This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
基于用户网络位置的自适应访问
Citrix Workspace 自适应访问功能使用高级策略基础架构,根据用户的网络位置启用对 Citrix DaaS 的访问。 该位置是使用 IP 地址范围或子网地址定义的。
管理员可以定义策略,以根据用户的网络位置枚举或不枚举虚拟应用程序和桌面。 管理员还可以根据用户的网络位置,通过启用或禁用剪贴板访问、打印机、客户端驱动器映射等来控制用户操作。 例如,管理员可以设置策略,以便从家中访问资源的用户对应用程序的访问权限有限,而从分支机构访问资源的用户具有完全访问权限。
管理员可以实施以下策略来访问应用程序:
- 仅列举一些来自公司位置或其分支机构的敏感应用程序。
- 如果员工从外部网络访问工作区,请不要枚举敏感应用程序。
- 禁用从分支机构访问打印机。
- 当用户位于公司网络外部时,禁用剪贴板访问和打印机访问。
权利
自适应访问功能作为通用混合多云许可证 (UHMC) 和平台许可证 (CPL) 的一部分提供。 有关更多信息,请参阅 https://www.citrix.com/buy/licensing/product.html.
必备条件
-
确保 自适应访问 功能已启用 (Citrix 工作区 > 访问 > 自适应访问). 有关详细信息,请参阅 启用 Adaptive Access 功能.
启用自适应访问后,DaaS 访问策略将更新为使用选项 通过 Citrix Gateway 进行连接.
注意:
在 DaaS 访问策略中添加智能访问标签需要 NetScaler Gateway。 但是,由于 DaaS 使用来自 Device Posture、Adaptive Access 和 Adaptive Authentication 服务的标记,因此无需在设置中配置 NetScaler Gateway。
- 了解位置标记。 有关详细信息,请参阅 网络位置标签.
注意事项
仅当您希望根据位置限制应用程序枚举时,以下几点才适用。 如果您计划使用自适应访问来限制用户控件,例如根据网络位置禁用剪贴板访问、打印机重定向、客户端驱动器映射,则可以忽略这些准则。
- 如果您计划根据网络位置有选择地枚举 Citrix DaaS,则必须使用 Citrix Studio 策略而不是工作区对这些交付组执行用户管理。 创建交付组时,在 用户设置,请选择 限制使用此交付组 users 或 允许任何经过身份验证的用户使用此交付组. 这使您能够在 访问策略 选项卡 交付组.
-
启用自适应访问时对 Direct Workload Connection 的更改。
- 这 位置标签 字段在 Citrix 云 > 网络位置 > 添加网络位置 > 位置标签.
- 现有的 Direct Workload Connection 策略按预期工作。
- 必须在 Network Locations 服务(不定义标签)和交付组上创建新策略。 此外,网络连接类型必须为 内部.
- 对于带标签的直接工作负载连接的新策略,必须在 Network Locations 服务中定义标签,并且必须在 DaaS Studio 中的交付组或访问策略上定义相同的标签。 此外,网络连接类型必须为 内部. 位置标签与 Direct Workload Connection 无关。
-
以下是测试 Citrix DaaS 部署的建议。
- 确定测试交付组或创建交付组以实施此功能。
- 创建策略或确定可与测试交付组一起使用的策略。
启用 Adaptive Access 功能
- 登录 Citrix Cloud。
- 选择 工作区配置 从汉堡菜单。
- 自适应访问 默认情况下,Toggle 处于关闭状态。 转动 自适应访问 打开。
- 点击 是,启用自适应访问 在确认消息中。
启用自适应访问后,您可以定义自适应访问的位置标记 (Citrix 云 > 网络位置 > 添加网络位置 > 位置标签).
禁用 Adaptive Access 后,无法添加网络位置。 位置标记在这种情况下不适用。
-priority
当您尝试禁用自适应访问功能时,将显示以下消息。 请注意,禁用该功能后,Workspace 不会将标记发送到 DaaS 进行自适应访问。
配置自适应访问
假设管理员需要根据用户的网络位置(例如办公室和家庭)强制实施访问控制。 管理员还必须对在家工作的用户实施智能控制,例如剪贴板限制。 要使用自适应访问实现此方案,管理员必须根据用户的网络创建 2 个交付组:
- 自适应访问 BranchOffice 的交付组,其中包含与分支机构用户相关的应用程序。
- 在家办公 WorkFromHome 的交付组,其中包含与家庭/远程用户相关的应用程序。
创建交付组后,根据网络位置配置自适应访问涉及以下高级步骤:
为基于位置的访问定义网络位置标签
第一步涉及根据用户的位置为用户定义标签;办公室或家庭。
- 分公司: 此标记必须分配给从 office 网络连接的用户。 这些用户对他们可用的所有应用程序具有完全访问权限。
- 在家工作: 此标签必须分配给远程工作的用户。 这些用户对应用程序和某些功能(如剪贴板功能)的访问权限有限。
有关标签的更多信息,请参阅 网络位置标签.
现在,您已根据用户位置创建了交付组和相应的标签,您可以继续进行网络位置策略配置。
配置网络位置策略
通过提供公有源 IP 地址和位置标签,为用户的位置定义网络位置策略规则。
- 登录 Citrix Cloud。
- 选择 网络位置 从汉堡菜单。 确保已启用 Adaptive Access 切换开关。 否则,将显示直接工作负载连接的用户界面。
-
点击 添加网络位置.
-
位置名称: 为策略输入适当的名称。
示例:BRANCHOFFICE 或 WORKFROMHOME
-
公网 IP 地址范围: 定义网络的公有 IP 地址范围。
示例:192.0.2.10 - 192.0.2.30
-
位置标签: 为您的位置定义标签。 这可以是引用您的位置的名称。 这些标签用于在 Citrix Studio 中配置自适应访问策略。 有关详细信息,请参阅 在 Citrix Studio 中定义标签.
示例:BRANCHOFFICE 或 WORKFROMHOME
-
连接类型: 定义应用程序启动类型。
内部 - 绕过网关以启动应用程序。 外部 - 使用 Citrix Gateway 服务或传统网关启动应用程序。
-
- 单击保存。
现在,您可以在 DaaS Studio 上使用这些标签来启用自适应访问。
注意:
- 如果未将网络位置标签分配给交付组,则用户将被授予对自适应访问和 WFH 交付组中的所有应用程序的不受限制的访问权限。 这可能会导致用户无意中访问他们无权访问的某些应用程序。 将位置标签分配给交付组可确保根据用户的网络位置控制访问。
- 在定义位置标签时,请确保仅输入不带前缀“LOCATION_TAG”的首选标签名称,例如 BRANCHOFFICE。 但是,在 Citrix Studio 中定义标签时,必须在标签名称前加上 “LOCATION_TAG”。 例如,“LOCATION_TAG_BRANCHOFFICE”。
在交付组中使用定义的标签进行应用程序枚举
- 登录 Citrix Cloud。
- 在 Citrix DaaS 磁贴中,单击 管理.
- 创建交付组. 有关详细信息,请参阅创建交付组。
- 选择您创建的交付组,然后单击 编辑交付组.
- 点击 访问策略.
-
对于在 Citrix Workspace 平台中使用自适应访问的客户,请执行以下步骤,将交付组的访问限制为仅内部网络:
- 右键单击交付组,然后选择 编辑.
- 在左侧窗格中选择访问策略。
-
单击编辑图标可修改默认的 Citrix Gateway 连接策略。
-
在 编辑策略 页面上,选择 满足以下条件的连接选择 匹配任何,然后添加条件。
对于 WorkFromHome 用户,请在相应的 Delivery Controller 中输入以下值。
滤波器:工作
价值: LOCATION_TAG_WORKFROMHOME
对于 BranchOffice 用户,请在相应的 Delivery Controller 中输入以下值。
滤波器:工作
价值: LOCATION_TAG_BRANCHOFFICE
注意:
(可选)对应用程序实施智能控制
除了使用网络位置标签限制访问外,管理员还可以对应用程序实施智能控制。 在此示例中,对来自 WorkFromHome 位置的用户禁用客户端剪贴板重定向。
- 登录 Citrix DaaS。
- 导航到 政策 ,然后单击 创建策略.
- 选择 客户端剪贴板重定向,然后单击 禁止.
- 在“等效 CLI 命令”中,查看命令并单击“下一步”。
- 在 将策略分配给 页面上,选择 存取控制.
-
为策略定义以下值:
- 模式: 允许
- 连接类型 : 使用 Citrix Gateway
- 网关场名称: 工作
- 访问条件: LOCATION_TAG_WORKFROMHOME (全部大写)
- 在“等效 CLI 命令”中,查看命令并单击“下一步”。
- 输入策略的名称并添加策略描述。
- 单击完成。
来自 在家工作 Location 无法对其启动的资源执行剪贴板访问。
网络位置标签
Network Locations 服务提供以下标签。
-
默认标签: 这些标签在 Network Locations 服务上定义。 可以使用以下默认标签。
- LOCATION_internal: 当网络连接类型设置为 内部 在定义网络位置时。
- LOCATION_external: 当网络连接类型设置为 外部 在定义网络位置时。
- LOCATION_undefined: 为策略中未定义但通过 Network Locations 服务发送的 IP 地址发送的标签。 这些用户的 Launch 与资源组中定义的相同。
- 自定义标签: 管理员可以在策略中定义自定义标记名称。 示例:home、Office、BRANCH
注意:
为 Network Location 服务定义标签时,请确保满足以下条件:
The default tags always start with the prefix "LOCATION_`<tag name>`. For example, LOCATION_INTERNAL. The custom tags always start with the prefix "LOCATION_TAG`<tag name>`. For example, LOCATION_TAG_OFFICE.在交付组中定义标签时,必须以全部大写形式输入标签。
Default tags: LOCATION_INTERNAL, LOCATION_EXTERNAL, LOCATION_UNDEFINED Custom tags: LOCATION_TAG_OFFICE, LOCATION_TAG_HOME
下表总结了前面提到的场景的策略和标签。
| 位置 | 策略 | 自定义标签 | 默认标签 | 要在 DaaS 交付组中使用的标记 | 智能访问策略中使用的标签 |
|---|---|---|---|---|---|
| 在家办公 | 在家办公 | 在家工作 | LOCATION_EXTERNAL | LOCATION_WORKFROMHOME 和/或 LOCATION_EXTERNAL | LOCATION_WORKFROMHOME 和/或 LOCATION_EXTERNAL |
| 分支机构 | 分支机构 | 分公司 | LOCATION_EXTERNAL | LOCATION_BRANCHOFFICE 和/或 LOCATION_EXTERNAL | LOCATION_BRANCHOFFICE 和/或 LOCATION_EXTERNAL |
| 其他 | 未定义 | 未定义 | LOCATION_UNDEFINED | LOCATION_UNDEFINED | LOCATION_UNDEFINED |
已知问题
如果在启用自适应访问功能并设置规则(标记和连接类型)后禁用该功能,则不会从“网络位置”页面中删除位置,尽管位置标记和连接类型列处于隐藏状态。 但这些位置在后端被禁用。 这是一个外观问题。
根据标签配置会话录制策略
Session 录制 允许组织在虚拟会话中录制屏幕上的用户活动。 您可以在创建自定义会话录制策略、事件检测策略或事件响应策略时指定包括网络位置标签在内的标签。 有关示例,请参阅 创建自定义录制策略.
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.