Citrix Endpoint Management

Actions automatisées

Vous créez des actions automatisées dans Citrix Endpoint Management pour programmer une réaction aux éléments suivants :

  • Événements
  • Propriétés de l’utilisateur ou de l’appareil
  • Existence d’applications sur les appareils utilisateur

Lorsque vous créez une action automatisée, les déclencheurs définis pour l’action déterminent ce qui se passe sur l’appareil de l’utilisateur lorsqu’il est connecté à Citrix Endpoint Management. Lorsqu’un événement est déclenché, vous pouvez envoyer une notification à l’utilisateur pour résoudre un problème avant qu’une action plus sérieuse ne soit nécessaire.

Les effets automatiques que vous pouvez paramétrer sont :

  • Effacement complet ou effacement des données d’entreprise de l’appareil.
  • Rendre l’appareil non-conforme.
  • Révoquer l’appareil.
  • Envoyer un message à l’utilisateur pour qu’il résolve un problème avant que des actions plus sévères ne soient entreprises.

Vous pouvez configurer des actions de verrouillage et d’effacement des applications en mode MAM uniquement.

Vous pouvez utiliser des actions automatisées pour marquer des appareils Windows 10 et Windows 11 appartenant à Azure Active Directory (AD) comme non conformes dans Azure AD.

Remarque :

Pour avertir les utilisateurs, vous devez avoir configuré les serveurs de notification dans les paramètres Citrix Endpoint Management pour SMTP afin que Citrix Endpoint Management puisse envoyer des messages. Pour de plus amples informations, consultez la section Notifications. Configurez les modèles de notification que vous prévoyez d’utiliser avant de continuer. Pour de plus amples informations, consultez la section Notifications. Consultez la section Créer et mettre à jour des modèles de notification.

Exemples d’actions

Voici quelques exemples d’utilisation d’actions automatisées :

Exemple 1

  • Vous souhaitez détecter une application que vous avez précédemment bloquée (par exemple, « Words with Friends »). Vous pouvez spécifier un déclencheur qui définit la machine utilisateur comme étant hors conformité après la détection de l’application « Words with Friends ». L’action avertit les utilisateurs qu’ils doivent supprimer l’application pour que leurs appareils soient à nouveau conformes. Vous pouvez également définir un délai pour que les utilisateurs se conforment. Après ce délai, une action définie se produit, comme l’effacement sélectif de l’appareil.

Exemple 2

  • Vous souhaitez vérifier si les clients utilisent le dernier firmware et bloquer l’accès aux ressources si les utilisateurs doivent mettre à jour leurs appareils. Vous pouvez spécifier un déclencheur qui rend l’appareil utilisateur non conforme lorsqu’il ne dispose pas de la dernière version. Vous utilisez des actions automatisées pour bloquer les ressources et pour informer les clients.

Exemple 3

  • Un appareil utilisateur est placé dans un état de non-conformité, puis l’utilisateur répare l’appareil de façon à ce qu’il soit conforme. Vous pouvez configurer une stratégie permettant de déployer un package qui réinitialise l’appareil dans un état de conformité.

Exemple 4

  • Vous souhaitez marquer des appareils utilisateur qui ont été inactifs pendant une certaine période de temps comme étant non conformes. Vous pouvez créer une action automatisée pour les appareils inactifs comme suit :

    1. Dans la console Citrix Endpoint Management, accédez à Paramètres > Contrôle d’accès réseau, puis sélectionnez Appareils inactifs. Pour plus d’informations sur le paramètre Appareils inactifs, consultez la section Contrôle d’accès réseau.
    2. Suivez les étapes pour ajouter une action, comme indiqué dans Ajouter et gérer des actions. La seule différence est que vous configurez les paramètres comme suit sur la page Détails de l’action :
      • Déclencheur : sélectionnez Propriété de l’appareil, Non conforme et Vrai.
      • Action. sélectionnez Envoyer notification et sélectionnez un modèle que vous avez créé à l’aide du champ Modèle de notification dans Paramètres. Ensuite, définissez le délai en jours, heures ou minutes avant d’exécuter l’action. Définissez l’intervalle auquel l’action se répète jusqu’à ce que l’utilisateur corrige le problème déclencheur.

    Conseil :

    Pour supprimer des appareils inactifs en bloc, utilisez l’API REST publique Citrix Endpoint Management. Vous obtenez d’abord manuellement les ID d’appareils pour les appareils inactifs que vous souhaitez supprimer, puis vous exécutez l’API delete pour les supprimer en bloc.

Ajouter et gérer des actions

Pour ajouter, modifier et filtrer des actions automatisées :

  1. Dans la console Citrix Endpoint Management, cliquez sur Configurer > Actions. La page Actions s’affiche.

  2. Sur la page Actions, effectuez l’une des actions suivantes :

    • Cliquez sur Ajouter pour ajouter une action.
    • Sélectionnez une action existante à modifier ou à supprimer. Cliquez sur l’option que vous voulez utiliser.
  3. La page Informations sur l’action s’affiche.

  4. Sur la page Informations sur l’action, entrez ou modifiez les informations suivantes :

    • Nom : entrez un nom permettant d’identifier l’action. Ce champ est obligatoire.
    • Description : décrivez ce que l’action doit faire.
  5. Cliquez sur Suivant. La page sur les Détails de l’action s’affiche.

    L’exemple suivant illustre comment configurer un déclencheur d’événement. Si vous sélectionnez un autre déclencheur, les options sont différentes de celles affichées ici.

    Écran de configuration Actions

  6. Sur la page Détails de l’action, entrez ou modifiez les informations suivantes :

    Dans la liste des Déclencheurs, cliquez sur le type de déclencheur d’événements pour cette action. Sélectionnez l’un des déclencheurs suivants :

    • Événement : vérifie si l’état de l’appareil correspond à l’événement de non-conformité choisi, puis y réagit.
    • Propriété de l’appareil : recherche une valeur spécifique associée à un attribut d’appareil sur l’appareil géré par MDM, puis y réagit. Pour de plus amples informations, consultez la section Noms et valeurs des propriétés d’appareil.
    • Propriété utilisateur : réagit à une valeur spécifique associée à un attribut utilisateur, généralement à partir d’Active Directory.
    • Nom de l’application installée : réagit à une application installée. Ne s’applique pas au mode MAM exclusif. Requiert que la stratégie d’inventaire des applications soit activée sur l’appareil. Par défaut, la stratégie d’inventaire des applications est activée sur toutes les plates-formes. Pour de plus amples informations, consultez la section Pour ajouter une stratégie d’inventaire des applications.
    • Valeur renvoyée par la stratégie : vérifie si la valeur renvoyée par les scripts PowerShell répond à certains critères logiques. La stratégie Agent Windows doit être activée et configurée. Pour plus d’informations sur la stratégie Agent Windows, voir Stratégie de l’agent Windows.
  7. Dans la liste suivante, cliquez sur la réponse au déclencheur.

  8. Dans la liste Action, cliquez sur l’action à effectuer lorsque le critère du déclencheur est rencontré. À l’exception de l’action Envoyer une notification, vous choisissez un délai au cours duquel les utilisateurs devront avoir résolu le problème qui a activé le déclencheur. Si le problème n’est pas résolu dans ce délai, l’action sélectionnée est entreprise. Pour une définition des actions, consultez la section Actions de sécurisation.

    Si vous sélectionnez Envoyer une notification, procédez comme suit pour envoyer une action de notification.

  9. Dans la liste suivante, sélectionnez le modèle à utiliser pour la notification. Les modèles de notification correspondant à l’événement sélectionné apparaissent. S’il n’y a pas de modèle pour le type de notification, le message suivant vous invite à configurer un modèle : Aucun modèle de notification pour ce type d’événement. Créez un modèle à l’aide de Modèle de notification dans Paramètres.

    Pour avertir les utilisateurs, utilisez Paramètres > Serveur de notification pour configurer les paramètres pour SMTP afin que Citrix Endpoint Management puisse envoyer des messages. Consultez la section Notifications. En outre, avant de continuer, utilisez Paramètres > Modèle de notification pour configurer les modèles de notification que vous prévoyez d’utiliser. Consultez la section Créer et mettre à jour des modèles de notification.

    Écran de configuration Actions

    Après avoir sélectionné le modèle, cliquez sur Aperçu du message de notification.

    Écran de configuration Actions

  10. Dans les champs suivants, définissez le délai en jours, heures ou minutes avant d’effectuer l’action. Définissez l’intervalle auquel l’action se répète jusqu’à ce que l’utilisateur corrige le problème déclencheur.

    Écran de configuration Actions

  11. Dans Résumé, vérifiez que vous avez créé les actions automatisées comme prévu.

    Écran de configuration Actions

  12. Après avoir configuré les détails de l’action, vous pouvez configurer des règles de déploiement pour chaque plate-forme individuellement. Pour ce faire, suivez l’étape 13 pour chacune des plates-formes que vous choisissez.

  13. Configurez les règles de déploiement. Pour des informations générales sur la configuration des règles de déploiement, consultez la section Déployer des ressources.

    Pour cet exemple :

    • Le propriétaire de l’appareil doit être BYOD.
    • L’appareil doit avoir un code secret conforme.
    • Le code de pays mobile de l’appareil ne peut pas être uniquement Andorre.
  14. Lorsque vous avez terminé de configurer les règles de déploiement par plate-forme pour l’action, cliquez sur Suivant. La page d’attribution d’actions s’affiche. Sur cette page, vous pouvez attribuer l’action à un ou plusieurs groupes de mise à disposition. Cette étape est facultative.

  15. En regard de Choisir des groupes de mise à disposition, tapez pour trouver un groupe de mise à disposition ou sélectionnez des groupes. Les groupes que vous sélectionnez s’affichent dans liste Groupes de mise à disposition qui vont recevoir l’attribution d’applications.

  16. Développez Calendrier de déploiement et configurez les paramètres suivants :

    • En regard de Déployer, cliquez sur Activé pour planifier le déploiement ou cliquez sur Désactivé pour empêcher le déploiement. L’option par défaut est définie sur Activé. Si vous choisissez Désactivé, aucune autre option n’est requise.

    • À côté du Calendrier de déploiement, cliquez sur Maintenant ou Plus tard. L’option par défaut est définie sur Maintenant.

    • Si vous cliquez sur Plus tard, cliquez sur l’icône du calendrier, puis sélectionnez la date et l’heure pour le déploiement.

    • En regard de Conditions de déploiement, cliquez sur À chaque connexion ou Uniquement lorsque le déploiement précédent a échoué. L’option par défaut est définie sur À chaque connexion.

    • En regard de Déployer pour les connexions permanentes, cliquez sur Activé ou Désactivé. L’option par défaut est définie sur Désactivé.

      Cette option s’applique lorsque vous avez configuré la clé de déploiement d’arrière-plan de planification dans Paramètres > Propriétés du serveur.

      Remarque :

      Cette option s’applique lorsque vous avez configuré la clé de déploiement d’arrière-plan de planification dans Paramètres > Propriétés du serveur.

      L’option de connexion permanente :

      • N’est pas disponible pour les appareils iOS.
      • N’est pas disponible pour les systèmes d’exploitation Android et Android Enterprise pour les clients ayant commencé à utiliser Citrix Endpoint Management avec la version 10.18.19 ou ultérieure
      • N’est pas recommandée pour les systèmes d’exploitation Android et Android Enterprise pour les clients ayant commencé à utiliser Citrix Endpoint Management avec une version antérieure à la version 10.18.19

      Le calendrier de déploiement que vous configurez est identique pour toutes les plates-formes. Les modifications que vous apportez s’appliquent à toutes les plates-formes, à l’exception de Déployer pour les connexions permanentes.

  17. Cliquez sur Suivant. La page Résumé s’affiche, où vous pouvez vérifier la configuration de l’action.

  18. Cliquez sur Enregistrer pour enregistrer l’action.

Actions de verrouillage et d’effacement des applications en mode MAM uniquement

Vous pouvez effacer ou verrouiller les applications d’un appareil pour quatre catégories de déclencheurs répertoriées dans la console Citrix Endpoint Management : événement, propriété de l’appareil, propriété utilisateur et nom de l’application installée.

Pour configurer le déclenchement automatique de l’effacement des applications ou du mode kiosque

  1. Dans la console Citrix Endpoint Management, cliquez sur Configurer > Actions.

  2. Sur la page Actions, cliquez sur Ajouter.

  3. Sur la page Informations sur l’action, entrez un nom pour l’action et une description facultative.

  4. Sur la page Détails de l’action, sélectionnez le déclencheur de votre choix.

  5. Dans Action, sélectionnez une action.

    Pour cette étape, tenez compte des conditions suivantes :

    Lorsque le type de déclencheur est défini sur Événement et que la valeur n’est pas Utilisateur Active Directory désactivé, les actions Effacement des applications et Mode kiosque ne s’affichent pas.

    Lorsque le type de déclencheur est défini sur Propriété de l’appareil et que la valeur est Mode perdu MDM activé, les actions suivantes ne s’affichent pas :

    • Effacer les données d’entreprise de l’appareil
    • Effacer toutes les données de l’appareil
    • Révoquer l’appareil

    Pour chaque option, un délai de 1 heure est automatiquement défini, mais vous pouvez sélectionner la durée de ce délai en minutes, heures ou jours. Le but du délai est de donner aux utilisateurs le temps de résoudre un problème avant que l’action ne se produise. Pour plus d’informations sur les actions de réinitialisation de l’application et de verrouillage de l’application, voir Actions de sécurité.

    Remarque :

    Si vous définissez le déclencheur sur Événement, l’intervalle de répétition est réglé automatiquement sur un minimum d’1 heure. L’appareil doit actualiser les stratégies pour se synchroniser avec le serveur pour que la notification soit envoyée. En règle générale, un appareil se synchronise avec le serveur lorsque les utilisateurs se connectent ou actualisent manuellement leurs stratégies Citrix Secure Hub.

    Un délai supplémentaire d’environ une heure avant l’exécution de l’action est également possible, afin de permettre la synchronisation de la base de données Active Directory avec Citrix Endpoint Management.

    Écran de configuration Actions

  6. Configurez les règles de déploiement, puis cliquez sur Suivant.

  7. Configurez les attributions de groupe de mise à disposition et un calendrier de déploiement, puis cliquez sur Suivant.

  8. Cliquez sur Enregistrer.

Pour vérifier l’état de verrouillage ou d’effacement d’une application

  1. Accédez à Gérer > Appareils, cliquez sur un appareil et sur Afficher plus.

    Écran Gérer les appareils

  2. Faites défiler jusqu’à Effacement des applications sur l’appareil et Mode kiosque sur l’appareil.

    Écran Gérer les appareils

    Une fois qu’un appareil est effacé, l’utilisateur est invité à entrer un code PIN. Si l’utilisateur oublie le code, vous pouvez le rechercher dans Détails de l’appareil.

    Écran Gérer les appareils

Marquer les appareils Windows 10 et Windows 11 non conformes dans Azure AD

Lorsque des appareils Windows 10 et Windows 11 appartenant à Azure AD sont marqués comme non conformes dans Citrix Endpoint Management, ils peuvent également l’être dans Azure AD. Pour activer cette fonction, ajoutez les autorisations à l’application MDM locale pour accéder à l’API Microsoft Graph dans le portail Azure AD.

  1. Ouvrez une session dans le portail Azure AD avec vos informations d’identification d’administrateur Azure AD.

  2. Dans le portail Azure AD, accédez à Azure Active Directory > Mobility (MDM and MAM). Sélectionnez On-premises MDM application.

  3. Cliquez sur On-premises Application Settings > Required Permissions > Add > Select an API > Microsoft Graph. Cliquez sur Select et enregistrer vos sélections.

  4. Sous Required permissions, sélectionnez Microsoft Graph. Sous Enable Access, sélectionnez Read and write directory data.

  5. Sous Required permissions, sélectionnez Microsoft Graph. Cliquez ensuite sur Grant permissions.

  6. Cliquez sur Yes pour accorder l’autorisation.

Lorsqu’un appareil inscrit à Azure AD exécutant Windows 10 ou Windows 11 n’est pas conforme, Citrix Endpoint Management marque également l’appareil comme non conforme dans Azure AD.

Créer une action automatisée basée sur un résultat de la stratégie Agent Windows

Utilisez la stratégie Agent Windows pour déployer des scripts qui surveillent les valeurs de Registre sur les bureaux et les tablettes Windows gérés. En fonction des valeurs renvoyées par un script, vous pouvez configurer une action automatisée à exécuter.

  1. Configurez une stratégie Agent Windows et vérifiez les valeurs renvoyées par le script. Pour plus d’informations sur la stratégie Agent Windows, voir Stratégie de l’agent Windows.

    Cet article et cette section contiennent un exemple basé sur un script nommé EntApp_2019_checkFirewall. La stratégie Agent Windows associée définit une configuration nommée cName_checkFirewall. Cette configuration exécute l’exemple de script.

    Une fois le script exécuté sur un appareil, vous obtenez les informations nécessaires pour créer une action, comme décrit dans la Stratégie de l’agent Windows.

  2. Dans la console Citrix Endpoint Management, cliquez sur Configurer > Actions.
  3. Sur la page Actions, cliquez sur Ajouter.
  4. Sur la page Informations sur l’action, entrez un nom pour l’action et une description facultative.
  5. Sur la page Détails de l’action, sélectionnez le déclencheur Valeur renvoyée par la stratégie.

    Écran des détails de l'action

  6. Dans les champs qui apparaissent, définissez le déclencheur et l’action :

    • Paramètres de l’Agent Windows : tapez le nom de stratégie, le nom de configuration et le nom de clé pour la stratégie Agent Windows que vous avez créée.
    • Menu déroulant : sélectionnez la logique Is, Is Not, Contains ou Does Not Contain. Cette logique s’applique au champ suivant et provoque le déclenchement de l’action si la logique s’applique.
    • Entrez une chaîne : entrez la chaîne résultant de l’exécution du script PowerShell chargé dans votre stratégie. Pour plus d’informations sur la recherche de cette chaîne, voir Stratégie Agent Windows.
    • Action : sélectionnez une action, une valeur pour l’action et choisissez un délai pour la résolution de l’action.

    Dans notre exemple : si le nom de la clé firewallEnabled renvoie la valeur true, l’action suivante marque l’appareil comme conforme.

    Écran des détails de l'action

    Si le nom de la clé firewallEnabled renvoie la valeur false, l’action suivante marque l’appareil comme conforme.

    Écran des détails de l'action

  7. Si nécessaire, définissez un calendrier de déploiement et choisissez des groupes de mise à disposition.
Actions automatisées