-
-
-
-
适用于 HDX 应用程序的 SmartAccess
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
适用于 HDX 应用程序的 SmartAccess
此功能允许您根据设备属性、设备的用户属性或设备上已安装的应用程序控制对 HDX 应用程序的访问。您可以通过设置自动化操作使用此功能将设备标记为不合规,以拒绝该设备的访问。与此功能结合使用的 HDX 应用程序通过拒绝访问不合规设备的 SmartAccess 策略在 Citrix Virtual Apps and Desktops 中配置。Citrix Endpoint Management 使用签名的加密标签将设备的状态传达给 StoreFront。StoreFront 随后根据应用程序的访问控制策略允许或拒绝访问。
要使用此功能,您的部署要求:
- Citrix Virtual Apps and Desktops
- Citrix Endpoint Management
- Citrix Endpoint Management 配置了 SAML 证书,用于签名和加密标签。不带私钥的相同证书在 StoreFront 服务器上上载。
要开始使用此功能,请执行以下操作:
- 将 Citrix Endpoint Management 服务器证书配置到 StoreFront 商店
- 使用所需的 SmartAccess 策略配置至少一个 Citrix Virtual Apps and Desktops 交付组
- 在 Citrix Endpoint Management 中设置自动操作
通过 SmartAccess 访问适用于端点的 HDX 应用程序
通过此功能,您可以应用基于策略的访问控制以限制设备对 HDX 应用程序的访问。可以将以下访问级别应用到 HDX 应用程序:
- 完全访问权限。设备可以访问 Citrix Secure Hub 商店提供的所有 HDX 应用程序。
- 受限制的访问。设备可以访问一个或多个 HDX 应用程序,但不能访问所有 HDX 应用程序。
- 没有访问权限。设备无法访问任何 HDX 应用程序。
下图说明了访问控制的工作原理。尝试在 Citrix Secure Hub 中启动 HDX 应用程序会触发对 Delivery Controller 的请求。然后,Delivery Controller 将请求转发到 Citrix Endpoint Management 服务器进行验证。验证的结果决定了设备的访问级别。例如,如果设备已越狱,则拒绝访问 HDX 应用程序。
导出和配置 Citrix Endpoint Management 服务器证书并将其上载到 StoreFront 商店
SmartAccess 使用签名和加密的标签在 Citrix Endpoint Management 和 StoreFront 服务器之间进行通信。要启用该通信,请将 Citrix Endpoint Management 服务器证书添加到 StoreFront 商店中。
从 Citrix Endpoint Management 导出 SAML 证书
-
在 Citrix Endpoint Management 控制台中,单击右上角的齿轮图标。此时将显示设置页面。单击证书。
-
找到 Citrix Endpoint Management 服务器的 SAML 证书。
-
确保将“导出私钥”设置为“关”。单击导出将该证书导出到您的下载目录。
-
在您的下载目录中找到该证书。证书为 PEM 格式。
将证书从 PEM 转换为 CER
-
打开 Microsoft 管理控制台(MMC),然后右键单击证书 > 所有任务> 导入。
-
证书导入向导显示时,单击下一步。
-
浏览到下载目录中的证书。
-
选择将所有的证书都放入下列存储,然后选择个人作为证书存储。单击下一步。
-
检查您的选择,然后单击完成。单击确定消除确认窗口。
-
在 MMC 中,右键单击证书,然后选择所有任务 > 导出。
-
证书导出向导显示时,单击下一步。
-
选择格式 DER 编码二进制 X.509 (.CER)。单击下一步。
-
浏览到该证书。键入证书名称,然后单击下一步。
-
保存该证书。
-
浏览到该证书,然后单击下一步。
-
检查您的选择,然后单击完成。单击确定消除确认窗口。
-
在您的下载目录中找到该证书。该证书采用 CER 格式。
将证书复制到 StoreFront 服务器
-
在 StoreFront 服务器上,创建一个名为 SmartCert 的文件夹。
-
将证书复制到 SmartCert 文件夹。
在 StoreFront 应用商店中配置证书
在 StoreFront 服务器上,运行以下 PowerShell 命令在商店中配置转换后的 Citrix Endpoint Management 服务器证书:
Grant-STFStorePnaSmartAccess –StoreService $store –CertificatePath “C:\xms\xms.cer” –ServerName “XMS server”
<!--NeedCopy-->
如果 StoreFront 应用商店上存在任何现有证书,请运行以下 PowerShell 命令以将其吊销:
Revoke-STFStorePnaSmartAccess –StoreService $store –All
<!--NeedCopy-->
否则,您可以在 StoreFront 服务器上运行以下任何 PowerShell 命令来吊销 StoreFront 商店中的现有证书:
- 按名称吊销:
$store = Get-STFStoreService –VirtualPath /Citrix/Store
Revoke-STFStorePnaSmartAccess –StoreService $store –ServerName “My XM Server"
<!--NeedCopy-->
- 按指纹吊销:
$store = Get-STFStoreService –VirtualPath /Citrix/Store
Revoke-STFStorePnaSmartAccess –StoreService $store –CertificateThumbprint "[Thumbprint]
<!--NeedCopy-->
- 按服务器对象吊销:
$store = Get-STFStoreService –VirtualPath /Citrix/Store
$access = Get-STFStorePnaSmartAccess –StoreService $store
Revoke-STFStorePnaSmartAccess –StoreService $store –SmartAccess $access.AccessConditionsTrusts[0]
<!--NeedCopy-->
为 Citrix Virtual Apps and Desktops 配置 SmartAccess 策略
要将所需的 SmartAccess 策略添加到用于提供 HDX 应用程序的交付组中,请执行以下操作:
-
从 Citrix Cloud 控制台打开 Citrix Studio。
-
在 Studio 导航窗格中选择交付组。
-
选择交付您想要控制访问权限的应用程序的组。然后在操作窗格中选择编辑交付组。
-
在访问策略页面上,选择通过 NetScaler Gateway 的连接和 Connection meeting any of the following(满足以下任一情况的连接)。
-
单击添加。
-
添加场为 XM 且过滤器为 XMCompliantDevice 的访问策略。
-
单击应用以应用您所做的任何更改并使窗口保持打开,或单击确定应用更改并关闭窗口。
在 Citrix Endpoint Management 中设置自动操作
您在交付组中为 HDX 应用程序设置的 SmartAccess 策略在某个设备不合规时拒绝访问该设备。使用自动化操作将设备标记为不合规。
-
在 Citrix Endpoint Management 控制台中, 单击“配置”>“操作”。此时将显示操作页面。
-
单击添加以添加操作。此时将显示操作信息页面。
-
在操作信息页面上,键入操作的名称和说明。
-
单击下一步。此时将显示操作详细信息页面。在以下示例中,创建了一个在设备的用户属性名称为 eng5 或 eng6 时立即将其标记为不合规的触发器。
-
在触发器列表中,选择设备属性、用户属性或已安装应用程序的名称。SmartAccess 不支持事件触发器。
-
在操作列表中:
- 选择 将设备标记为不合规。
- 选择是。
- 选择 True。
- 要将操作设置为满足触发条件时立即将设备标记为不合规,请将时间范围设置为 0。
-
选择一个或多个要应用此操作的 Citrix Endpoint Management 交付组。
-
检查操作的摘要。
-
单击下一步,然后单击保存。
当设备被标记为不合规时,HDX 应用程序将不再出现在 Citrix Secure Hub 商店中。用户不再订阅该应用程序。不会向设备发送任何通知,Citrix Secure Hub 商店中也没有任何内容表明 HDX 应用程序以前可用。
如果希望用户在设备被标记为不合规时接收通知,请创建一个通知,然后创建一项用于发送该通知的自动化操作。
此示例在设备被标记为不合规时创建并发送以下通知:“设备序列号或电话号码不再符合设备策略,HDX 应用程序被封锁。”
创建当设备被标记为不合规时用户看到的通知
-
在 Citrix Endpoint Management 控制台中,单击主机右上角的齿轮图标。此时将显示设置页面。
-
单击通知模板。此时将显示通知模板页面。
-
单击添加在通知模板页面上进行添加。
-
配置以下设置:
- 名称: HDX 应用程序阻止
- 说明: 设备不合规时代理通知
- 类型: 临时通知
- Citrix Secure Hub :已激活
-
消息: 设备
${firstnotnull(device.TEL_NUMBER,device.serialNumber)}不再遵循设备政策,HDX 应用程序已被阻止。
-
单击保存。
创建当设备标记为不合规时用于发送通知的操作
-
在 Citrix Endpoint Management 控制台中, 单击“配置”>“操作”。此时将显示操作页面。
-
单击添加以添加操作。此时将显示操作信息页面。
-
在操作信息页面上,输入操作的名称和说明:
- 名称: HDX 阻止了通知
- 说明: 由于设备不合规,HDX 阻止了通知
-
单击下一步。此时将显示操作详细信息页面。
-
在触发器列表中:
- 选择设备属性。
- 选择 不合规。
- 选择是。
- 选择 True。
-
在操作列表中,指定满足触发条件时发生的操作:
- 选择发送通知
- 选择 HDX Application Block, the notification you created(HDX 应用程序阻止,您创建的通知)
- 选择 0。将此值设置为 0 会导致在满足触发条件时发送通知。
-
选择一个或多个要应用此操作的 Citrix Endpoint Management 交付组。在此示例中,请选择 AllUsers。
-
检查操作的摘要。
-
单击下一步,然后单击保存。
有关设置自动化操作的详细信息,请参阅自动化操作。
用户如何重新获取对 HDX 应用程序的访问权限
用户可以在设备恢复合规后再次获取对 HDX 应用程序的访问权限:
-
在设备上,前往 Citrix Secure Hub 商店刷新商店中的应用程序。
-
转至该应用程序并轻按添加以添加该应用程序。
添加后,该应用程序将在“我的应用程序”中显示,旁边带有一个蓝点,因为这是新安装的应用程序。
共享
共享
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.