管理 Device Posture 服务的 Citrix Endpoint Analysis 客户端

Citrix Device Posture 服务是一种基于云的解决方案，可帮助管理员强制执行终端设备必须满足的某些要求才能获得 Citrix DaaS (Virtual Apps and Desktops) 或 Citrix Secure Private Access 资源（SaaS、Web 应用程序、TCP 和 UDP 应用程序）的访问权限。

要在终端设备上运行 Device Posture 扫描，必须在该设备上安装 Citrix EndPoint Analysis (EPA) 客户端，这是一款轻量级应用程序。Device Posture 服务始终使用 Citrix 发布的最新版本的 EPA 客户端运行。

安装 EPA 客户端

在运行期间，Device Posture 服务会在运行时提示最终用户下载并安装 EPA 客户端。有关详细信息，请参阅 最终用户流程。 通常，EPA 客户端不需要本地管理员权限即可在端点上下载和安装。但是，要在终端设备上运行设备证书检查扫描，必须安装具有管理员访问权限的 EPA 客户端。有关使用管理员访问权限安装 EPA 客户端的详细信息，请参阅在终端设备上安装设备证书。

升级适用于 Windows 的 EPA 客户端

当新版本的 EPA 客户端发布时，Windows 版 EPA 客户端在首次安装后默认会升级。自动升级可确保最终用户设备始终在与 Device Posture 服务兼容的最新版本的 EPA 客户端上运行。要进行自动升级，必须以管理员访问权限安装 EPA 客户端。

注意：

自动升级目前处于预览阶段。使用 https://podio.com/webforms/29214695/2384946 注册预览版。

EPA客户的分布

可以使用全球应用程序配置服务 (GACS) 或与 Citrix Workspace 应用程序安装程序集成的 EPA 进行分发，也可以使用软件部署工具分发 EPA 客户端。

• 与 Citrix Workspace 应用程序集成的 EPA 客户端（预览版）：EPA 客户端也与 Citrix Workspace 应用程序集成。这种集成使最终用户无需在安装 Citrix Workspace 应用程序后安装 EPA 客户端。

  • 如果终端设备已经安装了 EPA 客户端，并且最终用户安装了 Citrix Workspace 应用程序，则集成的 EPA 客户端不会安装在该设备上。现有的 EPA 客户端用于设备状态检查。

  • 同样，如果最终用户卸载 Citrix Workspace 应用程序，则默认情况下，集成的 EPA 客户端也会从设备中移除。但是，如果未将 EPA 客户端作为集成 Citrix Workspace 应用程序安装的一部分进行安装，则现有 EPA 客户端将保留在设备中。

注意：

• 仅在 Windows 平台上支持 EPA 客户端与 Citrix Workspace 应用程序的集成，目前处于预览阶段。使用 https://podio.com/webforms/29219973/2385708 注册预览版。

• 使用 GACS 分发客户端：GACS 是 Citrix 提供的解决方案，用于管理客户端代理（插件）的分发。GACS 中提供的自动更新服务可确保终端设备使用最新的 EPA 版本，无需最终用户干预。有关 GACS 的更多信息，请参阅如何使用 Global App Configuration Service?。

注意：

• Windows 设备仅支持 GACS，用于分发 EPA 客户端。
• 要通过 GACS 管理 EPA 客户端，请在终端设备上安装 Citrix Workspace 应用程序 (CWA)。
• 如果在最终用户设备上以管理员权限安装 CWA，则 GACS 将使用相同的管理员权限安装 EPA 客户端。
• 如果在最终用户设备上以用户权限安装 CWA，则 GACS 将使用相同的用户权限安装 EPA 客户端。

使用软件部署工具分发客户端：管理员可以通过 Microsoft SCCM 等软件部署工具分发最新的 EPA 客户端。

与 NetScaler 和 Device Posture 一起使用时管理 EPA 客户端

在以下部署中，EPA 客户端可以与 NetScaler 和 Device Posture 一起使用：

• 使用 EPA 进行基于 NetScaler 的自适应身份验证
• 基于 NetScaler 的本地网关，带有 EPA

Device Posture 服务将最新版本的 EPA 客户端推送到终端设备。但是，在 NetScaler 上，管理员可以为网关虚拟服务器上的 EPA 扫描配置以下版本控制：

• 始终：终端设备上的 EPA 客户端和 NetScaler 必须使用相同的版本。
• 必备：终端设备上的 EPA 客户端版本必须在 NetScaler 上配置的范围内。
• 从不：终端设备可以安装任何版本的 EPA 客户端。

有关更多信息，请参阅插件行为。

将 EPA 客户端与 NetScaler 和 Device Posture 一起使用时的注意事项

当 EPA 客户端与 Device Posture 服务和 NetScaler 一起使用时，可能会出现终端设备运行最新的 EPA 客户端版本，而 NetScaler 在不同版本的 EPA 客户端上运行的情况。这可能会导致 NetScaler 和终端设备上的 EPA 客户端版本不匹配。因此，NetScaler 可能会提示最终用户安装 NetScaler 上存在的 EPA 客户端版本。为避免这种冲突，我们建议进行以下配置更改：

• 如果您已将 EPA 配置为自适应身份验证、本地身份验证或网关虚拟服务器，则建议您在 NetScaler 上禁用 EPA 客户端的版本控制。这样做是为了确保 GACS 或 Device Posture 服务不会将最新版本的 EPA 客户端推送到终端设备。

• 可以使用 CLI 或 GUI 将 EPA 版本控制设置为“从不”。NetScaler 13.x 及更高版本支持这些配置更改。

  • CLI：使用自适应身份验证和本地身份验证虚拟服务器的 CLI 命令。
  • GUI：使用本地网关虚拟服务器的 GUI。有关详细信息，请参阅 Citrix Secure Access 客户端的控制升级。

CLI 命令示例：

add rewrite action <rewrite_action_name> insert_http_header Plugin-Upgrade ""epa_win:Never;epa_mac:Always;epa_linux:Always;vpn_win:Never;vpn_mac:Always;vpn_linux:Always;""

add rewrite policy <rewrite_action_policy> "HTTP.REQ.URL.CONTAINS("pluginlist.xml")" <rewrite_action_name>

bind authentication vserver <Authentication_Vserver_Name> -policy <rewrite_action_policy> -priority 10 -type RESPONSE
<!--NeedCopy-->