Citrix Virtual Apps and Desktops

App Protection contestuale per StoreFront

L’App Protection contestuale offre la flessibilità granulare necessaria per applicare i criteri di App Protection in modo condizionale per un sottoinsieme di utenti, in base agli utenti, al loro dispositivo e alla postura della rete.

Implementazione di App Protection contestuale

È possibile implementare App Protection contestuale utilizzando i filtri di connessione definiti nella regola dei criteri di accesso broker. I criteri di accesso broker definiscono le regole che controllano l’accesso di un utente ai gruppi di desktop. Il criterio comprende una serie di regole. Ogni regola si riferisce a un singolo gruppo di desktop e contiene una serie di filtri di connessione e controlli dei diritti di accesso.

Gli utenti ottengono l’accesso a un gruppo di desktop quando i dettagli della loro connessione corrispondono ai filtri di connessione di una o più regole nel criterio di accesso broker. Per impostazione predefinita, gli utenti non hanno accesso a nessun gruppo di desktop all’interno di un sito. È possibile creare criteri aggiuntivi di accesso broker in base a requisiti specifici. È possibile applicare più regole allo stesso gruppo di desktop. Per ulteriori informazioni, vedere New-BrokerAssignmentPolicyRule.

I seguenti parametri inclusi nella regola dei criteri di accesso broker forniscono la flessibilità necessaria per abilitare App Protection contestualmente se la connessione dell’utente corrisponde ai filtri di connessione definiti nella regola dei criteri di accesso:

  • AppProtectionKeyLoggingRequired
  • AppProtectionScreenCaptureRequired

Utilizzare i filtri Smart Access a cui si fa riferimento nei criteri di accesso broker per perfezionare i filtri di connessione. Per informazioni sulla configurazione dei filtri Smart Access, vedere questo articolo di supporto. Fare riferimento agli scenari riportati di seguito per comprendere come utilizzare i criteri Smart Access per configurare App Protection contestuale.

Prerequisiti

Assicurarsi di disporre di quanto segue:

  • Citrix Virtual Apps and Desktops versione 2109 o versioni successive
  • Delivery Controller versione 2109 o successiva
  • StoreFront versione 1912 o successiva
  • Connessione riuscita tra NetScaler e StoreFront. Per ulteriori informazioni, vedere Integrate Citrix Gateway with StoreFront
  • Importare tabelle XML per alcune versioni LTSR - Fare riferimento al passaggio 1 riportato di seguito
  • Abilitare Smart Access su NetScaler Gateway, per gli scenari che richiedono tag Smart Access. Per ulteriori informazioni, vedere questo articolo di supporto.
  • Requisiti di licenza -
    • Licenza locale di App Protection
    • Licenza Citrix Gateway Universal per scenari con tag Smart Access

Abilitare App Protection contestuale

  1. Scaricare i criteri di App Protection contestuale (tabella delle funzionalità) per la propria versione di Citrix Virtual Apps and Desktops dalla pagina Citrix downloads.

  2. Nel Delivery Controller, eseguire il seguente comando PowerShell: asnp Citrix*Set-BrokerSite-TrustRequestsSentToTheXmlServicePort $true
  3. Eseguire i seguenti comandi per abilitare App Protection contestuale nel Delivery Controller: Import-ConfigFeatureTable <path to the downloaded feature table>.

    Ad esempio, Import-ConfigFeatureTable\Downloads\FeatureTable.OnPrem.AppProtContextualAccess.xml.

Abilitare App Protection contestuale: alcuni scenari

Scenario 1: abilitare App Protection per gli utenti esterni che passano dal gateway di accesso

Per ogni gruppo di consegna, per impostazione predefinita vengono creati due criteri di accesso broker. Uno per le connessioni che passano dal gateway di accesso e l’altro per le connessioni dirette. È possibile abilitare App Protection solo per le connessioni che passano dal gateway di accesso.

I seguenti passaggi consentono di abilitare App Protection per gli utenti esterni nel gruppo di consegna Admin_Desktop_Group, che contiene un desktop denominato Admin_Desktop:

  1. Eseguire il comando PowerShell Get-BrokerAccesspolicyRule dal controller di consegna. In questo modo si ottengono i due criteri di accesso al broker definite per questo gruppo Admin_Desktop_Group_AG e Admin_Desktop_Group_Direct.

  2. Per abilitare i criteri di App Protection per le connessioni del gateway di accesso, eseguire il seguente comando: Set-BrokerAccessPolicyRule Admin_Desktop_Group_AG -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

  3. Per disabilitare i criteri di App Protection per le connessioni dirette, eseguire il seguente comando: Set-BrokerAccessPolicyRule Admin_Desktop_Group_Direct -AppProtectionKeyLoggingRequired $false -AppProtectionScreenCaptureRequired $false

  4. Verifica. Uscire dall’app Citrix Workspace, se già aperta. Effettuare nuovamente l’accesso all’app Citrix Workspace. Avviare la risorsa Admin_Desktop da una connessione esterna tramite il gateway di accesso. Si noterà che i criteri di App Protection vengono applicati sul desktop di amministrazione.

Scenario 2: disattivare App Protection per determinati tipi di dispositivi. Ad esempio, un iPhone

Di seguito sono riportati i passaggi per disabilitare App Protection per gli utenti iPhone in un gruppo di consegna chiamato Win10Desktop.

Passaggio 1: creare i criteri Smart Access

  1. Accedere all’interfaccia utente di amministrazione di Citrix ADC.
  2. Nel menu di navigazione a sinistra, passare a Citrix Gateway > Virtual Servers.

    Prendere nota del nome del server virtuale VPN, necessario per configurare i criteri di accesso broker successivamente.

  3. Fare clic su VPN Virtual Server (Server virtuale VPN). Scorrere fino alla fine della pagina e fare clic su Session policies (Criteri di sessione). Viene visualizzato un elenco di criteri di sessione.
  4. Fare clic su Add Binding (Aggiungi associazione).

    Add binding

  5. Fare clic su Add to create a session policy (Aggiungi per creare un criterio di sessione).

    Creare una sessione Citrix Gateway

  6. Immettere un nome per il criterio di sessione. In questo caso temp.

    Immettere il nome del criterio di sessione

  7. Fare clic su Add accanto a Profile per specificare un nome di profilo. Fare clic su Create.

    Specificare il nome del profilo

  8. Fare clic su Expression editor nella finestra Session policy.
  9. Creare la seguente espressione per verificare la presenza di iPhone nella stringa User Agent : HTTP.REQ.HEADER(“User-Agent”).CONTAINS(“iPhone”)

    Creare un'espressione

  10. Fare clic su Bind (Associa) per creare il criterio di sessione.

Passaggio 2: creare le regole dei criteri di accesso broker.

Per applicare il criterio per gli utenti iPhone che accedono a Win10Desktop tramite il gateway di accesso, eseguire le operazioni seguenti:

  1. Eseguire il seguente comando nel Delivery controller (DDC): Get-BrokerAccessPolicyRule, che elenca tutti i criteri di accesso broker definiti nel DDC. In questo esempio, i criteri di accesso broker per il gruppo di consegna Win10Desktop sono Win10Desktop_AG e Win10Desktop_Direct. Prendere nota dell’UID del gruppo di desktop del gruppo di consegna per il passaggio successivo.

  2. Creare una regola dei criteri di accesso broker perché Win10Desktop filtri gli utenti iPhone che passano dal gateway di accesso utilizzando il seguente comando: New-BrokerAccessPolicyRule -Name Win10Desktop_AG_iPhone -DesktopGroupUid <Uid_of_desktopGroup> -AllowedConnections ViaAG -AllowedProtocols HDX, RDP -AllowedUsers AnyAuthenticated -AllowRestart $true -AppProtectionKeyLoggingRequired $false -AppProtectionScreenCaptureRequired $false -Enabled $true -IncludedSmartAccessFilterEnabled $true.

    Uid_of_desktopGroup è il DesktopGroupUID del gruppo di consegna ottenuto eseguendo la regola GetBrokerAccessPolicy nel passaggio 1.

  3. Per disabilitare App Protection per gli utenti iPhone di Win10Desktop che passano dal gateway di accesso facendo riferimento al tag Smart Access temp (creato nel Passaggio 1: Crea criterio di accesso intelligente), utilizzare il seguente comando:

  4. Per disabilitare App Protection per gli utenti iPhone di Win10Desktop che passano dal gateway di accesso, fare riferimento al tag Smart Access temp creato nel passaggio 1. Creare i criteri Smart Access utilizzando il seguente comando: Set-BrokerAccessPolicyRule Win10Desktop_AG_iPhone -IncludedSmartAccessTags Primary_HDX_Proxy:temp -AppProtectionScreenCaptureRequired $false -AppProtectionKeyLoggingRequired $false

    Primary_HDX_Proxy è il nome del server virtuale VPN di cui sopra al Passaggio 1, Creare criteri Smart Access.

  5. Per abilitare i criteri App Protection per il resto degli utenti di Win10desktop, utilizzare il seguente comando: Set-BrokerAccessPolicyRule Win10Desktop_AG -AppProtectionScreenCaptureRequired $true -AppProtectionKeyLoggingRequired $true

  6. Verifica

    Per iPhone: scollegarsi dall’app Citrix Workspace, se già aperta sull’iPhone. Accedere all’app Citrix Workspace dall’esterno tramite la connessione gateway di accesso. La risorsa richiesta dovrebbe essere visibile in StoreFront e App Protection dovrebbe essere disabilitato.

    Per i dispositivi diversi dall’iPhone: scollegarsi dall’app Citrix Workspace, se già aperta sul dispositivo, accedere all’app Citrix Workspace dall’esterno tramite la connessione gateway di accesso. La risorsa richiesta dovrebbe essere visibile in StoreFront e App Protection dovrebbe essere disabilitato.

Scenario 3: disattivare App Protection per le connessioni avviate dall’accesso basato su browser e abilitare App Protection per le connessioni provenienti dall’app Citrix Workspace

I seguenti passaggi consentono di disabilitare App Protection per un gruppo di consegna denominato Win10Desktop quando le connessioni vengono avviate da un browser.

  1. Passaggio 1: creare criteri Smart Access

    1. Creare un criterio Smart Access per filtrare le connessioni avviate dall’app Citrix Workspace, come definito nello Scenario 2. Creare la seguente espressione, per verificare la presenza di CitrixReceiver nella stringa User Agent: HTTP.REQ.HEADER(“User-Agent”).CONTAINS(“CitrixReceiver”). In questo caso, il criterio Smart Access è cwa.

      Creare un'espressione

    2. Creare un altro criterio Smart Access per filtrare le connessioni non avviate dall’app Citrix Workspace, HTTP.REQ.HEADER(“User-Agent”).CONTAINS(“CitrixReceiver”).NOT. In questo caso, questo criterio Smart Access è browser.

      Creare criteri di sessione

  2. Fase 2: Creare le regole dei criteri di accesso broker

    1. Eseguire GetBrokerAccessPolicyRule per visualizzare i due criteri di accesso broker per Win10Desktop. Per il gruppo di distribuzione Win10Desktop, i criteri di accesso broker sono Win10Desktop_AG e Win10Desktop_Direct. Prendere nota dell’UID del gruppo desktop di Win10Desktop.

    2. Creare un criterio di accesso broker per Win10Desktop che filtri le connessioni avviate dall’app Citrix Workspace.

      New-BrokerAccessPolicyRule -Name Win10Desktop_AG_CWA -DesktopGroupUid <Uid_of_desktopGroup> -AllowedConnections ViaAG -AllowedProtocols HDX, RDP -AllowedUsers AnyAuthenticated -AllowRestart $true -Enabled $true -IncludedSmartAccessFilterEnabled $true.

      Uid_of_desktopGroup è il DesktopGroupUID del gruppo di consegna ottenuto eseguendo la regola GetBrokerAccessPolicy nel passaggio 1.

    3. Utilizzare il seguente comando per abilitare i criteri di App Protection solo per le connessioni che passano dal CWA facendo riferimento al tag Smart Access cwa: Set-BrokerAccessPolicyRule Win10Desktop_AG_CWA -IncludedSmartAccessTags Primary_HDX_Proxy:cwa -AppProtectionScreenCaptureRequired $true -AppProtectionKeyLoggingRequired $true. Primary_HDX_Proxy è il nome del server virtuale VPN annotato in precedenza nel Passaggio 1, Creare criteri Smart Access.

    4. Utilizzare il seguente comando per disabilitare i criteri di App Protection per il resto delle connessioni che passano dal browser: Set-BrokerAccessPolicyRule Win10Desktop_AG -IncludedSmartAccessTags Primary_HDX_Proxy:browser -AppProtectionScreenCaptureRequired $false -AppProtectionKeyLoggingRequired $false.

    5. Verifica. Uscire dall’app Citrix Workspace, se già aperta. Effettuare nuovamente l’accesso all’app Citrix Workspace e avviare la risorsa richiesta da una connessione esterna tramite il gateway di accesso. Si noti che i criteri di App Protection sono abilitati per la risorsa. Avviare la stessa risorsa dal browser tramite una connessione esterna e si noterà che i criteri di App Protection sono disabilitati.

Scenario 4: disabilitare App Protection per gli utenti di un gruppo Active Directory specifico

I passaggi seguenti consentono di disabilitare App Protection per gli utenti Win10Desktop che fanno parte del gruppo Active Directory xd.local\sales.

  1. Eseguire GetBrokerAccessPolicyRule per visualizzare i due criteri di accesso broker per Win10Desktop. Per un gruppo di consegna Win10Desktop ci sono due criteri di accesso broker, Win10Desktop_AG e Win10Desktop_Direct. Prendere nota dell’UID del gruppo desktop Win10Desktop.

  2. Creare una regola dei criteri di accesso broker per Win10Desktop per filtrare le connessioni provenienti dagli utenti nel gruppo Active Directory xd.local\sales.

    New-BrokerAccessPolicyRule -Name Win10Desktop_AG_Sales_Group -DesktopGroupUid <Uid_of_desktopGroup> -AllowedConnections ViaAG -AllowedProtocols HDX, RDP -AllowedUsers Filtered -AllowRestart $true -Enabled $true -IncludedSmartAccessFilterEnabled $true

    Uid_of_desktopGroup è il DesktopGroupUID del gruppo di consegna ottenuto eseguendo la regola GetBrokerAccessPolicy nel passaggio 1.

  3. Utilizzare il seguente comando per disabilitare i criteri di App Protection per gli utenti di Windows 10 Desktop, che fanno parte del gruppo AD xd.local\sales: Set-BrokerAccessPolicyRule Win10Desktop_AG_Sales_Group -AllowedUsers Filtered -IncludedUsers xd.local\sales -IncludedUserFilterEnabled $true -AppProtectionScreenCaptureRequired $false -AppProtectionKeyLoggingRequired $false

  4. Utilizzare il seguente comando per abilitare i criteri di App Protection per il resto delle connessioni gateway a eccezione degli utenti di xd.local\sales: Set-BrokerAccessPolicyRule Win10Desktop_AG -AllowedUsers Anyauthenticated -ExcludedUserFilterEnabled $true -ExcludedUsers xd.local\sales -AppProtectionScreenCaptureRequired $true -AppProtectionKeyLoggingRequired $true
  5. Verifica. Uscire dall’app Citrix Workspace, se già aperta. Accedere all’app Citrix Workspace come utente nel gruppo Active Directory xd.local\sales. Avviare la risorsa protetta e si noterà che App Protection è disabilitato. Scollegarsi dall’app Citrix Workspace e accedere nuovamente come utente che non fa parte di xd.local\sales. Avviare la risorsa protetta e si noterà che App Protection è abilitato.
App Protection contestuale per StoreFront