Protection contextuelle des applications pour StoreFront

La protection contextuelle des applications offre la flexibilité d’appliquer les stratégies de protection des applications de manière conditionnelle à un sous-ensemble d’utilisateurs, en fonction des utilisateurs, de leur appareil et de la position du réseau.

Mise en œuvre de la protection contextuelle des applications

Vous pouvez mettre en œuvre la protection contextuelle des applications à l’aide des filtres de connexion définis dans la règle de stratégie Broker Access. Les stratégies Broker Access définissent les règles qui contrôlent l’accès d’un utilisateur aux groupes de bureaux. La stratégie comprend un ensemble de règles. Chaque règle se rapporte à un seul groupe de bureaux et contient un ensemble de filtres de connexion et de contrôles de droits d’accès.

Les utilisateurs ont accès à un groupe de bureaux lorsque les détails de leur connexion correspondent aux filtres de connexion d’une ou de plusieurs règles de la stratégie Broker Access. Par défaut, les utilisateurs n’ont accès à aucun groupe de bureaux au sein d’un site. Vous pouvez créer des stratégies Broker Access supplémentaires en fonction des exigences. Plusieurs règles peuvent s’appliquer au même groupe de bureaux. Pour plus d’informations, consultez New-BrokerAssignmentPolicyRule.

Les paramètres suivants de la règle de stratégie Broker Access permettent d’activer la protection des applications de manière contextuelle si la connexion de l’utilisateur correspond aux filtres de connexion définis dans la règle de stratégie d’accès :

• AppProtectionKeyLoggingRequired
• AppProtectionScreenCaptureRequired

Utilisez les filtres Smart Access référencés dans les stratégies Broker Access pour affiner les filtres de connexion. Pour plus d’informations sur la configuration des filtres Smart Access, consultez cet article de support. Reportez-vous aux scénarios ci-dessous pour comprendre comment utiliser les stratégies Smart Access pour configurer la protection contextuelle des applications.

Composants requis

Assurez-vous que vous disposez de la configuration suivante :

• Citrix Virtual Apps and Desktops 2109 ou versions ultérieures
• Delivery Controller version 2109 ou versions ultérieures
• StoreFront version 1912 LTSR ou versions ultérieures
• Connexion réussie entre NetScaler et StoreFront. Pour plus d’informations, consultez Intégrer Citrix Gateway à StoreFront
• Importation de tables XML pour certaines versions LTSR - Reportez-vous à l’étape 1 ci-dessous
• Activez Smart Access sur NetScaler Gateway, pour les scénarios qui nécessitent des balises Smart Access. Pour de plus amples informations, consultez cet article de support.
• Configuration requise pour le système de licences
  • Licence sur site de protection des applications
  • Licence universelle Citrix Gateway pour les scénarios avec des balises Smart Access

Activer la protection contextuelle des applications

1. Téléchargez les stratégies de protection contextuelle des applications (tableau des fonctionnalités) pour votre version de Citrix Virtual Apps and Desktops à partir de la page Téléchargements Citrix.

2. Exécutez les commandes PowerShell suivantes sur le Delivery Controller : asnp Citrix*Set-BrokerSite-TrustRequestsSentToTheXmlServicePort $true.

3. Exécutez les commandes suivantes pour activer la protection contextuelle des applications dans le Delivery Controller : Import-ConfigFeatureTable <path to the downloaded feature table>.

   Par exemple, Import-ConfigFeatureTable\Downloads\FeatureTable.OnPrem.AppProtContextualAccess.xml.

Activation de la protection contextuelle des applications : quelques scénarios

Scénario 1 : activer la protection des applications pour les utilisateurs externes passant par Access Gateway

Pour chaque groupe de mise à disposition, deux stratégies Broker Access sont créées par défaut. L’une pour les connexions passant par Access Gateway et l’autre pour les connexions directes. Vous pouvez activer la protection des applications uniquement pour les connexions passant par Access Gateway.

Les étapes suivantes permettent d’activer la protection des applications pour les utilisateurs externes du groupe de mise à disposition Admin_Desktop_Group, qui contient un bureau appelé Admin_Desktop :

1. Exécutez la commande PowerShell Get-BrokerAccesspolicyRule à partir du Delivery Controller. Deux stratégies Broker Access sont alors définies pour ce groupe Admin_Desktop_Group_AG et Admin_Desktop_Group_Direct.

2. Pour activer les stratégies de protection des applications pour les connexions Access Gateway, exécutez la commande suivante : Set-BrokerAccessPolicyRule Admin_Desktop_Group_AG -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

3. Pour désactiver les stratégies de protection des applications pour les connexions directes, exécutez la commande suivante : Set-BrokerAccessPolicyRule Admin_Desktop_Group_Direct -AppProtectionKeyLoggingRequired $false -AppProtectionScreenCaptureRequired $false

4. Vérification. Déconnectez-vous de l’application Citrix Workspace, si elle est déjà ouverte. Reconnectez-vous à l’application Citrix Workspace. Lancez la ressource Admin_Desktop à partir d’une connexion externe via Access Gateway. Vous verrez que les stratégies de protection des applications sont appliquées sur le bureau de l’administrateur.

Scénario 2 : désactiver la protection des applications pour certains types d’appareils. Par exemple, un iPhone

Voici les étapes à suivre pour désactiver la protection des applications pour les utilisateurs d’iPhone sur un groupe de mise à disposition appelé Win10Desktop.

Étape 1 : Créer la stratégie Smart Access

1. Connectez-vous à l’interface d’administration de Citrix ADC.

2. Dans le menu de navigation de gauche, accédez à Citrix Gateway > Virtual Servers.

   Notez le nom du serveur virtuel VPN qui est requis pour configurer ultérieurement la stratégie Broker Access.

3. Cliquez sur VPN Virtual Server. Faites défiler la page vers le bas et cliquez sur Session policies. La liste des stratégies de session s’affiche.

4. Cliquez sur Add Binding.

   

5. Cliquez sur Add to create a session policy.

   

6. Entrez un nom pour la stratégie de session. Dans ce cas temp.

   

7. Cliquez sur Add en regard de Profile pour spécifier un nom de profil. Cliquez sur Create.

   

8. Cliquez sur Expression Editor dans la fenêtre Session Policy.

9. Créez l’expression suivante pour vérifier la présence de iPhone dans la chaîne User Agent : HTTP.REQ.HEADER(“User-Agent”).CONTAINS(“iPhone”)

   

10. Cliquez sur Bind pour créer la stratégie de session.

Étape 2 : Créer les règles de stratégie Broker Access.

Pour appliquer la stratégie aux utilisateurs d’iPhone accédant à Win10Desktop via Access Gateway,

1. Exécutez la commande suivante dans le Delivery Controller (DDC) : Get-BrokerAccessPolicyRule, qui répertorie toutes les stratégies Broker Access définies dans le DDC. Dans cet exemple, les stratégies Broker Access pour le groupe de mise à disposition Win10Desktop sont Win10Desktop_AG et Win10Desktop_Direct. Notez l’UID du groupe de mise à disposition pour l’étape suivante.

2. Créez une règle de stratégie Broker Access pour Win10Desktop afin de filtrer les utilisateurs d’iPhone passant par Access Gateway à l’aide de la commande suivante : New-BrokerAccessPolicyRule -Name Win10Desktop_AG_iPhone -DesktopGroupUid <Uid_of_desktopGroup> -AllowedConnections ViaAG -AllowedProtocols HDX, RDP -AllowedUsers AnyAuthenticated -AllowRestart $true -AppProtectionKeyLoggingRequired $false -AppProtectionScreenCaptureRequired $false -Enabled $true -IncludedSmartAccessFilterEnabled $true.

   Uid_of_desktopGroup est le DesktopGroupUID du groupe de mise à disposition obtenu en exécutant la règle GetBrokerAccessPolicy à l’étape 1.

3. Pour désactiver la protection des applications pour les utilisateurs d’iPhone Win10Desktop passant par Access Gateway, référencez la balise Smart Access temp créée à l’étape 1. Créez une stratégie Smart Access à l’aide de la commande suivante : Set-BrokerAccessPolicyRule Win10Desktop_AG_iPhone -IncludedSmartAccessTags Primary_HDX_Proxy:temp -AppProtectionScreenCaptureRequired $false -AppProtectionKeyLoggingRequired $false

   Primary_HDX_Proxy est le nom du serveur virtuel VPN indiqué précédemment à l’étape 1, Créer une stratégie Smart Access.

4. Pour activer les stratégies de protection des applications pour le reste des utilisateurs de Win10Desktop, utilisez la commande suivante : Set-BrokerAccessPolicyRule Win10Desktop_AG -AppProtectionScreenCaptureRequired $true -AppProtectionKeyLoggingRequired $true

5. Vérification

   Pour iPhone : déconnectez-vous de l’application Citrix Workspace, si elle est déjà ouverte sur iPhone. Connectez-vous à l’application Citrix Workspace en externe via une connexion Access Gateway. Vous devriez être en mesure de voir la ressource requise dans StoreFront. La protection des applications doit être désactivée.

   Pour les appareils autres que l’iPhone : déconnectez-vous de l’application Citrix Workspace, si elle est déjà ouverte sur l’appareil. Connectez-vous à l’application Citrix Workspace en externe via une connexion Access Gateway. Vous devriez être en mesure de voir la ressource requise dans StoreFront. La protection des applications doit être désactivée.

Scénario 3 : désactiver la protection des applications pour les connexions démarrées à partir d’un accès basé sur un navigateur et activer la protection des applications pour les connexions à partir de l’application Citrix Workspace

Les étapes suivantes consistent à désactiver la protection des applications pour un groupe de mise à disposition appelé Win10Desktop lorsque les connexions sont démarrées à partir d’un navigateur.

1. Étape 1 : Créer des stratégies Smart Access

   1. Créez une stratégie Smart Access pour filtrer les connexions démarrées à partir de l’application Citrix Workspace, comme expliqué dans le scénario 2. Créez l’expression suivante pour vérifier la présence de CitrixReceiver dans la chaîne User Agent : HTTP.REQ.HEADER(“User-Agent”).CONTAINS(“CitrixReceiver”). Dans ce cas, la stratégie Smart Access est cwa.

      

   2. Créez une autre stratégie Smart Access pour filtrer les connexions qui ne sont pas démarrées à partir de l’application Citrix Workspace, HTTP.REQ.HEADER(“User-Agent”).CONTAINS(“CitrixReceiver”).NOT. Dans ce cas, cette stratégie Smart Access est browser.

      

2. Étape 2 : Créer des règles de stratégie Broker Access

   1. Exécutez GetBrokerAccessPolicyRule pour afficher les deux stratégies Broker Access pour Win10Desktop. Pour le groupe de mise à disposition Win10Desktop, les stratégies Broker Access sont Win10Desktop_AG et Win10Desktop_Direct. Notez l’UID du groupe de bureaux de Win10Desktop.

   2. Créez une stratégie Broker Access pour Win10Desktop afin de filtrer les connexions démarrées à partir de l’application Citrix Workspace.

      New-BrokerAccessPolicyRule -Name Win10Desktop_AG_CWA -DesktopGroupUid <Uid_of_desktopGroup> -AllowedConnections ViaAG -AllowedProtocols HDX, RDP -AllowedUsers AnyAuthenticated -AllowRestart $true -Enabled $true -IncludedSmartAccessFilterEnabled $true.

      Uid_of_desktopGroup est le DesktopGroupUID du groupe de mise à disposition obtenu en exécutant la règle GetBrokerAccessPolicy à l’étape 1.

   3. Utilisez la commande suivante pour activer les stratégies de protection des applications uniquement pour les connexions passant par CWA en faisant référence à la balise Smart Access cwa : Set-BrokerAccessPolicyRule Win10Desktop_AG_CWA -IncludedSmartAccessTags Primary_HDX_Proxy:cwa -AppProtectionScreenCaptureRequired $true -AppProtectionKeyLoggingRequired $true. Primary_HDX_Proxy est le nom du serveur virtuel VPN indiqué plus haut à l’étape 1, Créer une stratégie Smart Access.

   4. Utilisez la commande suivante pour désactiver les stratégies de protection des applications pour le reste des connexions via le navigateur : Set-BrokerAccessPolicyRule Win10Desktop_AG -IncludedSmartAccessTags Primary_HDX_Proxy:browser -AppProtectionScreenCaptureRequired $false -AppProtectionKeyLoggingRequired $false.

   5. Vérification. Déconnectez-vous de l’application Citrix Workspace, si elle est déjà ouverte. Reconnectez-vous à l’application Citrix Workspace et lancez la ressource requise à partir d’une connexion externe via Access Gateway. Vous voyez que les stratégies de protection des applications sont activées pour la ressource. Lancez la même ressource à partir du navigateur via une connexion externe et vous verrez que les stratégies de protection des applications sont désactivées.

Scénario 4 : désactiver la protection des applications pour les utilisateurs d’un groupe Active Directory spécifique

Les étapes suivantes consistent à désactiver la protection des applications pour les utilisateurs Win10Desktop qui font partie du groupe Active Directory xd.local\sales.

1. Exécutez GetBrokerAccessPolicyRule pour afficher les deux stratégies Broker Access pour Win10Desktop. Pour un groupe de mise à disposition Win10Desktop, il existe deux stratégies Broker Access, Win10Desktop_AG et Win10Desktop_Direct. Notez l’UID du groupe de bureaux de Win10Desktop.

2. Créez une règle de stratégie Broker Access pour Win10Desktop afin de filtrer les connexions des utilisateurs du groupe Active Directory xd.local\sales.

   New-BrokerAccessPolicyRule -Name Win10Desktop_AG_Sales_Group -DesktopGroupUid <Uid_of_desktopGroup> -AllowedConnections ViaAG -AllowedProtocols HDX, RDP -AllowedUsers Filtered -AllowRestart $true -Enabled $true -IncludedSmartAccessFilterEnabled $true

   Uid_of_desktopGroup est le DesktopGroupUID du groupe de mise à disposition obtenu en exécutant la règle GetBrokerAccessPolicy à l’étape 1.

3. Utilisez la commande suivante pour désactiver les stratégies de protection des applications pour les utilisateurs de Windows 10 Desktop, qui font partie du groupe AD xd.local\sales : Set-BrokerAccessPolicyRule Win10Desktop_AG_Sales_Group -AllowedUsers Filtered -IncludedUsers xd.local\sales -IncludedUserFilterEnabled $true -AppProtectionScreenCaptureRequired $false -AppProtectionKeyLoggingRequired $false

4. Utilisez la commande suivante pour activer les stratégies de protection des applications pour le reste des connexions de passerelle, à l’exception des utilisateurs de xd.local\sales : Set-BrokerAccessPolicyRule Win10Desktop_AG -AllowedUsers Anyauthenticated -ExcludedUserFilterEnabled $true -ExcludedUsers xd.local\sales -AppProtectionScreenCaptureRequired $true -AppProtectionKeyLoggingRequired $true
5. Vérification. Déconnectez-vous de l’application Citrix Workspace, si elle est déjà ouverte. Connectez-vous à l’application Citrix Workspace en tant qu’utilisateur du groupe Active Directory xd.local\sales. Lancez la ressource protégée et vous verrez que la protection des applications est désactivée. Déconnectez-vous de l’application Citrix Workspace et reconnectez-vous en tant qu’utilisateur ne faisant pas partie de xd.local\sales. Lancez la ressource protégée et vous verrez que la protection des applications est activée.