Documentación de productos
Device Posture
Ver PDF

Device Posture

February 16, 2024
Contribución de: 
C

El servicio Citrix Device Posture es una solución basada en la nube que ayuda a los administradores a cumplir ciertos requisitos que los dispositivos finales deben cumplir para acceder a los recursos de Citrix DaaS (aplicaciones y escritorios virtuales) o Citrix Secure Private Access (SaaS, aplicaciones web, TCP y UDP). Establecer la confianza en el dispositivo comprobando la postura del dispositivo es fundamental para implementar un acceso basado en la confianza cero. El servicio Device Posture aplica los principios de confianza cero en su red al comprobar el cumplimiento de los dispositivos finales (gestión, BYOD y postura de seguridad) antes de permitir que el usuario final inicie sesión.

Requisitos previos

  • Requisitos de licencia: la concesión del servicio Citrix Device Posture forma parte de las licencias Citrix DaaS Premium, Citrix DaaS Premium Plus y Citrix Secure Private Access Advanced. Los clientes con otras licencias pueden adquirir un derecho a Device Posture Service como complemento. Para un complemento, los clientes deben comprar un SKU de autenticación adaptable independiente, pero no necesariamente tienen que implementarlo para usar el servicio Device Posture.

  • Plataformas admitidas:

    • Windows (10 y 11)
    • macOS 13 Ventura
    • macOS 12 Monterrey
    • iOS
    • IGEL

    Nota:

    • Un dispositivo que se ejecuta en una plataforma no compatible se marca como no compatible de forma predeterminada. Puede cambiar la clasificación de No conforme a Inicio de sesión denegado en la ficha Configuración de la página Postura del dispositivo.

    • Un dispositivo que se ejecuta en una plataforma compatible, pero que no coincide con ninguna directiva de postura del dispositivo predefinida, se marca como no compatible de forma predeterminada. Puede cambiar la clasificación de No conforme a Inicio de sesión denegado en la ficha Configuración de la página Postura del dispositivo.

    • Para la compatibilidad con iOS en el servicio Device Posture, el cliente EPA está integrado como parte de la aplicación Citrix Workspace para iOS. Para obtener más información sobre las versiones, consulte la aplicación Citrix Workspace para iOS.

    • Para que IGEL OS sea compatible con el servicio Device Posture, el cliente EPA está integrado como parte del sistema operativo IGEL. Póngase en contacto con el equipo de soporte de IGEL para instalar el cliente EPA en los dispositivos IGEL.

  • Cliente Citrix Device Posture (cliente EPA): una aplicación ligera que debe instalarse en el dispositivo terminal para ejecutar escaneos de postura del dispositivo. Esta aplicación no requiere derechos de administrador local para descargarla e instalarla en un endpoint.

    Nota:

    Si utilizas una verificación del certificado del dispositivo, debes instalar el cliente de la EPA con derechos de administrador.

  • Navegadores compatibles: Chrome, Edge y Firefox.

  • Configuración del firewall: para permitir que el servicio Device Posture actualice los clientes EPA en un dispositivo final, el firewall/proxy debe configurarse para permitir los siguientes dominios:

    • https://swa-ui-cdn-endpoint-prod.azureedge.net
    • https://productioniconstorage.blob.core.windows.net
    • *.netscalergateway.net
    • *.nssvc.net
    • *.cloud.com
    • *.pendo.io
    • *.citrixworkspacesapi.net

Funciones en Tech Preview

Funcionamiento

Los administradores pueden crear directivas de posición de los dispositivos para comprobar la posición de los dispositivos de punto final y determinar si se permite o se deniega el inicio de sesión en un dispositivo de punto final. Los dispositivos a los que se permite iniciar sesión se clasifican además como conformes o no conformes. Los usuarios pueden iniciar sesión desde un explorador web o la aplicación Citrix Workspace.

Las siguientes son las condiciones de alto nivel que se utilizan para clasificar un dispositivo como compatible, no compatible y de inicio de sesión denegado.

  • Dispositivos compatibles: Dispositivo que cumple con los requisitos de directiva preconfigurados y que puede iniciar sesión en la red de la empresa con acceso total o sin restricciones a los recursos de Citrix Secure Private Access o a los recursos de Citrix DaaS.
  • Dispositivos no compatibles: Dispositivo que cumple con los requisitos de directiva preconfigurados y que puede iniciar sesión en la red de la empresa con acceso parcial o restringido a los recursos de Citrix Secure Private Access o a los recursos de Citrix DaaS.
  • Inicio de sesión denegado: Se deniega el inicio de sesión a un dispositivo que no cumpla con los requisitos de la directiva.

La clasificación de los dispositivos como compatibles,no conformes**y con inicio de **sesión denegado se transfiere al servicio Citrix DaaS y Citrix Secure Private Access, que a su vez utiliza la clasificación de dispositivos para proporcionar capacidades de acceso inteligente.

Caso práctico sobre Postura del dispositivo

Nota:

  • Las directivas de Posición de dispositivo deben configurarse específicamente para cada plataforma. Por ejemplo, en macOS, un administrador puede permitir el acceso a los dispositivos que tienen una versión de sistema operativo específica. Del mismo modo, para Windows, el administrador puede configurar directivas para incluir un archivo de autorización específico, ajustes de registro, etc.
  • Los escaneos de la postura del dispositivo solo se realizan durante la autenticación previa o antes de iniciar sesión.
  • Para ver las definiciones de “conforme” e “no conforme”, consulte Definiciones.

Escaneos compatibles con Postura del dispositivo

El servicio Citrix Device Posture admite los siguientes escaneos:

Windows macOS iOS IGEL
Versión de la aplicación Citrix Workspace Versión de la aplicación Citrix Workspace Versión de la aplicación Citrix Workspace -
Versión del sistema operativo Versión del sistema operativo Versión del sistema operativo -
Archivo (existe, nombre de archivo y ruta) Archivo (existe, nombre de archivo y ruta) - Archivo (existe, nombre de archivo y ruta)
Geolocalización Geolocalización - -
Ubicación de red Ubicación de red - -
Dirección MAC Dirección MAC - -
Proceso (existe) Proceso (existe) - -
Microsoft Endpoint Manager Microsoft Endpoint Manager - -
CrowdStrike CrowdStrike - -
Certificado del dispositivo Certificado del dispositivo - -
Explorador web Explorador web - -
Antivirus Antivirus - -
Registro no numérico (32 bits) - - -
Registro no numérico (64 bits) - - -
Registro numérico (32 bits) - - -
Registro numérico (64 bits) - - -
Tipo de instalación de Windows Update - - -
Instalación de Windows Update, comprobación de la última actualización - - -

Nota:

  • Para la compatibilidad con iOS en el servicio Device Posture, el cliente EPA está integrado como parte de la aplicación Citrix Workspace para iOS. Para obtener más información sobre las versiones, consulte la aplicación Citrix Workspace para iOS.

Integración de terceros con la postura del dispositivo

Además de los escaneos nativos que ofrece el servicio Device Posture, el servicio también se puede integrar con las siguientes soluciones de terceros en Windows y macOS.

Configurar la postura del dispositivo

La postura del dispositivo es una combinación de directivas y reglas que un dispositivo debe cumplir para acceder a los recursos. Cada directiva se adjunta a una de las acciones, a saber: conforme, no conforme o inicio de sesión denegado. Además, cada directiva está asociada a una prioridad y la evaluación de la directiva se detiene si una directiva se considera verdadera y se toman las medidas correspondientes.

  1. Inicie sesión en Citrix Cloud y, a continuación, seleccione Administración de acceso e identidades en el menú de tres líneas.

  2. Haga clic en la ficha Postura del dispositivo y, a continuación, en Administrar.

    Nota:

    • Los clientes del servicio Secure Private Access pueden hacer clic directamente en Device Posture en la barra de navegación izquierda de la interfaz de usuario del administrador.
    • Para los usuarios nuevos, la página de inicio de Posición de dispositivo les pide que creen una directiva de Posición de dispositivo. La directiva de Posición de dispositivo debe configurarse de forma individual para cada plataforma. Una vez que haya creado una directiva de Posición de dispositivo, aparecerá en las plataformas correspondientes.
    • Una directiva entra en vigor solo después de habilitar Posición de dispositivo. Para habilitar Postura del dispositivo, presione el botón Postura del dispositivo está inhabilitad de la esquina superior derecha para habilitarla.
  3. Haga clic en Crear directiva de dispositivos.

  4. En Plataforma, seleccione la plataforma para la que quiera aplicar una directiva. Puede cambiar la plataforma de Windows a macOS o viceversa, independientemente de la ficha que haya seleccionado en la página principal de Postura del dispositivo.

  5. En Reglas de directiva, seleccione la comprobación que desee realizar como parte de la postura del dispositivo y seleccione las condiciones que deben coincidir.

    Nota:

    • Para comprobar el certificado del dispositivo, asegúrese de que el certificado del emisor esté en el dispositivo. De lo contrario, puede importar un certificado de dispositivo mientras crea la directiva de postura del dispositivo o cargar el certificado desde Configuración en la página de inicio de Device Posture. Para obtener más información, consulte Importar el certificado de dispositivo al crear la directiva para el certificado de dispositivo y Cargar el certificado de dispositivo.
    • Para la verificación del certificado del dispositivo, el cliente EPA del dispositivo final debe estar instalado con derechos administrativos.
    • La verificación del certificado del dispositivo con el servicio Device Posture no admite la verificación de revocación de certificados.

  6. Haga clic en Agregar otra regla para crear varias reglas. Se aplica una condición AND a varias reglas.

    Configurar la postura del dispositivo

  7. En Resultado de directiva basado en las condiciones que ha configurado, seleccione el tipo según el cual el análisis del dispositivo debe clasificar el dispositivo del usuario.

    • Conforme
    • No cumple
    • Acceso denegado
  8. Introduzca un nombre para la directiva.

  9. En Prioridad, introduzca el orden en que se deben evaluar las directivas.

    • Puede introducir un valor comprendido entre 1 y 100. Se recomienda configurar las directivas de denegación con mayor prioridad, seguidas de las no conformes y, por último, las conformes.
    • La prioridad con el valor más bajo tiene la preferencia más alta.
    • Solo las directivas que están habilitadas se evalúan en función de la prioridad.

  10. Haga clic en Crear.

    Configurar la postura del dispositivo

Importante:

Debe activar el botón Habilitar al crearse para que las directivas de postura del dispositivo surtan efecto. Antes de habilitar las directivas, se recomienda que se asegure de que las directivas estén configuradas correctamente y que realice estas tareas en la configuración de prueba.

Modificar una directiva de Posición de dispositivo

Las directivas de postura del dispositivo configuradas se enumeran en la plataforma específica, en la página Escaneos de dispositivos. Puede buscar la directiva que quiere modificar desde esta página. También puede habilitar, inhabilitar o eliminar una directiva desde esta página.

Modificar la directiva 1 de Posición de dispositivo

Configurar el acceso contextual (acceso inteligente) mediante la postura del dispositivo

Tras la verificación de la postura del dispositivo, se le permite iniciar sesión y se clasifica como compatible o no compatible. Esta información está disponible como etiquetas para el servicio Citrix DaaS y el servicio Citrix Secure Private Access y se utiliza para proporcionar acceso contextual en función de la posición del dispositivo. Por lo tanto, Citrix DaaS y Citrix Secure Private Access deben configurarse para aplicar el control de acceso mediante etiquetas de posición del dispositivo.

Configuración de Citrix DaaS con Device Posture mediante la nueva interfaz de usuario de Studio (versión preliminar)

Inscríbase para obtener la vista previa.

  1. Inicie sesión en Citrix Cloud.
  2. En el icono de DaaS, haga clic en Administrar.
  3. Vaya a la sección Grupos de entrega en el menú de la izquierda.
  4. Seleccione el grupo de entrega para el que quiere configurar el control de acceso en función de la postura del dispositivo y haga clic en Modificar.
  5. En la página Modificar grupo de entrega, haga clic en Directiva de acceso.

  6. Haga clic en el icono de edición de la fila de conexiones de Citrix Gateway para editar la política de conexiones de puerta de enlace.

    Editar la política de acceso número uno

    1. En la página Editar política, seleccione Conexiones que cumplan los siguientes criterios.
    2. Seleccione Coincidir con cualquiera y, a continuación, haga clic en Agregar criterio .
    3. Agregue criterios para todas las etiquetas de ubicación que configuró en Configurar ubicaciones de red: escriba Workspace para Filter y **COMPLIANTo NONCOMPLIANT para **Value .

    Editar la política de acceso número dos

    Nota:

    La sintaxis de las etiquetas de clasificación de dispositivos debe introducirse de la misma manera que se capturó anteriormente, es decir, en mayúsculas (CONFORME y NO CONFORME). De lo contrario, las directivas de postura del dispositivo no funcionan según lo previsto.

    Además de las etiquetas de clasificación del dispositivo, el servicio Device Posture también devuelve la etiqueta del sistema operativo y la etiqueta de directiva de acceso asociadas al dispositivo. Las etiquetas del sistema operativo y las etiquetas de la directiva de acceso deben escribirse únicamente en mayúsculas.

    • DEVICE_TYPE_WINDOWS
    • DEVICE_TYPE_MAC
    • Nombre exacto de la directiva (en mayúsculas)

Configuración de Citrix Secure Private Access con Postura del dispositivo

  1. Inicie sesión en Citrix Cloud.
  2. En el mosaico Acceso privado seguro, haga clic en Administrar .
  3. Haga clic en Directivas de acceso en el menú de navegación de la izquierda y, a continuación, en Crear directiva.
  4. Introduzca el nombre de la directiva y la descripción de la misma.
  5. En Aplicaciones, seleccione la aplicación o el conjunto de aplicaciones en las que se debe aplicar esta directiva.
  6. Haga clic en Crear regla para crear reglas para la directiva.
  7. Introduzca el nombre de la regla y una breve descripción de la regla y, a continuación, haga clic en Siguiente.
  8. Selecciona las condiciones de los usuarios. La condición de usuario es una condición obligatoria que debe cumplirse para conceder acceso a las aplicaciones a los usuarios.
  9. Haga clic en + para agregar la condición de postura del dispositivo.
  10. Seleccione Verificación de postura del dispositivo y la expresión lógica en el menú desplegable.

  11. Introduzca uno de los siguientes valores en las etiquetas personalizadas:

    • Compatible : para dispositivos compatibles
    • No compatible : para dispositivos que no cumplen con las normas
  12. Haga clic en Siguiente.

  13. Seleccione las acciones que se deben aplicar en función de la evaluación de la condición y, a continuación, haga clic en Siguiente.

    La página de resumen muestra los detalles de la directiva.

  14. Puede comprobar los detalles y hacer clic en Finalizar.

    Para obtener más información sobre la creación de directivas de acceso, consulte Configurar una directiva de acceso con varias reglas.

Nota:

Cualquier aplicación de Secure Private Access que no esté etiquetada como compatible o no compatible en la directiva de acceso se trata como la aplicación predeterminada y se puede acceder a ella en todos los terminales, independientemente de la posición del dispositivo.

Etiquetas SPA de Postura del dispositivo

Flujo del usuario final

Una vez establecidas las directivas de postura del dispositivo y habilitada la postura del dispositivo, los siguientes son los flujos del usuario final en función de la forma en que el usuario final inicia sesión en Citrix Workspace.

Flujo de usuarios finales mediante acceso al explorador web

Nota:

El cliente macOS y el navegador Chrome se utilizan como ejemplo con fines ilustrativos. Las pantallas y las notificaciones varían según el cliente y el explorador web que utilice para acceder a la URL de Citrix Workspace.

  • Cuando un usuario final inicia sesión en la URL de Citrix Workspace https://<your-workspace-URL a través de un explorador web, se le solicita que ejecute la aplicación Citrix Endpoint Analysis.

    Instalar la aplicación

  • Cuando el usuario final hace clic en Abrir Citrix End Point Analysis, el cliente de postura del dispositivo ejecuta y analiza los parámetros del punto final en función de los requisitos de la directiva de postura del dispositivo.

  • Si el cliente de postura del dispositivo más reciente no está instalado en el terminal, se redirige a los usuarios a la página que muestra las opciones Comprobar de nuevo y Descargar el cliente. El usuario debe hacer clic en Descargar cliente.

  • Si el último cliente de postura del dispositivo ya está instalado en el terminal, el usuario debe volver a hacer clic en Comprobar.

    Confirme la versión del cliente

Flujo de usuarios finales a través de la aplicación Citrix Workspace

  • Cuando un usuario final inicia sesión en la URL de Citrix Workspace https://your-workspace-url a través de la aplicación Citrix Workspace, el cliente de postura del dispositivo instalado en el extremo ejecuta y analiza los parámetros del punto final en función de los requisitos de la directiva de postura del dispositivo.
  • Si el cliente de postura del dispositivo más reciente no está instalado en el terminal, se redirige a los usuarios a la página que muestra las opciones Comprobar de nuevo y Descargar el cliente. El usuario debe hacer clic en Descargar cliente.
  • Si el último cliente de postura del dispositivo ya está instalado en el terminal, el usuario debe volver a hacer clic en Comprobar.

Flujo del usuario final: resultados de la postura del dispositivo

Según las condiciones de la directiva de postura del dispositivo, pueden darse tres posibilidades.

Si un punto final cumple con las condiciones de la directiva, por lo que el dispositivo se clasifica como;

  • Cumple con las normas: El usuario final puede iniciar sesión con acceso sin restricciones a los recursos de Secure Private Access o Citrix DaaS.

  • No cumple: El usuario final puede iniciar sesión con acceso restringido a los recursos de Secure Private Access o Citrix DaaS.

    Acceso permitido

Si un punto final cumple las condiciones de la directiva, por lo que el dispositivo se clasifica como Acceso denegado, aparece el mensaje Acceso denegado.

Acceso denegado

Mensajes personalizados para escenarios de acceso denegado (versión preliminar)

Los administradores tienen la opción de personalizar el mensaje que se muestra en el dispositivo final cuando se deniega el acceso.

Esta función está en versión preliminar. Regístrese para obtener la vista previa mediante https://podio.com/webforms/29219975/2385710.

Realice los siguientes pasos para agregar mensajes personalizados:

  1. Navegue hasta la página Postura del dispositivo > Escaneos del dispositivo .
  2. Haga clic en Configuración.
  3. Haga clic en Editary, en el cuadro Mensaje , introduzca el mensaje que debe mostrarse en situaciones de acceso denegado. Puede introducir un máximo de 256 caracteres.

  4. Haga clic en Habilitar mensaje personalizado al guardar para aplicar la opción de mostrar el mensaje personalizado. Si no selecciona esta casilla, el mensaje personalizado se crea pero no se muestra en los dispositivos en los escenarios de acceso denegado.

    Como alternativa, puede activar el interruptor de mensajes personalizados en la página de configuración para mostrar el mensaje en los dispositivos.

  5. Haga clic en Guardar.

El mensaje que ha introducido aparece cada vez que se deniega el acceso al dispositivo final.

Supervise y solucione los eventos de postura del dispositivo

Los registros de eventos de postura del dispositivo se pueden ver en dos lugares:

  • Monitor Citrix DaaS
  • Panel de control de Citrix Secure Private Access

Eventos de postura del dispositivo en Citrix DaaS Monitor

Realice los siguientes pasos para ver los registros de eventos del servicio Device Posture.

  1. Copie el ID de transacción de la sesión fallida o de acceso denegado del dispositivo del usuario final.
  2. Inicie sesión en Citrix Cloud.
  3. En el mosaico DaaS, haga clic en Administrar y, a continuación, en la ficha Supervisar.
  4. En la interfaz de usuario de Monitor, busque el ID de transacción de 32 dígitos y haga clic en Detalles.

Monitor DaaS

Eventos de postura del dispositivo en el panel de Secure Private Access

Realice los siguientes pasos para ver los registros de eventos del servicio Device Posture.

  1. Inicie sesión en Citrix Cloud.
  2. En el mosaico Acceso privado seguro, haga clic en Administrar .
  3. Vaya a la sección Panel de control en el menú de la izquierda.

  4. Haga clic en el enlace Ver más del gráfico Registros de diagnóstico para ver los registros de eventos de postura del dispositivo.

    Dashboard

  • Los administradores pueden filtrar los registros en función del identificador de transacción del gráfico de registros de diagnóstico. El identificador de la transacción también se muestra al usuario final cada vez que se deniega el acceso.

    ID de transacción

  • Si hay un error o una falla en el escaneo, el servicio Device Posture muestra un ID de transacción. Este identificador de transacción está disponible en el panel del servicio Secure Private Access. Si los registros no ayudan a resolver el problema, los usuarios finales pueden compartir el ID de transacción con el soporte de Citrix para resolver el problema.

    Error

  • Los registros de los clientes de Windows se encuentran en:

    • %localappdata%\Citrix\EPA\dpaCitrix.txt
    • %localappdata%\Citrix\EPA\epalib.txt

  • Los registros de los clientes de macOS se encuentran en:

    • ~/Biblioteca/Aplicación Support/Citrix/EPAPlugin/EpaCloud.log
    • ~/Biblioteca/Application Support/Citrix/EPAPlugin/epaplugin.log

Registros de errores de postura del dispositivo

Los siguientes registros relacionados con el servicio Device Posture se pueden ver en el panel de control de Citrix Monitor y Secure Private Access. Para todos estos registros, se recomienda ponerse en contacto con el soporte de Citrix para obtener una solución.

  • No se pudieron leer las directivas configuradas
  • No se pudieron evaluar los escaneos de los terminales
  • No se pudieron procesar las directivas/expresiones
  • No se pudieron guardar los detalles del punto final
  • No se pudieron procesar los resultados del escaneo de los puntos finales

Limitaciones conocidas

  • Las URL de espacios de trabajo personalizadas no son compatibles con el servicio Device Posture.
  • El tiempo necesario para activar o desactivar la función de postura del dispositivo después de activar o desactivar el botón de posicionamiento del dispositivo puede tardar entre unos minutos y una hora.
  • Los cambios en la configuración de la postura del dispositivo no surtirán efecto inmediatamente. Los cambios pueden tardar unos 10 minutos en surtir efecto.
  • Si ha activado la opción de continuidad del servicio en Citrix Workspace y Device Posture Service está inactivo, es posible que los usuarios no puedan iniciar sesión en Workspace. Esto se debe a que Citrix Workspace enumera las aplicaciones y los escritorios en función de la memoria caché local del dispositivo del usuario.
  • Si ha configurado un token y una contraseña de larga duración en Citrix Workspace, el análisis de postura del dispositivo no funciona para esta configuración. Los dispositivos se escanean solo cuando los usuarios inician sesión en Citrix Workspace.
  • Cada plataforma puede tener un máximo de 10 directivas y cada directiva puede tener un máximo de 10 reglas.
  • El acceso basado en roles no es compatible con el servicio Device Posture.

Calidad del servicio

  • Rendimiento: en condiciones ideales, el servicio Device Posture agrega 2 segundos adicionales de retraso durante el inicio de sesión. Este retraso puede aumentar en función de las configuraciones adicionales, como las integraciones de terceros, como Microsoft Intune.
  • Resiliencia: el servicio Device Posture es muy resistente con varios POP para garantizar que no haya tiempo de inactividad.

Definiciones

Los términos compatible y no compatible en referencia al servicio Device Posture se definen de la siguiente manera.

  • Dispositivos compatibles: Dispositivo que cumple con los requisitos de directiva preconfigurados y que puede iniciar sesión en la red de la empresa con acceso total o sin restricciones a los recursos de Citrix Secure Private Access o a los recursos de Citrix DaaS.
  • Dispositivos no compatibles: Dispositivo que cumple con los requisitos de directiva preconfigurados y que puede iniciar sesión en la red de la empresa con acceso parcial o restringido a los recursos de Citrix Secure Private Access o a los recursos de Citrix DaaS.
Device Posture
February 16, 2024
Contribución de: 
C
February 16, 2024
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.