Citrix Virtual Apps and Desktops

Proteção de aplicativos contextual para StoreFront

A Proteção de aplicativos contextual fornece a flexibilidade granular para aplicar as políticas de Proteção de aplicativos condicionalmente a um subconjunto de usuários, com base nos usuários, no dispositivo e na postura da rede.

Implementar a Proteção de aplicativos contextual

Você pode implementar a Proteção de aplicativos contextual usando os filtros de conexão definidos na regra de política do Broker Access. As políticas do Broker Access definem as regras que controlam o acesso de um usuário aos grupos de área de trabalho. A política compreende um conjunto de regras. Cada regra está relacionada a um único grupo de área de trabalho e contém um conjunto de filtros de conexão e controles de direito de acesso.

Os usuários obtêm acesso a um grupo de área de trabalho quando os detalhes da conexão correspondem aos filtros de conexão de uma ou mais regras na política do Broker Access. Por padrão, os usuários não têm acesso a nenhum grupo de área de trabalho em um site. Você pode criar políticas do Broker Access adicionais com base nos requisitos. Várias regras podem ser aplicadas ao mesmo grupo de área de trabalho. Para obter mais informações, consulte New-BrokerAssignmentPolicyRule.

Os parâmetros a seguir na regra de política de acesso do agente fornecem a flexibilidade de ativar a Proteção de aplicativos contextualmente se a conexão do usuário corresponder aos filtros de conexão definidos na regra do Broker Access.

  • AppProtectionKeyLoggingRequired
  • AppProtectionScreenCaptureRequired

Use os filtros do Smart Access mencionados nas políticas do Broker Access para refinar os filtros de conexão. Para obter informações sobre como configurar filtros do Smart Access, consulte este artigo de suporte. Consulte os cenários abaixo para entender como usar as políticas do Smart Access para configurar a Proteção de aplicativos contextual.

Pré-requisitos

Verifique se você tem o seguinte:

  • Citrix Virtual Apps and Desktops versão 2109 ou posterior
  • Delivery Controller versão 2109 ou posterior
  • StoreFront versão 1912 ou posterior
  • Conexão bem-sucedida entre o NetScaler e o StoreFront. Para obter mais informações, consulte Integrar o Citrix Gateway com o StoreFront
  • Importação de tabela XML para determinadas versões LTSR - Consulte a etapa 1 abaixo
  • Ative o Smart Access no NetScaler Gateway para cenários que exigem marcas do Smart Access. Para obter mais informações, consulte este artigo de suporte.
  • Requisitos de licenciamento -
    • Licença de proteção de aplicativos no local
    • Licença universal do Citrix Gateway para cenários com marcas do Smart Access

Ativar a Proteção de aplicativos contextual

  1. Baixe as políticas de Proteção de aplicativos contextual (tabela de recursos) para a sua versão do Citrix Virtual Apps and Desktops na página de Downloads Citrix.

  2. No Delivery Controller, execute os seguintes comandos do PowerShell: asnp Citrix*Set-BrokerSite-TrustRequestsSentToTheXmlServicePort $true
  3. Execute os seguintes comandos para ativar a Proteção de aplicativos contextual no Delivery Controller: Import-ConfigFeatureTable <path to the downloaded feature table>.

    Por exemplo, Import-ConfigFeatureTable\Downloads\FeatureTable.OnPrem.AppProtContextualAccess.xml.

Ativando a Proteção de aplicativos contextual – alguns cenários

Cenário 1: ativar a Proteção de aplicativos para usuários externos que passam pelo Access Gateway

Para cada grupo de entrega, duas políticas do Broker Access são criadas por padrão. Uma para conexões que chegam pelo Access Gateway e outra para conexões diretas. Você pode ativar a proteção de aplicativos somente para as conexões que chegam pelo Access Gateway.

As etapas a seguir são para ativar a proteção de aplicativos para usuários externos no grupo de entrega Admin_Desktop_Group, que contém uma área de trabalho chamada Admin_Desktop:

  1. Execute o comando Get-BrokerAccesspolicyRule do PowerShell a partir do Delivery Controller. Isso lhe dá as duas políticas do Broker Access definidas para o grupo Admin_Desktop_Group_AG e Admin_Desktop_Group_Direct.

  2. Para ativar as políticas de Proteção de aplicativos para conexões do Access Gateway, execute o seguinte comando: Set-BrokerAccessPolicyRule Admin_Desktop_Group_AG -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

  3. Para desativar as políticas de proteção de aplicativos para conexões diretas, execute o seguinte comando: Set-BrokerAccessPolicyRule Admin_Desktop_Group_Direct -AppProtectionKeyLoggingRequired $false -AppProtectionScreenCaptureRequired $false

  4. Verificação. Faça logout do aplicativo Citrix Workspace, se estiver aberto. Faça login novamente no aplicativo Citrix Workspace. Inicie o recurso Admin_Desktop a partir de uma conexão externa por meio do Access Gateway. Você verá que as políticas de proteção de aplicativos são aplicadas na área de trabalho do administrador.

Cenário 2: desativar a Proteção de aplicativos para determinados tipos de dispositivos. Por exemplo, um iPhone

A seguir estão as etapas para desativar a proteção de aplicativos para usuários de iPhone em um grupo de entrega chamado Win10Desktop.

Etapa 1: criar a política do Smart Access

  1. Faça login na IU de administração do Citrix ADC.
  2. No menu de navegação à esquerda, vá para Citrix Gateway > Virtual Servers.

    Anote o nome do servidor virtual VPN, que é necessário para configurar a política do Broker Access posteriormente.

  3. Clique em VPN Virtual Server. Role até a parte inferior da página e clique em Session policies. Uma lista de políticas de sessão é exibida.
  4. Clique em Add Binding.

    Add binding

  5. Clique em Add to create a session policy.

    Create Citrix Gateway Session

  6. Digite um nome para a política de sessão. Neste caso, temp.

    Insira o nome da política de sessão

  7. Clique em Add ao lado de Profile para especificar um nome de perfil. Clique em Create.

    Especifique o nome do perfil

  8. Clique em Expression Editor na janela de política de sessão.
  9. Crie a seguinte expressão para verificar se há iPhone na cadeia de caracteres User Agent: HTTP.REQ.HEADER(“User-Agent”).CONTAINS(“iPhone”)

    Criar expressão

  10. Clique em Bind para criar a política de sessão.

Etapa 2: criar as regras da política do Broker Access.

Para aplicar a política a usuários de iPhone que acessam o Win10Desktop por meio do Access Gateway:

  1. Execute o seguinte comando no Delivery Controller (DDC): Get-BrokerAccessPolicyRule, que lista todas as políticas do Broker Access definidas no DDC. Neste exemplo, as políticas do Broker Access para o grupo de entrega Win10Desktop são Win10Desktop_AG e Win10Desktop_Direct. Anote o UID do grupo de área de trabalho do grupo de entrega para a próxima etapa.

  2. Crie uma regra de política do Broker Access para o Win10Desktop para filtrar os usuários de iPhone que passam pelo Access Gateway usando o seguinte comando: New-BrokerAccessPolicyRule -Name Win10Desktop_AG_iPhone -DesktopGroupUid <Uid_of_desktopGroup> -AllowedConnections ViaAG -AllowedProtocols HDX, RDP -AllowedUsers AnyAuthenticated -AllowRestart $true -AppProtectionKeyLoggingRequired $false -AppProtectionScreenCaptureRequired $false -Enabled $true -IncludedSmartAccessFilterEnabled $true.

    Uid_of_desktopGroup é o DesktopGroupUID do grupo de entrega obtido executando a regra GetBrokerAccessPolicy na etapa 1.

  3. Para desativar a Proteção de aplicativos para usuários de iPhone Win10Desktop que vêm pelo Access Gateway com referência à marca temp do Smart Access (criada na Etapa 1: criar política do Smart Access), use o seguinte comando:

  4. Para desativar a Proteção de aplicativos para usuários de iPhone Win10Desktop que vêm pelo Access Gateway, mencione a marca temp do Smart Access criada na Etapa 1. Crie uma política do Smart Access usando o seguinte comando: Set-BrokerAccessPolicyRule Win10Desktop_AG_iPhone -IncludedSmartAccessTags Primary_HDX_Proxy:temp -AppProtectionScreenCaptureRequired $false -AppProtectionKeyLoggingRequired $false

    Primary_HDX_Proxy é o nome do servidor virtual VPN anterior na Etapa 1: criar política do Smart Access.

  5. Para ativar as políticas de Proteção de aplicativos para o restante dos usuários do Win10Desktop, use o seguinte comando: Set-BrokerAccessPolicyRule Win10Desktop_AG -AppProtectionScreenCaptureRequired $true -AppProtectionKeyLoggingRequired $true

  6. Verificação

    Para iPhone: faça logout do aplicativo Citrix Workspace, se estiver aberto no iPhone. Faça login no aplicativo Citrix Workspace externamente por meio da conexão do Access Gateway. Você conseguirá ver o recurso necessário no StoreFront e a Proteção de aplicativos deverá estar desativada.

    Para dispositivos diferentes do iPhone: faça logout do aplicativo Citrix Workspace, se estiver aberto no dispositivo. Faça login no aplicativo Citrix Workspace externamente por meio da conexão do Access Gateway. Você conseguirá ver o recurso necessário no StoreFront e a Proteção de aplicativos deverá estar desativada.

Cenário 3: desativar a Proteção de aplicativos para conexões iniciadas a partir do acesso baseado em navegador e ativar a proteção de aplicativos para conexões do aplicativo Citrix Workspace

As etapas a seguir são para desativar a proteção de aplicativos para um grupo de entrega chamado Win10Desktop quando as conexões são iniciadas a partir de um navegador.

  1. Etapa 1: criar políticas do Smart Access

    1. Crie uma política do Smart Access para filtrar as conexões iniciadas a partir do aplicativo Citrix Workspace, conforme definido no Cenário 2. Crie a seguinte expressão para verificar se há CitrixReceiver na cadeia de caracteres User Agent: HTTP.REQ.HEADER(“User-Agent”).CONTAINS(“CitrixReceiver”). Nesse caso, a política do Smart Access é cwa.

      Criar expressão

    2. Crie outra política do Smart Access para filtrar as conexões que não são iniciadas a partir do aplicativo Citrix Workspace, HTTP.REQ.HEADER(“User-Agent”).CONTAINS(“CitrixReceiver”).NOT. Nesse caso, essa política do Smart Access é browser.

      Criar política de sessão

  2. Etapa 2: criar regras de política do Broker Access

    1. Execute GetBrokerAccessPolicyRule para visualizar as duas políticas do Broker Access para Win10Desktop. Para o grupo de entrega Win10Desktop, as políticas do Broker Access são Win10Desktop_AG e Win10Desktop_Direct. Anote o UID do Desktop Group do Win10Desktop.

    2. Crie uma política do Broker Access para o Win10Desktop para filtrar as conexões iniciadas a partir do aplicativo Citrix Workspace.

      New-BrokerAccessPolicyRule -Name Win10Desktop_AG_CWA -DesktopGroupUid <Uid_of_desktopGroup> -AllowedConnections ViaAG -AllowedProtocols HDX, RDP -AllowedUsers AnyAuthenticated -AllowRestart $true -Enabled $true -IncludedSmartAccessFilterEnabled $true.

      Uid_of_desktopGroup é o DesktopGroupUID do grupo de entrega obtido executando a regra GetBrokerAccessPolicy na etapa 1.

    3. Use o comando a seguir para ativar as políticas de Proteção de aplicativos apenas para conexões provenientes do CWA referenciando a marca do Smart Access cwa: Set-BrokerAccessPolicyRule Win10Desktop_AG_CWA -IncludedSmartAccessTags Primary_HDX_Proxy:cwa -AppProtectionScreenCaptureRequired $true -AppProtectionKeyLoggingRequired $true. Primary_HDX_Proxy é o nome do servidor virtual VPN anotado anteriormente na Etapa 1: criar política do Smart Access.

    4. Use o comando a seguir para desativar as políticas de Proteção de aplicativos para o restante das conexões que chegam pelo navegador: Set-BrokerAccessPolicyRule Win10Desktop_AG -IncludedSmartAccessTags Primary_HDX_Proxy:browser -AppProtectionScreenCaptureRequired $false -AppProtectionKeyLoggingRequired $false.

    5. Verificação. Faça logout do aplicativo Citrix Workspace, se estiver aberto. Faça login novamente no aplicativo Citrix Workspace e inicie o recurso necessário a partir de uma conexão externa por meio do Access Gateway. Você vê que as políticas de Proteção de aplicativos estão ativadas para o recurso. Inicie o mesmo recurso do navegador por meio de uma conexão externa e você verá que as políticas de Proteção de aplicativos estão desativadas.

Cenário 4: desativar a Proteção de aplicativos para usuários em um grupo específico do Active Directory

As etapas a seguir são para desativar a Proteção de aplicativos para usuários do Win10Desktop que fazem parte do grupo xd.local\sales do Active Directory.

  1. Execute GetBrokerAccessPolicyRule para visualizar as duas políticas do Broker Access para Win10Desktop. Para um grupo de entrega Win10Desktop, existem duas políticas do Broker Access, Win10Desktop_AG e Win10Desktop_Direct. Anote o UID do Desktop Group do Win10Desktop.

  2. Crie uma regra de política do Broker Access para o Win10Desktop para filtrar conexões de usuários no grupo do Active Directory xd.local\sales.

    New-BrokerAccessPolicyRule -Name Win10Desktop_AG_Sales_Group -DesktopGroupUid <Uid_of_desktopGroup> -AllowedConnections ViaAG -AllowedProtocols HDX, RDP -AllowedUsers Filtered -AllowRestart $true -Enabled $true -IncludedSmartAccessFilterEnabled $true

    Uid_of_desktopGroup é o DesktopGroupUID do grupo de entrega obtido executando a regra GetBrokerAccessPolicy na etapa 1.

  3. Use o comando a seguir para desativar as políticas de Proteção de aplicativos para os usuários do Windows 10 Desktop, parte do grupo AD xd.local\sales: Set-BrokerAccessPolicyRule Win10Desktop_AG_Sales_Group -AllowedUsers Filtered -IncludedUsers xd.local\sales -IncludedUserFilterEnabled $true -AppProtectionScreenCaptureRequired $false -AppProtectionKeyLoggingRequired $false

  4. Use o comando a seguir para ativar as políticas de Proteção de aplicativos para o restante das conexões de gateway, exceto para os usuários de xd.local\sales: Set-BrokerAccessPolicyRule Win10Desktop_AG -AllowedUsers Anyauthenticated -ExcludedUserFilterEnabled $true -ExcludedUsers xd.local\sales -AppProtectionScreenCaptureRequired $true -AppProtectionKeyLoggingRequired $true
  5. Verificação. Faça logout do aplicativo Citrix Workspace, se estiver aberto. Faça login no aplicativo Citrix Workspace como usuário no grupo xd.local\sales do Active Directory. Inicie o recurso protegido e você verá que a Proteção de aplicativos está desativada. Faça logout do aplicativo Citrix Workspace e faça login novamente como um usuário que não faz parte do xd.local\sales. Inicie o recurso protegido e você verá que a Proteção de aplicativos está ativada.
Proteção de aplicativos contextual para StoreFront