Documentación de productos
Device Posture
Ver PDF

Device Posture

June 19, 2024
Contribución de: 
C

El servicio Citrix Device Posture es una solución basada en la nube que ayuda a los administradores a cumplir ciertos requisitos que los dispositivos finales deben cumplir para acceder a los recursos de Citrix DaaS (aplicaciones y escritorios virtuales) o Citrix Secure Private Access (SaaS, aplicaciones web, TCP y UDP). Establecer la confianza del dispositivo comprobando la Device Posture es fundamental para implementar un acceso basado en la confianza cero. Device Posture Service aplica principios de confianza cero en la red al comprobar el cumplimiento de los dispositivos finales (dispositivos administrados/BYOD y posición de seguridad) antes de permitir que un usuario final inicie sesión.

Requisitos previos

  • Requisitos de licencia: la concesión del servicio Citrix Device Posture forma parte de las licencias Citrix DaaS Premium, Citrix DaaS Premium Plus y Citrix Secure Private Access Advanced. Los clientes con otras licencias pueden adquirir un derecho a Device Posture Service como complemento. Para un complemento, los clientes deben comprar un SKU de autenticación adaptable independiente, pero no necesariamente tienen que implementarlo para usar Device Posture Service.

  • Plataformas admitidas:

    • Windows (10 y 11)
    • macOS 13 Ventura
    • macOS 12 Monterrey
    • iOS
    • IGEL

    Nota:

    • Un dispositivo que se ejecuta en una plataforma no compatible se marca como no compatible de forma predeterminada. Puede cambiar la clasificación de No conforme a Inicio de sesión denegado en la ficha Parámetros de la página Device Posture.

    • Un dispositivo que se ejecuta en una plataforma compatible, pero que no coincide con ninguna directiva de Device Posture predefinida, se marca como no compatible de forma predeterminada. Puede cambiar la clasificación de No conforme a Inicio de sesión denegado en la ficha Parámetros de la página Device Posture.

    • Para la compatibilidad con iOS en Device Posture Service, el cliente EPA está integrado como parte de la aplicación Citrix Workspace para iOS. Para obtener más información sobre las versiones, consulte la aplicación Citrix Workspace para iOS.

    • Para la compatibilidad con el sistema operativo IGEL en Device Posture Service, el cliente EPA está integrado como parte del sistema operativo IGEL. Contacte con el equipo de soporte de IGEL para instalar el cliente EPA en los dispositivos IGEL.

  • Cliente Citrix Device Posture (cliente EPA): una aplicación ligera que debe instalarse en el dispositivo terminal para ejecutar escaneos de Device Posture. Esta aplicación no requiere derechos de administrador local para descargarla e instalarla en un endpoint.

    Nota:

    Si usa una verificación del certificado del dispositivo, debe instalar el cliente de EPA con derechos de administrador.

  • Exploradores compatibles: Chrome, Edge y Firefox.

  • Configuración del firewall: para permitir que Device Posture Service actualice los clientes EPA en un dispositivo final, el firewall/proxy debe configurarse para permitir los siguientes dominios:

    • https://swa-ui-cdn-endpoint-prod.azureedge.net
    • https://productioniconstorage.blob.core.windows.net
    • *.netscalergateway.net
    • *.nssvc.net
    • *.cloud.com
    • *.pendo.io
    • *.citrixworkspacesapi.net

Funciones en Tech Preview

Funcionamiento

Los administradores pueden crear directivas de posición de los dispositivos para comprobar la posición de los dispositivos de punto final y determinar si se permite o se deniega el inicio de sesión en un dispositivo de punto final. Los dispositivos a los que se permite iniciar sesión se clasifican además como conformes o no conformes. Los usuarios pueden iniciar sesión desde un explorador web o la aplicación Citrix Workspace.

Las siguientes son las condiciones de alto nivel que se utilizan para clasificar un dispositivo como compatible, no compatible y de inicio de sesión denegado.

  • Dispositivos conformes: un dispositivo que cumple con los requisitos de las directivas preconfiguradas y que puede iniciar sesión en la red de la empresa con acceso total o sin restricciones a los recursos de Citrix Secure Private Access o a los recursos de Citrix DaaS.
  • Dispositivos no conformes: un dispositivo que cumple con los requisitos de directiva preconfigurados y que puede iniciar sesión en la red de la empresa con acceso parcial o restringido a los recursos de Citrix Secure Private Access o a los recursos de Citrix DaaS.
  • Inicio de sesión denegado: Se deniega el inicio de sesión a un dispositivo que no cumpla con los requisitos de la directiva.

La clasificación de los dispositivos como compatibles,no conformes**y con inicio de **sesión denegado se transfiere al servicio Citrix DaaS y Citrix Secure Private Access, que a su vez utiliza la clasificación de dispositivos para proporcionar capacidades de acceso inteligente.

Caso práctico sobre Device Posture

Nota:

  • Las directivas de Device Posture deben configurarse específicamente para cada plataforma. Por ejemplo, en macOS, un administrador puede permitir el acceso a los dispositivos que tienen una versión de sistema operativo específica. Del mismo modo, para Windows, el administrador puede configurar directivas para incluir un archivo de autorización específico, ajustes de registro, etc.
  • Los escaneos de la Device Posture solo se realizan durante la autenticación previa o antes de iniciar sesión.
  • Para ver las definiciones de “conforme” e “no conforme”, consulte Definiciones.

Escaneos compatibles con Device Posture

El servicio Citrix Device Posture admite los siguientes escaneos:

Windows macOS iOS IGEL
Versión de la aplicación Citrix Workspace Versión de la aplicación Citrix Workspace Versión de la aplicación Citrix Workspace -
Versión del sistema operativo Versión del sistema operativo Versión del sistema operativo -
Archivo (existe, nombre de archivo y ruta) Archivo (existe, nombre de archivo y ruta) - Archivo (existe, nombre de archivo y ruta)
Geolocalización Geolocalización - -
Ubicación de red Ubicación de red - -
Dirección MAC Dirección MAC - -
Proceso (existe) Proceso (existe) - -
Microsoft Endpoint Manager Microsoft Endpoint Manager - -
CrowdStrike CrowdStrike - -
Certificado del dispositivo Certificado del dispositivo - -
Explorador web Explorador web - -
Antivirus Antivirus - -
Registro no numérico (32 bits) - - -
Registro no numérico (64 bits) - - -
Registro numérico (32 bits) - - -
Registro numérico (64 bits) - - -
Tipo de instalación de Windows Update - - -
Instalación de Windows Update, comprobación de la última actualización - - -

Nota:

Para que iOS sea compatible con Device Posture Service, el cliente EPA está integrado como parte de la aplicación Citrix Workspace para iOS. Para obtener más información sobre las versiones, consulte la aplicación Citrix Workspace para iOS.

Integración de terceros con la Device Posture

Además de los escaneos nativos que ofrece Device Posture Service, el servicio también se puede integrar con las siguientes soluciones de terceros en Windows y macOS.

Configurar la Device Posture

La Device Posture es una combinación de directivas y reglas que un dispositivo debe cumplir para acceder a los recursos. Cada directiva se adjunta a una de las acciones, a saber: conforme, no conforme o inicio de sesión denegado. Además, cada directiva está asociada a una prioridad y la evaluación de la directiva se detiene si una directiva se considera verdadera y se toman las medidas correspondientes.

  1. Inicie sesión en Citrix Cloud y después seleccione Administración de acceso e identidades en el menú de tres líneas.

  2. Haga clic en la ficha Device Posture y después en Administrar.

    Nota:

    • Los clientes del servicio Secure Private Access pueden hacer clic directamente en Device Posture en la barra de navegación izquierda de la interfaz de usuario del administrador.
    • Para los usuarios nuevos, la página de inicio de Device Posture les pide que creen una directiva de Device Posture. La directiva de Device Posture debe configurarse de forma individual para cada plataforma. Una vez que haya creado una directiva de Device Posture, aparecerá en las plataformas correspondientes.
    • Una directiva entra en vigor solo después de habilitar Device Posture. Para habilitar Device Posture, deslice el conmutador Device Posture está inhabilitado de la esquina superior derecha para ACTIVAR.
  3. Haga clic en Crear directiva de dispositivos.

  4. En Plataforma, seleccione la plataforma para la que quiera aplicar una directiva. Puede cambiar la plataforma de Windows a macOS o viceversa, independientemente de la ficha que haya seleccionado en la página principal de Device Posture.

  5. En Reglas de directiva, seleccione la comprobación que desee realizar como parte de la Device Posture y seleccione las condiciones que deben coincidir.

    Nota:

    • Para comprobar el certificado del dispositivo, asegúrese de que el certificado del emisor esté en el dispositivo. De lo contrario, puede importar un certificado de dispositivo mientras crea la directiva de Device Posture o cargar el certificado desde Parámetros en la página de inicio de Device Posture. Para obtener más información, consulte Importar el certificado de dispositivo al crear la directiva para el certificado de dispositivo y Cargar el certificado de dispositivo.
    • Para la verificación del certificado del dispositivo, el cliente EPA del dispositivo final debe estar instalado con derechos administrativos.
    • La verificación del certificado del dispositivo con Device Posture Service no admite la verificación de revocación del certificado.

  6. Haga clic en Agregar otra regla para crear varias reglas. Se aplica una condición AND a varias reglas.

    Configurar la Device Posture

  7. En Resultado de la directiva según las condiciones que ha configurado, seleccione el tipo en el que el análisis del dispositivo debe clasificar el dispositivo del usuario.

    • Conforme
    • No cumple
    • Acceso denegado
  8. Introduzca un nombre para la directiva.

  9. En Prioridad, introduzca el orden en que se deben evaluar las directivas.

    • Puede introducir un valor comprendido entre 1 y 100. Se recomienda configurar las directivas de denegación con una prioridad más alta, seguidas de las no conformes y, por último, las conformes.
    • La prioridad con el valor más bajo tiene la preferencia más alta.
    • Solo las directivas que están habilitadas se evalúan en función de la prioridad.

  10. Haga clic en Crear.

    Configurar la Device Posture

Importante:

Debe mover el conmutador Habilitar al crearse a la posición ACTIVAR para que las directivas de Device Posture surtan efecto. Antes de habilitar las directivas, se recomienda asegurarse de que las directivas están configuradas correctamente y de que está realizando estas tareas en la configuración de prueba.

Análisis periódico de dispositivos - Tech Preview

Puede habilitar el análisis periódico de los dispositivos Windows para las comprobaciones configuradas cada 30 minutos. Para habilitar el análisis periódico, haga lo siguiente:

  1. Vaya a Device Posture > Escaneos del dispositivo y haga clic en Parámetros.
  2. En la sección Escaneos periódicos de Device Posture, deslice el conmutador a la posición ON para habilitar el escaneo periódico de los dispositivos.

Escaneo periódico

Nota:

  • Para el escaneo periódico de los dispositivos, el cliente EPA del dispositivo final debe estar instalado con derechos administrativos.
  • Durante el análisis periódico, si el estado del dispositivo cambia de “compatible” a “no compatible” o “acceso denegado”, se bloquea el inicio de nuevas aplicaciones.

Modificar una directiva de Device Posture

Las directivas de Device Posture configuradas se enumeran en la plataforma específica, en la página Escaneos de dispositivos. Puede buscar la directiva que quiere modificar desde esta página. También puede habilitar, inhabilitar o eliminar una directiva desde esta página.

Modificar la directiva 1 de Device Posture

Configurar el acceso contextual (acceso inteligente) mediante la Device Posture

Tras la verificación de la Device Posture, se le permite iniciar sesión y se clasifica como compatible o no compatible. Esta información está disponible como etiquetas para el servicio Citrix DaaS y el servicio Citrix Secure Private Access y se utiliza para proporcionar acceso contextual en función de la posición del dispositivo. Por lo tanto, Citrix DaaS y Citrix Secure Private Access deben configurarse para aplicar el control de acceso mediante etiquetas de posición del dispositivo.

Configuración de Citrix DaaS con Device Posture

Inscríbase para obtener la Tech Preview.

  1. Inicie sesión en Citrix Cloud.
  2. En el icono de DaaS, haga clic en Administrar.
  3. Vaya a la sección Grupos de entrega en el menú de la izquierda.
  4. Seleccione el grupo de entrega para el que quiere configurar el control de acceso en función de la Device Posture y haga clic en Modificar.
  5. En la página Modificar grupo de entrega, haga clic en Directiva de acceso.

  6. Haga clic en el icono de edición de la fila de conexiones de Citrix Gateway para editar la directiva de conexiones de puerta de enlace.

    Editar la directiva de acceso número uno

    1. En la página Editar directiva, seleccione Conexiones que cumplan los siguientes criterios.
    2. Seleccione Coincidir con cualquiera y después haga clic en Agregar criterio.
    3. Agregue criterios para todas las etiquetas de ubicación que configuró en Configurar ubicaciones de red: escriba Workspace para Filtro y CONFORME o NO CONFORME para Valor.

    Editar la directiva de acceso número dos

    Nota:

    La sintaxis de las etiquetas de clasificación de dispositivos debe introducirse de la misma manera que se capturó anteriormente, es decir, en mayúsculas (CONFORME y NO CONFORME). De lo contrario, las directivas de Device Posture no funcionan según lo previsto.

    Además de las etiquetas de clasificación del dispositivo, Device Posture Service también devuelve la etiqueta del sistema operativo y la etiqueta de directiva de acceso asociadas al dispositivo. Las etiquetas del sistema operativo y las etiquetas de la directiva de acceso deben escribirse únicamente en mayúsculas.

    • DEVICE_TYPE_WINDOWS
    • DEVICE_TYPE_MAC
    • Nombre exacto de la directiva (en mayúsculas)

Configuración de Citrix Secure Private Access con Device Posture

  1. Inicie sesión en Citrix Cloud.
  2. En el mosaico Secure Private Access, haga clic en Administrar.
  3. Haga clic en Directivas de acceso en el menú de navegación de la izquierda y después en Crear directiva.
  4. Introduzca el nombre de la directiva y la descripción de la misma.
  5. En Aplicaciones, seleccione la aplicación o el conjunto de aplicaciones en las que se debe aplicar esta directiva.
  6. Haga clic en Crear regla para crear reglas para la directiva.
  7. Introduzca el nombre de la regla y una breve descripción de la regla y después haga clic en Siguiente.
  8. Seleccione las condiciones de los usuarios. La condición de usuario es una condición obligatoria que debe cumplirse para conceder acceso a las aplicaciones a los usuarios.
  9. Haga clic en + para agregar la condición de Device Posture.
  10. Seleccione Verificación de Device Posture y la expresión lógica en el menú desplegable.

  11. Introduzca uno de los valores siguientes en las etiquetas personalizadas:

    • Compatible : para dispositivos compatibles
    • No compatible : para dispositivos que no cumplen con las normas
  12. Haga clic en Siguiente.

  13. Seleccione las acciones que se deben aplicar en función de la evaluación de la condición y después haga clic en Siguiente.

    La página de resumen muestra los detalles de la directiva.

  14. Puede comprobar los detalles y hacer clic en Finalizar.

    Para obtener más información sobre la creación de directivas de acceso, consulte Configurar una directiva de acceso con varias reglas.

Nota:

Cualquier aplicación de Secure Private Access que no esté etiquetada como compatible o no conforme en la directiva de acceso se considera la aplicación predeterminada y se puede acceder a ella en todos los puntos finales, independientemente de la posición del dispositivo.

Etiquetas SPA de Device Posture

Configuración de grabación de sesiones con Device Posture

La grabación de sesiones permite a las organizaciones registrar la actividad de los usuarios en pantalla en las sesiones virtuales. Puede especificar etiquetas al crear una directiva personalizada de grabación de sesiones, una directiva de detección de eventos o una directiva de respuesta a eventos. Para ver un ejemplo, consulte Crear una directiva de grabación personalizada.

Flujo del usuario final

Una vez establecidas las directivas de Device Posture y habilitada la Device Posture, los siguientes son los flujos del usuario final en función de la forma en que el usuario final inicia sesión en Citrix Workspace.

Flujo de usuarios finales mediante acceso al explorador web

Nota:

El cliente macOS y el explorador Chrome se utilizan como ejemplo con fines ilustrativos. Las pantallas y las notificaciones varían según el cliente y el explorador web que utilice para acceder a la URL de Citrix Workspace.

  • Cuando un usuario final inicia sesión en la URL de Citrix Workspace https://<your-workspace-URL a través de un explorador web, se le solicita que ejecute la aplicación Citrix Endpoint Analysis.

    Instalar la aplicación

  • Cuando el usuario final hace clic en Abrir Citrix End Point Analysis, el cliente de Device Posture ejecuta y analiza los parámetros del punto final en función de los requisitos de la directiva de Device Posture.

  • Si el cliente de Device Posture no está instalado en el dispositivo, se redirige a los usuarios a una página que muestra la opción Descargar complemento. Si el cliente de Device Posture más reciente ya está instalado en el punto final, el usuario debe hacer clic en Comprobar dispositivo para confirmar lo mismo. Del mismo modo, si la EPA instalada en el dispositivo no es la última versión, se redirige a los usuarios a una página que muestra la opción Actualizar complemento. Si el cliente EPA ya está actualizado, el usuario debe hacer clic en Comprobar dispositivo para confirmar lo mismo.

Confirme la versión del cliente

En ambos casos, si la función de omisión de verificación está habilitada, aparece el mensaje Alternativamente, puede continuar con Citrix Workspace con acceso restringido. se muestra en las páginas del complemento Descargar o Actualizar el complemento.

Omitir mensaje de verificación

Flujo de usuarios finales a través de la aplicación Citrix Workspace

  • Cuando un usuario final inicia sesión en la URL de Citrix Workspace https://your-workspace-url a través de la aplicación Citrix Workspace, el cliente de Device Posture instalado en el extremo ejecuta y analiza los parámetros del punto final en función de los requisitos de la directiva de Device Posture.
  • Si el cliente de Device Posture más reciente no está instalado en el punto final, se redirige a los usuarios a la página que muestra las opciones Comprobar de nuevo y Descargar el cliente. El usuario debe hacer clic en Descargar cliente.
  • Si el último cliente de Device Posture ya está instalado en el terminal, el usuario debe volver a hacer clic en Comprobar.

Flujo del usuario final: resultados de la Device Posture

Según las condiciones de la directiva de Device Posture, pueden darse tres posibilidades.

Si un punto final cumple con las condiciones de la directiva, por lo que el dispositivo se clasifica como;

  • Cumple con las normas: El usuario final puede iniciar sesión con acceso sin restricciones a los recursos de Secure Private Access o Citrix DaaS.

  • No cumple: El usuario final puede iniciar sesión con acceso restringido a los recursos de Secure Private Access o Citrix DaaS.

    Acceso permitido

Si un punto final cumple las condiciones de la directiva, por lo que el dispositivo se clasifica como Acceso denegado, aparece el mensaje Acceso denegado.

Acceso denegado

Mensajes personalizados para escenarios de acceso denegado

Los administradores tienen la opción de personalizar el mensaje que se muestra en el dispositivo final cuando se deniega el acceso.

Realice los siguientes pasos para agregar mensajes personalizados:

  1. Navegue hasta la página Device Posture > Escaneos del dispositivo.
  2. Haga clic en Parámetros.
  3. Haga clic en Editary, en el cuadro Mensaje, introduzca el mensaje que debe mostrarse en situaciones de acceso denegado. Puede introducir un máximo de 256 caracteres.

  4. Haga clic en Habilitar mensaje personalizado al guardar para aplicar la opción de mostrar el mensaje personalizado. Si no selecciona esta casilla, el mensaje personalizado se crea pero no se muestra en los dispositivos en los escenarios de acceso denegado.

    Como alternativa, puede habilitar el conmutador Mensaje personalizado en la página Parámetros para mostrar el mensaje en los dispositivos.

  5. Haga clic en Guardar.

La siguiente imagen muestra un mensaje de ejemplo agregado por el administrador.

Mensaje personalizado1

La siguiente imagen muestra el mensaje personalizado que aparece en el dispositivo del usuario final cuando se deniega el acceso.

Mensaje personalizado2

El mensaje que ha introducido aparece cada vez que se deniega el acceso al dispositivo final.

Omitir las comprobaciones de Device Posture

Los administradores pueden permitir a los usuarios finales omitir las comprobaciones del estado de los dispositivos en los siguientes casos:

  • El agente de Device Posture no está instalado en el dispositivo.
  • El cliente EPA instalado en el dispositivo no es la última versión.

Cuando la función de omisión de verificación está habilitada, se aplica el resultado predeterminado de la directiva (no conforme) y el dispositivo se clasifica como no conforme. Los usuarios finales tienen acceso parcial o restringido a los recursos de Citrix Secure Private Access o Citrix DaaS.

Habilitar la omisión de las comprobaciones de Device Posture

  1. Navegue a Device Posture > Escaneos del dispositivo.
  2. Haga clic en Parámetros.

  3. En la sección Omitir la comprobación de Device Posture, deslice el conmutador a la posición ON para poder omitir las comprobaciones de Device Posture.

    Cuando la opción Omitir la comprobación de Device Posture está habilitada y el usuario final inicia sesión en Citrix Workspace, aparece el siguiente mensaje cuando el usuario final intenta descargar el cliente o actualizar la versión EPA.

    Como alternativa, puede continuar con Citrix Workspace con acceso restringido.

Omitir mensaje de verificación

Soporte de URL de espacio de trabajo personalizadas

Device Posture Service admite las URL de espacio de trabajo personalizadas. Puede usar una URL de tu propiedad además de la URL de cloud.com para acceder al espacio de trabajo. Asegúrese de permitir el acceso a citrix.com desde su red. Para obtener más información sobre los dominios personalizados, consulte Configurar un dominio personalizado.

Limitaciones conocidas

  • El tiempo necesario para habilitar o inhabilitar la funcionalidad de Device Posture después de activar o desactivar el conmutador de Device Posture puede tardar entre unos minutos y una hora.
  • Los cambios en la configuración de la Device Posture no surtirán efecto inmediatamente. Los cambios pueden tardar unos 10 minutos en surtir efecto.
  • Si ha activado la opción de continuidad del servicio en Citrix Workspace y Device Posture Service está inactivo, es posible que los usuarios no puedan iniciar sesión en Workspace. Esto se debe a que Citrix Workspace enumera las aplicaciones y los escritorios en función de la memoria caché local del dispositivo del usuario.
  • Si ha configurado un token y una contraseña de larga duración en Citrix Workspace, el análisis de Device Posture no funciona para esta configuración. Los dispositivos se escanean solo cuando los usuarios inician sesión en Citrix Workspace.
  • Cada plataforma puede tener un máximo de 10 directivas y cada directiva puede tener un máximo de 10 reglas.
  • El acceso basado en roles no es compatible con Device Posture Service.

Calidad del servicio

  • Rendimiento: en condiciones ideales, Device Posture Service agrega 2 segundos adicionales de retraso durante el inicio de sesión. Este retraso puede aumentar en función de las configuraciones adicionales, como las integraciones de terceros, como Microsoft Intune.
  • Resiliencia: Device Posture Service es muy resistente y cuenta con múltiples POP para garantizar que no haya tiempo de inactividad.

Definiciones

Los términos “compatible” y “no conforme” en referencia al Device Posture Service se definen de la siguiente manera.

  • Dispositivos conformes: un dispositivo que cumple con los requisitos de las directivas preconfiguradas y que puede iniciar sesión en la red de la empresa con acceso total o sin restricciones a los recursos de Citrix Secure Private Access o a los recursos de Citrix DaaS.
  • Dispositivos no conformes: un dispositivo que cumple con los requisitos de directiva preconfigurados y que puede iniciar sesión en la red de la empresa con acceso parcial o restringido a los recursos de Citrix Secure Private Access o a los recursos de Citrix DaaS.
Device Posture
June 19, 2024
Contribución de: 
C
June 19, 2024
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.