Scénario 2
Ce scénario explique comment désactiver App Protection pour les connexions lancées depuis un navigateur et activer App Protection pour les connexions lancées depuis l’application Citrix Workspace.
Les étapes suivantes permettent de désactiver App Protection pour un groupe de mise à disposition appelé Win10Desktop
lorsque les connexions sont lancées depuis un navigateur et pour activer App Protection pour les connexions lancées depuis l’application Citrix Workspace :
-
Créez des stratégies Smart Access :
-
Créez une stratégie Smart Access pour filtrer les connexions lancées depuis l’application Citrix Workspace, comme défini dans le scénario précédent Désactiver App Protection pour certains types d’appareils. Créez l’expression suivante pour rechercher CitrixReceiver dans la chaîne User Agent :
HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver") <!--NeedCopy-->
Dans ce scénario, la stratégie Smart Access est
cwa
. -
Créez une autre stratégie Smart Access pour filtrer les connexions qui ne sont pas démarrées depuis l’application Citrix Workspace
HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver").NOT
. Dans ce cas, cette stratégie Smart Access est browser.
-
-
Créer des règles de stratégie Broker Access :
-
Exécutez
GetBrokerAccessPolicyRule
pour afficher les deux stratégies Broker Access pourWin10Desktop
. Pour le groupe de mise à dispositionWin10Desktop
, les stratégies Broker Access sontWin10Desktop_AG
etWin10Desktop_Direct
. Notez l’UID du groupe de bureaux deWin10Desktop
. -
Créez une stratégie Broker Access pour
Win10Desktop
afin de filtrer les connexions lancées depuis l’application Citrix Workspace à l’aide de la commande suivante :New-BrokerAccessPolicyRule -Name Win10Desktop_AG_CWA -DesktopGroupUid <Uid_of_desktopGroup> -AllowedConnections ViaAG -AllowedProtocols HDX, RDP -AllowedUsers AnyAuthenticated -AllowRestart $true -Enabled $true -IncludedSmartAccessFilterEnabled $true <!--NeedCopy-->
Uid_of_desktopGroup est le DesktopGroupUID du groupe de mise à disposition obtenu en exécutant la règle GetBrokerAccessPolicy à l’étape 1.
-
Utilisez la commande suivante pour activer les stratégies App Protection uniquement pour les connexions via l’application Citrix Workspace en indiquant la balise Smart Access
cwa
:Set-BrokerAccessPolicyRule Win10Desktop_AG_CWA -IncludedSmartAccessTags Primary_HDX_Proxy:cwa -AppProtectionScreenCaptureRequired $true -AppProtectionKeyLoggingRequired $true <!--NeedCopy-->
Primary_HDX_Proxy est le nom du serveur virtuel VPN indiqué plus haut à l’étape 1, Créer une stratégie Smart Access.
-
Utilisez la commande suivante pour désactiver les stratégies App Protection pour les autres connexions via le navigateur :
Set-BrokerAccessPolicyRule Win10Desktop_AG -IncludedSmartAccessTags Primary_HDX_Proxy:browser -AppProtectionScreenCaptureRequired $false -AppProtectionKeyLoggingRequired $false <!--NeedCopy-->
-
-
Vérification
Déconnectez-vous de l’application Citrix Workspace, si elle est déjà ouverte. Connectez-vous à l’application Citrix Workspace et lancez la ressource requise via une connexion externe via Access Gateway. Vous voyez que les stratégies App Protection sont activées pour la ressource. Lancez la même ressource depuis le navigateur via une connexion externe et vous constaterez que les stratégies App Protection sont désactivées.