配置设备状态策略

设备姿态是设备必须满足才能访问资源的策略和规则的组合。 每项策略都附带一项操作，即合规、不合规和拒绝登录。 此外，每项策略都与一个优先级相关联，如果策略评估为真且采取了相关操作，则策略评估将停止。

1. 登录 Citrix Cloud，然后从汉堡菜单中选择 身份和访问管理 。
2. 单击 设备姿势、 选项卡，然后单击 管理。

注意：

• 安全私人访问服务客户可以直接单击管理员用户界面左侧导航上的 设备姿态 。
• 对于首次使用的用户，设备姿态登陆页面会提示您创建设备姿态策略。 必须为每个平台单独配置设备姿态策略。 一旦您创建设备姿态策略，它就会在适当的平台下列出。
• 仅当启用设备状态后，策略才会生效。 要启用设备姿势，请滑动右上角的 设备姿势已禁用 切换到 开启。

1. 单击 Create device policy（创建设备策略）。

2. 在 平台中，选择您想要应用策略的平台。 您可以将平台从 Windows 更改为 macOS 或反之，而不管您在设备状态主页上选择了哪个选项卡。

3. 在 策略规则中，选择您想要作为设备姿态的一部分执行的检查，并选择必须匹配的条件。

注意：

• 对于设备证书检查，请确保颁发者证书存在于设备上。 否则，您可以在创建设备姿态策略时导入设备证书，或者从设备姿态主页上的 设置 上传证书。 有关详细信息，请参阅 设备证书检查。
• 对于设备证书检查，终端设备上的 EPA 客户端必须安装具有管理权限的软件。
• 使用设备状态服务进行的设备证书检查不支持证书吊销检查。

1. 单击 添加另一个规则 以创建多个规则。 AND 条件可应用于多个规则。

   

2. 在 策略结果 根据您配置的条件，选择设备扫描必须对用户设备进行分类的类型。

   • 合规
   • 不合规
   • 拒绝访问
3. 输入策略的名称。

4. 在 Priority中，输入必须评估策略的顺序。

   • 您可以输入 1 至 100 之间的值。 建议您配置优先级较高的拒绝策略，然后是不合规的策略，最后是合规的策略。
   • 值较低的优先级具有最高优先权。
   • 只有启用的策略才会根据优先级进行评估。

5. 单击 “ 创建”。

   

重要提示：

您必须转动 创建时启用 将开关切换到 上 以使设备状态策略生效。 在启用策略之前，建议您确保策略配置正确，并且您在测试设置中执行这些任务。

使用设备姿势配置上下文访问（智能访问）

设备态势验证通过后，允许设备登录，并分类为合规或不合规。 此信息可作为 Citrix DaaS 服务和 Citrix Secure Private Access 服务的标签使用，并用于根据设备姿态提供上下文访问。 因此，必须配置 Citrix DaaS 和 Citrix Secure Private Access 以使用设备姿态标签强制执行访问控制。

使用设备状态进行 Citrix DaaS 配置

为了限制对 DaaS 资源的访问，您可以指定必须强制实施访问限制的交付组，并使用设备姿态标签配置访问控制限制。

必备条件：

确保启用 自适应访问 功能（Citrix Workspace > 访问 > 自适应访问）。 有关详细信息，请参阅 启用自适应访问功能。

1. 登录 Citrix Cloud。
2. 在 DaaS 图块上，单击 管理。
3. 从左侧菜单转到 交付组 部分。
4. 选择您想要根据设备姿态配置访问控制的交付组，然后单击 编辑。
5. 在 编辑交付组 页面中，单击 访问策略。

6. 单击 Citrix Gateway 连接 行上的编辑图标来编辑网关连接策略。

   

   1. 在编辑策略页面上，选择符合以下条件的 连接。
   2. 选择 匹配任意，然后点击 添加条件。
   3. 为您在配置网络位置中配置的所有位置标签添加条件：为 键入工作区为 过滤和兼容或不兼容为值**。</p>

   

注意：

设备分类标签的语法必须与之前捕获的完全一致，即全部大写（COMPLIANT 和 NON-COMPLIANT）。 否则，设备姿态策略将无法按预期发挥作用。

除了设备分类标签之外，设备姿态服务还返回与设备关联的操作系统标签和访问策略标签。 操作系统标签和访问策略标签必须仅以大写输入。

• 设备 类型 WINDOWS
• 设备类型_MAC
• 精确的策略名称（大写）</li> </ol></li> </ol>

使用设备姿态的 Citrix Secure Private Access 配置

为了限制对安全私人访问资源的访问，您可以选择必须强制执行访问限制的应用程序，并使用设备姿态标签配置访问控制限制。

1. 登录 Citrix Cloud。
2. 在安全私人访问图块上，单击 管理。
3. 单击左侧导航上的 访问策略 ，然后单击 创建策略。
4. 输入策略名称和策略的描述。
5. 在 应用程序中，选择必须强制实施此策略的应用程序或应用程序集。
6. 单击 创建规则 为该策略创建规则。
7. 输入规则名称和规则的简短描述，然后单击 下一步。
8. 选择用户的条件。 用户 条件是授予用户访问应用程序的权限所必须满足的条件。
9. 点击 + 添加设备姿态条件。
10. 从下拉菜单中选择 设备姿态检查 和逻辑表达式。

11. 在自定义标签中输入以下值之一：

    • 兼容 - 适用于兼容设备
    • 不合规 - 适用于不合规的设备

注意：

标签必须与之前捕获的完全一致，使用首字母大写（兼容 和 不兼容）。 否则，设备姿态策略将无法按预期发挥作用。

1. （这是可选页面。）单击下一步。

2. 根据条件评估选择必须应用的操作，然后单击 下一步。

   摘要页面显示策略详细信息。

3. 您可以验证详细信息并单击 完成。

   有关创建访问策略的更多详细信息，请参阅 配置具有多个规则的访问策略。

注意：

任何未在访问策略中标记为合规或不合规的安全私人访问应用程序都被视为默认应用程序，并且可以在所有端点上访问，无论设备姿态如何。

编辑设备状态策略

配置的设备姿态策略在 设备扫描 页面中的特定平台下列出。 您可以从此页面搜索要编辑的政策。 您还可以从此页面启用、禁用或删除策略。