Documentazione dei prodotti
Citrix DaaS
Visualizza PDF

Accesso adattivo in base alla posizione di rete dell’utente

January 28, 2025
Grazie al contributo di: 
C

La funzionalità Citrix Workspace Adaptive Access utilizza un’infrastruttura di policy avanzata per consentire l’accesso a Citrix DaaS in base al percorso di rete dell’utente. La posizione viene definita utilizzando l’intervallo di indirizzi IP o gli indirizzi della subnet.

Gli amministratori possono definire criteri per enumerare o non enumerare app virtuali e desktop in base al percorso di rete dell’utente. Gli amministratori possono anche controllare le azioni dell’utente abilitando o disabilitando l’accesso agli appunti, le stampanti, la mappatura delle unità client e così via, in base al percorso di rete dell’utente. Ad esempio, gli amministratori possono configurare criteri in modo che gli utenti che accedono alle risorse da casa abbiano accesso limitato alle applicazioni e gli utenti che accedono alle risorse dalle filiali abbiano accesso completo.

Panoramica di Accesso adattivo

Un amministratore può implementare i criteri seguenti per l’accesso alle applicazioni:

  • Enumerare alcune applicazioni sensibili solo dalla sede aziendale o dalle relative succursali.
  • Non enumerare le applicazioni sensibili se i dipendenti accedono all’area di lavoro da una rete esterna.
  • Disabilitare l’accesso alla stampante dalle filiali.
  • Disabilitare l’accesso agli Appunti e alla stampante quando gli utenti si trovano all’esterno della rete aziendale.

Diritti

La funzione di accesso adattivo è disponibile come parte della Universal Hybrid Multi Cloud License (UHMC) e della Platform License (CPL). Per ulteriori informazioni, vedere https://www.citrix.com/buy/licensing/product.html.

Prerequisiti

  • Assicurarsi che il Accesso adattivo la funzione è abilitata (Area di lavoro Citrix > Accesso > Accesso adattivo). Per i dettagli, vedere Abilitare la funzione Accesso adattivo.

    Quando l’accesso adattivo è abilitato, i criteri di accesso DaaS vengono aggiornati per utilizzare l’opzione Connessioni tramite Citrix Gateway.

Nota:

NetScaler Gateway è necessario per aggiungere tag di accesso intelligenti nelle policy di accesso DaaS. Tuttavia, poiché DaaS utilizza i tag dai servizi Device Posture, Adaptive Access e Adaptive Authentication, non è necessario disporre di un NetScaler Gateway configurato nella configurazione.

Punti da notare

I punti seguenti sono applicabili solo se si desidera limitare l’enumerazione dell’applicazione in base alla posizione. Se si prevede di utilizzare l’accesso adattivo per limitare i controlli utente, ad esempio la disabilitazione dell’accesso agli Appunti, il reindirizzamento della stampante, la mappatura dell’unità client, in base al percorso di rete, è possibile ignorare queste linee guida.

  • Se si prevede di enumerare in modo selettivo Citrix DaaS in base al percorso di rete, la gestione degli utenti deve essere eseguita per i gruppi di consegna utilizzando i criteri di Citrix Studio anziché l’area di lavoro. Quando si crea un gruppo di consegna, in Impostazioni utenti, scegliere Limitazione dell’uso di questo gruppo di consegna utenti o Consenti a tutti gli utenti autenticati di utilizzare questo gruppo di consegna. In questo modo è possibile configurare l’accesso adattivo nel Politica di accesso scheda sotto Gruppo di consegna.

Gruppo di consegna

  • Passa alla connessione diretta al carico di lavoro quando l’accesso adattivo è abilitato.

    • Le Tag di posizione campo è visibile in Citrix Cloud > Percorsi di rete > Aggiungere un percorso di rete > Tag di posizione.
    • I criteri di connessione diretta del carico di lavoro esistenti funzionano come previsto.
    • Le nuove policy devono essere create nel servizio Percorsi di rete (senza definire i tag) e anche nel gruppo di consegna. Inoltre, il tipo di connettività di rete deve essere Interno.
    • Per le nuove policy per la connessione diretta al carico di lavoro con tag, i tag devono essere definiti nel servizio Percorsi di rete e anche gli stessi tag devono essere definiti nel gruppo di consegna o nella policy di accesso in DaaS Studio. Inoltre, il tipo di connettività di rete deve essere Interno. I tag di posizione non sono rilevanti per Direct Workload Connection.

  • Di seguito si consiglia di testare la distribuzione di Citrix DaaS.

    • Identificare un gruppo di consegna di prova o creare un gruppo di consegna per implementare questa funzionalità.
    • Creare un criterio o identificare un criterio che può essere utilizzato con un gruppo di recapito di prova.

Abilitare la funzione Accesso adattivo

  1. Accedere a Citrix Cloud.
  2. Selezionare Configurazione dell’area di lavoro dal menu dell’hamburger.
  3. Accesso adattivo L’opzione Attiva/Disattiva è disattivata per impostazione predefinita. Ruotare il pulsante Accesso adattivo attivare.
  4. Clic Sì, abilita l’accesso adattivo nel messaggio di conferma.

Abilita accesso adattivo

Abilita messaggio di accesso adattivo

Quando l’accesso adattivo è abilitato, è possibile definire i tag di posizione per l’accesso adattivo (Citrix Cloud > Percorsi di rete > Aggiungere un percorso di rete > Tag di posizione).

Accesso adattivo abilitato

Quando l’accesso adattivo è disabilitato, non è possibile aggiungere un percorso di rete. In questo caso, i tag di posizione non sono applicabili.

Accesso adattivo disabilitato

Importante:

Quando si tenta di disabilitare la funzione di accesso adattivo, viene visualizzato il seguente messaggio. Si noti che Workspace non invia i tag al DaaS per l’accesso adattivo quando la funzione è disabilitata.

Messaggio Accesso adattivo disabilitato

Configurare l’accesso adattivo

Si consideri uno scenario in cui un amministratore deve applicare il controllo di accesso in base ai percorsi di rete degli utenti (ad esempio, ufficio e casa). L’amministratore deve anche applicare controlli intelligenti, come le restrizioni degli appunti, per gli utenti che lavorano da casa. Per ottenere questo scenario con l’accesso adattivo, l’amministratore deve creare 2 gruppi di consegna basati sulla rete dell’utente:

  • Accesso adattivo gruppo di recapito per BranchOffice con applicazioni rilevanti per gli utenti delle filiali.
  • LDC gruppo di consegna per WorkFromHome con applicazioni rilevanti per gli utenti domestici/remoti.

Dopo la creazione dei gruppi di consegna, i seguenti passaggi di alto livello sono coinvolti nella configurazione dell’accesso adattivo in base ai percorsi di rete:

Definire i tag di posizione di rete per l’accesso basato sulla posizione

Il primo passo prevede la definizione dei tag per gli utenti in base alla loro posizione; ufficio o casa.

  • FILIALE: Questo tag deve essere assegnato agli utenti che si connettono dalla rete dell’ufficio. Questi utenti hanno pieno accesso a tutte le applicazioni a loro disposizione.
  • LAVORA DA CASA: Questo tag deve essere assegnato agli utenti che lavorano in remoto. Questi utenti hanno accesso limitato alle applicazioni e ad alcune funzionalità (come la funzionalità degli appunti).

Per ulteriori informazioni sui tag, consulta Tag di localizzazione della rete.

Ora che i gruppi di consegna e i rispettivi tag sono stati creati in base alla posizione dell’utente, è possibile procedere alla configurazione dei criteri di percorso di rete.

Configurare i criteri percorso di rete

Definire le regole dei criteri percorso di rete per la posizione dell’utente fornendo l’indirizzo IP di origine pubblico e il tag di posizione.

  1. Accedere a Citrix Cloud.
  2. Selezionare Percorsi di rete dal menu dell’hamburger. Assicurati che l’interruttore Accesso adattivo sia abilitato. In caso contrario, viene visualizzata l’interfaccia utente per la connessione diretta al carico di lavoro.

  3. Clic Aggiungere il percorso di rete.

    • Nome località: Immettere un nome appropriato per il criterio.

      Esempio: FILIALE o LAVORO DA CASA

    • Intervallo di indirizzi IP pubblici: Definire l’intervallo di indirizzi IP pubblici per la rete.

      Esempio: 192.0.2.10 - 192.0.2.30

    • Tag di posizione: Definisci i tag per la tua posizione. Può trattarsi di un nome che si riferisce alla tua posizione. Questi tag vengono utilizzati per configurare i criteri di accesso adattivo in Citrix Studio. Per i dettagli, vedere Definire i tag in Citrix Studio.

      Esempio: FILIALE o LAVORO DA CASA

    • Tipo di connettività: Definire il tipo di avvio dell’applicazione.

    Interno - Bypassare il gateway per l’avvio dell’applicazione. Esterno - Utilizzare il servizio Citrix Gateway o il gateway tradizionale per l’avvio dell’applicazione.

  4. Clic Salvare.

Tag NLS

Ora è possibile utilizzare questi tag su DaaS Studio per abilitare l’accesso adattivo.

Nota:

  • Se i tag di percorso di rete non vengono assegnati ai gruppi di consegna, agli utenti viene concesso l’accesso illimitato a tutte le applicazioni sia nei gruppi di consegna Adaptive Access che in quelli WFH. Ciò potrebbe comportare scenari in cui gli utenti potrebbero accedere inavvertitamente a determinate applicazioni per le quali non sono autorizzati. L’assegnazione di tag di posizione ai gruppi di consegna garantisce che l’accesso sia controllato in base alla posizione di rete degli utenti.
  • Durante la definizione dei tag di posizione, assicurarsi di inserire solo il nome del tag preferito senza il prefisso “LOCATION_TAG”, ad esempio BRANCHOFFICE. Tuttavia, durante la definizione dei tag in Citrix Studio, è necessario anteporre al nome del tag il prefisso “LOCATION_TAG”. Ad esempio, “LOCATION_TAG_BRANCHOFFICE”.

Utilizzo dei tag definiti nei gruppi di consegna per l’enumerazione delle applicazioni

  1. Accedere a Citrix Cloud.
  2. Sul Citrix DaaS , fare clic su Amministrare.
  3. Creare un gruppo di consegna. Per maggiori dettagli, vedere Crea gruppi di consegna.
  4. Seleziona il gruppo di consegna che hai creato e fai clic su Modifica gruppo di consegna.
  5. Clic Politica di accesso.

  6. Per i clienti che utilizzano l’accesso adattivo all’interno della piattaforma Citrix Workspace, eseguire i seguenti passaggi per limitare l’accesso di un gruppo di consegna solo alle reti interne:

    1. Fare clic con il pulsante destro del mouse sul gruppo di consegna e selezionare Redigere.
    2. Selezionare il criterio di accesso nel riquadro sinistro.

    3. Fare clic sull’icona di modifica per modificare il criterio di connessione predefinito di Citrix Gateway.

      Connessioni gateway

    4. Sul Modifica criterio pagina, selezionare Collegamenti che soddisfano i seguenti criteriselezionare Abbina qualsiasie quindi aggiungere i criteri.

      Criteri

      Per gli utenti WorkFromHome, immettere i seguenti valori nel rispettivo controller di consegna.

      Filtro:Workspace

      Valore: LOCATION_TAG_WORKFROMHOME

      Per gli utenti di BranchOffice, immettere i seguenti valori nel rispettivo controller di recapito.

      Filtro:Workspace

      Valore: LOCATION_TAG_BRANCHOFFICE

Nota:

  • Assicurarsi che nel Valore , immettere il nome corretto del tag di posizione definito durante la creazione dei criteri di percorso di rete preceduti da “LOCATION_TAG”. Ad esempio, se l’etichetta di posizione è stata definita come “BRANCHOFFICE”, è necessario inserire “LOCATION_TAG_BRANCHOFFICE” nella Valore campo. I tag di ubicazione della rete nei gruppi di consegna devono essere inseriti in maiuscolo, indipendentemente da come sono stati definiti nella policy di localizzazione della rete. Per informazioni dettagliate sulla configurazione dei tag di posizione, consulta Configurare i criteri percorso di rete.
  • I tag di ubicazione della rete nei gruppi di consegna devono essere inseriti in maiuscolo, indipendentemente da come sono stati definiti nella policy di localizzazione della rete. Per informazioni dettagliate sulla configurazione dei tag di posizione, consulta Configurare i criteri percorso di rete.

(Facoltativo) Applica controlli intelligenti alle applicazioni

Oltre a limitare l’accesso utilizzando i tag dei percorsi di rete, gli amministratori possono anche applicare controlli intelligenti alle applicazioni. In questo esempio, il reindirizzamento degli Appunti client è disabilitato per gli utenti dal percorso WorkFromHome.

  1. Accedere a Citrix DaaS.
  2. Passare a Politiche e fare clic su Crea criterio.
  3. Selezionare Reindirizzamento degli appunti del client, quindi fare clic su Proibire.
  4. Fai clic su Avanti.

Limitare l'accesso agli Appunti

  1. Sul Assegna criterio a pagina, selezionare Controllo di accesso.

  2. Definire i valori seguenti per il criterio:

    • Modo: Permettere
    • Tipo di connessione : Con Citrix Gateway
    • Nome della farm gateway: Workspace
    • Condizione di accesso: LOCATION_TAG_WORKFROMHOME (tutto in maiuscolo)

Modalità e fattoria

  1. Fai clic su Avanti.
  2. Immettere un nome per il criterio e aggiungere una descrizione del criterio.
  3. Fai clic su Fine.

Gli utenti del LAVORA DA CASA La posizione non può eseguire l’accesso agli Appunti alle risorse avviate.

Tag di posizione di rete

Il servizio Percorsi di rete fornisce i seguenti tag.

  • Tag predefiniti: Questi tag sono definiti nel servizio Percorsi di rete. Sono disponibili i seguenti tag predefiniti.
    • LOCATION_internal: Tag inviato per impostazione predefinita quando il tipo di connettività di rete è impostato come Interno durante la definizione di un percorso di rete.
    • LOCATION_external: Tag inviato per impostazione predefinita quando il tipo di connettività di rete è impostato come Esterno durante la definizione di un percorso di rete.
    • LOCATION_undefined: Tag inviato per un indirizzo IP non definito nel criterio ma proveniente dal servizio Percorsi di rete. L’avvio per questi utenti è uguale a quello definito nel gruppo di risorse.
  • Tag personalizzati: Gli amministratori possono definire nomi di tag personalizzati nelle policy. Esempio: casa, ufficio, filiale

Nota:

  • Quando si definiscono i tag per il servizio di localizzazione di rete, assicurarsi di quanto segue:

       The default tags always start with the prefix "LOCATION_`<tag name>`.   For example, LOCATION_INTERNAL.
    
   The custom tags always start with the prefix "LOCATION_TAG`<tag name>`.   For example, LOCATION_TAG_OFFICE.

  • Quando si definiscono i tag nei gruppi di consegna, i tag devono essere inseriti tutti in maiuscolo.

       Default tags: LOCATION_INTERNAL, LOCATION_EXTERNAL, LOCATION_UNDEFINED
    
   Custom tags: LOCATION_TAG_OFFICE, LOCATION_TAG_HOME

Nella tabella seguente sono riepilogati i criteri e i tag per lo scenario menzionato in precedenza.

Posizione Politica Tag personalizzato Tag predefinito Tag da utilizzare nel gruppo di consegna DaaS Tag da utilizzare nei criteri di accesso intelligente
LDC LDC LAVORA DA CASA LOCATION_EXTERNAL LOCATION_WORKFROMHOME e/o LOCATION_EXTERNAL LOCATION_WORKFROMHOME e/o LOCATION_EXTERNAL
Succursale Succursale SUCCURSALE LOCATION_EXTERNAL LOCATION_BRANCHOFFICE e/o LOCATION_EXTERNAL LOCATION_BRANCHOFFICE e/o LOCATION_EXTERNAL
Altro Non definito Non definito LOCATION_UNDEFINED LOCATION_UNDEFINED LOCATION_UNDEFINED

Problemi noti

Se si disabilita la funzionalità Accesso adattivo dopo che è stata abilitata e le regole sono state impostate (tag e tipo di connettività), le posizioni non vengono rimosse dalla pagina Percorsi di rete, anche se i tag di posizione e le colonne del tipo di connettività sono nascosti. Ma queste posizioni sono disabilitate nel back-end. Questo è un problema estetico.

Configurare i criteri di registrazione delle sessioni in base ai tag

Registrazione della sessione Consente alle organizzazioni di registrare l’attività degli utenti sullo schermo nelle sessioni virtuali. È possibile specificare i tag, inclusi i tag del percorso di rete, durante la creazione di un criterio di registrazione della sessione personalizzato, un criterio di rilevamento degli eventi o un criterio di risposta agli eventi. Per un esempio, vedere Creare un criterio di registrazione personalizzato.

Accesso adattivo in base alla posizione di rete dell’utente
January 28, 2025
Grazie al contributo di: 
C
January 28, 2025
Grazie al contributo di: 
C

In questo articolo

Feedback sito | Your privacy choices footer linkScelte di privacy | Privacy e condizioni legali | Preferenze cookie | Impostazioni di consenso | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.