Citrix Virtual Apps and Desktops

App Protection contestuale per Workspace

L’App Protection contestuale offre la flessibilità granulare necessaria per applicare i criteri di App Protection in modo condizionale per un sottoinsieme di utenti, in base agli utenti, al loro dispositivo e alla postura della rete.

Implementazione di App Protection contestuale

È possibile implementare App Protection contestuale utilizzando i filtri di connessione definiti nella regola dei criteri di accesso broker. I criteri di accesso broker definiscono le regole che controllano l’accesso di un utente ai gruppi di desktop. Il criterio comprende una serie di regole. Ogni regola si riferisce a un singolo gruppo di desktop e contiene una serie di filtri di connessione e controlli dei diritti di accesso.

Gli utenti ottengono l’accesso a un gruppo di desktop quando i dettagli della loro connessione corrispondono ai filtri di connessione di una o più regole nel criterio di accesso broker. Per impostazione predefinita, gli utenti non hanno accesso a nessun gruppo di desktop all’interno di un sito. È possibile creare altri criteri di accesso broker in base a requisiti specifici. È possibile applicare più regole allo stesso gruppo di desktop. Per ulteriori informazioni, vedere New-BrokerAssignmentPolicyRule.

I seguenti parametri inclusi nella regola dei criteri di accesso broker forniscono la flessibilità necessaria per abilitare App Protection contestualmente se la connessione dell’utente corrisponde ai filtri di connessione definiti nella regola dei criteri di accesso:

  • AppProtectionKeyLoggingRequired
  • AppProtectionScreenCaptureRequired

Utilizzare i criteri Smart Access a cui si fa riferimento nelle regole dei criteri di accesso broker per perfezionare ulteriormente i filtri di connessione. Fare riferimento agli scenari illustrati in questo articolo per comprendere come utilizzare i criteri Smart Access per configurare App Protection contestuale.

Prerequisiti

Assicurarsi di disporre di quanto segue:

  • Citrix Virtual Apps and Desktops versione 2109 o versioni successive
  • Delivery Controller versione 2109 o successiva
  • Servizio di localizzazione della rete (NLS) per scenari basati sulla posizione di rete dell’utente
  • Requisiti di licenza -
    • App Protection per DaaS
    • Autorizzazione all’autenticazione adattiva per scenari con criteri Smart Access.

Configurazione di App Protection contestuale per Workspace: alcuni scenari

Scenario 1: abilitare App Protection per gli utenti esterni che passano dal gateway di accesso

  1. Configurare l’autenticazione adattiva.

  2. Configurare l’accesso adattivo in base alla posizione di rete.
    1. Accedere a Citrix Cloud e accedere alle Network Locations (Posizioni di rete).

      Posizioni di rete

    2. Aggiungere l’indirizzo IP o la sottorete di rete da considerare interna o diretta.
    3. Inserire location_internal nel campo Location tags.
    4. Scegliere Internal come tipo di connettività di rete.

      Tipo di connettività di rete

      Se si accede allo store Cloud da un dispositivo il cui indirizzo IP è configurato come Internal, la connessione viene considerata una connessione interna. Tutte le altre connessioni di rete sono considerate connessioni esterne o connessioni Via Access Gateway.

  3. Configurare le regole dei criteri di accesso broker

    Per ogni gruppo di consegna, per impostazione predefinita, vengono creati due criteri di accesso broker. Uno per le connessioni che passano dal gateway di accesso e l’altro per le connessioni dirette. È possibile abilitare App Protection solo per le connessioni che passano dal gateway di accesso, ossia le connessioni esterne. Per configurare le regole dei criteri di accesso broker attenersi alla procedura seguente:

    1. Installare Citrix PowerShell SDK e connetersi all’API cloud come spiegato nel blog Citrix Getting started with PowerShell automation for Citrix Cloud.

    2. Eseguire il comando Get-BrokerAccessPolicyRule.

      Viene visualizzato un elenco di tutti i criteri di accesso broker per tutti i gruppi di consegna presenti.

    3. Trovare il DesktopGroupUid per il gruppo di consegna che si desidera modificare.

      UID del gruppo desktop

    4. Usare DesktopGroupUid per recuperare i criteri applicabili al gruppo di consegna. Esistono almeno due criteri, uno in cui AllowedConnections ha ViaAG e un altro in cui ha NotViaAG.

      Get-BrokerAccessPolicyRule -DesktopGroupUid 7

      Ottenere il criterio di accesso broker

      Nella schermata, sono visibili due criteri:

      • CAP_Desktops_AG - AllowedConnections con ViaAG, che rappresenta il criterio per le connessioni esterne o le connessioni tramite il gateway di accesso

      • CAP_Desktops_Direct — AllowedConnections con NotViaAG, che rappresenta il criterio per le connessioni interne o le connessioni dirette

  4. Attivare i criteri di App Protection solo per le connessioni esterne e disattivarli per le connessioni interne utilizzando i seguenti comandi:

    • Set-BrokerAccessPolicyRule CAP_Desktops_AG -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

    • Set-BrokerAccessPolicyRule CAP_Desktops_Direct -AppProtectionKeyLoggingRequired $false -AppProtectionScreenCaptureRequired $false

Verifica

Scollegarsi dall’app Citrix Workspace e accedere nuovamente. Avviare la risorsa protetta da una connessione esterna. Si osserverà che i criteri di App Protection vengono applicati. Avviare la stessa risorsa da una connessione interna, un dispositivo dall’interno dell’intervallo di indirizzi IP configurato nel primo passaggio. Si osserverà che i criteri di App Protection sono disattivati.

Scenario 2: attivare App Protection per dispositivi non attendibili

Esistono più definizioni di dispositivi attendibili e non attendibili. Per questo scenario, consideriamo attendibile un dispositivo se la scansione dell’Endpoint Analysis (EPA) ha esito positivo. Tutti gli altri dispositivi sono considerati dispositivi non attendibili.

  1. Configurare l’autenticazione adattiva.
  2. Creare un criterio di autenticazione con scansione EPA utilizzando i seguenti passaggi:

    1. Accedere all’interfaccia utente di amministrazione di Citrix ADC. Nella scheda Configuration, passare a Security > AAA-Application Traffic -> Virtual Servers (Sicurezza > Traffico di applicazioni AAA -> Server virtuali). Fare clic sul server virtuale che si desidera utilizzare, in questo caso auth_vs.

      Server virtuali

    2. Accedere ad Authentication Policies > Add Binding (Criteri di autenticazione > Aggiungi associazione).

      Criteri di autenticazione

      Add binding

    3. Fare clic su Add (Aggiungi) per creare un criterio.

      Associazione criterio

    4. Creare un criterio di autenticazione basato sulla scansione EPA. Inserire il nome del criterio. In Action Type (Tipo di azione) selezionare EPA. Fare clic su Add per creare un’azione.

      Creare un criterio di autenticazione

    5. Viene visualizzata la schermata Create Authentication EPA Action (Crea azione di autenticazione EPA).

      Creare EPA autenticazione

      Nella schermata Create Authentication EPA Action, inserire i dettagli di cui sotto e fare clic su Create per creare un’azione.

      • Name: nome dell’azione EPA. In questo caso EPA_Action_FileExists.
      • Default Group (Gruppo predefinito). Immettete il nome predefinito del gruppo. Se l’espressione EPA è True, gli utenti vengono aggiunti al gruppo predefinito. Il Default Group in questo caso è FileExists.
      • Quarantine Group (Gruppo di quarantena). Immettere il nome del gruppo di quarantena. Se l’espressione EPA è False, gli utenti vengono aggiunti al gruppo di quarantena.
      • Expression (Espressione). Aggiungere l’espressione EPA che si desidera scansionare. In questo esempio, riteniamo che la scansione EPA abbia esito positivo se è presente un particolare file: sys.client_expr("file_0_C:\\\\epa\\\\avinstalled.txt")
    6. Si torna alla schermata Create Authentication Policy (Crea criterio di autenticazione). Immettete true nell’editor delle espressioni e fare clic su Create.

      Autenticazione EPA true

    7. Si torna alla schermata Policy Binding. Effettuare le seguenti operazioni:

      • In Goto Expression selezionare NEXT.
      • Nella sezione Select Next Factor (Seleziona fattore successivo), selezionare il criterio LDAP che si era configurato per l’autenticazione nell’Application Delivery Controller (ADC).
      • Fare clic su Bind (Associa).

        Dettagli di associazione del criterio

  3. Creare un criterio Smart Access per i dispositivi attendibili con i seguenti passaggi:
    1. Selezionare Smart Access Policies nella pagina Authentication Virtual Server del server auth_vs.

      Server virtuali di autenticazione

    2. Fare clic su Add Binding (Aggiungi associazione).

      Add binding

    3. Nella schermata Policy Binding, fare clic su Add nella sezione Select Policy (Seleziona criterio).

      Selezionare il criterio

    4. Viene visualizzata la schermata Create Authentication Smart Access Policy (Crea criterio di autenticazione Smart Access).

      Autenticazione Smart Access

      Nella schermata Create Authentication Smart Access Policy, immettere Name come Smart Access Policy e fare clic su Add per creare un profilo Smart Access.

    5. Viene visualizzata la schermata Create Authentication Smart Access Profile (Crea profilo di autenticazione Smart Access). Aggiungere un nome per l’azione in Name. Inserire trusted in Tags. Il tag viene successivamente referenziato nella regola Broker Access Policy per la configurazione. Fare clic su Create.

      Crea profilo di autenticazione

    6. Si torna alla schermata Create Authentication Smart Access Policy. Nella sezione Expression immettere l’espressione per la quale si desidera effettuare la distribuzione push del tag. In questo caso, poiché il tag ha una distribuzione push per dispositivi attendibili, inserire AAA.USER.IS_MEMBER_OF(“FileExists”). Fare clic su Create.

      Tag per dispositivi attendibili

    7. Si torna alla schermata Policy Binding. Selezionare la Goto Expression come fine (End) e fare clic su Bind.

      Selezionare l'espressione go to

  4. Creare un criterio Smart Access per i dispositivi non attendibili.

    1. Seguire le istruzioni del passaggio precedente, ad eccezione dei passaggi secondari v e vi.
    2. Per il passaggio secondario v, nella schermata Create Authentication Smart Access Profile, aggiungere Name per l’azione. Inserire untrusted in Tags. Il tag viene successivamente referenziato nella regola Broker Access Policy per la configurazione. Fare clic su Create.
    3. Nel passaggio secondario vi, nella sezione Expression della schermata Create Authentication Smart Access Policy, inserire l’espressione per la quale si desidera effettuare la distribuzione push del tag. In questo caso, poiché il tag ha una distribuzione push per dispositivi non attendibili, inserire AAA.USER.IS_MEMBER_OF(“FileExists”).NOT.
  5. Configurare le regole del criterio di accesso broker

    1. Installare Citrix PowerShell SDK e connetersi all’API cloud come spiegato nel blog Citrix Getting started with PowerShell automation for Citrix Cloud.
    2. Eseguire il comando Get-BrokerAccessPolicyRule.

      Viene visualizzato un elenco di tutti i criteri di accesso broker per tutti i gruppi di consegna presenti.

    3. Trovare il DesktopGroupUid per il gruppo di consegna che si desidera modificare.

      UID del gruppo desktop

    4. Ottenere i criteri applicati solo a un particolare gruppo di consegna, utilizzando il comando: Get-BrokerAccessPolicyRule -DesktopGroupUid 7
    5. Per filtrare gli utenti che utilizzano dispositivi attendibili, creare un altro criterio di accesso broker utilizzando il comando: New-BrokerAccessPolicyRule -Name CAP_Desktops_AG_Trusted-DesktopGroupUid 7 - AllowedConnections ViaAG -AllowedProtocols HDX, RDP -AllowedUsers AnyAuthenticated - AllowRestart $true -Enabled $true-IncludedSmartAccessFilterEnabled $true
    6. Per disattivare App Protection per i dispositivi attendibili e abilitare App Protection per i dispositivi non attendibili, usare il seguente comando: Set-BrokerAccessPolicyRule CAP_Desktops_AG_trusted -IncludedSmartAccessTags Workspace:trusted -AppProtectionKeyLoggingRequired $false -AppProtectionScreenCaptureRequired $false

      Set-BrokerAccessPolicyRule CAP_Desktops_AG -IncludedSmartAccessTags Workspace:untrusted -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

Verifica

Scollegarsi dall’app Citrix Workspace e accedere nuovamente. Avviare la risorsa protetta da un dispositivo attendibile che soddisfi le condizioni di scansione EPA. Si osserverà che i criteri App Protection non vengono applicati. Avviare la stessa risorsa da un dispositivo non attendibile. Si osserverà che i criteri di App Protection vengono applicati.

App Protection contestuale per Workspace