Citrix DaaS™

基于用户网络位置的自适应访问

Citrix Workspace™ 自适应访问功能使用高级策略基础架构,可根据用户的网络位置启用对 Citrix DaaS™ 的访问。位置通过 IP 地址范围或子网地址定义。

管理员可以定义策略,以根据用户的网络位置枚举或不枚举虚拟应用和桌面。管理员还可以根据用户的网络位置,通过启用或禁用剪贴板访问、打印机、客户端驱动器映射等来控制用户操作。例如,管理员可以设置策略,使从家中访问资源的用户对应用程序的访问受限,而从分支机构访问资源的用户则拥有完全访问权限。

Adaptive Access overview

管理员可以实施以下策略来访问应用程序:

  • 仅从公司位置或分支机构枚举少数敏感应用程序。
  • 如果员工从外部网络访问 Workspace,则不枚举敏感应用程序。
  • 禁用分支机构的打印机访问。
  • 当用户在公司网络外部时,禁用剪贴板访问和打印机访问。

权利

自适应访问功能作为通用混合多云许可证 (UHMC) 和平台许可证 (CPL) 的一部分提供。有关详细信息,请参阅 https://www.citrix.com/buy/licensing/product.html

先决条件

  • 确保已启用 Adaptive Access(自适应访问)功能(Citrix Workspace > Access > Adaptive Access)。有关详细信息,请参阅启用自适应访问功能

    启用自适应访问后,DaaS 访问策略将更新为使用选项 Connections through Citrix Gateway(通过 Citrix Gateway 的连接)。

    注意:

    NetScaler® Gateway 是在 DaaS 访问策略中添加智能访问标记所必需的。但是,由于 DaaS 从设备姿态、自适应访问和自适应身份验证服务中获取标记,因此您的设置中无需配置 NetScaler Gateway。

  • 了解位置标记。有关详细信息,请参阅网络位置标记

注意事项

以下几点仅适用于您希望根据位置限制应用程序枚举的情况。如果您计划使用自适应访问来限制用户控制,例如根据网络位置禁用剪贴板访问、打印机重定向、客户端驱动器映射,则可以忽略这些准则。

  • 如果您计划根据网络位置选择性地枚举 Citrix DaaS,则必须使用 Citrix Studio 策略而不是 Workspace 对这些交付组执行用户管理。创建交付组时,在 Users setting(用户设置)中,选择 Restrict use of this Delivery Group(限制使用此交付组)用户或 Allow any authenticated users to use this Delivery Group(允许任何经过身份验证的用户使用此交付组)。这使您能够在 Delivery Group(交付组)下的 Access Policy(访问策略)选项卡中配置自适应访问。

Delivery group

  • 启用自适应访问后,直接工作负载连接的更改。

    • Location tags(位置标记)字段在 Citrix Cloud™ > Network Locations > Add a Network Location > Location tags 中可见。
    • 现有直接工作负载连接策略按预期工作。
    • 必须在网络位置服务中(不定义标记)以及在交付组上创建新策略。此外,网络连接类型必须为 Internal(内部)。
    • 对于带有标记的直接工作负载连接的新策略,必须在网络位置服务中定义标记,并且在 DaaS Studio 的交付组或访问策略中也必须定义相同的标记。此外,网络连接类型必须为 Internal(内部)。位置标记与直接工作负载连接无关。
  • 建议按以下方式测试您的 Citrix DaaS 部署。

    • 确定一个测试交付组或创建一个交付组以实施此功能。
    • 创建策略或确定可与测试交付组一起使用的策略。

启用自适应访问功能

  1. 登录到 Citrix Cloud。
  2. 从汉堡菜单中选择 Workspace Configuration(Workspace 配置)。
  3. Adaptive Access(自适应访问)切换开关默认处于关闭状态。将 Adaptive Access 切换开关打开。
  4. 在确认消息中单击 Yes, enable adaptive access(是,启用自适应访问)。

Enable Adaptive access

Enable Adaptive access message

启用自适应访问后,您可以为自适应访问定义位置标记(Citrix Cloud > Network Locations > Add a Network Location > Location tags)。

Adaptive access enabled

禁用自适应访问后,您无法添加网络位置。在这种情况下,位置标记不适用。

Adaptive access disabled

重要提示:

当您尝试禁用自适应访问功能时,将显示以下消息。请注意,当该功能被禁用时,Workspace 不会将标记发送到 DaaS 以进行自适应访问。

Adaptive access disabled message

配置自适应访问

考虑一个场景,管理员需要根据用户的网络位置(例如办公室和家庭)强制执行访问控制。管理员还必须强制执行智能控制,例如对在家工作的用户进行剪贴板限制。 要通过自适应访问实现此场景,管理员必须根据用户网络创建 2 个交付组:

  • Adaptive Access 交付组,用于 BranchOffice,包含与分支机构用户相关的应用程序。
  • WFH 交付组,用于 WorkFromHome,包含与家庭/远程用户相关的应用程序。

创建交付组后,配置基于网络位置的自适应访问涉及以下高级步骤:

为基于位置的访问定义网络位置标记

第一步是根据用户的位置(办公室或家庭)定义标记。

  • BRANCHOFFICE: 此标记必须分配给从办公室网络连接的用户。这些用户可以完全访问所有可用的应用程序。
  • WORKFROMHOME: 此标记必须分配给远程工作的用户。这些用户对应用程序和某些功能(如剪贴板功能)的访问受限。

有关标记的更多信息,请参阅网络位置标记

现在您已经根据用户位置创建了交付组和相应的标记,您可以继续进行网络位置策略配置。

配置网络位置策略

通过提供公共源 IP 地址和位置标记,为您的用户位置定义网络位置策略规则。

  1. 登录到 Citrix Cloud。
  2. 从汉堡菜单中选择 Network Locations(网络位置)。 确保已启用自适应访问切换开关。否则,将显示直接工作负载连接的用户界面。
  3. 单击 Add network location(添加网络位置)。

    • Location name:(位置名称:)输入策略的适当名称。

      示例:BRANCHOFFICE 或 WORKFROMHOME

    • Public IP address range:(公共 IP 地址范围:)定义网络的公共 IP 地址范围。

      示例:192.0.2.10 - 192.0.2.30

    • Location Tags:(位置标记:)定义您的位置的标记。这可以是引用您位置的名称。这些标记用于在 Citrix Studio 中配置自适应访问策略。有关详细信息,请参阅 Define tags in Citrix Studio(在 Citrix Studio 中定义标记)。

      示例:BRANCHOFFICE 或 WORKFROMHOME

    • Connectivity type:(连接类型:)定义应用程序启动类型。

    Internal(内部)- 绕过网关启动应用程序。 External(外部)- 使用 Citrix Gateway 服务或传统网关启动应用程序。

  4. 单击 Save(保存)。

NLS tags

您现在可以在 DaaS Studio 上使用这些标记来启用自适应访问。

注意:

  • 如果未将网络位置标记分配给交付组,则用户将被授予对自适应访问和 WFH 交付组中所有应用程序的无限制访问权限。这可能导致用户无意中访问他们无权访问的某些应用程序。将位置标记分配给交付组可确保根据用户的网络位置控制访问。
  • 定义位置标记时,请确保只输入首选标记名称,不带前缀“LOCATION_TAG”,例如 BRANCHOFFICE。但是,在 Citrix Studio 中定义标记时,必须在标记名称前加上“LOCATION_TAG”前缀。例如,“LOCATION_TAG_BRANCHOFFICE”。

在交付组中使用定义的标记进行应用程序枚举

  1. 登录到 Citrix Cloud。
  2. Citrix DaaS 磁贴上,单击 Manage(管理)。
  3. 创建交付组。有关详细信息,请参阅创建交付组
  4. 选择您创建的交付组,然后单击 Edit Delivery Group(编辑交付组)。
  5. 单击 Access Policy(访问策略)。
  6. 对于在 Citrix Workspace 平台中使用自适应访问的客户,请执行以下步骤以将交付组的访问权限限制为仅限内部网络:

    1. 右键单击交付组并选择 Edit(编辑)。
    2. 在左侧窗格中选择访问策略。
    3. 单击编辑图标以修改默认的 Citrix Gateway 连接策略。

      Gateway connections

    4. Edit policy(编辑策略)页面上,选择 Connections meeting the following criteria(符合以下条件的连接),选择 Match any(匹配任意),然后添加条件。

      Criteria

      对于 WorkFromHome 用户,在相应的交付控制器中输入以下值。

      Filter(筛选器):Workspace

      Value(值):LOCATION_TAG_WORKFROMHOME

      对于 BranchOffice 用户,在相应的交付控制器中输入以下值。

      Filter(筛选器):Workspace

      Value(值):LOCATION_TAG_BRANCHOFFICE

注意:

  • 确保在 Value(值)字段中输入正确的、带有“LOCATION_TAG”前缀的位置标记名称,与您创建网络位置策略时定义的名称一致。例如,如果您将位置标记定义为“BRANCHOFFICE”,则必须在 Value(值)字段中输入“LOCATION_TAG_BRANCHOFFICE”。交付组中的网络位置标记必须全部大写,无论其在网络位置策略中如何定义。有关配置位置标记的详细信息,请参阅配置网络位置策略
  • 交付组中的网络位置标记必须全部大写,无论其在网络位置策略中如何定义。有关配置位置标记的详细信息,请参阅配置网络位置策略

(可选)强制执行应用程序上的智能控制

除了使用网络位置标记限制访问外,管理员还可以强制执行应用程序上的智能控制。在此示例中,为 WorkFromHome 位置的用户禁用了客户端剪贴板重定向。

  1. 登录到 Citrix DaaS。
  2. 导航到 Policies(策略)并单击 Create Policy(创建策略)。
  3. 选择 Client clipboard redirection(客户端剪贴板重定向),然后单击 Prohibit(禁止)。
  4. 单击 Next(下一步)。

Restrict clipboard access

  1. Assign policy To(将策略分配到)页面上,选择 Access control(访问控制)。
  2. 为策略定义以下值:

    • Mode(模式):Allow(允许)
    • Connection type(连接类型):With Citrix Gateway(通过 Citrix Gateway)
    • Gateway farm name(网关场名称):Workspace
    • Access Condition(访问条件):LOCATION_TAG_WORKFROMHOME(全部大写)

Mode and farm

  1. 单击 Next(下一步)。
  2. 输入策略名称并添加策略描述。
  3. 单击 Finish(完成)。

来自 WORKFROMHOME 位置的用户无法对其启动的资源执行剪贴板访问。

网络位置标记

网络位置服务提供以下标记。

  • Default tags(默认标记):这些标记在网络位置服务上定义。提供以下默认标记。
    • LOCATION_internal: 定义网络位置时,当网络连接类型设置为 Internal(内部)时默认发送的标记。
    • LOCATION_external: 定义网络位置时,当网络连接类型设置为 External(外部)时默认发送的标记。
    • LOCATION_undefined: 对于策略中未定义但通过网络位置服务传入的 IP 地址发送的标记。这些用户的启动与资源组中定义的相同。
  • Custom tags(自定义标记):管理员可以在策略中定义自定义标记名称。示例:home、Office、BRANCH

注意:

  • 为网络位置服务定义标记时,请确保:

    默认标记始终以“LOCATION_<tag name>”为前缀。例如,LOCATION_INTERNAL。

    自定义标记始终以“LOCATION_TAG<tag name>”为前缀。例如,LOCATION_TAG_OFFICE。

  • 在交付组中定义标记时,标记必须全部大写。

    默认标记:LOCATION_INTERNAL、LOCATION_EXTERNAL、LOCATION_UNDEFINED

    自定义标记:LOCATION_TAG_OFFICE、LOCATION_TAG_HOME

下表总结了前面提到的场景的策略和标记。

位置 策略 自定义标记 默认标记 要在 DaaS 交付组中使用的标记 要在智能访问策略中使用的标记
WFH WFH WORKFROMHOME LOCATION_EXTERNAL LOCATION_WORKFROMHOME 和/或 LOCATION_EXTERNAL LOCATION_WORKFROMHOME 和/或 LOCATION_EXTERNAL
BranchOffice BranchOffice BRANCHOFFICE LOCATION_EXTERNAL LOCATION_BRANCHOFFICE 和/或 LOCATION_EXTERNAL LOCATION_BRANCHOFFICE 和/或 LOCATION_EXTERNAL
Other Not defined Not defined LOCATION_UNDEFINED LOCATION_UNDEFINED LOCATION_UNDEFINED

已知问题

如果您在启用自适应访问功能并设置规则(标记和连接类型)后将其禁用,这不会从“网络位置”页面中删除位置,尽管位置标记和连接类型列被隐藏。但这些位置在后端被禁用。这是一个外观问题。

根据标记配置会话录制策略

Session Recording 允许组织录制虚拟会话中的屏幕用户活动。您可以在创建自定义会话录制策略、事件检测策略或事件响应策略时指定标记,包括网络位置标记。例如,请参阅创建自定义录制策略