Citrix Endpoint Management

SmartAccess pour applications HDX

Cette fonctionnalité vous permet de contrôler l’accès aux applications HDX en fonction des propriétés d’un appareil, des propriétés utilisateur d’un appareil ou des applications installées sur un appareil. Pour utiliser cette fonctionnalité, vous définissez des actions automatisées pour marquer l’appareil comme non conforme pour refuser l’accès de cet appareil. Utilisées en conjonction avec cette fonctionnalité, les applications HDX sont configurées dans Citrix Virtual Apps and Desktops à l’aide d’une stratégie SmartAccess qui refuse l’accès aux appareils non conformes. Citrix Endpoint Management communique l’état de l’appareil à StoreFront à l’aide d’une balise signée et cryptée. Ensuite, StoreFront autorise ou refuse l’accès en fonction de la stratégie de contrôle d’accès de l’application.

Pour utiliser cette fonctionnalité, votre déploiement requiert :

  • Citrix Virtual Apps and Desktops
  • Citrix Endpoint Management
  • Citrix Endpoint Management configuré avec un certificat SAML à utiliser pour la signature et le cryptage des balises. Le même certificat sans clé privée est chargé sur le serveur StoreFront.

Pour commencer à utiliser cette fonctionnalité :

  • Configurer le certificat de Citrix Endpoint Management Server pour le magasin StoreFront
  • Configurer au moins un groupe de mise à disposition Citrix Virtual Apps and Desktops avec la stratégie SmartAccess requise
  • Définir les actions automatisées dans Citrix Endpoint Management

SmartAccess aux applications HDX pour les points de terminaison

Grâce à cette fonctionnalité, vous pouvez appliquer un contrôle d’accès basé sur des stratégies pour restreindre l’accès des appareils aux applications HDX. Vous pouvez appliquer ces niveaux d’accès aux applications HDX :

  • Accès complet. Un appareil peut accéder à toutes les applications HDX fournies par le magasin Citrix Secure Hub.
  • Accès restreint. Un appareil peut accéder à une ou plusieurs applications HDX, mais pas à toutes.
  • Aucun accès. Un appareil ne peut accéder à aucune application HDX.

Le graphique suivant illustre le fonctionnement du contrôle d’accès. Une tentative de lancement d’application HDX dans Citrix Secure Hub déclenche une requête auprès d’un Delivery Controller. Le Delivery Controller transmet ensuite la demande au serveur Citrix Endpoint Management pour validation. Le résultat de la validation détermine le niveau d’accès de l’appareil. Par exemple, l’accès à une application HDX est refusé si l’appareil est jailbreaké.

Contrôle d’accès SmartAccess

Exporter et configurer le certificat de Citrix Endpoint Management Server et le charger vers le magasin StoreFront

SmartAccess utilise des balises signées et cryptées pour communiquer entre le serveur StoreFront et Citrix Endpoint Management Server. Pour activer cette communication, vous ajoutez le certificat de Citrix Endpoint Management Server au magasin StoreFront.

Pour plus d’informations sur l’intégration de StoreFront et Citrix Endpoint Management lorsque Citrix Endpoint Management est activé avec l’authentification basée sur domaine et sur certificats, consultez le Centre de connaissances.

Exporter le certificat SAML à partir de Citrix Endpoint Management

  1. Dans la console Citrix Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche. Cliquez sur Certificats.

  2. Localisez le certificat SAML pour Citrix Endpoint Management Server.

    Configuration de SmartAccess

  3. Assurez-vous que Exporter clé privée est défini sur Désactivé. Cliquez sur Exporter pour exporter le certificat vers votre répertoire de téléchargement.

    Configuration de SmartAccess

  4. Localisez le certificat dans votre répertoire de téléchargement. Le certificat est au format PEM.

    Configuration de SmartAccess

Convertir le certificat de PEM vers CER

  1. Ouvrez la console Microsoft Management Console (MMC) et cliquez avec le bouton droit sur Certificats > Toutes les tâches > Importer.

    Configuration de SmartAccess

  2. Lorsque l’Assistant Importation de certificat apparaît, cliquez sur Suivant.

    Configuration de SmartAccess

  3. Accédez au certificat dans votre répertoire de téléchargement.

    Configuration de SmartAccess

  4. Sélectionnez Placer tous les certificats dans le magasin suivant et sélectionnez Personnel comme magasin de certificats. Cliquez sur Suivant.

    Configuration de SmartAccess

  5. Vérifiez vos sélections et cliquez sur Terminer. Cliquez sur OK dans la fenêtre de confirmation.

  6. Dans la console MMC, cliquez avec le bouton droit de la souris sur le certificat et sélectionnez Toutes les tâches > Exporter.

    Configuration de SmartAccess

  7. Lorsque l’Assistant Exportation de certificat apparaît, cliquez sur Suivant.

    Configuration de SmartAccess

  8. Choisissez le format X.509 binaire encodé DER (*.cer). Cliquez sur Suivant.

    Configuration de SmartAccess

  9. Localisez le certificat. Saisissez un nom pour le certificat et cliquez sur Suivant.

    Configuration de SmartAccess

  10. Enregistrez le certificat.

    Configuration de SmartAccess

  11. Localisez le certificat et cliquez sur Suivant.

    Configuration de SmartAccess

  12. Vérifiez vos sélections et cliquez sur Terminer. Cliquez sur OK dans la fenêtre de confirmation.

    Configuration de SmartAccess

  13. Localisez le certificat dans votre répertoire de téléchargement. Le certificat est au format CER.

    Configuration de SmartAccess

Copiez le certificat vers le serveur StoreFront

  1. Sur le serveur StoreFront, créez un dossier appelé SmartCert.

  2. Copiez le certificat dans le dossier SmartCert.

    Configuration de SmartAccess

Configurer le certificat sur le magasin StoreFront

Sur le serveur StoreFront, exécutez cette commande PowerShell pour configurer le certificat de Citrix Endpoint Management Server converti sur le magasin :

    Grant-STFStorePnaSmartAccess –StoreService $store –CertificatePath  “C:\xms\xms.cer” –ServerName “XMS server”
<!--NeedCopy-->

Configuration de SmartAccess

S’il existe des certificats dans le magasin StoreFront, exécutez cette commande PowerShell pour les révoquer :

    Revoke-STFStorePnaSmartAccess –StoreService $store –All
<!--NeedCopy-->

Configuration de SmartAccess

Vous pouvez également exécuter l’une de ces commandes PowerShell sur le serveur StoreFront pour révoquer des certificats existants sur le magasin StoreFront :

  • Révoquer par nom :
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    Revoke-STFStorePnaSmartAccess –StoreService $store –ServerName “My XM Server"
<!--NeedCopy-->
  • Révoquer par empreinte numérique :
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    Revoke-STFStorePnaSmartAccess –StoreService $store –CertificateThumbprint "[Thumbprint]
<!--NeedCopy-->
  • Révoquer par objet serveur :
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    $access = Get-STFStorePnaSmartAccess –StoreService $store

    Revoke-STFStorePnaSmartAccess –StoreService $store –SmartAccess $access.AccessConditionsTrusts[0]
<!--NeedCopy-->

Configurer la stratégie SmartAccess pour Citrix Virtual Apps and Desktops

Pour ajouter la stratégie SmartAccess requise au groupe de mise à disposition de l’application HDX :

  1. Ouvrez Citrix Studio à partir de la console Citrix Cloud.

  2. Sélectionnez Groupes de mise à disposition dans le volet de navigation de Studio.

  3. Sélectionnez un groupe mettant à disposition les applications dont vous souhaitez contrôler l’accès. Sélectionnez Modifier le groupe de mise à disposition dans le volet Actions.

  4. Dans la page Stratégie d’accès, sélectionnez Connexions transitant par NetScaler Gateway et Connexions remplissant l’un des critères de filtre suivants.

  5. Cliquez sur Ajouter.

  6. Ajoutez une stratégie d’accès dans laquelle Batterie est XM et Filtre est XMCompliantDevice.

    Configuration de SmartAccess

  7. Cliquez sur Appliquer pour appliquer les modifications que vous avez apportées et garder la fenêtre ouverte, ou cliquez sur OK pour appliquer les modifications et fermer la fenêtre.

Définir les actions automatisées dans Citrix Endpoint Management

La stratégie SmartAccess que vous avez définie dans le groupe de mise à disposition pour une application HDX refuse l’accès à un appareil lorsque l’appareil n’est pas conforme. Utilisez des actions automatisées pour marquer l’appareil comme non conforme.

Configuration de SmartAccess

  1. Dans la console Citrix Endpoint Management, cliquez sur Configurer > Actions. La page Actions s’affiche.

  2. Cliquez sur Ajouter pour ajouter une action. La page Informations sur l’action s’affiche.

  3. Sur la page Informations sur l’action, entrez un nom et une description pour l’action.

  4. Cliquez sur Suivant. La page sur les Détails de l’action s’affiche. Dans l’exemple suivant, un déclencheur est créé qui marque immédiatement les appareils comme non conformes s’ils ont le nom de propriété utilisateur eng5 ou eng6.

    Configuration de SmartAccess

  5. Dans la liste Déclencheur, sélectionnez Propriété de l’appareil, Propriété utilisateur ou Nom de l’application installée. SmartAccess ne prend pas en charge les déclencheurs d’événements.

  6. Dans la liste Action :

    • Choisissez Marquer l’appareil comme non conforme.
    • Choisissez Est.
    • Choisissez Vrai.
    • Pour que l’action marque l’appareil comme non conforme dès que la condition de déclencheur est remplie, définissez le délai sur 0.
  7. Choisissez les groupes de mise à disposition Citrix Endpoint Management auxquels appliquer cette action.

  8. Vérifiez le récapitulatif de l’action.

  9. Cliquez sur Suivant, puis cliquez sur Enregistrer.

Lorsque l’appareil est marqué comme non conforme, les applications HDX ne s’affichent plus dans le magasin Citrix Secure Hub. L’utilisateur n’est plus abonné aux applications. Aucune notification n’est envoyée à l’appareil et rien dans le magasin Citrix Secure Hub n’indique que les applications HDX ont été disponibles.

Si vous souhaitez que les utilisateurs soient avertis lorsqu’un appareil est marqué comme non conforme, créez une notification, puis créez une action automatique pour envoyer cette notification.

Cet exemple crée et envoie cette notification lorsqu’un appareil est marqué comme non conforme : « L’appareil (numéro de série ou numéro de téléphone) n’est plus conforme avec la stratégie et les applications HDX sont bloquées. »

Configuration de SmartAccess

Créer la notification que les utilisateurs voient lorsqu’un appareil est marqué comme non conforme

  1. Dans la console Citrix Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.

  2. Cliquez sur Modèles de notification. La page Modèles de notification s’affiche.

  3. Cliquez sur Ajouter pour ajouter un nouveau modèle de notification sur la page Modèles de notification.

  4. Pour configurer ces paramètres :

    • Nom : Blocage application HDX
    • Description : notification de l’agent lorsqu’un appareil n’est pas conforme
    • Type : notification ad hoc
    • Citrix Secure Hub : Activé
    • Message : L’appareil ${firstnotnull(device.TEL_NUMBER,device.serialNumber)} n’est plus conforme avec la stratégie et les applications HDX vont être bloquées.

    Configuration de SmartAccess

  5. Cliquez sur Enregistrer.

Créer l’action qui envoie la notification lorsqu’un appareil est marqué comme non conforme

  1. Dans la console Citrix Endpoint Management, cliquez sur Configurer > Actions. La page Actions s’affiche.

  2. Cliquez sur Ajouter pour ajouter une action. La page Informations sur l’action s’affiche.

  3. Sur la page Informations sur l’action, entrez un nom et une description pour l’action.

    • Nom : notification HDX bloquée
    • Description : notification HDX bloquée car l’appareil n’est pas conforme
  4. Cliquez sur Suivant. La page sur les Détails de l’action s’affiche.

  5. Dans la liste Déclencheur :

    • Choisissez Propriété de l’appareil.
    • Choisissez Non conforme.
    • Choisissez Est.
    • Choisissez Vrai.

    Configuration de SmartAccess

  6. Dans la liste Action, spécifiez les actions qui se produisent lorsque le critère du déclencheur est rencontré :

    • Choisissez Envoyer une notification.
    • Choisissez L’application HDX a bloqué la notification que vous avez créée.
    • Choisissez 0. Lorsque cette valeur est définie sur 0, la notification est envoyée dès que la condition du déclencheur est rencontrée.
  7. Choisissez les groupes de mise à disposition Citrix Endpoint Management auxquels appliquer cette action. Dans cet exemple, choisissez AllUsers.

  8. Vérifiez le récapitulatif de l’action.

  9. Cliquez sur Suivant, puis cliquez sur Enregistrer.

Pour de plus amples informations sur la configuration d’actions automatiques, consultez la section Actions automatisées.

Comment les utilisateurs peuvent rétablir l’accès aux applications HDX

Les utilisateurs peuvent de nouveau accéder aux applications HDX une fois que la conformité de l’appareil est rétablie :

  1. Sur l’appareil, accédez au magasin Citrix Secure Hub pour actualiser les applications dans le magasin.

  2. Accédez à l’application et touchez Ajouter à l’application.

Une fois que l’application est ajoutée, elle s’affiche dans Mes applications avec un point bleu, car il s’agit d’une application nouvellement installée.

Configuration de SmartAccess