通过 Secure Private Access 限制 Workspace 中的浏览器访问

您现在可以使用 Secure Private Access 解决方案在 Citrix Workspace™ 中配置 Web 和 SaaS 应用程序。配置应用程序后，最终用户可以使用 Citrix Enterprise Browser™ 打开 Web 和 SaaS 应用程序，从而增强安全性。

有关 Secure Private Access 对 Workspace 支持的更多信息，请参阅：

• 在 Citrix Secure Private Access 文档中查阅 Citrix Secure Private Access 入门。

• 在 Citrix Secure Private Access 文档中查阅 管理员引导式工作流，实现轻松入门和设置。

限制最终用户对 Citrix Enterprise Browser 的访问

管理员可以使用 Secure Private Access 解决方案对 Citrix Enterprise Browser 应用以下访问限制，以供最终用户使用。

限制剪贴板访问

禁用应用程序与端点剪贴板之间的剪切、复制和粘贴操作。

有关更多信息，请参阅 Citrix Secure Private Access 产品文档中的剪贴板。

限制打印

禁用从应用程序内部进行打印的功能。

有关更多信息，请参阅 Citrix Secure Private Access 产品文档中的打印。

限制下载

禁用从 Web 和 SaaS 应用程序内部进行下载或从浏览器复制文件的功能。

有关更多信息，请参阅 Citrix Secure Private Access 产品文档中的下载。

限制上传

禁用上传文件的功能。

注意：

限制上传功能适用于：

• Windows 105.1.1.27 及更高版本
• Mac 105.1.1.36 及更高版本

有关更多信息，请参阅 Citrix Secure Private Access 产品文档中的上传。

显示水印

叠加一个屏幕水印，显示用户的用户名和端点的公共 IP 地址。

注意：

不支持限制导航选项。

有关更多信息，请参阅 Citrix Secure Private Access 产品文档中的水印。

应用程序保护策略

限制键盘记录

保护用户免受键盘记录器的侵害。

有关更多信息，请参阅 Citrix Secure Private Access 产品文档中的键盘记录保护。

限制屏幕捕获

禁用对此策略所应用的应用程序进行屏幕截图或屏幕录制。只要受保护的选项卡在浏览器窗口中可见（未最小化），此策略就会应用。

有关更多信息，请参阅 Citrix Secure Private Access 产品文档中的屏幕捕获。

个人数据遮蔽

管理员可以使用个人数据遮蔽限制来遮蔽各种类型的个人身份信息 (PII)，例如信用卡号、社会安全号和日期。即使在复制或打印时，遮蔽的内容也保持安全，从而确保敏感信息的全面保护。

个人数据遮蔽限制可以选择完全或部分遮蔽信息。完全遮蔽选项会完全遮蔽信息。部分遮蔽选项可用于遮蔽信息的相关区域。

在部分遮蔽选项中，管理员可以选择从信息的开头或结尾遮蔽多少个字符。相应的文本框可用于输入字符数。

此外，作为管理员，您可以灵活地根据您的要求使用正则表达式定义自定义 PII 检测规则。此功能允许您检测和遮蔽网页中的特定信息。

注意：

此功能仅支持正则表达式 2 (RE2)。有关更多信息，请参阅 WhyRE2 和 RE2 语法。

启用此限制后，Citrix Enterprise Browser 会检测您选择遮蔽的 PII，然后将其遮蔽并向最终用户显示通知。

配置

要了解有关配置此限制的更多信息，请参阅 Citrix Secure Private Access 文档中的个人数据遮蔽。

注意：

• 定义 PII 检测规则时，建议您在部署前测试正则表达式。
• PII 遮蔽不适用于 PDF 文件、图像和具有可编辑内容的网页。

有关更多信息，请参阅 Citrix Secure Private Access 产品文档中的个人数据遮蔽。

适用于安全组的剪贴板限制

管理员可以通过 Global App Configuration service (GACS) 或 Secure Private Access 或两者的组合来管理剪贴板限制。这最大限度地降低了未经授权的数据传输和数据泄露的风险，使其成为具有严格安全要求的组织的一项基本功能。

注意：

有关通过 Global App Configuration service (GACS) 管理剪贴板限制的更多信息，请参阅剪贴板限制。

通过 Secure Private Access 限制剪贴板访问

当您通过 Secure Private Access 管理剪贴板限制时，该限制仅适用于已添加限制的应用程序 URL。

使用安全组进行剪贴板限制

要限制对 Citrix Secure Private Access™ 中配置并在 Citrix Enterprise Browser 中打开的特定应用程序的剪贴板访问，管理员必须创建一个安全组并将这些特定应用程序添加到其中。这允许最终用户仅在该安全组中的应用程序之间复制和粘贴内容。例如，假设您创建一个安全组，其中添加了 Wikipedia、Pinterest 和 Dribble 应用程序。因此，当用户从 Citrix Workspace 打开这些应用程序时，他们只能在这三个应用程序之间复制和粘贴内容。

要创建安全组并添加任何指定组的应用程序，请参阅 Citrix Secure Private Access 产品文档中的创建安全组。

如果管理员需要在安全组的应用程序与其计算机上的其他本地应用程序或未发布的应用程序之间启用复制和粘贴内容，请参阅在安全组与其他未发布的应用程序之间启用复制和粘贴。

注意：

如果管理员希望对安全组中的特定应用程序施加更严格的限制，例如为安全组中的特定应用程序启用或禁用复制和粘贴功能，您可以通过为该特定应用程序创建访问策略来管理它。访问策略规则安全设置中有两个访问设置选项：复制和粘贴。有关此功能的更多信息，请参阅 Citrix Secure Private Access 产品文档中的启用精细级别复制或粘贴。

在安全组与其他未发布的应用程序之间启用复制和粘贴

管理员甚至可以允许最终用户在安全组中的应用程序与在 Enterprise Browser 中打开的其他未发布的应用程序之间，或与系统中存在的其他本机应用程序之间执行复制和粘贴功能。要管理此功能，您可以使用安全组中的高级剪贴板设置选项。您可以根据需要选择以下任何选项来管理设置。

允许从安全组复制数据到未发布的域： 允许将数据从安全组中的应用程序复制到未在 Secure Private Access 中发布的网站。

允许从安全组复制数据到本机应用程序： 允许将数据从安全组中的应用程序复制到计算机上的本地应用程序。

允许从未发布的域复制数据到安全组： 允许将数据从未通过 Secure Private Access 发布的应用程序复制到安全组中的网站。

允许从本机应用程序操作系统复制数据到安全组： 允许将数据从计算机上的本地应用程序复制到安全组中的应用程序。

有关更多信息，请参阅 Citrix Secure Private Access 产品文档中的高级剪贴板设置。

注意：

• 当通过 GACS 和 Secure Private Access 同时应用剪贴板限制时，通过 Secure Private Access 应用的限制优先于 GACS。
• 复制、粘贴和剪贴板等单独限制会取代适用于安全组的剪贴板限制。

有关更多信息，请参阅 Citrix Secure Private Access 产品文档中的适用于安全组的剪贴板限制。

最终用户体验

当在任何网页上启用剪贴板限制时，当用户尝试将任何内容粘贴到受限网页时，将显示以下通知。

启用剪贴板限制后，右键单击菜单列表中的剪切、复制和粘贴功能将显示为禁用。或者，用户必须使用键盘快捷键或从更多 ( ⋮ ) > 查找和编辑访问剪切、复制和粘贴选项。

按文件类型上传限制

管理员可以根据 MIME（多用途 Internet 邮件扩展）类型限制文件上传。与允许启用或禁用所有文件上传的上传策略不同，按文件类型上传限制策略允许您启用或禁用特定 MIME 类型的文件上传。

当最终用户尝试上传受限文件类型时，Citrix Enterprise Browser 会显示警告消息。

有关配置此限制的更多信息，请参阅 Citrix Secure Private Access 文档中的按文件类型上传限制。

按文件类型下载限制

管理员可以根据 MIME（多用途 Internet 邮件扩展）类型限制文件下载。与允许启用或禁用所有文件下载的下载策略不同，按文件类型下载限制策略允许您启用或禁用特定 MIME 类型的文件下载。

有关配置此限制的更多信息，请参阅 Citrix Secure Private Access 文档中的按文件类型下载限制。

注意：

当策略中同时启用上传和按文件类型上传限制时，上传限制优先于后者。同样，当策略中同时启用下载和按文件类型下载限制时，下载限制优先于后者。

打印机管理

企业现在可以防止机密文档的打印和未经授权的数据共享。管理员可以通过 Secure Private Access 配置此策略。管理员可以配置网络打印机、本地打印机以及使用另存为 PDF 选项进行打印的行为。

在 Windows 中：

在 Mac 中：

管理员可以使用以下选项来控制最终用户对打印机的访问：

• 网络打印机： 网络打印机是可以连接到网络并供多个用户使用的打印机。
  • 已禁用： 禁用从网络中任何网络打印机进行打印。
  • 已启用： 启用从所有网络打印机进行打印。如果指定了打印机主机名，则除指定打印机之外的所有其他网络打印机都将被阻止。

注意：

打印机通过其主机名进行标识。

• 本地打印机： 本地打印机是直接连接到单个计算机的设备。此连接通常通过蓝牙、USB、并行端口或其他直接接口实现。
  • 已禁用： 禁用从所有本地打印机进行打印。
  • 已启用： 启用从所有本地打印机进行打印。
• 使用另存为 PDF 进行打印
  • 已禁用： 禁用用于将内容保存为 PDF 格式的“另存为 PDF”选项。
  • 已启用： 启用用于将内容保存为 PDF 格式的“另存为 PDF”选项。

注意：

• 如果管理员已禁用某些打印选项，则这些选项将对最终用户显示为灰色。
• 如果网络打印机在其设备上被重命名，最终用户将无法使用该网络打印机。

有关更多信息，请参阅 Citrix Secure Private Access 产品文档中的打印机管理。