Documentation produit
Citrix Secure Private Access
Voir PDF

Posture de l’appareil

November 9, 2023
Contributeur: 
C

Le service Citrix Posture de l’appareil est une solution basée sur le cloud qui aide les administrateurs à appliquer certaines exigences auxquelles les appareils finaux doivent satisfaire pour accéder aux Citrix DaaS (applications et bureaux virtuels) ou aux ressources Citrix Secure Private Access (SaaS, applications Web, applications TCP et UDP). Il est essentiel d’établir la confiance entre les appareils en vérifiant leur posture pour mettre en œuvre un accès basé sur la confiance zéro. Le service Posture de l’appareil applique les principes de confiance zéro à votre réseau en vérifiant la conformité des appareils finaux (gestion/BYOD et posture de sécurité) avant d’autoriser un utilisateur final à se connecter.

Conditions préalables

  • Exigences en matière de licence : l’accès au service Citrix Posture de l’appareil fait partie des licences Citrix DaaS Premium, Citrix DaaS Premium Plus et Citrix Secure Private Access Advanced. Les clients possédant d’autres licences peuvent acheter un droit au service Posture de l’appareil en tant que module complémentaire. Pour un module complémentaire, les clients doivent acheter un SKU d’authentification adaptative autonome, mais ils n’ont pas nécessairement à le déployer pour utiliser le service Posture de l’appareil.

  • Plates-formes prises en charge :

    • Windows (10 et 11)
    • macOS 13 Ventura
    • macOS 12 Monterey
    • iOS
    • IGEL

    Remarque :

    • Un appareil fonctionnant sur une plate-forme non prise en charge est marqué comme non conforme, par défaut. Vous pouvez modifier la classification de Non conforme à Connexion refusée dans l’onglet Paramètres de la page Posture de l’appareil.

    • Un appareil qui s’exécute sur une plateforme prise en charge mais qui ne correspond à aucune stratégie de posture prédéfinie est marqué comme non conforme, par défaut. Vous pouvez modifier la classification de Non conforme à Connexion refusée dans l’onglet Paramètres de la page Posture de l’appareil.

    • Pour la prise en charge d’iOS sur le service Posture de l’appareil, le client EPA est intégré à l’application Citrix Workspace pour iOS. Pour plus de détails sur les versions, consultez l’application Citrix Workspace pour iOS.

    • Pour la prise en charge du système d’exploitation IGEL sur le service Posture de l’appareil, le client EPA est intégré au système d’exploitation IGEL. Contactez l’équipe d’assistance IGEL pour installer le client EPA sur les appareils IGEL.

  • Client Citrix Posture de l’appareil (client EPA) : application légère qui doit être installée sur le terminal pour exécuter des analyses de posture de l’appareil. Cette application ne nécessite pas de droits d’administrateur local pour être téléchargée et installée sur un terminal.

    Remarque :

    Si vous utilisez la vérification des certificats de l’appareil, vous devez installer le client EPA avec des droits d’administrateur.

  • Navigateurs compatibles : Chrome, Edge et Firefox.

  • Configuration du pare-feu : pour permettre au service Posture de l’appareil de mettre à jour les clients EPA sur un appareil final, le pare-feu/proxy doit être configuré pour autoriser les domaines suivants :

    • https://swa-ui-cdn-endpoint-prod.azureedge.net
    • https://productioniconstorage.blob.core.windows.net
    • *.netscalergateway.net
    • *.nssvc.net
    • *.cloud.com
    • *.pendo.io
    • *.citrixworkspacesapi.net

Fonctionnalités préliminaires

Fonctionnement

Les administrateurs peuvent créer des stratégies de posture des appareils pour vérifier l’état des terminaux et déterminer si un terminal est autorisé ou non à se connecter. Les appareils autorisés à se connecter sont ensuite classés comme conformes ou non conformes. Les utilisateurs peuvent se connecter à partir d’un navigateur ou de l’application Citrix Workspace.

Vous trouverez ci-dessous les conditions générales utilisées pour classer un appareil comme étant conforme, non conforme et auquel la connexion est refusée.

  • Appareils conformes : appareil qui répond aux exigences des stratégies préconfigurées et qui est autorisé à se connecter au réseau de l’entreprise avec un accès complet ou illimité aux ressources Citrix Secure Private Access ou aux ressources Citrix DaaS.
  • Appareils non conformes : appareil qui répond aux exigences des stratégies préconfigurées et qui est autorisé à se connecter au réseau de l’entreprise avec un accès partiel ou restreint aux ressources Citrix Secure Private Access ou aux ressources Citrix DaaS.
  • Connexion refusée : - Un appareil qui ne répond pas aux exigences de la stratégie se voit refuser la connexion.

La classification des appareils en tant que connexionconforme,non conformeet refusée est transmise au service Citrix DaaS et Citrix Secure Private Access qui utilise à son tour la classification des appareils pour fournir des fonctionnalités d’accès intelligent.

Exemple d'utilisation de l'état de sécurité de l'appareil

Remarque :

  • Les stratégies d’état de sécurité de l’appareil doivent être configurées spécifiquement pour chaque plate-forme. Par exemple, pour macOS, un administrateur peut autoriser l’accès aux appareils dotés d’une version de système d’exploitation spécifique. De même, pour Windows, l’administrateur peut configurer des stratégies pour inclure un fichier d’autorisation spécifique, des paramètres de registre, etc.
  • Les scans de la posture de l’appareil sont effectués uniquement lors de la pré-authentification/avant la connexion.
  • Pour les définitions des termes « conforme » et « non conforme », voir Définitions.

Scans pris en charge par l’état de sécurité de l’appareil

Les scans suivants sont pris en charge par le service Citrix Posture de l’appareil :

|Windows|macOS|iOS|IGEL| |—|—|—|—| |Version de l’application Citrix Workspace|Version de l’application Citrix Workspace |Version de l’application Citrix Workspace|-| |Version du système d’exploitation |Version du système d’exploitation|Version du système d’exploitation|-| |Fichier (existe, nom du fichier et chemin) |Fichier (existe, nom du fichier et chemin) |-|Fichier (existe, nom du fichier et chemin)| |Géolocalisation |Géolocalisation|-|-| |Emplacement du réseau |Emplacement du réseau|-|-| |Adresse MAC|Adresse MAC |-|-| |Processus (existe) |Processus (existe) |-|-| |Microsoft Endpoint Manager |Microsoft Endpoint Manager |-|-| |CrowdStrike|CrowdStrike|-|-|-| |Certificat d’appareil|Certificat d’appareil|-|-|-| |Nom de domaine|-|-|-| |Registre non numérique (32 bits)|-|-|-| |Registre non numérique (64 bits)|-|-|-| |Registre numérique (32 bits)|-|-|-| |Registre numérique (64 bits)|-|-|-| |Type d’installation de Windows Update|-|-|-| |Vérification de la dernière mise à jour de l’installation de Windows Update|-|-|-|

Remarque :

  • Pour la prise en charge d’iOS sur le service Posture de l’appareil, le client EPA est intégré à l’application Citrix Workspace pour iOS. Pour plus de détails sur les versions, consultez l’application Citrix Workspace pour iOS.

Intégration tierce à la posture de l’appareil

Outre les scans natifs proposés par le service Posture de l’appareil, le service peut également être intégré aux solutions tierces suivantes sous Windows et macOS.

Configuration de la posture de l’appareil

La posture de l’appareil est une combinaison de stratégies et de règles qu’un appareil doit respecter pour accéder aux ressources. Chaque stratégie est associée à l’une des actions, à savoir connexion conforme, non conforme et refus de connexion. De plus, chaque stratégie est associée à une priorité et l’évaluation de la stratégie s’arrête si une stratégie est évaluée comme vraie et que l’action associée est entreprise.

  1. Connectez-vous à Citrix Cloud, puis sélectionnez Gestion des identités et des accès dans le menu hamburger.

  2. Cliquez sur l’onglet Posture de l’appareil, puis sur Gérer.

    Remarque :

    • Les clients du service Secure Private Access peuvent directement cliquer sur Posture de l’appareil dans la barre de navigation de gauche de l’interface utilisateur d’administration.
    • Pour les nouveaux utilisateurs, la page d’accueil Posture de l’appareil vous invite à créer une stratégie d’état de sécurité de l’appareil. La stratégie d’état de sécurité des appareils doit être configurée individuellement pour chaque plate-forme. Une fois que vous avez créé une stratégie d’état de sécurité de l’appareil, elle est répertoriée sous les plateformes appropriées.
    • Une stratégie n’entre en vigueur que lorsque la position de l’appareil est activée. Pour activer la posture de l’appareil, faites glisser le bouton La posture de l’appareil est désactivée dans le coin supérieur droitsurActivé.
  3. Cliquez sur Créer une stratégie relative aux appareils.

  4. Dans Plateforme, sélectionnez la plateforme pour laquelle vous souhaitez appliquer une stratégie. Vous pouvez passer de Windows à macOS ou inversement, quel que soit l’onglet que vous avez sélectionné sur la page d’accueil de Posture de l’appareil.

  5. Dans Règles de stratégie, sélectionnez le contrôle que vous souhaitez effectuer dans le cadre de la posture de l’appareil et sélectionnez les conditions qui doivent être respectées.

    Remarque :

    • Pour vérifier le certificat de l’appareil, assurez-vous que le certificat de l’émetteur existe sur l’appareil. Sinon, vous pouvez importer un certificat d’appareil lors de la création de la stratégie de posture de l’appareil ou télécharger le certificat depuis les paramètres de la page d’accueil du dispositif. Pour plus de détails, voir Importer le certificat de l’appareil lors de la création de la stratégie pour le certificat de l’appareil et Télécharger le certificat de l’appareil.
    • Pour vérifier le certificat de l’appareil, le client EPA sur l’appareil final doit être installé avec des droits d’administration.
    • La vérification du certificat de l’appareil avec le service Posture de l’appareil ne prend pas en charge la vérification de révocation du certificat.

  6. Cliquez sur Ajouter une autre règle pour créer plusieurs règles. Une condition AND est appliquée à plusieurs règles.

    Configuration de la posture de l'appareil

  7. Dans Résultat de la stratégie en fonction des conditions que vous avez configurées, sélectionnez le type selon lequel l’analyse de l’appareil doit classer l’appareil utilisateur.

    • Conforme
    • Non conforme
    • Accès refusé
  8. Entrez un nom pour la stratégie.

  9. Dans Priorité, entrez l’ordre dans lequel les stratégies doivent être évaluées.

    • Vous pouvez saisir une valeur comprise entre 1 et 100. Il est recommandé de configurer les stratégies de refus avec une priorité plus élevée, suivies de stratégies non conformes et enfin conformes.
    • La priorité dont la valeur est la plus faible a la préférence la plus élevée.
    • Seules les stratégies activées sont évaluées en fonction de la priorité.

  10. Cliquez sur Créer.

    Configuration de la posture de l'appareil

Important :

Vous devez activer le bouton Activer lors de la création pour que les stratégies de posture de l’appareil prennent effet. Avant d’activer les stratégies, il est recommandé de s’assurer qu’elles sont correctement configurées et que vous effectuez ces tâches dans votre configuration de test.

Modifier la stratégie d’état de sécurité d’un appareil

Les stratégies de posture de l’appareil configurées sont répertoriées sous la plate-forme spécifique sur la page Device Scans . Vous pouvez rechercher la stratégie que vous souhaitez modifier sur cette page. Vous pouvez également activer, désactiver ou supprimer une stratégie à partir de cette page.

Modifier la stratégie d'état de sécurité de l'appareil1

Configuration de l’accès contextuel (accès intelligent) à l’aide de la posture de l’appareil

Après vérification de la posture de l’appareil, celui-ci est autorisé à se connecter et est classé comme conforme ou non conforme. Ces informations sont disponibles sous forme de balises pour le service Citrix DaaS et le service Citrix Secure Private Access et sont utilisées pour fournir un accès contextuel en fonction de la position de l’appareil. Par conséquent, Citrix DaaS et Citrix Secure Private Access doivent être configurés pour appliquer le contrôle d’accès à l’aide de balises de posture des appareils.

Configuration de Citrix DaaS avec posture de l’appareil

  1. Connectez-vous à Citrix Cloud.
  2. Sur la vignette DaaS, cliquez sur Gérer.
  3. Accédez à la section Groupe de mise à disposition dans le menu de gauche.
  4. Sélectionnez le groupe de mise à disposition pour lequel vous souhaitez configurer le contrôle d’accès en fonction de la posture de l’appareil et cliquez sur Modifier.
  5. Sur la page Modifier le groupe de mise à disposition, cliquez sur Stratégie d’accès.
  6. Cliquez sur Ajouter sur la page Stratégie d’accès et saisissez la valeur Workspace in Farm.

  7. Dans Filtre, entrez l’une des valeurs suivantes.

    • CONFORME - Pour les appareils conformes
    • NON CONFORME - Pour les appareils non conformes

    Remarque :

    La syntaxe des étiquettes de classification des appareils doit être saisie de la même manière que celle capturée précédemment, c’est-à-dire en majuscules (CONFORME etNON CONFORME**). Sinon, les stratégies de posture de l’appareil ne fonctionnent pas comme prévu.

    Outre les balises de classification des appareils, le service Posture de l’appareil renvoie également l’étiquette du système d’exploitation et la balise de stratégie d’accès associées à l’appareil. Les balises du système d’exploitation et les balises de stratégie d’accès doivent être saisies uniquement en majuscules.

    • DEVICE_TYPE_WINDOWS
    • DEVICE_TYPE_MAC
    • Nom exact de la stratégie (en majuscules)
  8. Cliquez sur Save.

Étiquettes de posture de l'appareil

Remarque :

tout groupe de mise à disposition DaaS qui n’est pas marqué comme conforme ou non conforme dans la stratégie d’accès au DaaS est traité comme le groupe de mise à disposition par défaut et est accessible sur tous les terminaux, quelle que soit la position de l’appareil.

Configuration de Citrix Secure Private Access avec Posture de l’appareil

  1. Connectez-vous à Citrix Cloud.
  2. Sur la vignette Secure Private Access, cliquez sur Gérer.
  3. Cliquez sur Stratégies d’accès dans le volet de navigation de gauche, puis cliquez sur Créer une stratégie.
  4. Entrez le nom et la description de la stratégie.
  5. Dans Applications, sélectionnez l’application ou l’ensemble d’applications auxquelles cette stratégie doit être appliquée.
  6. Cliquez sur Créer une règle pour créer des règles pour la stratégie.
  7. Entrez le nom de la règle et une brève description de la règle, puis cliquez sur Suivant.
  8. Sélectionnez les conditions des utilisateurs. La condition Utilisateurs est une condition obligatoire à remplir pour permettre aux utilisateurs d’accéder aux applications.
  9. Cliquez sur + pour ajouter la condition de posture de l’appareil.
  10. Sélectionnez Contrôle de la posture de l’appareil et l’expression logique dans le menu déroulant.

  11. Entrez l’une des valeurs suivantes dans les balises personnalisées :

    • Conforme  : pour les appareils conformes
    • Non conforme  : pour les appareils non conformes
  12. Cliquez sur Next.

  13. Sélectionnez les actions qui doivent être appliquées en fonction de l’évaluation de la condition, puis cliquez sur Suivant.

    La page Résumé affiche les détails de la stratégie.

  14. Vous pouvez vérifier les détails et cliquer sur Terminer.

    Pour plus de détails sur la création de stratégies d’accès, voir Configurer une stratégie d’accès avec plusieurs règles.

Remarque :

Toute application Secure Private Access qui n’est pas marquée comme conforme ou non conforme dans la stratégie d’accès est traitée comme l’application par défaut et est accessible sur tous les terminaux, quelle que soit la position de l’appareil.

Étiquettes SPA pour l'état de sécurité de l'appareil

Flux d’utilisateurs finaux

Une fois que les stratégies de posture des appareils sont définies et que la posture des appareils est activée, les flux des utilisateurs finaux sont les suivants en fonction de la manière dont l’utilisateur final se connecte à Citrix Workspace.

Flux d’utilisateurs finaux via un accès par navigateur

Remarque :

Le client macOS et le navigateur Chrome sont utilisés à titre d’exemple à des fins d’illustration. Les écrans et les notifications varient en fonction du client et du navigateur que vous utilisez pour accéder à l’URL de Citrix Workspace.

  • Lorsqu’un utilisateur final se connecte à l’URL de Citrix Workspace https://<your-workspace-URL via un navigateur, il est invité à exécuter l’application Citrix EndpointAnalysis.

    Installer l'application

  • Lorsque l’utilisateur final clique sur Ouvrir Citrix End Point Analysis, le client de posture de l’appareil s’exécute et analyseles paramètres du point de terminaison en fonction des exigences de la stratégie de posture de l’appareil.

  • Si le dernier client Posture de l’appareil n’est pas installé sur le terminal, les utilisateurs sont redirigés vers la page qui affiche les options «  Vérifier à nouveau » et «  Télécharger le client ». L’utilisateur doit cliquer sur Télécharger le client.

  • Si le client de posture de l’appareil le plus récent est déjà installé sur le terminal, l’utilisateur doit cliquer à nouveau sur Vérifier.

    Confirmer la version du client

Flux d’utilisateurs finaux via l’application Citrix Workspace

  • Lorsqu’un utilisateur final se connecte à l’URL Citrix Workspace https://your-workspace-url via l’application Citrix Workspace, le client de posture de l’appareil installé sur le terminal s’exécute et analyse les paramètres du point de terminaison en fonction des exigences de la stratégie de posture de l’appareil.
  • Si le dernier client Posture de l’appareil n’est pas installé sur le terminal, les utilisateurs sont redirigés vers la page qui affiche les options «  Vérifier à nouveau » et «  Télécharger le client ». L’utilisateur doit cliquer sur Télécharger le client.
  • Si le client de posture de l’appareil le plus récent est déjà installé sur le terminal, l’utilisateur doit cliquer à nouveau sur Vérifier.

Flux des utilisateurs finaux : résultats relatifs à la posture de l’appareil

Selon les conditions de la stratégie de posture de l’appareil, trois possibilités peuvent se présenter.

Si un terminal répond aux conditions de la stratégie de telle sorte que l’appareil est classé dans la catégorie suivante :

  • Conforme  : l’utilisateur final est autorisé à se connecter avec un accès illimité aux ressources Secure Private Access ou Citrix DaaS.

  • Non conforme  : l’utilisateur final est autorisé à se connecter avec un accès restreint aux ressources Secure Private Access ou Citrix DaaS.

    Accès autorisé

Si un terminal répond aux conditions de stratégie de sorte que l’appareil est classé comme Accès refusé, le message Accès refusé s’affiche.

Accès refusé

Surveiller et résoudre les événements liés à la posture des appareils

Les journaux des événements relatifs à la posture de l’appareil peuvent être consultés à deux endroits :

  • Moniteur Citrix DaaS
  • Tableau de bord Citrix Secure Private Access

Événements relatifs à la posture des appareils sur Citrix DaaS Monitor

Procédez comme suit pour consulter les journaux d’événements du service Posture de l’appareil.

  1. Copiez l’ID de transaction de la session ayant échoué ou dont l’accès a été refusé depuis la machine de l’utilisateur final.
  2. Connectez-vous à Citrix Cloud.
  3. Sur la vignette DaaS, cliquez sur Gérer, puis sur l’onglet Surveiller .
  4. Dans l’interface utilisateur de Monitor, recherchez l’ID de transaction à 32 chiffres et cliquez sur Détails.

Moniteur DaaS

Événements relatifs à la posture de l’appareil sur le tableau de bord Secure Private Access

Procédez comme suit pour consulter les journaux d’événements du service Posture de l’appareil.

  1. Connectez-vous à Citrix Cloud.
  2. Sur la vignette Secure Private Access, cliquez sur Gérer.
  3. Accédez à la section Tableau de bord depuis le menu de gauche.

  4. Cliquez sur le lien En savoir plus dans le graphique des journaux de diagnostic pour afficher les journaux des événements relatifs à la posture de l’appareil.

    Dashboard

  • Les administrateurs peuvent filtrer les journaux en fonction de l’ID de transaction figurant dans le graphique des journaux de diagnostic . L’ID de transaction est également affiché à l’utilisateur final chaque fois que l’accès est refusé.

    Transaction ID

  • En cas d’erreur ou d’échec du scan, le service Posture de l’appareil affiche un identifiant de transaction. Cet ID de transaction est disponible dans le tableau de bord du service Secure Private Access. Si les journaux ne permettent pas de résoudre le problème, les utilisateurs finaux peuvent partager l’ID de transaction avec le support Citrix pour résoudre le problème.

    Error

  • Les journaux du client Windows se trouvent à l’adresse suivante :

    • %localappdata%\Citrix\EPA\dpaCitrix.txt
    • %localappdata%\Citrix\EPA\epalib.txt

  • Les journaux du client macOS peuvent être consultés à l’adresse suivante :

    • ~/Bibliothèque/Application Support/Citrix/EPAPlugin/EpaCloud.log
    • ~/Bibliothèque/Application Support/Citrix/EPAPlugin/epaplugin.log

Journaux d’erreurs de posture de l’appareil

Les journaux suivants relatifs au service Posture de l’appareil peuvent être consultés sur le tableau de bord Citrix Monitor et Secure Private Access. Pour tous ces journaux, il est recommandé de contacter le support Citrix pour résoudre le problème.

  • Impossible de lire les stratégies configurées
  • Impossible d’évaluer les scans des terminaux
  • Impossible de traiter les stratégies/expressions
  • Impossible d’enregistrer les détails du terminal
  • Impossible de traiter les résultats du scan à partir des terminaux

Limitations connues

  • Les URL d’espace de travail personnalisées ne sont pas prises en charge par le service Posture de l’appareil.
  • Le temps nécessaire à l’activation ou à la désactivation de la fonctionnalité de posture de l’appareil après activation ou désactivation du bouton de posture de l’appareil peut prendre de quelques minutes à une heure.
  • Toute modification de la configuration de la posture de l’appareil ne prend pas effet immédiatement. L’entrée en vigueur des modifications peut prendre environ 10 minutes.
  • Si vous avez activé l’option Continuité du service dans Citrix Workspace et si le service Posture de l’appareil est en panne, les utilisateurs ne pourront peut-être pas se connecter à Workspace. Cela est dû au fait que Citrix Workspace énumère les applications et les postes de travail en fonction du cache local de la machine utilisateur.
  • Si vous avez configuré un jeton et un mot de passe durables sur Citrix Workspace, l’analyse de la posture de l’appareil ne fonctionne pas pour cette configuration. Les appareils sont analysés uniquement lorsque les utilisateurs se connectent à Citrix Workspace.
  • Chaque plateforme peut avoir un maximum de 10 stratégies et chaque stratégie peut avoir un maximum de 10 règles.
  • L’accès basé sur les rôles n’est pas pris en charge par le service Posture de l’appareil.

Qualité du service

  • Performances : dans des conditions idéales, le service Posture de l’appareil ajoute un délai supplémentaire de 2 secondes lors de la connexion. Ce délai peut augmenter en fonction de configurations supplémentaires telles que des intégrations tierces telles que Microsoft Intune.
  • Résilience : le service Posture de l’appareil est très résilient avec plusieurs POP pour garantir l’absence de temps d’arrêt.

Définitions

Les termes « conforme » et « non conforme » en référence au service Posture de l’appareil sont définis comme suit.

  • Appareils conformes : appareil qui répond aux exigences des stratégies préconfigurées et qui est autorisé à se connecter au réseau de l’entreprise avec un accès complet ou illimité aux ressources Citrix Secure Private Access ou aux ressources Citrix DaaS.
  • Appareils non conformes : appareil qui répond aux exigences des stratégies préconfigurées et qui est autorisé à se connecter au réseau de l’entreprise avec un accès partiel ou restreint aux ressources Citrix Secure Private Access ou aux ressources Citrix DaaS.
Posture de l’appareil
November 9, 2023
Contributeur: 
C
November 9, 2023
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.