Citrix DaaS

基于用户的网络位置的自适应访问 - 预览版

Citrix Workspace 平台自适应访问功能使用高级策略基础架构,根据用户的网络位置启用对 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)的访问。该位置是使用 IP 地址范围或子网地址定义的。

管理员可以定义策略,根据用户的网络位置枚举或不枚举虚拟应用程序和桌面。管理员还可以根据用户的网络位置,通过启用或禁用剪贴板访问、打印机、客户端驱动器映射等,来控制可以在 Citrix DaaS 上执行的用户操作。例如,管理员可以实施以下策略来访问应用程序:

  • 请仅从公司位置或分支机构枚举少数敏感应用程序。
  • 如果员工从外部网络访问工作区,请勿枚举敏感应用程序。
  • 请禁用从分支机构访问打印机的功能。
  • 当用户不在公司网络中时,请禁用剪贴板访问和打印机访问权限。

必备条件

建议

在您的 Citrix DaaS 部署中;

  • 请标识一个测试交付组或创建一个交付组来实施此功能。
  • 创建策略或标识可用于测试交付组的策略。

注意事项

  • 如果选择将 用户管理留给 Citrix Cloud选项,则无法应用智能访问策略(例如,基于网络位置对 Citrix DaaS 的自适应访问)。这是因为交付组成为库产品,因此不再由 Web Studio 处理。
  • 如果您计划根据网络位置有选择地枚举 Citrix DaaS,则必须使用 Citrix Studio 策略而不是工作区对这些交付组执行用户管理。创建交付组时,请在用户设置中,选择限制以下用户使用此交付组允许任何已通过身份验证的用户使用此交付组。这样,交付组下的“访问策略”选项卡就可以配置自适应访问。

注意: 如果您计划根据网络位置使用自适应访问来限制用户的控制功能(例如禁用剪贴板访问、打印机重定向、客户端驱动器映射),则不需要这样做。

创建交付组

如何配置

在高级别,您必须执行以下步骤。

  1. 根据用户位置定义要实施的自适应访问策略。
  2. 配置计划实施自适应访问的公司和分支机构网络位置。
  3. 使用定义的网络位置为 Citrix Studio 中的虚拟应用程序和桌面配置自适应访问策略。

定义要实施的自适应策略

让我们来看下面的例子:

位置 访问或用户控制
内部 枚举所有应用程序
分支机构 枚举所有应用程序
外部 请勿枚举少量敏感应用程序并禁用剪贴板打印机对所有应用程序的访问

配置网络位置

可以使用 Citrix Cloud https://citrix.cloud.com/networksites 中的网络位置服务配置网络位置。 您可以创建站点,并根据网络连接情况定义必须将这些站点视为内部站点还是外部站点。然后,您可以将标记附加到站点。创建站点后,每个客户端 IP 地址都必须与一组标记相关联。

配置网络位置

注意:

  • 建议您定义用户具有更高访问权限的网络位置,而非定义外部网络。请使用网络位置定义内部网络、分支机构等,以便优先从这些位置进行访问。
  • 请为每个网络位置或站点定义标记。例如“BranchOffice”。这些标记用于在 Citrix Studio 中配置自适应访问策略。定义的默认标记为 LOCATION_external and LOCATION_internal。 注意: 在 Citrix Studio 中,必须在标记名称前加上“LOCATION_TAG_”。例如,如果您使用标记“BranchOffice”定义了一个网络位置,则在 Citrix Studio 策略中配置过滤选项时,请使用名称“LOCATION_TAG_BranchOffice”。

在 Citrix Studio 中配置适应访问策略

注意: 这不是详尽的配置,而是如何使用标记名称配置 Studio 策略的示例。

上一步中定义的网络位置标记用于在 Citrix Studio 中配置自适应访问策略。此步骤类似于使用本地网关配置 SmartAccess 策略。您必须将“场”下的 Citrix Gateway 替换为 Workspace,将“过滤器”下的会话策略替换为网络位置标记。

在此步骤中,请选择 Citrix Studio 策略(现有策略或新策略)并将其与交付组(现有交付组或新交付组)关联。要创建交付组,请参阅创建交付组。要创建策略,请参阅创建策略

为虚拟应用程序和桌面枚举配置自适应访问策略

让我们使用前面的示例并创建一个策略来仅枚举公司网络中的敏感应用程序(在本例中为 BranchOffice) 要将标记 LOCATION_TAG_BranchOffice 分配给为测试自适应访问策略而标识的交付组,请执行以下操作。

  1. 登录 Citrix Cloud。
  2. 选择“我的服务”>“DaaS”。
  3. 单击管理
  4. 根据您的要求创建交付组。有关详细信息,请参阅创建交付组
  5. 选择已创建的交付组,然后单击编辑交付组
  6. 单击访问策略
  7. 单击添加并选择以下选项:

    • 场中的工作区
    • 过滤器中的 LOCATION_TAG_BranchOffice

    编辑交付组

    注意: 可以向同一个场中添加多个过滤器。必须始终设置为工作区,并且过滤器必须具有根据网络位置配置创建的任何自适应访问标记。

  8. 对于在 Citrix Workspace 平台中使用自适应访问的客户,请执行以下操作将交付组的访问权限限制为仅限内部网络。

    • 选中 Connections through NetScaler Gateway(通过 NetScaler Gateway 建立连接)复选框,然后选中 Connections meeting any of the following filters(满足以下任一过滤器条件的连接)复选框。
    • 为内部位置输入适当的标记。

    注意: 如果选择 All connections not through NetScaler Gateway(所有不通过 NetScaler Gateway 建立的连接),则无论您来自内部网络还是外部网络,都可以看到自己的应用程序。建议在 Citrix Workspace 平台上使用自适应访问的客户不要依赖 所有非通过 NetScaler Gateway 的连接 选项将交付组的访问权限限制为仅限内部网络。

配置自适应访问策略,以便在访问虚拟应用程序和桌面时定义最终用户控制

让我们使用前面的示例并创建一个策略,以便仅从分支机构禁用复制粘贴功能。

要为来自位置 LOCATION_TAG_BranchOffice 的用户禁用复制粘贴功能,请执行以下操作。

  1. 在“Citrix DaaS 配置”页面上,单击管理选项卡。
  2. 单击策略选项卡。
  3. 选择创建策略
  4. 在“选择设置”中,选择客户端剪贴板重定向
  5. 在“编辑设置”中,选择禁止,然后单击确定

    编辑设置

  6. 在“用户和计算机”页面中,单击选择用户和计算机对象,然后将此策略分配给访问控制。

  7. 输入策略的名称(或者接受默认名称)。请考虑根据受影响的用户或对象来命名策略;例如“Accounting Department”或“Remote Users”。提供说明(可选)。

默认情况下,此策略处于启用状态。您可以将其禁用。启用策略将使策略立即应用到登录的用户。禁用策略可阻止应用策略。如果您过后必须设定策略的优先级或添加设置,请考虑禁用策略,直至准备好应用此策略。

将自适应访问策略分配给外部位置 (LOCATION_external)

如果要对外部位置应用访问策略,例如,为来自未配置的位置(LOCATION_TAG_BranchOffice、LOCATION_internal 除外)的用户禁用剪贴板访问权限,则只需将策略分配给 LOCATION_external(因为没有定义的网络位置被命中,返回 LOCATION_external)。

分配策略

如何验证策略配置

在广泛实施自适应策略之前,请验证自适应策略以确保策略按预期运行。在配置示例中;

  • 对于来自网络位置 LOCATION_Internal 的用户,必须为这些用户枚举应用程序。此外,复制粘贴功能必须对这些用户可用。
  • 对于来自网络位置 LOCATION_TAG_BranchOffice 的用户,必须为这些用户枚举应用程序。必须为这些用户禁用复制粘贴功能。
  • 对于来自 location_External 位置的用户,不得枚举应用程序。
基于用户的网络位置的自适应访问 - 预览版