Citrix DaaS

Acesso adaptativo com base na localização da rede do usuário – Preview

O recurso de acesso adaptativo da plataforma Citrix Workspace usa infraestrutura de políticas avançadas para permitir o acesso ao Citrix DaaS (anteriormente Citrix Virtual Apps and Desktops Service) com base na localização da rede do usuário. O local é definido usando o intervalo de endereços IP ou endereços de sub-rede.

Os administradores podem definir políticas para enumerar ou não enumerar áreas de trabalho e aplicativos virtuais com base na localização da rede do usuário. Os administradores também podem controlar as ações do usuário que podem ser realizadas no Citrix DaaS habilitando ou desabilitando o acesso à área de transferência, impressoras, mapeamento de unidades cliente e outros, com base nos locais de rede do usuário. Por exemplo, um administrador pode implementar as seguintes políticas para acessar os aplicativos:

  • Enumerar alguns aplicativos confidenciais somente do local corporativo ou de suas filiais.
  • Não enumerar aplicativos confidenciais se os funcionários estiverem acessando o espaço de trabalho de uma rede externa.
  • Desativar o acesso à impressora das filiais.
  • Desativar o acesso à área de transferência e o acesso à impressora quando os usuários estiverem fora da rede corporativa.

Pré-requisitos

  • Implantação do Citrix DaaS com acesso por meio da plataforma Citrix Workspace.

  • Registrar-se para usar o acesso adaptativo do Preview (https://podio.com/webforms/25412100/1884833).

    Nota: isso só é necessário durante o Preview.

Recomendações

Na sua implantação do Citrix DaaS:

  • Identifique um grupo de entrega de teste ou crie um grupo de entrega para implementar o recurso.
  • Crie uma política ou identifique uma política que pode ser usada com um grupo de entrega de teste.

Pontos a serem observados

  • Se você selecionar a opção Leave user management to Citrix Cloud, não poderá aplicar políticas de Smart Access (por exemplo, acesso adaptativo ao Citrix DaaS com base na localização da rede). Isso ocorre porque os grupos de entrega se tornam ofertas de biblioteca e, portanto, não são mais gerenciados pelo Web Studio.
  • Se você planeja enumerar o Citrix DaaS seletivamente com base na localização da rede, o gerenciamento de usuários desses grupos de entrega deve ser realizado usando as políticas do Citrix Studio em vez do espaço de trabalho. Ao criar um grupo de entrega, em Users setting, escolha Restrict use of this Delivery Group to the following users ou Allow any authenticated users to use this Delivery Group. Isso habilita a guia Access Policy no grupo de entrega para configurar o acesso adaptativo.

Nota: isso não é necessário se você planeja usar o acesso adaptativo para restringir os controles do usuário, como desabilitar o acesso à área de transferência, redirecionamento de impressora ou mapeamento de unidade cliente, com base na localização da rede.

Criar um grupo de entrega

Como configurar

Em um nível alto, você deve executar as etapas a seguir.

  1. Defina as políticas de acesso adaptativo que você deseja implementar com base na localização do usuário.
  2. Configure os locais da sua rede corporativa e das filiais de onde você planeja implementar o acesso adaptativo.
  3. Use os locais de rede definidos para configurar políticas de acesso adaptativo para áreas de trabalho e aplicativos virtuais no Citrix Studio.

Definir as políticas adaptativas que gostaria de implementar

Vamos seguir este exemplo:

Location Controles de acesso ou de usuário
Internal Enumerar todos os aplicativos
BranchOffice Enumerar todos os aplicativos
External Não enumerar alguns aplicativos confidenciais e desativar o acesso da impressora na área de transferência em todos os aplicativos

Configurar a localização da rede

Você pode configurar os locais de rede usando o serviço de localização de redes no Citrix Cloud https://citrix.cloud.com/networksites. Você pode criar os sites e definir se devem ser tratados como sites internos ou externos, de acordo com a conectividade da rede. Em seguida, você pode anexar marcas aos sites. Depois que os sites são criados, cada endereço IP do cliente deve ser associado a um conjunto de marcas.

Configurar a localização da rede

Nota:

  • É recomendável definir os locais de rede a partir dos quais os usuários terão acesso com mais privilégios, em vez de definir redes externas. Use os locais de rede para definir suas redes internas, suas filiais e assim por diante para dar acesso preferencial a partir dessas localizações.
  • Defina marcas para cada local ou site da rede. Por exemplo, “BranchOffice”. Essas marcas são usadas para configurar as políticas de acesso adaptativo no Citrix Studio. As marcas padrão definidas são LOCATION_external e LOCATION_internal. Nota: No Citrix Studio, você deve prefixar o nome da marca com “LOCATION_TAG_”. Por exemplo, se você definiu um local de rede com a marca “BranchOffice”, ao configurar a opção de filtro na política do Citrix Studio, use o nome “Location_Tag_BranchOffice”.

Configurar a política de acesso adaptativo no Citrix Studio

Nota: essa não é a configuração completa, mas um exemplo de como usar o nome das marcas para configurar as políticas do Studio.

As marcas de localização de redes definidas na etapa anterior são usadas para configurar políticas de acesso adaptativo no Citrix Studio. Essa etapa é semelhante à configuração de uma política do SmartAccess com o gateway local. Você deve substituir o Citrix Gateway pelo espaço de trabalho em “FARM” e a política de sessão por marcas de localização de rede em “Filter”.

Nessa etapa, escolha a política do Citrix Studio (existente ou nova) e associe-a a um grupo de entrega (existente ou novo). Para criar um grupo de entrega, consulte Criar grupos de entrega. Para criar uma política, consulte Criar políticas.

Configurar a política de acesso adaptativo para a enumeração de áreas de trabalho e aplicativos virtuais

Vamos usar o exemplo anterior e criar uma política para enumerar aplicativos confidenciais somente da rede corporativa (Nesse caso, BranchOffice) Para atribuir a marca LOCATION_TAG_BranchOffice ao grupo de entrega identificado para testar as políticas de acesso adaptativo, execute o seguinte.

  1. Faça login no Citrix Cloud.
  2. Selecione My Services > DaaS.
  3. Clique em Manage.
  4. Crie grupos de entrega de acordo com a sua necessidade. Para obter detalhes, consulte Criar grupos de entrega.
  5. Selecione o grupo de entrega que você criou e clique em Edit Delivery Group.
  6. Clique em Access Policy.
  7. Clique em Add e selecione o seguinte:

    • workspace em Farm
    • LOCATION_TAG_BranchOffice em Filter

    Editar grupo de entrega

    Nota: você pode adicionar vários filtros ao mesmo farm. O Farm deve estar sempre definido como workspace e o filtro deve ter qualquer uma das marcas de acesso adaptativo criadas com base na configuração do local da rede.

  8. Para os clientes que usam o acesso adaptativo na plataforma Citrix Workspace, faça o seguinte para restringir o acesso de um grupo de entrega somente a redes internas.

    • Marque a caixa de seleção Connections through NetScaler Gateway e a caixa de seleção Connections meeting any of the following filters.
    • Insira as marcas apropriadas para os locais internos.

    Nota: se você selecionar a opção All connections not through NetScaler Gateway, poderá ver seus aplicativos independentemente de estar em uma rede interna ou externa. Recomenda-se que os clientes que usam o acesso adaptativo com a plataforma Citrix Workspace não confiem cegamente na opção All connections not through NetScaler Gateway para restringir o acesso de um grupo de entrega apenas a redes internas.

Configurar políticas de acesso adaptativo para definir os controles de usuário ao acessar áreas de trabalho e aplicativos virtuais

Vamos usar o exemplo anterior e criar uma política para desativar a funcionalidade copiar e colar somente das filiais.

Para desativar a funcionalidade copiar e colar em usuários provenientes da localização LOCATION_TAG_BranchOffice, execute o seguinte.

  1. Na página de configuração do Citrix DaaS, clique na guia Manage.
  2. Clique na guia Policies.
  3. Selecione Create Policy.
  4. Em Select Settings, selecione Client Clipboard Redirection.
  5. Em Edit Setting, selecione Prohibited e clique em OK.

    Editar configuração

  6. Na página Users and Machines, clique em Select user and machine objects e atribua a política de controle de acesso.

  7. Insira um nome para a política (ou aceite o padrão). Dê o nome à política de acordo com quem ou o que ela afeta, por exemplo, Departamento de Contabilidade ou Usuários Remotos. Opcionalmente, adicione uma descrição.

A política é ativada por padrão. Você pode desativá-la. A ativação da política permite que ela seja aplicada imediatamente aos usuários que fazem logon. A desativação impede que a política seja aplicada. Se você precisar priorizar a política ou adicionar configurações posteriormente, é conveniente desabilitar a política até o momento de aplicá-la.

Para atribuir uma política de acesso adaptativo a um local externo (LOCATION_external)

Se quiser aplicar uma política de acesso a um local externo, por exemplo, para desativar o acesso à área de transferência para usuários provenientes de locais não configurados (exceto LOCATION_TAG_BranchOffice, LOCATION_internal), basta atribuir a política a LOCATION_external (como nenhum dos locais de rede definidos é encontrado, o resultado é LOCATION_external).

Atribuir política

Como validar a configuração da política

Valide as políticas adaptativas para garantir que estejam funcionando conforme o esperado antes de implementar amplamente essas políticas. No exemplo de configuração:

  • Para os usuários provenientes do local de rede LOCATION_Internal, os aplicativos devem ser enumerados para esses usuários. Além disso, a funcionalidade copiar e colar deve estar disponível para esses usuários.
  • Para os usuários provenientes do local de rede LOCATION_TAG_BranchOffice, os aplicativos devem ser enumerados para esses usuários. A funcionalidade copiar e colar deve estar desativada para esses usuários.
  • Para os usuários provenientes do local LOCATION_external, os aplicativos não devem ser enumerados.
Acesso adaptativo com base na localização da rede do usuário – Preview