Konfigurieren von Gerätestatusrichtlinien

Die Gerätehaltung ist eine Kombination aus Richtlinien und Regeln, die ein Gerät erfüllen muss, um Zugriff auf die Ressourcen zu erhalten. Mit jeder Richtlinie ist eine der Aktionen verknüpft, nämlich „konform“, „nicht konform“ und „Anmeldung verweigert“. Darüber hinaus ist jeder Richtlinie eine Priorität zugeordnet und die Richtlinienauswertung wird beendet, wenn eine Richtlinie als „true“ ausgewertet wird und die zugeordnete Aktion ausgeführt wird.

  1. Melden Sie sich bei Citrix Cloud an und wählen Sie dann Identity and Access Management aus dem Hamburger-Menü.
  2. Klicken Sie auf die Registerkarte Gerätehaltung, und dann auf Verwalten.

Hinweis:

  • Kunden des Secure Private Access-Dienstes können in der Administrator-Benutzeroberfläche in der linken Navigation direkt auf Gerätehaltung klicken.
  • Bei Erstbenutzern werden Sie auf der Zielseite „Device Posture“ aufgefordert, eine Device Posture-Richtlinie zu erstellen. Die Gerätestatusrichtlinie muss für jede Plattform individuell konfiguriert werden. Sobald Sie eine Gerätestatusrichtlinie erstellt haben, wird sie unter den entsprechenden Plattformen aufgelistet.
  • Eine Richtlinie tritt erst in Kraft, nachdem die Gerätehaltung aktiviert wurde. Um die Gerätehaltung zu aktivieren, schieben Sie den Schalter Die Gerätehaltung ist deaktiviert in der oberen rechten Ecke auf EIN.
  1. Klicken Sie auf Geräterichtlinie erstellen.
  2. Wählen Sie unter Plattformdie Plattform aus, für die Sie eine Richtlinie anwenden möchten. Sie können die Plattform von Windows auf macOS oder umgekehrt ändern, unabhängig von der Registerkarte, die Sie auf der Device Posture-Startseite ausgewählt haben.

  3. Wählen Sie in Richtlinienregelndie Prüfung aus, die Sie als Teil der Gerätehaltung durchführen möchten, und wählen Sie die Bedingungen aus, die erfüllt sein müssen.

Hinweis:

  • Stellen Sie zur Überprüfung des Gerätezertifikats sicher, dass das Ausstellerzertifikat auf dem Gerät vorhanden ist. Andernfalls können Sie beim Erstellen der Gerätehaltungsrichtlinie ein Gerätezertifikat importieren oder das Zertifikat von Einstellungen auf der Gerätehaltungs-Startseite hochladen. Weitere Einzelheiten finden Sie unter Gerätezertifikatsprüfung.
  • Für die Gerätezertifikatsprüfung muss der EPA-Client auf dem Endgerät mit administrativen Rechten installiert sein.
  • Die Gerätezertifikatsprüfung mit dem Device Posture-Dienst unterstützt die Zertifikatssperrprüfung nicht.
  1. Klicken Sie auf „Weitere Regel hinzufügen“ , um mehrere Regeln zu erstellen. Eine UND-Bedingung wird auf mehrere Regeln angewendet.

    Konfigurieren der Gerätehaltung

  2. Wählen Sie in Richtlinienergebnis basierend auf den von Ihnen konfigurierten Bedingungen den Typ aus, unter dem der Gerätescan das Benutzergerät klassifizieren muss.

    • Konform
    • Nicht konform
    • Zugriff verweigert
  3. Geben Sie einen Namen für die Richtlinie ein.
  4. Geben Sie unter Prioritätdie Reihenfolge ein, in der die Richtlinien ausgewertet werden müssen.

    • Sie können einen Wert zwischen 1 und 100 eingeben. Es wird empfohlen, Ablehnungsrichtlinien mit höherer Priorität zu konfigurieren, gefolgt von nicht konformen und schließlich konformen Richtlinien.
    • Die Priorität mit dem niedrigeren Wert hat die höchste Präferenz.
    • Nur die aktivierten Richtlinien werden basierend auf der Priorität ausgewertet.
  5. Klicken Sie auf Erstellen.

    Konfigurieren der Gerätehaltung

Wichtig:

Sie müssen den Kippschalter Bei Erstellung aktivieren auf EIN stellen, damit die Gerätehaltungsrichtlinien wirksam werden. Bevor Sie die Richtlinien aktivieren, sollten Sie sicherstellen, dass die Richtlinien richtig konfiguriert sind und Sie diese Aufgaben in Ihrem Test-Setup ausführen.

Konfigurieren Sie den kontextbezogenen Zugriff (Smart Access) mithilfe der Gerätehaltung

Nach der Überprüfung der Gerätehaltung darf sich das Gerät anmelden und wird als konform oder nicht konform klassifiziert. Diese Informationen sind als Tags für den Citrix DaaS-Dienst und den Citrix Secure Private Access-Dienst verfügbar und werden verwendet, um kontextbezogenen Zugriff basierend auf der Gerätehaltung bereitzustellen. Daher müssen Citrix DaaS und Citrix Secure Private Access so konfiguriert werden, dass die Zugriffskontrolle mithilfe von Gerätestatus-Tags erzwungen wird.

Citrix DaaS-Konfiguration mit Device Posture

Um den Zugriff auf die DaaS-Ressourcen einzuschränken, können Sie die Bereitstellungsgruppen angeben, für die Zugriffsbeschränkungen erzwungen werden müssen, und die Zugriffskontrollbeschränkungen mithilfe der Device Posture-Tags konfigurieren.

Voraussetzungen:

Stellen Sie sicher, dass die Funktion „Adaptive Access“ aktiviert ist (Citrix Workspace > Access > Adaptive Access). Einzelheiten siehe Adaptiven Zugriff aktivieren.

  1. Melden Sie sich bei Citrix Cloud an.
  2. Klicken Sie auf der Kachel DaaS auf Verwalten.
  3. Gehen Sie im Menü auf der linken Seite zum Abschnitt Liefergruppe .
  4. Wählen Sie die Bereitstellungsgruppe aus, für die Sie die Zugriffskontrolle basierend auf der Gerätehaltung konfigurieren möchten, und klicken Sie auf Bearbeiten.
  5. Klicken Sie auf der Seite Bereitstellungsgruppe bearbeiten auf Zugriffsrichtlinie.
  6. Klicken Sie auf das Bearbeitungssymbol in der Zeile Citrix Gateway-Verbindungen , um die Richtlinie für Gateway-Verbindungen zu bearbeiten.

    Zugriffsrichtlinie 1 bearbeiten

    1. Wählen Sie auf der Seite „Richtlinie bearbeiten“ Verbindungen aus, die die folgenden Kriterien erfüllen.
    2. Wählen Sie „Beliebige Übereinstimmung“aus und klicken Sie dann auf „Kriterium hinzufügen“.
    3. Fügen Sie Kriterien für alle Standort-Tags hinzu, die Sie unter „Netzwerkstandorte konfigurieren“ konfiguriert haben: Geben Sie Arbeitsbereich für Filter und KONFORM oder NICHT KONFORM für Wertein.

    Bearbeiten der Zugriffsrichtlinie zwei

Hinweis:

Die Syntax für die Geräteklassifizierungs-Tags muss exakt wie zuvor erfasst eingegeben werden, d. h. vollständig in Großbuchstaben (COMPLIANT und NON-COMPLIANT). Andernfalls funktionieren die Gerätehaltungsrichtlinien nicht wie vorgesehen.

Zusätzlich zu den Geräteklassifizierungs-Tags gibt der Device Posture-Dienst auch den Betriebssystem-Tag und den Zugriffsrichtlinien-Tag zurück, die dem Gerät zugeordnet sind. Die Betriebssystem-Tags und die Zugriffsrichtlinien-Tags dürfen nur in Großbuchstaben eingegeben werden.

  • GERÄTETYP _WINDOWS
  • GERÄTETYP_MAC
  • Genauer Richtlinienname (Großbuchstaben)

Citrix Secure Private Access-Konfiguration mit Device Posture

Um den Zugriff auf die Secure Private Access-Ressourcen einzuschränken, können Sie die Anwendungen auswählen, für die Zugriffsbeschränkungen erzwungen werden müssen, und die Zugriffskontrollbeschränkungen mithilfe der Device Posture-Tags konfigurieren.

  1. Melden Sie sich bei Citrix Cloud an.
  2. Klicken Sie auf der Kachel „Secure Private Access“ auf Verwalten.
  3. Klicken Sie in der linken Navigation auf Zugriffsrichtlinien und dann auf Richtlinie erstellen.
  4. Geben Sie den Richtliniennamen und eine Beschreibung der Richtlinie ein.
  5. Wählen Sie unter Anwendungendie App oder die Gruppe von Apps aus, für die diese Richtlinie erzwungen werden soll.
  6. Klicken Sie auf Regel erstellen , um Regeln für die Richtlinie zu erstellen.
  7. Geben Sie den Regelnamen und eine kurze Beschreibung der Regel ein und klicken Sie dann auf Weiter.
  8. Wählen Sie die Bedingungen der Benutzer aus. Die Bedingung Benutzer ist eine obligatorische Bedingung, die erfüllt werden muss, um den Benutzern Zugriff auf die Anwendungen zu gewähren.
  9. Klicken Sie auf + , um die Gerätehaltungsbedingung hinzuzufügen.
  10. Wählen Sie Gerätehaltungsprüfung und den logischen Ausdruck aus dem Dropdown-Menü.
  11. Geben Sie in den benutzerdefinierten Tags einen der folgenden Werte ein:

    • Konform - Für kompatible Geräte
    • Nicht konform - Für nicht konforme Geräte

Hinweis:

Die Tags müssen genauso eingegeben werden, wie sie zuvor erfasst wurden, mit Großbuchstaben am Anfang (Konform und Nicht konform). Andernfalls funktionieren die Gerätehaltungsrichtlinien nicht wie vorgesehen.

  1. Klicken Sie auf Weiter.
  2. Wählen Sie die Aktionen aus, die basierend auf der Bedingungsauswertung angewendet werden müssen, und klicken Sie dann auf Weiter.

    Auf der Seite „Zusammenfassung“ werden die Richtliniendetails angezeigt.

  3. Sie können die Angaben überprüfen und auf Fertig stellenklicken.

    Weitere Einzelheiten zum Erstellen von Zugriffsrichtlinien finden Sie unter Konfigurieren einer Zugriffsrichtlinie mit mehreren Regeln.

Hinweis:

Jede Secure Private Access-Anwendung, die in der Zugriffsrichtlinie nicht als konform oder nicht konform gekennzeichnet ist, wird als Standardanwendung behandelt und ist auf allen Endpunkten unabhängig vom Gerätestatus zugänglich.

SPA-Tags für die Gerätehaltung

Bearbeiten einer Gerätestatusrichtlinie

Die konfigurierten Gerätestatusrichtlinien werden unter der jeweiligen Plattform auf der Seite Gerätescans aufgeführt. Sie können auf dieser Seite nach der Richtlinie suchen, die Sie bearbeiten möchten. Sie können auf dieser Seite auch eine Richtlinie aktivieren, deaktivieren oder löschen.

Gerätestatusrichtlinie bearbeiten1

Konfigurieren von Gerätestatusrichtlinien