Guía de PoC: Acceso seguro a Office 365 con Citrix Secure Private Access

Overview

A medida que los usuarios acceden al contenido confidencial de Microsoft 365 (Office 365), las organizaciones deben poder simplificar las operaciones de inicio de sesión de los usuarios y, al mismo tiempo, aplicar los estándares de autenticación. Las organizaciones deben poder proteger Microsoft 365 aunque exista más allá de los límites del centro de datos. Citrix Workspace proporciona a las organizaciones controles de seguridad mejorados para Microsoft 365.

En este caso, un usuario se autentica en Citrix Workspace mediante Active Directory como directorio de usuario principal.

Active Directory y Azure SSO

Si Citrix Secure Private Access Service está asignado a la suscripción de Citrix, se aplican directivas de seguridad mejoradas, que van desde la aplicación de marcas de agua basadas en la pantalla hasta la restricción de las acciones de impresión y descarga, las restricciones de captura de pantalla, la ofuscación del teclado y la protección de los usuarios de enlaces poco confiables, sobre las aplicaciones de Microsoft 365.

La siguiente animación muestra a un usuario que accede a Microsoft 365 con SSO y protegido con Citrix Secure Private Access.

Demostración de Azure SSO

Esta demostración muestra un flujo de inicio de sesión inicio de sesión iniciado por el IDP en el que el usuario inicia la aplicación desde Citrix Workspace. Esta guía de PoC también admite un flujo de SSO iniciado por el SP en el que el usuario intenta acceder a la aplicación SaaS directamente desde su navegador preferido.

Esta guía de prueba de concepto demuestra cómo:

  1. Configuración de Citrix Workspace
  2. Integrar un directorio de usuario principal
  3. Incorporar inicio de sesión único para aplicaciones SaaS
  4. Definir directivas de filtrado de sitios web
  5. Validar la configuración

Configuración de Citrix Workspace

Los pasos iniciales para configurar el entorno son preparar Citrix Workspace para la organización, que incluye

  1. Configuración de la URL del espacio de trabajo
  2. Habilitación de los servicios apropiados

Establecer dirección URL de espacio

  1. Conéctese a Citrix Cloud e inicie sesión como su cuenta de administrador
  2. En Citrix Workspace, acceda a Configuración de Workspace desde el menú superior izquierdo
  3. En la ficha Acceso, introduzca una URL única para la organización y seleccione Habilitado

URL del espacio de trabajo

Habilitar servicios

Desde la ficha Integración de servicios, habilite los siguientes servicios para permitir el acceso seguro a las aplicaciones SaaS.

  1. Secure Private Access
  2. Aislamiento remoto del explorador

Servicios de Workspace

Verificar

Citrix Workspace tarda unos minutos en actualizar los servicios y la configuración de URL. Desde un explorador web, compruebe que la URL personalizada del espacio de trabajo esté activa. Sin embargo, el inicio de sesión estará disponible una vez que se defina y configure un directorio de usuario principal.

Integración de un directorio de usuario principal

Para que los usuarios puedan autenticarse en Workspace, se debe configurar un directorio de usuarios principal. El directorio de usuarios principal es la única identidad que necesita el usuario, ya que todas las solicitudes de aplicaciones de Workspace utilizan el inicio de sesión único en identidades secundarias.

Una organización puede usar cualquiera de los siguientes directorios de usuario primarios con Microsoft 365:

  • Active Directory: para habilitar la autenticación de Active Directory, se debe implementar un conector de nube en el mismo centro de datos que un controlador de dominio de Active Directory siguiendo la guía de instalación de Cloud Connector.
  • Active Directory con contraseña de un solo uso basada en tiempo: la autenticación basada en Active Directory también puede incluir autenticación multifactor con una contraseña de un solo uso basada en tiempo (TOTP). Esta guía detalla los pasos necesarios para habilitar esta opción de autenticación.
  • Azure Active Directory: los usuarios pueden autenticarse en Citrix Workspace con una identidad de Azure Active Directory. Esta guía detalla los pasos necesarios para habilitar esta opción de autenticación.

    Nota

    Si utiliza AAD como directorio de autenticación principal, no puede federar el dominio principal (dominio de inicio de sesión del usuario) porque esto crea un bucle. En esos casos, debe federar un dominio nuevo.

    Las cuentas de usuario de AAD deben tener el atributo immutableIDestablecido; de lo contrario, la autenticación falla y aparece el mensaje de error: AADSTS51004
    Las cuentas sincronizadas de Azure AD Connect obtienen este conjunto de atributos automáticamente.

  • Citrix Gateway: las organizaciones pueden usar un Citrix Gateway local para actuar como proveedor de identidades para Citrix Workspace. Esta guía proporciona detalles sobre la integración.
  • Okta: Las organizaciones pueden usar Okta como directorio de usuarios principal de Citrix Workspace. En esta guía se proporcionan instrucciones para configurar esta opción.

Federar la autenticación de Azure en Citrix Workspace

Para federar correctamente Microsoft 365 con Citrix Workspace, el administrador debe hacer lo siguiente:

  • Configurar una aplicación SaaS
  • Autorizar una aplicación SaaS
  • Verificar dominio de autenticación
  • Configurar federación de dominios

Configurar una aplicación SaaS

Con el dominio verificado en Azure, se puede configurar una aplicación SaaS de Microsoft 365 en Citrix Workspace.

  • En Citrix Cloud, seleccione Administrar en el mosaico de Secure Private Access.

Configurar la aplicación SaaS 01

  • En el menú Acceso privado seguro, selecciona Aplicaciones
  • En la sección Aplicación, seleccione Agregar una aplicación

Aplicaciones: Plantilla

  • En el asistente para elegir una plantilla, selecciona Office365

Configurar la aplicación SaaS 02

  • Haga clic en Siguiente.

Aplicaciones: Detalles de la aplicación

  • En la sección Detalles de la aplicación, cambie el nombre, el icono y la descripción según sea necesario sin cambiar las entradas restantes.

Configurar la aplicación SaaS 03

*Nota: También puede redirigir el tráfico a través del Connector Appliance implementado en su centro de datos. Por lo tanto, debe cambiar de “Fuera de mi red corporativa” a “Dentro de mi red corporativa”.*

  • Seleccionar Siguiente

Aplicaciones: Single Sign-On

  • En la ventana Single Sign-On, compruebe el formato del identificador del nombre = persistente y el ID del nombre = GUID de Active Directory (1)
  • En Atributos avanzados, compruebe el nombre del atributo = IDPEmail, el formato del atributo = Sin especificar y el valor del atributo = correo electrónico (2)

Nota

La segunda opción de atributo avanzado se agrega automáticamente para suprimir la solicitud de autenticación de MFA cuando el usuario ya ha introducido la MFA durante la autenticación de usuario en Citrix Workspace.

Nombre de atributo: http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
Formato de atributo: Unspecified
Valor de atributo: Custom value
Valor personalizado: http://schemas.microsoft.com/claims/multipleauthn

Para que Azure AD acepte esta afirmación, debemos agregar un parámetro -SupportsMfa $true al configurar la federación de dominios.

Hay dos opciones para continuar: Configuración manual o automática de la federación de dominios.
Si quiere utilizar el proceso automatizado (script de PowerShell), vaya a la sección Configuración automatizada de la federación de dominios.

Configuración manual de la federación de dominios
  • Seleccione Descargar para capturar el certificado basado en CRT. (3)
  • Junto a la URL de iniciode sesión, seleccione el botón Copiar para capturar la URL de inicio de sesión. Esta URL se utilizará más adelante. (4)
  • Seleccione el enlace de metadatos SAML (5)

Configurar la aplicación SaaS 05

  • En el archivo de metadatos SAML, busque EntityID. Copia la URL completa y guárdala para usarla más adelante. Una vez capturado, el archivo de metadatos SAML se puede cerrar.

Configurar la aplicación SaaS 06

Configuración de federación de dominios automatizada
  • Seleccione Iniciar sesión en Azure AD, se abre una nueva ficha y se le dirigirá al portal de Azure AD para la autenticación. (3)
  • Especifique una cuenta de usuario que tenga asignados los permisos de “Administrador global”.
  • Deberías ver el siguiente mensaje si el inicio de sesión se realizó correctamente

Configurar la aplicación SaaS 08

  • Laopción Seleccionar MFA de usuario final está habilitada de forma predeterminada.
  • Haga clic en Haga clic aquí para recuperar los dominios de Azure AD y ver la lista de todos los dominios. (4)
  • Seleccione el dominio que quiere federar en la lista desplegable. (5)
  • Haga clic en Federar dominio. (6)

Configurar la aplicación SaaS 09

Nota

  • Al hacer clic en Federar dominio, los scripts de PowerShell se ejecutan en el back-end y el dominio está federado.
  • Si es necesario, descargue los scripts de PowerShell desde la interfaz. En el script de PowerShell de federación de dominios, introduzca el dominio de Azure AD (7) y haga clic en Descargar (8).
  • Seleccionar Siguiente

Aplicaciones: Conectividad de aplicaciones

  • En la ventana Conectividad de aplicaciones, verifique cómo debe redirigirse el tráfico (en este caso, directamente del cliente a la aplicación SaaS).

Configurar la aplicación SaaS 07

  • Seleccionar Siguiente
  • Seleccione Finalizar para completar la configuración de las aplicaciones SaaS de Microsoft Office 365.

Autorizar la aplicación SaaS y configura una seguridad mejorada

  • En el menú Acceso privado seguro, seleccione Políticas de acceso
  • En la sección Directiva de acceso, seleccione Crear directiva.

Autorizar la aplicación SaaS 01

  • Introduzca el nombre de la directiva y una breve descripción de la directiva.
  • En la lista desplegable Aplicaciones, busque “Humanidad” y selecciónela.

Nota

Puede crear varias reglas de acceso y configurar diferentes condiciones de acceso para diferentes usuarios o grupos de usuarios dentro de una única directiva. Estas reglas se pueden aplicar por separado para las aplicaciones HTTP/HTTPS y TCP/UDP, todo ello dentro de una única directiva. Para obtener más información sobre las reglas de acceso múltiple, consulte Configurar una directiva de acceso con varias reglas.

  • Haga clic en Crear regla para crear reglas para la directiva.

Autorizar la aplicación SaaS 02

  • Introduzca el nombre de la regla y una breve descripción de la regla y haga clic en Siguiente.

Autorizar la aplicación SaaS 03

  • Agregue los usuarios/grupos apropiados que estén autorizados a iniciar la aplicación y haga clic en Siguiente.

Nota

Haga clic en + para añadir varias condiciones en función del contexto.

Autorizar la aplicación SaaS 04

  • Especifique si se puede acceder a la aplicación HTTP/HTTPS con o sin restricciones.
    La captura de pantalla anterior no tiene ninguna restricción configurada.
    Si se necesita una seguridad mejorada, cambie “Permitir acceso” por “Permitir acceso con restricciones”.
  • Especifique la acción de las aplicaciones TCP/UDP.
    La captura de pantalla anterior niega el acceso a las aplicaciones TCP/UDP.
  • Haga clic en Siguiente.

Autorizar la aplicación SaaS 05

  • La página Resumen muestra los detalles de la regla de directiva.
    Compruebe los detalles y haga clic en Finalizar .

Autorizar la aplicación SaaS 06

  • En el cuadro de diálogo Crear directiva, compruebe que esté marcada la casilla Habilitar directiva al guardar y haga clic en Guardar.

*Nota: Para las pruebas iniciales de SSO, siempre es una buena idea configurar la seguridad mejorada con la opción “Abrir en un explorador web remoto” configurada.*

Verificar dominio de autenticación

Azure debe verificar el nombre de dominio completo para federar la autenticación en Citrix Workspace. En Azure Portal, haga lo siguiente:

  • Acceder a Azure Active Directory
  • Seleccionar nombres de dominio personalizados en la ventana de navegación
  • Seleccione Agregar dominio personalizado
  • Introduzca el nombre de dominio completo

Verificación de dominio 01

  • Seleccione Agregar dominio
  • Azure proporciona registros para incorporarlos al registrador de nombres de dominio. Una vez hecho esto, selecciona Verificar.

Verificación de dominio 02

  • Una vez completado, el dominio contiene una marca verificada

Verificación de dominio 03

Configurar federación de dominios

Nota

Puede omitir esta sección si se utilizó la configuración de federación de dominios automatizada.
Diríjase a la sección Validar.

La configuración final consiste en que Azure use Citrix Workspace como autoridad federada para el dominio verificado. La configuración de la federación debe realizarse con PowerShell.

  • Iniciar PowerShell
  • Agregue los módulos apropiados con los siguientes comandos
Install-Module AzureAD -Force
Import-Module AzureAD -Force
Install-Module MSOnline -Force
Import-module MSOnline -Force
<!--NeedCopy-->
  • Conéctese a Microsoft Online a través de PowerShell y autentíquese con una cuenta en la nube de Microsoft (por ejemplo,admin.user@onmicrosoft.com)
Connect-MSOLService
<!--NeedCopy-->
  • Verifique que el dominio esté actualmente configurado como Administrado en Azure ejecutando el siguiente comando de PowerShell
Get-MsolDomain
<!--NeedCopy-->

Federación de dominios 01

  • Utilice el siguiente código en un script de PowerShell para convertir este dominio Federado cambiando las variables para que se alineen con su entorno
 $dom = "workspaces.wwco.net" # The fully qualified domain name verified within Azure
 $fedBrandName = "CitrixWorkspaceSAMLIdP" # A name to help remember the configuration purpose
 $uri = "https://app.netscalergateway.net/ngs/[entityID]/saml/login?APPID=[APPID]" # The Login URL from the Office365 app configuration
 $logoffuri = "https://app.netscalergateway.net/cgi/logout" # Standard entry for all. Do not change
 $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("<location of certificate downloaded from Citrix Secure Private Access service/filename.crt>") # Path to the downloaded certificate file from Office 365 app configuration (e.g., C:\temp\filename.crt)
 $certData = [system.convert]::tobase64string($cert.rawdata)
 $IssuerUri = "https://citrix.com/[entityID]" # The entityID taken from the Office365 app configuration SAML Metadata file

 Set-MsolDomainAuthentication `
     -DomainName $dom `
     –federationBrandName $fedBrandName `
     -Authentication Federated `
     -PassiveLogOnUri $uri `
     -LogOffUri $logoffuri `
     -SigningCertificate $certData `
     -IssuerUri $IssuerUri `
     -PreferredAuthenticationProtocol SAMLP

To suppress an MFA authentication request when the user has already entered the MFA during user authentication to Citrix Workspace, use the following command:

 Set-MsolDomainAuthentication `
     -DomainName $dom `
     –federationBrandName $fedBrandName `
     -Authentication Federated `
     -PassiveLogOnUri $uri `
     -LogOffUri $logoffuri `
     -SigningCertificate $certData `
     -IssuerUri $IssuerUri `
     -PreferredAuthenticationProtocol SAMLP `
     -SupportsMfa $true
<!--NeedCopy-->
  • Verifique que el dominio esté actualmente configurado como Federado en Azure ejecutando el siguiente comando de PowerShell
Get-MsolDomain
<!--NeedCopy-->

Federación de dominios 02

  • Compruebe la configuración de federación en Azure ejecutando el siguiente comando de PowerShell
Get-MsolDomainFederationSettings -DomainName $dom
<!--NeedCopy-->

Federación de dominios 03

Nota

Si es necesario eliminar la configuración de la federación, ejecute el siguiente comando de PowerShell:
Set-MsolDomainAuthentication -DomainName $dom -Authentication Managed

Validar

Validación iniciada por IDP

  • Inicie sesión en Citrix Workspace como usuario
  • Seleccione la aplicación Office 365
  • Observe la URL para verla redirigirse brevemente a través de Azure
  • El portal de Office 365 se inicia correctamente

Validación iniciada por SP

  • Iniciar un explorador
  • Vaya a la URL definida por la empresa para la aplicación SaaS
  • El explorador web redirige a Azure Active Directory y, a continuación, a Citrix Workspace para la autenticación.
  • Una vez que el usuario se autentica con el directorio de usuario principal, la aplicación SaaS se inicia con Citrix proporcionando inicio de sesión único

Definir sitios web no autorizados

Los sitios web no autorizados son las aplicaciones que no están configuradas en la configuración de Secure Private Access, pero a las que se puede acceder desde Citrix Enterprise Browser. Puede configurar reglas para estos sitios web no autorizados. Por ejemplo, un enlace dentro de una aplicación SaaS puede apuntar a un sitio web malicioso. Con estas reglas, un administrador puede tomar una URL específica de un sitio web o una categoría de sitio web y permitir el acceso, bloquear el acceso o redirigir la solicitud a una instancia de explorador web alojada y segura, lo que ayuda a prevenir los ataques por explorador web.

  • Desde Citrix Cloud, administre dentro del mosaico Secure Private Access

Citrix Secure Private Access 1

  • Si se siguió esta guía, los pasos Configurar la autenticación de usuario final y Configurar el acceso del usuario final a SaaS, aplicaciones web y virtuales están completos.
  • En el menú Acceso privado seguro, selecciona Configuración
  • Cambia a la ficha Sitios web no autorizados
  • Seleccione Modificar
  • Habilite la opción Filtrar listas de sitios web.

Citrix Secure Private Access 2

  • Haga clic en Agregar en la sección correspondiente para bloquear sitios web, permitir sitios web o redirigir al usuario a un navegador seguro (aislamiento remoto del navegador)
  • Por ejemplo, para bloquear sitios web en la sección de categorías bloqueadas, haz clic en Agregar
  • Introduzca un sitio web al que los usuarios no puedan acceder y haga clic en Agregar
  • Haga clic en Guardar para que los cambios surtan efecto

Validar la configuración

Validación iniciada por IDP

  • Inicie sesión en Citrix Workspace como usuario
  • Selecciona Office 365.
    Si la seguridad mejorada está inhabilitada, la aplicación se inicia en el explorador web local. De lo contrario, se utiliza el navegador empresarial.
  • El usuario inicia sesión automáticamente en la aplicación
  • Se aplican las directivas de seguridad mejoradas adecuadas
  • Si está configurado, seleccione una URL dentro de la aplicación SaaS que se encuentre en las categorías bloqueadas, permitidas y redirigidas
  • Si está configurado, seleccione una URL dentro de la aplicación SaaS que esté en las URL bloqueadas, permitidas y redirigidas
  • La aplicación SaaS se inicia con éxito

Validación iniciada por SP

  • Iniciar un explorador
  • Vaya al sitio web de Office 365 y seleccione Iniciar sesión
  • Introduzca el nombre de usuario.
  • El explorador redirige el explorador a Citrix Workspace para la autenticación
  • Una vez que el usuario se autentica en el directorio de usuarios principal, Office 365 se inicia en el explorador local si la seguridad mejorada está deshabilitada.
    Si la seguridad mejorada está habilitada, una instancia de Secure Browser lanza Office 365.

Dominios relacionados con Microsoft 365

Hay un campo de dominio relacionado disponible al crear una aplicación en el servicio Citrix Secure Private. Las políticas de seguridad mejoradas utilizan estos dominios relacionados para determinar cuándo aplicar la política.

La siguiente lista muestra los dominios actuales asociados a las aplicaciones de Microsoft 365.

*Nota: Estos dominios pueden cambiar en cualquier momento*

  • *.office.com
  • *.office365.com
  • *.sharepoint.com
  • *.live.com
  • *.onenote.com
  • *.microsoft.com
  • *.powerbi.com
  • *.dynamics.com
  • *.microsoftstream.com
  • *.powerapps.com
  • *.yammer.com
  • *.windowsazure.com
  • *.msauth.net
  • *.msauthimages.net
  • *.msocdn.com
  • *.microsoftonline.com
  • *.windows.net
  • *.microsoftonline-p.com
  • *.akamaihd.net
  • *.sharepointonline.com
  • *.officescriptsservice.com
  • *.live.net
  • *.office.net
  • *.msftauth.net

Aplicaciones de Microsoft 365

Supongamos que es preferible lanzar una aplicación específica de Microsoft 365 (Word, PowerPoint o Excel) en lugar del portal de Microsoft 365. En ese caso, el administrador debe crear una instancia de aplicación independiente dentro del servicio Citrix Secure Private Access para cada aplicación. Cada aplicación tiene una URL única, que debe incluir el valor correcto para el dominio federado configurado en esta guía. La entrada de dominio federado informa a Azure para redirigir a la configuración correcta del dominio federado.

*Nota: El flujo iniciado por IDP no respeta el estado de retransmisión. Usa el flujo iniciado por el SP para llegar directamente a la aplicación.*

  • Palabra: https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2Fwww.office.com%2Flaunch%2FWord%3Fauth%3D2&whr=Dominio federado
  • PowerPoint: https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2Fwww.office.com%2Flaunch%2Fpowerpoint%3Fauth%3D2&whr=Dominio federado
  • Excel: https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2Fwww.office.com%2Flaunch%2FExcel%3Fauth%3D2&whr=Dominio federado
  • CRM/Dynamics Online: https://<tenant>.crm.dynamics.com/?whr=Dominio federado
  • OneDrive para empresas: https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2F<tenant>-my.sharepoint.com%2F&whr=Dominio federado
  • Calendario de Outlook: https://outlook.office.com/owa/?realm=Dominio federado&path=/calendar/view/Month
  • Outlook Web Access a Exchange Online: https://outlook.com/owa/Dominio federado
  • SharePoint Online: https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2F<tenant>.sharepoint.com%2F&whr=Dominio federado
  • Microsoft Teams: https://login.microsoftonline.com/common/oauth2/authorize?client_id=cc15fd57-2c6c-4117-a88c-83b1d56b4bbe&response_mode=form_post&response_type=code+id_token&scope=openid+profile&redirect_uri=https%3a%2f%2fteams.microsoft.com%2f&domain_hint=dominio federado

Manténgase conectado

En la configuración predeterminada, Azure Active Directory muestra un cuadro de diálogo durante el proceso de inicio de sesión que permite a los usuarios seguir iniciando sesión.

Inicio de sesión persistente 01

Esta es una configuración de Azure que se puede cambiar fácilmente haciendo lo siguiente:

  • En Azure, seleccione Azure Active Directory
  • Seleccionar marca de empresa
  • Seleccione la configuración regional habilitada
  • En el panel Modificar marca de empresa, seleccione No en la opción Mostrar para seguir iniciando sesión.

Inicio de sesión persistente 01

  • Seleccione Guardar

Solución de problemas

La cuenta de usuario no existe en el directorio

Al intentar iniciar Microsoft 365, es posible que el usuario reciba el siguiente error:
AADSTS51004: The user account "account name" does not exist in the "GUID" directory. To sign into this application, the account must be added to the directory.

Solución de problemas de cuentas de usuario 01

Las siguientes son sugerencias sobre cómo resolver este problema:

  • Compruebe que el usuario tenga licencia para usar Microsoft 365 en la consola de administración de Microsoft 365.
  • Compruebe que la dirección de correo electrónico identificada en el error coincida con el directorio de usuarios principal, Azure Active Directory y Microsoft 365.
  • Compruebe que el atributo immutableId esté establecido en el objeto de usuario.
    (Este no es el caso en entornos de AAD puros)
    immutableId se puede calcular y configurar fácilmente mediante los siguientes comandos de PowerShell:

     $userUPN="john.doh@company.com"  #change the userPricipalName before executing
     Install-Module AzureAD -Force
     Import-Module AzureAD -Force
     Install-Module MSOnline -Force
     Import-module MSOnline -Force
     Connect-MsolService
     $userObjectID=(Get-MsolUser -UserPrincipalName $userUPN).objectId
     $userImmutableId=[System.Convert]::ToBase64String([System.Guid]::New($userObjectID).ToByteArray())
     Set-MsolUser -UserPrincipalName $userUPN -ImmutableId $userImmutableId
     <!--NeedCopy-->
    

Objeto Dominio de Federación

Durante la validación, un usuario puede recibir el siguiente error:
AADSTS50107: The requested federation realm object 'https://<ADFShostname>/adfs/services/trust' does not exist.

Solución de problemas del reino de federación 01

Esto suele deberse a que el dominio no se verifica o se ha federado correctamente. Revise las siguientes secciones de la guía de PoC:

Falla de directivas de seguridad mejoradas

Los usuarios pueden experimentar un error en la directiva de seguridad mejorada (marca de agua, impresión o acceso al portapapeles). Normalmente, esto sucede porque la aplicación SaaS utiliza varios nombres de dominio. Dentro de los ajustes de configuración de la aplicación SaaS, había una entrada para Dominios Relacionados.

Configurar la aplicación SaaS 02

Las directivas de seguridad mejoradas se aplican a los dominios relacionados. La sección Dominios relacionados con Microsoft 365 de esta guía de PoC contiene el conjunto inicial de dominios relacionados, que Microsoft puede cambiar en cualquier momento.

Aún es necesario agregar un dominio relacionado si las directivas de seguridad mejoradas no funcionan en determinadas secciones de la aplicación. Para identificar nombres de dominio que faltan, un administrador puede acceder a la aplicación SaaS con un explorador local y hacer lo siguiente:

  • Vaya a la sección de la aplicación en la que fallan las directivas
  • En Google Chrome y Microsoft Edge (versión Chromium), selecciona los tres puntos en la parte superior derecha del explorador para mostrar una pantalla de menú.
  • Seleccione Más herramientas.
  • Seleccionar herramientas de desarrollador
  • Dentro de las herramientas de desarrollador, seleccione Fuentes. Proporciona una lista de nombres de dominio de acceso para esa sección de la aplicación. Para habilitar las directivas de seguridad mejoradas para esta parte de la aplicación, esos nombres de dominio deben introducirse en el campo dominios relacionados dentro de la configuración de la aplicación. Los dominios relacionados se agregan como los siguientes *.domain.com

Solución de problemas de seguridad mejorada 01

Guía de PoC: Acceso seguro a Office 365 con Citrix Secure Private Access