XenMobile Server

SmartAccess für HDX-Apps

Mit dieser Funktion können Sie den Zugriff auf HDX-Apps basierend auf den Geräteeigenschaften, den Benutzereigenschaften eines Geräts oder den auf einem Gerät installierten Anwendungen steuern. Mit dieser Funktion richten Sie automatisierte Aktionen ein, um das Gerät als nicht richtlinientreu zu markieren und diesem Gerät den Zugriff zu verweigern. HDX-Apps, die mit dieser Funktion verwendet werden, werden in Virtual Apps and Desktops anhand einer SmartAccess-Richtlinie konfiguriert, die nicht richtlinientreuen Geräten den Zugriff verweigert. XenMobile überträgt den Status des Geräts anhand eines signierten verschlüsselten Tags an StoreFront. StoreFront gewährt oder verweigert dann den Zugriff entsprechend der Zugriffssteuerungsrichtlinie der App.

Für die Verwendung dieses Features muss die Bereitstellung folgende Komponenten umfassen:

  • Virtual Apps and Desktops 7.6
  • StoreFront 3.7 oder 3.8
  • Mit XenMobile Server konfigurierte aggregierte HDX-Apps von einem StoreFront-Server
  • XenMobile Server mit SAML-Zertifikat für das Signieren und Verschlüsseln von Tags. Das gleiche Zertifikat ohne privaten Schlüssel wird auf den StoreFront-Server hochgeladen.

Um diese Funktion verwenden zu können, gehen Sie wie folgt vor:

  • Konfigurieren Sie das XenMobile Server-Zertifikat für den StoreFront-Store.
  • Konfigurieren Sie mindestens eine Virtual Apps and Desktops-Bereitstellungsgruppe mit der erforderlichen SmartAccess-Richtlinie
  • Legen Sie die automatisierte Aktion in XenMobile fest.

Exportieren und konfigurieren Sie das XenMobile-Serverzertifikat für den StoreFront-Store

SmartAccess verwendet signierte und verschlüsselte Tags für die Kommunikation zwischen XenMobile- und StoreFront-Servern. Um diese Kommunikation zu ermöglichen, fügen Sie das XenMobile Server-Zertifikat dem StoreFront-Store hinzu.

Weitere Informationen zur Integration von StoreFront in XenMobile, wenn für XenMobile die domänen- und zertifikatbasierte Authentifizierung konfiguriert ist, finden Sie im Support Knowledge Center.

Exportieren des SAML-Zertifikats von XenMobile Server

  1. Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt. Klicken Sie auf Zertifikate.

  2. Suchen Sie das SAML-Zertifikat für XenMobile Server.

    SmartAccess-Konfiguration

  3. Vergewissern Sie sich, dass Privaten Schlüssel exportieren auf Aus festgelegt ist. Klicken Sie auf Exportieren, um das Zertifikat in das Downloadverzeichnis zu exportieren.

    SmartAccess-Konfiguration

  4. Suchen Sie das Zertifikat im Downloadverzeichnis. Das Zertifikat weist das PEM-Format auf.

    SmartAccess-Konfiguration

Konvertieren des Zertifikats von PEM in CER

  1. Öffnen Sie die Microsoft Management Console (MMC) und klicken Sie mit der rechten Maustaste auf Zertifikate > Alle Aufgaben > Importieren.

    SmartAccess-Konfiguration

  2. Wenn der Zertifikatimport-Assistent geöffnet wird, klicken Sie auf Weiter.

    SmartAccess-Konfiguration

  3. Navigieren Sie zum Zertifikat im Downloadverzeichnis.

    SmartAccess-Konfiguration

  4. Markieren Sie Alle Zertifikate in folgendem Speicher speichern und wählen Sie Eigene Zertifikate als Zertifikatspeicher. Klicken Sie auf Weiter.

    SmartAccess-Konfiguration

  5. Überprüfen Sie Ihre Auswahl und klicken Sie auf Fertig stellen. Klicken Sie im Bestätigungsfenster auf OK.

  6. Klicken Sie in der MMC mit der rechten Maustaste auf das Zertifikat und dann auf Alle Aufgaben > Exportieren.

    SmartAccess-Konfiguration

  7. Wenn der Zertifikatexport-Assistent geöffnet wird, klicken Sie auf Weiter.

    SmartAccess-Konfiguration

  8. Wählen Sie das Format DER-codiert-binär X.509 (.CER). Klicken Sie auf Weiter.

    SmartAccess-Konfiguration

  9. Navigieren Sie zu dem Zertifikat. Geben Sie einen Namen für das Zertifikat ein und klicken Sie auf Weiter.

    SmartAccess-Konfiguration

  10. Speichern Sie das Zertifikat.

    SmartAccess-Konfiguration

  11. Navigieren Sie zu dem Zertifikat und klicken Sie auf Weiter.

    SmartAccess-Konfiguration

  12. Überprüfen Sie Ihre Auswahl und klicken Sie auf Fertig stellen. Klicken Sie im Bestätigungsfenster auf OK.

    SmartAccess-Konfiguration

  13. Suchen Sie das Zertifikat im Downloadverzeichnis. Das Zertifikat ist im CER-Format.

    SmartAccess-Konfiguration

Kopieren Sie das Zertifikat auf den StoreFront-Server

  1. Erstellen Sie auf dem StoreFront-Server einen Ordner mit dem Namen SmartCert.

  2. Kopieren Sie das Zertifikat in den Ordner SmartCert.

    SmartAccess-Konfiguration

Konfigurieren des Zertifikats im StoreFront-Store

Führen Sie auf dem StoreFront-Server den folgenden PowerShell-Befehl aus, um das konvertierte XenMobile Server-Zertifikat im Store zu konfigurieren:

    Grant-STFStorePnaSmartAccess –StoreService $store –CertificatePath  “C:\xms\xms.cer” –ServerName “XMS server”
<!--NeedCopy-->

SmartAccess-Konfiguration

Wenn der StoreFront-Store vorhandene Zertifikate enthält, führen Sie folgenden PowerShell-Befehl aus, um sie zu widerrufen:

    Revoke-STFStorePnaSmartAccess –StoreService $store –All
<!--NeedCopy-->

SmartAccess-Konfiguration

Alternativ können Sie einen der folgenden PowerShell-Befehle auf dem StoreFront-Server ausführen, um vorhandene Zertifikate im StoreFront-Store zu widerrufen:

  • Nach Name widerrufen:
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    Revoke-STFStorePnaSmartAccess –StoreService $store –ServerName “My XM Server"
<!--NeedCopy-->
  • Nach Fingerabdruck widerrufen:
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    Revoke-STFStorePnaSmartAccess –StoreService $store –CertificateThumbprint “ReplaceWithThumbprint”
<!--NeedCopy-->
  • Nach Serverobjekt widerrufen:
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    $access = Get-STFStorePnaSmartAccess –StoreService $store

    Revoke-STFStorePnaSmartAccess –StoreService $store –SmartAccess $access.AccessConditionsTrusts[0]
<!--NeedCopy-->

Konfigurieren der SmartAccess-Richtlinie für Virtual Apps and Desktops

Hinzufügen der erforderlichen SmartAccess-Richtlinie zur Bereitstellungsgruppe, die die HDX-App bereitstellt

  1. Öffnen Sie auf dem Virtual Apps and Desktops-Server Citrix Studio.

  2. Wählen Sie im Studio-Navigationsbereich Bereitstellungsgruppen aus.

  3. Wählen Sie eine Gruppe aus, die die App bzw. Apps bereitstellt und deren Zugriff Sie steuern möchten. Wählen Sie dann im Bereich Aktion die Option Bereitstellungsgruppe bearbeiten aus.

  4. Wählen Sie auf der Seite Zugriffsrichtlinie die Optionen Über NetScaler Gateway hergestellte Verbindungen und Verbindungen, auf die mindestens einer der folgenden Filter zutrifft aus.

  5. Klicken Sie auf Hinzufügen.

  6. Fügen Sie eine Zugriffsrichtlinie hinzu, in der Farm XM und Filter XMCompliantDevice ist.

    SmartAccess-Konfiguration

  7. Klicken Sie auf Anwenden, damit die Änderungen angewendet werden und das Fenster geöffnet bleibt, oder klicken Sie auf OK, damit die Änderungen angewendet werden und das Fenster geschlossen wird.

Festlegen automatisierter Aktionen in XenMobile

Die SmartAccess-Richtlinie, die Sie in der Bereitstellungsgruppe für eine HDX-App festlegen, verweigert den Zugriff auf ein Gerät, wenn das Gerät nicht richtlinientreu ist. Verwenden Sie automatisierte Aktionen, um das Gerät als nicht richtlinientreu zu markieren.

SmartAccess-Konfiguration

  1. Klicken Sie in der XenMobile-Konsole auf Konfigurieren > Aktionen. Die Seite Aktionen wird angezeigt.

  2. Klicken Sie auf Hinzufügen, um eine Aktion hinzuzufügen. Die Seite Aktionsinformationen wird angezeigt.

  3. Geben Sie auf der Seite Aktionsinformationen einen Namen und eine Beschreibung für die Aktion ein.

  4. Klicken Sie auf Weiter. Die Seite Aktionsdetails wird angezeigt. Im folgenden Beispiel wird ein Auslöser erstellt, der Geräte sofort als nicht richtlinientreu markiert, wenn sie den Benutzereigenschaftsnamen eng5 oder eng6 aufweisen.

    SmartAccess-Konfiguration

  5. Wählen Sie in der Liste Auslöser die Option Geräteeigenschaft, Benutzereigenschaft oder Name der installierten App aus. SmartAccess unterstützt keine Ereignisauslöser.

  6. Führen Sie in der Liste Aktion folgende Schritte aus:

    • Wählen Sie Geräte als nicht richtlinientreu markieren aus.
    • Wählen Sie Ist.
    • Wählen Sie Wahr.
    • Wenn das Gerät sofort bei Erfüllen der Auslösebedingung als nicht richtlinientreu markiert werden soll, legen Sie den Zeitrahmen auf 0 fest.
  7. Wählen Sie die XenMobile-Bereitstellungsgruppe bzw. -gruppen aus, auf die diese Aktion angewendet werden soll.

  8. Überprüfen Sie die Zusammenfassung der Aktion.

  9. Klicken Sie auf Weiter und dann auf Speichern.

Wenn ein Gerät als nicht richtlinientreu markiert ist, werden die HDX-Apps nicht mehr im Secure Hub-Store angezeigt. Der Benutzer hat die Apps nicht mehr abonniert. Es wird keine Benachrichtigung an das Gerät gesendet und nichts im Secure Hub-Store weist darauf hin, dass die HDX-Apps zuvor verfügbar waren.

Wenn Sie möchten, dass Benutzer benachrichtigt werden, wenn ein Gerät als nicht richtlinientreu markiert wird, erstellen Sie eine Benachrichtigung und dann eine automatisierte Aktion zum Senden der Benachrichtigung.

In diesem Beispiel wird die folgende Benachrichtigung erstellt und gesendet, wenn ein Gerät als nicht richtlinientreu markiert wird: “Die Geräteseriennummer oder Telefonnummer erfüllt die Geräterichtlinie nicht mehr und HDX-Apps werden gesperrt.”

SmartAccess-Konfiguration

Erstellen der Benachrichtigung, die Benutzern angezeigt wird, wenn ein Gerät als nicht richtlinientreu markiert wird

  1. Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie auf Benachrichtigungsvorlagen. Die Seite Benachrichtigungsvorlagen wird angezeigt.

  3. Klicken Sie auf Hinzufügen, um auf der Seite Benachrichtigungsvorlagen eine Vorlage hinzuzufügen.

  4. Wenn Sie aufgefordert werden, zuerst den SMS-Server einzurichten, klicken Sie auf Nein, später einrichten.

    SmartAccess-Konfiguration

  5. Konfigurieren Sie folgende Einstellungen:

    • Name: HDX-Anwendungsblockierung
    • Beschreibung: Agent-Benachrichtigung, wenn ein Gerät nicht richtlinientreu ist
    • Typ: Ad-Hoc-Benachrichtigung
    • Secure Hub: Aktiviert
    • Nachricht: Gerät ${firstnotnull(device.TEL_NUMBER,device.serialNumber)} erfüllt die Geräterichtlinie nicht mehr und HDX-Apps werden gesperrt.

    SmartAccess-Konfiguration

  6. Klicken Sie auf Speichern.

Erstellen der Aktion, mit der die Benachrichtigung gesendet wird, wenn ein Gerät als nicht richtlinientreu markiert wird

  1. Klicken Sie in der XenMobile-Konsole auf Konfigurieren > Aktionen. Die Seite Aktionen wird angezeigt.

  2. Klicken Sie auf Hinzufügen, um eine Aktion hinzuzufügen. Die Seite Aktionsinformationen wird angezeigt.

  3. Geben Sie auf der Seite Aktionsinformationen einen Namen für die Aktion und optional eine Beschreibung ein.

    • Name: HDX blockiert Benachrichtigung
    • Beschreibung: HDX hat die Benachrichtigung gesperrt, weil das Gerät nicht richtlinientreu ist
  4. Klicken Sie auf Weiter. Die Seite Aktionsdetails wird angezeigt.

  5. In der Liste Auslöser:

    • Wählen Sie Geräteeigenschaft aus.
    • Wählen Sie Nicht richtlinientreu aus.
    • Wählen Sie Ist.
    • Wählen Sie Wahr.

    SmartAccess-Konfiguration

  6. Geben Sie in der Liste Aktion die Aktionen an, die ausgeführt werden, wenn die Auslösebedingung erfüllt ist:

    • Wählen Sie Benachrichtigung senden aus.
    • Wählen Sie die von Ihnen erstellte Benachrichtigung HDX-Anwendungsblockierung.
    • Wählen Sie 0. Wenn der Wert auf 0 festgelegt ist, wird die Benachrichtigung sofort gesendet, wenn die Auslösebedingung erfüllt ist.
  7. Wählen Sie die XenMobile-Bereitstellungsgruppe bzw. -gruppen aus, auf die diese Aktion angewendet werden soll. Wählen Sie in diesem Beispiel AllUsers.

  8. Überprüfen Sie die Zusammenfassung der Aktion.

  9. Klicken Sie auf Weiter und dann auf Speichern.

Details über das Festlegen von automatisierten Aktionen finden Sie unter Automatisierte Aktionen.

Zurückerhalten des Zugriffs auf HDX-Apps

Nachdem das Gerät wieder richtlinientreu ist, können Benutzer den Zugriff auf die HDX-Apps zurückerhalten:

  1. Gehen Sie auf dem Gerät zu Secure Hub-Store, um die Apps im Store zu aktualisieren.

  2. Gehen Sie zur App und tippen Sie auf Hinzufügen für die App.

Nach dem Hinzufügen der App wird sie unter “Eigene Apps” mit einem blauen Punkt angezeigt, da es sich um eine neu installierte App handelt.

SmartAccess-Konfiguration