Produktdokumentation
Citrix Endpoint Management™
PDF anzeigen

SmartAccess für HDX™-Apps

April 17, 2026
Beitrag von: 
C C

Diese Funktion ermöglicht es Ihnen, den Zugriff auf HDX-Apps basierend auf Geräteeigenschaften, Benutzereigenschaften eines Geräts oder auf einem Gerät installierten Anwendungen zu steuern. Sie nutzen diese Funktion, indem Sie automatisierte Aktionen festlegen, um das Gerät als nicht konform zu kennzeichnen und diesem Gerät den Zugriff zu verweigern. HDX-Apps, die mit dieser Funktion verwendet werden, werden in Citrix Virtual Apps and Desktops mithilfe einer SmartAccess-Richtlinie konfiguriert, die den Zugriff auf nicht konforme Geräte verweigert. Citrix Endpoint Management übermittelt den Status des Geräts über ein signiertes, verschlüsseltes Tag an StoreFront. StoreFront erlaubt oder verweigert dann den Zugriff basierend auf der Zugriffssteuerungsrichtlinie der App.

  • Um diese Funktion nutzen zu können, erfordert Ihre Bereitstellung:

  • Citrix Virtual Apps and Desktops™
  • Citrix Endpoint Management
  • Citrix Endpoint Management, konfiguriert mit einem SAML-Zertifikat, das zum Signieren und Verschlüsseln von Tags verwendet wird. Dasselbe Zertifikat ohne privaten Schlüssel wird auf den StoreFront-Server hochgeladen.

So beginnen Sie mit der Nutzung dieser Funktion:

  • Konfigurieren Sie das Citrix Endpoint Management-Serverzertifikat für den StoreFront-Store
  • Konfigurieren Sie mindestens eine Citrix Virtual Apps and Desktops-Bereitstellungsgruppe mit der erforderlichen SmartAccess-Richtlinie
  • Legen Sie die automatisierte Aktion in Citrix Endpoint Management fest

SmartAccess für HDX-Apps für Endpunkte

Mit dieser Funktion können Sie eine richtlinienbasierte Zugriffssteuerung anwenden, um den Gerätezugriff auf HDX-Apps zu beschränken. Sie können diese Zugriffsebenen auf HDX-Apps anwenden:

  • Voller Zugriff. Ein Gerät kann auf alle HDX-Apps zugreifen, die der Citrix Secure Hub-Store bereitstellt.
  • Eingeschränkter Zugriff. Ein Gerät kann auf eine oder mehrere, aber nicht alle HDX-Apps zugreifen.
  • Kein Zugriff. Ein Gerät kann auf keine HDX-Apps zugreifen.

Die folgende Grafik veranschaulicht, wie die Zugriffssteuerung funktioniert. Ein Versuch, eine HDX-App in Citrix Secure Hub zu starten, löst eine Anfrage an einen Delivery Controller aus. Der Delivery Controller leitet die Anfrage dann zur Validierung an den Citrix Endpoint Management-Server weiter. Das Ergebnis der Validierung bestimmt die Zugriffsebene, die das Gerät hat. Zum Beispiel wird der Zugriff auf eine HDX-App verweigert, wenn das Gerät jailbroken ist.

SmartAccess-Zugriffssteuerung

Exportieren und Konfigurieren des Citrix Endpoint Management-Serverzertifikats und Hochladen in den StoreFront-Store

SmartAccess verwendet signierte und verschlüsselte Tags zur Kommunikation zwischen den Citrix Endpoint Management- und StoreFront-Servern. Um diese Kommunikation zu ermöglichen, fügen Sie das Citrix Endpoint Management-Serverzertifikat zum StoreFront-Store hinzu.

Weitere Informationen zur Integration von StoreFront und Citrix Endpoint Management, wenn Citrix Endpoint Management mit domänen- und zertifikatbasierter Authentifizierung aktiviert ist, finden Sie im Support Knowledge Center.

Exportieren des SAML-Zertifikats aus Citrix Endpoint Management

  1. Klicken Sie in der Citrix Endpoint Management-Konsole auf das Zahnradsymbol in der oberen rechten Ecke. Die Seite Einstellungen wird angezeigt. Klicken Sie auf Zertifikate.

  2. Suchen Sie das SAML-Zertifikat für den Citrix Endpoint Management-Server.

    SmartAccess-Konfiguration

  3. Stellen Sie sicher, dass Privaten Schlüssel exportieren auf Aus eingestellt ist. Klicken Sie auf Exportieren, um das Zertifikat in Ihr Download-Verzeichnis zu exportieren.

    SmartAccess-Konfiguration

  4. Suchen Sie das Zertifikat in Ihrem Download-Verzeichnis. Das Zertifikat liegt im PEM-Format vor.

    SmartAccess-Konfiguration

Konvertieren des Zertifikats von PEM nach CER

  1. Öffnen Sie die Microsoft Management Console (MMC) und klicken Sie mit der rechten Maustaste auf Zertifikate > Alle Aufgaben > Importieren.

    SmartAccess-Konfiguration

  2. Wenn der Zertifikatimport-Assistent angezeigt wird, klicken Sie auf Weiter.

    SmartAccess-Konfiguration

  3. Navigieren Sie zu dem Zertifikat im Download-Verzeichnis.

    SmartAccess-Konfiguration

  4. Wählen Sie Alle Zertifikate in folgendem Speicher ablegen und wählen Sie Persönlich als Zertifikatspeicher. Klicken Sie auf Weiter.

    SmartAccess-Konfiguration

  5. Überprüfen Sie Ihre Auswahl und klicken Sie auf Fertig stellen. Klicken Sie auf OK, um das Bestätigungsfenster zu schließen.

    1. Klicken Sie in der MMC mit der rechten Maustaste auf das Zertifikat und wählen Sie dann Alle Aufgaben > Exportieren.

    SmartAccess-Konfiguration

  1. Wenn der Zertifikatexport-Assistent angezeigt wird, klicken Sie auf Weiter.

    SmartAccess-Konfiguration

  2. Wählen Sie das Format DER-codiert binär X.509 (.CER). Klicken Sie auf Weiter.

  • SmartAccess-Konfiguration

  1. Navigieren Sie zu dem Zertifikat. Geben Sie einen Namen für das Zertifikat ein und klicken Sie dann auf Weiter.

    SmartAccess-Konfiguration

  2. Speichern Sie das Zertifikat.

    SmartAccess-Konfiguration

  3. Navigieren Sie zu dem Zertifikat und klicken Sie auf Weiter.

    SmartAccess-Konfiguration

  4. Überprüfen Sie Ihre Auswahl und klicken Sie auf Fertig stellen. Klicken Sie auf OK, um das Bestätigungsfenster zu schließen.

    SmartAccess-Konfiguration

  5. Suchen Sie das Zertifikat in Ihrem Download-Verzeichnis. Das Zertifikat liegt im CER-Format vor.

    SmartAccess-Konfiguration

Kopieren des Zertifikats auf den StoreFront-Server

  1. Erstellen Sie auf dem StoreFront-Server einen Ordner namens SmartCert.

      1. Kopieren Sie das Zertifikat in den Ordner SmartCert.
    • SmartAccess-Konfiguration

Konfigurieren des Zertifikats im StoreFront-Store

Führen Sie auf dem StoreFront-Server diesen PowerShell-Befehl aus, um das konvertierte Citrix Endpoint Management-Serverzertifikat im Store zu konfigurieren:

    Grant-STFStorePnaSmartAccess –StoreService $store –CertificatePath  “C:\xms\xms.cer” –ServerName “XMS server”
<!--NeedCopy-->

SmartAccess-Konfiguration

Wenn bereits Zertifikate im StoreFront-Store vorhanden sind, führen Sie diesen PowerShell-Befehl aus, um sie zu widerrufen:

    -  Revoke-STFStorePnaSmartAccess –StoreService $store –All
<!--NeedCopy-->

-  ![SmartAccess-Konfiguration](/en-us/citrix-endpoint-management/media/revoke-certs-storefront.png)

Andernfalls können Sie einen dieser PowerShell-Befehle auf dem StoreFront-Server ausführen, um vorhandene Zertifikate im StoreFront-Store zu widerrufen:

-  Nach Namen widerrufen:

    -  $store = Get-STFStoreService –VirtualPath /Citrix/Store

    Revoke-STFStorePnaSmartAccess –StoreService $store –ServerName “My XM Server"
<!--NeedCopy-->

-  Widerruf per Fingerabdruck:

    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    -  Revoke-STFStorePnaSmartAccess –StoreService $store –CertificateThumbprint "[Thumbprint]
<!--NeedCopy-->

-  Widerruf per Serverobjekt:

    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    $access = Get-STFStorePnaSmartAccess –StoreService $store

    Revoke-STFStorePnaSmartAccess –StoreService $store –SmartAccess $access.AccessConditionsTrusts[0]
<!--NeedCopy-->

SmartAccess-Richtlinie für Citrix Virtual Apps and Desktops konfigurieren

So fügen Sie die erforderliche SmartAccess-Richtlinie der Bereitstellungsgruppe hinzu, die die HDX-App bereitstellt:

  1. Öffnen Sie Citrix Studio über die Citrix Cloud-Konsole.

  2. Wählen Sie im Navigationsbereich von Studio Bereitstellungsgruppen aus.

  3. Wählen Sie eine Gruppe aus, die die Apps bereitstellt, deren Zugriff Sie steuern möchten. Wählen Sie dann im Bereich Aktionen die Option Bereitstellungsgruppe bearbeiten.

  4. Wählen Sie auf der Seite Zugriffsrichtlinie die Optionen Verbindungen über NetScaler Gateway und Verbindung, die eine der folgenden Bedingungen erfüllt aus.

  5. Klicken Sie auf Hinzufügen.

  6. Fügen Sie eine Zugriffsrichtlinie hinzu, bei der Farm den Wert XM und Filter den Wert XMCompliantDevice hat.

    SmartAccess configuration

  7. Klicken Sie auf Anwenden, um vorgenommene Änderungen zu übernehmen und das Fenster geöffnet zu lassen, oder klicken Sie auf OK, um Änderungen zu übernehmen und das Fenster zu schließen.

Automatisierte Aktionen in Citrix Endpoint Management festlegen

Die SmartAccess-Richtlinie, die Sie in der Bereitstellungsgruppe für eine HDX-App festgelegt haben, verweigert den Zugriff auf ein Gerät, wenn das Gerät nicht konform ist. Verwenden Sie automatisierte Aktionen, um das Gerät als nicht konform zu kennzeichnen.

SmartAccess configuration

  1. Klicken Sie in der Citrix Endpoint Management-Konsole auf Konfigurieren > Aktionen. Die Seite Aktionen wird angezeigt.

  2. Klicken Sie auf Hinzufügen, um eine Aktion hinzuzufügen. Die Seite Aktionsinformationen wird angezeigt.

  3. Geben Sie auf der Seite Aktionsinformationen einen Namen und eine Beschreibung für die Aktion ein.

  4. Klicken Sie auf Weiter. Die Seite Aktionsdetails wird angezeigt. Im folgenden Beispiel wird ein Trigger erstellt, der Geräte sofort als nicht konform kennzeichnet, wenn sie den Benutzereigenschaftsnamen eng5 oder eng6 haben.

    SmartAccess configuration

  5. Wählen Sie in der Liste Trigger die Option Geräteeigenschaft, Benutzereigenschaft oder Name der installierten App. SmartAccess unterstützt keine Ereignistrigger.

  6. In der Liste Aktion:

    • Wählen Sie Gerät als nicht konform kennzeichnen.
    • Wählen Sie Ist.
    • Wählen Sie Wahr.
    • Um die Aktion so einzustellen, dass das Gerät sofort als nicht konform gekennzeichnet wird, wenn die Triggerbedingung erfüllt ist, setzen Sie den Zeitrahmen auf 0.

  7. Wählen Sie die Citrix Endpoint Management-Bereitstellungsgruppe oder -gruppen aus, auf die diese Aktion angewendet werden soll.

  8. Überprüfen Sie die Zusammenfassung der Aktion.

  9. Klicken Sie auf Weiter und dann auf Speichern.

Wenn das Gerät als nicht konform gekennzeichnet ist, werden die HDX-Apps nicht mehr im Citrix Secure Hub Store angezeigt. Der Benutzer ist nicht mehr für die App abonniert. Es wird keine Benachrichtigung an das Gerät gesendet, und nichts im Citrix Secure Hub Store weist darauf hin, dass die HDX-Apps zuvor verfügbar waren.

Wenn Benutzer benachrichtigt werden sollen, wenn ein Gerät als nicht konform gekennzeichnet wird, erstellen Sie eine Benachrichtigung und anschließend eine automatisierte Aktion, um diese Benachrichtigung zu senden.

Dieses Beispiel erstellt und sendet diese Benachrichtigung, wenn ein Gerät als nicht konform gekennzeichnet wird: „Geräte-Seriennummer oder Telefonnummer entspricht nicht mehr der Geräterichtlinie, und HDX-Anwendungen sind blockiert.“

SmartAccess configuration

Die Benachrichtigung erstellen, die Benutzer sehen, wenn ein Gerät als nicht konform gekennzeichnet ist

  1. Klicken Sie in der Citrix Endpoint Management-Konsole auf das Zahnradsymbol in der oberen rechten Ecke der Konsole. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie auf Benachrichtigungsvorlagen. Die Seite Benachrichtigungsvorlagen wird angezeigt.

  3. Klicken Sie auf der Seite Benachrichtigungsvorlagen auf Hinzufügen.

  4. Konfigurieren Sie diese Einstellungen:

    • Name: HDX Application Block
    • Beschreibung: Agent-Benachrichtigung, wenn ein Gerät nicht konform ist
    • Typ: Ad Hoc Notification
    • Citrix Secure Hub: Aktiviert
    • Nachricht: Gerät ${firstnotnull(device.TEL_NUMBER,device.serialNumber)} entspricht nicht mehr der Geräterichtlinie, und HDX-Anwendungen sind blockiert.

    SmartAccess configuration

  5. Klicken Sie auf Speichern.

Die Aktion erstellen, die die Benachrichtigung sendet, wenn ein Gerät als nicht konform gekennzeichnet ist

  1. Klicken Sie in der Citrix Endpoint Management-Konsole auf Konfigurieren > Aktionen. Die Seite Aktionen wird angezeigt.

  2. Klicken Sie auf Hinzufügen, um eine Aktion hinzuzufügen. Die Seite Aktionsinformationen wird angezeigt.

  3. Geben Sie auf der Seite Aktionsinformationen einen Namen und eine Beschreibung für die Aktion ein:

    • Name: HDX blocked notification
    • Beschreibung: HDX-Blockierungsbenachrichtigung, da Gerät nicht konform ist

  4. Klicken Sie auf Weiter. Die Seite Aktionsdetails wird angezeigt.

  5. In der Liste Trigger:

    • Wählen Sie Geräteeigenschaft.
    • Wählen Sie Nicht konform.
    • Wählen Sie Ist.
    • Wählen Sie Wahr.

    SmartAccess configuration

  6. Geben Sie in der Liste Aktion die Aktionen an, die ausgeführt werden, wenn der Trigger erfüllt ist:

    • Wählen Sie Benachrichtigung senden
    • Wählen Sie HDX-Anwendungsblockierung, die von Ihnen erstellte Benachrichtigung.
    • Wählen Sie 0. Wenn dieser Wert auf 0 gesetzt wird, wird die Benachrichtigung gesendet, sobald die Triggerbedingung erfüllt ist.

  7. Wählen Sie die Citrix Endpoint Management-Bereitstellungsgruppe oder -gruppen aus, auf die diese Aktion angewendet werden soll. Wählen Sie in diesem Beispiel AllUsers.

  8. Überprüfen Sie die Zusammenfassung der Aktion.

  9. Klicken Sie auf Weiter und dann auf Speichern.

Weitere Informationen zum Festlegen automatisierter Aktionen finden Sie unter Automatisierte Aktionen.

Wie Benutzer wieder Zugriff auf HDX-Apps erhalten

Benutzer können wieder auf HDX-Apps zugreifen, nachdem das Gerät wieder konform ist:

  1. Gehen Sie auf dem Gerät zum Citrix Secure Hub Store, um die Apps im Store zu aktualisieren.

  2. Gehen Sie zur App und tippen Sie auf Hinzufügen zur App.

Nachdem die App hinzugefügt wurde, wird sie in „Meine Apps“ mit einem blauen Punkt daneben angezeigt, da es sich um eine neu installierte App handelt.

SmartAccess configuration

SmartAccess für HDX™-Apps
April 17, 2026
Beitrag von: 
C C
April 17, 2026
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.