
-
Wenn eine Zugriffsrichtlinie nicht mit der veröffentlichten App übereinstimmt oder wenn eine App keiner Zugriffsrichtlinie zugeordnet ist, wird der Zugriff auf die App standardmäßig verweigert.
Einzelheiten zu Zugriffsrichtlinien finden Sie unter Zugriffsrichtlinien.
-
-
Zugriff auf unveröffentlichte oder interne Apps. Der Zugriff auf unveröffentlichte oder interne Apps wird basierend auf dem Routingtyp aktiviert, der bei der Konfiguration der App definiert wurde.
- Wenn der Routing-Typ als Externdefiniert ist, fließt der Verkehr direkt ins Internet. Der Zugriff ist für solche Anwendungen aktiviert.
- Wenn der Routingtyp als Intern oder Extern über Connectordefiniert ist, wird solchen Anwendungen der Zugriff verweigert.
- Wenn der Routingtyp nicht für einen unveröffentlichten FQDN definiert ist, wird die App als extern betrachtet. Der Zugriff auf solche Apps basiert auf den Regeln, die für nicht sanktionierte Apps konfiguriert wurden, sofern diese aktiviert sind. Einzelheiten finden Sie unter Regeln für nicht sanktionierte Websites konfigurieren.
Der Routingtyp ist in der Secure Private Access-Benutzeroberfläche definiert. Klicken Sie auf Einstellungen > Anwendungsdomäne. Einzelheiten finden Sie unter Routentabellen.
Widersprüchliche Konfiguration, die zu Problemen beim App-Zugriff führen kann
Wenn mehrere Apps mit demselben FQDN oder einer Variante des Platzhalter-FQDN konfiguriert sind, treten möglicherweise die folgenden Probleme auf.
- Die Websites werden nicht mehr geladen oder es wird möglicherweise eine leere Seite angezeigt.
- Die Seite „Blockierter Zugriff“ wird möglicherweise angezeigt, wenn Sie auf eine URL zugreifen.
- Die Anmeldeseite wird möglicherweise nicht geladen.
Empfehlungen
Um die oben genannten Probleme zu lösen, empfehlen wir Folgendes:
-
Konfigurieren Sie alle gängigen FQDNs und die zugehörigen Domänen in einer einzigen App.
Wenn Sie beispielsweise einige Apps haben, die Azure AD als Identitätsanbieter verwenden, und Sie
login.microsoftonline.comsowie weitere verwandte Domänen (*.msauth.net) konfigurieren müssen, erstellen Sie eine einzige gemeinsame App mit dem FQDNlogin.microsoftonline.comund den zugehörigen Domänen*.login.microsoftonline.comund*.msauth.net.Wenn die allgemeine App in der Citrix Workspace-App ausgeblendet werden soll, wählen Sie bei der Konfiguration der App die Option Anwendungssymbol für Benutzer nicht anzeigen. Einzelheiten finden Sie unter Konfigurieren einer Web-App.
- Erstellen Sie eine Zugriffsrichtlinie für die gemeinsame App und ermöglichen Sie allen Benutzern den Zugriff. Einzelheiten finden Sie unter Konfigurieren einer Zugriffsrichtlinie.
- Überprüfen Sie die Diagnoseprotokolle, um zu bestätigen, ob der FQDN mit der App übereinstimmt und ob die Richtlinie erwartungsgemäß durchgesetzt wird.