Configurar los ajustes globales de la postura del dispositivo

Las siguientes son algunas de las configuraciones globales de postura del dispositivo que puede configurar según sea necesario.

Escaneo periódico de dispositivos

Puede habilitar el escaneo periódico de dispositivos Windows para las comprobaciones configuradas cada 30 minutos. El cliente EPA en el dispositivo final debe estar instalado con derechos administrativos para habilitar el escaneo periódico de los dispositivos. Para habilitar el escaneo periódico, haga lo siguiente:

  1. Vaya a Postura del dispositivo > Escaneos del dispositivo y haga clic en Configuración.
  2. En la sección Escaneos periódicos de la postura del dispositivo , deslice el interruptor a la posición ON para habilitar el escaneo periódico de los dispositivos.

Escaneo periódico

Nota

  • Para las aplicaciones HTTP/HTTPS, si el resultado de un escaneo cambia de Cumple a No cumple o Acceso denegado, los inicios de aplicaciones posteriores se bloquean, pero no hay impacto en las aplicaciones ya iniciadas.
  • Para las aplicaciones TCP/UDP, si el análisis de la postura del dispositivo da como resultado una degradación (por ejemplo, el estado del dispositivo cambia de Cumple a No cumple o Acceso denegado o de No cumple a Acceso denegado), se finalizan todas las sesiones TCP/UDP activas.

Degradación del dispositivo

Mensajes personalizados para escenarios de acceso denegado

Los administradores pueden personalizar el mensaje que se muestra en el dispositivo final cuando se niega el acceso.

Realice los siguientes pasos para agregar mensajes personalizados:

  1. Vaya a la página Postura del dispositivo > Escaneos del dispositivo .
  2. Haga clic en Configuración.
  3. Haga clic en Editar y en el cuadro Mensaje , ingrese el mensaje que debe mostrarse en los escenarios de acceso denegado. Puede introducir un máximo de 256 caracteres.
  4. Haga clic en Habilitar mensaje personalizado al guardar para aplicar la opción de mostrar el mensaje personalizado. Si no selecciona esta casilla de verificación, se crea el mensaje personalizado pero no se muestra en los dispositivos en escenarios de acceso denegado.

    Alternativamente, puede habilitar el interruptor Mensaje personalizado en la página Configuración para mostrar el mensaje en los dispositivos.

  5. Haga clic en Guardar.

La siguiente imagen muestra un mensaje de muestra agregado por el administrador.

Mensaje personalizado1

La siguiente imagen muestra el mensaje personalizado que aparece en el dispositivo del usuario final cuando se niega el acceso.

Mensaje personalizado2

El mensaje que ha ingresado aparece siempre que se deniega el acceso al dispositivo final.

Omitir los controles de postura del dispositivo

Los administradores pueden permitir que los usuarios finales omitan las comprobaciones de la postura del dispositivo en sus dispositivos en los siguientes escenarios:

  • El agente de postura del dispositivo no está instalado en el dispositivo.
  • El cliente EPA instalado en el dispositivo no es la última versión.

Cuando la función de verificación de omisión está habilitada, se aplica el resultado de política predeterminado (no compatible) y el dispositivo se clasifica como no compatible. A los usuarios finales se les proporciona acceso parcial o restringido a los recursos de Citrix Secure Private Access o Citrix DaaS.

Habilitar la omisión de las comprobaciones de postura del dispositivo

  1. Vaya a Postura del dispositivo > Escaneos del dispositivo.
  2. Haga clic en Configuración.
  3. En la sección Omitir verificación de postura del dispositivo , deslice el interruptor a la posición ON para habilitar la omisión de las verificaciones de postura del dispositivo.

    Cuando la opción Omitir verificación de postura del dispositivo está habilitada y el usuario final inicia sesión en Citrix Workspace, aparece el siguiente mensaje cuando el usuario final intenta descargar el cliente o actualizar la versión de EPA.

    Alternativamente, puede continuar en Citrix Workspace con acceso restringido.

Omitir mensaje de verificación

Compatibilidad con URL de espacios de trabajo personalizados

Las URL de espacios de trabajo personalizados son compatibles con el servicio de postura del dispositivo. Puede utilizar una URL de su propiedad además de su URL de cloud.com para acceder al espacio de trabajo. Asegúrese de permitir el acceso a citrix.com desde su red. Para obtener detalles sobre los dominios personalizados, consulte Configurar un dominio personalizado.

Configuración de grabación de sesión con postura del dispositivo

La grabación de sesiones permite a las organizaciones registrar la actividad de los usuarios en pantalla en las sesiones virtuales. Puede especificar etiquetas al crear una política de grabación de sesión personalizada, una política de detección de eventos o una política de respuesta a eventos. Para ver un ejemplo, consulte Crear una directiva de grabación personalizada.

Comprobación del certificado del dispositivo

Para configurar las comprobaciones de certificados del dispositivo con el servicio Device Posture, los administradores deben importar un certificado de emisor desde su dispositivo. Una vez que un certificado de emisor válido esté presente en el servicio de postura del dispositivo, los administradores pueden usar verificaciones de certificados del dispositivo como parte de las políticas de postura del dispositivo.

Puntos que tener en cuenta:

  • El servicio de postura del dispositivo solo admite el tipo de certificado de emisor PEM.
  • Para comprobar el certificado del dispositivo en Windows, el cliente EPA en el dispositivo final debe estar instalado con derechos administrativos. Para otras comprobaciones no se necesitan derechos administrativos locales. Para obtener detalles sobre los escaneos compatibles, consulte Escaneos compatibles según la postura del dispositivo.
  • Para instalar el cliente EPA con derechos administrativos en Windows, ejecute el siguiente comando en la ubicación donde se descargó el complemento del cliente EPA.

    msiexec /i epasetup.msi

  • La verificación del certificado del dispositivo con el servicio Device Posture no admite la verificación de revocación del certificado.
  • Si un certificado de dispositivo está firmado por un certificado intermedio, deberá cargar la cadena completa que contiene los certificados raíz e intermedios en un solo archivo PEM.

        Example: chain.pem
        
        -----BEGIN CERTIFICATE-----
        ******************************
        -----END CERTIFICATE-----
        -----BEGIN CERTIFICATE-----
        ******************************
        -----END CERTIFICATE
    

Subir certificado del dispositivo

  1. Haga clic en Configuración en la página de inicio de Postura del dispositivo.
  2. Haga clic en Administrary, a continuación, haga clic en Importar certificado de emisión.
  3. En Tipo de certificado, seleccione el tipo de certificado. Sólo se admite el tipo PEM.
  4. En Archivo de certificado, haga clic en Elegir certificado para seleccionar el certificado del emisor.
  5. Haga clic en Abriry, a continuación, haga clic en Importar.

Importar certificado de dispositivo

El certificado seleccionado aparece en Configuración > Certificados del emisor. Puede importar varios certificados.

Ver certificados importados

  1. Haga clic en Configuración en la página de inicio de Postura del dispositivo.
  2. En Certificados del emisor, haga clic en Administrar.
  3. La página Certificados del emisor enumera los certificados del emisor importados.

Certificado importado

Instalar el certificado del dispositivo en el dispositivo final

Windows:

  1. Desde el menú Inicio , abra Administrador de certificados de computadora.
  2. Asegúrese de que el certificado esté instalado en Certificados - Equipo local\Personal\Certificados.

    • Los Propósitos previstos deben incluir Autenticación del cliente.
    • La columna Emitido por debe coincidir con el nombre del emisor configurado en la GUI de administración.

Instalar certificado

macOS:

  1. Abra Acceso a Llaveros y luego seleccione Sistema.
  2. Haga clic en Archivo > Importar elementos para importar el certificado.

    El campo Emitido por debe mostrar el nombre del emisor del certificado.

Instalar certificado macOS