This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
基于用户网络位置的自适应访问
Citrix Workspace™ 自适应访问功能利用高级策略基础架构,根据用户的网络位置启用对 Citrix DaaS™ 的访问。位置通过 IP 地址范围或子网地址定义。
管理员可以定义策略,以根据用户的网络位置枚举或不枚举虚拟应用和桌面。管理员还可以根据用户的网络位置,通过启用或禁用剪贴板访问、打印机、客户端驱动器映射等来控制用户操作。例如,管理员可以设置策略,使从家中访问资源的用户对应用程序的访问受限,而从分支机构访问资源的用户则拥有完全访问权限。
-
-
管理员可以实施以下策略来访问应用程序:
- 仅从公司位置或分支机构枚举少数敏感应用程序。
- 如果员工从外部网络访问工作区,则不枚举敏感应用程序。
- 禁用从分支机构的打印机访问。
- 当用户在公司网络外部时,禁用剪贴板访问和打印机访问。
授权
- 自适应访问功能作为通用混合多云许可证 (UHMC) 和平台许可证 (CPL) 的一部分提供。有关详细信息,请参阅 https://www.citrix.com/buy/licensing/product.html。
先决条件
-
确保已启用 自适应访问 功能(Citrix Workspace > 访问 > 自适应访问)。有关详细信息,请参阅 启用自适应访问功能。
-
启用自适应访问后,DaaS 访问策略将更新为使用选项 通过 Citrix Gateway 的连接。
-
注意:
-
NetScaler® Gateway 是在 DaaS 访问策略中添加智能访问标签所必需的。但是,由于 DaaS 从设备姿态、自适应访问和自适应身份验证服务中获取标签,因此您的设置中不必配置 NetScaler Gateway。
-
-
了解位置标签。有关详细信息,请参阅 网络位置标签。
注意事项
以下几点仅适用于您希望根据位置限制应用程序枚举的情况。如果您计划使用自适应访问来限制用户控制,例如根据网络位置禁用剪贴板访问、打印机重定向、客户端驱动器映射,则可以忽略这些准则。
- 如果您计划根据网络位置选择性地枚举 Citrix DaaS,则必须使用 Citrix Studio 策略而不是工作区对这些交付组执行用户管理。创建交付组时,在 **用户设置** 中,选择 **限制使用此交付组** 用户或 **允许任何经过身份验证的用户使用此交付组**。这使您能够在 **交付组** 下的 **访问策略** 选项卡中配置自适应访问。
- 启用自适应访问后,直接工作负载连接的更改。
- **位置标签** 字段在 **Citrix Cloud™ > 网络位置 > 添加网络位置 > 位置标签** 中可见。
- 现有的直接工作负载连接策略按预期工作。
- 必须在网络位置服务中(不定义标签)以及在交付组上创建新策略。此外,网络连接类型必须为 **内部**。
- 对于带有标签的直接工作负载连接的新策略,必须在网络位置服务中定义标签,并且必须在 DaaS Studio 中的交付组或访问策略上定义相同的标签。此外,网络连接类型必须为 **内部**。位置标签与直接工作负载连接无关。
-
建议按以下方式测试您的 Citrix DaaS 部署。
- 识别测试交付组或创建交付组以实施此功能。
- 创建策略或识别可与测试交付组一起使用的策略。
启用自适应访问功能
- 1. 登录到 Citrix Cloud。
- 从汉堡菜单中选择 工作区配置。
-
自适应访问 切换默认处于关闭状态。打开 自适应访问 切换。
-
- 在确认消息中单击 是,启用自适应访问。
-
启用自适应访问后,您可以为自适应访问定义位置标签(Citrix Cloud > 网络位置 > 添加网络位置 > 位置标签)。
- 禁用自适应访问后,您无法添加网络位置。在这种情况下,位置标签不适用。
- 
> **重要提示:** >
> 尝试禁用自适应访问功能时,将显示以下消息。请注意,禁用此功能后,Workspace 不会将标签发送到 DaaS 以进行自适应访问。
配置自适应访问
假设管理员需要根据用户的网络位置(例如,办公室和家庭)强制实施访问控制。管理员还必须对在家办公的用户强制实施智能控制,例如剪贴板限制。
要通过自适应访问实现此方案,管理员必须根据用户的网络创建 2 个交付组:
- 用于 BranchOffice 的自适应访问交付组,其中包含与分支机构用户相关的应用程序。
- 用于 WorkFromHome 的 WFH 交付组,其中包含与家庭/远程用户相关的应用程序。
创建交付组后,配置基于网络位置的自适应访问涉及以下高级步骤:
- [定义标签并配置网络位置策略](/zh-cn/citrix-daas/manage-deployment/adaptive-access/adaptive-access-based-on-users-network-location#configure-the-network-location-policies)。
- [在交付组中使用定义的标签进行应用程序枚举和/或对应用程序强制实施智能控制](/zh-cn/citrix-daas/manage-deployment/adaptive-access/adaptive-access-based-on-users-network-location#use-the-defined-tags-in-delivery-groups-for-application-enumeration)。
- [对应用程序强制实施智能控制](/zh-cn/citrix-daas/manage-deployment/adaptive-access/adaptive-access-based-on-users-network-location#optional-enforce-smart-controls-on-applications)(可选)。
定义用于基于位置的访问的网络位置标签
第一步是根据用户的位置(办公室或家庭)定义用户标签。
-
BRANCHOFFICE: 此标签必须分配给从办公室网络连接的用户。这些用户可以完全访问所有可用的应用程序。
- WORKFROMHOME: 此标签必须分配给远程工作的用户。这些用户对应用程序和某些功能(如剪贴板功能)的访问权限有限。
有关标签的更多信息,请参阅网络位置标签。
现在,您已根据用户位置创建了交付组和相应的标签,可以继续进行网络位置策略配置。
配置网络位置策略
通过提供公共源 IP 地址和位置标签,为您的用户位置定义网络位置策略规则。
- 登录 Citrix Cloud。
-
从汉堡菜单中选择网络位置。 确保已启用“自适应访问”切换。否则,将显示“直接工作负载连接”的用户界面。
-
单击添加网络位置。
-
位置名称: 输入策略的相应名称。
示例:BRANCHOFFICE 或 WORKFROMHOME
-
公共 IP 地址范围: 定义网络的公共 IP 地址范围。
- 示例:192.0.2.10 - 192.0.2.30
-
位置标签: 定义位置的标签。这可以是引用您位置的名称。这些标签用于在 Citrix Studio 中配置自适应访问策略。有关详细信息,请参阅在 Citrix Studio 中定义标签。
示例:BRANCHOFFICE 或 WORKFROMHOME
- 连接类型: 定义应用程序启动类型。
内部 - 绕过网关以启动应用程序。 外部 - 使用 Citrix Gateway 服务或传统网关启动应用程序。
-
-
- 单击保存。
- 您现在可以在 DaaS Studio 上使用这些标签来启用自适应访问。
注意:
- 如果未将网络位置标签分配给交付组,则用户将获得对自适应访问和 WFH 交付组中所有应用程序的无限制访问权限。这可能会导致用户无意中访问他们无权访问的某些应用程序。将位置标签分配给交付组可确保根据用户的网络位置控制访问。
- 在定义位置标签时,请确保仅输入首选标签名称,不带前缀“LOCATION_TAG”,例如 BRANCHOFFICE。但是,在 Citrix Studio 中定义标签时,必须为标签名称添加前缀“LOCATION_TAG”。例如,“LOCATION_TAG_BRANCHOFFICE”。
在交付组中使用定义的标签进行应用程序枚举
- 登录 Citrix Cloud。
- 在 Citrix DaaS 磁贴上,单击管理。
- 创建交付组。有关详细信息,请参阅创建交付组。
- 选择您已创建的交付组,然后单击编辑交付组。
- 单击访问策略。
- 对于在 Citrix Workspace 平台中使用自适应访问的客户,请执行以下步骤以将交付组的访问权限限制为仅限内部网络:
- 右键单击交付组,然后选择编辑。
- 在左侧窗格中选择访问策略。
-
单击编辑图标以修改默认的 Citrix Gateway 连接策略。
-
在编辑策略页面上,选择符合以下条件的连接,选择匹配任意,然后添加条件。
对于居家办公用户,请在相应的交付控制器中输入以下值。
筛选器:Workspace
值:LOCATION_TAG_WORKFROMHOME
对于分支机构用户,请在相应的交付控制器中输入以下值。
筛选器:Workspace
值:LOCATION_TAG_BRANCHOFFICE
注意:
(可选)对应用程序强制实施智能控制
除了使用网络位置标记限制访问之外,管理员还可以对应用程序强制实施智能控制。在此示例中,已为居家办公位置的用户禁用客户端剪贴板重定向。
- 登录 Citrix DaaS。
- 导航到策略,然后单击创建策略。
- 选择客户端剪贴板重定向,然后单击禁止。
- 单击下一步。
- 在将策略分配到页面上,选择访问控制。
-
为策略定义以下值:
- 模式:允许
- 连接类型:通过 Citrix Gateway
- 网关场名称:Workspace
- 访问条件:LOCATION_TAG_WORKFROMHOME(全部大写)
- 单击下一步。
- 输入策略名称并添加策略描述。
- 单击完成。
来自 WORKFROMHOME 位置的用户无法对其启动的资源执行剪贴板访问。
网络位置标记
网络位置服务提供以下标记。
-
默认标记:这些标记在网络位置服务上定义。以下默认标记可用。
- LOCATION_internal:在定义网络位置时,当网络连接类型设置为内部时,默认发送的标记。
- LOCATION_external:在定义网络位置时,当网络连接类型设置为外部时,默认发送的标记。
- LOCATION_undefined:针对未在策略中定义但通过网络位置服务传入的 IP 地址发送的标记。这些用户的启动与资源组中定义的启动相同。
- 自定义标记:管理员可以在策略中定义自定义标记名称。示例:home、Office、BRANCH
注意:
为网络位置服务定义标记时,请确保以下事项:
默认标记始终以“LOCATION_
<tag name>”为前缀。例如,LOCATION_INTERNAL。自定义标记始终以“LOCATION_TAG
<tag name>”为前缀。例如,LOCATION_TAG_OFFICE。在交付组中定义标记时,标记必须全部大写。
默认标记:LOCATION_INTERNAL、LOCATION_EXTERNAL、LOCATION_UNDEFINED
自定义标记:LOCATION_TAG_OFFICE、LOCATION_TAG_HOME
下表总结了上述场景的策略和标记。
| 位置 | 策略 | 自定义标记 | 默认标记 | 要在 DaaS 交付组中使用的标记 | 要在智能访问策略中使用的标记 |
|---|---|---|---|---|---|
| WFH | WFH | WORKFROMHOME | LOCATION_EXTERNAL | LOCATION_WORKFROMHOME 和/或 LOCATION_EXTERNAL | LOCATION_WORKFROMHOME 和/或 LOCATION_EXTERNAL |
| 分支机构 | 分支机构 | BRANCHOFFICE | LOCATION_EXTERNAL | LOCATION_BRANCHOFFICE 和/或 LOCATION_EXTERNAL | LOCATION_BRANCHOFFICE 和/或 LOCATION_EXTERNAL |
| 其他 | 未定义 | 未定义 | LOCATION_UNDEFINED | LOCATION_UNDEFINED | LOCATION_UNDEFINED |
已知问题
如果在启用自适应访问功能并设置规则(标记和连接类型)后将其禁用,则不会从“网络位置”页面中删除这些位置,尽管位置标记和连接类型列已隐藏。但这些位置在后端已被禁用。这是一个显示问题。
根据标记配置会话录制策略
会话录制允许组织录制虚拟会话中的屏幕用户活动。在创建自定义会话录制策略、事件检测策略或事件响应策略时,您可以指定标记,包括网络位置标记。有关示例,请参阅创建自定义录制策略。
共享
共享
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.