Acesso adaptável com base no local de rede do usuário
O recurso Citrix Workspace Adaptive Access usa infraestrutura de política avançada para permitir o acesso ao Citrix DaaS com base no local de rede do usuário. O local é definido usando o intervalo de endereços IP ou endereços de sub-rede.
Os administradores podem definir políticas para enumerar ou não aplicativos e áreas de trabalho virtuais com base no local de rede do usuário. Os administradores também podem controlar as ações do usuário ativando ou desativando o acesso à área de transferência, impressoras, mapeamento de unidade do cliente e assim por diante, com base no local de rede do usuário. Por exemplo, os administradores podem configurar políticas de modo que os usuários que acessam os recursos de casa tenham acesso limitado aos aplicativos e os usuários que acessam os recursos de filiais tenham acesso total.
Um administrador pode implementar as seguintes políticas para acessar os aplicativos:
- Enumere alguns aplicativos confidenciais somente do local corporativo ou de suas filiais.
- Não enumere aplicativos confidenciais se os funcionários estiverem acessando o espaço de trabalho de uma rede externa.
- Desative o acesso à impressora nas filiais.
- Desative o acesso à área de transferência e o acesso à impressora quando os usuários estiverem fora da rede corporativa.
Direitos
O recurso Adaptive Access está disponível como parte da Universal Hybrid Multi Cloud License (UHMC) e da Platform License (CPL). Para obter mais informações, consulte https://www.citrix.com/buy/licensing/product.html.
Pré-requisitos
-
Certifique-se de que o Acesso adaptável está habilitado (Citrix Workspace > Acesso > Acesso adaptável). Para obter detalhes, consulte Ativar o recurso Acesso Adaptável.
Quando o acesso adaptável está ativado, as políticas de acesso do DaaS são atualizadas para usar a opção Conexões por meio do Citrix Gateway.
Observação:
O NetScaler Gateway é necessário para adicionar tags de acesso inteligentes nas políticas de acesso do DaaS. No entanto, como o DaaS consome tags dos serviços Device Posture, Adaptive Access e Adaptive Authentication, não é necessário ter um NetScaler Gateway configurado em sua configuração.
- Compreensão das tags de localização. Para obter detalhes, consulte Tags de local de rede.
Pontos a serem observados
Os pontos a seguir só serão aplicáveis se você quiser restringir a enumeração do aplicativo com base no local. Se você planeja usar o acesso adaptável para restringir os controles do usuário, como desabilitar o acesso à área de transferência, o redirecionamento da impressora, o mapeamento da unidade do cliente, com base no local da rede, ignore essas diretrizes.
- Se você planeja enumerar seletivamente o Citrix DaaS com base no local da rede, o gerenciamento de usuários deve ser executado para esses grupos de entrega usando políticas do Citrix Studio em vez do espaço de trabalho. Ao criar um grupo de entrega, em Configuração de usuários, escolha Restringir o uso deste grupo de entrega usuários ou Permitir que qualquer usuário autenticado use este grupo de entrega. Isso permite que você configure o acesso adaptável no Política de Acesso em Grupo de entrega.
-
Alterações na Conexão Direta de Carga de Trabalho quando o acesso adaptável está habilitado.
- O Tags de localização é visível em Nuvem Citrix > Locais de rede > Adicionar um local de rede > Tags de localização.
- As políticas existentes de Conexão de Carga de Trabalho Direta funcionam conforme o esperado.
- Novas políticas devem ser criadas no serviço Network Locations (sem definir tags) e também no grupo de entrega. Além disso, o tipo de conectividade de rede deve ser Interno.
- Para novas políticas de conexão direta de carga de trabalho com tags, as tags devem ser definidas no serviço Network Locations e também as mesmas tags devem ser definidas no grupo de entrega ou na política de acesso no DaaS Studio. Além disso, o tipo de conectividade de rede deve ser Interno. As marcas de localização não são relevantes para o Direct Workload Connection.
-
Recomenda-se testar a implantação do Citrix DaaS a seguir.
- Identifique um grupo de entrega de teste ou crie um grupo de entrega para implementar esse recurso.
- Crie uma política ou identifique uma política que possa ser usada com um grupo de entrega de teste.
Ativar o recurso Acesso Adaptável
- Faça login no Citrix Cloud.
- Selecionar Configuração do espaço de trabalho do menu de hambúrgueres.
- Acesso adaptável A alternância está desativada, por padrão. Gire o Acesso adaptável Ative.
- Clique Sim, habilitar o acesso adaptável na mensagem de confirmação.
Quando o acesso adaptável está ativado, você pode definir as tags de localização para acesso adaptável (Nuvem Citrix > Locais de rede > Adicionar um local de rede > Tags de localização).
Quando o Acesso Adaptável está desabilitado, você não pode adicionar um local de rede. As tags de localização não são aplicáveis nesse caso.
Importante:
Quando você tenta desativar o recurso Acesso adaptável, a seguinte mensagem é exibida. Observe que o Workspace não envia as tags para o DaaS para acesso adaptável quando o recurso está desativado.
Configurar o acesso adaptável
Considere um cenário em que um administrador precisa impor o controle de acesso com base nos locais de rede dos usuários (por exemplo, escritório e residência). O administrador também deve impor controles inteligentes, como restrições da área de transferência, para usuários que trabalham em casa. Para alcançar esse cenário com o acesso adaptável, o administrador deve criar 2 grupos de entrega com base na rede do usuário:
- Acesso adaptável grupo de entrega para BranchOffice com aplicativos relevantes para usuários de filiais.
- TELETRABALHO grupo de entrega para WorkFromHome com aplicativos relevantes para usuários domésticos/remotos.
Depois que os grupos de entrega são criados, as seguintes etapas de alto nível estão envolvidas na configuração do acesso adaptável com base nos locais de rede:
- Definir tags e configurar as políticas de local de rede.
- Usar as tags definidas em grupos de entrega para enumeração de aplicativos e/ou Impor controles inteligentes em aplicativos.
- Aplique controles inteligentes em aplicativos (opcional).
Definir tags de local de rede para acesso baseado em local
A primeira etapa envolve a definição de tags para usuários com base em suas localizações; escritório ou casa.
- FILIAL: Essa marca deve ser atribuída aos usuários que se conectam da rede do escritório. Esses usuários têm acesso total a todos os aplicativos disponíveis para eles.
- TRABALHO EM CASA: Essa tag deve ser atribuída a usuários que trabalham remotamente. Esses usuários têm acesso limitado a aplicativos e determinados recursos (como a funcionalidade da área de transferência).
Para obter mais informações sobre tags, consulte Tags de local de rede.
Agora que você tem os grupos de entrega e as respectivas tags criadas com base na localização do usuário, pode prosseguir para a configuração da política de local de rede.
Configurar as políticas de local de rede
Defina regras de política de local de rede para o local do usuário fornecendo o endereço IP de origem pública e a marca de local.
- Faça login no Citrix Cloud.
- Selecionar Locais de rede do menu de hambúrgueres. Certifique-se de que a alternância Acesso adaptável esteja ativada. Caso contrário, a interface do usuário para a Conexão Direta de Carga de Trabalho será exibida.
-
Clique Adicionar local de rede.
-
Nome do local: Insira um nome apropriado para a política.
Exemplo: FILIAL ou WORKFROMHOME
-
Intervalo de endereços IP públicos: Defina o intervalo de endereços IP públicos para sua rede.
Exemplo: 192.0.2.10 - 192.0.2.30
-
Tags de localização: Defina tags para sua localização. Pode ser um nome que se refere à sua localização. Essas tags são usadas para configurar as políticas de acesso adaptável no Citrix Studio. Para obter detalhes, consulte Definir tags no Citrix Studio.
Exemplo: FILIAL ou WORKFROMHOME
-
Tipo de conectividade: Defina o tipo de inicialização do aplicativo.
Interno - Ignorar gateway para inicialização do aplicativo. Externo - Use o serviço Citrix Gateway ou o gateway tradicional para inicialização de aplicativos.
-
- Clique Salvar.
Agora você pode usar essas tags no DaaS Studio para habilitar o acesso adaptável.
Observação:
- Se as marcas de local de rede não forem atribuídas aos grupos de entrega, os usuários terão acesso irrestrito a todos os aplicativos nos grupos de entrega Adaptive Access e WFH. Isso pode resultar em cenários em que os usuários podem acessar inadvertidamente determinados aplicativos para os quais não estão autorizados. A atribuição de tags de localização a grupos de entrega garante que o acesso seja controlado com base na localização da rede dos usuários.
- Ao definir as tags de localização, certifique-se de inserir apenas o nome da tag preferencial sem o prefixo “LOCATION_TAG”, por exemplo, BRANCHOFFICE. No entanto, ao definir tags no Citrix Studio, você deve prefixar o nome da tag com “LOCATION_TAG”. Por exemplo, “LOCATION_TAG_BRANCHOFFICE”.
Usar as tags definidas em grupos de entrega para enumeração de aplicativos
- Faça login no Citrix Cloud.
- No Citrix DaaS bloco, clique em Gerir.
- Crie um grupo de entrega. Para obter detalhes, consulte Criar grupos de entrega.
- Selecione o grupo de entrega que você criou e clique em Editar grupo de entrega.
- Clique Política de Acesso.
-
Para clientes que usam o acesso adaptável na plataforma Citrix Workspace, execute as seguintes etapas para restringir o acesso de um grupo de entrega somente a redes internas:
- Clique com o botão direito do mouse no grupo de entrega e selecione Editar.
- Selecione a política de acesso no painel esquerdo.
-
Clique no ícone de edição para modificar a política de conexões padrão do Citrix Gateway.
-
No Política de edição , selecione Conexões que atendem aos seguintes critériosselecionar Corresponder a qualquere, em seguida, adicione os critérios.
Para usuários do WorkFromHome, insira os seguintes valores no respectivo controlador de entrega.
Filtro:Área de trabalho
Valor: LOCATION_TAG_WORKFROMHOME
Para usuários do BranchOffice, insira os seguintes valores no respectivo controlador de entrega.
Filtro:Área de trabalho
Valor: LOCATION_TAG_BRANCHOFFICE
Observação:
- Certifique-se de que, no Valor , você insere o nome correto da tag de localização conforme definido ao criar políticas de localização de rede prefixadas por “LOCATION_TAG”. Por exemplo, se você definiu a tag de localização como “BRANCHOFFICE”, deverá inserir “LOCATION_TAG_BRANCHOFFICE” no campo Valor campo. As tags de local de rede em grupos de entrega devem ser inseridas em maiúsculas, independentemente de como foram definidas na política de local de rede. Para obter detalhes sobre como configurar tags de localização, consulte Configurar políticas de local de rede.
- As tags de local de rede em grupos de entrega devem ser inseridas em maiúsculas, independentemente de como foram definidas na política de local de rede. Para obter detalhes sobre como configurar tags de localização, consulte Configurar as políticas de local de rede.
(Opcional) Aplique controles inteligentes em aplicativos
Além de restringir o acesso usando marcas de local de rede, os administradores também podem impor controles inteligentes em aplicativos. Neste exemplo, o redirecionamento da área de transferência do cliente está desabilitado para usuários do local WorkFromHome.
- Faça login no Citrix DaaS.
- Navegue até Políticas e clique em Criar política.
- Selecionar Redirecionamento da área de transferência do clientee, em seguida, clique em Proibir.
- Clique Próximo.
- No Atribuir política a , selecione Controle de acesso.
-
Defina os seguintes valores para a política:
- Modo: Permitir
- Tipo de conexão : Com o Citrix Gateway
- Nome do farm de gateway: Área de trabalho
- Condição de acesso: LOCATION_TAG_WORKFROMHOME (tudo em maiúsculas)
- Clique Próximo.
- Insira um nome para a política e adicione uma descrição da política.
- Clique Acabar.
Usuários do TRABALHE EM CASA location não pode executar o acesso à área de transferência aos recursos iniciados.
Tags de local de rede
O serviço Locais de Rede fornece as seguintes marcas.
-
Tags padrão: Essas marcas são definidas no serviço Locais de Rede. As tags padrão a seguir estão disponíveis.
- LOCATION_internal: Tag enviada por padrão quando o tipo de conectividade de rede é definido como Interno ao definir um local de rede.
- LOCATION_external: Tag enviada por padrão quando o tipo de conectividade de rede é definido como Externo ao definir um local de rede.
- LOCATION_undefined: Marca enviada para um endereço IP que não está definido na política, mas está vindo por meio do serviço de Locais de Rede. O lançamento para esses usuários é o mesmo que está definido no grupo de recursos.
- Tags personalizadas: Os administradores podem definir nomes de tags personalizados nas políticas. Exemplo: home, Office, BRANCH
Observação:
Ao definir marcas para o serviço de Localização de Rede, verifique o seguinte:
The default tags always start with the prefix "LOCATION_`<tag name>`. For example, LOCATION_INTERNAL. The custom tags always start with the prefix "LOCATION_TAG`<tag name>`. For example, LOCATION_TAG_OFFICE.
Ao definir tags nos grupos de delivery, as tags devem ser inseridas em letras maiúsculas.
Default tags: LOCATION_INTERNAL, LOCATION_EXTERNAL, LOCATION_UNDEFINED Custom tags: LOCATION_TAG_OFFICE, LOCATION_TAG_HOME
A tabela a seguir resume as políticas e marcas para o cenário mencionado anteriormente.
Localização | Política | Tag personalizada | Tag padrão | Tag a ser usada no grupo de entrega do DaaS | Tags a serem usadas na política de acesso inteligente |
---|---|---|---|---|---|
TELETRABALHO | TELETRABALHO | TRABALHE EM CASA | LOCATION_EXTERNAL | LOCATION_WORKFROMHOME e/ou LOCATION_EXTERNAL | LOCATION_WORKFROMHOME e/ou LOCATION_EXTERNAL |
Filial | Filial | FILIAL | LOCATION_EXTERNAL | LOCATION_BRANCHOFFICE e/ou LOCATION_EXTERNAL | LOCATION_BRANCHOFFICE e/ou LOCATION_EXTERNAL |
Outro | Não definido | Não definido | LOCATION_UNDEFINED | LOCATION_UNDEFINED | LOCATION_UNDEFINED |
Problemas conhecidos
Se você desabilitar o recurso Acesso Adaptável depois que ele for habilitado e as regras forem definidas (marcas e tipo de conectividade), isso não removerá os locais da página Locais de Rede, embora as marcas de local e as colunas de tipo de conectividade estejam ocultas. Mas esses locais estão desabilitados no back-end. Esta é uma questão cosmética.
Configurar políticas de gravação de sessão com base em tags
Gravação de sessão Permite que as organizações registrem a atividade do usuário na tela em sessões virtuais. Você pode especificar tags, incluindo tags de local de rede, ao criar uma política de gravação de sessão personalizada, política de detecção de eventos ou política de resposta a eventos. Para obter um exemplo, consulte Criar uma política de gravação personalizada.