配置设备状态全局设置

以下是您可以根据需要配置的一些全局设备状态设置。

• 定期扫描设备
• 针对拒绝访问场景的自定义消息
• 跳过设备状态检查
• 自定义工作区 URL 支持
• 使用设备状态的 Session Recording 配置
• 设备证书检查

定期扫描设备

您可以启用每 30 分钟对 Windows 设备进行一次定期扫描配置的检查。 终端设备上的 EPA 客户端必须具有管理权限，才能启用设备定期扫描。 要启用定期扫描，请执行以下操作：

1. 导航到 设备状态 > 设备扫描 ，然后单击 设置.
2. 在 定期设备状态扫描 部分中，滑动切换开关 ON 以启用设备的定期扫描。

注意：

• 对于 HTTP/HTTPS 应用程序，如果扫描结果从 顺从的 自 不合规 或 拒绝访问，则会阻止后续应用程序启动，但不会影响已启动的应用程序。
• 对于 TCP/UDP 应用，如果设备终端安全评估扫描导致降级（例如，设备状态从 顺从的 自 不合规 或 拒绝访问 或从 不合规 自 拒绝访问），则所有活动的 TCP/UDP 会话都将终止。

针对拒绝访问场景的自定义消息

管理员可以自定义访问被拒绝时在终端设备上显示的消息。

执行以下步骤以添加自定义消息：

1. 导航到 设备状态 > 设备扫描 页。
2. 单击 设置。
3. 点击 编辑 在 消息 框中，输入必须在 Access Denied Scenarios 中显示的消息。 您最多可以输入 256 个字符。

4. 点击 保存时启用自定义消息 以强制执行显示自定义消息的选项。 如果未选中此复选框，则会创建自定义消息，但在拒绝访问场景中不会显示在设备上。

   或者，您可以启用 自定义消息 toggle 开关 设置 页面上显示该消息。

5. 单击保存。

下图显示了管理员添加的示例消息。

下图显示了访问被拒绝时最终用户设备上显示的自定义消息。

每当拒绝终端设备的访问时，都会显示您输入的消息。

跳过设备状态检查

在以下情况下，管理员可以允许最终用户跳过其设备上的设备状态检查：

• 设备上未安装设备终端安全评估代理。
• 设备上安装的 EPA 客户端不是最新版本。

启用跳过检查功能后，将强制执行默认策略结果（不合规），并将设备归类为不合规。 最终用户将获得对 Citrix Secure Private Access 或 Citrix DaaS 资源的部分或受限访问权限。

启用跳过设备状态检查

1. 导航到 设备状态 > 设备扫描.
2. 单击 设置。

3. 在 跳过设备状态检查 部分中，滑动切换开关 ON 以启用跳过设备状态检查。

   当 跳过设备状态检查 选项，并且最终用户登录到 Citrix Workspace，则当最终用户尝试下载客户端或升级 EPA 版本时，会显示以下消息。

   或者，您可以继续访问具有受限访问权限的 Citrix Workspace。

自定义工作区 URL 支持

Device Posture 服务支持自定义工作区 URL。 除了 cloud.com URL 之外，您还可以使用您拥有的 URL 来访问 workspace。 确保您允许从您的网络访问 citrix.com。 有关自定义域的详细信息，请参阅 配置自定义域.

使用设备状态的 Session Recording 配置

Session Recording 允许组织在虚拟会话中记录屏幕上的用户活动。 您可以在创建自定义会话录制策略、事件检测策略或事件响应策略时指定标签。 有关示例，请参阅创建自定义录制策略。

设备证书检查

要使用 Device Posture 服务配置设备证书检查，管理员必须从其设备导入颁发者证书。 一旦 Device Posture 服务中存在有效的颁发者证书，管理员就可以将设备证书检查用作设备安全评估策略的一部分。

注意事项：

• 设备终端安全评估服务仅支持 PEM 颁发者证书类型。
• 对于 Windows 上的设备证书检查，必须使用管理权限安装终端设备上的 EPA 客户端。 对于其他检查，您不需要本地管理权限。 有关支持的扫描的详细信息，请参阅 设备状态支持的扫描.

• 要在 Windows 上安装具有管理权限的 EPA 客户端，请在 EPA 客户端插件的下载位置运行以下命令。

  msiexec /i epasetup.msi

• 使用 Device Posture 服务进行的设备证书检查不支持证书吊销检查。

• 如果设备证书由中间证书签名，则必须在单个 PEM 文件中上传包含根证书和中间证书的完整链。

      Example: chain.pem
      
      -----BEGIN CERTIFICATE-----
      ******************************
      -----END CERTIFICATE-----
      -----BEGIN CERTIFICATE-----
      ******************************
      -----END CERTIFICATE
  

上传设备证书

1. 点击 设置 在 Device Posture （设备状态） 主页上。
2. 点击 管理，然后单击 导入签发证书.
3. 在 证书类型，选择证书类型。 仅支持 PEM 类型。
4. 在 证书文件点击 选择 Certificate （证书） 以选择颁发者证书。
5. 点击 打开，然后单击 进口.

所选证书列在 设置 > 颁发者证书. 您可以导入多个证书。

查看导入的证书

1. 点击 设置 在 Device Posture （设备状态） 主页上。
2. 在 颁发者证书点击 管理.
3. Issuer Certificates （颁发者证书） 页面列出了导入的颁发者证书。

在终端设备上安装设备证书

Windows：

1. 从 开始 菜单，打开 计算机证书管理器.

2. 确保证书安装在 证书 - 本地计算机\个人\证书.

   • 这 预期目的 必须包括 客户端身份验证.
   • 这 颁发者 列必须与管理员 GUI 上配置的颁发者名称匹配。

macOS：

1. 打开 钥匙串访问 ，然后选择 系统.

2. 点击 文件 > 导入项目 以导入证书。

   这 颁发单位 字段必须显示证书颁发者名称。