Documentación de productos
Citrix Secure Private Access
Ver PDF

Posición del dispositivo

May 12, 2023
Contribución de: 
C

El servicio Citrix Device Posture es una solución basada en la nube que ayuda a los administradores a cumplir ciertos requisitos que los dispositivos finales deben cumplir para acceder a los recursos de Citrix DaaS (aplicaciones y escritorios virtuales) o Citrix Secure Private Access (SaaS, aplicaciones web, TCP y UDP). Establecer la confianza en el dispositivo comprobando la posición del dispositivo es fundamental para implementar un acceso basado en la confianza cero. El servicio Device Posture aplica los principios de confianza cero en su red al comprobar el cumplimiento de los dispositivos finales (gestión, BYOD y posición de seguridad) antes de permitir que el usuario final inicie sesión.

Requisitos previos

  • Requisitos de licencia: la concesión del servicio Citrix Device Posture forma parte de la oferta de autenticación adaptativa de Citrix, que se incluye con las licencias Citrix DaaS Premium, Citrix DaaS Premium Plus y Citrix Secure Private Access Advanced. Los clientes con otras licencias pueden comprar Adaptive Authentication como complemento.

  • Plataformas admitidas:

    • Windows (10 y 11)
    • macOS 13 Ventura
    • macOS 12 Monterrey

    Nota:

    • Un dispositivo que se ejecuta en una plataforma no compatible se marca como no compatible de forma predeterminada. Puede cambiar la clasificación de No compatible a Inicio de sesión denegado en la ficha Configuración de la página Posición del dispositivo.

    • Un dispositivo que se ejecuta en una plataforma compatible, pero que no coincide con ninguna directiva de posición del dispositivo predefinida, se marca como no compatible de forma predeterminada. Puede cambiar la clasificación de No compatible a Inicio de sesión denegado en la ficha Configuración de la página Posición del dispositivo.

  • Cliente Citrix Device Posture (cliente EPA): una aplicación ligera que debe instalarse en el dispositivo terminal para ejecutar escaneos de posición del dispositivo. Esta aplicación no requiere derechos de administrador local para descargarla e instalarla en un endpoint.

  • Navegadores compatibles: Chrome, Edge y Firefox.

  • Versiones de la aplicación Citrix Workspace

    • Windows: 2303 y versiones posteriores
    • macOS — 2304 y versiones posteriores

Funcionamiento

Los administradores pueden crear directivas de posición de los dispositivos para comprobar la posición de los dispositivos de punto final y determinar si se permite o se deniega el inicio de sesión en un dispositivo de punto final. Los dispositivos a los que se permite el inicio de sesión se clasifican además como compatibles o no compatibles. Los usuarios pueden iniciar sesión desde un navegador o la aplicación Citrix Workspace.

Las siguientes son las condiciones de alto nivel que se utilizan para clasificar un dispositivo como compatible, no compatible y de inicio de sesión denegado.

  • Dispositivos compatibles : dispositivo que cumple con los requisitos de la directiva preconfigurados y que puede iniciar sesión en la red de la empresa con acceso total o sin restricciones a los recursos de Citrix Secure Private Access o a los recursos de Citrix DaaS.
  • Dispositivos no compatibles : dispositivo que cumple con los requisitos de la directiva preconfigurados y que puede iniciar sesión en la red de la empresa con acceso parcial o restringido a los recursos de Citrix Secure Private Access o a los recursos de Citrix DaaS.
  • Inicio desesión denegado: - Se deniega el inicio de sesión a un dispositivo que no cumpla con los requisitos de la directiva.

Ajustes de posición del dispositivo1

La clasificación de los dispositivos como compatibles, no compatiblese inicio de sesión denegado se transfiere a Citrix DaaS y al servicio Citrix Secure Private Access, que, a su vez, utiliza la clasificación de dispositivos para proporcionar capacidades de acceso inteligente.

Caso práctico sobre Posición del dispositivo

Nota:

  • Las directivas de Posición de dispositivo deben configurarse específicamente para cada plataforma. Por ejemplo, en macOS, un administrador puede permitir el acceso a los dispositivos que tienen una versión de sistema operativo específica. Del mismo modo, para Windows, el administrador puede configurar directivas para incluir un archivo de autorización específico, ajustes de registro, etc.
  • Los escaneos de posición del dispositivo solo se realizan durante la autenticación previa o antes del inicio de sesión.
  • Para ver las definiciones de «conforme» e «no conforme», consulte Definiciones.

Escaneos compatibles con Posición del dispositivo

El servicio Citrix Device Posture admite los siguientes escaneos:

Windows macOS
Versión de la aplicación Citrix Workspace Versión de la aplicación Citrix Workspace
Archivo — (existe, nombre de archivo y ruta) Archivo — (existe, nombre de archivo y ruta)
Dirección MAC Dirección MAC
Versión del sistema operativo Versión del sistema operativo
Proceso (existe) Proceso (existe)
Microsoft Endpoint Manager Microsoft Endpoint Manager
Nombre de dominio -
Registro no numérico (32 bits) -
Registro no numérico (64 bits) -
Registro numérico (32 bits) -
Registro numérico (64 bits) -
Tipo de instalación de Windows Update -
Instalación de Windows Update, comprobación de la última actualización -

Integración de terceros con la posición del dispositivo

Además de los escaneos nativos que ofrece el servicio Device Posture, el servicio también se puede integrar con otras soluciones de terceros. Posición del dispositivo está integrado en Microsoft Endpoint Manager (MEM) en Windows y macOS. Para obtener más información sobre la configuración de integración de MEM, consulte Integración de Microsoft Endpoint Manager con Device Posture: versión preliminar.

Configurar la posición del dispositivo

La posición del dispositivo es una combinación de directivas y reglas que un dispositivo debe cumplir para acceder a los recursos. Cada directiva se adjunta a una de las acciones, a saber: conforme, no conforme o inicio de sesión denegado. Además, cada directiva está asociada a una prioridad y la evaluación de la directiva se detiene si una directiva se considera verdadera y se toman las medidas correspondientes.

  1. Inicie sesión en Citrix Cloud y, a continuación, seleccione Administración de acceso e identidades en el menú de tres líneas.

  2. Haga clic en la ficha Posición del dispositivo y, a continuación, en Administrar.

    Ficha Posición del dispositivo

    Nota:

    • Los clientes del servicio Secure Private Access pueden hacer clic directamente en Device Posture en la barra de navegación izquierda de la interfaz de usuario del administrador.
    • Para los usuarios nuevos, la página de inicio de Posición de dispositivo les pide que creen una directiva de Posición de dispositivo. La directiva de Posición de dispositivo debe configurarse de forma individual para cada plataforma. Una vez que haya creado una directiva de Posición de dispositivo, aparecerá en las plataformas correspondientes.
    • Una directiva entra en vigor solo después de habilitar Posición de dispositivo. Para habilitar Posición del dispositivo, presione el botón Posición del dispositivo está inhabilitad de la esquina superior derecha para habilitarla.

    Habilitar la posición del dispositivo

  3. Haga clic en Crear directiva de dispositivos.

  4. En Plataforma, seleccione la plataforma para la que quiera aplicar una directiva. Puedes cambiar la plataforma de Windows a macOS o viceversa, independientemente de la ficha que hayas seleccionado en la página principal de Device Posture.

  5. En Seleccionar regla, seleccione la comprobación que desee realizar como parte de la posición del dispositivo y seleccione las condiciones que deben cumplirse.

  6. Haga clic en Agregar otra regla para crear varias reglas. Se aplica una condición AND a varias reglas.

    Configurar la posición del dispositivo

  7. En el resultado de la directiva basado en las condiciones que haya configurado, seleccione el tipo en el que el escaneo del dispositivo debe clasificar el dispositivo del usuario.

    • Conforme
    • No cumple
    • Acceso denegado
  8. Introduzca un nombre para la directiva.

  9. En Prioridad, introduzca el orden en que se deben evaluar las directivas.

    • Puede introducir un valor comprendido entre 1 y 100. Se recomienda configurar las directivas de denegación con mayor prioridad, seguidas de las que no cumplen con las normas y, por último, las que cumplen.
    • La prioridad con el valor más bajo tiene la preferencia más alta.
    • Solo las directivas que están habilitadas se evalúan en función de la prioridad.

  10. Haga clic en Create.

    Configurar la posición del dispositivo

Importante:

Debe activar el interruptor Habilitar al crearse para que las directivas de posición del dispositivo surtan efecto. Antes de habilitar las directivas, se recomienda asegurarse de que están configuradas correctamente y de que está realizando estas tareas en la configuración de prueba.

Modificar una directiva de Posición de dispositivo

Las directivas de posición del dispositivo configuradas se enumeran en la plataforma específica, en la página Escaneos de dispositivos . Puede buscar la directiva que quiere modificar desde esta página. También puede habilitar, inhabilitar o eliminar una directiva desde esta página.

Modificar la directiva 1 de Posición de dispositivo

Configurar el acceso contextual (acceso inteligente) mediante la posición del dispositivo

Una vez que se permite que un dispositivo inicie sesión después de la verificación de la posición del dispositivo, el dispositivo puede ser compatible o no. Esta información está disponible como etiquetas para los servicios Citrix DaaS y Citrix Secure Private Access y se utiliza para proporcionar un acceso contextual en función de la posición del dispositivo. Por lo tanto, Citrix DaaS y el servicio Citrix Secure Private Access deben configurarse para aplicar el control de acceso mediante etiquetas de posición del dispositivo.

Configuración de Citrix DaaS con posición del dispositivo

  1. Inicie sesión en Citrix Cloud.
  2. En el icono de DaaS, haga clic en Administrar.
  3. Ve a la sección Grupos de entrega en el menú de la izquierda.
  4. Seleccione el grupo de entrega para el que quiere configurar el control de acceso en función de la posición del dispositivo y haga clic en Modificar.
  5. En la página Modificar grupo de entrega, haga clic en Directiva de acceso.
  6. Haga clic en Agregar en la página Directiva de acceso e introduzca el valor Workspace en Comunidad.

  7. En Filtrar, introduzca uno de los valores siguientes.

    • COMPATIBLE : para dispositivos compatibles

    • NO COMPATIBLE : para dispositivos que no cumplen con las normas

      Nota:

      La sintaxis de las etiquetas de clasificación de dispositivos debe introducirse de la misma manera que se capturó anteriormente, es decir, en mayúsculas iniciales (COMPATIBLE y NO COMPATIBLE). De lo contrario, las directivas de posición del dispositivo no funcionan según lo previsto.

  8. Haga clic en Guardar.

Etiquetas de posición del dispositivo

Nota:

Cualquier grupo de entrega de DaaS que no esté etiquetado como compatible o no conforme en la directiva de acceso de DaaS se trata como el grupo de entrega predeterminado y se puede acceder a él en todos los puntos finales, independientemente de la posición del dispositivo.

Configuración de Citrix Secure Private Access con posición del dispositivo

  1. Inicie sesión en Citrix Cloud.
  2. En el mosaico de Secure Private Access, haga clic en Administrar.
  3. Haga clic en Directivas de acceso en el menú de navegación de la izquierda y, a continuación, en Crear directiva.
  4. Agregue las aplicaciones para las que desee aplicar la directiva de acceso.
  5. Defina los usuarios o grupos de usuarios a los que se va a aplicar la directiva de acceso y, a continuación, haga clic en Agregarcondición.
  6. Seleccione Comprobación de posición del dispositivo y expresión lógica en el menú desplegable.

  7. Introduzca uno de los siguientes valores en las etiquetas personalizadas:

    • Compatible : para dispositivos compatibles
    • No compatible : para dispositivos no compatibles

    Nota:

    La sintaxis de las etiquetas de clasificación de dispositivos debe introducirse de la misma manera que se capturó anteriormente, es decir, en mayúsculas iniciales (compatible y no compatible). De lo contrario, las directivas de posición del dispositivo no funcionan según lo previsto.

  8. En Luego haga lo siguiente, seleccione una de las siguientes opciones:

    • Permitir el acceso (se concede el acceso completo)
    • Permitir el acceso con restricciones (acceso a la aplicación con restricciones de seguridad)
    • Acceso denegado
  9. Introduzca un nombre para la directiva.
  10. Haga clic en Guardar.

Nota:

Cualquier aplicación de acceso privado seguro que no esté etiquetada como compatible o no conforme en la directiva de acceso se trata como la aplicación predeterminada y se puede acceder a ella en todos los terminales, independientemente de la posición del dispositivo.

Etiquetas SPA de Posición del dispositivo

Flujo del usuario final

Una vez establecidas las directivas de posición del dispositivo y habilitada la posición del dispositivo, los siguientes son los flujos del usuario final en función de la forma en que el usuario final inicia sesión en Citrix Workspace.

Flujo de usuarios finales mediante acceso al navegador

Nota:

El cliente macOS y el navegador Chrome se utilizan como ejemplo con fines ilustrativos. Las pantallas y las notificaciones varían según el cliente y el navegador que utilice para acceder a la URL de Citrix Workspace.

  • Cuando un usuario final inicia sesión en la URL de Citrix Workspace https://<your-workspace-URL a través de un explorador web, se le solicita que ejecute la aplicación Citrix EndpointAnalysis.

    Instalar aplicación

  • Cuando el usuario final hace clic en Abrir Citrix End Point Analysis, el cliente de posición del dispositivo ejecuta y analiza los parámetros del punto final en función de los requisitos de la directiva de posición del dispositivo.

  • Si el último cliente de posición del dispositivo no está instalado en el terminal, se redirige a los usuarios a la página que muestra las opciones Comprobar de nuevo y Descargar el cliente. El usuario debe hacer clic en Descargar cliente.

  • Si el último cliente de posición del dispositivo ya está instalado en el terminal, el usuario debe volver a hacer clic en Comprobar.

    Confirme la versión del cliente

Flujo de usuarios finales a través de la aplicación Citrix Workspace

  • Cuando un usuario final inicia sesión en la URL de Citrix Workspace https://your-workspace-url a través de la aplicación Citrix Workspace, el cliente de posición del dispositivo instalado en el extremo ejecuta y analiza los parámetros del punto final en función de los requisitos de la directiva de posición del dispositivo.
  • Si el último cliente de posición del dispositivo no está instalado en el terminal, se redirige a los usuarios a la página que muestra las opciones Comprobar de nuevo y Descargar el cliente. El usuario debe hacer clic en Descargar cliente.
  • Si el último cliente de posición del dispositivo ya está instalado en el terminal, el usuario debe volver a hacer clic en Comprobar.

Flujo del usuario final: resultados de la posición del dispositivo

Según las condiciones de la directiva de posición del dispositivo, pueden darse tres posibilidades.

Si un punto final cumple con las condiciones de la directiva, por lo que el dispositivo se clasifica como;

  • Cumple con las normas : el usuario final puede iniciar sesión con acceso sin restricciones a los recursos de Secure Private Access o Citrix DaaS.

  • No cumple : el usuario final puede iniciar sesión con acceso restringido a los recursos de Secure Private Access o Citrix DaaS.

    Acceso permitido

Si un punto final cumple las condiciones de la directiva, por lo que el dispositivo se clasifica como Acceso denegado, aparece el mensaje Acceso denegado .

Acceso denegado

Registros de posición del dispositivo

En la versión actual, los registros de eventos de posición del dispositivo se pueden ver en el panel de acceso privado seguro. Realice los siguientes pasos para ver los registros de eventos del servicio Device Posture.

  1. Inicie sesión en Citrix Cloud.
  2. En el icono Acceso privado seguro, haga clic en Administrar,
  3. Ve a la sección Panel de control en el menú de la izquierda.
  4. Haga clic en el enlace Ver más del gráfico de registros de diagnóstico para ver los registros de eventos de posición del dispositivo.

Dashboard

  • Los administradores pueden filtrar los registros en función del identificador de transacción del gráfico de registros de diagnóstico . El identificador de la transacción también se muestra al usuario final cada vez que se deniega el acceso.

    Transaction ID

  • En caso de error o error de escaneo, el servicio Device Posture muestra un identificador de transacción. Este identificador de transacción está disponible en el panel del servicio Secure Private Access. Si los registros no ayudan a resolver el problema, los usuarios finales pueden compartir el ID de transacción con el soporte de Citrix para resolver el problema.

    Error

  • Los registros de los clientes de Windows se encuentran en:

    • %localappdata%\Citrix\EPA\dpaCitrix.txt
    • %localappdata%\Citrix\EPA\epalib.txt

  • Los registros de los clientes de macOS se encuentran en:

    • ~/Biblioteca/Aplicación Support/Citrix/EPAPlugin/EpaCloud.log
    • ~/Librería/Aplicación Support/Citrix/EPAPlugin/epaplugin.log

Limitaciones conocidas

  • El servicio Device Posture no admite las URL personalizadas del espacio de trabajo.
  • El tiempo necesario para activar o desactivar la función de posición del dispositivo después de activar o desactivar el botón de cambio de posición del dispositivo puede tardar de unos minutos a una hora.
  • Los cambios en la configuración de la posición del dispositivo no surtirán efecto inmediatamente. Los cambios pueden tardar unos 10 minutos en surtir efecto.
  • Si ha activado la opción de continuidad del servicio en Citrix Workspace y Device Posture Service está inactivo, es posible que los usuarios no puedan iniciar sesión en Workspace. Esto se debe a que Citrix Workspace enumera las aplicaciones y los escritorios en función de la memoria caché local del dispositivo del usuario.
  • Si ha configurado un token y una contraseña de larga duración en Citrix Workspace, el análisis de la posición del dispositivo no funciona para esta configuración. Los dispositivos se escanean solo cuando los usuarios inician sesión en Citrix Workspace.
  • Cada plataforma puede tener un máximo de 10 directivas y cada directiva puede tener un máximo de 10 reglas.
  • El servicio Device Posture no admite el acceso basado en roles.

Calidad del servicio

  • Rendimiento: en condiciones ideales, el servicio Device Posture agrega 2 segundos adicionales de retraso durante el inicio de sesión. Este retraso puede aumentar en función de configuraciones adicionales, como integraciones de terceros, como Microsoft Endpoint Manager (MEM). La integración de la posición del dispositivo con MEM se encuentra en versión preliminar.
  • Resiliencia: Device Posture Service es altamente resiliente y cuenta con múltiples POP para garantizar que no haya tiempo de inactividad.

Definiciones

Los términos compatible y no compatible en referencia al servicio Device Posture se definen de la siguiente manera.

  • Dispositivos compatibles : dispositivo que cumple con los requisitos de la directiva preconfigurados y que puede iniciar sesión en la red de la empresa con acceso total o sin restricciones a los recursos de Citrix Secure Private Access o a los recursos de Citrix DaaS.
  • Dispositivos no compatibles : dispositivo que cumple con los requisitos de la directiva preconfigurados y que puede iniciar sesión en la red de la empresa con acceso parcial o restringido a los recursos de Citrix Secure Private Access o a los recursos de Citrix DaaS.
Posición del dispositivo
May 12, 2023
Contribución de: 
C
May 12, 2023
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.