Citrix Virtual Apps and Desktops

Kontextbezogener App-Schutz für StoreFront

Der kontextbezogene App-Schutz ermöglicht es, App-Schutzrichtlinien flexibel und granular nur auf bestimmte Benutzergruppen anzuwenden – basierend auf Benutzern, ihrem Gerät und der Netzwerkstruktur.

Kontextbezogenen App-Schutz implementieren

Sie können den kontextbezogenen App-Schutz mit den Verbindungsfiltern implementieren, die in der Brokerzugriffsrichtlinienregel definiert sind. Die Brokerzugriffsrichtlinien definieren die Regeln, die den Zugriff eines Benutzers auf Desktopgruppen steuern. Die Richtlinie umfasst mehrere Regeln. Jede Regel bezieht sich auf eine einzelne Desktopgruppe und enthält eine Reihe von Verbindungsfiltern und Steuerelementen für Zugriffsrechte.

Benutzer erhalten Zugriff auf eine Desktopgruppe, wenn ihre Verbindungsdetails mit den Verbindungsfiltern einer oder mehrerer Regeln in der Brokerzugriffsrichtlinie übereinstimmen. Benutzer können standardmäßig auf keine Desktopgruppe in einer Site zugreifen. Je nach Bedarf können Sie zusätzliche Brokerzugriffsrichtlinien erstellen. Es können mehrere Regeln für dieselbe Desktopgruppe gelten. Weitere Informationen finden Sie unter New-BrokerAssignmentPolicyRule.

Die folgenden Parameter in der Brokerzugriffsrichtlinienregel bieten die Möglichkeit, den App-Schutz flexibel und kontextbezogen zu aktivieren, wenn die Verbindung des Benutzers mit den Verbindungsfiltern übereinstimmt, die in der Zugriffsrichtlinienregel definiert sind:

  • AppProtectionKeyLoggingRequired
  • AppProtectionScreenCaptureRequired

Verwenden Sie die Smart Access-Filter, auf die in den Brokerzugriffsrichtlinien verwiesen wird, um die Verbindungsfilter weiter anzupassen. Informationen zum Konfigurieren von Smart Access-Filtern finden Sie in diesem Support-Artikel. Die folgenden Szenarien verdeutlichen, wie Sie die Smart Access-Richtlinien zum Einrichten des kontextbezogenen App-Schutzes verwenden.

Voraussetzungen

Folgende Voraussetzungen müssen erfüllt sein:

  • Citrix Virtual Apps and Desktops Version 2109 oder höher
  • Delivery Controller Version 2109 oder höher
  • StoreFront Version 1912 oder höher
  • Erfolgreiche Verbindung zwischen NetScaler und StoreFront. Weitere Informationen finden Sie unter Integrate Citrix Gateway with StoreFront.
  • Import von XML-Tabellen für bestimmte LTSR-Versionen — siehe Schritt 1 weiter unten
  • Aktivieren von Smart Access auf NetScaler Gateway für Szenarien, die Smart Access-Tags erfordern. Weitere Informationen bietet dieser Supportartikel.
  • Lizenzanforderungen -
    • App-Schutz: On-Premises-Lizenz
    • Citrix Gateway: Universallizenz für Szenarien mit Smart Access-Tags

Kontextbezogenen App-Schutz aktivieren

  1. Laden Sie die Richtlinien für den kontextbezogenen App-Schutz (Feature-Tabelle) für Ihre Version von Citrix Virtual Apps and Desktops von der Citrix-Downloadseite herunter.

  2. Führen Sie folgende PowerShell-Befehle auf dem Delivery Controller aus: asnp Citrix*Set-BrokerSite-TrustRequestsSentToTheXmlServicePort $true.
  3. Führen Sie die folgenden Befehle aus, um den kontextbezogenen App-Schutz im Delivery Controller zu aktivieren: Import-ConfigFeatureTable <path to the downloaded feature table>.

    Beispiel: Import-ConfigFeatureTable\Downloads\FeatureTable.OnPrem.AppProtContextualAccess.xml.

Kontextbezogenen App-Schutz aktivieren — Beispielszenarien

Szenario 1: Aktivieren des App-Schutzes für externe Benutzer mit Zugriff über Access Gateway

Für jede Bereitstellungsgruppe werden standardmäßig zwei Brokerzugriffsrichtlinien erstellt. Eine Richtlinie für Verbindungen, die über das Access Gateway geleitet werden, und eine Richtlinie für direkte Verbindungen. Sie können den App-Schutz nur für Verbindungen über das Access Gateway aktivieren.

Mit der folgenden Schrittfolge aktivieren Sie den App-Schutz für externe Benutzer in der Bereitstellungsgruppe Admin_Desktop_Group, die den Desktop Admin_Desktop enthält:

  1. Führen Sie den PowerShell-Befehl Get-BrokerAccesspolicyRule vom Delivery Controller aus. Dadurch erhalten Sie die beiden für diese Gruppe definierten Brokerzugriffsrichtlinien Admin_Desktop_Group_AG und Admin_Desktop_Group_Direct.

  2. Führen Sie den folgenden Befehl aus, um App-Schutzrichtlinien für Access Gateway-Verbindungen zu aktivieren: Set-BrokerAccessPolicyRule Admin_Desktop_Group_AG -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

  3. Führen Sie den folgenden Befehl aus, um App-Schutzrichtlinien für direkte Verbindungen zu deaktivieren: Set-BrokerAccessPolicyRule Admin_Desktop_Group_Direct -AppProtectionKeyLoggingRequired $false -AppProtectionScreenCaptureRequired $false

  4. Überprüfung. Melden Sie sich von der Citrix Workspace-App ab, falls sie bereits geöffnet ist. Melden Sie sich erneut an der Citrix Workspace-App an. Starten Sie die Ressource Admin_Desktop von einer externen Verbindung über das Access Gateway. Die App-Schutzrichtlinien werden dann auf den Admin-Desktop angewendet.

Szenario 2: Deaktivieren des App-Schutzes für bestimmte Gerätetypen. Beispiel: iPhone

Mit der folgenden Schrittfolge deaktivieren Sie den App-Schutz für iPhone-Benutzer in der Bereitstellungsgruppe Win10Desktop.

Schritt 1: Erstellen der Smart Access-Richtlinie

  1. Melden Sie sich an der Verwaltungsoberfläche von Citrix ADC an.
  2. Gehen Sie im linken Navigationsmenü zu Citrix Gateway > Virtual Servers.

    Notieren Sie sich den Namen des virtuellen VPN-Servers. Sie benötigen ihn später für die Konfiguration der Brokerzugriffsrichtlinie.

  3. Klicken Sie auf VPN Virtual Server. Scrollen Sie zum Ende der Seite und klicken Sie auf Session policies. Eine Liste der Sitzungsrichtlinien wird angezeigt.
  4. Klicken Sie auf Add binding.

    Bindung hinzufügen

  5. Klicken Sie auf Add to create a session policy.

    Citrix Gateway-Sitzung erstellen

  6. Geben Sie einen Namen für die Sitzungsrichtlinie ein. In diesem Fall temp.

    Name für Sitzungsrichtlinie eingeben

  7. Klicken Sie neben “Profile” auf Add, um einen Profilnamen anzugeben. Klicken Sie auf Erstellen.

    Profilnamen angeben

  8. Klicken Sie im Fenster der Sitzungsrichtlinie auf Expression Editor.
  9. Erstellen Sie den folgenden Ausdruck, um in der Zeichenfolge User Agent nach iPhone zu suchen: HTTP.REQ.HEADER(“User-Agent”).CONTAINS(“iPhone”)

    Ausdruck erstellen

  10. Klicken Sie auf Bind, um die Sitzungsrichtlinie zu erstellen.

Schritt 2: Erstellen der Brokerzugriffsrichtlinienregeln

Mit der folgenden Schrittfolge wenden Sie die Richtlinie auf iPhone-Benutzer an, die über das Access Gateway auf Win10Desktop zugreifen:

  1. Führen Sie im Delivery Controller (DDC) den Befehl Get-BrokerAccessPolicyRule aus, der alle im DDC definierten Brokerzugriffsrichtlinien auflistet. In diesem Beispiel lauten die Brokerzugriffsrichtlinien für die Bereitstellungsgruppe Win10Desktop: Win10Desktop_AG und Win10Desktop_Direct. Notieren Sie sich die Desktopgruppen-UID der Bereitstellungsgruppe für den nächsten Schritt.

  2. Erstellen Sie mit dem folgenden Befehl eine Brokerzugriffsrichtlinienregel für Win10Desktop, um nach iPhone-Benutzern zu filtern, die über Access Gateway geleitet werden: New-BrokerAccessPolicyRule -Name Win10Desktop_AG_iPhone -DesktopGroupUid <Uid_of_desktopGroup> -AllowedConnections ViaAG -AllowedProtocols HDX, RDP -AllowedUsers AnyAuthenticated -AllowRestart $true -AppProtectionKeyLoggingRequired $false -AppProtectionScreenCaptureRequired $false -Enabled $true -IncludedSmartAccessFilterEnabled $true.

    Uid_of_desktopGroup ist die DesktopGroupUID der Bereitstellungsgruppe, die durch Ausführen der Regel “GetBrokerAccessPolicy” in Schritt 1 ermittelt wurde.

  3. Um den App-Schutz für iPhone-Benutzer zu deaktivieren, die über Access Gateway auf Win10Desktop zugreifen, verweisen Sie auf das Smart Access-Tag temp (erstellt in Schritt 1: Erstellen einer Smart Access-Richtlinie). Verwenden Sie den folgenden Befehl:

  4. Um den App-Schutz für iPhone-Benutzer zu deaktivieren, die über Access Gateway auf Win10Desktop zugreifen, verweisen Sie auf das Smart Access-Tag temp, das in Schritt 1 erstellt wurde. Erstellen Sie mit dem folgenden Befehl eine Smart Access-Richtlinie: Set-BrokerAccessPolicyRule Win10Desktop_AG_iPhone -IncludedSmartAccessTags Primary_HDX_Proxy:temp -AppProtectionScreenCaptureRequired $false -AppProtectionKeyLoggingRequired $false

    Primary_HDX_Proxy ist der Name des virtuellen VPN-Servers aus Schritt 1: Erstellen einer Smart Access-Richtlinie.

  5. Verwenden Sie den folgenden Befehl, um App-Schutzrichtlinien für die übrigen Win10Desktop-Benutzer zu aktivieren: Set-BrokerAccessPolicyRule Win10Desktop_AG -AppProtectionScreenCaptureRequired $true -AppProtectionKeyLoggingRequired $true.

  6. Überprüfung

    Für iPhone: Melden Sie sich von der Citrix Workspace-App ab, falls sie auf dem iPhone bereits geöffnet ist. Melden Sie sich extern über eine Access Gateway-Verbindung bei der Citrix Workspace-App an. Sie sollten die erforderliche Ressource in StoreFront sehen können, und der App-Schutz sollte deaktiviert sein.

    Für alle übrigen Geräte (außer iPhone): Melden Sie sich von der Citrix Workspace-App ab, falls sie bereits auf dem Gerät geöffnet ist. Melden Sie sich extern über eine Access Gateway-Verbindung bei der Citrix Workspace-App an. Sie sollten die erforderliche Ressource in StoreFront sehen können, und der App-Schutz sollte deaktiviert sein.

Szenario 3: Deaktivieren des App-Schutzes für Verbindungen, die über einen browserbasierten Zugriff gestartet wurden, und Aktivieren des App-Schutzes für Verbindungen von der Citrix Workspace-App

Mit der folgenden Schrittfolge deaktivieren Sie den App-Schutz für die Bereitstellungsgruppe “Win10Desktop”, wenn Verbindungen über einen Browser gestartet werden.

  1. Schritt 1: Erstellen von Smart Access-Richtlinien

    1. Erstellen Sie eine Smart Access-Richtlinie, um nach den von der Citrix Workspace-App gestarteten Verbindungen zu filtern, wie in Szenario 2 definiert. Erstellen Sie den folgenden Ausdruck, um in der Zeichenfolge User Agent nach CitrixReceiver zu suchen: HTTP.REQ.HEADER(“User-Agent”).CONTAINS(“CitrixReceiver”). In diesem Fall lautet die Smart Access-Richtlinie cwa.

      Ausdruck erstellen

    2. Erstellen Sie eine weitere Smart Access-Richtlinie, um nach Verbindungen zu filtern, die nicht über die Citrix Workspace-App gestartet werden: HTTP.REQ.HEADER(“User-Agent”).CONTAINS(“CitrixReceiver”).NOT. In diesem Fall lautet die Smart Access-Richtlinie browser.

      Sitzungsrichtlinie erstellen

  2. Schritt 2: Erstellen von Brokerzugriffsrichtlinienregeln

    1. Führen Sie GetBrokerAccessPolicyRule aus, um die beiden Brokerzugriffsrichtlinien für Win10Desktop anzuzeigen. Für die Bereitstellungsgruppe “Win10Desktop” lauten die Brokerzugriffsrichtlinien Win10Desktop_AG und Win10Desktop_Direct. Notieren Sie sich die Desktopgruppen-UID von Win10Desktop.

    2. Erstellen Sie eine Brokerzugriffsrichtlinie für Win10Desktop, um nach Verbindungen zu filtern, die über die Citrix Workspace-App gestartet wurden.

      New-BrokerAccessPolicyRule -Name Win10Desktop_AG_CWA -DesktopGroupUid <Uid_of_desktopGroup> -AllowedConnections ViaAG -AllowedProtocols HDX, RDP -AllowedUsers AnyAuthenticated -AllowRestart $true -Enabled $true -IncludedSmartAccessFilterEnabled $true.

      Uid_of_desktopGroup ist die DesktopGroupUID der Bereitstellungsgruppe, die durch Ausführen der Regel “GetBrokerAccessPolicy” in Schritt 1 ermittelt wurde.

    3. Verwenden Sie den folgenden Befehl, um App-Schutzrichtlinien nur für Verbindungen zu aktivieren, die über CWA kommen, indem Sie auf das Smart Access-Tag cwa verweisen: Set-BrokerAccessPolicyRule Win10Desktop_AG_CWA -IncludedSmartAccessTags Primary_HDX_Proxy:cwa -AppProtectionScreenCaptureRequired $true -AppProtectionKeyLoggingRequired $true. Primary_HDX_Proxy ist der Name des virtuellen VPN-Servers, den Sie in Schritt 1: Erstellen einer Smart Access-Richtlinie notiert haben.

    4. Verwenden Sie den folgenden Befehl, um App-Schutzrichtlinien für die übrigen Verbindungen zu deaktivieren, die über den Browser eingehen: Set-BrokerAccessPolicyRule Win10Desktop_AG -IncludedSmartAccessTags Primary_HDX_Proxy:browser -AppProtectionScreenCaptureRequired $false -AppProtectionKeyLoggingRequired $false.

    5. Überprüfung. Melden Sie sich von der Citrix Workspace-App ab, falls sie bereits geöffnet ist. Melden Sie sich erneut an der Citrix Workspace-App an, und starten Sie die erforderliche Ressource von einer externen Verbindung über Access Gateway. Sie sehen, dass die App-Schutzrichtlinien für die Ressource aktiviert sind. Starten Sie dieselbe Ressource vom Browser aus über eine externe Verbindung. Sie sehen dann, dass die App-Schutzrichtlinien deaktiviert sind.

Szenario 4: Deaktivieren des App-Schutzes für Benutzer in einer bestimmten Active Directory-Gruppe

Mit der folgenden Schrittfolge deaktivieren Sie den App-Schutz für Win10Desktop-Benutzer, die zur Active Directory-Gruppe xd.local\sales gehören.

  1. Führen Sie GetBrokerAccessPolicyRule aus, um die beiden Brokerzugriffsrichtlinien für Win10Desktop anzuzeigen. Für die Bereitstellungsgruppe Win10Desktop gibt es zwei Brokerzugriffsrichtlinien: Win10Desktop_AG und Win10Desktop_Direct. Notieren Sie sich die Desktopgruppen-UID von Win10Desktop.

  2. Erstellen Sie eine Brokerzugriffsrichtlinienregel für Win10Desktop, um nach Verbindungen von Benutzern in der Active Directory-Gruppe xd.local\sales zu filtern.

    New-BrokerAccessPolicyRule -Name Win10Desktop_AG_Sales_Group -DesktopGroupUid <Uid_of_desktopGroup> -AllowedConnections ViaAG -AllowedProtocols HDX, RDP -AllowedUsers Filtered -AllowRestart $true -Enabled $true -IncludedSmartAccessFilterEnabled $true

    Uid_of_desktopGroup ist die DesktopGroupUID der Bereitstellungsgruppe, die durch Ausführen der Regel “GetBrokerAccessPolicy” in Schritt 1 ermittelt wurde.

  3. Verwenden Sie den folgenden Befehl, um App-Schutzrichtlinien für die Windows 10 Desktop-Benutzer zu deaktivieren, die zur AD-Gruppe xd.local\sales gehören: Set-BrokerAccessPolicyRule Win10Desktop_AG_Sales_Group -AllowedUsers Filtered -IncludedUsers xd.local\sales -IncludedUserFilterEnabled $true -AppProtectionScreenCaptureRequired $false -AppProtectionKeyLoggingRequired $false

  4. Verwenden Sie den folgenden Befehl, um App-Schutzrichtlinien für die übrigen Gateway-Verbindungen mit Ausnahme der Benutzer aus xd.local\sales zu aktivieren: Set-BrokerAccessPolicyRule Win10Desktop_AG -AllowedUsers Anyauthenticated -ExcludedUserFilterEnabled $true -ExcludedUsers xd.local\sales -AppProtectionScreenCaptureRequired $true -AppProtectionKeyLoggingRequired $true
  5. Überprüfung. Melden Sie sich von der Citrix Workspace-App ab, falls sie bereits geöffnet ist. Melden Sie sich bei der Citrix Workspace-App als Benutzer in der Active Directory-Gruppe xd.local\sales an. Starten Sie die geschützte Ressource. Sie sehen dann, dass der App-Schutz deaktiviert ist. Melden Sie sich von der Citrix Workspace-App ab und melden Sie sich erneut als Benutzer an, der nicht zu xd.local\sales gehört. Starten Sie die geschützte Ressource. Sie sehen dann, dass der App-Schutz aktiviert ist.
Kontextbezogener App-Schutz für StoreFront