包含多个规则的访问策略
重要:
在单个策略功能中配置多个规则位于“预览”下。如果您在实例中看不到此功能,那是因为该功能将分阶段跨地理区域面向 Citrix 客户推出。
现在,您可以创建多个访问规则,并在单个策略中为不同的用户或用户组配置不同的访问条件。这些规则可以分别应用于 HTTP/HTTPS 和 TCP/UDP 应用程序,全部应用于单个策略。
Secure Private Access 中的访问策略允许您根据用户或用户设备的环境启用或禁用对应用程序的访问。此外,您可以通过添加以下安全限制来启用对应用程序的受限访问:
- 限制剪贴板访问
- 限制打印
- 限制下载
- 限制上载
- 显示水印
- 限制密钥记录
- 限制屏幕截图
有关这些限制的更多信息,请参阅可用的访问限制选项。
使用多个规则配置访问策略
在配置访问策略之前,请确保您已完成以下任务。
- 在“Secure Private Access 服务”磁贴上,单击“管理”。
-
在导航窗格上,单击“访问策略”,然后单击“创建策略”。
对于首次使用的用户, 访问策略 登录页面不显示任何策略。创建策略后,可以看到此处列出的策略。
- 输入策略名称和策略描述。
- 在 应用程序中,选择必须强制执行此政策的应用程序或一组应用程序。
-
单击“创建规则”为策略创建规则。
-
输入规则名称和规则的简要描述,然后单击“下一步”。
-
选择用户的条件。** 用户***条件是向用户授予应用程序访问权限时必须满足的强制性条件。选择以下选项之一:
- 匹配任一项 - 仅允许与字段中列出的任何名称相匹配且属于所选域的用户或组进行访问。
- 不匹配任何项 - 允许除字段中列出并属于选定域的用户或组以外的所有用户或组进行访问。
-
(可选)单击 + 可根据上下文添加多个条件。
当您根据上下文添加条件时,只有在满足用户*和可选的基于上下文的条件时,才会对策略进行评估的条件应用 AND 运算。您可以根据上下文应用以下条件。
- 台式机或移动设备 - 选择要为其启用应用程序访问权限的设备。
-
地理位置 - 选择用户访问应用程序的条件和地理位置。
- 匹配以下任一项: 只有从列出的任何地理位置访问应用程序的用户或用户组才可以访问应用程序。
- 不匹配: 除列出的地理位置的用户或用户组外,所有用户或用户组均已启用访问权限。
-
网络位置 -选择用户访问应用程序所使用的条件和网络。
- 匹配以下任一项: 只有从列出的任何网络位置访问应用程序的用户或用户组才允许访问应用程序。
- 不匹配任何项: 除列出的网络位置的用户或用户组外,所有用户或用户组均已启用访问权限。
- 设备状态检查 - 选择用户设备访问应用程序必须满足的条件。
- 用户风险评分 - 选择风险评分类别,必须根据这些类别向用户提供应用程序访问权限。
- 单击下一步。
-
根据条件评估选择必须应用的操作。
- 对于 HTTP/HTTPS 应用程序,您可以选择以下选项:
- 允许访问
- 允许访问但有限制
- 拒绝访问
注意:
如果选择“允许有限制的访问”,则必须选择要对应用程序强制执行的限制。有关限制的详细信息,请参阅可用的访问限制选项。您还可以指定是要在远程浏览器还是 Citrix Secure Browser 中打开应用程序。
- 对于 TCP/UDP 访问,您可以选择以下选项:
- 允许访问
- 拒绝访问
- 对于 HTTP/HTTPS 应用程序,您可以选择以下选项:
- 单击下一步。摘要页面显示策略的详细信息。
-
您可以验证详细信息,然后单击“完成”。
创建策略后要记住的几点
-
您创建的策略显示在“策略规则”部分下方,默认情况下处于启用状态。如果需要,您可以禁用规则。但是,请确保至少启用一条规则才能使策略处于活动状态。
-
默认情况下,会为策略分配优先顺序。值较低的优先级具有最高优先级。优先级编号最低的规则将首先评估。如果规则 (n) 与定义的条件不匹配,则评估下一个规则 (n+1),依此类推。
使用优先顺序评估规则示例:
假设您创建了两条规则,即规则 1 和规则 2。 规则 1 分配给用户 A,规则 2 分配给用户 B,然后评估这两个规则。 假设规则 1 和规则 2 都分配给用户 A。在这种情况下,规则 1 的优先级更高。如果满足规则 1 中的条件,则应用规则 1,跳过规则 2。否则,如果不满足规则 1 中的条件,则规则 2 将应用于用户 A。
注意:
如果未评估任何规则,则不会向用户枚举应用程序。
关于系统中已经可用的现有策略:
对于在多规则策略配置更改之前创建的现有策略,将应用以下更改:
- 为每个策略创建一个默认名称为“默认访问规则” 的单个访问规则。您可以修改规则名称。
- 应用的条件将按原样迁移到默认访问规则。
-
如果您只选择了 HTTP/HTTPS 而不是 TCP/UDP 应用程序,则即使您没有 TCP/UDP 应用程序,为 HTTP/HTTPS 应用程序选择的条件也会应用于“条件”页面中的 TCP/UDP 应用程序。这是为了简化配置,以防您稍后将 TCP/UDP 应用程序添加到策略中。您不必再次编辑该政策。
如果您仅为 TCP/UDP 应用程序而不是 HTTP/HTTPS 应用程序创建了策略,这也适用。
可用的访问限制选项
选择“允许有限制的访问”操作时,必须至少选择一项安全限制。这些安全限制是在系统中预定义的。管理员无法修改或添加其他组合。可以为应用程序启用以下安全限制。
- 限制剪贴板访问权限: 禁用应用程序和系统剪贴板之间的剪切/复制/粘贴操作。
- 限制打印: 禁用从 Citrix 企业浏览器中打印的功能。
- 限制下载: 禁用用户从应用程序内下载的功能。
- 限制上载: 禁用用户在应用程序内上载的功能。
- 显示水印: 在用户屏幕上显示水印,显示用户计算机的用户名和 IP 地址。
- 限制按键记录: 防止按键记录器。当用户尝试使用用户名和密码登录应用程序时,所有密钥都会在密钥记录器上加密。此外,用户在应用程序上执行的所有活动都受到密钥记录的保护。例如,如果为 Office365 启用了应用程序保护策略,并且用户编辑了 Office365 Word 文档,则所有按键记录器都会在密钥记录器上加密。
- 限制屏幕截图: 禁用使用任何屏幕捕获程序或应用程序捕获屏幕的功能。如果用户尝试捕获屏幕,则会捕获一个空白屏幕。