Protección contextual de aplicaciones para StoreFront

La protección contextual de aplicaciones ofrece la posibilidad de aplicar directivas de protección de aplicaciones de forma condicional a un subconjunto de usuarios, en función de sus características, sus dispositivos y la estrategia de red.

Implementar la protección contextual de aplicaciones

Puede implementar la protección contextual de aplicaciones por medio de los filtros de conexión definidos en la regla de directiva de acceso con intermediario. Las directivas de acceso con intermediario definen las reglas que controlan el acceso de un usuario a los grupos de escritorios. La directiva comprende un conjunto de reglas. Cada regla se refiere a un único grupo de escritorios y contiene un conjunto de filtros de conexión y controles de derechos de acceso.

Los usuarios pueden acceder a un grupo de escritorios cuando los detalles de su conexión coinciden con los filtros de conexión de una o más reglas de la directiva de acceso con intermediario. De forma predeterminada, los usuarios no tienen acceso a ningún grupo de escritorios de un sitio. Puede crear otras directivas de acceso con intermediario en función de sus requisitos. Se pueden aplicar varias reglas a un mismo grupo de escritorios. Para obtener más información, consulte New-BrokerAssignmentPolicyRule.

Los siguientes parámetros de la regla de directiva de acceso con intermediario ofrecen la flexibilidad necesaria para habilitar la protección de aplicaciones en contexto si la conexión del usuario coincide con los filtros de conexión definidos en la regla de directiva de acceso:

• AppProtectionKeyLoggingRequired
• AppProtectionScreenCaptureRequired

Utilice los filtros de Smart Access a los que se hace referencia en las directivas de acceso con intermediario para precisar los filtros de conexión. Para obtener información sobre cómo configurar los filtros Smart Access, consulte este artículo de asistencia. Para comprender cómo usar las directivas de Smart Access para configurar la protección contextual de aplicaciones, consulte los supuestos que se indican más adelante.

Requisitos previos

Compruebe que tiene lo siguiente:

• Citrix Virtual Apps and Desktops 2109 o una versión posterior
• Delivery Controller 2109 o una versión posterior
• StoreFront 1912 LTSR o una versión posterior
• Una conexión correcta entre NetScaler y StoreFront. Para obtener más información, consulte Integrar Citrix Gateway con StoreFront
• Importación de tablas XML para ciertas versiones LTSR: Consulte el paso 1 a continuación
• Habilite Smart Access en NetScaler Gateway para casos que requieran etiquetas Smart Access. Para obtener más información, consulte este artículo de asistencia.
• Requisitos del sistema de licencias:
  • Licencia local de protección de aplicaciones
  • Licencia universal de Citrix Gateway para casos con etiquetas Smart Access

Habilitar la protección contextual de aplicaciones

1. Descargue las directivas de protección contextual de aplicaciones (tabla de funciones) para su versión de Citrix Virtual Apps and Desktops desde la página de descargas de Citrix.

2. Ejecute los siguientes comandos de PowerShell en el Delivery Controller: asnp Citrix*Set-BrokerSite-TrustRequestsSentToTheXmlServicePort $true.

3. Ejecute estos comandos para habilitar la protección contextual de aplicaciones en el Delivery Controller: Import-ConfigFeatureTable <path to the downloaded feature table>.

   Por ejemplo: Import-ConfigFeatureTable\Downloads\FeatureTable.OnPrem.AppProtContextualAccess.xml.

Habilitación de la protección contextual de aplicaciones: Algunos casos

Caso 1: Habilitar la protección de aplicaciones para usuarios externos que utilizan la puerta de enlace de acceso (Access Gateway)

Para cada grupo de entrega, se crean dos directivas de acceso con intermediario de forma predeterminada. Una para las conexiones que llegan a través de Access Gateway y la otra para las conexiones directas. Puede habilitar la protección de aplicaciones solo para las conexiones que llegan a través de Access Gateway.

Los siguientes pasos sirven para habilitar la protección de aplicaciones para usuarios externos del grupo de entrega Admin_Desktop_Group, que contiene un escritorio denominado Admin_Desktop:

1. Ejecute el comando Get-BrokerAccesspolicyRule de PowerShell desde el Delivery Controller. Esto le proporciona las dos directivas de acceso con intermediario definidas para este grupo: Admin_Desktop_Group_AG y Admin_Desktop_Group_Direct.

2. Para habilitar las directivas de protección de aplicaciones para las conexiones de Access Gateway, ejecute este comando: Set-BrokerAccessPolicyRule Admin_Desktop_Group_AG -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

3. Para inhabilitar las directivas de protección de aplicaciones para las conexiones directas, ejecute este comando: Set-BrokerAccessPolicyRule Admin_Desktop_Group_Direct -AppProtectionKeyLoggingRequired $false -AppProtectionScreenCaptureRequired $false

4. Verificación. Cierre la sesión de la aplicación Citrix Workspace, si estaba abierta. Vuelva a iniciar sesión en la aplicación Citrix Workspace. Inicie el recurso Admin_Desktop desde una conexión externa a través de la puerta de enlace de acceso. Observará que las directivas de protección de aplicaciones se aplican en el escritorio de administración.

Caso 2: Inhabilitar la protección de aplicaciones para ciertos tipos de dispositivos. Por ejemplo: un iPhone

A continuación, se muestran los pasos para inhabilitar la protección de aplicaciones para los usuarios de iPhone de un grupo de entrega llamado Win10Desktop.

Paso 1: Crear la directiva de Smart Access

1. Inicie sesión en la interfaz de usuario de administración de Citrix ADC.

2. En el menú de navegación de la izquierda, vaya a Citrix Gateway > Virtual Servers.

   Anote el nombre del servidor virtual VPN, que se necesita para configurar la directiva de acceso con intermediario más adelante.

3. Haga clic en VPN Virtual Server. Desplácese a la sección inferior de la página y haga clic en Session policies. Aparece una lista de directivas de sesión.

4. Haga clic en Add Binding.

   

5. Haga clic en Add to create a session policy.

   

6. Introduzca un nombre para la directiva de sesión. En este caso, temp.

   

7. Haga clic en Add junto a Profile para especificar un nombre de perfil. Haga clic en Create.

   

8. Haga clic en Expression Editor en la ventana de directiva de sesión.

9. Cree la siguiente expresión para comprobar si se encuentra iPhone en la cadena de agente de usuario: HTTP.REQ.HEADER (“User-Agent”).CONTAINS (“iPhone”)

   

10. Haga clic en Bind para crear la directiva de sesión.

Paso 2: Crear las reglas de la directiva de acceso con intermediario.

Para aplicar la directiva a los usuarios de iPhone que acceden a Win10Desktop a través de la puerta de enlace de acceso,

1. Ejecute el siguiente comando en el Delivery Controller (DDC): Get-BrokerAccessPolicyRule, que enumera todas las directivas de acceso con intermediario definidas en el DDC. En este ejemplo, las directivas de acceso con intermediario para el grupo de entrega Win10Desktop son Win10Desktop_AG y Win10Desktop_Direct. Anote el UID del grupo de escritorios del grupo de entrega para el siguiente paso.

2. Utilice el siguiente comando para crear una regla de directiva de acceso con intermediario para Win10Desktop a fin de filtrar los usuarios de iPhone que llegan a través de la puerta de enlace de acceso: New-BrokerAccessPolicyRule -Name Win10Desktop_AG_iPhone -DesktopGroupUid <Uid_of_desktopGroup> -AllowedConnections ViaAG -AllowedProtocols HDX, RDP -AllowedUsers AnyAuthenticated -AllowRestart $true -AppProtectionKeyLoggingRequired $false -AppProtectionScreenCaptureRequired $false -Enabled $true -IncludedSmartAccessFilterEnabled $true.

   Uid_of_desktopGroup es el UID del grupo de escritorios del grupo de entrega que se obtiene al ejecutar la regla GetBrokerAccessPolicy en el paso 1.

3. Para inhabilitar la protección de aplicaciones para los usuarios de iPhone de Win10Desktop que llegan a través de una puerta de enlace de acceso, haga referencia a la etiqueta temp de Smart Access creada en el paso 1. Cree una directiva de Smart Access con el siguiente comando: Set-BrokerAccessPolicyRule Win10Desktop_AG_iPhone -IncludedSmartAccessTags Primary_HDX_Proxy:temp -AppProtectionScreenCaptureRequired $false -AppProtectionKeyLoggingRequired $false

   Primary_HDX_Proxy es el nombre del servidor virtual VPN del paso 1 anterior, Crear la directiva de Smart Access.

4. Para habilitar las directivas de protección de aplicaciones para el resto de los usuarios de Win10Desktop, utilice el siguiente comando: Set-BrokerAccessPolicyRule Win10Desktop_AG -AppProtectionScreenCaptureRequired $true -AppProtectionKeyLoggingRequired $true

5. Verificación

   Para iPhone: Cierre la sesión de la aplicación Citrix Workspace, si estaba abierta en el iPhone. Inicie sesión en la aplicación Citrix Workspace de forma externa a través de una conexión de puerta de enlace de acceso. El recurso necesario debería aparecer en StoreFront y la protección de aplicaciones debería estar inhabilitada.

   Para dispositivos que no sean iPhone: Cierre sesión en la aplicación Citrix Workspace, si estaba abierta en el dispositivo Inicie sesión en la aplicación Citrix Workspace externamente a través de la conexión de puerta de enlace de acceso El recurso necesario debería aparecer en StoreFront y la protección de aplicaciones debería estar inhabilitada.

Caso 3: Inhabilitar la protección de aplicaciones para las conexiones iniciadas con acceso mediante explorador y habilitar la protección de aplicaciones para las conexiones desde la aplicación Citrix Workspace

Estos pasos sirven para inhabilitar la protección de aplicaciones para un grupo de entrega denominado Win10Desktop cuando las conexiones se inician desde un explorador web.

1. Paso 1: Crear directivas de Smart Access

   1. Cree una directiva de Smart Access para filtrar las conexiones iniciadas desde la aplicación Citrix Workspace, como se define en el supuesto 2. Cree la siguiente expresión para comprobar si se encuentra CitrixReceiver en la cadena de agente de usuario: HTTP.REQ.HEADER (“User-Agent”).CONTAINS (“CitrixReceiver”). En este caso, la directiva de Smart Access es cwa.

      

   2. Cree otra directiva de Smart Access para filtrar las conexiones que no se inician desde la aplicación Citrix Workspace, HTTP.REQ.HEADER (“User-Agent”).CONTAINS (“CitrixReceiver”).NOT. En este caso, la directiva de Smart Access es browser.

      

2. Paso 2: Crear reglas de directiva de acceso con intermediario

   1. Ejecute GetBrokerAccessPolicyRule para ver las dos directivas de acceso con intermediario para Win10Desktop. Para el grupo de entrega Win10Desktop, las directivas de acceso con intermediario son Win10Desktop_AG y Win10Desktop_Direct. Anote el UID del grupo de escritorios de Win10Desktop.

   2. Cree una directiva de acceso con intermediario para Win10Desktop a fin de filtrar las conexiones iniciadas desde la aplicación Citrix Workspace.

      New-BrokerAccessPolicyRule -Name Win10Desktop_AG_CWA -DesktopGroupUid <Uid_of_desktopGroup> -AllowedConnections ViaAG -AllowedProtocols HDX, RDP -AllowedUsers AnyAuthenticated -AllowRestart $true -Enabled $true -IncludedSmartAccessFilterEnabled $true.

      Uid_of_desktopGroup es el UID del grupo de escritorios del grupo de entrega que se obtiene al ejecutar la regla GetBrokerAccessPolicy en el paso 1.

   3. Utilice el siguiente comando para habilitar las directivas de protección de aplicaciones solo en aquellas conexiones que llegan a través de CWA haciendo referencia a la etiqueta de Smart Access cwa: Set-BrokerAccessPolicyRule Win10Desktop_AG_CWA -IncludedSmartAccessTags Primary_HDX_Proxy:cwa -AppProtectionScreenCaptureRequired $true -AppProtectionKeyLoggingRequired $true. Primary_HDX_Proxy es el nombre del servidor virtual VPN anotado anteriormente en el paso 1, Crear directiva de Smart Access.

   4. Utilice este comando para inhabilitar las directivas de protección de aplicaciones para el resto de las conexiones que llegan a través del explorador web: Set-BrokerAccessPolicyRule Win10Desktop_AG -IncludedSmartAccessTags Primary_HDX_Proxy:browser -AppProtectionScreenCaptureRequired $false -AppProtectionKeyLoggingRequired $false.

   5. Verificación. Cierre la sesión de la aplicación Citrix Workspace, si estaba abierta. Vuelva a iniciar sesión en la aplicación Citrix Workspace e inicie el recurso deseado desde una conexión externa a través de la puerta de enlace de acceso. Observará que las directivas de protección de aplicaciones están habilitadas para el recurso. Inicie el mismo recurso desde el explorador a través de una conexión externa y verá que las directivas de protección de aplicaciones están inhabilitadas.

Caso 4: Inhabilitar la protección de aplicaciones para los usuarios de un grupo específico de Active Directory

Estos pasos sirven para inhabilitar la protección de aplicaciones para los usuarios de Win10Desktop que forman parte del grupo de Active Directory xd.local\sales.

1. Ejecute GetBrokerAccessPolicyRule para ver las dos directivas de acceso con intermediario para Win10Desktop. Para un grupo de entrega Win10Desktop, hay dos directivas de acceso con intermediario: Win10Desktop_AG y Win10Desktop_Direct. Anote el UID del grupo de escritorios de Win10Desktop.

2. Cree una regla de directiva de acceso con intermediario para Win10Desktop a fin de filtrar las conexiones de los usuarios del grupo de Active Directory xd.local\sales.

   New-BrokerAccessPolicyRule -Name Win10Desktop_AG_Sales_Group -DesktopGroupUid <Uid_of_desktopGroup> -AllowedConnections ViaAG -AllowedProtocols HDX, RDP -AllowedUsers Filtered -AllowRestart $true -Enabled $true -IncludedSmartAccessFilterEnabled $true

   Uid_of_desktopGroup es el UID del grupo de escritorios del grupo de entrega que se obtiene al ejecutar la regla GetBrokerAccessPolicy en el paso 1.

3. Utilice este comando para inhabilitar las directivas de protección de aplicaciones para los usuarios de Win10Desktop que forman parte del grupo de AD xd.local\sales: Set-BrokerAccessPolicyRule Win10Desktop_AG_Sales_Group -AllowedUsers Filtered -IncludedUsers xd.local\sales -IncludedUserFilterEnabled $true -AppProtectionScreenCaptureRequired $false -AppProtectionKeyLoggingRequired $false

4. Utilice este comando para habilitar las directivas de protección de aplicaciones para el resto de las conexiones de puerta de enlace, excepto para los usuarios de xd.local\sales: Set-BrokerAccessPolicyRule Win10Desktop_AG -AllowedUsers Anyauthenticated -ExcludedUserFilterEnabled $true -ExcludedUsers xd.local\sales -AppProtectionScreenCaptureRequired $true -AppProtectionKeyLoggingRequired $true
5. Verificación. Cierre la sesión de la aplicación Citrix Workspace, si estaba abierta. Inicie sesión en la aplicación Citrix Workspace como usuario del grupo de Active Directory xd.local\sales. Inicie el recurso protegido y podrá comprobar que la protección de aplicaciones está inhabilitada. Cierre sesión en la aplicación Citrix Workspace y vuelva a iniciarla como usuario que no forma parte del grupo xd.local\sales. Inicie el recurso protegido y verá que la protección de aplicaciones está habilitada.