Citrix Virtual Apps and Desktops

Protection contextuelle des applications pour Workspace

La protection contextuelle des applications offre la flexibilité d’appliquer les stratégies de protection des applications de manière conditionnelle à un sous-ensemble d’utilisateurs, en fonction des utilisateurs, de leur appareil et de la position du réseau.

Mise en œuvre de la protection contextuelle des applications

Vous pouvez mettre en œuvre la protection contextuelle des applications à l’aide des filtres de connexion définis dans la règle de stratégie Broker Access. Les stratégies Broker Access définissent les règles qui contrôlent l’accès d’un utilisateur aux groupes de bureaux. La stratégie comprend un ensemble de règles. Chaque règle se rapporte à un seul groupe de bureaux et contient un ensemble de filtres de connexion et de contrôles de droits d’accès.

Les utilisateurs ont accès à un groupe de bureaux lorsque les détails de leur connexion correspondent aux filtres de connexion d’une ou de plusieurs règles de la stratégie Broker Access. Par défaut, les utilisateurs n’ont accès à aucun groupe de bureaux au sein d’un site. Vous pouvez créer des stratégies Broker Access supplémentaires en fonction des exigences. Plusieurs règles peuvent s’appliquer au même groupe de bureaux. Pour plus d’informations, consultez New-BrokerAssignmentPolicyRule.

Les paramètres suivants de la règle de stratégie Broker Access permettent d’activer la protection des applications de manière contextuelle si la connexion de l’utilisateur correspond aux filtres de connexion définis dans la règle de stratégie d’accès :

  • AppProtectionKeyLoggingRequired
  • AppProtectionScreenCaptureRequired

Utilisez les stratégies Smart Access référencées dans les règles de stratégie Broker Access pour affiner les filtres de connexion. Reportez-vous aux scénarios mentionnés dans cet article pour comprendre comment utiliser les stratégies Smart Access pour configurer la protection contextuelle des applications.

Conditions préalables

Assurez-vous que vous disposez de la configuration suivante :

  • Citrix Virtual Apps and Desktops 2109 ou versions ultérieures
  • Delivery Controller version 2109 ou ultérieure
  • Service de localisation réseau (NLS) pour les scénarios basés sur la localisation réseau de l’utilisateur
  • Configuration requise pour le système de licences
    • Protection des applications pour DaaS
    • Droit d’accès à l’authentification adaptative pour les scénarios avec des stratégies Smart Access

Configuration de la protection contextuelle des applications pour Workspace : quelques scénarios

Scénario 1 : activer la protection des applications pour les utilisateurs externes passant par Access Gateway

  1. Configurez l’authentification adaptative.

  2. Configurez l’accès adaptatif en fonction de l’emplacement de votre réseau.
    1. Connectez-vous à Citrix Cloud et accédez à Emplacements réseau.

      Emplacements réseau

    2. Ajoutez une adresse IP ou un sous-réseau et définissez le paramètre sur Interne ou Direct.
    3. Entrez location_internal dans le champ Balises d’emplacement.
    4. Pour le champ Choisissez un type de connectivité réseau, sélectionnez Interne.

      Type de connectivité réseau

      Si vous vous connectez au magasin cloud à partir d’un appareil dont l’adresse IP est configurée comme interne, la connexion est considérée comme une connexion interne. Toutes les autres connexions réseau sont considérées comme des connexions externes ou via Access Gateway.

  3. Configurer les règles de stratégies Broker Access

    Pour chaque groupe de mise à disposition, deux stratégies Broker Access sont créées par défaut. L’une des stratégies concerne les connexions passant par Access Gateway et l’autre les connexions directes. Vous pouvez activer la protection des applications uniquement pour les connexions passant par Access Gateway, c’est-à-dire les connexions externes. Suivez les étapes suivantes pour configurer les règles de stratégies Broker Access :

    1. Installez le SDK Citrix PowerShell et connectez-vous à l’API cloud comme expliqué sur le blog Citrix Getting started with PowerShell automation for Citrix Cloud.

    2. Exécutez la commande Get-BrokerAccessPolicyRule.

      Une liste de toutes les stratégies Broker Access pour tous les groupes de mise à disposition présents s’affiche.

    3. Recherchez le paramètre DesktopGroupUid pour le groupe de mise à disposition que vous souhaitez modifier.

      ID du groupe de bureaux

    4. Utilisez DesktopGroupUid pour récupérer les stratégies applicables au groupe de mise à disposition. Il existe au moins deux stratégies, l’une avec le paramètre AllowedConnections défini sur ViaAG et l’autre avec NotViaAG.

      Get-BrokerAccessPolicyRule -DesktopGroupUid 7

      Obtenir la stratégie Broker Access

      Sur la capture d’écran, vous pouvez voir deux stratégies :

      • CAP_Desktops_AG - AllowedConnections with ViaAG : représente la stratégie pour les connexions externes ou les connexions via Access Gateway.

      • CAP_Desktops_Direct – AllowedConnections with NotViaAG : représente la stratégie pour les connexions internes ou les connexions directes.

  4. Activez les stratégies de protection des applications uniquement pour les connexions externes et désactivez-les pour les connexions internes à l’aide des commandes suivantes :

    • Set-BrokerAccessPolicyRule CAP_Desktops_AG -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

    • Set-BrokerAccessPolicyRule CAP_Desktops_Direct -AppProtectionKeyLoggingRequired $false -AppProtectionScreenCaptureRequired $false

Vérification

Déconnectez-vous de l’application Citrix Workspace, puis reconnectez-vous. Lancez la ressource protégée à partir d’une connexion externe. Notez que les stratégies de protection des applications sont appliquées. Lancez la même ressource à partir d’une connexion interne, un appareil appartenant à la plage d’adresses IP configurée lors de la première étape. Notez que les stratégies de protection des applications sont désactivées.

Scénario 2 : activer la protection des applications pour les appareils non fiables

Il existe plusieurs définitions des appareils fiables et non fiables. Pour ce scénario, considérons qu’un appareil est fiable si l’analyse EPA (Endpoint Analysis) est réussie. Tous les autres appareils sont considérés comme des appareils non fiables.

  1. Configurez l’authentification adaptative.
  2. Créez une stratégie d’authentification avec une analyse EPA en suivant les étapes suivantes :

    1. Connectez-vous à l’interface d’administration de Citrix ADC. Dans l’onglet Configuration, accédez à Security > AAA-Application Traffic -> Virtual Servers. Cliquez sur le serveur virtuel que vous souhaitez utiliser, auth_vs dans ce cas.

      Serveurs virtuels

    2. Accédez à Authentication Policies > Add Binding.

      Authentication policies

      Add Binding

    3. Cliquez sur Add pour créer une stratégie.

      Policy binding

    4. Créez une stratégie d’authentification basée sur l’analyse EPA. Entrez le nom de la stratégie. Définissez Action Type sur EPA. Cliquez sur Add pour créer une action.

      Create Authentication Policy

    5. L’écran Create Authentication EPA Action s’affiche.

      Create Authentication EPA

      Sur l’écran Create Authentication EPA Action, entrez les informations suivantes et cliquez sur Create pour créer une action.

      • Name : entrez le nom de l’action EPA. Dans ce cas, EPA_Action_FileExists.
      • Default Group : entrez le nom du groupe par défaut. Si le paramètre « EPA expression » est défini sur True, les utilisateurs sont ajoutés au groupe par défaut. Dans ce cas, Default Group est défini sur FileExists.
      • Quarantine Group : entrez le nom du groupe de quarantaine. Si le paramètre « EPA expression » est défini sur False, les utilisateurs sont ajoutés au groupe de quarantaine.
      • Expression : ajoutez l’expression EPA que vous souhaitez analyser. Dans cet exemple, nous considérons que l’analyse EPA est réussie si un fichier particulier est présent : sys.client_expr("file_0_C:\\\\epa\\\\avinstalled.txt")
    6. Revenez à l’écran Create Authentication Policy. Entrez true dans la zone Expression Editor, puis cliquez sur Create.

      Authentication EPA - Paramètre défini sur true

    7. Revenez à l’écran Policy Binding. Procédez comme suit :

      • Définissez Goto Expression sur NEXT.
      • Dans la section Select Next Factor, sélectionnez la stratégie LDAP que vous avez configurée pour l’authentification dans ADC (Application Delivery Controller).
      • Cliquez sur Bind.

        Policy Binding - Détails

  3. Créez une stratégie Smart Access pour les appareils fiables en suivant les étapes suivantes :
    1. Sélectionnez Smart Access Policies sur la page Authentication Virtual Server du serveur auth_vs.

      Authentication virtual servers

    2. Cliquez sur Add Binding.

      Add Binding

    3. Sur l’écran Policy Binding, cliquez sur Add dans la section Select Policy.

      Select policy

    4. L’écran Create Authentication Smart Access Policy s’affiche.

      Authentication Smart Access

      Sur l’écran Create Authentication Smart Access Policy, sous Name, donnez un nom à la stratégie Smart Access et cliquez sur Add pour créer un profil Smart Access.

    5. L’écran Create Authentication Smart Access Profile s’affiche. Sous Name, ajoutez le nom de l’action. Entrez trusted dans le champ Tags. La balise sera référencée dans la règle de stratégie Broker Access lors de la configuration. Cliquez sur Create.

      Create Authentication profile

    6. Revenez à l’écran Create Authentication Smart Access Policy. Dans la section Expression, entrez l’expression pour laquelle vous souhaitez transmettre la balise. Dans ce cas, étant donné que la balise est transmise pour les appareils fiables, entrez AAA.USER.IS_MEMBER_OF(“FileExists”). Cliquez sur Create.

      Balise pour appareils fiables

    7. Revenez à l’écran Policy Binding. Définissez Goto Expression sur End et cliquez sur Bind.

      Sélectionner Goto Expression

  4. Créez une stratégie Smart Access pour les appareils non fiables.

    1. Suivez les instructions de l’étape précédente, à l’exception des sous-étapes v et vi.
    2. Pour la sous-étape v, sur l’écran Create Authentication Smart Access Profile, sous Name, ajoutez le nom de l’action. Entrez untrusted dans le champ Tags. La balise est ensuite référencée dans la règle Broker Access Policy pour la configuration. Cliquez sur Create.
    3. Pour la sous-étape vi, dans la section Expression de l’écran Create Authentication Smart Access Policy, entrez l’expression pour laquelle vous souhaitez transmettre la balise. Dans ce cas, étant donné que la balise est transmise pour les appareils non fiables, entrez AAA.USER.IS_MEMBER_OF(“FileExists”).NOT.
  5. Configurez les règles de stratégies Broker Access.

    1. Installez le SDK Citrix PowerShell et connectez-vous à l’API cloud comme expliqué sur le blog Citrix Getting started with PowerShell automation for Citrix Cloud.
    2. Exécutez la commande Get-BrokerAccessPolicyRule.

      Une liste de toutes les stratégies Broker Access pour tous les groupes de mise à disposition présents s’affiche.

    3. Recherchez le paramètre DesktopGroupUid pour le groupe de mise à disposition que vous souhaitez modifier.

      ID du groupe de bureaux

    4. Obtenez les stratégies qui s’appliquent uniquement à un groupe de mise à disposition particulier, à l’aide de la commande : Get-BrokerAccessPolicyRule -DesktopGroupUid 7
    5. Pour filtrer les utilisateurs utilisant des appareils fiables, créez une autre stratégie Broker Access à l’aide de la commande suivante : New-BrokerAccessPolicyRule -Name CAP_Desktops_AG_Trusted-DesktopGroupUid 7 - AllowedConnections ViaAG -AllowedProtocols HDX, RDP -AllowedUsers AnyAuthenticated - AllowRestart $true -Enabled $true-IncludedSmartAccessFilterEnabled $true
    6. Pour désactiver la protection des applications pour les appareils fiables et activer la protection des applications pour les appareils non fiables, utilisez la commande suivante : Set-BrokerAccessPolicyRule CAP_Desktops_AG_trusted -IncludedSmartAccessTags Workspace:trusted -AppProtectionKeyLoggingRequired $false -AppProtectionScreenCaptureRequired $false

      Set-BrokerAccessPolicyRule CAP_Desktops_AG -IncludedSmartAccessTags Workspace:untrusted -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

Vérification

Déconnectez-vous de l’application Citrix Workspace, puis reconnectez-vous. Lancez la ressource protégée à partir d’un appareil fiable qui répond aux conditions d’analyse EPA. Notez que les stratégies de protection des applications ne sont pas appliquées. Lancez la même ressource à partir d’un appareil non fiable. Notez que les stratégies de protection des applications sont appliquées.

Protection contextuelle des applications pour Workspace