Citrix DaaS

Accès adaptatif basé sur l’emplacement réseau des utilisateurs

La fonctionnalité d’accès adaptatif de Citrix Workspace utilise une infrastructure de stratégie avancée pour permettre l’accès à Citrix DaaS en fonction de l’emplacement réseau des utilisateurs. L’emplacement est défini à l’aide de la plage d’adresses IP ou des adresses de sous-réseau.

Les administrateurs peuvent définir des stratégies pour énumérer ou non les applications et les bureaux virtuels en fonction de l’emplacement réseau des utilisateurs. Les administrateurs peuvent également contrôler les actions des utilisateurs en activant ou désactivant l’accès au presse-papiers, les imprimantes, le mappage des lecteurs clients, etc., en fonction de l’emplacement réseau des utilisateurs. Par exemple, les administrateurs peuvent définir des stratégies de sorte que les utilisateurs accédant aux ressources depuis leur domicile ont un accès limité aux applications et les utilisateurs accédant aux ressources depuis les succursales disposent d’un accès complet.

Présentation de l'accès adaptatif

Un administrateur peut mettre en œuvre les stratégies suivantes pour l’accès aux applications :

  • Énumérer certaines applications sensibles uniquement à partir du site de l’entreprise ou de ses succursales.
  • Ne pas énumérer les applications sensibles si les employés accèdent à l’espace de travail à partir d’un réseau externe.
  • Désactiver l’accès à une imprimante depuis les succursales.
  • Désactiver l’accès au presse-papiers et à une imprimante lorsque les utilisateurs se trouvent en dehors du réseau d’entreprise.

Droits

La fonctionnalité Accès adaptatif est disponible dans le cadre de la licence hybride universelle multicloud (UHMC) et de la licence de plateforme (CPL). Pour de plus amples informations, consultez https://www.citrix.com/buy/licensing/product.html.

Prérequis

  • Assurez-vous que la fonctionnalité Accès adaptatif est activée (Citrix Workspace > Accès > Accès adaptatif). Pour plus de détails, voir Activer la fonctionnalité Accès adaptatif.

    Lorsque l’accès adaptatif est activé, les stratégies d’accès DaaS sont mises à jour pour utiliser l’option Connexions transitant par Citrix Gateway.

Remarque

NetScaler Gateway est nécessaire pour ajouter des balises d’accès intelligentes dans les stratégies d’accès DaaS. Toutefois, étant donné que DaaS utilise les balises des services Posture de l’appareil, Accès adaptatif et Authentification adaptative, il n’est pas nécessaire de configurer NetScaler Gateway.

Points à noter

Les points suivants ne s’appliquent que si vous souhaitez restreindre l’énumération des applications en fonction de l’emplacement. Si vous prévoyez d’utiliser l’accès adaptatif pour restreindre les contrôles utilisateur tels que la désactivation de l’accès au presse-papiers, la redirection de l’imprimante, le mappage des lecteurs clients, en fonction de l’emplacement réseau, vous pouvez ignorer ces consignes.

  • Si vous prévoyez d’énumérer de manière sélective DaaS en fonction de l’emplacement réseau, la gestion des utilisateurs doit être effectuée à l’aide de stratégies Citrix Studio au lieu de Workspace pour ces groupes de mise à disposition. Lors de la création d’un groupe de mise à disposition, dans Paramètres utilisateur, choisissez Restreindre l’utilisation de ce groupe de mise à disposition aux utilisateurs ou Autoriser les utilisateurs authentifiés à utiliser ce groupe de mise à disposition. Cela vous permet de configurer l’accès adaptatif dans l’onglet Stratégie d’accès sous Groupe de mise à disposition.

Le groupe de mise à disposition

  • Modifications apportées à Direct Workload Connection lorsque l’accès adaptatif est activé.

    • Le champ Balises d’emplacement est visible dans Citrix Cloud > Emplacements réseau > Ajouter un emplacement réseau > Balises d’emplacement.
    • Les stratégies Direct Workload Connection existantes fonctionnent comme prévu.
    • De nouvelles stratégies doivent être créées dans le service Emplacements réseau (sans définir de balises) ainsi que dans le groupe de mise à disposition. De plus, le type de connectivité réseau doit être Interne.
    • Pour les nouvelles stratégies Direct Workload Connection avec des balises, les balises doivent être définies dans le service Emplacement réseau et les mêmes balises doivent également être définies dans le groupe de mise à disposition ou la stratégie d’accès dans DaaS Studio. De plus, le type de connectivité réseau doit être Interne. Les balises d’emplacement ne sont pas pertinentes pour Direct Workload Connection.
  • Il est recommandé de tester votre déploiement Citrix DaaS comme suit.

    • Identifiez un groupe de mise à disposition test ou créez un groupe de mise à disposition pour implémenter cette fonctionnalité.
    • Créez une stratégie ou identifiez une stratégie pouvant être utilisée avec un groupe de mise à disposition test.

Activer la fonctionnalité Accès adaptatif

  1. Connectez-vous à Citrix Cloud.
  2. Sélectionnez Configuration de l’espace de travail dans le menu hamburger.
  3. Le bouton à bascule Accès adaptatif est désactivé par défaut. Activez le bouton Accès adaptatif.
  4. Cliquez sur Oui, activer l’accès adaptatif dans le message de confirmation.

Activer l'accès adaptatif

Message Activer l'accès adaptatif

Lorsque l’accès adaptatif est activé, vous pouvez définir des balises d’emplacement pour l’accès adaptatif (Citrix Cloud > Emplacements réseau > Ajouter un emplacement réseau > Balises d’emplacement).

Accès adaptatif activé

Lorsque l’accès adaptatif est désactivé, vous ne pouvez pas ajouter d’emplacement réseau. Les balises d’emplacement ne sont pas applicables dans ce cas.

Accès adaptatif désactivé

Important :

Lorsque vous essayez de désactiver la fonctionnalité Accès adaptatif, le message suivant apparaît. Notez que Workspace n’envoie pas les balises à DaaS pour l’accès adaptatif lorsque la fonctionnalité est désactivée.

Message de désactivation de l'accès adaptatif

Configurer l’accès adaptatif

Envisagez un scénario dans lequel un administrateur doit appliquer le contrôle d’accès en fonction de l’emplacement réseau des utilisateurs (par exemple, bureau et domicile). L’administrateur doit également appliquer des contrôles intelligents tels que des restrictions de presse-papiers pour les utilisateurs travaillant à domicile. Pour réaliser ce scénario avec un accès adaptatif, l’administrateur doit créer 2 groupes de mise à disposition en fonction du réseau de l’utilisateur :

  • Un groupe de mise à disposition Accès adaptatif pour le réseau BranchOffice avec des applications pertinentes pour les utilisateurs des succursales.
  • Un groupe de mise à disposition WFH pour le réseau WorkFromHome avec des applications pertinentes pour les utilisateurs travaillant à domicile ou à distance.

Une fois les groupes de mise à disposition créés, les étapes générales suivantes interviennent dans la configuration de l’accès adaptatif en fonction des emplacements réseau :

Définir des balises d’emplacement réseau pour un accès basé sur l’emplacement

La première étape consiste à définir des balises pour les utilisateurs en fonction de leur emplacement, le bureau ou le domicile.

  • BRANCHOFFICE : cette balise doit être attribuée aux utilisateurs qui se connectent depuis le réseau du bureau. Ces utilisateurs ont un accès complet à toutes les applications mises à leur disposition.
  • WORKFROMHOME : cette balise doit être attribuée aux utilisateurs travaillant à distance. Ces utilisateurs ont un accès limité aux applications et à certaines fonctionnalités (comme le presse-papiers).

Pour plus d’informations sur les balises, consultez Balises d’emplacement réseau.

Maintenant que les groupes de mise à disposition et les balises respectives ont été créés en fonction de l’emplacement de l’utilisateur, vous pouvez passer à la configuration de la stratégie d’emplacement réseau.

Configurer les stratégies d’emplacement réseau

Définissez les règles de stratégie d’emplacement réseau en fonction de l’emplacement de l’utilisateur en fournissant l’adresse IP source publique et la balise d’emplacement.

  1. Connectez-vous à Citrix Cloud.
  2. Sélectionnez Emplacements réseau dans le menu hamburger. Assurez-vous que le bouton Accès adaptatif est activé. Sinon, l’interface utilisateur de Direct Workload Connection s’affiche.
  3. Cliquez sur Ajouter un emplacement réseau.

    • Nom de l’emplacement : entrez un nom approprié pour la stratégie.

      Exemple : BRANCHOFFICE ou WORKFROMHOME

    • Plage d’adresses IP publiques : définissez la plage d’adresses IP publiques de votre réseau.

      Exemple : 192.0.2.10 - 192.0.2.30

    • Balises d’emplacement : définissez des balises pour votre emplacement. Il peut s’agir d’un nom faisant référence à votre emplacement. Ces balises sont utilisées pour configurer les stratégies d’accès adaptatif dans Citrix Studio. Pour plus de détails, consultez la section Définir des balises dans Citrix Studio.

      Exemple : BRANCHOFFICE ou WORKFROMHOME

    • Type de connectivité : définissez le type de lancement de l’application.

    Interne : contournez la passerelle pour le lancement de l’application. Externe : utilisez le service Citrix Gateway ou une passerelle traditionnelle pour lancer l’application.

  4. Cliquez sur Enregistrer.

Balises NLS

Vous pouvez désormais utiliser ces balises dans DaaS Studio pour activer l’accès adaptatif.

Remarque

  • Si aucune balise d’emplacement réseau n’est attribuée aux groupes de mise à disposition, les utilisateurs bénéficient d’un accès illimité à toutes les applications des groupes de mise à disposition avec accès adaptatif et WFH. Cela peut engendrer des scénarios dans lesquels les utilisateurs accèdent par inadvertance à certaines applications auxquelles ils ne sont pas autorisés à accéder. L’attribution de balises d’emplacement réseau aux groupes de mise à disposition garantit le contrôle des accès basé sur l’emplacement réseau des utilisateurs.
  • Lorsque vous définissez des balises d’emplacement, assurez-vous de ne saisir que le nom de balise préféré sans le préfixe « LOCATION_TAG », par exemple BRANCHOFFICE. En revanche, lorsque vous définissez des balises dans Citrix Studio, vous devez préfixer le nom de la balise par « LOCATION_TAG ». Par exemple, « LOCATION_TAG_BRANCHOFFICE ».

Utiliser les balises définies dans les groupes de mise à disposition pour l’énumération des applications

  1. Connectez-vous à Citrix Cloud.
  2. Dans la vignette Citrix DaaS, cliquez sur Gérer.
  3. Créez un groupe de mise à disposition. Pour de plus amples informations, consultez la section Créer des groupes de mise à disposition.
  4. Sélectionnez le groupe de mise à disposition que vous avez créé et cliquez sur Modifier le groupe de mise à disposition.
  5. Cliquez sur Stratégie d’accès.
  6. Pour les clients qui utilisent l’accès adaptatif dans la plate-forme Citrix Workspace, procédez comme suit pour restreindre l’accès d’un groupe de mise à disposition aux réseaux internes uniquement :

    1. Cliquez avec le bouton droit sur le groupe de mise à disposition et sélectionnez Modifier.
    2. Sélectionnez la stratégie d’accès dans le panneau de gauche.
    3. Cliquez sur l’icône “Modifier” pour modifier la stratégie de connexion par défaut de Citrix Gateway.

      Connexions de passerelle

    4. Sur la page Modifier la stratégie, sélectionnez Connexions répondant aux critères suivants, sélectionnez N’importe quelle connexion, puis ajoutez les critères.

      Critères

      Pour les utilisateurs de WorkFromHome, entrez les valeurs suivantes dans le Delivery Controller correspondant.

      Filtre : espace de travail

      Valeur : LOCATION_TAG_WORKFROMHOME

      Pour les utilisateurs de BranchOffice, entrez les valeurs suivantes dans le Delivery Controller correspondant.

      Filtre : espace de travail

      Valeur : LOCATION_TAG_BRANCHOFFICE

Remarque

  • Dans le champ Valeur, assurez-vous de saisir le nom de balise d’emplacement correct, tel que vous l’avez défini lors de la création des stratégies d’emplacement réseau, préfixé par « LOCATION_TAG ». Par exemple, si vous avez défini la balise d’emplacement « BRANCHOFFICE », vous devez saisir « LOCATION_TAG_BRANCHOFFICE » dans le champ Valeur. Les balises d’emplacement réseau dans les groupes de mise à disposition doivent être saisies en majuscules, quelle que soit la manière dont elles ont été définies dans la stratégie d’emplacement réseau. Pour plus de détails sur la configuration des balises d’emplacement, reportez-vous à la section Configurer les stratégies d’emplacement réseau.
  • Les balises d’emplacement réseau dans les groupes de mise à disposition doivent être saisies en majuscules, quelle que soit la manière dont elles ont été définies dans la stratégie d’emplacement réseau. Pour plus de détails sur la configuration des balises d’emplacement, reportez-vous à la section Configurer les stratégies d’emplacement réseau.

(Facultatif) Appliquer des contrôles intelligents aux applications

En plus de restreindre l’accès à l’aide de balises d’emplacement réseau, les administrateurs peuvent également appliquer des contrôles intelligents aux applications. Dans cet exemple, la redirection du presse-papiers du client est désactivée pour les utilisateurs de l’emplacement WorkFromHome.

  1. Connectez-vous à Citrix DaaS.
  2. Accédez à Stratégies et cliquez sur Créer une stratégie.
  3. Sélectionnez Redirection du Presse-papiers client, puis cliquez sur Interdire.
  4. Dans Commandes CLI équivalentes, passez en revue les commandes et cliquez sur Suivant.

Restreindre l'accès au presse-papiers

  1. Sur la page Attribuer la stratégie à, sélectionnez Contrôle d’accès.
  2. Définissez les valeurs suivantes pour la stratégie :

    • Mode : Autoriser
    • Type de connexion : Avec Citrix Gateway
    • Nom de la batterie Gateway : Workspace
    • Condition d’accès : LOCATION_TAG_WORKFROMHOME (tout en majuscules)

Mode et batterie

  1. Dans Commandes CLI équivalentes, passez en revue les commandes et cliquez sur Suivant.
  2. Entrez le nom de la stratégie et ajoutez une description de la stratégie.
  3. Cliquez sur Terminer.

Les utilisateurs de l’emplacement WORKFROMHOME ne peuvent pas accéder aux ressources qu’ils ont lancées dans le presse-papiers.

Balises d’emplacement réseau

Le service Emplacements réseau fournit les balises suivantes.

  • Balises par défaut : ces balises sont définies sur le service Emplacements réseau. Les balises par défaut suivantes sont disponibles.
    • LOCATION_INTERNAL : balise envoyée par défaut lorsque le type de connectivité réseau est défini sur Interne lors de la définition d’un emplacement réseau.
    • LOCATION_EXTERNAL : balise envoyée par défaut lorsque le type de connectivité réseau est défini sur Externe lors de la définition d’un emplacement réseau.
    • LOCATION_undefined : balise envoyée pour une adresse IP non définie dans la stratégie mais qui passe par le service Emplacements réseau. Les lancements pour ces utilisateurs sont identiques à ceux définis dans le groupe de ressources.
  • Balises personnalisées : les administrateurs peuvent définir des noms de balises personnalisés dans les stratégies. Exemple : domicile, bureau, succursale

Remarque

  • Lorsque vous définissez des balises pour le service Emplacement réseau, assurez-vous de respecter les règles suivantes :

       The default tags always start with the prefix "LOCATION_`<tag name>`.   For example, LOCATION_INTERNAL.
        
       The custom tags always start with the prefix "LOCATION_TAG`<tag name>`.   For example, LOCATION_TAG_OFFICE.
    
  • Lorsque vous définissez des balises dans les groupes de mise à disposition, celles-ci doivent être saisies en majuscules.

       Default tags: LOCATION_INTERNAL, LOCATION_EXTERNAL, LOCATION_UNDEFINED
        
       Custom tags: LOCATION_TAG_OFFICE, LOCATION_TAG_HOME
    

Le tableau suivant récapitule les stratégies et les balises utilisées dans le scénario mentionné précédemment.

Emplacement Stratégie Balise personnalisée Balise par défaut Balise à utiliser dans le groupe de mise à disposition DaaS Balises à utiliser dans la stratégie d’accès intelligent
WFH WFH WORKFROMHOME LOCATION_EXTERNAL LOCATION_WORKFROMHOME et/ou LOCATION_EXTERNAL LOCATION_WORKFROMHOME et/ou LOCATION_EXTERNAL
BranchOffice BranchOffice BRANCHOFFICE LOCATION_EXTERNAL LOCATION_BRANCHOFFICE et/ou LOCATION_EXTERNAL LOCATION_BRANCHOFFICE et/ou LOCATION_EXTERNAL
Autre Aucun nombre défini Aucun nombre défini LOCATION_UNDEFINED LOCATION_UNDEFINED LOCATION_UNDEFINED

Problèmes connus

Si vous désactivez la fonctionnalité Accès adaptatif une fois qu’elle a été activée et que les règles ont été définies (balises et type de connectivité), les emplacements ne sont pas supprimés de la page Emplacements réseau, bien que les balises d’emplacement et les colonnes du type de connectivité soient masquées. Mais ces emplacements sont désactivés dans le back-end. Il s’agit d’un problème esthétique.

Configurer les stratégies d’enregistrement de session en fonction des balises

L’enregistrement de session permet aux organisations d’enregistrer l’activité des utilisateurs à l’écran lors de sessions virtuelles. Vous pouvez spécifier des balises, telles que des balises d’emplacement réseau, lors de la création d’une stratégie d’enregistrement de session personnalisée, d’une stratégie de détection d’événements ou d’une stratégie de réponse aux événements. Pour consulter un exemple, reportez-vous à Créer une stratégie d’enregistrement personnalisée.