Documentazione dei prodotti
Citrix DaaS™
Visualizza PDF

Accesso adattivo basato sulla posizione di rete dell’utente

September 16, 2025
Grazie al contributo di: 
C C

La funzionalità Accesso adattivo di Citrix Workspace™ utilizza un’infrastruttura di policy avanzata per consentire l’accesso a Citrix DaaS™ in base alla posizione di rete dell’utente. La posizione è definita utilizzando l’intervallo di indirizzi IP o gli indirizzi di sottorete.

Gli amministratori possono definire policy per enumerare o meno app e desktop virtuali in base alla posizione di rete dell’utente. Gli amministratori possono anche controllare le azioni dell’utente abilitando o disabilitando l’accesso agli appunti, alle stampanti, il mapping delle unità client e così via, in base alla posizione di rete dell’utente. Ad esempio, gli amministratori possono impostare policy in modo che gli utenti che accedono alle risorse da casa abbiano un accesso limitato alle applicazioni e gli utenti che accedono alle risorse dagli uffici remoti abbiano accesso completo.

Panoramica dell'accesso adattivo

Un amministratore può implementare le seguenti policy per l’accesso alle applicazioni:

  • Enumerare alcune applicazioni sensibili solo dalla sede aziendale o dai loro uffici remoti.
  • Non enumerare le applicazioni sensibili se i dipendenti accedono allo spazio di lavoro da una rete esterna.
  • Disabilitare l’accesso alla stampante dagli uffici remoti.
  • Disabilitare l’accesso agli appunti e l’accesso alla stampante quando gli utenti si trovano al di fuori della rete aziendale.

Diritti

La funzionalità Accesso adattivo è disponibile come parte della licenza Universal Hybrid Multi Cloud (UHMC) e della licenza Platform (CPL). Per maggiori informazioni, consultare https://www.citrix.com/buy/licensing/product.html.

Prerequisiti

  • Assicurarsi che la funzionalità Accesso adattivo sia abilitata (Citrix Workspace > Accesso > Accesso adattivo). Per i dettagli, consultare Abilitare la funzionalità Accesso adattivo.

    Quando l’accesso adattivo è abilitato, le policy di accesso DaaS vengono aggiornate per utilizzare l’opzione Connessioni tramite Citrix Gateway.

    Nota:

    NetScaler® Gateway è necessario per aggiungere tag di accesso smart nelle policy di accesso DaaS. Tuttavia, poiché DaaS utilizza i tag dai servizi Device Posture, Accesso adattivo e Autenticazione adattiva, non è necessario disporre di un NetScaler Gateway configurato nella propria configurazione.

  • Comprensione dei tag di posizione. Per i dettagli, consultare Tag di posizione di rete.

Punti da notare

I seguenti punti sono applicabili solo se si desidera limitare l’enumerazione delle applicazioni in base alla posizione. Se si prevede di utilizzare l’accesso adattivo per limitare i controlli utente come la disabilitazione dell’accesso agli appunti, il reindirizzamento della stampante, il mapping delle unità client, in base alla posizione di rete, è possibile ignorare queste linee guida.

  • Se si prevede di enumerare selettivamente Citrix DaaS in base alla posizione di rete, la gestione degli utenti deve essere eseguita per tali gruppi di consegna utilizzando le policy di Citrix Studio anziché lo spazio di lavoro. Quando si crea un gruppo di consegna, in Impostazioni utenti, scegliere Limita l’uso di questo gruppo di consegna utenti o Consenti a qualsiasi utente autenticato di utilizzare questo gruppo di consegna. Ciò consente di configurare l’accesso adattivo nella scheda Policy di accesso sotto Gruppo di consegna.

Gruppo di consegna

  • Modifiche alla connessione diretta al carico di lavoro quando l’accesso adattivo è abilitato.

    • Il campo Tag di posizione è visibile in Citrix Cloud™ > Posizioni di rete > Aggiungi una posizione di rete > Tag di posizione.
    • Le policy di connessione diretta al carico di lavoro esistenti funzionano come previsto.
    • Le nuove policy devono essere create nel servizio Posizioni di rete (senza definire tag) e anche sul gruppo di consegna. Inoltre, il tipo di connettività di rete deve essere Interno.
    • Per le nuove policy per la connessione diretta al carico di lavoro con tag, i tag devono essere definiti nel servizio Posizioni di rete e gli stessi tag devono essere definiti sul gruppo di consegna o sulla policy di accesso in DaaS Studio. Inoltre, il tipo di connettività di rete deve essere Interno. I tag di posizione non sono rilevanti per la connessione diretta al carico di lavoro.

  • Si consiglia di testare la propria distribuzione Citrix DaaS come segue.

    • Identificare un gruppo di consegna di test o creare un gruppo di consegna per implementare questa funzionalità.
    • Creare una policy o identificare una policy che possa essere utilizzata con un gruppo di consegna di test.

Abilitare la funzionalità Accesso adattivo

  1. Accedere a Citrix Cloud.
  2. Selezionare Configurazione Workspace dal menu a tendina.
  3. L’interruttore Accesso adattivo è disattivato per impostazione predefinita. Attivare l’interruttore Accesso adattivo.
  4. Fare clic su Sì, abilita accesso adattivo nel messaggio di conferma.

Abilita accesso adattivo

Messaggio di abilitazione dell'accesso adattivo

Quando l’accesso adattivo è abilitato, è possibile definire i tag di posizione per l’accesso adattivo (Citrix Cloud > Posizioni di rete > Aggiungi una posizione di rete > Tag di posizione).

Accesso adattivo abilitato

Quando l’accesso adattivo è disabilitato, non è possibile aggiungere una posizione di rete. I tag di posizione non sono applicabili in questo caso.

Accesso adattivo disabilitato

Importante:

Quando si tenta di disabilitare la funzionalità Accesso adattivo, viene visualizzato il seguente messaggio. Si noti che Workspace non invia i tag a DaaS per l’accesso adattivo quando la funzionalità è disabilitata.

Messaggio di disabilitazione dell'accesso adattivo

Configurare l’accesso adattivo

Si consideri uno scenario in cui un amministratore deve applicare il controllo degli accessi in base alle posizioni di rete degli utenti (ad esempio ufficio e casa). L’amministratore deve anche applicare controlli smart come le restrizioni sugli appunti per gli utenti che lavorano da casa. Per realizzare questo scenario con l’accesso adattivo, l’amministratore deve creare 2 gruppi di consegna basati sulla rete dell’utente:

  • Gruppo di consegna Accesso adattivo per Ufficio remoto con applicazioni pertinenti agli utenti dell’ufficio remoto.
  • Gruppo di consegna WFH per Lavoro da casa con applicazioni pertinenti agli utenti domestici/remoti.

Dopo la creazione dei gruppi di consegna, i seguenti passaggi di alto livello sono coinvolti nella configurazione dell’accesso adattivo basato sulle posizioni di rete:

Definire i tag di posizione di rete per l’accesso basato sulla posizione

Il primo passaggio consiste nel definire i tag per gli utenti in base alle loro posizioni; ufficio o casa.

  • BRANCHOFFICE: Questo tag deve essere assegnato agli utenti che si connettono dalla rete dell’ufficio. Questi utenti hanno accesso completo a tutte le applicazioni a loro disposizione.
  • WORKFROMHOME: Questo tag deve essere assegnato agli utenti che lavorano da remoto. Questi utenti hanno accesso limitato alle applicazioni e a determinate funzionalità (come la funzionalità degli appunti).

Per maggiori informazioni sui tag, consultare Tag di posizione di rete.

Ora che sono stati creati i gruppi di consegna e i relativi tag in base alla posizione dell’utente, è possibile procedere alla configurazione della policy di posizione di rete.

Configurare le policy di posizione di rete

Definire le regole della policy di posizione di rete per la posizione dell’utente fornendo l’indirizzo IP pubblico di origine e il tag di posizione.

  1. Accedere a Citrix Cloud.
  2. Selezionare Posizioni di rete dal menu a tendina. Assicurarsi che l’interruttore Accesso adattivo sia abilitato. Altrimenti, viene visualizzata l’interfaccia utente per la connessione diretta al carico di lavoro.

  3. Fare clic su Aggiungi posizione di rete.

    • Nome posizione: Immettere un nome appropriato per la policy.

      Esempio: BRANCHOFFICE o WORKFROMHOME

    • Intervallo indirizzi IP pubblici: Definire l’intervallo di indirizzi IP pubblici per la propria rete.

      Esempio: 192.0.2.10 - 192.0.2.30

    • Tag di posizione: Definire i tag per la propria posizione. Questo può essere un nome che si riferisce alla propria posizione. Questi tag vengono utilizzati per configurare le policy di accesso adattivo in Citrix Studio. Per i dettagli, consultare Definire i tag in Citrix Studio.

      Esempio: BRANCHOFFICE o WORKFROMHOME

    • Tipo di connettività: Definire il tipo di avvio dell’applicazione.

    Interno - Bypassare il gateway per l’avvio dell’applicazione. Esterno - Utilizzare il servizio Citrix Gateway o un gateway tradizionale per l’avvio dell’applicazione.

  4. Fare clic su Salva.

Tag NLS

È ora possibile utilizzare questi tag su DaaS Studio per abilitare l’accesso adattivo.

Nota:

  • Se i tag di posizione di rete non sono assegnati ai gruppi di consegna, agli utenti viene concesso un accesso illimitato a tutte le applicazioni sia nei gruppi di consegna Accesso adattivo che WFH. Ciò potrebbe comportare scenari in cui gli utenti potrebbero accedere inavvertitamente a determinate applicazioni a cui non sono autorizzati. L’assegnazione di tag di posizione ai gruppi di consegna garantisce che l’accesso sia controllato in base alla posizione di rete degli utenti.
  • Durante la definizione dei tag di posizione, assicurarsi di inserire solo il nome del tag preferito senza il prefisso “LOCATION_TAG”, ad esempio BRANCHOFFICE. Tuttavia, durante la definizione dei tag in Citrix Studio, è necessario anteporre al nome del tag il prefisso “LOCATION_TAG”. Ad esempio, “LOCATION_TAG_BRANCHOFFICE”.

Utilizzare i tag definiti nei gruppi di consegna per l’enumerazione delle applicazioni

  1. Accedere a Citrix Cloud.
  2. Sul riquadro Citrix DaaS, fare clic su Gestisci.
  3. Creare un gruppo di consegna. Per i dettagli, consultare Creare gruppi di consegna.
  4. Selezionare il gruppo di consegna creato e fare clic su Modifica gruppo di consegna.
  5. Fare clic su Policy di accesso.

  6. Per i clienti che utilizzano l’accesso adattivo all’interno della piattaforma Citrix Workspace, eseguire i seguenti passaggi per limitare l’accesso di un gruppo di consegna solo alle reti interne:

    1. Fare clic con il pulsante destro del mouse sul gruppo di consegna e selezionare Modifica.
    2. Selezionare la policy di accesso nel riquadro sinistro.
    3. Fare clic sull’icona di modifica per modificare la policy di connessioni Citrix Gateway predefinita.

Connessioni Gateway

1.  Nella pagina **Modifica policy**, selezionare **Connessioni che soddisfano i seguenti criteri**, selezionare **Corrispondenza qualsiasi**, quindi aggiungere i criteri.

Criteri

    Per gli utenti WorkFromHome, immettere i seguenti valori nel rispettivo delivery controller.

    **Filtro**: Workspace

    **Valore**: LOCATION_TAG_WORKFROMHOME

    Per gli utenti BranchOffice, immettere i seguenti valori nel rispettivo delivery controller.

    **Filtro**: Workspace

    **Valore**: LOCATION_TAG_BRANCHOFFICE

Nota:

  • Assicurarsi che nel campo Valore si immetta il nome del tag di posizione corretto come definito durante la creazione delle policy di posizione di rete con il prefisso “LOCATION_TAG”. Ad esempio, se è stato definito il tag di posizione come “BRANCHOFFICE”, è necessario immettere “LOCATION_TAG_BRANCHOFFICE” nel campo Valore. I tag di posizione di rete nei gruppi di consegna devono essere inseriti in maiuscolo indipendentemente da come sono stati definiti nella policy di posizione di rete. Per i dettagli sulla configurazione dei tag di posizione, consultare Configurare le policy di posizione di rete.
  • I tag di posizione di rete nei gruppi di consegna devono essere inseriti in maiuscolo indipendentemente da come sono stati definiti nella policy di posizione di rete. Per i dettagli sulla configurazione dei tag di posizione, consultare Configurare le policy di posizione di rete.

(Facoltativo) Applicare controlli smart sulle applicazioni

Oltre a limitare l’accesso utilizzando i tag di posizione di rete, gli amministratori possono anche applicare controlli smart sulle applicazioni. In questo esempio, il reindirizzamento degli appunti client è disabilitato per gli utenti dalla posizione WorkFromHome.

  1. Accedere a Citrix DaaS.
  2. Accedere a Policy e fare clic su Crea policy.
  3. Selezionare Reindirizzamento appunti client, quindi fare clic su Proibisci.
  4. Fare clic su Avanti.

Limita accesso appunti

  1. Nella pagina Assegna policy a, selezionare Controllo accessi.

  2. Definire i seguenti valori per la policy:

    • Modalità: Consenti
    • Tipo di connessione: Con Citrix Gateway
    • Nome farm Gateway: Workspace
    • Condizione di accesso: LOCATION_TAG_WORKFROMHOME (tutto in maiuscolo)

Modalità e farm

  1. Fare clic su Avanti.
  2. Immettere un nome per la policy e aggiungere una descrizione della policy.
  3. Fare clic su Fine.

Gli utenti dalla posizione WORKFROMHOME non possono eseguire l’accesso agli appunti alle risorse avviate.

Tag di posizione di rete

Il servizio Posizioni di rete fornisce i seguenti tag.

  • Tag predefiniti: Questi tag sono definiti nel servizio Posizioni di rete. Sono disponibili i seguenti tag predefiniti.
    • LOCATION_internal: Tag inviato per impostazione predefinita quando il tipo di connettività di rete è impostato su Interno durante la definizione di una posizione di rete.
    • LOCATION_external: Tag inviato per impostazione predefinita quando il tipo di connettività di rete è impostato su Esterno durante la definizione di una posizione di rete.
    • LOCATION_undefined: Tag inviato per un indirizzo IP non definito nella policy ma che proviene dal servizio Posizioni di rete. L’avvio per questi utenti è lo stesso di quanto definito nel gruppo di risorse.
  • Tag personalizzati: Gli amministratori possono definire nomi di tag personalizzati nelle policy. Esempio: home, Office, BRANCH

Nota:

  • Quando si definiscono i tag per il servizio Posizioni di rete, assicurarsi di quanto segue:

    I tag predefiniti iniziano sempre con il prefisso "LOCATION_`<nome tag>`. Ad esempio, LOCATION_INTERNAL.

I tag personalizzati iniziano sempre con il prefisso "LOCATION_TAG`<nome tag>`. Ad esempio, LOCATION_TAG_OFFICE.

  • Quando si definiscono i tag nei gruppi di consegna, i tag devono essere inseriti in maiuscolo.

    Tag predefiniti: LOCATION_INTERNAL, LOCATION_EXTERNAL, LOCATION_UNDEFINED

Tag personalizzati: LOCATION_TAG_OFFICE, LOCATION_TAG_HOME

La seguente tabella riassume le policy e i tag per lo scenario menzionato in precedenza.

Posizione Policy Tag personalizzato Tag predefinito Tag da utilizzare nel gruppo di consegna DaaS Tag da utilizzare nella policy di accesso smart
WFH WFH WORKFROMHOME LOCATION_EXTERNAL LOCATION_WORKFROMHOME e/o LOCATION_EXTERNAL LOCATION_WORKFROMHOME e/o LOCATION_EXTERNAL
Ufficio remoto Ufficio remoto BRANCHOFFICE LOCATION_EXTERNAL LOCATION_BRANCHOFFICE e/o LOCATION_EXTERNAL LOCATION_BRANCHOFFICE e/o LOCATION_EXTERNAL
Altro Non definito Non definito LOCATION_UNDEFINED LOCATION_UNDEFINED LOCATION_UNDEFINED

Problemi noti

Se si disabilita la funzionalità Accesso adattivo dopo che è stata abilitata e le regole sono state impostate (tag e tipo di connettività), ciò non rimuove le posizioni dalla pagina Posizioni di rete, anche se i tag di posizione e le colonne del tipo di connettività sono nascosti. Tuttavia, queste posizioni sono disabilitate nel back-end. Si tratta di un problema estetico.

Configurare le policy di registrazione delle sessioni basate sui tag

Registrazione sessioni consente alle organizzazioni di registrare l’attività dell’utente sullo schermo nelle sessioni virtuali. È possibile specificare tag, inclusi i tag di posizione di rete, quando si crea una policy di registrazione sessioni personalizzata, una policy di rilevamento eventi o una policy di risposta agli eventi. Per un esempio, consultare Creare una policy di registrazione personalizzata.

Accesso adattivo basato sulla posizione di rete dell’utente
September 16, 2025
Grazie al contributo di: 
C C
September 16, 2025
Grazie al contributo di: 
C C

In questo articolo

Feedback sito | Your privacy choices footer linkScelte di privacy | Privacy e condizioni legali | Preferenze cookie | Impostazioni di consenso | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.