Device Posture
Citrix Device Posture 服务是一种基于云的解决方案,可帮助管理员强制执行终端设备必须满足的某些要求才能获得 Citrix DaaS (Virtual Apps and Desktops) 或 Citrix Secure Private Access 资源(SaaS、Web 应用程序、TCP 和 UDP 应用程序)的访问权限。通过检查设备的状态来建立设备信任对于实现基于零信任的访问至关重要。Device Posture 服务在允许最终用户登录之前检查终端设备的合规性(托管/BYOD 和安全状态),从而在您的网络中强制执行零信任原则。
必备条件
-
许可要求:Citrix Device Posture 服务的权利是 Citrix DaaS Premium、Citrix DaaS Premium Plus 和 Citrix Secure Private Access Advanced 许可证的一部分。拥有其他许可证的客户可以购买 Device Posture 服务授权作为附加组件。对于附加组件,客户必须购买独立的自适应身份验证 SKU,但不一定要部署它才能使用 Device Posture 服务。
-
支持的平台:
- Windows(10 和 11)
- macOS 13 Ventura
- macOS 12 Monterey
- iOS
- IGEL
注意:
-
默认情况下,在不支持的平台上运行的设备被标记为不合规。您可以从“Device Posture”页面上的“设置”选项卡将分类从“不合规”更改为已拒绝登录。
-
默认情况下,在支持的平台上运行但不匹配任何预定义的 Device Posture 策略的设备被标记为不合规。您可以从“Device Posture”页面上的“设置”选项卡将分类从“不合规”更改为已拒绝登录。
-
为了在 Device Posture 服务中支持 iOS,EPA 客户端是作为适用于 iOS 的 Citrix Workspace 应用程序的一部分内置的。有关版本的详细信息,请参阅适用于 iOS 的 Citrix Workspace 应用程序。
-
为了在Device Posture服务上支持 IGEL 操作系统,EPA 客户端是作为 IGEL 操作系统的一部分内置的。如需在 IGEL 设备上安装 EPA 客户端,请联系 IGEL 支持团队。
-
Citrix Device Posture 客户端(EPA 客户端):一种轻量级应用程序,必须安装在端点设备上才能运行 Device Posture 扫描。此应用程序不需要本地管理员权限即可在端点上下载和安装。
注意:
如果您使用设备证书检查,则必须安装具有管理权限的 EPA 客户端。
-
支持的浏览器:Chrome、Edge 和 Firefox。
-
防火墙配置:要允许 Device Posture 服务更新终端设备上的 EPA 客户端,必须将防火墙/代理配置为允许以下域:
https://swa-ui-cdn-endpoint-prod.azureedge.nethttps://productioniconstorage.blob.core.windows.net- *.netscalergateway.net
- *.nssvc.net
- *.cloud.com
- *.pendo.io
- *.citrixworkspacesapi.net
预览版功能
- 使用 IGEL 提供的Device Posture服务。使用 https://podio.com/webforms/29062020/2362942 注册预览版。
- iOS Device Posture服务。使用 https://podio.com/webforms/28888524/2338366 注册预览版。
- 地理位置检查和网络位置检查。使用 https://podio.com/webforms/29051759/2362665 注册预览版。
- CrowdStrike 与 Device Posture 服务集成。有关详细信息,请参阅 CrowdStrike 与 Device Posture 集成 - 预览版。
工作原理
管理员可以创建 Device Posture 策略来检查端点设备的状态并确定终端设备是被允许还是被拒绝登录。允许登录的设备被进一步归类为合规或不合规。用户可以从浏览器或 Citrix Workspace 应用程序登录。
以下是用于将设备归类为合规、不合规和拒绝登录的高级条件。
- 合规设备 — 符合预先配置的策略要求且允许登录公司网络的设备,同时可以完全或不受限制地访问 Citrix Secure Private Access 资源或 Citrix DaaS 资源。
- 不合规设备 - 符合预先配置的策略要求且允许通过部分或限制访问 Citrix Secure Private Access 资源或 Citrix DaaS 资源来登录公司网络的设备。
- 拒绝登录: - 不符合策略要求的设备将被拒绝登录。
将设备分为合规、不合规和拒绝登录的设备将传递给 Citrix DaaS 和 Citrix Secure Private Access 服务,后者反过来使用设备分类来提供智能访问功能。
注意:
- 必须专门为每个平台配置 Device Posture 策略。例如,对于 macOS,管理员可以允许访问具有特定操作系统版本的设备。同样,对于 Windows,管理员可以配置策略以包括特定的授权文件、注册表设置等。
- Device Posture 扫描仅在身份验证前/登录之前进行。
- 有关“合规”和“不合规”的定义,请参阅 定义。
Device Posture 支持的扫描
Citrix Device Posture 服务支持以下扫描:
| Windows | macOS | iOS | IGEL |
|---|---|---|---|
| Citrix Workspace 应用程序版本 | Citrix Workspace 应用程序版本 | Citrix Workspace 应用程序版本 | - |
| 操作系统版本 | 操作系统版本 | 操作系统版本 | - |
| 文件(存在、文件名和路径) | 文件(存在、文件名和路径) | - | 文件(存在、文件名和路径) |
| 地理位置 | 地理位置 | - | - |
| 网络位置 | 网络位置 | - | - |
| MAC 地址 | MAC 地址 | - | - |
| 进程(存在) | 进程(存在) | - | - |
| Microsoft Endpoint Manager | Microsoft Endpoint Manager | - | - |
| CrowdStrike | CrowdStrike | - | - |
| 设备证书 | 设备证书 | - | - |
| 浏览器 | 浏览器 | - | - |
| 防病毒 | 防病毒 | - | - |
| 非数字注册表(32 位) | - | - | - |
| 非数字注册表(64 位) | - | - | - |
| 数字注册表(32 位) | - | - | - |
| 数字注册表(64 位) | - | - | - |
| Windows 更新安装类型 | - | - | - |
| Windows 更新安装上次更新检查 | - | - | - |
注意:
- 为了在 Device Posture 服务中支持 iOS,EPA 客户端是作为适用于 iOS 的 Citrix Workspace 应用程序的一部分内置的。有关版本的详细信息,请参阅适用于 iOS 的 Citrix Workspace 应用程序。
与 Device Posture 的第三方集成
除了 Device Posture 服务提供的本机扫描外,该服务还可以与 Windows 和 macOS 上的以下第三方解决方案集成。
- Microsoft Intune。有关详细信息,请参阅 Microsoft Intune 与 Device Posture 集成。
- CrowdStrike。有关详细信息,请参阅 CrowdStrike 与 Device Posture 集成 - 预览版。
配置 Device Posture
Device Posture 是策略和规则的组合,设备必须满足这些策略和规则才能访问资源。每项策略都附有一项操作,即合规、不合规和拒绝登录。此外,每项策略都与优先级相关联,如果策略评估结果为真并采取相关操作,则策略评估将停止。
- 登录 Citrix Cloud,然后从汉堡菜单中选择“身份和访问管理”。
-
单击“Device Posture”选项卡,然后单击“管理”。
注意:
- Secure Private Access 服务客户可以直接在管理员用户界面左侧导航栏中单击“Device Posture”。
- 对于首次使用的用户,Device Posture 登录页面会提示您创建 Device Posture 策略。必须为每个平台单独配置 Device Posture 策略。创建 Device Posture 策略后,它将在相应的平台下列出。
- 策略只有在启用 Device Posture 后才会生效。要启用 Device Posture,请将右上角的“Device Posture 已禁用”开关滑至“开”。
- 单击“创建设备策略”。
-
在 平台中,选择要应用策略的平台。无论您在“Device Posture”主页上选择了哪个选项卡,您都可以将平台从 Windows 更改为 macOS,反之亦然。
-
在策略规则中,选择要作为 Device Posture 的一部分执行的检查,然后选择必须匹配的条件。
注意:
- 要检查设备证书,请确保设备上存在颁发者证书。否则,您可以在创建 Device Posture 策略时导入设备证书,或者从 Device Posture 主页的设置上载证书。有关详细信息,请参阅在创建设备证书策略时导入设备证书和上载设备证书。
- 要检查设备证书,必须使用管理权限安装终端设备上的 EPA 客户端。
- 使用 Device Posture 服务进行的设备证书检查不支持证书吊销检查。
-
单击“添加其他规则”以创建多个规则。AND 条件应用于多个规则。
-
在基于您配置的条件的 策略结果 中,选择设备扫描必须对用户设备进行分类的类型。
- 合规
- 不合规
- 访问被拒绝
- 输入策略的名称。
-
在 优先级中,输入必须评估策略的顺序。
- 可以输入 1 到 100 之间的值。建议您配置优先级更高的拒绝策略,然后是不合规,最后是合规。
- 值较低的优先级优先级最高。
- 只有已启用的策略才会根据优先级进行评估。
-
单击创建。
重要提示:
您必须将“创建时启用”切换开关设置为“开”,Device Posture策略才能生效。在启用策略之前,建议您确保策略配置正确,并在测试设置中执行这些任务。
编辑Device Posture策略
配置的Device Posture策略列在“设备扫描”页面的特定平台下。您可以从此页面搜索要编辑的策略。您也可以从此页面启用、禁用或删除策略。
使用Device Posture配置上下文访问(智能接入)
Device Posture 验证后,允许设备登录并归类为合规或不合规。此信息可用作 Citrix DaaS 服务和 Citrix Secure Private Access 服务的标签,用于根据 Device Posture 提供上下文访问权限。因此,必须将 Citrix DaaS 和 Citrix Secure Private Access 配置为使用 Device Posture 标签强制执行访问控制。
使用新的 Studio 用户界面使用设备状态进行 Citrix DaaS 配置(预览版)
注册预览。
- 登录 Citrix Cloud。
- 在 DaaS 磁贴上,单击“管理”。
- 从左侧菜单转到 交付组 部分。
- 选择要根据Device Posture配置访问控制的交付组,然后单击“编辑”。
- 在“编辑交付组”页面中,单击“访问策略”。
-
单击 Citrix Gateway 连接行上的编辑图标以编辑网关连接策略。
- 在“编辑策略”页面上,选择符合以下条件的连接。
- 选择任意匹配,然后单击添加条件。
- 为您在配置网络位置中配置的所有位置标签添加标准:在过滤器中键入 Workspace,在值中键入 COMPLIANT 或 NON-COMPLIANT。
注意:
设备分类标签的输入方式必须与之前捕获的语法相同,即全部使用大写(COMPLIANT 和 NON-COMPLIANT)。否则,Device Posture策略将无法按预期运行。
除设备分类标签外,Device Posture服务还会返回与设备关联的操作系统标签和访问策略标签。操作系统标签和访问策略标签只能以大写形式输入。
- DEVICE_TYPE_WINDOWS
- DEVICE_TYPE_MAC
- 确切的策略名称(大写)
带有Device Posture的 Citrix Secure Private Access 配置
- 登录 Citrix Cloud。
- 在 Secure Private Access 图块上,单击管理。
- 在左侧导航栏中单击“访问策略”,然后单击“创建策略”。
- 输入策略名称和策略描述。
- 在 应用程序中,选择必须强制执行此策略的应用程序或一组应用程序。
- 单击“创建规则”为策略创建规则。
- 输入规则名称和规则的简要描述,然后单击“下一步”。
- 选择用户的条件。用户条件是向用户授予应用程序访问权限时必须满足的强制性条件。
- 单击 + 添加Device Posture条件。
- 从下拉菜单中选择 Device Posture 检查和逻辑表达式。
-
在自定义标签中输入以下值之一:
- 合规 - 适用于合规设备
- 不合规 - 适用于不兼容的设备
- 单击下一步。
-
根据条件评估选择必须应用的操作,然后单击“下一步”。
摘要页面显示策略的详细信息。
-
您可以验证详细信息,然后单击“完成”。
有关创建访问策略的更多详细信息,请参阅 配置具有多个规则的访问策略。
注意:
任何未在访问策略中标记为合规或不合规的 Secure Private Access 应用程序都被视为默认应用程序,无论Device Posture如何,都可以在所有端点上进行访问。
最终用户流程
设置Device Posture策略并启用Device Posture后,以下是基于最终用户登录 Citrix Workspace 的方式的最终用户流程。
最终用户通过浏览器访问流量
注意:
macOS 客户机和 Chrome 浏览器作为示例,仅供参考。屏幕和通知因您用于访问 Citrix Workspace URL 的客户端和浏览器而异。
-
当最终用户通过浏览器登录 Citrix Workspace URL
https://<your-workspace-URL时,会提示最终用户运行 Citrix EndPointAnalysis 应用程序。
-
当最终用户单击打开 Citrix End Point Analysis 时,Device Posture客户端会根据Device Posture策略要求运行并扫描端点参数。
-
如果端点设备上未安装最新的Device Posture客户端,则用户将被重定向到显示“再次检查”和“下载客户端”选项的页面。用户必须单击“下载客户端”。
-
如果端点上已经安装了最新的Device Posture客户端,则用户必须再次单击“检查”。
通过 Citrix Workspace 应用程序进行的最终用户流程
- 当最终用户通过 Citrix Workspace 应用程序登录 Citrix Workspace URL
https://your-workspace-url时,安装在终端上的Device Posture客户端会根据Device Posture策略要求运行并扫描端点参数。 - 如果端点设备上未安装最新的Device Posture客户端,则用户将被重定向到显示“再次检查”和“下载客户端”选项的页面。用户必须单击“下载客户端”。
- 如果端点上已经安装了最新的Device Posture客户端,则用户必须再次单击“检查”。
最终用户流程 - Device Posture 结果
根据 Device Posture 策略条件,可能会出现三种可能性。
如果终端符合策略条件,则该设备被归类为;
- 合规 -允许最终用户使用 Secure Private Access 或 Citrix DaaS 资源不受限制的访问权限登录。
-
不合规 -允许最终用户以 Secure Private Access 或 Citrix DaaS 资源的受限访问权限登录。
如果终端满足策略条件,使该设备被归类为拒绝访问,则会出现“访问被拒绝”消息。
针对访问被拒绝场景的自定义消息(预览版)
管理员可以选择自定义访问被拒绝时显示在终端设备上的消息。
此功能正在预览中。使用 https://podio.com/webforms/29219975/2385710 注册预览版。
执行以下步骤以添加自定义消息:
- 导航到设备状态 > 设备扫描页面。
- 单击设置。
- 单击编辑,然后在消息框中输入访问被拒绝情况下必须显示的消息。最多可以输入 256 个字符。
-
单击保存时启用自定义消息以强制显示自定义消息的选项。 如果未选中此复选框,则会创建自定义消息,但不会在访问被拒绝的情况下显示在设备上。
或者,您可以启用设置页面上的自定义消息切换开关,以便在设备上显示消息。
- 单击“保存”。
每当终端设备访问被拒绝时,就会显示您输入的消息。
监视 Device Posture 事件并对其进行故障排除
可以在两个位置查看 Device Posture 事件日志:
- Citrix DaaS Monitor
- Citrix Secure Private Access 控制面板
Citrix DaaS Monitor 上的 Device Posture 事件
执行以下步骤查看 Device Posture 服务的事件日志。
- 从最终用户设备复制失败或访问被拒绝的会话的交易 ID。
- 登录 Citrix Cloud。
- 在 DaaS 磁贴上,单击“管理”,然后单击“监视”选项卡。
- 在 Monitor UI 中中,搜索 32 位事务 ID,然后单击“详细信息”。
Secure Private Access 控制面板上的 Device Posture 事件
执行以下步骤查看 Device Posture 服务的事件日志。
- 登录 Citrix Cloud。
- 在 Secure Private Access 图块上,单击管理。
- 从左侧菜单转到控制板部分。
-
单击“诊断日志”图表中的“查看更多”链接以查看Device Posture事件日志。
-
管理员可以根据诊断日志图表中的交易 ID 筛选日志。每当访问被拒绝时,也会向最终用户显示交易 ID。
-
如果出现错误或扫描失败,Device Posture服务会显示交易 ID。此交易 ID 可在 Secure Private Access 服务控制面板中找到。如果日志无法帮助解决问题,则最终用户可以与 Citrix 支持部门共享事务 ID 以解决问题。
-
Windows 客户端日志可以在以下网址找到:
- %localappdata%\Citrix\EPA\dpaCitrix.txt
- %localappdata%\Citrix\EPA\epalib.txt
-
macOS 客户端日志可以在以下网址找到:
- ~/Library/Application Support/Citrix/EPAPlugin/EpaCloud.log
- ~/ 库/应用程序 Support/Citrix/EPAPlugin/epaplugin.log
Device Posture 错误日志
可以在 Citrix Monitor 和 Secure Private Access 控制面板上查看以下与 Device Posture 服务相关的日志。对于所有这些日志,建议您联系 Citrix 支持部门寻求解决方案。
- 读取配置的策略失败
- 无法评估端点扫描
- 无法处理策略/表达式
- 保存终端节点详细信息失败
- 无法处理来自端点的扫描结果
已知限制
- Device Posture 服务不支持自定义 Workspace URL。
- 开启或关闭 Device Posture 切换按钮后,启用或禁用 Device Posture 功能所花费的时间可能需要几分钟到一个小时。
- Device Posture 配置的任何更改都不会立即生效。更改可能需要大约 10 分钟才能生效。
- 如果您在 Citrix Workspace 中启用了服务连续性选项,并且 Device Posture 服务已关闭,则用户可能无法登录 Workspace。这是因为 Citrix Workspace 根据用户设备上的本地缓存枚举应用程序和桌面。
- 如果您在 Citrix Workspace 上配置了长期有效的令牌和密码,则Device Posture扫描不适用于此配置。只有在用户登录 Citrix Workspace 时才会扫描设备。
- 每个平台最多可以有 10 个策略,每个策略最多可以有 10 个规则。
- Device Posture服务不支持基于角色的访问。
服务质量
- 性能:在理想条件下,Device Posture 服务会在登录期间额外增加 2 秒的延迟。这种延迟可能会增加,具体取决于其他配置,例如Microsoft Intune等第三方集成。
- 灵活性:Device Posture服务具有很强的弹性,具有多个 PoP,可确保没有停机。
定义
与 Device Posture 服务相关的合规和不合规术语定义如下。
- 合规设备 — 符合预先配置的策略要求且允许登录公司网络的设备,同时可以完全或不受限制地访问 Citrix Secure Private Access 资源或 Citrix DaaS 资源。
- 不合规设备 - 符合预先配置的策略要求且允许通过部分或限制访问 Citrix Secure Private Access 资源或 Citrix DaaS 资源来登录公司网络的设备。