Gerätestatus
Der Citrix Device Posture Service ist eine cloudbasierte Lösung, mit der Administratoren bestimmte Anforderungen durchsetzen können, die die Endgeräte erfüllen müssen, um Zugriff auf Citrix DaaS (virtuelle Apps und Desktops) oder Citrix Secure Private Access-Ressourcen (SaaS, Web-Apps, TCP- und UDP-Apps) zu erhalten. Für die Implementierung eines Zero-Trust-basierten Zugriffs ist es entscheidend, dass das Gerät vertrauenswürdig ist, indem der Gerätestatus überprüft wird. Der Gerätestatusdienst setzt Zero-Trust-Prinzipien im Netzwerk durch, indem er das Endgerät auf Konformität (verwaltet/BYOD und Sicherheitsstatus) überprüft, bevor der Benutzer sich anmelden kann.
Voraussetzungen
-
Lizenzanforderungen: Die Berechtigung für den Citrix Device Posture Service ist Teil der Lizenzen Citrix DaaS Premium, Citrix DaaS Premium Plus und Citrix Secure Private Access Advanced. Kunden mit anderen Lizenzen können eine Device Posture Service-Lizenz als Add-on erwerben. Für ein Add-on müssen Kunden eine eigenständige Adaptive Authentication-SKU erwerben, müssen diese aber nicht unbedingt bereitstellen, um den Device Posture Service nutzen zu können.
-
Unterstützte Plattformen:
- Windows (10 und 11)
- macOS 13 Ventura
- macOS 12 Monterey
- iOS
- IGEL
Hinweis:
-
Ein Gerät, das auf einer Plattform läuft, die nicht unterstützt wird, ist standardmäßig als nicht konform gekennzeichnet. Sie können die Klassifizierung auf der Seite “Gerätestatus” auf der Registerkarte Einstellungen von Nicht konform in Anmeldung verweigert ändern.
-
Ein Gerät, das auf einer unterstützten Plattform läuft, aber keiner vordefinierten Gerätezustandsrichtlinie entspricht, wird standardmäßig als nicht konform markiert. Sie können die Klassifizierung auf der Seite “Gerätestatus” auf der Registerkarte Einstellungen von Nicht konform in Anmeldung verweigert ändern.
-
Für die iOS-Unterstützung im Device Posture Service ist der EPA-Client als Teil der Citrix Workspace-App für iOS integriert. Einzelheiten zu den Versionen finden Sie unter Citrix Workspace-App für iOS.
-
Für die Unterstützung von IGEL OS im Device Posture Service ist der EPA-Client als Teil des IGEL OS integriert. Wenden Sie sich an das IGEL-Supportteam, um den EPA-Client auf den IGEL-Geräten zu installieren.
-
Citrix Device Posture Client (EPA-Client): Eine einfache Anwendung, die auf dem Endgerät installiert werden muss, um Gerätestatusscans auszuführen. Diese Anwendung benötigt keine lokalen Administratorrechte, um sie herunterzuladen und auf einem Endpunkt zu installieren.
Hinweis:
Wenn Sie eine Gerätezertifikatsprüfung verwenden, müssen Sie den EPA-Client mit Administratorrechten installieren.
-
Unterstützte Browser: Chrome, Edge und Firefox.
-
Firewall-Konfiguration: Damit der Device Posture Service die EPA-Clients auf einem Endgerät aktualisieren kann, muss die Firewall/der Proxy so konfiguriert sein, dass die folgenden Domänen zugelassen werden:
https://swa-ui-cdn-endpoint-prod.azureedge.net
https://productioniconstorage.blob.core.windows.net
- *.netscalergateway.net
- *.nssvc.net
- *.cloud.com
- *.pendo.io
- *.citrixworkspacesapi.net
Preview-Features
- Regelmäßiges Scannen von Geräten. Einzelheiten finden Sie unter Regelmäßiges Scannen von Geräten aktivieren — Vorschau
- Device Posture Service mit IGEL. Melden Sie sich für die Vorschau an mit https://podio.com/webforms/29062020/2362942.
Funktionsweise
Die Administratoren können Richtlinien für den Gerätestatus erstellen, um den Status der Endgeräte zu überprüfen und festzustellen, ob die Anmeldung für ein Endgerät zulässig ist oder verweigert wird. Die Geräte, die sich anmelden dürfen, werden außerdem als konform oder nicht konform eingestuft. Benutzer können sich über einen Browser oder die Citrix Workspace-App anmelden.
Im Folgenden sind die allgemeinen Bedingungen aufgeführt, anhand derer ein Gerät als konform, nicht konform und als verweigerte Anmeldung eingestuft wird.
- Konforme Geräte — Ein Gerät, das die vorkonfigurierten Richtlinienanforderungen erfüllt und sich mit vollem oder uneingeschränktem Zugriff auf Citrix Secure Private Access-Ressourcen oder Citrix DaaS-Ressourcen im Unternehmensnetzwerk anmelden darf.
- Nicht konforme Geräte — Ein Gerät, das die vorkonfigurierten Richtlinienanforderungen erfüllt und sich mit teilweisem oder eingeschränktem Zugriff auf Citrix Secure Private Access-Ressourcen oder Citrix DaaS-Ressourcen am Unternehmensnetzwerk anmelden darf.
- Anmeldung verweigert: - Einem Gerät, das die Richtlinienanforderungen nicht erfüllt, wird die Anmeldung verweigert.
Die Klassifizierung von Geräten als konform, nicht konformund verweigerte Anmeldung wird an den Citrix DaaS- und Citrix Secure Private Access-Dienst weitergegeben, der wiederum die Geräteklassifizierung verwendet, um intelligente Zugriffsfunktionen bereitzustellen.
Hinweis:
- Die Richtlinien zum Gerätestatus müssen für jede Plattform spezifisch konfiguriert werden. Für macOS kann ein Administrator beispielsweise den Zugriff für Geräte mit einer bestimmten Betriebssystemversion gewähren. In ähnlicher Weise kann der Administrator für Windows Richtlinien so konfigurieren, dass sie eine bestimmte Autorisierungsdatei, Registrierungseinstellungen usw. enthalten.
- Scans der Geräteposition werden nur während der Vorauthentifizierung/vor der Anmeldung durchgeführt.
- Definitionen von “konform” und “nicht konform” finden Sie unter Definitionen.
Vom Gerätestatus unterstützte Scans
Die folgenden Scans werden vom Citrix Device Posture Service unterstützt:
Windows | macOS | iOS | IGEL |
---|---|---|---|
Version der Citrix Workspace-App | Version der Citrix Workspace-App | Version der Citrix Workspace-App | - |
Betriebssystemversion | Betriebssystemversion | Betriebssystemversion | - |
Datei (existiert, Dateiname und Pfad) | Datei (existiert, Dateiname und Pfad) | - | Datei (existiert, Dateiname und Pfad) |
Geolocation | Geolocation | - | - |
Standort im Netzwerk | Standort im Netzwerk | - | - |
MAC-Adresse | MAC-Adresse | - | - |
Prozess (vorhanden) | Prozess (vorhanden) | - | - |
Microsoft Endpoint Manager | Microsoft Endpoint Manager | - | - |
CrowdStrike | CrowdStrike | - | - |
Gerätezertifikat | Gerätezertifikat | - | - |
Browser | Browser | - | - |
Antivirus | Antivirus | - | - |
Nichtnumerische Registrierung (32 Bit) | - | - | - |
Nichtnumerische Registrierung (64 Bit) | - | - | - |
Numerische Registrierung (32 Bit) | - | - | - |
Numerische Registrierung (64 Bit) | - | - | - |
Windows Update-Installationstyp | - | - | - |
Windows Update-Installation — Überprüfung des letzten Updates | - | - | - |
Hinweis:
Für die iOS-Unterstützung im Device Posture Service ist der EPA-Client als Teil der Citrix Workspace-App für iOS integriert. Einzelheiten zu den Versionen finden Sie unter Citrix Workspace-App für iOS.
Integration von Drittanbietern in Device Posture
Zusätzlich zu den vom Device Posture Service angebotenen nativen Scans kann der Dienst auch in die folgenden Drittanbieterlösungen unter Windows und macOS integriert werden.
- Microsoft Intune. Einzelheiten finden Sie unter Microsoft Intune-Integration mit Device Posture.
- CrowdStrike. Einzelheiten finden Sie unter CrowdStrike-Integration mit Device Posture.
Gerätestatus konfigurieren
Der Gerätestatus ist eine Kombination aus Richtlinien und Regeln, die ein Gerät erfüllen muss, um Zugriff auf die Ressourcen zu erhalten. Jeder Richtlinie ist eine der Aktionen zugeordnet, nämlich konform, nicht konform und Anmeldung verweigert. Darüber hinaus ist jede Richtlinie mit einer Priorität verknüpft, und die Bewertung der Richtlinie wird beendet, wenn eine Richtlinie als wahr bewertet wird und die zugehörigen Maßnahmen ergriffen werden.
- Melden Sie sich bei Citrix Cloud an und wählen Sie dann im Hamburger-Menü Identitäts- und Zugriffsverwaltung aus.
-
Klicken Sie auf die Registerkarte Gerätestatus und dann auf Verwalten.
Hinweis:
- Kunden des Secure Private Access Service können in der Admin-Benutzeroberfläche in der linken Navigationsleiste direkt auf Device Posture klicken.
- Erstbenutzer werden auf der Landingpage des Gerätestatus aufgefordert, eine Gerätestatusrichtlinie zu erstellen. Die Gerätestatusrichtlinie muss für jede Plattform individuell konfiguriert werden. Sobald Sie eine Gerätestatusrichtlinie erstellt haben, wird diese unter den entsprechenden Plattformen aufgeführt.
- Eine Richtlinie tritt erst in Kraft, nachdem der Gerätestatus aktiviert wurde. Um den Gerätestatus zu aktivieren, stellen Sie den Schalter Gerätestatus ist deaktiviert in der rechten oberen Ecke auf ON.
- Klicken Sie auf Geräterichtlinie erstellen.
-
Wählen Sie unter Plattformdie Plattform aus, für die Sie eine Richtlinie anwenden möchten. Sie können die Plattform von Windows auf macOS oder umgekehrt ändern, unabhängig von der Registerkarte, die Sie auf der Device Posture Homepage ausgewählt haben.
-
Wählen Sie unter Richtlinienregelndie Prüfung aus, die Sie im Rahmen des Gerätestatus durchführen möchten, und wählen Sie die Bedingungen aus, die erfüllt werden müssen.
Hinweis:
- Stellen Sie bei der Überprüfung des Gerätezertifikats sicher, dass das Ausstellerzertifikat auf dem Gerät vorhanden ist. Andernfalls können Sie bei der Erstellung der Device Posture-Richtlinie ein Gerätezertifikat importieren oder das Zertifikat über die Einstellungen auf der Device Posture-Startseite hochladen. Einzelheiten finden Sie unter Gerätezertifikat importieren beim Erstellen der Richtlinie für das Gerätezertifikat und Gerätezertifikat hochladen.
- Für die Prüfung des Gerätezertifikats muss der EPA-Client auf dem Endgerät mit Administratorrechten installiert sein.
- Die Gerätezertifikatsprüfung mit dem Device Posture Service unterstützt die Zertifikatssperrüberprüfung nicht.
-
Klicken Sie auf Weitere Regel hinzufügen, um mehrere Regeln zu erstellen. Eine UND-Bedingung wird auf mehrere Regeln angewendet.
-
Wählen Sie unter Richtlinienergebnis , das auf den von Ihnen konfigurierten Bedingungen basiert, den Typ aus, unter dem der Gerätescan das Benutzergerät klassifizieren muss.
- Konform
- Nicht konform
- Zugriff verweigert
- Geben Sie einen Namen für die Richtlinie ein.
-
Geben Sie im Feld Prioritätdie Reihenfolge ein, in der die Richtlinien bewertet werden müssen.
- Sie können einen Wert zwischen 1 und 100 eingeben. Es wird empfohlen, Ablehnungsrichtlinien mit höherer Priorität zu konfigurieren, gefolgt von nicht konform und schließlich konform.
- Die Priorität mit dem niedrigeren Wert hat die höchste Präferenz.
- Nur die aktivierten Richtlinien werden anhand der Priorität bewertet.
-
Klicken Sie auf Erstellen.
Wichtig:
Sie müssen den Schalter Bei Erstellung aktivieren auf ON stellen, damit die Richtlinien zum Gerätestatus wirksam werden. Bevor Sie die Richtlinien aktivieren, sollten Sie sicherstellen, dass die Richtlinien korrekt konfiguriert sind, und dass Sie diese Aufgaben in Ihrem Test-Setup ausführen.
Regelmäßiges Scannen von Geräten — Vorschau
Sie können das regelmäßige Scannen von Windows-Geräten für die konfigurierten Prüfungen alle 30 Minuten aktivieren. Gehen Sie wie folgt vor, um das regelmäßige Scannen zu aktivieren:
- Navigieren Sie zu Gerätestatus > Gerätescans und klicken Sie auf Einstellungen.
- Schieben Sie im Abschnitt Periodische Gerätezustandsscans den Kippschalter auf ON, um das regelmäßige Scannen von Geräten zu aktivieren.
Hinweis:
- Für das regelmäßige Scannen von Geräten muss der EPA-Client auf dem Endgerät mit Administratorrechten installiert werden.
- Ändert sich der Gerätestatus während des regelmäßigen Scannens von “konform“ zu “non-konform“ oder “Zugriff verweigert“, werden neue Anwendungsstarts blockiert.
Gerätestatusrichtlinie bearbeiten
Die konfigurierten Gerätestatusrichtlinien sind unter der jeweiligen Plattform auf der Seite Gerätescans aufgeführt. Auf dieser Seite können Sie nach der Richtlinie suchen, die Sie bearbeiten möchten. Sie können auf dieser Seite auch eine Richtlinie aktivieren, deaktivieren oder löschen.
Kontextbezogenen Zugriff (Smart Access) mit Gerätestatus konfigurieren
Nach der Überprüfung der Gerätehaltung darf sich das Gerät anmelden und wird als konform oder nicht konform eingestuft. Diese Informationen sind als Tags für den Citrix DaaS-Dienst und den Citrix Secure Private Access-Dienst verfügbar und werden verwendet, um den kontextbezogenen Zugriff auf der Grundlage der Gerätehaltung bereitzustellen. Daher müssen Citrix DaaS und Citrix Secure Private Access so konfiguriert werden, dass die Zugriffskontrolle mithilfe von Device Posture Tags erzwungen wird.
Citrix DaaS-Konfiguration mit Device Posture
Voraussetzungen:
Stellen Sie sicher, dass die Adaptive Access-Funktion aktiviert ist (Citrix Workspace > Access > Adaptive Access). Einzelheiten siehe Adaptiven Zugriff aktivieren.
- Melden Sie sich bei Citrix Cloud an.
- Klicken Sie auf der DaaS-Kachel auf Verwalten.
- Gehen Sie im linken Menü zum Abschnitt Delivery Group .
- Wählen Sie die Bereitstellungsgruppe aus, für die Sie die Zugriffskontrolle basierend auf dem Gerätestatus konfigurieren möchten, und klicken Sie auf Bearbeiten.
- Klicken Sie auf der Seite Bereitstellungsgruppe bearbeiten auf Access Policy.
-
Klicken Sie in der Zeile Citrix Gateway-Verbindungen auf das Bearbeitungssymbol, um die Gateway-Verbindungsrichtlinie zu bearbeiten.
- Wählen Sie auf der Seite “Richtlinie bearbeiten” die Option Verbindungen, die folgende Kriterien erfüllen.
- Wählen Sie Mit beliebigem übereinstimmen aus, und klicken Sie dann auf Kriterium hinzufügen.
- Fügen Sie Kriterien für alle Standort-Tags hinzu, die Sie unter Netzwerkstandorte konfigurieren konfiguriert haben: Geben Sie Workspace für Filter und KONFORM oder NICHT KONFORM für Value ein.
Hinweis:
Die Syntax für die Geräteklassifizierungs-Tags muss genau so eingegeben werden, wie sie zuvor erfasst wurde, d. h. ausschließlich in Großbuchstaben (KONFORM und NICHT KONFORM). Andernfalls funktionieren die Gerätestatusrichtlinien nicht wie vorgesehen.
Zusätzlich zu den Geräteklassifizierungs-Tags gibt der Device Posture Service auch das Betriebssystem-Tag und das dem Gerät zugeordnete Zugriffsrichtlinien-Tag zurück. Die Betriebssystem-Tags und die Zugriffsrichtlinien-Tags dürfen nur in Großbuchstaben eingegeben werden.
- DEVICE_TYPE_WINDOWS
- DEVICE_TYPE_MAC
- Genauer Richtlinienname (Großbuchstaben)
Citrix Secure Private Access-Konfiguration mit Device Posture
- Melden Sie sich bei Citrix Cloud an.
- Klicken Sie auf der Kachel Secure Private Access auf Verwalten.
- Klicken Sie im linken Navigationsbereich auf Richtlinien zugreifen und dann auf Richtlinie erstellen.
- Geben Sie den Richtliniennamen und die Beschreibung der Richtlinie ein.
- Wählen Sie unter Anwendungen die App oder die Gruppe von Apps aus, für die diese Richtlinie durchgesetzt werden muss.
- Klicken Sie auf Regel erstellen, um Regeln für die Richtlinie zu erstellen.
- Geben Sie den Regelnamen und eine kurze Beschreibung der Regel ein, und klicken Sie dann auf Weiter.
- Wählen Sie die Bedingungen der Benutzer aus. Die Benutzerbedingung ist eine zwingende Voraussetzung, die erfüllt sein muss, um den Benutzern Zugriff auf die Anwendungen zu gewähren.
- Klicken Sie auf +, um den Zustand der Gerätehaltung hinzuzufügen.
- Wählen Sie Device Posture Check und den logischen Ausdruck aus dem Drop-down-Menü aus.
-
Geben Sie einen der folgenden Werte in die benutzerdefinierten Tags ein:
- Konform — Für konforme Geräte
- Nicht konform — Für Geräte, die nicht konform sind
Hinweis:
Die Tags müssen genau so eingegeben werden, wie sie zuvor erfasst wurden, wobei große Anfangsbuchstaben verwendet werden müssen (Konform und Nicht konform). Andernfalls funktionieren die Richtlinien zum Gerätestatus nicht wie vorgesehen.
- Klicken Sie auf Weiter.
-
Wählen Sie die Aktionen aus, die auf der Grundlage der Zustandsbewertung angewendet werden müssen, und klicken Sie dann auf Weiter.
Auf der Übersichtsseite werden die Richtliniendetails angezeigt.
-
Sie können die Details überprüfen und auf Fertig stellenklicken.
Weitere Informationen zum Erstellen von Zugriffsrichtlinien finden Sie unter Konfigurieren einer Zugriffsrichtlinie mit mehreren Regeln.
Hinweis:
Jede Secure Private Access-Anwendung, die in der Zugriffsrichtlinie nicht als konform oder nicht konform gekennzeichnet ist, wird als Standardanwendung behandelt und ist unabhängig vom Gerätestatus auf allen Endpunkten zugänglich.
Konfiguration der Sitzungsaufzeichnung mit Device Posture
Mit der Sitzungsaufzeichnung können Organisationen Benutzeraktivitäten auf dem Bildschirm in virtuellen Sitzungen aufzeichnen. Sie können Tags angeben, wenn Sie eine benutzerdefinierte Sitzungsaufzeichnungsrichtlinie, Ereigniserkennungsrichtlinie oder Ereignisreaktionsrichtlinie erstellen. Ein Beispiel finden Sie unter Benutzerdefinierte Aufzeichnungsrichtlinie erstellen.
Ablauf für Endbenutzer
Sobald die Gerätestatusrichtlinien festgelegt und der Gerätestatus aktiviert ist, finden Sie im Folgenden die Endbenutzerabläufe, die darauf basieren, wie sich der Endbenutzer bei Citrix Workspace anmeldet.
Endbenutzerfluss per Browserzugriff
Hinweis:
Der macOS-Client und der Chrome-Browser werden als Beispiel zur Veranschaulichung verwendet. Die Bildschirme und Benachrichtigungen variieren je nach Client und Browser, den Sie für den Zugriff auf die Citrix Workspace-URL verwenden.
-
Wenn sich ein Endbenutzer über einen Browser an der Citrix Workspace-URL
https://<your-workspace-URL
anmeldet, wird der Endbenutzer aufgefordert, die Citrix Endpoint Analysis-Anwendung auszuführen. -
Wenn der Endbenutzer auf Citrix Endpoint Analysis öffnen klickt, wird der Device Posture Client ausgeführt und scannt die Endpunktparameter auf der Grundlage der Anforderungen der Device Posture Policy.
-
Wenn der Device Posture Client nicht auf dem Gerät installiert ist, werden die Benutzer zu einer Seite weitergeleitet, auf der die Option Plug-In herunterladen angezeigt wird. Wenn der neueste Device Stature Client bereits auf dem Endpunkt installiert ist, muss der Benutzer auf Gerät überprüfen klicken, um dies zu bestätigen. Ebenso werden die Benutzer zu einer Seite weitergeleitet, auf der die Option Plug-In aktualisieren angezeigt wird, wenn es sich bei der auf dem Gerät installierten EPA nicht um die neueste Version handelt. Wenn der EPA-Client bereits aktualisiert wurde, muss der Benutzer auf Gerät überprüfen klicken, um dies zu bestätigen.
In beiden Szenarien erscheint, wenn die Funktion Skip Check aktiviert ist, die Meldung Alternative, Sie können mit eingeschränktem Zugriff zu Citrix Workspace fortfahren. wird auf den Seiten des Download-Plug-Ins oder des Update-Plug-Ins angezeigt.
Endbenutzerfluss über die Citrix Workspace-Anwendung
- Wenn sich ein Endbenutzer über die Citrix Workspace-Anwendung an der Citrix Workspace-URL
https://your-workspace-url
anmeldet, wird der auf dem Endpunkt installierte Device Posture Client ausgeführt und scannt die Endpunktparameter auf der Grundlage der Device Posture Policy-Anforderungen. - Wenn der neueste Device Stature Client nicht auf dem Endpunkt installiert ist, werden die Benutzer zu der Seite weitergeleitet, auf der die Optionen Erneut überprüfen und Client herunterladen angezeigt werden. Der Benutzer muss auf Client herunterladen klicken.
- Wenn der neueste Device Posture Client bereits auf dem Endpunkt installiert ist, muss der Benutzer erneut auf Erneut prüfen klicken.
Ablauf beim Endbenutzer — Gerätestatus - Ergebnisse
Basierend auf den Gerätestatusrichtlinien können drei Möglichkeiten auftreten.
Wenn ein Endpunkt die Policy-Bedingungen erfüllt, sodass das Gerät in folgende Kategorien unterteilt ist:
- Konform — Der Endbenutzer darf sich mit uneingeschränktem Zugriff auf Secure Private Access- oder Citrix DaaS-Ressourcen anmelden.
-
Nicht konform — Der Endbenutzer darf sich mit eingeschränktem Zugriff auf Secure Private Access- oder Citrix DaaS-Ressourcen anmelden.
Wenn ein Endpunkt die Richtlinienbedingungen erfüllt, sodass das Gerät als Zugriff verweigerteingestuft wird, wird die Meldung Zugriff verweigert angezeigt.
Maßgeschneiderte Nachrichten für Szenarien mit Zugriffsverweigerungen
Admins haben die Möglichkeit, die Meldung anzupassen, die auf dem Endgerät angezeigt wird, wenn ein Zugriff verweigert wird.
Gehen Sie wie folgt vor, um benutzerdefinierte Nachrichten hinzuzufügen:
- Navigieren Sie zur Seite Gerätestatus > Gerätescans .
- Klicken Sie auf Einstellungen.
- Klicken Sie auf Bearbeiten und geben Sie im Feld Meldung die Meldung ein, die in Szenarien mit verweigertem Zugriff angezeigt werden muss. Sie können maximal 256 Zeichen eingeben.
-
Klicken Sie beim Speichern auf Benutzerdefinierte Nachricht aktivieren , um die Option zum Anzeigen der benutzerdefinierten Nachricht zu erzwingen. Wenn Sie dieses Kontrollkästchen nicht aktivieren, wird die benutzerdefinierte Nachricht zwar erstellt, aber nicht auf den Geräten angezeigt, in denen der Zugriff verweigert wurde.
Alternativ können Sie auf der Seite “ Einstellungen “ den Kippschalterfür benutzerdefinierte Nachrichten aktivieren, um die Nachricht auf den Geräten anzuzeigen.
- Klicken Sie auf Speichern.
Das folgende Bild zeigt eine Beispielnachricht, die vom Administrator hinzugefügt wurde.
Die folgende Abbildung zeigt die benutzerdefinierte Meldung, die auf dem Endbenutzergerät angezeigt wird, wenn ein Zugriff verweigert wird.
Die von Ihnen eingegebene Meldung erscheint immer dann, wenn dem Endgerät der Zugriff verweigert wird.
Überspringen Sie die Haltungsprüfungen des Geräts
Administratoren können den Endbenutzern in den folgenden Szenarien erlauben, die Gerätezustandsprüfungen auf ihren Geräten zu überspringen:
- Der Device Posture Agent ist nicht auf dem Gerät installiert.
- Der auf dem Gerät installierte EPA-Client ist nicht die neueste Version.
Wenn die Funktion Skip Check aktiviert ist, wird das Standardrichtlinienergebnis (nicht konform) durchgesetzt und das Gerät wird als nicht konform eingestuft. Endbenutzer erhalten teilweisen oder eingeschränkten Zugriff auf die Citrix Secure Private Access- oder Citrix DaaS-Ressourcen.
Aktiviere das Überspringen der Gerätehalterungsprüfungen
- Navigieren Sie zu Gerätestatus > Gerätescans.
- Klicken Sie auf Einstellungen.
-
Schieben Sie im Abschnitt Haltungsprüfung des Geräts überspringen den Kippschalter auf ON, um das Überspringen der Haltungsprüfungen des Geräts zu ermöglichen.
Wenn die Option Gerätezustandsprüfung überspringen aktiviert ist und sich der Endbenutzer bei Citrix Workspace anmeldet, wird die folgende Meldung angezeigt, wenn der Endbenutzer versucht, den Client herunterzuladen oder die EPA-Version zu aktualisieren.
Alternativ können Sie mit eingeschränktem Zugriff zu Citrix Workspace fortfahren.
Unterstützung für benutzerdefinierte Workspace-URLs
Benutzerdefinierte Workspace-URLs werden vom Device Posture Service unterstützt. Du kannst zusätzlich zu deiner cloud.com-URL eine URL verwenden, die dir gehört, um auf Workspace zuzugreifen. Stellen Sie sicher, dass Sie den Zugriff auf citrix.com von Ihrem Netzwerk aus zulassen. Einzelheiten zu benutzerdefinierten Domänen finden Sie unter Eine benutzerdefinierte Domäne konfigurieren.
Bekannte Einschränkungen
- Es kann einige Minuten bis zu einer Stunde dauern, bis die Funktion zur Gerätehaltung aktiviert oder deaktiviert wird, nachdem die Taste zum Umschalten der Gerätehaltung ein- oder ausgeschaltet wurde.
- Änderungen an der Konfiguration des Gerätestatusservices werden nicht sofort wirksam. Es kann etwa 10 Minuten dauern, bis die Änderungen wirksam werden.
- Wenn Sie die Option Service Continuity in Citrix Workspace aktiviert haben und der Device Posture Service nicht verfügbar ist, können sich Benutzer möglicherweise nicht bei Workspace anmelden. Dies liegt daran, dass Citrix Workspace Apps und Desktops auf der Grundlage des lokalen Caches auf dem Benutzergerät auflistet.
- Wenn Sie in Citrix Workspace ein langlebiges Token und ein Kennwort konfiguriert haben, funktioniert der Gerätestatus-Scan für diese Konfiguration nicht. Die Geräte werden nur gescannt, wenn sich die Benutzer bei Citrix Workspace anmelden.
- Jede Plattform kann maximal 10 Richtlinien haben und jede Richtlinie kann maximal 10 Regeln haben.
- Rollenbasierter Zugriff wird vom Device Posture Service nicht unterstützt.
Qualität der Dienstleistung
- Leistung: Unter idealen Bedingungen verzögert der Device Posture Service die Anmeldung um weitere 2 Sekunden. Diese Verzögerung kann sich je nach zusätzlichen Konfigurationen wie Integrationen von Drittanbietern wie Microsoft Intune erhöhen.
- Resilienz: Der Device Posture Service ist äußerst robust und verfügt über mehrere PoPs, um sicherzustellen, dass keine Ausfallzeiten auftreten.
Definitionen
Die Begriffe “konform” und “nicht konform” in Bezug auf den Device Posture Service sind wie folgt definiert.
- Konforme Geräte — Ein Gerät, das die vorkonfigurierten Richtlinienanforderungen erfüllt und sich mit vollem oder uneingeschränktem Zugriff auf Citrix Secure Private Access-Ressourcen oder Citrix DaaS-Ressourcen im Unternehmensnetzwerk anmelden darf.
- Nicht konforme Geräte — Ein Gerät, das die vorkonfigurierten Richtlinienanforderungen erfüllt und sich mit teilweisem oder eingeschränktem Zugriff auf Citrix Secure Private Access-Ressourcen oder Citrix DaaS-Ressourcen am Unternehmensnetzwerk anmelden darf.
In diesem Artikel
- Voraussetzungen
- Preview-Features
- Funktionsweise
- Vom Gerätestatus unterstützte Scans
- Integration von Drittanbietern in Device Posture
- Gerätestatus konfigurieren
- Kontextbezogenen Zugriff (Smart Access) mit Gerätestatus konfigurieren
- Ablauf für Endbenutzer
- Überspringen Sie die Haltungsprüfungen des Geräts
- Unterstützung für benutzerdefinierte Workspace-URLs
- Bekannte Einschränkungen
- Qualität der Dienstleistung
- Definitionen