Posture de l’appareil

Le service Citrix Device Posture est une solution basée sur le cloud qui aide les administrateurs à appliquer certaines exigences auxquelles les appareils finaux doivent satisfaire pour accéder aux Citrix DaaS (applications et bureaux virtuels) ou aux ressources Citrix Secure Private Access (SaaS, applications Web, applications TCP et UDP). Il est essentiel d’établir la confiance entre les appareils en vérifiant leur posture pour mettre en œuvre un accès basé sur la confiance zéro. Le service Device Posture applique les principes de confiance zéro sur votre réseau en vérifiant la conformité des appareils finaux (gestion, BYOD et posture de sécurité) avant d’autoriser un utilisateur final à se connecter.

Composants requis

• Exigences en matière de licence : l’accès au service Citrix Device Posture fait partie de l’offre d’authentification adaptative de Citrix, qui est fournie avec les licences Citrix DaaS Premium, Citrix DaaS Premium Plus et Citrix Secure Private Access Advanced. Les clients possédant d’autres licences peuvent acheter Adaptive Authentication en tant que module complémentaire.

• Plates-formes prises en charge :

  • Windows (10 et 11)
  • macOS 13 Ventura
  • macOS 12 Monterey

  Remarque :

  • Un appareil s’exécutant sur une plate-forme non prise en charge est marqué comme non conforme par défaut. Vous pouvez modifier la classification de Non conforme à Connexion refusée dans l’onglet Paramètres de la page Posture de l’appareil.

  • Un appareil qui s’exécute sur une plateforme prise en charge mais qui ne correspond à aucune politique de posture prédéfinie est marqué comme non conforme, par défaut. Vous pouvez modifier la classification de Non conforme à Connexion refusée dans l’onglet Paramètres de la page Posture de l’appareil.

• Client Citrix Device Posture (client EPA) : application légère qui doit être installée sur le terminal pour exécuter des analyses de posture de l’appareil. Cette application ne nécessite pas de droits d’administrateur local pour être téléchargée et installée sur un terminal.

• Navigateurs compatibles : Chrome, Edge et Firefox.

• Versions de l’application Citrix Workspace

  • Windows — 2303 et versions ultérieures
  • macOS — 2304 et versions ultérieures

Fonctionnement

Les administrateurs peuvent créer des politiques de posture des appareils pour vérifier l’état des terminaux et déterminer si un terminal est autorisé ou non à se connecter. Les appareils autorisés à se connecter sont en outre classés comme conformes ou non conformes. Les utilisateurs peuvent se connecter à partir d’un navigateur ou de l’application Citrix Workspace.

Vous trouverez ci-dessous les conditions générales utilisées pour classer un appareil comme étant conforme, non conforme et auquel la connexion est refusée.

• Appareils conformes  : appareil qui répond aux exigences des politiques préconfigurées et qui est autorisé à se connecter au réseau de l’entreprise avec un accès complet ou illimité aux ressources Citrix Secure Private Access ou aux ressources Citrix DaaS.
• Appareils non conformes  : appareil qui répond aux exigences des politiques préconfigurées et qui est autorisé à se connecter au réseau de l’entreprise avec un accès partiel ou restreint aux ressources Citrix Secure Private Access ou aux ressources Citrix DaaS.
• Connexion refusée : - Un appareil qui ne répond pas aux exigences de la politique se voit refuser la connexion.

La classification des appareils comme étant conformes, non conformeset refusée est transmise à Citrix DaaS et au service Citrix Secure Private Access qui, à son tour, utilise la classification des appareils pour fournir des fonctionnalités d’accès intelligent.

Remarque :

• Les stratégies d’état de sécurité de l’appareil doivent être configurées spécifiquement pour chaque plate-forme. Par exemple, pour macOS, un administrateur peut autoriser l’accès aux appareils dotés d’une version de système d’exploitation spécifique. De même, pour Windows, l’administrateur peut configurer des stratégies pour inclure un fichier d’autorisation spécifique, des paramètres de registre, etc.
• Les analyses de la position de l’appareil sont effectuées uniquement lors de la pré-authentification/avant la connexion.
• Pour les définitions des termes « conforme » et « non conforme », voir Définitions.

Scans pris en charge par l’état de sécurité de l’appareil

Les scans suivants sont pris en charge par le service Citrix Device Posture :

Windows	macOS
Version de l’application Citrix Workspace	Version de l’application Citrix Workspace
Fichier — (existe, nom du fichier et chemin)	Fichier — (existe, nom du fichier et chemin)
Adresse MAC	Adresse MAC
Version du système d’exploitation	Version du système d’exploitation
Processus (existe)	Processus (existe)
Microsoft Endpoint Manager	Microsoft Endpoint Manager
Nom du domaine	-
Registre non numérique (32 bits)	-
Registre non numérique (64 bits)	-
Registre numérique (32 bits)	-
Registre numérique (64 bits)	-
Type d’installation de Windows Update	-
Installation de Windows Update Dernière vérification de la mise à jour	-

Intégration tierce à la posture de l’appareil

Outre les scans natifs proposés par le service Device Posture, le service peut également être intégré à d’autres solutions tierces. Device Posture est intégré à Microsoft Endpoint Manager (MEM) sous Windows et macOS. Pour plus de détails sur la configuration de l’intégration MEM, voir Intégration de Microsoft Endpoint Manager à Device Posture - Preview.

Configuration de la posture de l’appareil

La posture de l’appareil est une combinaison de politiques et de règles qu’un appareil doit respecter pour accéder aux ressources. Chaque stratégie est associée à l’une des actions, à savoir connexion conforme, non conforme et refus de connexion. De plus, chaque stratégie est associée à une priorité et l’évaluation de la stratégie s’arrête si une stratégie est évaluée comme vraie et que l’action associée est entreprise.

1. Connectez-vous à Citrix Cloud, puis sélectionnez Gestion des identités et des accès dans le menu hamburger.

2. Cliquez sur l’onglet Device Posture, puis sur Gérer.

   

   Remarque :

   • Les clients du service d’accès privé sécurisé peuvent directement cliquer sur Device Posture dans la barre de navigation de gauche de l’interface utilisateur d’administration.
   • Pour les nouveaux utilisateurs, la page d’accueil Device Posture vous invite à créer une stratégie d’état de sécurité de l’appareil. La stratégie d’état de sécurité des appareils doit être configurée individuellement pour chaque plate-forme. Une fois que vous avez créé une stratégie d’état de sécurité de l’appareil, elle est répertoriée sous les plateformes appropriées.
   • Une stratégie n’entre en vigueur que lorsque la position de l’appareil est activée. Pour activer la posture de l’appareil, faites glisser le bouton La posture de l’appareil est désactivée dans le coin supérieur droitsurActivé.

   

3. Cliquez sur Créer une stratégie relative aux appareils.

4. Dans Plateforme, sélectionnez la plateforme pour laquelle vous souhaitez appliquer une stratégie. Vous pouvez passer de Windows à macOS ou inversement, quel que soit l’onglet que vous avez sélectionné sur la page d’accueil de Device Posture.

5. Dans Sélectionner une règle, sélectionnez la vérification que vous souhaitez effectuer dans le cadre de la posture de l’appareil et sélectionnez les conditions qui doivent être remplies.

6. Cliquez sur Ajouter une autre règle pour créer plusieurs règles. Une condition AND est appliquée à plusieurs règles.

   

7. Dans Résultat de la politique basé sur les conditions que vous avez configurées, sélectionnez le type selon lequel l’analyse de l’appareil doit classer la machine utilisateur.

   • Conforme
   • Non conforme
   • Accès refusé
8. Entrez un nom pour la stratégie.

9. Dans Priorité, entrez l’ordre dans lequel les stratégies doivent être évaluées.

   • Vous pouvez saisir une valeur comprise entre 1 et 100. Il est recommandé de configurer les stratégies de refus avec une priorité plus élevée, puis les stratégies non conformes et enfin les stratégies conformes.
   • La priorité ayant la valeur la plus faible a la préférence la plus élevée.
   • Seules les stratégies activées sont évaluées en fonction de la priorité.

10. Cliquez sur Create.

    

Important :

Vous devez activer le bouton Activer lors de la création pour que les politiques de posture de l’appareil prennent effet. Avant d’activer les stratégies, il est recommandé de vous assurer qu’elles sont correctement configurées et que vous effectuez ces tâches dans votre configuration de test.

Modifier la stratégie d’état de sécurité d’un appareil

Les politiques de posture de l’appareil configurées sont répertoriées sous la plate-forme spécifique sur la page Device Scans . Vous pouvez rechercher la politique que vous souhaitez modifier sur cette page. Vous pouvez également activer, désactiver ou supprimer une politique à partir de cette page.

Configuration de l’accès contextuel (accès intelligent) à l’aide de la posture de l’appareil

Une fois qu’un appareil est autorisé à se connecter après la vérification de sa posture, il peut être conforme ou non conforme. Ces informations sont disponibles sous forme de balises pour le service Citrix DaaS et le service Citrix Secure Private Access et sont utilisées pour fournir un accès contextuel en fonction de la posture de l’appareil. Par conséquent, les services Citrix DaaS et Citrix Secure Private Access doivent être configurés pour appliquer le contrôle d’accès à l’aide des balises de posture des appareils.

Configuration de Citrix DaaS avec posture de l’appareil

1. Connectez-vous à Citrix Cloud.
2. Sur la vignette DaaS, cliquez sur Gérer.
3. Accédez à la section Groupe de mise à disposition dans le menu de gauche.
4. Sélectionnez le groupe de mise à disposition pour lequel vous souhaitez configurer le contrôle d’accès en fonction de la posture de l’appareil et cliquez sur Modifier.
5. Sur la page Modifier le groupe de mise à disposition, cliquez sur Politique d’accès.
6. Cliquez sur Ajouter sur la page Politique d’accès, entrez la valeur Workspace dans Farm.

7. Dans Filtre, entrez l’une des valeurs suivantes.

   • CONFORME - Pour les appareils conformes

   • NON CONFORME - Pour les appareils non conformes

     Remarque :

     La syntaxe des étiquettes de classification des appareils doit être saisie de la même manière que celle capturée précédemment, c’est-à-dire en majuscules initiales (CONFORME et NON CONFORME). Sinon, les politiques de posture de l’appareil ne fonctionnent pas comme prévu.

8. Cliquez sur Enregistrer.

Remarque :

Tout groupe de mise à disposition DaaS qui n’est pas marqué comme conforme ou non conforme dans la politique d’accès DaaS est traité comme le groupe de mise à disposition par défaut et est accessible sur tous les terminaux, quelle que soit la position de l’appareil.

Configuration de Citrix Secure Private Access avec Device Posture

1. Connectez-vous à Citrix Cloud.
2. Sur la vignette Secure Private Access, cliquez sur Gérer.
3. Cliquez sur Politiques d’accès dans le volet de navigation de gauche, puis cliquez sur Créer une politique.
4. Ajoutez les applications pour lesquelles vous souhaitez appliquer la politique d’accès.
5. Définissez les utilisateurs/groupes d’utilisateurs pour lesquels la politique d’accès doit être appliquée, puis cliquez sur Ajouterune condition.
6. Sélectionnez Vérification de la posture de l’appareil et expression logique dans le menu déroulant.

7. Entrez l’une des valeurs suivantes dans les balises personnalisées :

   • Conforme  : pour les appareils conformes
   • Non conforme  : pour les appareils non conformes

   Remarque :

   La syntaxe des étiquettes de classification des appareils doit être saisie de la même manière que celle capturée précédemment, c’est-à-dire en majuscules initiales (conformes et non conformes). Sinon, les politiques de posture de l’appareil ne fonctionnent pas comme prévu.

8. Dans Procédez ensuite comme suit, sélectionnez l’une des options suivantes :

   • Autoriser l’accès (l’accès complet est accordé)
   • Autoriser l’accès avec restrictions (accès aux applications avec restrictions de sécurité)
   • Accès refusé
9. Entrez un nom pour la stratégie.
10. Cliquez sur Enregistrer.

Remarque :

Toute application Secure Private Access qui n’est pas marquée comme conforme ou non conforme dans la politique d’accès est traitée comme l’application par défaut et est accessible sur tous les terminaux, quelle que soit la position de l’appareil.

Flux d’utilisateurs finaux

Une fois que les politiques de posture des appareils sont définies et que la posture des appareils est activée, les flux des utilisateurs finaux sont les suivants en fonction de la manière dont l’utilisateur final se connecte à Citrix Workspace.

Flux d’utilisateurs finaux via un accès par navigateur

Remarque :

Le client macOS et le navigateur Chrome sont utilisés à titre d’exemple à des fins d’illustration. Les écrans et les notifications varient en fonction du client et du navigateur que vous utilisez pour accéder à l’URL de Citrix Workspace.

• Lorsqu’un utilisateur final se connecte à l’URL de Citrix Workspace https://<your-workspace-URL via un navigateur, il est invité à exécuter l’application Citrix EndpointAnalysis.

  

• Lorsque l’utilisateur final clique sur Ouvrir Citrix End Point Analysis, le client de posture de l’appareil s’exécute et analyseles paramètres du point de terminaison en fonction des exigences de la politique de posture de l’appareil.

• Si le client de posture de l’appareil le plus récent n’est pas installé sur le terminal, les utilisateurs sont redirigés vers la page qui affiche les options, Vérifiez à nouveau et Téléchargez le client. L’utilisateur doit cliquer sur Télécharger le client.

• Si le client de posture de l’appareil le plus récent est déjà installé sur le terminal, l’utilisateur doit cliquer à nouveau sur Vérifier.

  

Flux d’utilisateurs finaux via l’application Citrix Workspace

• Lorsqu’un utilisateur final se connecte à l’URL Citrix Workspace https://your-workspace-url via l’application Citrix Workspace, le client de posture de l’appareil installé sur le terminal s’exécute et analyse les paramètres du point de terminaison en fonction des exigences de la politique de posture de l’appareil.
• Si le client de posture de l’appareil le plus récent n’est pas installé sur le terminal, les utilisateurs sont redirigés vers la page qui affiche les options, Vérifiez à nouveau et Téléchargez le client. L’utilisateur doit cliquer sur Télécharger le client.
• Si le client de posture de l’appareil le plus récent est déjà installé sur le terminal, l’utilisateur doit cliquer à nouveau sur Vérifier.

Flux des utilisateurs finaux : résultats relatifs à la posture de l’appareil

Selon les conditions de la politique de posture de l’appareil, trois possibilités peuvent se présenter.

Si un terminal répond aux conditions de la politique de telle sorte que l’appareil est classé dans la catégorie suivante :

• Conforme  : l’utilisateur final est autorisé à se connecter avec un accès illimité aux ressources Secure Private Access ou Citrix DaaS.

• Non conforme  : l’utilisateur final est autorisé à se connecter avec un accès restreint aux ressources Secure Private Access ou Citrix DaaS.

  

Si un terminal répond aux conditions de politique de sorte que l’appareil est classé comme Accès refusé, le message Accès refusé s’affiche.

Journaux de posture de l’appareil

Dans la version actuelle, les journaux des événements relatifs à la posture de l’appareil peuvent être consultés sur le tableau de bord Secure Private Access. Procédez comme suit pour consulter les journaux d’événements du service Device Posture.

1. Connectez-vous à Citrix Cloud.
2. Sur la vignette Accès privé sécurisé, cliquez sur Gérer,
3. Accédez à la section Tableau de bord depuis le menu de gauche.
4. Cliquez sur le lien En savoir plus dans le graphique des journaux de diagnostic pour afficher les journaux des événements relatifs à la posture de l’appareil.

• Les administrateurs peuvent filtrer les journaux en fonction de l’ID de transaction figurant dans le graphique des journaux de diagnostic . L’ID de transaction est également affiché à l’utilisateur final chaque fois que l’accès est refusé.

  

• En cas d’erreur ou d’échec du scan, le service Device Posture affiche un ID de transaction. Cet ID de transaction est disponible dans le tableau de bord du service Secure Private Access. Si les journaux ne permettent pas de résoudre le problème, les utilisateurs finaux peuvent partager l’ID de transaction avec le support Citrix pour résoudre le problème.

  

• Les journaux du client Windows se trouvent à l’adresse suivante :

  • %localappdata%\Citrix\EPA\dpaCitrix.txt
  • %localappdata%\Citrix\EPA\epalib.txt

• Les journaux du client macOS peuvent être consultés à l’adresse suivante :

  • ~/Bibliothèque/Application Support/Citrix/EPAPlugin/EpaCloud.log
  • ~/Bibliothèque/Application Support/Citrix/EPAPlugin/epaplugin.log

Limitations connues

• Les URL d’espace de travail personnalisées ne sont pas prises en charge par le service Device Posture.
• L’activation ou la désactivation de la fonctionnalité de posture de l’appareil après l’activation ou la désactivation du bouton de posture de l’appareil peut prendre de quelques minutes à une heure.
• Toute modification de la configuration de la posture de l’appareil ne prend pas effet immédiatement. L’entrée en vigueur des modifications peut prendre environ 10 minutes.
• Si vous avez activé l’option Continuité du service dans Citrix Workspace et si le service Device Posture est en panne, les utilisateurs ne pourront peut-être pas se connecter à Workspace. Cela est dû au fait que Citrix Workspace énumère les applications et les postes de travail en fonction du cache local de la machine utilisateur.
• Si vous avez configuré un jeton et un mot de passe durables sur Citrix Workspace, l’analyse de la posture de l’appareil ne fonctionne pas pour cette configuration. Les appareils sont analysés uniquement lorsque les utilisateurs se connectent à Citrix Workspace.
• Chaque plateforme peut avoir un maximum de 10 politiques et chaque politique peut avoir un maximum de 10 règles.
• L’accès basé sur les rôles n’est pas pris en charge par le service Device Posture.

Qualité du service

• Performances : dans des conditions idéales, le service Device Posture ajoute un délai supplémentaire de 2 secondes lors de la connexion. Ce délai peut augmenter en fonction de configurations supplémentaires telles que des intégrations tierces telles que Microsoft Endpoint Manager (MEM). L’intégration de la posture de l’appareil avec MEM est en cours de prévisualisation.
• Résilience : le service Device Posture est très résilient et comporte plusieurs POP afin de garantir l’absence de temps d’arrêt.

Définitions

Les termes « conforme » et « non conforme » en référence au service Device Posture sont définis comme suit.

• Appareils conformes  : appareil qui répond aux exigences des politiques préconfigurées et qui est autorisé à se connecter au réseau de l’entreprise avec un accès complet ou illimité aux ressources Citrix Secure Private Access ou aux ressources Citrix DaaS.
• Appareils non conformes  : appareil qui répond aux exigences des politiques préconfigurées et qui est autorisé à se connecter au réseau de l’entreprise avec un accès partiel ou restreint aux ressources Citrix Secure Private Access ou aux ressources Citrix DaaS.