Acesso adaptável com base na localização de rede do usuário
O recurso Acesso Adaptável do Citrix Workspace™ usa uma infraestrutura de política avançada para permitir o acesso ao Citrix DaaS™ com base na localização de rede do usuário. A localização é definida usando o intervalo de endereços IP ou endereços de sub-rede.
Os administradores podem definir políticas para enumerar ou não enumerar aplicativos e desktops virtuais com base na localização de rede do usuário. Os administradores também podem controlar as ações do usuário ativando ou desativando o acesso à área de transferência, impressoras, mapeamento de unidade cliente e assim por diante, com base na localização de rede do usuário. Por exemplo, os administradores podem configurar políticas de forma que os usuários que acessam os recursos de casa tenham acesso limitado a aplicativos e os usuários que acessam os recursos de filiais tenham acesso total.
Um administrador pode implementar as seguintes políticas para acessar os aplicativos:
- Enumerar alguns aplicativos confidenciais apenas de locais corporativos ou de suas filiais.
- Não enumerar aplicativos confidenciais se os funcionários estiverem acessando o workspace de uma rede externa.
- Desativar o acesso à impressora das filiais.
- Desativar o acesso à área de transferência e o acesso à impressora quando os usuários estiverem fora da rede corporativa.
Direitos
O recurso Acesso Adaptável está disponível como parte da Licença Universal Hybrid Multi Cloud (UHMC) e da Licença de Plataforma (CPL). Para obter mais informações, consulte https://www.citrix.com/buy/licensing/product.html.
Pré-requisitos
-
Certifique-se de que o recurso Acesso Adaptável esteja ativado (Citrix Workspace > Acesso > Acesso Adaptável). Para obter detalhes, consulte Ativar o recurso Acesso Adaptável.
Quando o acesso adaptável é ativado, as políticas de acesso do DaaS são atualizadas para usar a opção Conexões via Citrix Gateway.
Observação:
O NetScaler® Gateway é necessário para adicionar tags de acesso inteligente nas políticas de acesso do DaaS. No entanto, como o DaaS consome tags dos serviços Device Posture, Acesso Adaptável e Autenticação Adaptável, não é necessário ter um NetScaler Gateway configurado em sua configuração.
-
Compreensão das tags de localização. Para obter detalhes, consulte Tags de localização de rede.
Pontos a serem observados
Os pontos a seguir são aplicáveis apenas se você quiser restringir a enumeração de aplicativos com base na localização. Se você planeja usar o acesso adaptável para restringir controles de usuário, como desativar o acesso à área de transferência, redirecionamento de impressora, mapeamento de unidade cliente, com base na localização de rede, você pode ignorar estas diretrizes.
- Se você planeja enumerar seletivamente o Citrix DaaS com base na localização de rede, o gerenciamento de usuários deve ser realizado para esses grupos de entrega usando políticas do Citrix Studio em vez do workspace. Ao criar um Grupo de Entrega, em Configuração de Usuários, escolha Restringir o uso deste Grupo de Entrega para usuários ou Permitir que qualquer usuário autenticado use este Grupo de Entrega. Isso permite que você configure o acesso adaptável na guia Política de Acesso em Grupo de Entrega.
-
Alterações na Conexão Direta de Carga de Trabalho quando o acesso adaptável está ativado.
- O campo Tags de localização está visível em Citrix Cloud™ > Localizações de Rede > Adicionar uma Localização de Rede > Tags de localização.
- As políticas existentes de Conexão Direta de Carga de Trabalho funcionam conforme o esperado.
- Novas políticas devem ser criadas no serviço Localizações de Rede (sem definir tags) e também no grupo de entrega. Além disso, o tipo de conectividade de rede deve ser Interno.
- Para novas políticas de Conexão Direta de Carga de Trabalho com tags, as tags devem ser definidas no serviço Localizações de Rede e também as mesmas tags devem ser definidas no grupo de entrega ou na política de acesso no DaaS Studio. Além disso, o tipo de conectividade de rede deve ser Interno. As tags de localização não são relevantes para a Conexão Direta de Carga de Trabalho.
-
O seguinte é recomendado para testar sua implantação do Citrix DaaS.
- Identifique um grupo de entrega de teste ou crie um grupo de entrega para implementar essa capacidade.
- Crie uma política ou identifique uma política que possa ser usada com um grupo de entrega de teste.
Ativar o recurso Acesso Adaptável
- Faça login no Citrix Cloud.
- Selecione Configuração do Workspace no menu de hambúrguer.
- O botão de alternância Acesso Adaptável está desativado por padrão. Ative o botão de alternância Acesso Adaptável.
- Clique em Sim, ativar acesso adaptável na mensagem de confirmação.
Quando o acesso adaptável é ativado, você pode definir as tags de localização para acesso adaptável (Citrix Cloud > Localizações de Rede > Adicionar uma Localização de Rede > Tags de localização).
Quando o Acesso Adaptável está desativado, você não pode adicionar uma localização de rede. As tags de localização não são aplicáveis neste caso.
Importante:
Quando você tenta desativar o recurso Acesso Adaptável, a seguinte mensagem aparece. Observe que o Workspace não envia as tags para o DaaS para acesso adaptável quando o recurso está desativado.
Configurar acesso adaptável
Considere um cenário em que um administrador precisa impor o controle de acesso com base nas localizações de rede dos usuários (por exemplo, escritório e casa). O administrador também deve impor controles inteligentes, como restrições de área de transferência para usuários que trabalham em casa. Para alcançar este cenário com Acesso Adaptável, o administrador deve criar dois grupos de entrega com base na rede do usuário:
- Grupo de entrega Acesso Adaptável para Filial com aplicativos relevantes para usuários de filiais.
- Grupo de entrega WFH para TrabalhoRemoto com aplicativos relevantes para usuários domésticos/remotos.
Após a criação dos grupos de entrega, as seguintes etapas de alto nível estão envolvidas na configuração do acesso adaptável com base nas localizações de rede:
- Definir tags e configurar as políticas de localização de rede.
- Usar as tags definidas em grupos de entrega para enumeração de aplicativos e/ou Impor controles inteligentes em aplicativos.
- Impor controles inteligentes em aplicativos (opcional).
Definir tags de localização de rede para acesso baseado em localização
O primeiro passo envolve a definição de tags para usuários com base em suas localizações; escritório ou casa.
- BRANCHOFFICE: Esta tag deve ser atribuída aos usuários que se conectam da rede do escritório. Esses usuários têm acesso total a todos os aplicativos disponíveis para eles.
- WORKFROMHOME: Esta tag deve ser atribuída aos usuários que trabalham remotamente. Esses usuários têm acesso limitado a aplicativos e a certos recursos (como a funcionalidade da área de transferência).
Para obter mais informações sobre tags, consulte Tags de localização de rede.
Agora que você tem os grupos de entrega e as tags respectivas criadas com base na localização do usuário, você pode prosseguir para a configuração da política de localização de rede.
Configurar as políticas de localização de rede
Defina as regras da política de localização de rede para a localização do seu usuário, fornecendo o endereço IP de origem público e a tag de localização.
- Entre no Citrix Cloud.
- Selecione Localizações de Rede no menu de hambúrguer. Certifique-se de que o botão de alternância Acesso Adaptável esteja ativado. Caso contrário, a interface do usuário para a Conexão Direta de Carga de Trabalho será exibida.
-
Clique em Adicionar localização de rede.
-
Nome da localização: Insira um nome apropriado para a política.
Exemplo: BRANCHOFFICE ou WORKFROMHOME
-
Intervalo de endereço IP público: Defina o intervalo de endereço IP público para sua rede.
Exemplo: 192.0.2.10 - 192.0.2.30
-
Tags de localização: Defina tags para sua localização. Pode ser um nome que se refira à sua localização. Essas tags são usadas para configurar as políticas de acesso adaptável no Citrix Studio. Para obter detalhes, consulte Definir tags no Citrix Studio.
Exemplo: BRANCHOFFICE ou WORKFROMHOME
-
Tipo de conectividade: Defina o tipo de inicialização do aplicativo.
Interno - Ignorar gateway para inicialização de aplicativo. Externo - Usar o serviço Citrix Gateway ou gateway tradicional para inicialização de aplicativo.
-
- Clique em Salvar.
Agora você pode usar essas tags no DaaS Studio para ativar o acesso adaptável.
Observação:
- Se as tags de localização de rede não forem atribuídas aos grupos de entrega, os usuários terão acesso irrestrito a todos os aplicativos nos grupos de entrega Acesso Adaptável e WFH. Isso pode resultar em cenários em que os usuários podem acessar inadvertidamente certos aplicativos para os quais não estão autorizados. Atribuir tags de localização aos grupos de entrega garante que o acesso seja controlado com base na localização de rede dos usuários.
- Ao definir as tags de localização, certifique-se de inserir apenas o nome da tag preferencial sem o prefixo “LOCATION_TAG”, por exemplo BRANCHOFFICE. No entanto, ao definir tags no Citrix Studio, você deve prefixar o nome da tag com “LOCATION_TAG”. Por exemplo, “LOCATION_TAG_BRANCHOFFICE”.
Usar as tags definidas em grupos de entrega para enumeração de aplicativos
- Entre no Citrix Cloud.
- No bloco Citrix DaaS, clique em Gerenciar.
- Crie um grupo de entrega. Para obter detalhes, consulte Criar grupos de entrega.
- Selecione o grupo de entrega que você criou e clique em Editar Grupo de Entrega.
- Clique em Política de Acesso.
-
Para clientes que usam acesso adaptável na plataforma Citrix Workspace, execute as seguintes etapas para restringir o acesso de um grupo de entrega apenas a redes internas:
- Clique com o botão direito do mouse no grupo de entrega e selecione Editar.
- Selecione a política de acesso no painel esquerdo.
-
Clique no ícone de edição para modificar a política de conexões padrão do Citrix Gateway.
-
Na página Editar política, selecione Conexões que atendem aos seguintes critérios, selecione Corresponder a qualquer, e então adicione os critérios.
Para usuários de TrabalhoRemoto, insira os seguintes valores no respectivo controlador de entrega.
Filtro: Workspace
Valor: LOCATION_TAG_WORKFROMHOME
Para usuários de Filial, insira os seguintes valores no respectivo controlador de entrega.
Filtro: Workspace
Valor: LOCATION_TAG_BRANCHOFFICE
Observação:
- Certifique-se de que, no campo Valor, você insira o nome correto da tag de localização, conforme definido ao criar políticas de localização de rede, prefixado por “LOCATION_TAG”. Por exemplo, se você definiu a tag de localização como “BRANCHOFFICE”, então você deve inserir “LOCATION_TAG_BRANCHOFFICE” no campo Valor. As tags de localização de rede em grupos de entrega devem ser inseridas em letras maiúsculas, independentemente de como foram definidas na política de localização de rede. Para obter detalhes sobre a configuração de tags de localização, consulte Configurar políticas de localização de rede.
- As tags de localização de rede em grupos de entrega devem ser inseridas em letras maiúsculas, independentemente de como foram definidas na política de localização de rede. Para obter detalhes sobre a configuração de tags de localização, consulte Configurar as políticas de localização de rede.
(Opcional) Impor controles inteligentes em aplicativos
Além de restringir o acesso usando tags de localização de rede, os administradores também podem impor controles inteligentes em aplicativos. Neste exemplo, o redirecionamento da área de transferência do cliente é desativado para usuários da localização TrabalhoRemoto.
- Entre no Citrix DaaS.
- Navegue até Políticas e clique em Criar Política.
- Selecione Redirecionamento da área de transferência do cliente, e então clique em Proibir.
- Clique em Avançar.
- Na página Atribuir política a, selecione Controle de acesso.
-
Defina os seguintes valores para a política:
- Modo: Permitir
- Tipo de conexão: Com Citrix Gateway
- Nome do farm do Gateway: Workspace
- Condição de Acesso: LOCATION_TAG_WORKFROMHOME (tudo em maiúsculas)
- Clique em Avançar.
- Insira um nome para a política e adicione uma descrição da política.
- Clique em Concluir.
Usuários da localização WORKFROMHOME não podem realizar acesso à área de transferência para seus recursos iniciados.
Tags de localização de rede
O serviço Localizações de Rede fornece as seguintes tags.
-
Tags padrão: Essas tags são definidas no serviço Localizações de Rede. As seguintes tags padrão estão disponíveis.
- LOCATION_internal: Tag enviada por padrão quando o tipo de conectividade de rede é definido como Interno ao definir uma localização de rede.
- LOCATION_external: Tag enviada por padrão quando o tipo de conectividade de rede é definido como Externo ao definir uma localização de rede.
- LOCATION_undefined: Tag enviada para um endereço IP que não está definido na política, mas está vindo através do serviço Localizações de Rede. A inicialização para esses usuários é a mesma do que está definido no grupo de recursos.
- Tags personalizadas: Os administradores podem definir nomes de tags personalizadas nas políticas. Exemplo: home, Office, BRANCH
Observação:
Ao definir tags para o serviço Localização de Rede, certifique-se do seguinte:
As tags padrão sempre começam com o prefixo “LOCATION_
<nome da tag>
. Por exemplo, LOCATION_INTERNAL.As tags personalizadas sempre começam com o prefixo “LOCATION_TAG
<nome da tag>
. Por exemplo, LOCATION_TAG_OFFICE.Ao definir tags nos grupos de entrega, as tags devem ser inseridas em letras maiúsculas.
Tags padrão: LOCATION_INTERNAL, LOCATION_EXTERNAL, LOCATION_UNDEFINED
Tags personalizadas: LOCATION_TAG_OFFICE, LOCATION_TAG_HOME
A tabela a seguir resume as políticas e tags para o cenário mencionado anteriormente.
Localização | Política | Tag personalizada | Tag padrão | Tag a ser usada no grupo de entrega do DaaS | Tags a serem usadas na política de acesso inteligente |
---|---|---|---|---|---|
WFH | WFH | WORKFROMHOME | LOCATION_EXTERNAL | LOCATION_WORKFROMHOME e/ou LOCATION_EXTERNAL | LOCATION_WORKFROMHOME e/ou LOCATION_EXTERNAL |
Filial | Filial | BRANCHOFFICE | LOCATION_EXTERNAL | LOCATION_BRANCHOFFICE e/ou LOCATION_EXTERNAL | LOCATION_BRANCHOFFICE e/ou LOCATION_EXTERNAL |
Outro | Não definido | Não definido | LOCATION_UNDEFINED | LOCATION_UNDEFINED | LOCATION_UNDEFINED |
Problemas conhecidos
Se você desativar o recurso Acesso Adaptável depois que ele foi ativado e as regras foram definidas (tags e tipo de conectividade), isso não remove as localizações da página Localizações de Rede, embora as tags de localização e as colunas de tipo de conectividade fiquem ocultas. Mas essas localizações são desativadas no back-end. Este é um problema cosmético.
Configurar políticas de gravação de sessão com base em tags
Gravação de Sessão permite que as organizações gravem a atividade do usuário na tela em sessões virtuais. Você pode especificar tags, incluindo tags de localização de rede, ao criar uma política de gravação de sessão personalizada, política de detecção de eventos ou política de resposta a eventos. Para um exemplo, consulte Criar uma política de gravação personalizada.