通过适用于 Workspace 的 Secure Private Access 限制浏览器

现在，您可以使用 Secure Private Access 解决方案在 Citrix Workspace 中配置 Web 和 SaaS 应用程序。配置应用程序后，最终用户可以使用具有增强安全性的 Citrix Enterprise Browser 打开 Web 和 SaaS 应用程序。

有关适用于 Workspace 对 Secure Private Access 的支持的详细信息，请参阅：

• Citrix Secure Private Access 文档中的开始使用 Citrix Secure Private Access。

• Citrix Secure Private Access 文档中的管理员指导的工作流程可轻松入门和设置。

限制最终用户对 Citrix Enterprise Browser 的访问权限

管理员可以使用 Secure Private Access 解决方案对最终用户的 Citrix Enterprise Browser 应用以下访问限制。

限制剪贴板访问

禁用应用程序与端点剪贴板之间的剪切、复制和粘贴操作。

有关详细信息，请参阅 Citrix Secure Private Access 产品文档中的剪贴板。

限制打印

禁用从应用程序内打印的功能。

（打印受限）

有关详细信息，请参阅 Citrix Secure Private Access 产品文档中的打印。

限制下载

禁用从 Web 和 SaaS 应用程序中下载或从浏览器复制文件的功能。

有关详细信息，请参阅 Citrix Secure Private Access 产品文档中的下载。

限制上载

禁用上载文件的功能。

注意：

限制上载功能可在以下设备上使用：

• Windows 105.1.1.27 及更高版本
• Mac 105.1.1.36 及更高版本

有关详细信息，请参阅 Citrix Secure Private Access 产品文档中的上载。

显示水印

叠加基于屏幕的水印，显示端点的用户名和公用 IP 地址。

注意：

限制导航选项不受支持。

有关详细信息，请参阅 Citrix Secure Private Access 产品文档中的水印。

App Protection 策略

限制键盘记录

保护用户免受键盘记录器的侵害。

有关详细信息，请参阅 Citrix Secure Private Access 产品文档中的键盘记录保护。

限制屏幕捕获

禁止为应用此策略的应用程序捕获屏幕截图或屏幕录制。只要在您的浏览器窗口中显示（而非最小化）受保护的选项卡，即应用此策略。

有关详细信息，请参阅 Citrix Secure Private Access 产品文档中的屏幕截图。

个人数据屏蔽

管理员可以使用个人数据屏蔽限制来掩盖各种类型的个人身份信息 (PII)，例如信用卡号、社会保险号和日期。即使在复制或打印时，屏蔽内容也能保持安全，从而确保对敏感信息的全面保护。

个人数据屏蔽限制可以选择完全或部分掩盖信息。“完全屏蔽”选项完全掩盖了信息。部分屏蔽选项可用于掩盖信息的相关区域。

在“部分屏蔽”选项中，管理员可以从信息的开头或结尾选择要屏蔽多少个字符。相应的文本框可用于输入字符数。

此外，作为管理员，您可以灵活地使用正则表达式根据要求定义自定义 PII 检测规则。此功能允许您检测和屏蔽 Web 页面中的特定信息。

注意：

此功能仅支持正则表达式 2 (RE2)。有关详细信息，请参阅 WhyRE2 和 RE2 语法。

启用此限制后，Citrix Enterprise Browser 会检测您选择屏蔽的 PII，然后对其进行屏蔽，并向最终用户显示通知。

配置

要了解有关配置此限制的更多信息，请参阅 Citrix Secure Private Access 文档中的个人数据屏蔽。

注意：

• 在定义 PII 检测规则时，我们建议您在部署正则表达式之前对其进行测试。
• PII 屏蔽不适用于 PDF 文件、图像和包含可编辑内容的 Web 页面。

有关详细信息，请参阅 Citrix Secure Private Access 产品文档中的个人数据屏蔽。

安全组的剪贴板限制

管理员可以通过 Global App Configuration Service (GACS) 或 Secure Private Access 或两者的组合来管理剪贴板限制。这最大限度地降低了未经授权的数据传输和数据泄露的风险，使其成为具有严格安全要求的组织的必备功能。

注意：

有关通过 Global App Configuration Service (GACS) 管理剪贴板限制的更多信息，请参阅剪贴板限制

通过 Secure Private Access 限制剪贴板的访问权限

当您通过 Secure Private Access 管理剪贴板限制时，该限制仅适用于为限制而添加的应用程序的 URL。

使用安全组限制剪贴板

要限制在 Citrix Secure Private Access 中配置并在 Citrix Enterprise Browser 中打开的特定于应用程序的剪贴板访问权限，管理员必须创建一个安全组并向其中添加特定的应用程序。这允许最终用户仅在该安全组内的应用程序之间复制和粘贴内容。例如，假设您创建了一个安全组，添加了 Wikipedia、Pinterest 和 Dribble 应用程序。因此，当用户从 Citrix Workspace 打开这些应用程序时，他们只能在这三个应用程序中复制和粘贴内容。

要创建安全组并添加任何指定的应用程序组，请参阅 Citrix Secure Private Access 产品文档中的创建安全组。

如果管理员需要启用安全组应用程序与其计算机上的其他本地应用程序或未发布应用程序之间的内容复制和粘贴，请参阅启用安全组与其他未发布应用程序之间的复制和粘贴。

注意：

如果管理员想对安全组中的特定应用程序施加更严格的限制，例如启用或禁用安全组中特定应用程序的复制和粘贴功能，则可以通过为该特定应用程序创建访问策略来对其进行管理。访问策略规则安全设置中有两个访问设置选项，即“复制”和“粘贴”。有关此功能的更多信息，请参阅 Citrix Secure Private Access 产品文档中的启用粒度级别的复制或粘贴。

启用安全组和其他未发布应用程序之间的复制和粘贴

管理员甚至可以允许最终用户在安全组中的应用程序和在 Enterprise Browser 中打开的其他未发布应用程序之间执行复制和粘贴功能，或者在系统中存在的其他本机应用程序之间执行复制和粘贴功能。要进行管理，您可以使用安全组中的高级剪贴板设置选项。您可以根据需要选择以下任一选项来管理设置。

允许将数据从安全组复制到未发布的域： 允许将数据从安全组中的应用程序复制到未在 Secure Private Access 中发布的 Web 站点。

允许将数据从安全组复制到本机应用程序： 允许将数据从安全组中的应用程序复制到计算机上的本地应用程序。

允许将数据从未发布的域复制到安全组： 允许将未通过 Secure Private Access 发布的应用程序中的数据复制到安全组中的网站。

允许将数据从本机应用程序操作系统复制到安全组： 允许将数据从计算机上的本地应用程序复制到安全组中的应用程序。

有关详细信息，请参阅 Citrix Secure Private Access 产品文档中的高级剪贴板设置。

注意：

• 当您通过 GACS 和 Secure Private Access 应用剪贴板限制时，通过 Secure Private Access 应用的限制优先于 GACS。
• 复制、粘贴和剪贴板等个人限制取代了安全组的剪贴板限制。

有关详细信息，请参阅 Citrix Secure Private Access 产品文档中的安全组剪贴板限制。

最终用户体验

在任何 Web 页面上启用剪贴板限制后，当用户尝试将任何内容粘贴到受限 Web 页面时，会显示以下通知。

启用剪贴板限制后，右键单击菜单列表中的剪切、复制和粘贴功能将显示为已禁用。或者，用户必须使用键盘快捷键或从更多 ( ⋮ ) > 查找和编辑中访问剪切、复制和粘贴选项。

按文件类型划分的上载限制

管理员可以根据 MIME（多用途 Internet 邮件扩展）类型限制文件上载。与允许您启用或禁用所有文件上载的上载策略不同，按文件类型限制策略允许您启用或禁用特定 MIME 类型的文件上载。

当最终用户尝试上载受限文件类型时，Citrix Enterprise Browser 会显示一条警告消息。

有关配置此限制的更多信息，请参阅 Citrix Secure Private Access 文档中的按文件类型划分的上载限制。

按文件类型划分的下载限制

管理员可以根据 MIME（多用途 Internet 邮件扩展）类型限制文件下载。与允许您启用或禁用所有文件下载的下载策略不同，按文件类型限制策略允许您启用或禁用特定 MIME 类型的文件下载。

有关配置此限制的更多信息，请参阅 Citrix Secure Private Access 文档中的按文件类型划分的下载限制。

注意：

当策略中同时启用上载和按文件类型划分的上载限制时，上载限制优先于另一个。同样，当策略中同时启用了下载和按文件类型划分的下载限制时，下载限制优先于另一个。

打印机管理

企业现在可以防止打印机密文档和未经授权的数据共享。管理员可以通过 Secure Private Access 配置此策略。管理员可以使用另存为 PDF 选项配置网络打印机、本地打印机和打印的行为。

在 Windows 中：

在 Mac 中：

管理员可以使用以下选项来控制最终用户对打印机的访问权限：

• 网络打印机： 网络打印机是一种可以连接到网络并由多个用户使用的打印机。
  • 已禁用： 禁止从网络中的任何网络打印机进行打印。
  • 已启用： 允许从所有网络打印机进行打印。如果指定了打印机主机名，则除了指定的打印机以外的所有其他网络打印机都将被阻止。

注意：

打印机由其主机名进行标识。

• 本地打印机： 本地打印机是指直接连接到个人计算机的设备。这种连接通常通过蓝牙、USB、并行端口或其他直接接口来实现。
  • 已禁用： 禁用从所有本地打印机进行打印。
  • 已启用： 允许从所有本地打印机进行打印。
• 使用“另存为 PDF”进行打印
  • 已禁用： 禁用用于以 PDF 格式保存内容的“另存为 PDF”选项。
  • 已启用： 启用用于以 PDF 格式保存内容的“另存为 PDF”选项。

注意：

• 如果管理员禁用了某些打印选项，这些选项对最终用户来说会显示为灰色。
• 如果在其设备上重命名了网络打印机，最终用户将无法使用该打印机。

有关详细信息，请参阅 Citrix Secure Private Access 产品文档中的打印机管理。