Contrôler l’accès des utilisateurs aux applications
La fonction de contrôle d’accès aux applications vous permet de contrôler l’accès des utilisateurs aux applications à l’aide de règles. Elle vous aide à rationaliser la gestion des applications et des images. Par exemple, vous pouvez fournir des machines identiques à différents services tout en répondant à leurs exigences spécifiques pour les applications, réduisant ainsi le nombre d’images.
Cet article explique le processus d’activation du contrôle d’accès aux applications et de configuration des règles de contrôle. Il fournit également un exemple d’utilisation de cette fonctionnalité pour simplifier la gestion des images dans des environnements virtuels.
Vue d’ensemble
Grâce à la fonction de contrôle d’accès aux applications, vous pouvez masquer les applications aux utilisateurs, aux machines et aux processus en configurant des règles de masquage.
Une règle de masquage d’application définit deux parties :
-
Objets à masquer. Fichiers, dossiers et entrées de registre que vous souhaitez masquer pour une application.
Par exemple, pour masquer une application, vous devez spécifier tous les objets associés à cette application, tels que les fichiers, les dossiers et les entrées de registre.
-
Attributions. Utilisateurs, machines et processus auprès desquels vous souhaitez masquer l’application.
Types d’attributions
Les attributions relatives aux règles de masquage se répartissent en trois catégories : utilisateurs, machines et processus. Les types d’attributions détaillés sont les suivants :
- Utilisateurs
- Groupes d’utilisateurs
- Machines
- Unités d’organisation (UO)
- Processus
Remarque :
Dans le contexte du contrôle d’accès aux applications, les unités d’organisation sont utilisées comme conteneurs uniquement pour les machines. Par conséquent, une attribution d’unité d’organisation masque l’application uniquement aux machines de l’unité d’organisation. Cela ne masque pas l’application aux utilisateurs de l’unité d’organisation.
Lorsque plusieurs attributions sont configurées dans une règle de masquage d’application, tenez compte des considérations suivantes :
- Si ces attributions appartiennent à la même catégorie (par exemple, utilisateur A et groupe d’utilisateurs B), l’application est masquée pour tous les objets spécifiés dans ces attributions (utilisateur A et tous les utilisateurs du groupe d’utilisateurs B).
- Si ces attributions appartiennent à des catégories différentes (par exemple, utilisateur A et machine X), l’application est masquée lorsque les conditions spécifiées dans toutes ces attributions sont remplies (lorsque l’utilisateur A se connecte à la machine X).
- Si ces attributions appartiennent à la catégorie des processus, l’application est masquée pour tous les processus spécifiés dans ces attributions.
Remarque :
Si aucune attribution n’est configurée pour une règle, l’application spécifiée dans la règle est masquée.
Workflow
Grâce à la fonction de contrôle d’accès aux applications, Profile Management peut masquer les applications pour des utilisateurs, des machines et des processus en fonction des règles que vous fournissez.
Pour appliquer le contrôle d’accès aux applications à votre environnement, vous devez d’abord créer des règles de masquage. Pour ce faire, utilisez le générateur de règles, un outil PowerShell fourni avec le package d’installation de Profile Management.
La procédure générale de création de règles de masquage est la suivante :
-
Créez une règle de masquage pour une application :
- Spécifiez les fichiers, les dossiers et les entrées de registre que vous souhaitez masquer pour l’application.
- Configurez les attributions de la règle. Pour ce faire, spécifiez les groupes d’utilisateurs, de machines ou de processus pour lesquels vous souhaitez masquer l’application. Pour plus d’informations, consultez la section Types d’attributions.
-
Répétez l’étape 1 pour créer des règles de masquage pour d’autres applications.
-
Générez des données brutes pour toutes les règles que vous avez configurées.
Pour plus d’informations sur le générateur de règles, voir Créer, gérer et déployer des règles à l’aide du générateur de règles.
-
Utilisez des GPO pour appliquer des règles de masquage aux machines de votre environnement. Pour plus d’informations, voir Activer le contrôle d’accès aux applications à l’aide de GPO.
Créer, gérer et déployer des règles à l’aide du générateur de règles
Cette section fournit des conseils sur l’utilisation du générateur de règles basé sur PowerShell pour créer, gérer et déployer des règles.
Avant de commencer, assurez-vous que la machine sur laquelle vous exécutez l’outil :
- est dotée de Windows 10 ou 11, ou Windows Server 2016, 2019 ou 2022
- appartient au même domaine que vos utilisateurs et machines
La procédure générale est la suivante :
- Exécutez Windows PowerShell en tant qu’administrateur.
- Accédez au dossier \tool dans le package d’installation de Profile Management, puis exécutez CPM_App_Access_Control_Config.ps1.
- Suivez les instructions affichées à l’écran pour créer, gérer et générer des règles de masquage :
-
Visualisez chaque application installée sur la machine et son état :
- Not configured. Aucune règle n’est configurée pour l’application.
- Configured. Une ou plusieurs règles sont configurées pour l’application et aucune d’entre elles n’est appliquée aux machines.
- Configured and applied. Une ou plusieurs règles sont configurées pour l’application et au moins une règle est appliquée aux machines.
-
Dans la liste des applications, sélectionnez l’application que vous souhaitez masquer en saisissant son index. Tous les fichiers, dossiers et entrées de registre qui seront masqués pour l’application apparaissent.
-
Pour masquer des fichiers, des dossiers ou des entrées de registre supplémentaires pour l’application sélectionnée, ajoutez-les à l’application en saisissant leurs chemins.
Vous pouvez utiliser des variables d’environnement système (telles que %windir%) dans les chemins. Les variables d’environnement utilisateur (telles que %appdata%) ne sont pas prises en charge.
Remarque :
Vous pouvez également définir manuellement une application en l’associant à certains fichiers, dossiers et entrées de registre.
-
Configurez les attributions de la règle. Dans les détails, spécifiez le type d’attribution (utilisateurs, groupes d’utilisateurs, machines, unités d’organisation ou processus), puis entrez les objets spécifiques du type sélectionné pour lesquels vous souhaitez masquer l’application. Pour les utilisateurs, les groupes d’utilisateurs et les unités d’organisation, entrez leurs noms de domaine AD. Pour les machines, entrez leur nom d’hôte DNS.
Remarque :
Si vous ne configurez aucune attribution pour une règle, l’application spécifiée dans la règle est invisible.
-
- Répétez l’étape 3 pour créer des règles de masquage pour d’autres applications.
- Suivez les instructions qui s’affichent à l’écran pour générer les données brutes pour les règles que vous avez configurées, puis enregistrez-les dans un fichier .txt pour une utilisation ultérieure.
- Pour tester l’efficacité des règles, déployez-les dans le registre local ou dans les registres d’un groupe de machines via un GPO.
Remarque :
Nous ne recommandons pas d’utiliser cet outil pour déployer des règles dans des environnements de production.
Activer le contrôle d’accès aux applications à l’aide de GPO
Après avoir créé et généré les règles de contrôle d’accès à vos applications, vous pouvez utiliser des GPO pour appliquer les règles aux machines de votre environnement.
Pour appliquer des règles de contrôle aux machines en utilisant un GPO, procédez comme suit :
- Ouvrez l’éditeur de gestion des stratégies de groupe.
- Accédez à Stratégies > Modèles d’administration : Définitions de stratégie (fichiers ADMX) > Composants Citrix > Profile Management > Contrôle d’accès aux applications.
- Double-cliquez sur Contrôle d’accès aux applications.
- Dans la fenêtre de la stratégie qui s’affiche, sélectionnez Activé.
- Ouvrez le fichier .txt dans lequel vous avez enregistré les règles générées, copiez le contenu et collez-le dans le champ Règles de contrôle d’accès aux applications.
- Cliquez sur OK.
La priorité de configuration de la fonctionnalité est la suivante :
- Si ce paramètre n’utilise pas de GPO, Studio ou WEM, la valeur du fichier .ini est utilisée.
- Si ce paramètre n’est configuré nulle part, la fonctionnalité est désactivée.
Exemple
Cette section utilise un exemple pour vous guider dans la mise en œuvre du contrôle d’accès aux applications pour une image.
Exigences
Les exigences de cet exemple sont les suivantes :
- Utiliser une seule image pour créer des machines virtuelles pour les services Ventes, RH et Ingénierie.
- Contrôler l’accès des utilisateurs aux applications suivantes :
- Microsoft Excel : invisible pour les utilisateurs du service RH.
- Visual Studio Code : invisible pour les utilisateurs du service Ventes ou RH.
Solution
Installer Profile Management pour contrôler l’accès des utilisateurs aux applications installées.
Installer une machine modèle
Installez une machine modèle pour capturer l’image. La procédure est la suivante :
- Associez une nouvelle machine au même domaine AD que vos utilisateurs et machines.
- Installez les logiciels suivants sur la machine :
- Windows 10 ou 11, ou Windows Server 2016, 2019 ou 2022, selon les besoins
- Profile Management version 2303 ou ultérieure
- Toutes les applications requises
Créer et générer des règles de masquage
-
Sur la machine modèle, utilisez le générateur de règles pour créer et générer des règles de masquage.
- Règle 1 : Pour masquer Microsoft Excel aux utilisateurs du service RH (Application : Microsoft Excel ; Attribution : groupe d’utilisateurs RH)
- Règle 2 : Pour masquer Visual Studio Code aux utilisateurs du service Ventes ou RH (Application : Visual Studio Code ; Attributions : groupe d’utilisateurs Ventes et groupe d’utilisateurs RH)
-
Générez des données brutes pour les deux règles et enregistrez-les dans un fichier .txt.
Pour plus d’informations sur l’utilisation de l’outil, voir Créer, générer et déployer des règles à l’aide du générateur de règles.
Vous pouvez maintenant capturer l’image à partir de la machine modèle.
Activer le contrôle d’accès aux applications à l’aide de GPO
Une fois les machines virtuelles créées, utilisez des GPO pour activer de manière centralisée le contrôle d’accès aux applications et appliquer les règles générées aux machines. Pour plus d’informations, voir Activer le contrôle d’accès aux applications à l’aide de GPO.