Preuve de concept : Accès sécurisé à Microsoft 365 avec Citrix Secure Workspace Access

Aperçu

Comme les utilisateurs accèdent au contenu confidentiel dans Microsoft 365 (Office 365), les organisations doivent être en mesure de simplifier les opérations de connexion des utilisateurs tout en appliquant les normes d’authentification. Les organisations doivent être en mesure de sécuriser Microsoft 365 même s’il existe au-delà des limites du datacenter. Citrix Workspace fournit aux entreprises des contrôles de sécurité améliorés pour Microsoft 365.

Dans ce scénario, un utilisateur s’authentifie auprès de Citrix Workspace en utilisant Active Directory comme annuaire d’utilisateurs principal.

Si le service Citrix Secure Workspace Access est affecté à l’abonnement Citrix, des stratégies de sécurité améliorées, allant de l’application de filigranes basés sur l’écran, la restriction des actions d’impression et de téléchargement, les restrictions d’accaparement d’écran, l’obfuscation du clavier et la protection des utilisateurs contre les liens non fiables sont appliquées. en plus des applications Microsoft 365.

L’animation suivante montre un utilisateur accédant à Microsoft 365 avec SSO et sécurisé avec Citrix Secure Workspace Access.

Cette démonstration montre un flux SSO initié par ID dans lequel l’utilisateur lance l’application à partir de Citrix Workspace. Ce guide de PoC prend également en charge un flux SSO initié par SP où l’utilisateur tente d’accéder à l’application SaaS directement à partir de son navigateur préféré.

Ce guide de validation de concept montre comment :

1. Configuration de Citrix Workspace
2. Intégrer un annuaire d’utilisateurs principal
3. Intégrer l’authentification unique pour les applications SaaS
4. Définir des stratégies de filtrage du site
5. Valider la configuration

Configuration de Citrix Workspace

La première étape de configuration de l’environnement consiste à préparer Citrix Workspace pour l’organisation, qui inclut

1. Configuration de l’URL de l’espace de travail
2. Activation des services appropriés

Définir l’URL d’espace de travail

1. Connectez-vous à Citrix Cloud et connectez-vous en tant que compte administrateur
2. Dans Citrix Workspace, accédez à la Configuration de l’espace de travail à partir du menu supérieur gauche
3. Dans l’onglet Accès, entrez une URL unique pour l’organisation et sélectionnez Activé

Activer les services

Dans l’onglet Intégration de services, activez les services suivants pour prendre en charge l’accès sécurisé aux applications SaaS

1. Passerelle
2. Secure Browser

![Services d’espace de]travail(/en-us/tech-zone/learn/media/poc-guides_access-control-azuresso-o365_workspace-config-002.png)

Vérifier

Citrix Workspace prend quelques instants pour mettre à jour les services et les paramètres d’URL. Dans un navigateur, vérifiez que l’URL de l’espace de travail personnalisée est active. Toutefois, l’ouverture de session ne sera pas disponible tant qu’un répertoire utilisateur principal n’est pas défini et configuré.

Intégrer un annuaire d’utilisateurs principaux

Pour que les utilisateurs puissent s’authentifier auprès de Workspace, un annuaire d’utilisateur principal doit être configuré. L’annuaire d’utilisateurs principal est la seule identité dont l’utilisateur a besoin, car toutes les demandes d’applications dans Workspace utilisent l’authentification unique aux identités secondaires.

Une organisation peut utiliser l’un des répertoires d’utilisateurs principaux suivants avec Microsoft 365 :

• Active Directory: pour activer l’authentification Active Directory, un connecteur de nuage doit être déployé dans le même centre de données qu’un contrôleur de domaine Active Directory en suivant le guide Installation de Cloud Connector.
• Active Directory avec mot de passe unique basé sur le temps : l’authentification basée sur Active Directory peut également inclure l’authentification multifacteur avec un mot de passe unique basé sur le temps (TOTP). Ce guide détaille les étapes requises pour activer cette option d’authentification.
• Citrix Gateway : les organisations peuvent utiliser un Citrix Gateway local pour agir en tant que fournisseur d’identité pour Citrix Workspace. Ce guide fournit des détails sur l’intégration.
• Okta : les organisations peuvent utiliser Okta comme répertoire d’utilisateurs principal pour Citrix Workspace. Ce guide fournit des instructions pour configurer cette option.

Remarque : à l’heure actuelle, l’utilisation d’Azure Active Directory comme identité principale de l’utilisateur ne fonctionnera pas correctement.

Fédérer l’authentification Azure vers Citrix Workspace

Pour fédérer correctement Microsoft 365 avec Citrix Workspace, l’administrateur doit effectuer les opérations suivantes

• Configurer l’application SaaS
• Autoriser l’application SaaS
• Vérifier le domaine d’authentification
• Configurer la fédération de domaine

Configurer l’application SaaS

Une fois le domaine vérifié dans Azure, une application Microsoft 365 SaaS peut être configurée dans Citrix Workspace.

• Dans Citrix Cloud, sélectionnez Gérer dans la vignette Gateway.

• Sélectionnez Ajouter une application Web/SaaS
• Dans l’Assistant Choisir un modèle, sélectionnez Office 365

• Sélectionner Suivant
• Dans l’écran Détails de l’application, modifiez le nom, l’ icôneet la description si nécessaire tout en laissant toutes les entrées restantes inchangées.

• Sélectionner Suivant

• Les stratégies de sécurité améliorées utilisent le champ domaines associés pour déterminer les URL à sécuriser. Un domaine associé est automatiquement ajouté en fonction de l’URL par défaut. Les stratégies de sécurité améliorées nécessitent des domaines associés pour toute URL associée à l’application. Microsoft 365 inclut de nombreuses URL, qui peuvent être trouvées dans la section Domaines associés à Microsoft 365.

• Dans la fenêtre Sécurité renforcée, sélectionnez les stratégies de sécurité appropriées pour l’environnement

• Dans la fenêtre Single Sign-On, vérifiez le format ID de nom = Persistant et ID de nom = GUID Active Directory
• Sous Attributs avancés, vérifiez Attribut Name=IDPemail, Format d’attribut = Non spécifiéet Valeur d’attribut = Email
• Sélectionnez Télécharger pour capturer le certificat CRT.
• En regard de l’ URL de connexion, cliquez sur le bouton Copier pour capturer l’URL de connexion. Cette URL est utilisée plus tard.
• Sélectionnez le lien de métadonnées SAML

• Dans le fichier de métadonnées SAML, recherchez EntityID. Copiez l’URL entière et stockez pour une utilisation ultérieure. Une fois capturé, le fichier de métadonnées SAML peut être fermé.

• Sélectionnez Enregistrer
• Sélectionnez Terminer pour terminer la configuration des applications SaaS Microsoft 365.

Autoriser l’application SaaS

• Dans Citrix Cloud, sélectionnez Bibliothèque dans le menu

• Recherchez l’application Microsoft 365 et sélectionnez Gérer les abonnés
• Ajouter les utilisateurs/groupes appropriés qui sont autorisés à lancer l’application

Vérifier le domaine d’authentification

Pour fédérer l’authentification vers Citrix Workspace, Azure doit vérifier le nom de domaine complet. Dans le portail Azure, procédez comme suit :

• Accès à Azure Active Directory
• Sélectionnez Noms de domaine personnalisés dans la fenêtre de navigation
• Sélectionnez Ajouter un domaine personnalisé
• Entrez le nom de domaine complet

• Sélectionnez Ajouter un domaine
• Azure fournit des enregistrements à incorporer dans votre bureau d’enregistrement de noms de domaine. Une fois terminé, sélectionnez Vérifier.

• Une fois terminé, le domaine contient une marque vérifiée

Configurer la fédération de domaine

La configuration finale consiste à faire en charge Azure d’utiliser Citrix Workspace en tant qu’autorité fédérée pour le domaine vérifié. La configuration de la fédération doit être effectuée avec PowerShell.

• Lancer PowerShell
• Ajoutez les modules appropriés avec les commandes suivantes

Install-Module AzureAD -Force
Import-Module AzureAD -Force
Install-Module MSOnline -Force
Import-module MSOnline -Force
<!--NeedCopy-->

• Connectez-vous à Microsoft Online via PowerShell et authentifiez

Connect-MSOLService
<!--NeedCopy-->

• Vérifiez que le domaine est actuellement défini sur Managed dans Azure en exécutant la commande PowerShell suivante

Get-MsolDomain
<!--NeedCopy-->

• Utilisez le code suivant dans un script PowerShell pour rendre ce domaine fédéré en modifiant les variables à aligner avec votre environnement

 $dom = "workspaces.wwco.net" # The fully qualified domain name verified within Azure
 $fedBrandName = "CitrixWorkspaceSAMLIdP" # A name to help remember the configuration purpose
 $IssuerUri = "https://citrix.com/fdafdjk4" # The entityID taken from the Citrix Worksapce SAML Metadata file
 $logoffuri = "https://app.netscalergateway.net/cgi/logout" # Standard entry for all. Do not change
 $uri = "https://app.netscalergateway.net/ngs/dhhn4j3mf1kc/saml/login?APPID=8dd87428-460b-4358-a3c2-609451e8f5be" # The Login URL from the Citrix Workspace Microsoft 365 app configuration
 $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("e:\CitrixCloud.crt") # Path to the downloaded certificate file from Citrix Workspace
 $certData = [system.convert]::tobase64string($cert.rawdata)

 Set-MsolDomainAuthentication `
     -DomainName $dom `
     –federationBrandName $fedBrandName `
     -Authentication Federated `
     -PassiveLogOnUri $uri `
     -LogOffUri $logoffuri `
     -SigningCertificate $certData `
     -IssuerUri $IssuerUri `
     -PreferredAuthenticationProtocol SAMLP
<!--NeedCopy-->

• Vérifiez que le domaine est actuellement défini sur Federated dans Azure en exécutant la commande PowerShell suivante

Get-MsolDomain
<!--NeedCopy-->

• Vérifiez les paramètres de fédération dans Azure en exécutant la commande PowerShell suivante

Get-MsolDomainFederationSettings -DomainName $dom
<!--NeedCopy-->

***Remarque : Si les paramètres de fédération doivent être supprimés, exécutez la commande PowerShell suivante*

Set-MsolDomainAuthentication -DomainName $dom -Authentication Managed
<!--NeedCopy-->

Valider

Validation initiée par l’IdP

• Connectez-vous à Citrix Workspace en tant qu’utilisateur
• Sélectionnez l’application Microsoft 365
• Observez l’URL pour la voir brièvement rediriger via Azure
• Le portail Microsoft 365 lance avec succès

Validation initiée par SP

• Lancer un navigateur
• Accédez à l’URL définie par l’entreprise pour l’application SaaS
• Le navigateur redirige vers Azure Active Directory puis vers Citrix Workspace pour l’authentification
• Une fois que l’utilisateur s’est authentifié auprès de l’annuaire des utilisateurs principal, l’application SaaS se lance avec Citrix fournissant une authentification unique

Définir des stratégies de filtrage du site

Le service Citrix Secure Workspace Access fournit le filtrage des sites Web au sein des applications SaaS et Web afin de protéger l’utilisateur contre les attaques par hameçonnage. La section suivante montre comment configurer des stratégies de filtrage de site Web.

• À partir de Citrix Cloud, Gérer dans la vignette Secure Workspace Access

• Si ce guide a été suivi, les étapes Configurer l’authentification de l’utilisateur final et Configurer l’accès des utilisateurs finaux aux applications SaaS, Web et virtuelles sont terminées. Sélectionnez Configurer l’accès au contenu
• Sélectionner Modifier
• Activer l’option Filtrer les catégories du site
• Dans la zone Catégories bloquées, sélectionnez Ajouter
• Sélectionnez les catégories pour empêcher les utilisateurs d’accéder

• Lorsque toutes les catégories applicables sont sélectionnées, sélectionnez Ajouter

• Faites de même pour les catégories autorisées
• Faites de même pour les catégories redirigées. Ces catégories redirigent vers une instance Secure Browser
• Si nécessaire, les administrateurs peuvent filtrer les actions refusées, autorisées et redirigées pour des URL spécifiques suivant le même processus que celui utilisé pour définir des catégories. Les URL des sites Web ont priorité sur les catégories.

Valider la configuration

Validation initiée par l’IdP

• Connectez-vous à Citrix Workspace en tant qu’utilisateur
• Sélectionnez Microsoft 365. Si la sécurité renforcée est désactivée, l’application démarre dans le navigateur local, sinon le navigateur intégré est utilisé
• L’utilisateur se connecte automatiquement à l’application
• Les stratégies de sécurité améliorées appropriées sont appliquées
• Si elle est configurée, sélectionnez une URL dans l’application SaaS qui se trouve dans les catégories bloquées, autorisées et redirigées
• Si elle est configurée, sélectionnez une URL dans l’application SaaS qui se trouve dans les URL bloquées, autorisées et redirigées
• Le lancement de l’application SaaS

Validation initiée par SP

• Lancer un navigateur
• Accédez au site Web Office 365 et sélectionnez Se connecter
• Entrez le nom d’utilisateur.
• Le navigateur redirige le navigateur vers Citrix Workspace pour l’authentification
• Une fois que l’utilisateur s’est authentifié auprès de l’annuaire principal des utilisateurs, Microsoft 365 se lance dans le navigateur local si la sécurité renforcée est désactivée. Si la sécurité renforcée est activée, une instance Secure Browser lance Microsoft 365

Domaines associés à Microsoft 365

Lors de la création d’une application dans Citrix Workspace, un champ de domaine associé est disponible. Les stratégies de sécurité améliorées utilisent ces domaines associés pour déterminer quand appliquer la stratégie.

La liste suivante répertorie les domaines actuels associés à Microsoft 365.

*Remarque : ces domaines peuvent changer à tout moment*

• *.office.com
• *.office365.com
• *.sharepoint.com
• *.live.com
• *.onenote.com
• *.microsoft.com
• *.powerbi.com
• *.dynamics.com
• *.microsoftstream.com
• *.powerapps.com
• *.yammer.com
• *.windowsazure.com
• *.msauth.net
• *.msauthimages.net
• *.msocdn.com
• *.microsoftonline.com
• *.windows.net
• *.microsoftonline-p.com
• *.akamaihd.net
• *.sharepointonline.com
• *.officescriptsservice.com
• *.live.net
• *.office.net
• *.msftauth.net

Applications Microsoft 365

S’il est préférable de lancer une application Microsoft 365 spécifique (Word, PowerPoint ou Excel) au lieu du portail Microsoft 365, l’administrateur doit créer une instance d’application distincte dans Citrix Cloud pour chaque application. Chaque application possède une URL unique, qui doit inclure la valeur correcte pour le domaine fédéré, qui a été configurée dans ce guide. L’entrée de domaine fédéré informe Azure de rediriger vers la configuration de domaine fédéré correcte.

• Word : https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2Foffice.live.com%2Fstart%2FWord.aspx%3Fauth%3D2&whr=domaine fédéré
• PowerPoint : https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2Fwww.office.com%2Flaunch%2Fpowerpoint%3Fauth%3D2&whr=domaine fédéré
• Excel : https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2Foffice.live.com%2Fstart%2FExcel.aspx%3Fauth%3D2&whr=domaine fédéré
• CRM/Dynamics Online : https://<tenant>.crm.dynamics.com/?whr=domaine fédéré
• OneDrive Entreprise : https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2F<tenant>-my.sharepoint.com%2F&whr=domaine fédéré
• Calendrier Outlook : https://outlook.office.com/owa/?realm=domaine fédéré&path=/calendar/view/Month
• Outlook Web Access to Exchange Online : https://outlook.com/owa/domaine fédéré

• SharePoint Online : https://login.microsoftonline.com/login.srf?wa=wsignin1%2E0&rver=6%2E1%2E6206%2E0&wreply=https%3A%2F%2F<tenant>.sharepoint.com%2F&whr=domaine fédéré

• Dans Citrix Cloud, sélectionnez Gérer dans la vignette Gateway.

• Sélectionnez Ajouter une application Web/SaaS
• Dans l’Assistant Choisir un modèle, sélectionnez Office 365

• Sélectionner Suivant
• Dans l’écran Détails de l’application, utilisez l’URL spécifique à l’application ci-dessus et placez-la dans le champ URL.
• Modifiez le nom, l’ icôneet la description si nécessaire tout en laissant toutes les entrées restantes inchangées.

• Sélectionner Suivant

• Les stratégies de sécurité améliorées utilisent le champ domaines associés pour déterminer les URL à sécuriser. Un domaine associé est automatiquement ajouté en fonction de l’URL par défaut. Les stratégies de sécurité améliorées nécessitent des domaines associés pour toute URL associée à l’application. Microsoft 365 inclut de nombreuses URL, qui peuvent être trouvées dans la section Domaines associés à Microsoft 365.

• Dans la fenêtre Sécurité renforcée, sélectionnez les stratégies de sécurité appropriées pour l’environnement

• Dans la fenêtre Single Sign-On, vérifiez que l’ URL de l’état du relais est alignée sur l’URL spécifique à l’application ci-dessus
• Vérifiez le format de l’ID de nom = Persistant et ID de nom = GUID Active Directory
• Activez le paramètre Lancer l’application à l’aide de l’URL spécifiée. Lorsque l’utilisateur lance une application à partir de Workspace (flux initié par l’IDP), l’utilisateur se termine toujours sur la page du portail Azure. Ce paramètre inclut l’URL de l’état du relais dans l’assertion SAML, enjoignant à Azure d’afficher l’URL au lieu de la page du portail Azure.
• Sous Attributs avancés, vérifiez Attribut Name=IDPemail, Format d’attribut = Non spécifiéet Valeur d’attribut = Email

• Sélectionnez Enregistrer
• Sélectionnez Terminer pour terminer la configuration des applications SaaS Microsoft 365.

Rester connecté

Dans la configuration par défaut, Azure Active Directory affiche une boîte de dialogue pendant le processus d’ouverture de session permettant aux utilisateurs de rester connectés.

Il s’agit d’un paramètre Azure qui peut être facilement modifié en procédant comme suit :

• Dans Azure, sélectionnez Azure Active Directory
• Sélectionner la marque de l’entreprise
• Sélectionnez les paramètres régionaux activés
• Dans le volet Modifier la marque de l’entreprise, sélectionnez Non dans l’ option Afficher pour rester connecté

• Sélectionnez Enregistrer

Résolution des problèmes

Compte d’utilisateur n’existe pas dans l’annuaire

Lors de la tentative de lancement de Microsoft 365, l’utilisateur peut recevoir l’erreur suivante : Le compte d’utilisateur « nom de compte » n’existe pas dans le répertoire « GUID ».

Voici des suggestions sur la façon de résoudre ce problème :

• Vérifiez que l’utilisateur dispose d’une licence pour utiliser Microsoft 365 dans la console d’administration Microsoft 365
• Vérifiez que l’adresse e-mail identifiée dans l’erreur correspond entre l’annuaire des utilisateurs principaux, Azure Active Directory et Microsoft 365.

Federation, objet Domaine

Lors de la validation, un utilisateur peut recevoir l’erreur suivante :

Cela est souvent dû au fait que le domaine n’est pas vérifié ou correctement fédéré. Passez en revue les sections suivantes du guide de PDC :

• Vérifier le domaine d’authentification
• Configurer la fédération de domaine

Échec des stratégies de sécurité améliorées

Les utilisateurs peuvent rencontrer des stratégies de sécurité améliorées (filigrane, impression ou accès au presse-papiers) échouent. Généralement, cela se produit parce que l’application SaaS utilise plusieurs noms de domaine. Dans les paramètres de configuration de l’application SaaS, il y avait une entrée pour les domaines associés.

Les stratégies de sécurité améliorées sont appliquées à ces domaines associés. La section Domaines associés à Microsoft 365 de ce guide de PoC contient l’ensemble initial de domaines associés, que Microsoft peut modifier à tout moment.

Si les stratégies de sécurité améliorées ne fonctionnent pas dans certaines sections de l’application, un domaine associé est toujours manquant. Pour identifier les noms de domaine manquants, un administrateur peut accéder à l’application SaaS à l’aide d’un navigateur local et effectuer les opérations suivantes :

• Accédez à la section de l’application où les stratégies échouent
• Dans Google Chrome et Microsoft Edge (version Chromium), sélectionnez les trois points en haut à droite du navigateur pour afficher un écran de menu.
• Sélectionnez Plus d’outils.
• Sélectionner les outilsde développement
• Dans les outils de développement, sélectionnez Sources. Ceci fournit une liste des noms de domaine d’accès pour cette section de l’application. Pour activer les stratégies de sécurité améliorées pour cette partie de l’application, ces noms de domaine doivent être saisis dans le champ domaines associés de la configuration de l’application. Les domaines associés sont ajoutés comme *.domain.com