管理设备状态服务的 Citrix Endpoint Analysis 客户端

Citrix Device Posture 服务是一种基于云的解决方案，可帮助管理员强制执行终端设备必须满足的某些要求才能访问 Citrix DaaS（虚拟应用程序和桌面）或 Citrix Secure Private Access 资源（SaaS、Web 应用程序、TCP 和 UDP 应用程序）。

要在终端设备上运行设备状态扫描，必须在该设备上安装 Citrix EndPoint Analysis （EPA） 客户端，这是一个轻量级应用程序。 设备终端安全评估服务始终与 Citrix 发布的最新版本的 EPA 客户端一起运行。

安装 EPA 客户端

在运行时，Device Posture 服务会提示最终用户在运行时下载并安装 EPA 客户端。 有关详细信息，请参阅 最终用户流. 通常，EPA 客户端不需要本地管理员权限即可在端点上下载和安装。 但是，要在终端设备上运行设备证书检查扫描，必须安装具有管理员访问权限的 EPA 客户端。 有关安装具有管理员访问权限的 EPA 客户端的详细信息，请参阅 在终端设备上安装设备证书.

升级适用于 Windows 的 EPA 客户端

发布新版本的 EPA 客户端时，默认情况下，适用于 Windows 的 EPA 客户端将在首次安装后升级。 自动升级可确保最终用户设备始终在与 Device Posture 服务兼容的最新版本的 EPA 客户端上运行。 对于自动升级，必须已安装具有管理员访问权限的 EPA 客户端。

EPA 客户端的分发

EPA 客户端可以使用 Global App Configuration Service （GACS） 或与 Citrix Workspace 应用程序安装程序集成的 EPA 进行分发，也可以使用软件部署工具进行分发。

• 与 Citrix Workspace 应用程序集成的 EPA 客户端安装程序： EPA 客户端安装程序与适用于 Windows 的 Citrix Workspace 应用程序 2402 LTSR 集成。 通过此集成，最终用户无需在安装 Citrix Workspace 应用程序后单独安装 EPA 客户端。

  要将 EPA 客户端作为 Citrix Workspace 应用程序的一部分进行安装，请使用命令行选项 安装 EPAClient. 例如 ./CitrixworkspaceApp.exe 安装 EPAClient.

注意：

• 默认情况下，作为 Citrix Workspace 应用程序一部分的 EPA 客户端安装处于禁用状态。 必须使用命令行选项 安装 EPAClient.
• 如果终端设备已安装 EPA 客户端，并且最终用户安装了 Citrix Workspace 应用程序，则会升级现有 EPA 客户端。
• 如果最终用户卸载 Citrix Workspace 应用程序，则默认情况下，集成的 EPA 客户端也会从设备中删除。 但是，如果 EPA 客户端未作为集成 Citrix Workspace 应用程序安装的一部分进行安装，则现有 EPA 客户端将保留在设备中。
• 与 Citrix Workspace 应用程序集成的 EPA 客户端安装程序也可以与 NetScaler 一起使用。 有关详细信息，请参阅 与 NetScaler 和设备状态一起使用时管理 EPA 客户端.

• 使用 GACS 分发客户端：GACS 是 Citrix 提供的解决方案，用于管理客户端代理（插件）的分发。 GACS 中提供的自动更新服务可确保终端设备使用最新的 EPA 版本，而无需最终用户干预。 有关 GACS 的更多信息，请参阅 如何使用 Global App Configuration 服务.

注意：

• GACS 在 Windows 设备上仅支持分发 EPA 客户端。
• 要通过 GACS 管理 EPA 客户端，请在终端设备上安装 Citrix Workspace 应用程序 （CWA）。
• 如果在最终用户设备上以管理员权限安装 CWA，则 GACS 将使用相同的管理员权限安装 EPA 客户端。
• 如果在最终用户设备上以用户权限安装 CWA，则 GACS 将使用相同的用户权限安装 EPA 客户端。

使用 Software 部署工具分发客户端：管理员可以通过 Microsoft SCCM 等软件部署工具分发最新的 EPA 客户端。

与 NetScaler 和设备状态一起使用时管理 EPA 客户端

EPA 客户端可与 NetScaler 和 Device Posture 在以下部署中一起使用：

• 使用 EPA 的基于 NetScaler 的自适应身份验证
• 基于 NetScaler 的本地网关，具有 EPA

Device Posture 服务将最新版本的 EPA 客户端推送到终端设备。 但是，在 NetScaler 上，管理员可以为网关虚拟服务器上的 EPA 扫描配置以下版本控制：

• 总是：终端设备上的 EPA 客户端和 NetScaler 必须位于同一版本上。
• 基本：终端设备上的 EPA 客户端版本必须在 NetScaler 上配置的范围内。
• 从不：终端设备可以具有任何版本的 EPA 客户端。

有关更多信息，请参阅 插件行为.

将 EPA 客户端与 NetScaler 和设备安全评估一起使用时的注意事项

当 EPA 客户端与 Device Posture Service 和 NetScaler 一起使用时，可能会出现终端设备运行最新的 EPA 客户端版本，而 NetScaler 位于不同版本的 EPA 客户端上的情况。 这可能会导致 NetScaler 上的“EPA 客户端版本”与终端设备不匹配。 因此，NetScaler 可能会提示最终用户安装 NetScaler 上存在的 EPA 客户端版本。 为避免此冲突，我们建议进行以下配置更改：

• 如果您已使用自适应身份验证或本地身份验证或网关虚拟服务器配置了 EPA，建议您在 NetScaler 上禁用 EPA 客户端的版本控制。 这样做是为了确保 GACS 或 Device Posture 服务不会将最新版本的 EPA 客户端推送到终端设备。

• EPA 版本控制可以设置为 从不 通过使用 CLI 或 GUI。 NetScaler 13.x 及更高版本支持这些配置更改。

  • CLI：将 CLI 命令用于自适应身份验证和本地身份验证虚拟服务器。
  • GUI：使用本地网关虚拟服务器的 GUI。 有关详细信息，请参阅 控制 Citrix Secure Access 客户端的升级.

CLI 命令示例：

  add rewrite action <rewrite_action_name> insert_http_header Plugin-Upgrade "\"epa_win:Never;epa_mac:Always;epa_linux:Always;vpn_win:Never;vpn_mac:Always;vpn_linux:Always;\""

  add rewrite policy <rewrite_action_policy> "HTTP.REQ.URL.CONTAINS(\"pluginlist.xml\")" <rewrite_action_name>

  bind authentication vserver <Authentication_Vserver_Name> -policy <rewrite_action_policy> -priority 10 -type RESPONSE
<!--NeedCopy-->