État de sécurité de l’appareil — Aperçu

Le service Device Posture garantit que les appareils répondent à certaines conditions pour permettre l’accès aux ressources de l’entreprise via Citrix Workspace, telles que Citrix DaaS (applications et bureaux virtuels) et Secure Private Access (applications SaaS et Web, applications TCP et UDP). Pour disposer d’un cadre d’accès à distance basé sur la confiance zéro, il est essentiel d’établir la confiance des appareils. Le service Device Posture essaie d’atteindre un niveau de confiance zéro en vérifiant la conformité de l’appareil (administré/BYOD et posture de sécurité).

Fonctionnement

L’administrateur définit les stratégies relatives à la position des appareils afin de déterminer si la connexion et l’accès aux ressources sont autorisés ou refusés aux appareils. Vous trouverez ci-dessous les conditions de haut niveau utilisées pour classer un appareil comme étant conforme ou non conforme.

• Appareils conformes

  • Un appareil qui répond aux stratégies préconfigurées lorsqu’il est utilisé pour se connecter au réseau de l’entreprise.

• Appareils non compatibles

  • Appareils ne fonctionnant pas sous Windows ou macOS. Dans la version actuelle, la position de l’appareil n’est prise en charge que sur les plateformes Windows et macOS.
  • Aucune stratégie d’état de sécurité n’est définie pour un appareil, mais l’état de sécurité de l’appareil est activée.
  • Un appareil qui ne correspond pas aux stratégies définies. Dans la version actuelle, les administrateurs doivent configurer explicitement les options de refus pour ces appareils.
• Dans la version actuelle, Device Posture est uniquement compatible avec les plateformes Windows et macOS. Lorsque les utilisateurs se connectent à partir d’autres appareils, ces appareils sont considérés comme non conformes.
• Un appareil est considéré comme conforme s’il répond aux conditions préconfigurées lorsqu’il est utilisé pour se connecter au réseau de l’entreprise.
• Si l’état de sécurité de l’appareil est activé et qu’aucune stratégie d’état de sécurité n’est définie pour un appareil, celui-ci est classé comme non conforme.
• Un appareil qui ne répond pas aux conditions se voit refuser l’accès au réseau de l’entreprise.
• Si un appareil ne correspond à aucune des stratégies, il est configuré comme non conforme. Dans la version actuelle, les administrateurs doivent configurer explicitement les options de refus pour ces appareils.

La classification des appareils « conformes » et « non conformes » est transmise à Citrix DaaS et au service Citrix Secure Private Access qui, à leur tour, utilise la classification des appareils pour fournir un accès contextuel/un accès intelligent. La figure suivante illustre un exemple de cas d’utilisation.

Remarque :

• Les stratégies d’état de sécurité de l’appareil doivent être configurées spécifiquement pour chaque plate-forme. Par exemple, pour macOS, un administrateur peut autoriser l’accès aux appareils dotés d’une version de système d’exploitation spécifique. De même, pour Windows, l’administrateur peut configurer des stratégies pour inclure un fichier d’autorisation spécifique, des paramètres de registre, etc.
• Les analyses de la position de l’appareil sont effectuées uniquement pendant la pré-authentification/avant la connexion.
• Pour les définitions de « conforme » et de « non conforme », voir [Définitions] (/en-us/citrix-secure-private-access/device-posture.html #definitions].

Scans pris en charge par l’état de sécurité de l’appareil

L’état de sécurité de l’appareil est pris en charge uniquement avec Windows version 22.6.1.5 et versions ultérieures et macOS version 22.06.1 et versions ultérieures.

Intégration tierce à Device Posture

Device Posture est intégré à Microsoft Endpoint Manager (MEM) sous Windows et macOS.

Pour plus de détails sur la configuration de l’intégration MEM, voir Intégration de Microsoft Endpoint Manager à Device Posture.

Conditions préalables

Inscrivez-vous ici pour un aperçu : https://podio.com/webforms/27886155/2183565.

Configuration de la stratégie Device posture

L’état de sécurité de l’appareil est une combinaison d’expressions/conditions qu’un appareil doit respecter pour accéder aux ressources. Un ensemble d’expressions/conditions constitue une stratégie et un ensemble de stratégies constitue l’ensemble de l’état de sécurité de l’appareil. Chaque stratégie est associée à l’une des actions, à savoir connexion conforme, non conforme et refus de connexion. De plus, chaque stratégie est associée à une priorité et l’évaluation de la stratégie s’arrête si une stratégie est évaluée comme vraie et que l’action associée est entreprise.

1. Connectez-vous à Citrix Cloud, puis sélectionnez Gestion des identités et des accès dans le menu hamburger.

2. Cliquez sur l’onglet Device Posture, puis sur Gérer.

   

   Pour les nouveaux utilisateurs, la page d’accueil Device Posture vous invite à créer une stratégie d’état de sécurité de l’appareil. La stratégie d’état de sécurité des appareils doit être configurée individuellement pour chaque plate-forme. Une fois que vous avez créé une stratégie d’état de sécurité de l’appareil, elle est répertoriée sous les plateformes appropriées.

   

   Une stratégie n’entre en vigueur que lorsque la position de l’appareil est activée. Pour activer l’état de sécurité de l’appareil, faites glisser le bouton « La posture de l’appareil est désactivée » dans le coin supérieur droit sur ON.

3. Cliquez sur Créer une stratégie relative aux appareils.
4. Entrez un nom pour la stratégie.

5. Dans Plateforme, sélectionnez la plateforme pour laquelle vous souhaitez appliquer une stratégie.

   Remarque :

   Vous pouvez passer de Windows à macOS ou inversement, quel que soit l’onglet que vous avez sélectionné sur la page d’accueil de Device Posture.

6. Ajoutez une ou plusieurs expressions/conditions selon vos besoins. Vous pouvez également ajouter des qualificatifs à certaines expressions.

   Remarque :

   Chaque plateforme peut avoir un maximum de 10 stratégies et chaque stratégie peut comporter un maximum de 10 expressions/conditions.

7. Dans Priorité, entrez l’ordre dans lequel les stratégies doivent être évaluées.

   • Vous pouvez saisir une valeur comprise entre 1 et 100. Il est recommandé de configurer les stratégies de refus avec une priorité plus élevée, puis les stratégies non conformes et enfin les stratégies conformes.
   • La priorité ayant la valeur la plus faible a la préférence la plus élevée.
   • Seules les stratégies activées sont évaluées en fonction de la priorité.

   

8. Dans Sélectionner une règle, sélectionnez la vérification que vous souhaitez effectuer dans le cadre de Device Posture et sélectionnez les conditions qui doivent être satisfaites.

9. Cliquez sur Ajouter une règle pour créer plusieurs règles. Une condition AND est appliquée à plusieurs règles.

10. Dans Alors l’appareil est : en fonction des conditions que vous avez configurées, sélectionnez l’une des options suivantes.

    • Conforme (un accès complet est accordé)
    • Non conforme (accès restreint accordé)
    • Connexion refusée
11. Cliquez sur Create.

Important :

Vous devez activer le bouton Activer lors de sa création sur Activé sur la page d’accueil de Device Posture pour que les stratégies d’état de sécurité de l’appareil prennent effet. Avant d’activer les stratégies, il est recommandé de vous assurer qu’elles sont correctement configurées et que vous effectuez ces tâches dans votre configuration de test.

Modifier la stratégie d’état de sécurité d’un appareil

Vous pouvez rechercher la stratégie que vous souhaitez modifier sur la plate-forme correspondante sur la page Device Posture.

À partir de cette page, vous pouvez activer, désactiver, modifier ou supprimer une stratégie de cette page. Vous pouvez modifier tous les champs de la stratégie.

Accès contextuel basé sur la position de l’appareil

Une fois qu’un appareil est autorisé à se connecter après la vérification de sa posture, les appareils sont classés comme conformes et non conformes. Ces informations peuvent être utilisées par le service Secure Private Access et Citrix DaaS pour fournir un accès contextuel.

Important :

La syntaxe des balises de classification des appareils doit être saisie de la même manière que dans les exemples suivants pour Citrix Secure Private Access et Citrix DaaS, respectivement. Sinon, le service Device Posture ne parvient pas à récupérer les informations de classification des appareils.

• Citrix Secure Private Access : sur la page Créer des stratégies d’accès, pour la condition de vérification de la posture de l’appareil, entrez l’une des valeurs suivantes dans les balises personnalisées.

  • Conforme — Pour les appareils conformes
  • Non conforme - Pour les appareils non conformes

  

• Citrix DaaS : sur la page Modifier le groupe de mise à disposition > Stratégie d’accès, entrez la valeur Workspace in Farm. Dans Filtre, entrez l’une des valeurs suivantes.

  • CONFORME — Pour les appareils conformes
  • NON CONFORME - Pour les appareils non conformes

  

Flux d’utilisateurs finaux

Une fois que les stratégies d’état de sécurité de l’appareil sont définies et que l’état de sécurité de l’appareil est activé, le flux de l’utilisateur final est le suivant :

1. Accédez à l’URL de Citrix Workspace, <https://<your custom workspace URL>. La position de l’appareil scanne le terminal.

2. Cliquez sur Ouvrir le lien pour démarrer l’analyse.

   

3. Si l’invite expire, les utilisateurs sont redirigés vers la page qui affiche les options, Vérifier à nouveau et Télécharger le plug-in. L’utilisateur doit cliquer à nouveau sur Vérifier.

   

Résultats de l’état de sécurité de l’appareil

En fonction des conditions de la stratégie d’état de sécurité de l’appareil, trois possibilités peuvent se présenter :

• Si l’appareil remplit les conditions requises pour refuser l’accès, l’écran suivant s’affiche.

  

• Si l’appareil est conforme, l’utilisateur bénéficie d’un accès illimité.

  

• Si l’appareil n’est pas conforme, l’utilisateur bénéficie d’un accès limité.

  

Résolution de certaines erreurs courantes

Vous trouverez ci-dessous des erreurs typiques ainsi que des conseils d’auto-assistance pour les résoudre.

• Si une analyse échoue en raison d’une erreur inattendue, l’analyse affiche un identifiant de transaction. Partagez cet identifiant avec votre contact Citrix pour résoudre le problème.

• Vous pouvez consulter les journaux pour détecter d’éventuelles erreurs système. Si les journaux ne vous aident pas, contactez votre contact Citrix.

  

  • %localappdata%\Citrix\EPA\dpaCitrix.txt
  • %localappdata%\Citrix\EPA\epalib.txt

Qualité du service Device Posture

• Performances : Dans des conditions idéales, le service Device Posture ajoute un délai supplémentaire de 2 secondes lors de la connexion. Ce délai peut augmenter en fonction de configurations supplémentaires telles que le certificat de l’appareil et des intégrations tierces telles que Microsoft Endpoint Manager (MEM).
• Résilience : le service Device Posture est très résilient et comporte plusieurs POP afin de garantir l’absence de temps d’arrêt.

Points à noter concernant la configuration de la posture de l’appareil

• Les URL d’espace de travail personnalisées ne fonctionnent pas avec le service Device Posture.
• Toute modification de la configuration de la posture de l’appareil ne prend pas effet immédiatement. L’entrée en vigueur des modifications peut prendre environ 10 minutes.
• Si vous avez activé l’option Continuité du service dans Citrix Workspace et si le service Device Posture est en panne, les utilisateurs ne pourront peut-être pas se connecter à Workspace. Cela est dû au fait que Citrix Workspace énumère les applications et les postes de travail en fonction du cache local de la machine utilisateur.
• Si vous avez configuré un jeton et un mot de passe durables sur Citrix Workspace, l’analyse de la posture de l’appareil ne fonctionne pas pour cette configuration. Les appareils sont analysés uniquement lorsque les utilisateurs se connectent à Citrix Workspace.
• Si la taille des expressions est importante (supérieure à 2 000 octets), le client EPA Windows affiche une erreur car il ne gère pas le codage des réponses fragmentées.
• Seules 19 adresses MAC peuvent être configurées dans le cadre de l’analyse des adresses MAC.
• Plusieurs expressions de type File/Process/Registry ne sont pas prises en charge (expression unique ou expressions multiples).
• L’adresse MAC distingue les majuscules et doit être configurée dans l’interface graphique uniquement en majuscules.

Définitions

Vous trouverez ci-dessous les définitions des termes « conforme » et « non conforme » en référence au service Device Posture.

• Conforme : l’appareil est conforme aux conditions définies par les administrateurs à l’aide de la configuration des stratégies pour les analyses d’état de sécurité de l’appareil.
• Non conforme : l’appareil n’est pas conforme par rapport aux stratégies configurées pour les analyses d’état de sécurité de l’appareil.