Device Posture
Citrix Device Posture 服务是一种基于云的解决方案,可帮助管理员强制执行终端设备必须满足的某些要求才能获得 Citrix DaaS (Virtual Apps and Desktops) 或 Citrix Secure Private Access 资源(SaaS、Web 应用程序、TCP 和 UDP 应用程序)的访问权限。通过检查设备的状态来建立设备信任对于实现基于零信任的访问至关重要。Device Posture 服务在允许最终用户登录之前检查终端设备的合规性(托管/BYOD 和安全状态),从而在您的网络中强制执行零信任原则。
必备条件
-
许可要求:Citrix Device Posture 服务的权利是 Citrix DaaS Premium、Citrix DaaS Premium Plus 和 Citrix Secure Private Access Advanced 许可证的一部分。拥有其他许可证的客户可以购买 Device Posture 服务授权作为附加组件。对于附加组件,客户必须购买独立的自适应身份验证 SKU,但不一定要部署它才能使用 Device Posture 服务。
-
支持的平台:
- Windows(10 和 11)
- macOS 13 Ventura
- macOS 12 Monterey
- iOS
- IGEL
注意:
-
默认情况下,在不支持的平台上运行的设备被标记为不合规。您可以从“Device Posture”页面上的“设置”选项卡将分类从“不合规”更改为已拒绝登录。
-
默认情况下,在支持的平台上运行但不匹配任何预定义的 Device Posture 策略的设备被标记为不合规。您可以从“Device Posture”页面上的“设置”选项卡将分类从“不合规”更改为已拒绝登录。
-
为了在 Device Posture 服务中支持 iOS,EPA 客户端是作为适用于 iOS 的 Citrix Workspace 应用程序的一部分内置的。有关版本的详细信息,请参阅适用于 iOS 的 Citrix Workspace 应用程序。
-
为了在 Device Posture 服务上支持 IGEL 操作系统,EPA 客户端是作为 IGEL 操作系统的一部分内置的。如需在 IGEL 设备上安装 EPA 客户端,请联系 IGEL 支持团队。
-
Citrix Device Posture 客户端(EPA 客户端):一种轻量级应用程序,必须安装在端点设备上才能运行 Device Posture 扫描。此应用程序不需要本地管理员权限即可在端点上下载和安装。
注意:
如果您使用设备证书检查,则必须安装具有管理权限的 EPA 客户端。
-
支持的浏览器:Chrome、Edge 和 Firefox。
-
防火墙配置:要允许 Device Posture 服务更新终端设备上的 EPA 客户端,必须将防火墙/代理配置为允许以下域:
https://swa-ui-cdn-endpoint-prod.azureedge.net
https://productioniconstorage.blob.core.windows.net
- *.netscalergateway.net
- *.nssvc.net
- *.cloud.com
- *.pendo.io
- *.citrixworkspacesapi.net
预览版功能
- 定期扫描设备。有关详细信息,请参阅启用设备定期扫描 - 预览版
- 使用 IGEL 提供的Device Posture服务。使用 https://podio.com/webforms/29062020/2362942 注册预览版。
工作原理
管理员可以创建 Device Posture 策略来检查端点设备的状态并确定终端设备是被允许还是被拒绝登录。允许登录的设备被进一步归类为合规或不合规。用户可以从浏览器或 Citrix Workspace 应用程序登录。
以下是用于将设备归类为合规、不合规和拒绝登录的高级条件。
- 合规设备 — 符合预先配置的策略要求且允许登录公司网络的设备,可以完全或不受限制地访问 Citrix Secure Private Access 资源或 Citrix DaaS 资源。
- 不合规设备 - 符合预先配置的策略要求且允许登录公司网络的设备,只能部分或受限访问 Citrix Secure Private Access 资源或 Citrix DaaS 资源。
- 拒绝登录: - 不符合策略要求的设备将被拒绝登录。
将设备分为合规、不合规和拒绝登录的设备将传递给 Citrix DaaS 和 Citrix Secure Private Access 服务,后者反过来使用设备分类来提供智能访问功能。
注意:
- 必须专门为每个平台配置 Device Posture 策略。例如,对于 macOS,管理员可以允许访问具有特定操作系统版本的设备。同样,对于 Windows,管理员可以配置策略以包括特定的授权文件、注册表设置等。
- Device Posture 扫描仅在身份验证前/登录之前进行。
- 有关“合规”和“不合规”的定义,请参阅 定义。
Device Posture 支持的扫描
Citrix Device Posture 服务支持以下扫描:
Windows | macOS | iOS | IGEL |
---|---|---|---|
Citrix Workspace 应用程序版本 | Citrix Workspace 应用程序版本 | Citrix Workspace 应用程序版本 | - |
操作系统版本 | 操作系统版本 | 操作系统版本 | - |
文件(存在、文件名和路径) | 文件(存在、文件名和路径) | - | 文件(存在、文件名和路径) |
地理位置 | 地理位置 | - | - |
网络位置 | 网络位置 | - | - |
MAC 地址 | MAC 地址 | - | - |
进程(存在) | 进程(存在) | - | - |
Microsoft Endpoint Manager | Microsoft Endpoint Manager | - | - |
CrowdStrike | CrowdStrike | - | - |
设备证书 | 设备证书 | - | - |
浏览器 | 浏览器 | - | - |
防病毒 | 防病毒 | - | - |
非数字注册表(32 位) | - | - | - |
非数字注册表(64 位) | - | - | - |
数字注册表(32 位) | - | - | - |
数字注册表(64 位) | - | - | - |
Windows 更新安装类型 | - | - | - |
Windows 更新安装上次更新检查 | - | - | - |
注意:
为了在 Device Posture 服务上支持 iOS,EPA 客户端是作为适用于 iOS 的 Citrix Workspace 应用程序的一部分内置的。有关版本的详细信息,请参阅适用于 iOS 的 Citrix Workspace 应用程序。
与 Device Posture 的第三方集成
除了 Device Posture 服务提供的本机扫描外,该服务还可以与 Windows 和 macOS 上的以下第三方解决方案集成。
- Microsoft Intune。有关详细信息,请参阅 Microsoft Intune 与 Device Posture 集成。
- CrowdStrike。有关详细信息,请参阅 CrowdStrike 与 Device Posture 的集成。
配置 Device Posture
Device Posture 是策略和规则的组合,设备必须满足这些策略和规则才能访问资源。每项策略都附有一项操作,即合规、不合规和拒绝登录。此外,每项策略都与优先级相关联,如果策略评估结果为真并采取相关操作,则策略评估将停止。
- 登录 Citrix Cloud,然后从汉堡菜单中选择“身份和访问管理”。
-
单击“Device Posture”选项卡,然后单击“管理”。
注意:
- Secure Private Access 服务客户可以直接在管理员用户界面左侧导航栏中单击“Device Posture”。
- 对于首次使用的用户,Device Posture 登录页面会提示您创建 Device Posture 策略。必须为每个平台单独配置 Device Posture 策略。创建 Device Posture 策略后,它将在相应的平台下列出。
- 策略只有在启用 Device Posture 后才会生效。要启用 Device Posture,请将右上角的“Device Posture 已禁用”开关滑至“开”。
- 单击“创建设备策略”。
-
在 平台中,选择要应用策略的平台。无论您在“Device Posture”主页上选择了哪个选项卡,您都可以将平台从 Windows 更改为 macOS,反之亦然。
-
在策略规则中,选择要作为 Device Posture 的一部分执行的检查,然后选择必须匹配的条件。
注意:
- 要检查设备证书,请确保设备上存在颁发者证书。否则,您可以在创建 Device Posture 策略时导入设备证书,或者从 Device Posture 主页的设置上载证书。有关详细信息,请参阅在创建设备证书策略时导入设备证书和上载设备证书。
- 要检查设备证书,必须使用管理权限安装终端设备上的 EPA 客户端。
- 使用 Device Posture 服务进行的设备证书检查不支持证书吊销检查。
-
单击“添加其他规则”以创建多个规则。AND 条件应用于多个规则。
-
在基于您配置的条件的策略结果中,选择设备扫描必须对用户设备进行分类的类型。
- 合规
- 不合规
- 访问被拒绝
- 输入策略的名称。
-
在 优先级中,输入必须评估策略的顺序。
- 可以输入 1 到 100 之间的值。建议您使用更高的优先级配置拒绝策略,然后配置不合规策略,最后配置为合规策略。
- 值较低的优先级优先级最高。
- 只有已启用的策略才会根据优先级进行评估。
-
单击创建。
重要:
您必须将“创建时启用”切换开关设置为“开”,Device Posture策略才能生效。在启用策略之前,建议您确保策略配置正确,并且您正在测试设置中执行这些任务。
定期扫描设备 - 预览版
您可以启用每隔 30 分钟对 Windows 设备进行一次配置检查的定期扫描。要启用定期扫描,请执行以下操作:
- 导航到“Device Posture”>“设备扫描”,然后单击“设置”。
- 在“定期设备状态扫描”部分,将拨动开关滑动开关以启用设备的定期扫描。
注意:
- 为了定期扫描设备,必须在终端设备上安装具有管理权限的 EPA 客户端。
- 在定期扫描期间,如果设备状态从“合规”变为“不合规”或“拒绝访问”,则新应用程序的启动将被阻止。
编辑Device Posture策略
配置的Device Posture策略列在“设备扫描”页面的特定平台下。您可以从此页面搜索要编辑的策略。您也可以从此页面启用、禁用或删除策略。
使用Device Posture配置上下文访问(智能接入)
Device Posture 验证后,允许设备登录并归类为合规或不合规。此信息可用作 Citrix DaaS 服务和 Citrix Secure Private Access 服务的标签,用于根据 Device Posture 提供上下文访问权限。因此,必须将 Citrix DaaS 和 Citrix Secure Private Access 配置为使用 Device Posture 标签强制执行访问控制。
使用 Device Posture 的 Citrix DaaS 配置
必备条件:
确保启用自适应访问功能(Citrix Workspace > 访问 > 自适应访问)。有关详细信息,请参阅 启用自适应访问功能。
- 登录 Citrix Cloud。
- 在 DaaS 磁贴上,单击“管理”。
- 从左侧菜单转到 交付组 部分。
- 选择要根据Device Posture配置访问控制的交付组,然后单击“编辑”。
- 在“编辑交付组”页面中,单击“访问策略”。
-
单击 Citrix Gateway 连接行上的编辑图标以编辑网关连接策略。
- 在“编辑策略”页面上,选择符合以下条件的连接。
- 选择任意匹配,然后单击添加条件。
- 为您在配置网络位置中配置的所有位置标签添加标准:在过滤器中键入 Workspace,在值中键入 COMPLIANT 或 NON-COMPLIANT。
注意:
输入的设备分类标签的语法必须与之前捕获的语法完全相同,即全部为大写(COMPLIANT 和 NON-COMPLIANT)。否则,Device Posture策略将无法按预期运行。
除设备分类标签外,Device Posture服务还会返回与设备关联的操作系统标签和访问策略标签。操作系统标签和访问策略标签只能以大写形式输入。
- DEVICE_TYPE_WINDOWS
- DEVICE_TYPE_MAC
- 确切的策略名称(大写)
带有Device Posture的 Citrix Secure Private Access 配置
- 登录 Citrix Cloud。
- 在“Secure Private Access”图块上,单击“管理”。
- 在左侧导航栏中单击“访问策略”,然后单击“创建策略”。
- 输入策略名称和策略描述。
- 在 应用程序中,选择必须强制执行此策略的应用程序或一组应用程序。
- 单击“创建规则”为策略创建规则。
- 输入规则名称和规则的简要描述,然后单击“下一步”。
- 选择用户的条件。用户条件是向用户授予应用程序访问权限时必须满足的强制性条件。
- 单击 + 添加Device Posture条件。
- 从下拉菜单中选择 Device Posture 检查和逻辑表达式。
-
在自定义标签中输入以下值之一:
- 合规 -适用于兼容设备
- 不合规 - 适用于不兼容的设备
注意:
输入的标签必须与之前捕获的完全一致,使用初始大写字母(Compliant 和 Non-Compliant)。否则,设备状态策略将无法按预期运行。
- 单击下一步。
-
根据条件评估选择必须应用的操作,然后单击“下一步”。
摘要页面显示策略的详细信息。
-
您可以验证详细信息,然后单击“完成”。
有关创建访问策略的更多详细信息,请参阅 配置具有多个规则的访问策略。
注意:
任何未在访问策略中标记为合规或不合规的 Secure Private Access 应用程序均被视为默认应用程序,无论设备状态如何,均可在所有端点上访问。
使用 Device Posture 进行会话录制配置
Session Recording 允许组织在虚拟会话中记录屏幕上的用户活动。您可以在创建自定义会话录制策略、事件检测策略或事件响应策略时指定标签。有关示例,请参阅创建自定义录制策略。
最终用户流程
设置Device Posture策略并启用Device Posture后,以下是基于最终用户登录 Citrix Workspace 的方式的最终用户流程。
最终用户通过浏览器访问流量
注意:
macOS 客户端和 Chrome 浏览器作为示例,仅供参考。屏幕和通知因您用于访问 Citrix Workspace URL 的客户端和浏览器而异。
-
当最终用户通过浏览器登录 Citrix Workspace URL
https://<your-workspace-URL
时,会提示最终用户运行 Citrix EndPointAnalysis 应用程序。 -
当最终用户单击打开 Citrix End Point Analysis 时,Device Posture客户端会根据Device Posture策略要求运行并扫描端点参数。
-
如果设备上未安装 Device Posture 客户端,则用户将被重定向到显示“下载插件”选项的页面。如果终端上已经安装了最新的 Device Posture 客户端,则用户必须单击“检查设备”进行确认。同样,如果设备上安装的 EPA 不是最新版本,则用户将被重定向到显示“更新插件”选项的页面。如果 EPA 客户端已经更新,则用户必须单击“检查设备”进行确认。
在这两种情况下,如果启用了跳过检查功能,则会显示一条消息,或者,您可以在访问受限的情况下继续访问 Citrix Workspace。 显示在“下载插件”或“更新插件”页面上。
通过 Citrix Workspace 应用程序进行的最终用户流程
- 当最终用户通过 Citrix Workspace 应用程序登录 Citrix Workspace URL
https://your-workspace-url
时,安装在终端上的Device Posture客户端会根据Device Posture策略要求运行并扫描端点参数。 - 如果终端上未安装最新的设备状态客户端,则用户将被重定向到显示“再次检查”和“下载客户端”选项的页面。用户必须单击“下载客户端”。
- 如果端点上已经安装了最新的Device Posture客户端,则用户必须再次单击“检查”。
最终用户流程 - Device Posture 结果
根据 Device Posture 策略条件,可能会出现三种可能性。
如果终端符合策略条件,则该设备被归类为;
- 合规 -允许最终用户使用 Secure Private Access 或 Citrix DaaS 资源不受限制的访问权限登录。
-
不合规 -允许最终用户以 Secure Private Access 或 Citrix DaaS 资源的受限访问权限登录。
如果终端满足策略条件,使该设备被归类为拒绝访问,则会出现“访问被拒绝”消息。
针对访问被拒绝情况的自定义消息
管理员可以选择自定义访问被拒绝时显示在终端设备上的消息。
执行以下步骤以添加自定义消息:
- 导航到 Device Posture > 设备扫描页面。
- 单击设置。
- 单击编辑,然后在消息框中输入访问被拒绝情况下必须显示的消息。最多可以输入 256 个字符。
-
单击保存时启用自定义消息以强制显示自定义消息的选项。如果未选中此复选框,则会创建自定义消息,但不会在访问被拒绝的情况下显示在设备上。
或者,您可以启用设置页面上的自定义消息切换开关,以便在设备上显示消息。
- 单击“保存”。
下图显示了管理员添加的示例消息。
下图显示了访问被拒绝时出现在最终用户设备上的自定义消息。
每当终端设备访问被拒绝时,就会显示您输入的消息。
跳过设备状态检查
在以下情况下,管理员可以允许最终用户跳过其设备上的设备状态检查:
- Device Posture 代理未安装在设备上。
- 设备上安装的 EPA 客户端不是最新版本。
启用跳过检查功能后,将强制执行默认策略结果(不合规),并将设备归类为不合规。为最终用户提供对 Citrix Secure Private Access 或 Citrix DaaS 资源的部分或有限访问权限。
启用跳过设备状态检查
- 导航到 Device Posture > 设备扫描。
- 单击设置。
-
在“跳过设备状态检查”部分,将拨动开关滑动开关以允许跳过设备状态检查。
启用“跳过设备状态检查”选项且最终用户登录到 Citrix Workspace 时,当最终用户尝试下载客户端或升级 EPA 版本时,会显示以下消息。
或者,您可以在访问受限的情况下继续使用 Citrix Workspace。
自定义工作区 URL 支持
Device Posture 服务支持自定义工作区 URL。除了 cloud.com URL 外,您还可以使用自己拥有的 URL 来访问工作区。确保您允许从您的网络访问 citrix.com。有关自定义域的详细信息,请参阅配置自定义域。
已知限制
- 开启或关闭 Device Posture 切换按钮后,启用或禁用 Device Posture 功能所花费的时间可能需要几分钟到一个小时。
- Device Posture 配置的任何更改都不会立即生效。更改可能需要大约 10 分钟才能生效。
- 如果您在 Citrix Workspace 中启用了服务连续性选项,并且 Device Posture 服务已关闭,则用户可能无法登录 Workspace。这是因为 Citrix Workspace 根据用户设备上的本地缓存枚举应用程序和桌面。
- 如果您在 Citrix Workspace 上配置了长期有效的令牌和密码,则Device Posture扫描不适用于此配置。只有在用户登录 Citrix Workspace 时才会扫描设备。
- 每个平台最多可以有 10 个策略,每个策略最多可以有 10 个规则。
- Device Posture服务不支持基于角色的访问。
服务质量
- 性能:在理想条件下,Device Posture 服务会在登录期间额外增加 2 秒的延迟。这种延迟可能会增加,具体取决于其他配置,例如Microsoft Intune等第三方集成。
- 弹性:Device Posture 服务具有很强的弹性,具有多个 POP,可确保没有停机。
定义
Device Posture 服务中“合规”和“不合规”这两个术语的定义如下。
- 合规设备 — 符合预先配置的策略要求且允许登录公司网络的设备,可以完全或不受限制地访问 Citrix Secure Private Access 资源或 Citrix DaaS 资源。
- 不合规设备 - 符合预先配置的策略要求且允许登录公司网络的设备,只能部分或受限访问 Citrix Secure Private Access 资源或 Citrix DaaS 资源。