设备姿势

Citrix Device Posture 服务是一种基于云的解决方案，可帮助管理员强制执行终端设备必须满足的某些要求才能获得 Citrix DaaS (Virtual Apps and Desktops) 或 Citrix Secure Private Access 资源（SaaS、Web 应用程序、TCP 和 UDP 应用程序）的访问权限。通过检查设备的状态来建立设备信任对于实现基于零信任的访问至关重要。设备姿态服务在允许最终用户登录之前检查终端设备的合规性（托管/BYOD 和安全状态），从而在您的网络中执行零信任原则。

必备条件

• 许可要求：Citrix Device Posture 服务的权利是 Citrix 自适应身份验证产品的一部分，该产品与 Citrix DaaS Premium、Citrix DaaS Premium Plus 和 Citrix Secure Private Access Advanced 许可证捆绑在一起。拥有其他许可证的客户可以购买自适应身份验证作为附加组件。

• 支持的平台：

  • Windows（10 和 11）
  • macOS 13 Ventura
  • macOS 12 Monterey

  注意：

  • 默认情况下，在不支持的平台上运行的设备被标记为不合规。您可以从“设备姿势”页面上的“设置”选项卡将分类从“不合规”更改为已拒绝登录。

  • 默认情况下，在支持的平台上运行但不匹配任何预定义的设备姿势策略的设备被标记为不合规。您可以从“设备姿势”页面上的“设置”选项卡将分类从“不合规”更改为已拒绝登录。

• Citrix Device Posture 客户端（EPA 客户端）：一种轻量级应用程序，必须安装在端点设备上才能运行设备姿势扫描。此应用程序不需要本地管理员权限即可在端点上下载和安装。

• 支持的浏览器：Chrome、Edge 和 Firefox。

• Citrix Workspace 应用程序版本

  • Windows — 2303 及更高版本
  • macOS — 2304 及更高版本

工作原理

管理员可以创建设备姿势策略来检查端点设备的状态并确定终端设备是被允许还是被拒绝登录。允许登录的设备进一步分类为合规或不合规。用户可以从浏览器或 Citrix Workspace 应用程序登录。

以下是用于将设备归类为合规、不合规和拒绝登录的高级条件。

• 合规设备 - 符合预先配置的策略要求并允许以完全或不受限制地访问 Citrix Secure Private Access 资源或 Citrix DaaS 资源的方式登录公司网络的设备。
• 不合规设备 - 符合预先配置的策略要求且允许以部分或受限访问 Citrix Secure Private Access 资源或 Citrix DaaS 资源的方式登录公司网络的设备。
• 拒绝登录： - 不符合政策要求的设备将被拒绝登录。

将设备分类为合规、不合规和拒绝登录会传递给 Citrix DaaS 和 Citrix Secure Private Access 服务，后者又使用设备分类来提供智能访问功能。

注意：

• 必须专门为每个平台配置设备状况策略。例如，对于 macOS，管理员可以允许访问具有特定操作系统版本的设备。同样，对于 Windows，管理员可以配置策略以包括特定的授权文件、注册表设置等。
• 设备专科光扫描仅在身份验证前/登录之前完成。
• 有关“合规”和“不合规”的定义，请参阅 定义。

设备状况支持的扫描

Citrix Device Posture 服务支持以下扫描：

Windows	macOS
Citrix Workspace 应用程序版本	Citrix Workspace 应用程序版本
文件 -（存在、文件名和路径）	文件 -（存在、文件名和路径）
MAC 地址	MAC 地址
操作系统版本	操作系统版本
进程（存在）	进程（存在）
Microsoft Endpoint Manager	Microsoft Endpoint Manager
域名	-
非数字注册表（32 位）	-
非数字注册表（64 位）	-
数字注册表（32 位）	-
数字注册表（64 位）	-
Windows 更新安装类型	-
Windows 更新安装上次更新检查	-

与设备姿势的第三方集成

除了 Device Posture 服务提供的本机扫描外，该服务还可以与其他第三方解决方案集成。Device Posture 与 Windows 和 macOS 上的 Microsoft Endpoint Manager (MEM) 集成在一起。有关 MEM 集成配置的详细信息，请参阅 Microsoft Endpoint Manager 与设备姿势集成 - 预览版。

配置设备姿势

设备姿势是策略和规则的组合，设备必须满足这些策略和规则才能访问资源。每项策略都附有一项操作，即合规、不合规和拒绝登录。此外，每项策略都与优先级相关联，如果策略评估结果为真并采取相关操作，则策略评估将停止。

1. 登录 Citrix Cloud，然后从汉堡菜单中选择“身份和访问管理”。

2. 单击“Device Posture”选项卡，然后单击“管理”。

   

   注意：

   • Secure Private Access 服务客户可以直接在管理员用户界面左侧导航栏中单击“设备姿势”。
   • 对于首次使用的用户，设备状况登录页面会提示您创建设备状况策略。必须为每个平台单独配置设备状况策略。创建设备状况策略后，它将在相应的平台下列出。
   • 策略只有在启用设备状况后才会生效。要启用设备姿势，请将右上角的“设备姿势已禁用”开关滑至“开”。

   

3. 单击“创建设备策略”。

4. 在 平台中，选择要应用策略的平台。无论您在“设备姿势”主页上选择了哪个选项卡，您都可以将平台从 Windows 更改为 macOS，反之亦然。

5. 在 选择规则中，选择要作为设备姿势一部分执行的检查，然后选择必须匹配的条件。

6. 单击“添加其他规则”以创建多个规则。AND 条件应用于多个规则。

   

7. 在基于您配置的条件的 策略结果 中，选择设备扫描必须对用户设备进行分类的类型。

   • 合规
   • 不合规
   • 访问被拒绝
8. 输入策略的名称。

9. 在 优先级中，输入必须评估策略的顺序。

   • 可以输入 1 到 100 之间的值。建议您配置优先级更高的拒绝策略，然后配置不合规，最后配置合规。
   • 值越低的优先级优先级越高。
   • 只有已启用的策略才会根据优先级进行评估。

10. 单击创建。

    

重要：

您必须将“创建时启用”切换开关设置为“开”，设备姿势策略才能生效。在启用策略之前，建议您确保策略配置正确，并在测试设置中执行这些任务。

编辑设备状况策略

配置的设备姿势策略列在“设备扫描”页面的特定平台下。您可以从此页面搜索要编辑的政策。您也可以从此页面启用、禁用或删除策略。

使用设备姿势配置上下文访问（智能接入）

允许设备在设备姿势验证后登录后，该设备可以是合规的，也可以是不合规的。此信息可作为 Citrix DaaS 服务和 Citrix Secure Private Access 服务的标签提供，用于根据设备姿势提供上下文访问。因此，必须将 Citrix DaaS 和 Citrix Secure Private Access 服务配置为使用设备姿势标签强制执行访问控制。

带有设备姿势的 Citrix DaaS 配置

1. 登录 Citrix Cloud。
2. 在 DaaS 图块上，单击“管理”。
3. 从左侧菜单转到 交付组 部分。
4. 选择要根据设备姿势配置访问控制的交付组，然后单击“编辑”。
5. 在“编辑交付组”页面中，单击“访问策略”。
6. 在“访问策略”页面上单击“添加”，输入场中的 Workspace 值。

7. 在筛选器中，输入以下值之一。

   • 合规 - 适用于合规设备

   • 不合规 -适用于不合规的设备

     注意：

     设备分类标签的输入方式必须与之前捕获的语法相同，即初始上限（合规和不合规）。否则，设备姿势策略将无法按预期运行。

8. 单击“保存”。

注意：

在 DaaS 访问策略中未标记为合规或不合规的任何 DaaS 交付组均被视为默认交付组，无论设备姿势如何，均可在所有端点上进行访问。

带有设备姿势的 Citrix Secure Private Access 配置

1. 登录 Citrix Cloud。
2. 在“Secure Private Access”磁贴上，单击“管理”。
3. 在左侧导航栏中单击“访问策略”，然后单击“创建策略”。
4. 添加要对其强制执行访问策略的应用程序。
5. 定义要对其强制执行访问策略的用户/用户组，然后单击“添加条件”。
6. 从下拉菜单中选择 设备姿势检查 和逻辑表达式。

7. 在自定义标签中输入以下值之一：

   • 合规 - 适用于合规设备
   • 不合规 -适用于不合规的设备

   注意：

   设备分类标签的输入方式必须与之前捕获的语法相同，即初始上限（合规 和 不合规）。否则，设备姿势策略将无法按预期运行。

8. 在“然后执行以下操作”中，选择以下选项之一：

   • 允许访问（已授予完全访问权限）
   • 允许有限制的访问（有安全限制的应用程序访问）
   • 访问被拒绝
9. 输入策略的名称。
10. 单击“保存”。

注意：

任何未在访问策略中标记为合规或不合规的 Secure Private Access 应用程序都被视为默认应用程序，无论设备姿势如何，均可在所有端点上访问。

最终用户流程

设置设备姿势策略并启用设备姿势后，以下是基于最终用户登录 Citrix Workspace 的方式的最终用户流程。

最终用户通过浏览器访问流量

注意：

出于说明目的，使用 macOS 客户端和 Chrome 浏览器作为示例。屏幕和通知因您用于访问 Citrix Workspace URL 的客户端和浏览器而异。

• 当最终用户通过浏览器登录 Citrix Workspace URL https://<your-workspace-URL 时，会提示最终用户运行 Citrix EndPointAnalysis 应用程序。

  

• 当最终用户单击打开 Citrix End Point Analysis 时，设备姿势客户端会根据设备姿势策略要求运行并扫描端点参数。

• 如果端点上未安装最新的设备姿势客户端，用户将被重定向到显示选项“再次检查”和“下载客户端”的页面。用户必须单击“下载客户端”。

• 如果端点上已经安装了最新的设备姿势客户端，则用户必须再次单击“检查”。

  

通过 Citrix Workspace 应用程序进行的最终用户流程

• 当最终用户通过 Citrix Workspace 应用程序登录 Citrix Workspace URL https://your-workspace-url 时，安装在终端上的设备姿势客户端会根据设备姿势策略要求运行并扫描端点参数。
• 如果端点上未安装最新的设备姿势客户端，用户将被重定向到显示选项“再次检查”和“下载客户端”的页面。用户必须单击“下载客户端”。
• 如果端点上已经安装了最新的设备姿势客户端，则用户必须再次单击“检查”。

最终用户流程-设备姿势结果

根据设备姿势策略条件，可能会出现三种可能性。

如果终端符合政策条件，则该设备被归类为；

• 合规 -允许最终用户使用 Secure Private Access 或 Citrix DaaS 资源不受限制的访问权限登录。

• 不合规 -允许最终用户以 Secure Private Access 或 Citrix DaaS 资源的受限访问权限登录。

  

如果终端满足策略条件，使该设备被归类为拒绝访问，则会出现“访问被拒绝”消息。

设备姿势日志

在当前版本中，可以在 Secure Private Access 控制面板上查看设备姿势事件日志。执行以下步骤查看 Device Posture 服务的事件日志。

1. 登录 Citrix Cloud。
2. 在“Secure Private Access”磁贴上，单击“管理”，
3. 从左侧菜单转到控制板部分。
4. 单击“诊断日志”图表中的“查看更多”链接以查看设备姿势事件日志。

• 管理员可以根据诊断日志图表中的交易 ID 筛选日志。每当访问被拒绝时，也会向最终用户显示交易 ID。

  

• 如果出现错误或扫描失败，Device Posture 服务会显示交易 ID。此交易 ID 可在 Secure Private Access 服务控制面板中找到。如果日志无法帮助解决问题，则最终用户可以与 Citrix 支持部门共享事务 ID 以解决问题。

  

• Windows 客户端日志可以在以下网址找到：

  • %localappdata%\Citrix\EPA\dpaCitrix.txt
  • %localappdata%\Citrix\EPA\epalib.txt

• macOS 客户端日志可以在以下网址找到：

  • ~/Library/Application Support/Citrix/EPAPlugin/EpaCloud.log
  • ~/ 库/应用程序 Support/Citrix/EPAPlugin/epaplugin.log

已知限制

• Device Posture 服务不支持自定义 Workspace URL。
• 打开或关闭设备姿势切换按钮后，启用或禁用设备姿势功能所需的时间可能需要几分钟到一小时。
• Device Posture 配置的任何更改都不会立即生效。更改可能需要大约 10 分钟才能生效。
• 如果您在 Citrix Workspace 中启用了服务连续性选项，并且 Device Posture 服务已关闭，则用户可能无法登录 Workspace。这是因为 Citrix Workspace 根据用户设备上的本地缓存枚举应用程序和桌面。
• 如果您在 Citrix Workspace 上配置了长效令牌和密码，则设备状况扫描不适用于此配置。只有在用户登录 Citrix Workspace 时才会扫描设备。
• 每个平台最多可以有 10 个策略，每个策略最多可以有 10 个规则。
• Device Posture 服务不支持基于角色的访问。

服务质量

• 性能：在理想条件下，Device Posture 服务会在登录期间额外增加 2 秒的延迟。此延迟可能会增加，具体取决于其他配置，例如 Microsoft Endpoint Manager (MEM) 等第三方集成。与 MEM 的设备姿势集成处于预览状态。
• 弹性：Device Posture 服务具有很高的弹性，具有多个 POP，可确保不会出现停机。

定义

与 Device Posture 服务相关的合规和不合规术语定义如下。

• 合规设备 - 符合预先配置的策略要求并允许以完全或不受限制地访问 Citrix Secure Private Access 资源或 Citrix DaaS 资源的方式登录公司网络的设备。
• 不合规设备 - 符合预先配置的策略要求且允许以部分或受限访问 Citrix Secure Private Access 资源或 Citrix DaaS 资源的方式登录公司网络的设备。