Authentifizierung

Sie können verschiedene Authentifizierungstypen für Ihre Citrix Workspace-App konfigurieren, darunter Domänen-Pass-Through (Single Sign-On oder SSON), Smartcard und Kerberos-Pass-Through.

Authentifizierungstoken

Authentifizierungstoken werden verschlüsselt und auf der lokalen Festplatte gespeichert, sodass Sie Ihre Anmeldeinformationen nicht erneut eingeben müssen, wenn Ihr System oder Ihre Sitzung neu gestartet wird. Die Citrix Workspace-App bietet eine Option zum Deaktivieren des Speicherns von Authentifizierungstoken auf der lokalen Festplatte.

Für verbesserte Sicherheit stellen wir jetzt eine Gruppenrichtlinienobjekt (GPO)-Richtlinie zur Konfiguration der Speicherung von Authentifizierungstoken bereit.

Hinweis:

-  > Diese Konfiguration ist nur in Cloud-Bereitstellungen anwendbar.

So deaktivieren Sie das Speichern von Authentifizierungstoken mithilfe der Gruppenrichtlinienobjekt (GPO)-Richtlinie:

1. Öffnen Sie die administrative Vorlage für Gruppenrichtlinienobjekte der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
2. Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Komponenten > SelfService.
   • 1. Wählen Sie in der Richtlinie Authentifizierungstoken speichern eine der folgenden Optionen aus:
   • Aktiviert: Gibt an, dass die Authentifizierungstoken auf der Festplatte gespeichert werden. Standardmäßig auf Aktiviert festgelegt.
   • Deaktiviert: Gibt an, dass die Authentifizierungstoken nicht auf der Festplatte gespeichert werden. Geben Sie Ihre Anmeldeinformationen erneut ein, wenn Ihr System oder Ihre Sitzung neu gestartet wird.
3. Klicken Sie auf Übernehmen und OK.

Ab Version 2106 bietet die Citrix Workspace-App eine weitere Option zum Deaktivieren des Speicherns von Authentifizierungstoken auf der lokalen Festplatte. Neben der bestehenden GPO-Konfiguration können Sie das Speichern von Authentifizierungstoken auf der lokalen Festplatte auch mithilfe des Global App Configuration Service deaktivieren.

Legen Sie im Global App Configuration Service das Attribut Store Authentication Tokens auf False fest.

Sie können diese Einstellung mithilfe des Global App Configuration Service auf eine der folgenden Arten konfigurieren:

-  Global App Configuration Service-Benutzeroberfläche (UI): Informationen zur Konfiguration über die Benutzeroberfläche finden Sie unter [Citrix Workspace-App konfigurieren](/de-de/citrix-workspace/global-app-config-service)
-  API: Informationen zur Konfiguration von Einstellungen mithilfe von APIs finden Sie in der [Citrix Developer](https://developer.cloud.com/citrixworkspace/server-integration/global-app-configuration-service/docs/getting-started)-Dokumentation.

Konfigurationsprüfer

Mit dem Konfigurationsprüfer können Sie einen Test ausführen, um zu überprüfen, ob Single Sign-On ordnungsgemäß konfiguriert ist. Der Test wird an verschiedenen Prüfpunkten der Single Sign-On-Konfiguration ausgeführt und zeigt die Konfigurationsergebnisse an.

1. Klicken Sie mit der rechten Maustaste auf das Symbol der Citrix Workspace-App im Infobereich und klicken Sie auf Erweiterte Einstellungen. Das Dialogfeld Erweiterte Einstellungen wird angezeigt.

2. Klicken Sie auf Konfigurationsprüfer. Das Fenster Citrix Konfigurationsprüfer wird angezeigt.

   

3. Wählen Sie SSONChecker aus dem Bereich Auswählen aus.
4. Klicken Sie auf Ausführen. Ein Fortschrittsbalken wird angezeigt, der den Status des Tests anzeigt.

Das Fenster Konfigurationsprüfer enthält die folgenden Spalten:

1. Status: Zeigt das Ergebnis eines Tests an einem bestimmten Prüfpunkt an.

   • Ein grünes Häkchen zeigt an, dass der spezifische Prüfpunkt ordnungsgemäß konfiguriert ist.
   • Ein blaues I zeigt Informationen zum Prüfpunkt an.
   • Ein rotes X zeigt an, dass der spezifische Prüfpunkt nicht ordnungsgemäß konfiguriert ist.
2. Anbieter: Zeigt den Namen des Moduls an, für das der Test ausgeführt wird. In diesem Fall Single Sign-On.
3. Suite: Zeigt die Kategorie des Tests an. Zum Beispiel Installation.
4. Test: Zeigt den Namen des spezifischen Tests an, der ausgeführt wird.
5. Details: Bietet zusätzliche Informationen zum Test, sowohl bei Erfolg als auch bei Fehler.

Der Benutzer erhält weitere Informationen zu jedem Prüfpunkt und den entsprechenden Ergebnissen.

Die folgenden Tests werden durchgeführt:

• 1. Mit Single Sign-On installiert.
• 1. Erfassung von Anmeldeinformationen.

1. Registrierung des Netzwerkproviders: Das Testergebnis für die Registrierung des Netzwerkproviders zeigt nur dann ein grünes Häkchen an, wenn “Citrix Single Sign-on” an erster Stelle in der Liste der Netzwerkprovider steht. Wenn Citrix Single Sign-on an einer anderen Stelle in der Liste erscheint, wird das Testergebnis für die Registrierung des Netzwerkproviders mit einem blauen I und zusätzlichen Informationen angezeigt.
2. Single Sign-On-Prozess wird ausgeführt.
3. Gruppenrichtlinie: Standardmäßig ist diese Richtlinie auf dem Client konfiguriert.
4. Interneteinstellungen für Sicherheitszonen: Stellen Sie sicher, dass Sie die Store-/XenApp-Dienst-URL zur Liste der Sicherheitszonen in den Internetoptionen hinzufügen. Wenn die Sicherheitszonen über Gruppenrichtlinien konfiguriert sind, muss bei jeder Änderung der Richtlinie das Fenster Erweiterte Einstellungen erneut geöffnet werden, damit die Änderungen wirksam werden und der korrekte Status des Tests angezeigt wird.
5. Authentifizierungsmethode für StoreFront.

Hinweis:

• Wenn Sie auf Workspace für Web zugreifen, sind die Testergebnisse nicht anwendbar.
• Wenn die Citrix Workspace-App mit mehreren Stores konfiguriert ist, wird der Authentifizierungsmethodentest für alle konfigurierten Stores ausgeführt.
• Sie können die Testergebnisse als Berichte speichern. Das Standardberichtsformat ist .txt.

Option „Konfigurationsprüfer“ im Fenster „Erweiterte Einstellungen“ ausblenden

• 1. Öffnen Sie die administrative GPO-Vorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
• 1. Navigieren Sie zu Citrix Komponenten > Citrix Workspace > Self Service > DisableConfigChecker.

1. Klicken Sie auf Aktiviert, um die Option Konfigurationsprüfer aus dem Fenster Erweiterte Einstellungen auszublenden.
2. Klicken Sie auf Übernehmen und OK.
3. Führen Sie den Befehl gpupdate /force aus.

Einschränkung:

Der Konfigurationsprüfer enthält den Prüfpunkt für die Konfiguration von Vertrauensanfragen, die an den XML-Dienst auf Citrix Virtual Apps and Desktops™-Servern gesendet werden, nicht.

Beacon-Test

Die Citrix Workspace-App ermöglicht Ihnen die Durchführung eines Beacon-Tests mithilfe des Beacon-Prüfers, der als Teil des Dienstprogramms Konfigurationsprüfer verfügbar ist. Der Beacon-Test hilft zu bestätigen, ob der Beacon (ping.citrix.com) erreichbar ist. Ab der Version Citrix Workspace-App für Windows 2402 LTSR CU1 funktioniert der Beacon-Test für alle Beacons, die im in der Citrix Workspace-App hinzugefügten Store konfiguriert sind. Dieser Diagnosetest hilft, eine der vielen möglichen Ursachen für eine langsame Ressourcenaufzählung zu eliminieren, nämlich die Nichtverfügbarkeit des Beacons. Um den Test auszuführen, klicken Sie mit der rechten Maustaste auf die Citrix Workspace-App im Infobereich und wählen Sie Erweiterte Einstellungen > Konfigurationsprüfer. Wählen Sie die Option Beacon-Prüfer aus der Liste der Tests und klicken Sie auf Ausführen.

Die Testergebnisse können wie folgt aussehen:

• Erreichbar – Die Citrix Workspace-App kann den Beacon erfolgreich kontaktieren.
• Nicht erreichbar – Die Citrix Workspace-App kann den Beacon nicht kontaktieren.
• Teilweise erreichbar – Die Citrix Workspace-App kann den Beacon zeitweise kontaktieren.

Hinweis:

-  Die Testergebnisse sind nicht auf Workspace für Web anwendbar.
-  Die Testergebnisse können als Berichte gespeichert werden. Das Standardformat für den Bericht ist .txt.

Unterstützung für bedingten Zugriff mit Azure Active Directory

Bedingter Zugriff ist ein Tool, das von Azure Active Directory verwendet wird, um Organisationsrichtlinien durchzusetzen. Workspace-Administratoren können Richtlinien für bedingten Zugriff von Azure Active Directory für Benutzer konfigurieren und durchsetzen, die sich bei der Citrix Workspace-App authentifizieren. Auf dem Windows-Computer, auf dem die Citrix Workspace-App ausgeführt wird, muss Microsoft Edge WebView2 Runtime Version 99 oder höher installiert sein.

Ausführliche Informationen und Anweisungen zur Konfiguration von Richtlinien für bedingten Zugriff mit Azure Active Directory finden Sie in der Azure AD Conditional Access-Dokumentation.

Hinweis:

Diese Funktion wird nur bei Workspace (Cloud)-Bereitstellungen unterstützt.

• Unterstützung für moderne Authentifizierungsmethoden für StoreFront-Stores

  • Sie können die Unterstützung für moderne Authentifizierungsmethoden für StoreFront-Stores mithilfe einer Gruppenrichtlinienobjekt (GPO)-Vorlage aktivieren. Sie können diese Funktion mithilfe des Global App Configuration-Dienstes aktivieren.

• Sie können sich auf eine der folgenden Arten bei Citrix StoreFront-Stores authentifizieren:

  • Mithilfe von Windows Hello und FIDO2-Sicherheitsschlüsseln. Weitere Informationen finden Sie unter Andere Authentifizierungsmethoden.
  • Single Sign-On bei Citrix StoreFront-Stores von in Azure Active Directory (AAD) eingebundenen Maschinen mit AAD als Identitätsanbieter. Weitere Informationen finden Sie unter Andere Authentifizierungsmethoden.

• Workspace-Administratoren können Richtlinien für bedingten Zugriff von Azure Active Directory für Benutzer konfigurieren und durchsetzen, die sich bei Citrix StoreFront-Stores authentifizieren. Weitere Informationen finden Sie unter Unterstützung für bedingten Zugriff mit Azure AD.

• Um diese Funktion zu aktivieren, müssen Sie Microsoft Edge WebView2 als zugrunde liegenden Browser für die direkte StoreFront- und Gateway-Authentifizierung verwenden.

Hinweis:

• Stellen Sie sicher, dass die Microsoft Edge WebView2 Runtime-Version 102 oder höher ist.

• Sie können moderne Authentifizierungsmethoden für StoreFront-Stores mithilfe des Global App Config-Dienstes und einer Gruppenrichtlinienobjekt (GPO)-Vorlage aktivieren.

Verwenden des Global App Config-Dienstes

So aktivieren Sie diese Funktion:

1. Wählen Sie im Menü Citrix Cloud™ die Option Workspace Configuration und dann App Configuration aus.

• 1. Klicken Sie auf Security & Authentication.

1. Stellen Sie sicher, dass das Kontrollkästchen Windows aktiviert ist.

• 1. Wählen Sie Enabled neben Windows aus der Dropdownliste Microsoft Edge WebView for StoreFront™ Authentication aus.

  

Hinweis:

• Wenn Sie Disabled neben Windows aus der Dropdownliste Microsoft Edge WebView for StoreFront Authentication auswählen, wird Internet Explorer WebView in der Citrix Workspace-App verwendet. Infolgedessen werden die modernen Authentifizierungsmethoden für Citrix StoreFront-Stores nicht unterstützt.

Verwenden von GPO

So aktivieren Sie diese Funktion:

1. Öffnen Sie die administrative Vorlage für Gruppenrichtlinienobjekte der Citrix Workspace-App, indem Sie gpedit.msc ausführen.

• 1. Navigieren Sie unter dem Knoten Computer Configuration zu Administrative Templates > Citrix Workspace > User Authentication.

1. Klicken Sie auf die Richtlinie Microsoft Edge WebView for StoreFront authentication und setzen Sie sie auf Enabled.

   

2. Klicken Sie auf Apply und dann auf OK.

Wenn diese Richtlinie deaktiviert ist, verwendet die Citrix Workspace-App Internet Explorer WebView. Infolgedessen werden die modernen Authentifizierungsmethoden für Citrix StoreFront-Stores nicht unterstützt.

• Andere Authentifizierungsmethoden

• Sie können die folgenden Authentifizierungsmechanismen mit der Citrix Workspace-App konfigurieren. Damit die folgenden Authentifizierungsmechanismen wie erwartet funktionieren, muss auf dem Windows-Computer, auf dem die Citrix Workspace-App ausgeführt wird, Microsoft Edge WebView2 Runtime Version 99 oder höher installiert sein.

• 1. Windows Hello-basierte Authentifizierung – Anweisungen zur Konfiguration der Windows Hello-basierten Authentifizierung finden Sie unter Konfigurieren der Windows Hello for Business-Richtlinieneinstellungen – Zertifikatvertrauensstellung.

  Hinweis:

• Die Windows Hello-basierte Authentifizierung mit Domänen-Pass-Through (Single Sign-On oder SSON) wird nicht unterstützt.

1. FIDO2-Sicherheitsschlüssel-basierte Authentifizierung – FIDO2-Sicherheitsschlüssel bieten Unternehmensmitarbeitern eine nahtlose Möglichkeit zur Authentifizierung, ohne einen Benutzernamen oder ein Kennwort eingeben zu müssen. Sie können die FIDO2-Sicherheitsschlüssel-basierte Authentifizierung für Citrix Workspace konfigurieren. Wenn Ihre Benutzer sich mit ihrem Azure AD-Konto über einen FIDO2-Sicherheitsschlüssel bei Citrix Workspace authentifizieren sollen, lesen Sie Kennwortlose Anmeldung mit Sicherheitsschlüssel aktivieren.
2. Sie können auch Single Sign-On (SSO) für die Citrix Workspace-App von Microsoft Azure Active Directory (AAD)-verbundenen Maschinen mit AAD als Identitätsanbieter konfigurieren. Weitere Informationen zur Konfiguration von Azure Active Directory Domain Services finden Sie unter Konfigurieren von Azure Active Directory Domain Services. Informationen zum Verbinden von Azure Active Directory mit Citrix Cloud finden Sie unter Verbinden von Azure Active Directory mit Citrix Cloud.

Smartcard

• Die Citrix Workspace-App für Windows unterstützt die folgenden Smartcard-Authentifizierungen:

• Pass-Through-Authentifizierung (Single Sign-On) – Die Pass-Through-Authentifizierung erfasst die Smartcard-Anmeldeinformationen, wenn Benutzer sich bei der Citrix Workspace-App anmelden. Die Citrix Workspace-App verwendet die erfassten Anmeldeinformationen wie folgt:

  • Benutzer von in die Domäne eingebundenen Geräten, die sich mit der Smartcard bei der Citrix Workspace-App anmelden, können virtuelle Desktops und Anwendungen starten, ohne sich erneut authentifizieren zu müssen.
  • Die Citrix Workspace-App, die auf nicht in die Domäne eingebundenen Geräten mit den Smartcard-Anmeldeinformationen ausgeführt wird, muss ihre Anmeldeinformationen erneut eingeben, um einen virtuellen Desktop oder eine Anwendung zu starten.

  Die Pass-Through-Authentifizierung erfordert eine Konfiguration sowohl in StoreFront als auch in der Citrix Workspace-App.

• Bimodale Authentifizierung – Die bimodale Authentifizierung bietet Benutzern die Wahl zwischen der Verwendung einer Smartcard und der Eingabe von Benutzername und Kennwort. Diese Funktion ist effektiv, wenn Sie die Smartcard nicht verwenden können. Zum Beispiel, wenn das Anmeldezertifikat abgelaufen ist. Pro Site müssen dedizierte Stores eingerichtet werden, um die bimodale Authentifizierung zu ermöglichen, wobei die Methode DisableCtrlAltDel auf False gesetzt werden muss, um Smartcards zuzulassen. Die bimodale Authentifizierung erfordert eine StoreFront-Konfiguration.

  Mithilfe der bimodalen Authentifizierung kann der StoreFront-Administrator sowohl die Benutzername- und Kennwort- als auch die Smartcard-Authentifizierung für denselben Store zulassen, indem er sie in der StoreFront-Konsole auswählt. Siehe die StoreFront-Dokumentation.

• Mehrere Zertifikate – Mehrere Zertifikate können für eine einzelne Smartcard und bei Verwendung mehrerer Smartcards genutzt werden. Wenn Sie eine Smartcard in ein Lesegerät einlegen, gelten die Zertifikate für alle Anwendungen, die auf dem Benutzergerät ausgeführt werden, einschließlich der Citrix Workspace-App.

• Clientzertifikat-Authentifizierung – Die Clientzertifikat-Authentifizierung erfordert eine Citrix Gateway- und StoreFront-Konfiguration.

  • Für den Zugriff auf StoreFront über Citrix Gateway müssen Sie sich nach dem Entfernen der Smartcard erneut authentifizieren.
  • Wenn die Citrix Gateway SSL-Konfiguration auf Obligatorische Clientzertifikat-Authentifizierung eingestellt ist, ist der Betrieb sicherer. Die obligatorische Clientzertifikat-Authentifizierung ist jedoch nicht mit der bimodalen Authentifizierung kompatibel.

• Double-Hop-Sitzungen – Wenn ein Double-Hop erforderlich ist, wird eine Verbindung zwischen der Citrix Workspace-App und dem virtuellen Desktop des Benutzers hergestellt.

• Smartcard-fähige Anwendungen – Smartcard-fähige Anwendungen, wie Microsoft Outlook und Microsoft Office, ermöglichen Benutzern das digitale Signieren oder Verschlüsseln von Dokumenten, die in virtuellen Apps- und Desktops-Sitzungen verfügbar sind.

Einschränkungen:

• Zertifikate müssen auf der Smartcard und nicht auf dem Benutzergerät gespeichert werden.
• Die Citrix Workspace-App speichert die Auswahl des Benutzerzertifikats nicht, speichert aber die PIN, wenn konfiguriert. Die PIN wird nur während der Benutzersitzung im nicht ausgelagerten Speicher zwischengespeichert und nicht auf der Festplatte gespeichert.
• Die Citrix Workspace-App stellt keine Verbindung zu einer Sitzung wieder her, wenn eine Smartcard eingelegt wird.
• Wenn für die Smartcard-Authentifizierung konfiguriert, unterstützt die Citrix Workspace-App kein Single Sign-On für virtuelle private Netzwerke (VPN) oder den Sitzungsvorstart. Um VPN mit Smartcard-Authentifizierung zu verwenden, installieren Sie das Citrix Gateway Plug-in. Melden Sie sich über eine Webseite mit ihren Smartcards und PINs an, um sich bei jedem Schritt zu authentifizieren. Die Pass-Through-Authentifizierung zu StoreFront mit dem Citrix Gateway Plug-in ist für Smartcard-Benutzer nicht verfügbar.

• Die Kommunikationen des Citrix Workspace-App-Updaters mit citrix.com und dem Merchandising Server sind nicht mit der Smartcard-Authentifizierung auf Citrix Gateway kompatibel.

• Warnung

• Einige Konfigurationen erfordern Änderungen an der Registrierung. Eine falsche Verwendung des Registrierungs-Editors kann Probleme verursachen, die eine Neuinstallation des Betriebssystems erforderlich machen können. Citrix kann nicht garantieren, dass Probleme, die aus einer falschen Verwendung des Registrierungs-Editors resultieren, behoben werden können. Stellen Sie sicher, dass Sie die Registrierung sichern, bevor Sie sie bearbeiten.

So aktivieren Sie Single Sign-On für die Smartcard-Authentifizierung:

Um die Citrix Workspace-App für Windows zu konfigurieren, fügen Sie während der Installation die folgende Befehlszeilenoption hinzu:

• ENABLE_SSON=Yes

  Single Sign-On ist ein anderer Begriff für Pass-Through-Authentifizierung. Durch Aktivieren dieser Einstellung wird verhindert, dass die Citrix Workspace-App eine zweite PIN-Eingabeaufforderung anzeigt.

• Navigieren Sie im Registrierungs-Editor zum folgenden Pfad und setzen Sie den String SSONCheckEnabled auf False, wenn Sie die Single Sign-On-Komponente nicht installiert haben.

  HKEY_CURRENT_USER\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\

  HKEY_LOCAL_MACHINE\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\

  Der Schlüssel verhindert, dass der Authentifizierungsmanager der Citrix Workspace-App die Single Sign-On-Komponente überprüft, und ermöglicht der Citrix Workspace-App die Authentifizierung bei StoreFront.

Um die Smartcard-Authentifizierung bei StoreFront anstelle von Kerberos zu aktivieren, installieren Sie die Citrix Workspace-App für Windows mit den folgenden Befehlszeilenoptionen:

• /includeSSON installiert die Single Sign-On (Pass-Through)-Authentifizierung. Ermöglicht das Zwischenspeichern von Anmeldeinformationen und die Verwendung der Pass-Through-Authentifizierung auf Domänenbasis.

• Wenn sich der Benutzer mit einer anderen Authentifizierungsmethode, z. B. Benutzername und Kennwort, am Endpunkt anmeldet, lautet die Befehlszeile:

  /includeSSON LOGON_CREDENTIAL_CAPTURE_ENABLE=No

Diese Art der Authentifizierung verhindert das Abfangen der Anmeldeinformationen zum Zeitpunkt der Anmeldung und ermöglicht der Citrix Workspace-App, die PIN während der Anmeldung bei der Citrix Workspace-App zu speichern.

1. Öffnen Sie die administrative Vorlage für Gruppenrichtlinienobjekte der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
2. Navigieren Sie zu Administrative Vorlagen > Citrix Komponenten > Citrix Workspace > Benutzerauthentifizierung > Lokaler Benutzername und Kennwort.
3. Wählen Sie Pass-Through-Authentifizierung aktivieren. Abhängig von der Konfiguration und den Sicherheitseinstellungen wählen Sie Pass-Through-Authentifizierung für alle ICA®-Optionen zulassen, damit die Pass-Through-Authentifizierung funktioniert.

So konfigurieren Sie StoreFront:

• Wenn Sie den Authentifizierungsdienst konfigurieren, aktivieren Sie das Kontrollkästchen Smartcard.

Weitere Informationen zur Verwendung von Smartcards mit StoreFront finden Sie unter Konfigurieren des Authentifizierungsdiensts in der StoreFront-Dokumentation.

So aktivieren Sie Benutzergeräte für die Smartcard-Nutzung:

1. Importieren Sie das Stammzertifikat der Zertifizierungsstelle in den Keystore des Geräts.
2. Installieren Sie die kryptografische Middleware Ihres Anbieters.
3. Installieren und konfigurieren Sie die Citrix Workspace-App.

So ändern Sie die Zertifikatauswahl:

Standardmäßig fordert die Citrix Workspace-App den Benutzer auf, ein Zertifikat aus der Liste auszuwählen, wenn mehrere Zertifikate gültig sind. Stattdessen können Sie die Citrix Workspace-App so konfigurieren, dass sie das Standardzertifikat (gemäß dem Smartcard-Anbieter) oder das Zertifikat mit dem spätesten Ablaufdatum verwendet. Wenn keine gültigen Anmeldezertifikate vorhanden sind, wird der Benutzer benachrichtigt und erhält die Option, eine alternative Anmeldemethode zu verwenden, falls verfügbar.

Ein gültiges Zertifikat muss alle folgenden Eigenschaften aufweisen:

• Die aktuelle Uhrzeit des lokalen Computers liegt innerhalb des Gültigkeitszeitraums des Zertifikats.
• Der öffentliche Schlüssel des Antragstellers muss den RSA-Algorithmus verwenden und eine Schlüssellänge von 1024 Bit, 2048 Bit oder 4096 Bit haben.
• Die Schlüsselverwendung muss die digitale Signatur umfassen.
• Der alternative Antragstellernamen muss den User Principal Name (UPN) enthalten.
• Die erweiterte Schlüsselverwendung muss die Smartcard-Anmeldung und Client-Authentifizierung oder alle Schlüsselverwendungen umfassen.
• Eine der Zertifizierungsstellen in der Ausstellerkette des Zertifikats muss einem der zulässigen Distinguished Names (DN) entsprechen, die vom Server im TLS-Handshake gesendet werden.

Ändern Sie die Zertifikatauswahl mit einer der folgenden Methoden:

• Geben Sie in der Befehlszeile der Citrix Workspace-App die Option AM_CERTIFICATESELECTIONMODE={ Prompt | SmartCardDefault | LatestExpiry } an.

  Prompt ist die Standardeinstellung. Bei SmartCardDefault oder LatestExpiry fordert die Citrix Workspace-App den Benutzer zur Auswahl eines Zertifikats auf, wenn mehrere Zertifikate die Kriterien erfüllen.

• Fügen Sie den folgenden Schlüsselwert zum Registrierungsschlüssel HKEY_CURRENT_USER ODER HKEY_LOCAL_MACHINE\Software\[Wow6432Node\Citrix\AuthManager hinzu: CertificateSelectionMode={ Prompt

  SmartCardDefault

  LatestExpiry }.

In HKEY_CURRENT_USER definierte Werte haben Vorrang vor Werten in HKEY_LOCAL_MACHINE, um den Benutzer bei der Auswahl eines Zertifikats optimal zu unterstützen.

So verwenden Sie CSP-PIN-Eingabeaufforderungen:

Standardmäßig werden die den Benutzern angezeigten PIN-Eingabeaufforderungen von der Citrix Workspace-App für Windows und nicht vom Cryptographic Service Provider (CSP) der Smartcard bereitgestellt. Die Citrix Workspace-App fordert Benutzer bei Bedarf zur Eingabe einer PIN auf und leitet die PIN dann an den Smartcard-CSP weiter. Wenn Ihre Site oder Smartcard strengere Sicherheitsanforderungen hat, z. B. das Zwischenspeichern der PIN pro Prozess oder pro Sitzung nicht zulässt, können Sie die Citrix Workspace-App so konfigurieren, dass sie die CSP-Komponenten zur Verwaltung der PIN-Eingabe verwendet, einschließlich der Aufforderung zur Eingabe einer PIN.

Ändern Sie die PIN-Eingabe mit einer der folgenden Methoden:

• Geben Sie in der Befehlszeile der Citrix Workspace-App die Option AM_SMARTCARDPINENTRY=CSP an.
• Fügen Sie den folgenden Schlüsselwert zum Registrierungsschlüssel HKEY_LOCAL_MACHINE\Software\[Wow6432Node\Citrix\AuthManager hinzu: SmartCardPINEntry=CSP.

Smartcard-Unterstützung und Änderungen beim Entfernen

Eine Citrix Virtual Apps-Sitzung wird abgemeldet, wenn Sie die Smartcard entfernen. Wenn die Citrix Workspace-App mit Smartcard als Authentifizierungsmethode konfiguriert ist, konfigurieren Sie die entsprechende Richtlinie in der Citrix Workspace-App für Windows, um die Abmeldung der Citrix Virtual Apps-Sitzung zu erzwingen. Der Benutzer ist weiterhin in der Citrix Workspace-App-Sitzung angemeldet.

Einschränkung:

Wenn Sie sich mit Smartcard-Authentifizierung bei der Citrix Workspace-App-Site anmelden, wird der Benutzername als Angemeldet angezeigt.

Schnelle Smartcard

Die schnelle Smartcard ist eine Verbesserung gegenüber der bestehenden HDX PC/SC-basierten Smartcard-Umleitung. Sie verbessert die Leistung, wenn Smartcards in WAN-Umgebungen mit hoher Latenz verwendet werden.

Schnelle Smartcards werden nur auf Windows-VDAs unterstützt.

So aktivieren Sie die schnelle Smartcard-Anmeldung in der Citrix Workspace-App:

Die schnelle Smartcard-Anmeldung ist standardmäßig auf dem VDA aktiviert und in der Citrix Workspace-App standardmäßig deaktiviert. Um die schnelle Smartcard-Anmeldung zu aktivieren, fügen Sie den folgenden Parameter in die Datei default.ica der zugehörigen StoreFront-Site ein:

copy[WFClient]
SmartCardCryptographicRedirection=On
<!--NeedCopy-->

So deaktivieren Sie die schnelle Smartcard-Anmeldung in der Citrix Workspace-App:

Um die schnelle Smartcard-Anmeldung in der Citrix Workspace-App zu deaktivieren, entfernen Sie den Parameter SmartCardCryptographicRedirection aus der Datei default.ica der zugehörigen StoreFront-Site.

Weitere Informationen finden Sie unter Smartcards.

Stille Authentifizierung für Citrix Workspace

Die Citrix Workspace-App führt eine Gruppenrichtlinienobjekt (GPO)-Richtlinie ein, um die stille Authentifizierung für Citrix Workspace zu ermöglichen. Diese Richtlinie ermöglicht der Citrix Workspace-App, sich beim Systemstart automatisch bei Citrix Workspace anzumelden. Verwenden Sie diese Richtlinie nur, wenn die Domänen-Pass-Through-Authentifizierung (Single Sign-On oder SSON) für Citrix Workspace auf in die Domäne eingebundenen Geräten konfiguriert ist. Diese Funktion ist ab Citrix Workspace-App für Windows Version 2012 und höher verfügbar.

Damit diese Richtlinie funktioniert, müssen die folgenden Kriterien erfüllt sein:

• Single Sign-On muss aktiviert sein.
• Der Schlüssel SelfServiceMode muss im Registrierungs-Editor auf Off gesetzt sein.

Stille Authentifizierung aktivieren:

1. Öffnen Sie die administrative Vorlage für Gruppenrichtlinienobjekte der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
2. Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Workspace > Self Service.
3. Klicken Sie auf die Richtlinie Stille Authentifizierung für Citrix Workspace und setzen Sie sie auf Aktiviert.
4. Klicken Sie auf Übernehmen und OK.

Verhindern, dass die Citrix Workspace-App für Windows Kennwörter und Benutzernamen zwischenspeichert

Standardmäßig füllt die Citrix Workspace-App für Windows den zuletzt eingegebenen Benutzernamen automatisch aus. Um die automatische Vervollständigung des Benutzernamenfelds zu deaktivieren, bearbeiten Sie die Registrierung auf dem Benutzergerät:

1. Erstellen Sie einen REG_SZ-Wert HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\AuthManager\RememberUsername.
2. Setzen Sie seinen Wert auf false.

Um das Kontrollkästchen Kennwort speichern zu deaktivieren und eine automatische Anmeldung zu verhindern, erstellen Sie den folgenden Registrierungsschlüssel auf dem Clientcomputer, auf dem die Citrix Workspace-App für Windows installiert ist:

• Pfad: HKEY_LOCAL_MACHINE\Software\wow6432node\Citrix\AuthManager
• Typ: REG_SZ
• Name: SavePasswordMode
• Wert: Never

Hinweis:

Eine falsche Verwendung des Registrierungs-Editors kann schwerwiegende Probleme verursachen, die eine Neuinstallation des Betriebssystems erforderlich machen können. Citrix kann nicht garantieren, dass Probleme, die aus einer falschen Verwendung des Registrierungs-Editors resultieren, behoben werden können. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko. Stellen Sie sicher, dass Sie die Registrierung sichern, bevor Sie sie bearbeiten.

Informationen zum Verhindern der Zwischenspeicherung von Anmeldeinformationen für die StoreFront-Stores finden Sie unter Verhindern, dass die Citrix Workspace-App für Windows Kennwörter und Benutzernamen zwischenspeichert in der StoreFront-Dokumentation.

Unterstützung für mehr als 200 Gruppen in Azure AD

Mit dieser Version kann ein Azure AD-Benutzer, der Mitglied von mehr als 200 Gruppen ist, die ihm zugewiesenen Apps und Desktops anzeigen. Zuvor konnte derselbe Benutzer diese Apps und Desktops nicht anzeigen.

Hinweis:

Benutzer müssen sich von der Citrix Workspace-App abmelden und erneut anmelden, um diese Funktion zu aktivieren.

Unterstützung der Proxy-Authentifizierung

Zuvor war auf Clientcomputern, die für die Proxy-Authentifizierung konfiguriert waren, keine Authentifizierung bei der Citrix Workspace-App möglich, wenn die Proxy-Anmeldeinformationen nicht im Windows-Anmeldeinformations-Manager vorhanden waren.

Ab Citrix Workspace-App für Windows Version 2102 und höher wird auf Clientcomputern, die für die Proxy-Authentifizierung konfiguriert sind, ein Authentifizierungsfenster angezeigt, in dem Sie zur Eingabe der Proxy-Anmeldeinformationen aufgefordert werden, falls diese nicht im Windows-Anmeldeinformations-Manager gespeichert sind. Die Citrix Workspace-App speichert dann die Proxy-Server-Anmeldeinformationen im Windows-Anmeldeinformations-Manager. Dies führt zu einer nahtlosen Anmeldeerfahrung, da Sie Ihre Anmeldeinformationen nicht manuell im Windows-Anmeldeinformations-Manager speichern müssen, bevor Sie auf die Citrix Workspace-App zugreifen.

User-Agent

Die Citrix Workspace-App sendet einen User-Agent in Netzwerkanfragen, der zur Konfiguration von Authentifizierungsrichtlinien verwendet werden kann, einschließlich der Umleitung der Authentifizierung an andere Identitätsanbieter (IdPs).

Hinweis:

Die in der folgenden Tabelle als Teil des User-Agent genannten Versionsnummern sind Beispiele und werden automatisch basierend auf den von Ihnen verwendeten Versionen aktualisiert.

Die folgende Tabelle beschreibt das Szenario, die Beschreibung und den entsprechenden User-Agent für jedes Szenario: