Citrix DaaS

Acesso adaptável com base na localização da rede do usuário

O recurso de acesso adaptável do Citrix Workspace usa infraestrutura de políticas avançadas para permitir o acesso ao Citrix DaaS com base na localização da rede do usuário. O local é definido usando o intervalo de endereços IP ou endereços de sub-rede.

Os administradores podem definir políticas para enumerar ou não enumerar áreas de trabalho e aplicativos virtuais com base na localização da rede do usuário. Os administradores também podem controlar as ações do usuário habilitando ou desabilitando o acesso à área de transferência, impressoras, mapeamento de unidades cliente e outros recursos, com base no local da rede do usuário. Por exemplo, os administradores podem configurar políticas para que os usuários que acessam os recursos em casa tenham acesso limitado aos aplicativos, e os usuários que acessam os recursos das filiais tenham acesso total.

Visão geral de Adaptative Access

Um administrador pode implementar as seguintes políticas para acessar os aplicativos:

  • Enumerar alguns aplicativos confidenciais somente do local corporativo ou de suas filiais.
  • Não enumerar aplicativos confidenciais se os funcionários estiverem acessando o espaço de trabalho de uma rede externa.
  • Desativar o acesso à impressora das filiais.
  • Desativar o acesso à área de transferência e o acesso à impressora quando os usuários estiverem fora da rede corporativa.

Direitos

O recurso Adaptive Access está disponível para os clientes com as seguintes licenças.

  • Implantação do Citrix DaaS com acesso por meio da plataforma Citrix Workspace.
  • DaaS Premium/Premium Plus
  • Secure Private Access Advanced

Pré-requisitos

  • Certifique-se de que o recurso Adaptive Access esteja ativado em (Citrix Workspace Access > Adaptive Access). Para obter detalhes, consulte Ativar o recurso Adaptive Access.

    Quando o acesso adaptável está ativado, as políticas de acesso do DaaS são atualizadas para usar a opção Connections through Citrix Gateway.

    Nota:

    O NetScaler Gateway é necessário para adicionar tags de acesso inteligentes nas políticas de acesso do DaaS. No entanto, como o DaaS consome tags dos serviços Device Posture, Adaptive Access e Adaptive Authentication, não é necessário ter um NetScaler Gateway configurado em sua configuração.

  • Compreensão das marcas de localização. Para obter detalhes, consulte Marcas de localização de rede.

Pontos a serem observados

Os pontos a seguir só são aplicáveis se você quiser restringir a enumeração de aplicativos com base na localização. Se você planeja usar o acesso adaptável para restringir os controles do usuário, como desabilitar o acesso à área de transferência, redirecionamento de impressora ou mapeamento de unidade cliente, com base na localização da rede, você pode ignorar essas diretrizes.

  • Ao criar um grupo de entrega, se você selecionar a opção Leave user management to Citrix Cloud, você não poderá aplicar políticas de acesso inteligente (por exemplo, acesso adaptável ao Citrix DaaS com base na localização da rede). Isso ocorre porque os grupos de entrega se tornam ofertas de biblioteca e, portanto, não são gerenciados pelo Web Studio.
  • Se você planeja enumerar o Citrix DaaS seletivamente com base na localização da rede, o gerenciamento de usuários desses grupos de entrega deve ser realizado usando as políticas do Citrix Studio em vez do espaço de trabalho. Ao criar um grupo de entrega, em Users setting, escolha Restrict use of this Delivery Group ou Allow any authenticated users to use this Delivery Group. Isso permite que você configure o acesso adaptável na guia Access Policy em Delivery Group.

Grupo de entrega

  • Muda para Direct Workload Connection quando o acesso adaptável está ativado.

    • O campo Location tags fica visível em Citrix Cloud > Network Locations > Add a Network Location > Location tags.
    • As políticas Direct Workload Connection existentes funcionam conforme o esperado.
    • Novas políticas devem ser criadas no serviço Network Locations (sem definir tags) e também no grupo de entrega. Além disso, o tipo de conectividade de rede deve ser Internal.
    • Para novas políticas de Direct Workload Connection com marcações, as tags devem ser definidas no serviço Network Locations, e as mesmas tags devem ser definidas no grupo de entrega ou na política de acesso no DaaS Studio. Além disso, o tipo de conectividade de rede deve ser Internal. As marcações de localização não são relevantes para o Direct Workload Connection.
  • O seguinte é recomendado ao testar sua implantação do Citrix DaaS.

    • Identifique um grupo de entrega de teste ou crie um grupo de entrega para implementar o recurso.
    • Crie uma política ou identifique uma política que pode ser usada com um grupo de entrega de teste.

Ativar o recurso Adaptive Access

  1. Faça logon no Citrix Cloud.
  2. Selecione Workspace Configuration no menu de hambúrguer.
  3. A opção Adaptive Access está desativada, por padrão. Ative o botão de alternância Adaptive Access.
  4. Clique em Yes, enable adaptive access na mensagem de confirmação.

Ativar Adaptive Access

Mensagem de ativar o acesso adaptável

Quando o acesso adaptável está ativado, você pode definir as marcações de localização para o acesso adaptável (Citrix Cloud > Network Locations > Add a Network Location > Location tags).

Acesso adaptável ativado

Quando o acesso adaptável está desativado, você não pode adicionar um local de rede. Nesse caso, as marcações de localização não são aplicáveis.

Acesso adaptável desativado

Importante:

Quando você tenta desativar o recurso Adaptive Access, a seguinte mensagem é exibida. Observe que o Workspace não envia as tags ao DaaS para o acesso adaptável quando o recurso está desativado.

Mensagem de acesso adaptável desativado

Configurar o acesso adaptável

A configuração do acesso adaptável com base nas localizações de rede envolve as seguintes etapas de alto nível.

  1. Defina as políticas de localização da rede
  2. Defina as tags no DaaS Studio

Para exemplificar a configuração, dois tipos de usuário (usuários BrancOffice e usuários WorkFromHome) são selecionados para realizar o seguinte caso de uso.

  • Os usuários BranchOffice devem poder acessar os aplicativos com todo o acesso.
  • Os usuários WorkFromHome não devem ter acesso à área de transferência.

Nesse exemplo de configuração, Home e Office são usados como tags de marcação nos exemplos.

Configurar políticas de localização de rede

  1. Faça login no Citrix Cloud.
  2. Selecione Network Locations no menu de hambúrguer. Certifique-se de que a opção Adaptive Access esteja ativada. Caso contrário, a interface do usuário de Direct Workload Connection será exibida.
  3. Clique em Add network location.

    • Location name: insira um nome apropriado para a política.

      Exemplo: BranchOffice ou WorkFromHome

    • Public IP address range: defina o intervalo de endereços IP públicos da sua rede.

      Exemplo: 172.9.2.1-172.9.2.30

    • Location Tags: defina as marcações da sua localização. Pode ser um nome que faça referência à sua localização. Essas marcas são usadas para configurar as políticas de acesso adaptável no Citrix Studio. Para obter detalhes, consulte Definir marcações no Citrix Studio.

      Exemplo: Office ou Home

    • Connectivity type: defina o tipo de inicialização do aplicativo.

    Internal – ignorar gateway ao iniciar aplicativo. External – usar serviço Citrix Gateway ou gateway tradicional ao iniciar aplicativo.

  4. Clique em Salvar.

Agora você pode usar essas marcações no DaaS Studio para habilitar o acesso adaptável.

Definir marcações no Citrix Studio

Neste exemplo, as marcações são definidas nos grupos de entrega para restringir a enumeração do aplicativo dos usuários. Dois grupos de entrega são criados.

  • Grupo de entrega de acesso adaptável — Para os usuários da localização BranchOffice. Esses usuários devem ver todos os aplicativos desse grupo de entrega.
  • Grupo de entrega WFH — Para os usuários do local WorkFromHome. Esses usuários devem ver os aplicativos desse grupo de entrega.
  1. Faça login no Citrix Cloud.
  2. No bloco Citrix DaaS, clique em Manage.
  3. Criar um grupo de entrega. Para obter detalhes, consulte Criar grupos de entrega.
  4. Selecione o grupo de entrega que você criou e clique em Edit Delivery Group.
  5. Clique em Access Policy.
  6. Clique em Add e selecione o seguinte:

    • Farm: Workspace
    • Filter: LOCATION_TAG_OFFICE

    Da mesma forma, você pode criar uma marcação para o grupo de entrega WFH.

  7. Clique em Add e selecione o seguinte:

    • Farm: Workspace
    • Filter: LOCATION_TAG_HOME

Agora você pode usar essas marcações para restringir o acesso aos aplicativos.

Editar grupo de entrega

Restringir o acesso aos aplicativos

Neste exemplo, o redirecionamento da área de transferência do cliente está desativado para usuários do local WorkFromHome.

  1. Faça login no Citrix DaaS.
  2. Vá para Policies e clique Create Policy.
  3. Selecione Client clipboard redirection e clique em Prohibit.
  4. Clique em Next.

Restringir o acesso à área de transferência

  1. Na página Assign policy, selecione Access control.
  2. Defina os seguintes valores para a política:

    • Mode: Allow
    • Connection type: With Citrix Gateway
    • Gateway farm name: Workspace
    • Access Condition: LOCATION_TAG_HOME (tudo em maiúsculas)

Mode e farm

  1. Clique em Next.
  2. Insira um nome para a política e adicione uma descrição da política.
  3. Clique em Finish.

Os usuários do local WorkFromHome não podem acessar a área de transferência aos recursos iniciados.

Marcações de localização de rede

O serviço Network Locations fornece as seguintes tags de marcação.

  • Tags padrão: essas tags são definidas no serviço Network Locations. As seguintes tags padrão estão disponíveis.
    • Location_internal:** tag enviada por padrão quando o tipo de conectividade de rede é definido como INTERNAL**.
    • Location_external:** tag enviada por padrão quando o tipo de conectividade de rede é definido como EXTERNAL**.
    • Location_undefined: tag enviada a um endereço IP que não está definida na política, mas está vindo por meio do serviço Network Locations. A inicialização para esses usuários é a mesma definida no grupo de recursos.
  • Tags personalizadas: os administradores podem definir o nome das tags personalizadas nas políticas. Exemplo: office, home, branch

Exemplos:

Tags padrão: LOCATION_INTERNAL, LOCATION_EXTERNAL, LOCATION_UNDEFINED

Tags personalizadas: LOCATION_TAG_OFFICE, LOCATION_TAG_HOME

Observação:

Ao definir tags para o serviço Network Location, assegure-se do seguinte:

  • As tags padrão sempre começam com o prefixo “LOCATION_<tag name>. Por exemplo, LOCATION_INTERNAL.
  • As tags personalizadas sempre começam com o prefixo “LOCATION_TAG<tag name>. Por exemplo, LOCATION_TAG_OFFICE.

Problemas conhecidos

Se você desativar o recurso Adaptive Access depois de ter sido ativado e as regras definidas (marcações e tipo de conectividade), isso não remove os locais da página Network Locations, embora as marcações de localização e as colunas de tipo de conectividade estejam ocultas. Mas esses locais estão desativados no back-end. Isso é um problema superficial.

Acesso adaptável com base na localização da rede do usuário