Citrix DaaS

Accès adaptatif basé sur l’emplacement réseau de l’utilisateur - Aperçu

La fonctionnalité d’accès adaptatif de la plate-forme Citrix Workspace utilise une infrastructure de stratégie avancée pour permettre l’accès à Citrix DaaS (anciennement appelé Citrix Virtual Apps and Desktops Service) en fonction de l’emplacement réseau de l’utilisateur. L’emplacement est défini à l’aide de la plage d’adresses IP ou des adresses de sous-réseau.

Les administrateurs peuvent définir des stratégies pour énumérer ou non les applications et les bureaux virtuels en fonction de l’emplacement réseau de l’utilisateur. Les administrateurs peuvent également contrôler les actions utilisateur qui peuvent être effectuées sur Citrix DaaS en activant ou désactivant l’accès au presse-papiers, les imprimantes, le mappage des lecteurs clients, etc., en fonction des emplacements réseau de l’utilisateur. Par exemple, un administrateur peut mettre en œuvre les stratégies suivantes pour l’accès aux applications :

  • Énumérer certaines applications sensibles uniquement à partir du site de l’entreprise ou de ses succursales.
  • Ne pas énumérer les applications sensibles si les employés accèdent à l’espace de travail à partir d’un réseau externe.
  • Désactiver l’accès à une imprimante depuis les succursales.
  • Désactiver l’accès au presse-papiers et à une imprimante lorsque les utilisateurs se trouvent en dehors du réseau d’entreprise.

Conditions préalables

  • Accès au déploiement Citrix DaaS via la plate-forme Citrix Workspace.

  • S’inscrire à l’aperçu de l’accès adaptatif en utilisant https://podio.com/webforms/25412100/1884833.

    Remarque : Cette inscription n’est nécessaire que pendant l’aperçu.

Recommandations

Sur votre déploiement Citrix DaaS :

  • Identifiez un groupe de mise à disposition test ou créez un groupe de mise à disposition pour implémenter cette fonctionnalité.
  • Créez une stratégie ou identifiez une stratégie pouvant être utilisée avec un groupe de mise à disposition test.

Points à noter

  • Si vous sélectionnez l’option Laissez Citrix Cloud se charger de la gestion des utilisateurs, vous ne pouvez pas appliquer de stratégies Smart Access (par exemple, l’accès adaptatif à Citrix DaaS en fonction de l’emplacement réseau). Cela est dû au fait que les groupes de mise à disposition deviennent des offres de bibliothèque et ne sont donc plus gérés par Web Studio.
  • Si vous prévoyez d’énumérer de manière sélective DaaS en fonction de l’emplacement réseau, la gestion des utilisateurs doit être effectuée à l’aide de stratégies Citrix Studio au lieu de Workspace pour ces groupes de mise à disposition. Lors de la création d’un groupe de mise à disposition, dans Paramètres utilisateur, choisissez Restreindre l’utilisation de ce groupe de mise à disposition aux utilisateurs suivants ou Autoriser les utilisateurs authentifiés à utiliser ce groupe de mise à disposition. Cela active l’onglet Stratégie d’accès sous Groupe de mise à disposition pour configurer l’accès adaptatif.

Remarque : Ce paramètre n’est pas nécessaire si vous prévoyez d’utiliser l’accès adaptatif pour restreindre les contrôles utilisateur tels que la désactivation de l’accès au presse-papiers, la redirection d’imprimante, le mappage de lecteur client, en fonction de l’emplacement réseau.

Créer un groupe de mise à disposition

Comment configurer

Vous devez suivre les étapes principales suivantes.

  1. Définir les stratégies d’accès adaptatif que vous souhaitez mettre en œuvre en fonction des emplacements des utilisateurs.
  2. Configurer les emplacements réseau de votre entreprise et de vos succursales à partir desquels vous prévoyez de mettre en œuvre un accès adaptatif.
  3. Utiliser les emplacements réseau définis pour configurer des stratégies d’accès adaptatif pour les applications et bureaux virtuels dans Citrix Studio.

Définir les stratégies d’accès adaptatif que vous souhaitez mettre en œuvre

Prenons l’exemple suivant :

Emplacement Contrôles d’accès ou d’utilisateur
Interne Énumérer toutes les applications
Succursale Énumérer toutes les applications
Externe Ne pas énumérer quelques applications sensibles et désactiver l’accès à une imprimante et au presse-papiers pour toutes les applications

Configurer les emplacements réseau

Vous pouvez configurer les emplacements réseau à l’aide du service Emplacements réseau de Citrix Cloud https://citrix.cloud.com/networksites. Vous pouvez créer les sites et définir s’ils doivent être traités comme des sites internes ou externes en fonction de la connectivité réseau. Vous pouvez ensuite attacher des balises aux sites. Une fois les sites créés, chaque adresse IP du client doit être associée à un ensemble de balises.

Configurer les emplacements réseau

Remarque :

  • Il est recommandé de définir les emplacements réseau à partir desquels les utilisateurs disposent d’un accès privilégié plutôt que de définir des réseaux externes. Utilisez les emplacements réseau pour définir vos réseaux internes, vos succursales, etc. pour donner un accès préférentiel à partir de ces emplacements.
  • Définissez des balises pour chaque emplacement réseau ou site. Par exemple « BranchOffice » (ou « Succursale » en français). Ces balises sont utilisées pour configurer les stratégies d’accès adaptatif dans Citrix Studio. Les balises par défaut prédéfinies sont LOCATION_external et LOCATION_internal. Remarque : Dans Citrix Studio, vous devez préfixer le nom de la balise avec LOCATION_TAG_. Par exemple, si vous avez défini un emplacement réseau avec la balise « BranchOffice », utilisez le nom « LOCATION_TAG_BranchOffice » lors de la configuration de l’option de filtre dans la stratégie Citrix Studio.

Configurer une stratégie d’accès adaptatif dans Citrix Studio

Remarque : Il ne s’agit pas d’une configuration exhaustive, mais d’un exemple d’utilisation des noms de balises pour configurer des stratégies Studio.

Les balises d’emplacement réseau définies à l’étape précédente sont utilisées pour configurer des stratégies d’accès adaptatif sur Citrix Studio. Cette étape est similaire à la configuration d’une stratégie SmartAccess avec la passerelle locale. Vous devez remplacer Citrix Gateway par Workspace sous « Batterie » et la stratégie de session par des balises d’emplacement réseau sous « Filtre ».

À cette étape, choisissez la stratégie Citrix Studio (existante ou nouvelle) et associez-la à un groupe de mise à disposition (existant ou nouveau). Pour créer un groupe de mise à disposition, consultez Créer des groupes de mise à disposition. Pour créer une stratégie, reportez-vous à la section Créer des stratégies.

Configurer une stratégie d’accès adaptatif pour l’énumération des applications et bureaux virtuels

Utilisons l’exemple précédent et créons une stratégie pour énumérer les applications sensibles uniquement à partir du réseau d’entreprise (dans ce cas, BranchOffice). Procédez comme suit pour affecter la balise LOCATION_TAG_BranchOffice au groupe de mise à disposition identifié pour le test des stratégies d’accès adaptatif.

  1. Connectez-vous à Citrix Cloud.
  2. Sélectionnez Mes services > DaaS.
  3. Cliquez sur Manage.
  4. Créez des groupes de mise à disposition selon vos besoins. Pour de plus amples informations, consultez la section Créer des groupes de mise à disposition.
  5. Sélectionnez le groupe de mise à disposition que vous avez créé et cliquez sur Modifier le groupe de mise à disposition.
  6. Cliquez sur Stratégie d’accès.
  7. Cliquez sur Ajouter et sélectionnez les éléments suivants :

    • Workspace pour Batterie
    • LOCATION_TAG_BranchOffice pour Filtre

    Modifier un groupe de mise à disposition

    Remarque : Vous pouvez ajouter plusieurs filtres à la même batterie. La batterie doit toujours être définie sur Workspace et le filtre doit comporter l’une des balises d’accès adaptatif créées en fonction de la configuration de l’emplacement réseau.

  8. Pour les clients qui utilisent l’accès adaptatif dans la plate-forme Citrix Workspace, procédez comme suit pour restreindre l’accès d’un groupe de mise à disposition aux réseaux internes uniquement.

    • Activez la case à cocher Connexions transitant par NetScaler Gateway, puis activez la case à cocher Connexions remplissant l’un des critères de filtre suivants.
    • Entrez les balises appropriées pour les emplacements internes.

    Remarque : Si vous sélectionnez l’option Connexions ne transitant pas par NetScaler Gateway, vous pouvez voir vos applications, que vous veniez du réseau interne ou externe. Il est recommandé aux clients qui utilisent l’accès adaptatif avec la plate-forme Citrix Workspace de ne pas se fier à l’option Connexions ne transitant pas par NetScaler Gateway pour restreindre l’accès d’un groupe de mise à disposition aux réseaux internes uniquement.

Configurer des stratégies d’accès adaptatif pour définir des contrôles utilisateur lors de l’accès à des applications et bureaux virtuels

Prenons l’exemple précédent et créons une stratégie pour désactiver la fonctionnalité de copier-coller uniquement dans les succursales.

Pour désactiver la fonctionnalité de copier-coller pour les utilisateurs se trouvant à un emplacement LOCATION_TAG_BranchOffice, procédez comme suit.

  1. Sur la page de configuration de Citrix DaaS, cliquez sur l’onglet Gérer.
  2. Cliquez sur l’onglet Stratégies.
  3. Sélectionnez Créer une stratégie.
  4. Dans Sélectionner les paramètres, sélectionnez Redirection du Presse-papiers client.
  5. Dans Modifier le paramètre, sélectionnez Interdit, puis cliquez sur OK.

    Modifier le paramètre

  6. Dans la page Utilisateurs et machines, cliquez sur Sélectionner des objets utilisateur et machine, puis affectez cette stratégie au contrôle d’accès.

  7. Entrez un nom pour la stratégie (ou acceptez le nom par défaut). Considérez appeler la stratégie en fonction de ce qu’elle affecte, par exemple, Service finance ou Utilisateurs distants. Facultativement, ajoutez une description.

La stratégie est activée par défaut. Vous pouvez la désactiver. Si vous activez la stratégie, vous pouvez l’appliquer immédiatement aux utilisateurs ouvrant une session. Si vous désactivez la stratégie, elle n’est pas appliquée. Si vous devez définir la priorité de la stratégie ou ajouter des paramètres ultérieurement, envisagez de désactiver cette stratégie jusqu’à ce que vous soyez prêt à l’appliquer.

Pour affecter une stratégie d’accès adaptatif à un emplacement externe (LOCATION_external)

Si vous souhaitez appliquer une stratégie d’accès à un emplacement externe, par exemple pour désactiver l’accès au presse-papiers pour les utilisateurs se trouvant à des emplacements non configurés (autres que LOCATION_TAG_BranchOffice, LOCATION_internal), il vous suffit d’affecter la stratégie à LOCATION_external (comme aucun des emplacements réseau définis n’est détecté, LOCATION_external est renvoyé).

Attribuer la stratégie

Comment valider la configuration de votre stratégie

Validez les stratégies adaptatives pour vous assurer qu’elles fonctionnent comme prévu avant de les mettre en œuvre à grande échelle. Dans l’exemple de configuration :

  • Les applications doivent être énumérées pour les utilisateurs se trouvant à l’emplacement réseau LOCATION_internal. De plus, la fonctionnalité de copier-coller doit être disponible pour ces utilisateurs.
  • Les applications doivent être énumérées pour les utilisateurs se trouvant à l’emplacement réseau LOCATION_TAG_BranchOffice. La fonctionnalité de copier-coller doit être désactivée pour ces utilisateurs.
  • Les applications ne doivent pas être énumérées pour les utilisateurs se trouvant à l’emplacement LOCATION_external.
Accès adaptatif basé sur l’emplacement réseau de l’utilisateur - Aperçu