Authentifizierung

Sie können verschiedene Authentifizierungsmethoden für die Citrix Workspace-App konfigurieren, u. a. Domänen-Passthrough-Authentifizierung (Single Sign-On), Smartcardauthentifizierung und Kerberos-Passthrough-Authentifizierung.

Domänen-Passthrough-Authentifizierung (Single Sign-On)

Mit Domänen-Passthrough (Single Sign-On) können Sie sich bei einer Domäne authentifizieren und Citrix Virtual Apps and Desktops und Citrix DaaS (ehemals Citrix Virtual Apps and Desktops Service) verwenden, ohne sich erneut authentifizieren zu müssen.

Hinweis:

Wenn Sie die Richtlinie Enable MPR notifications for the System in der Gruppenrichtlinienobjektvorlage deaktivieren, wird die Authentifizierungsfunktion für Domänen-Passthrough (Single Sign-On) unter Windows 11 nicht unterstützt. Dieses Feature ist in der Citrix Workspace-App für Windows Version 2012 und höher verfügbar.

Wenn Domänen-Passthrough (Single Sign-On) aktiviert ist, werden Ihre Anmeldeinformationen zwischengespeichert, sodass Sie eine Verbindung mit anderen Citrix Anwendungen herstellen können, ohne sich jedes Mal anmelden zu müssen. Stellen Sie sicher, dass nur Software auf Ihrem Gerät ausgeführt wird, die den Unternehmensrichtlinien entspricht, um das Risiko für die Anmeldeinformationen zu verringern.

Wenn Sie sich bei der Citrix Workspace-App anmelden, werden Ihre Anmeldeinformationen zusammen mit den Apps und Desktops sowie Startmenüeinstellungen an StoreFront übergeben. Nach der Konfiguration von Single Sign-On können Sie sich bei der Citrix Workspace-App anmelden und Sitzungen mit virtuellen Apps und Desktops starten, ohne Ihre Anmeldeinformationen erneut eingeben zu müssen.

Sie müssen bei allen Webbrowsern Single Sign-On mit der administrativen Gruppenrichtlinienobjektvorlage konfigurieren. Weitere Informationen zum Konfigurieren von Single Sign-On mit der administrativen Gruppenrichtlinienobjektvorlage finden Sie unter Konfigurieren von Single Sign-On mit Citrix Gateway.

Sie können Single Sign-On sowohl bei der Neuinstallation als auch bei einem Upgrade konfigurieren, indem Sie eine der folgenden Optionen verwenden:

  • Befehlszeilenoberfläche
  • Grafische Benutzeroberfläche (GUI)

Hinweis:

Die Begriffe “Domänen-Passthrough”, “Single Sign-On” und “SSON” werden in diesem Dokument synonym verwendet.

Einschränkungen:

Beim Domänen-Passthrough mit Benutzeranmeldedaten gelten folgende Einschränkungen:

  • Die Authentifizierungsmethode unterstützt keine kennwortlose Authentifizierung wie Windows Hello oder FIDO2. Für SSO ist zusätzlich der Verbundauthentifizierungsdienst (FAS) erforderlich.
  • Für die Installation oder das Upgrade der Citrix Workspace-App mit aktiviertem SSON ist ein Neustart des Geräts erforderlich.
  • Erfordert die Aktivierung von Multi Provider Router-Benachrichtigungen auf Windows 11-Maschinen.
  • Muss ganz oben auf der Liste der Netzwerkanbieter stehen.

Um die oben genannten Einschränkungen zu umgehen, verwenden Sie Verbesserter Domänen-Passthrough für Single Sign-On (Enhanced SSO).

Single Sign-On während der Neuinstallation konfigurieren

Konfigurieren Sie Single Sign-On während einer Neuinstallation mit folgenden Schritten:

  1. Konfiguration in StoreFront.
  2. Konfigurieren Sie XML-Vertrauensdienste auf dem Delivery Controller.
  3. Ändern der Internet Explorer-Einstellungen.
  4. Installieren der Citrix Workspace-App mit Single Sign-On.

Single Sign-On in StoreFront konfigurieren

Mit Single Sign-On können Sie sich bei einer Domäne authentifizieren und das von dieser Domäne bereitgestellte Citrix Virtual Apps and Desktops und Citrix DaaS verwenden, ohne sich für jede App oder jeden Desktop neu authentifizieren zu müssen.

Wenn Sie mit dem Storebrowse-Hilfsprogramm einen Store hinzufügen, werden Ihre Anmeldeinformationen zusammen mit den für Sie enumerierten Apps und Desktops (einschließlich Startmenüeinstellungen) an den Citrix Gateway-Server übergeben. Nach dem Konfigurieren von Single Sign-On können Sie den Store hinzufügen, Ihre Apps und Desktops enumerieren und erforderliche Ressourcen starten, ohne Ihre Anmeldeinformationen mehrmals eingeben zu müssen.

Abhängig von der Citrix Virtual Apps and Desktops-Bereitstellung kann die Single Sign-On-Authentifizierung über die Verwaltungskonsole in StoreFront konfiguriert werden.

In der folgenden Tabelle finden Sie verschiedene Anwendungsfälle und die entsprechende Konfiguration:

Anwendungsfall Konfigurationsdetails Weitere Informationen
SSON ist in StoreFront konfiguriert Starten Sie Citrix Studio, navigieren Sie zu Store > Authentifizierungsmethoden verwalten - Store und aktivieren Sie Domänen-Passthrough-Authentifizierung. Wenn die Citrix Workspace-App nicht mit Single Sign-On konfiguriert ist, ändert sich die Authentifizierungsmethode automatisch von Domänen-Passthrough-Authentifizierung in Benutzername und Kennwort, sofern verfügbar.
Wenn Workspace für Web erforderlich ist Starten Sie Stores > Workspace für Websites > Authentifizierungsmethoden verwalten und aktivieren Sie Domänen-Passthrough-Authentifizierung. Wenn die Citrix Workspace-App nicht mit Single Sign-On konfiguriert ist, ändert sich die Authentifizierungsmethode automatisch von Domänen-Passthrough-Authentifizierung in Benutzername und Kennwort, sofern verfügbar.

Single Sign-On mit Citrix Gateway konfigurieren

Sie aktivieren Single Sign-On mit Citrix Gateway über die administrative Gruppenrichtlinienobjektvorlage. Sie müssen jedoch sicherstellen, dass Sie die Standardauthentifizierung und die Einzelfaktorauthentifizierung (nFactor mit 1 Faktor) auf dem Citrix Gateway aktiviert haben.

  1. Öffnen Sie die administrative GPO-Vorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
  2. Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Komponenten > Citrix Workspace > Benutzerauthentifizierung. Wählen Sie dann die Richtlinie Single Sign-On für Citrix Gateway.
  3. Wählen Sie Aktiviert.
  4. Klicken Sie auf Anwenden und OK.
  5. Starten Sie die Citrix Workspace-App neu, um die Änderungen zu übernehmen.

XML-Vertrauensdienste auf dem Delivery Controller konfigurieren

Führen Sie in Citrix Virtual Apps and Desktops und Citrix DaaS als Administrator den folgenden PowerShell-Befehl auf dem Delivery Controller aus:

asnp Citrix* ; Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $True

Ändern der Internet Explorer-Einstellungen

  1. Fügen Sie den StoreFront-Server der Liste der vertrauenswürdigen Sites im Internet Explorer hinzu. Schrittfolge zum Hinzufügen:
    1. Starten Sie Internetoptionen über die Systemsteuerung.
    2. Klicken Sie auf Sicherheit > Lokales Intranet und dann auf Sites.

      Das Fenster Lokales Intranet wird angezeigt.

    3. Wählen Sie Erweitert.
    4. Fügen Sie die URL des StoreFront-FQDN mit den entsprechenden HTTP- oder HTTPS-Protokollen hinzu.
    5. Klicken Sie auf Anwenden und OK.
  2. Ändern Sie im Internet Explorer die Einstellungen unter Benutzerauthentifizierung. Schrittfolge zum Modifizieren:
    1. Starten Sie Internetoptionen über die Systemsteuerung.
    2. Klicken Sie auf die Registerkarte Sicherheit > Lokales Intranet.
    3. Klicken Sie auf Stufe anpassen. Das Fenster Sicherheitseinstellungen – lokale Intranetzone wird angezeigt.
    4. Wählen Sie im Bereich Benutzerauthentifizierung die Option Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort.

      Benutzerauthentifizierung

    5. Klicken Sie auf Anwenden und OK.

Single Sign-On über die Befehlszeilenschnittstelle konfigurieren

Installieren Sie die Citrix Workspace-App mit dem Switch /includeSSON und starten Sie die Citrix Workspace-App neu, damit die Änderungen wirksam werden.

Single Sign-On mit der GUI konfigurieren

  1. Suchen Sie die Installationsdatei der Citrix Workspace-App (CitrixWorkspaceApp.exe).
  2. Doppelklicken Sie auf CitrixWorkspaceApp.exe, um das Installationsprogramm zu starten.
  3. Wählen Sie im Installationsassistenten zum Aktivieren von Single Sign-On die Option Single Sign-On aktivieren.
  4. Klicken Sie auf Weiter und folgen Sie den Anweisungen, um die Installation abzuschließen.

Sie können sich jetzt ohne Eingabe von Benutzeranmeldeinformationen mit der Citrix Workspace-App bei einem vorhandenen Store anmelden (oder einen neuen Store konfigurieren).

Single Sign-On in Workspace für Web konfigurieren

Sie können Single Sign-On in Workspace für Web mit der administrativen Gruppenrichtlinienobjektvorlage konfigurieren.

  1. Öffnen Sie die administrative GPO-Vorlage von Workspace für Web, indem Sie gpedit.msc ausführen.
  2. Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Komponenten > Citrix Workspace > Benutzerauthentifizierung.
  3. Wählen Sie die Richtlinie Lokaler Benutzername und Kennwort und legen Sie sie auf Aktiviert fest.
  4. Klicken Sie auf Passthrough-Authentifizierung aktivieren. Mit dieser Option kann Workspace für Web Ihre Anmeldeinformationen für die Authentifizierung auf dem Remoteserver verwenden.
  5. Klicken Sie auf Passthrough-Authentifizierung für alle ICA-Verbindungen zulassen. Mit dieser Option werden alle Authentifizierungseinschränkungen umgangen und das Passthrough von Anmeldeinformationen für alle Verbindungen ermöglicht.
  6. Klicken Sie auf Anwenden und OK.
  7. Starten Sie Workspace für Web neu, um die Änderungen zu übernehmen.

Stellen Sie sicher, dass Single Sign-On aktiviert ist, indem Sie den Task-Manager starten und prüfen, ob der Prozess ssonsvr.exe ausgeführt wird.

Single Sign-On mit Active Directory konfigurieren

Führen Sie die folgenden Schritte aus, um die Citrix Workspace-App für die Passthrough-Authentifizierung mit der Active Directory-Gruppenrichtlinie zu konfigurieren. In diesem Szenario können Sie die Authentifizierung per Single Sign-On auch ohne Enterprise-Software-Bereitstellungstools wie Microsoft System Center Configuration Manager erzielen.

  1. Laden Sie die Installationsdatei für die Citrix Workspace-App (CitrixWorkspaceApp.exe) auf eine geeignete Netzwerkfreigabe herunter. Die Maschinen, auf denen die Citrix Workspace-App installiert werden soll, müssen darauf Zugriff haben.

  2. Laden Sie die Vorlage CheckAndDeployWorkspacePerMachineStartupScript.bat von der Downloadseite für die Citrix Workspace-App für Windows herunter.

  3. Bearbeiten Sie den Inhalt, damit der Speicherort und die Version von CitrixWorkspaceApp.exe korrekt sind.

  4. Geben Sie in der Active Directory-Gruppenrichtlinienverwaltungskonsole als Startskript CheckAndDeployWorkspacePerMachineStartupScript.bat ein. Weitere Informationen zum Bereitstellen der Startskripts finden Sie im Abschnitt Active Directory.

  5. Navigieren Sie im Knoten Computerkonfiguration zu Administrative Vorlagen > Vorlagen hinzufügen/entfernen, um die Datei receiver.adml hinzuzufügen.

  6. Nachdem Sie die Vorlage receiver.adml hinzugefügt haben, navigieren Sie zu Computerkonfiguration > Administrative Vorlagen > Citrix Komponenten > Citrix Workspace > Benutzerauthentifizierung. Weitere Informationen über das Hinzufügen von Vorlagendateien finden Sie unter Administrative Gruppenrichtlinienobjektvorlage.

  7. Wählen Sie die Richtlinie Lokaler Benutzername und Kennwort und legen Sie sie auf Aktiviert fest.

  8. Wählen Sie Passthrough-Authentifizierung aktivieren und klicken Sie auf Übernehmen.

  9. Starten Sie die Maschine neu, damit die Änderungen wirksam werden.

Single Sign-On in StoreFront konfigurieren

Konfigurieren in StoreFront

  1. Starten Sie Citrix Studio auf dem StoreFront-Server und wählen Sie Stores > Authentifizierungsmethoden verwalten – Store.
  2. Wählen Sie dann Domänen-Passthrough.

alt_text

Authentifizierungstoken

Authentifizierungstoken werden verschlüsselt und auf dem lokalen Datenträger gespeichert, sodass Sie Ihre Anmeldeinformationen beim Neustart des Systems oder der Sitzung nicht erneut eingeben müssen. Die Citrix Workspace-App bietet eine Option, mit der das Speichern von Authentifizierungstoken auf dem lokalen Datenträger deaktiviert werden kann.

Mit einer neuen Richtlinie für ein Gruppenrichtlinienobjekt (GPO) kann das Speichern von Authentifizierungstoken konfiguriert und so die Sicherheit erhöht werden.

Hinweis:

Diese Konfiguration ist nur in Cloud-Bereitstellungen anwendbar.

Speicherung von Authentifizierungstoken über die GPO-Richtlinie deaktivieren:

  1. Öffnen Sie die administrative Gruppenrichtlinienobjektvorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
  2. Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Komponenten > Self-Service.
  3. Wählen Sie in der Richtlinie Authentifizierungstoken speichern eine der folgenden Optionen aus:

    • Aktiviert: Gibt an, dass die Authentifizierungstoken auf dem Datenträger gespeichert werden. Die Standardeinstellung ist “Aktiviert”.
    • Deaktiviert: Gibt an, dass die Authentifizierungstoken nicht auf dem Datenträger gespeichert sind. Geben Sie Ihre Anmeldeinformationen erneut ein, wenn Ihr System oder Ihre Sitzung neu gestartet wird.
  4. Klicken Sie auf Anwenden und OK.

Ab Version 2106 bietet die Citrix Workspace-App eine weitere Option, mit der das Speichern von Authentifizierungstoken auf dem lokalen Datenträger deaktiviert werden kann. Mit dem Global App Configuration Service können Sie die vorhandene GPO-Konfiguration und das Speichern von Authentifizierungstoken auf dem lokalen Datenträger deaktivieren.

Legen Sie im Global App Configuration Service das Attribut Store Authentication Tokens auf False fest.

Sie können diese Einstellung mithilfe des Global App Configuration Service und einer der folgenden Methoden konfigurieren:

Konfigurationsprüfung

Mit der Konfigurationsprüfung können Sie testen, ob Single Sign-On ordnungsgemäß konfiguriert ist. Der Test wird für verschiedene Prüfpunkte der Single Sign-On-Konfiguration ausgeführt und die Konfigurationsergebnisse werden angezeigt.

  1. Klicken Sie mit der rechten Maustaste im Infobereich auf das Symbol der Citrix Workspace-App und dann auf Erweiterte Einstellungen. Das Dialogfeld Erweiterte Einstellungen wird angezeigt.
  2. Klicken Sie auf Konfigurationsprüfung. Das Fenster Citrix Konfigurationsprüfung wird angezeigt.

    Konfigurationsprüfung

  3. Wählen Sie SSONChecker im Bereich Auswählen aus.
  4. Klicken Sie auf Ausführen. Eine Fortschrittsanzeige mit dem Status des Tests wird angezeigt.

Das Fenster der Konfigurationsprüfung enthält die folgenden Spalten:

  1. Status: zeigt das Ergebnis eines Tests auf einem bestimmten Prüfpunkt an.

    • Ein grünes Häkchen bedeutet, dass der Prüfpunkt ordnungsgemäß konfiguriert ist.
    • Ein blaues I bedeutet, dass zu dem Prüfpunkt Informationen vorhanden sind.
    • Ein rotes X bedeutet, dass der Prüfpunkt nicht ordnungsgemäß konfiguriert ist.
  2. Anbieter: zeigt den Namen des Moduls an, auf dem der Test ausgeführt wird. In diesem Fall Single Sign-On.
  3. Suite: die Kategorie des Tests. Beispiel: Installation.
  4. Test: der Name des Tests, der ausgeführt wird.
  5. Details: zusätzliche Informationen zum Test (für bestandene und für fehlgeschlagene Tests).

Der Benutzer erhält weitere Informationen zu den einzelnen Prüfpunkten und den entsprechenden Ergebnissen.

Die folgenden Tests werden durchgeführt:

  1. Installation mit Single Sign-On.
  2. Erfassen der Anmeldeinformationen.
  3. Registrierung von Netzwerkanbieter: Das Testergebnis für “Registrierung von Netzwerkanbieter” hat nur dann ein grünes Häkchen, wenn “Citrix Single Sign-On” als erster Netzwerkanbieter festgelegt ist. Wenn “Citrix Single Sign-On” an einer weiteren Stelle in der Liste steht, werden neben dem Testergebnis für “Registrierung von Netzwerkanbieter” ein blaues I und zusätzliche Informationen angezeigt.
  4. Single Sign-On-Prozess wird ausgeführt.
  5. Gruppenrichtlinie: Diese Richtlinie ist standardmäßig auf dem Client konfiguriert.
  6. Interneteinstellungen für Sicherheitszonen: Sie müssen die Store-/XenApp-Dienst-URL der Liste der Sicherheitszonen in den Internetoptionen hinzufügen. Wenn die Sicherheitszonen per Gruppenrichtlinie konfiguriert sind, erfordern Änderungen in der Richtlinie das erneute Öffnen des Fensters Erweiterte Einstellungen, damit die Änderungen wirksam werden und der richtige Teststatus angezeigt wird.
  7. Authentifizierungsmethode für StoreFront.

Hinweis:

  • Wenn Sie auf Workspace für Web zugreifen, gelten die Testergebnisse nicht.
  • Wenn die Citrix Workspace-App mit mehreren Stores konfiguriert ist, wird der Test für die Authentifizierungsmethode für alle konfigurierten Stores ausgeführt.
  • Sie können die Testergebnisse als Berichte speichern. Das Standardberichtformat ist TXT.

Ausblenden der Konfigurationsprüfung im Fenster “Erweiterte Einstellungen”

  1. Öffnen Sie die administrative GPO-Vorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
  2. Navigieren Sie zu Citrix Komponenten > Citrix Workspace > Self-Service > DisableConfigChecker.
  3. Klicken Sie auf Aktiviert, um die Option Konfigurationsprüfung im Fenster Erweiterte Einstellungen auszublenden.
  4. Klicken Sie auf Anwenden und OK.
  5. Führen Sie den Befehl gpupdate /force aus.

Einschränkung:

Die Konfigurationsprüfung enthält nicht den Prüfpunkt für die Konfiguration von “An XML-Dienst gesendeten Anfragen vertrauen” auf Citrix Virtual Apps and Desktops-Servern.

Beacontest

Mit der Citrix Workspace-App können Sie einen Beacontest durchführen. Hierfür verwenden Sie den in der Konfigurationsprüfung enthaltenen Beacon Checker. Über den Beacontest können Sie prüfen, ob der Beacon (ping.citrix.com) erreichbar ist. Ab der Version 2405 der Citrix Workspace-App für Windows funktioniert der Beacon-Test für alle Beacons, die in dem Store konfiguriert sind, der in der Citrix Workspace-App hinzugefügt wurde. Dieser Diagnosetest hilft dabei, eine der vielen möglichen Ursachen für eine langsame Ressourcenaufzählung zu eliminieren, nämlich die Nichtverfügbarkeit des Beacons. Um den Test auszuführen, klicken Sie mit der rechten Maustaste auf die Citrix Workspace-App im Infobereich und wählen Sie Erweiterte Einstellungen > Konfigurationsprüfung. Wählen Sie in der Liste der vorhandenen Tests die Option Beacon checker und klicken Sie auf Ausführen.

Der Test kann folgende Ergebnisse haben:

  • Erreichbar: Die Citrix Workspace-App kann den Beacon erfolgreich kontaktieren.
  • Nicht erreichbar: Die Citrix Workspace-App kann den Beacon nicht kontaktieren.
  • Teilweise erreichbar: Die Citrix Workspace-App kann den Beacon sporadisch kontaktieren.

Hinweis:

  • Die Testergebnisse gelten nicht für Workspace für Web.
  • Sie können die Testergebnisse als Bericht speichern. Das Standardberichtformat ist TXT.

Domänen-Passthrough-Authentifizierung (Single Sign-On) mit Kerberos

Dieser Abschnitt gilt nur für Verbindungen zwischen der Citrix Workspace-App für Windows und StoreFront, Citrix Virtual Apps and Desktops und Citrix DaaS.

Die Citrix Workspace-App für Windows unterstützt Kerberos für Domänen-Passthrough-Authentifizierung (Single Sign-On) in Bereitstellungen mit Smartcardverwendung. Kerberos ist eine der in der integrierten Windows-Authentifizierung (IWA) enthaltenen Authentifizierungsmethoden.

Bei Aktivierung handhabt Kerberos die Authentifizierung ohne Kennwörter für die Citrix Workspace-App und verhindert so trojanerartige Angriffe auf Benutzergeräte, die den Zugriff auf Kennwörter zum Ziel haben. Benutzer nutzen eine beliebige Authentifizierungsmethode (z. B. biometrische Authentifizierungsmethoden wie ein Fingerabdrucklesegerät), um sich anzumelden und auf veröffentlichte Ressourcen zuzugreifen.

Sind die Citrix Workspace-App, StoreFront sowie Citrix Virtual Apps and Desktops und Citrix DaaS für die Smartcard-Authentifizierung konfiguriert, geschieht bei der Anmeldung bei der Citrix Workspace-App mit einer Smartcard Folgendes:

  1. Die App erfasst die Smartcard-PIN beim Single Sign-On.
  2. Die App authentifiziert den Benutzer mit IWA (Kerberos) bei StoreFront. StoreFront stellt der Citrix Workspace-App dann Informationen zum verfügbaren Citrix Virtual Apps and Desktops und Citrix DaaS bereit.

    Hinweis:

    Aktivieren Sie Kerberos, um eine zusätzliche PIN-Eingabeaufforderung zu vermeiden. Wird die Kerberos-Authentifizierung nicht verwendet, führt die Citrix Workspace-App mit den Smartcard-Anmeldeinformationen eine Authentifizierung bei StoreFront durch.

  3. Die HDX Engine (zuvor “ICA-Client”) übergibt die Smartcard-PIN an den VDA, um den Benutzer an der Citrix Workspace-App-Sitzung anzumelden. Citrix Virtual Apps and Desktops und Citrix DaaS stellen dann die angeforderten Ressourcen bereit.

Zur Verwendung der Kerberos-Authentifizierung mit der Citrix Workspace-App prüfen Sie, ob die Kerberos-Konfiguration folgenden Punkten entspricht.

  • Kerberos funktioniert nur zwischen Citrix Workspace-App und Servern, die zu denselben oder vertrauenswürdigen Windows Server-Domänen gehören. Den Servern wird zudem für Delegierungszwecke vertraut. Dies können Sie über das Verwaltungstool für Active Directory-Benutzer und -Computer konfigurieren.
  • Kerberos muss sowohl in der Domäne als auch in Citrix Virtual Apps and Desktops und Citrix DaaS aktiviert sein. Um hohe Sicherheitsstandards und die Verwendung von Kerberos zu gewährleisten, deaktivieren Sie in der Domäne alle IWA-Optionen außer Kerberos.
  • Die Kerberos-Anmeldung ist nicht verfügbar für Remotedesktopdienste-Verbindungen, die eine Standardauthentifizierung nutzen, stets vorgegebene Anmeldeinformationen verwenden oder immer zur Eingabe des Kennworts auffordern.

Warnung:

Die unsachgemäße Verwendung des Registrierungs-Editors kann zu schwerwiegenden Problemen führen, die nur durch eine Neuinstallation des Betriebssystems gelöst werden können. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine unsachgemäße Verwendung des Registrierungs-Editors zurückzuführen sind, behoben werden können. Die Verwendung des Registrierungs-Editors geschieht daher auf eigene Gefahr. Machen Sie auf jeden Fall ein Backup der Registrierung, bevor Sie sie bearbeiten.

Domänen-Passthrough-Authentifizierung (Single Sign-On) mit Kerberos für die Verwendung mit Smartcards

Lesen Sie zuerst die Informationen im Abschnitt Sichern der Bereitstellung in der Citrix Virtual Apps and Desktops-Dokumentation, bevor Sie fortfahren.

Wenn Sie die Citrix Workspace-App für Windows installieren, fügen Sie die folgende Befehlszeilenoption hinzu:

  • /includeSSON

    Mit dieser Option wird die Single Sign-On-Komponente auf dem in die Domäne eingebundenen Computer installiert, sodass der Workspace mit IWA (Kerberos) die Authentifizierung bei StoreFront durchführen kann. Die Single Sign-On-Komponente speichert die Smartcard-PIN, mit der die HDX Engine eine Remoteverbindung zwischen Smartcard-Hardware und -Anmeldeinformationen und Citrix Virtual Apps and Desktops und Citrix DaaS herstellt. Citrix Virtual Apps and Desktops und Citrix DaaS wählen automatisch ein Zertifikat von der Smartcard aus und rufen die PIN von der HDX Engine ab.

    Die verwandte Option ENABLE_SSON ist standardmäßig aktiviert.

Wenn Sie Single Sign-On aufgrund einer Sicherheitsrichtlinie auf einem Gerät nicht aktivieren können, konfigurieren Sie die Citrix Workspace-App mit der administrativen Gruppenrichtlinienobjektsvorlage.

  1. Öffnen Sie die administrative Gruppenrichtlinienobjektvorlage der Citrix Workspace-App durch Ausführen von gpedit.msc.
  2. Wählen Sie Administrative Vorlagen > Citrix Komponenten > Citrix Workspace > Benutzerauthentifizierung > Lokaler Benutzername und Kennwort.
  3. Wählen Sie Passthrough-Authentifizierung aktivieren.
  4. Starten Sie die Citrix Workspace-App neu, um die Änderungen zu übernehmen.

    Passthrough-Authentifizierung aktivieren

StoreFront konfigurieren:

Wenn Sie den Authentifizierungsdienst auf dem StoreFront-Server konfigurieren, aktivieren Sie die Option Domänen-Passthrough. Mit dieser Einstellung wird die integrierte Windows-Authentifizierung aktiviert. Die Option “Smartcard” muss nur aktiviert werden, wenn Sie auch Clients haben, die nicht in Domänen eingebunden sind und mit Smartcards eine Verbindung mit StoreFront herstellen.

Weitere Informationen zur Verwendung von Smartcards mit StoreFront finden Sie unter Konfigurieren des Authentifizierungsdiensts in der StoreFront-Dokumentation.

Unterstützung für bedingten Zugriff mit Azure Active Directory

Der bedingte Zugriff ist ein Tool, mit dem Azure Active Directory Organisationsrichtlinien durchsetzt. Workspace-Administratoren können Richtlinien für den bedingten Zugriff mit Azure Active Directory für Benutzer konfigurieren und erzwingen, die sich bei der Citrix Workspace-App authentifizieren. Auf der Windows-Maschine, auf der die Citrix Workspace-App ausgeführt wird, muss Microsoft Edge WebView2 Runtime-Version 99 oder höher installiert sein.

Ausführliche Informationen und Anweisungen zum Konfigurieren von Richtlinien für den bedingten Zugriff mit Azure Active Directory finden Sie in der Dokumentation zum bedingten Azure AD-Zugriff unter Docs.microsoft.com/de-de/azure/active-directory/conditional-access/.

Hinweis:

Dieses Feature wird nur für Workspace (Cloud)-Bereitstellungen unterstützt.

Unterstützung moderner Authentifizierungsmethoden für StoreFront-Stores

Ab Citrix Workspace-App 2303 für Windows können Sie mithilfe der GPO-Vorlage die Unterstützung moderner Authentifizierungsmethoden für StoreFront-Stores aktivieren. Ab Citrix Workspace-App Version 2305.1 können Sie das Feature über den Global App Config Service aktivieren.

Nutzen Sie eine der folgenden Methoden zur Authentifizierung bei Citrix StoreFront-Stores:

  • Windows Hello und FIDO2-Sicherheitsschlüssel. Weitere Informationen finden Sie unter Weitere Authentifizierungsmethoden.
  • Single Sign-On bei Citrix StoreFront-Stores auf in Azure Active Directory (AAD) eingebundenen Maschinen mit AAD als Identitätsanbieter. Weitere Informationen finden Sie unter Weitere Authentifizierungsmethoden.
  • Workspace-Administratoren können Richtlinien für den bedingten Zugriff mit Azure Active Directory für Benutzer konfigurieren und erzwingen, die sich bei Citrix StoreFront-Stores authentifizieren. Weitere Informationen finden Sie unter Unterstützung für bedingten Zugriff mit Azure AD.

Um dieses Feature zu aktivieren, müssen Sie Microsoft Edge WebView2 als zugrunde liegenden Browser für die direkte StoreFront- und Gateway-Authentifizierung verwenden.

Hinweis:

Stellen Sie sicher, dass Sie Microsoft Edge WebView2 Runtime-Version 102 oder höher verwenden.

Mit dem Global App Config Service und der Gruppenrichtlinienobjektvorlage können Sie moderne Authentifizierungsmethoden für StoreFront-Stores aktivieren.

Global App Config Service verwenden

Aktivieren des Features:

  1. Wählen Sie im Citrix Cloud-Menü zunächst Workspacekonfiguration und dann App-Konfiguration.
  2. Klicken Sie auf Sicherheit & Authentifizierung.
  3. Stellen Sie sicher, dass das Kontrollkästchen Windows aktiviert ist.
  4. Wählen Sie in der Dropdownliste Microsoft Edge WebView für StoreFront-Authentifizierung neben Windows die Option Aktiviert.

    Microsoft Edge WebView für StoreFront-Authentifizierung GACS

Hinweis:

Wenn Sie in der Dropdownliste Microsoft Edge WebView für StoreFront-Authentifizierung neben Windows die Option Deaktiviert auswählen, wird Internet Explorer WebView in der Citrix Workspace-App verwendet und die modernen Authentifizierungsmethoden für Citrix StoreFront-Stores werden nicht unterstützt.

GPO verwenden

Aktivieren des Features:

  1. Öffnen Sie die administrative Gruppenrichtlinienobjektvorlage der Citrix Workspace-App durch Ausführen von gpedit.msc.
  2. Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Workspace > Benutzerauthentifizierung.
  3. Klicken Sie auf die Richtlinie Microsoft Edge WebView für StoreFront-Authentifizierung und setzen Sie sie auf Aktiviert.

    Richtlinie "Microsoft Edge WebView für StoreFront-Authentifizierung"

  4. Klicken Sie auf Anwenden und auf OK.

Wenn diese Richtlinie deaktiviert ist, verwendet die Citrix Workspace-App Internet Explorer WebView. Die modernen Authentifizierungsmethoden für Citrix StoreFront-Stores werden dann nicht unterstützt.

Weitere Authentifizierungsmethoden

Sie können die folgenden Authentifizierungsmethoden mit der Citrix Workspace-App konfigurieren. Damit die folgenden Authentifizierungsmethoden wie erwartet funktionieren, muss auf der Windows-Maschine, auf der die Citrix Workspace-App ausgeführt wird, Microsoft Edge WebView2 Runtime-Version 99 oder höher installiert sein.

  1. Windows Hello-basierte Authentifizierung: Anweisungen zum Konfigurieren der Windows Hello-basierten Authentifizierung finden Sie im Artikel Configure Windows Hello for Business Policy settings - Certificate Trust unter “Docs.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/hello-cert-trust-policy-settings”.

    Hinweis:

    Windows Hello-basierte Authentifizierung mit Domänen-Passthrough (Single Sign-On) wird nicht unterstützt.

  2. Authentifizierung mit FIDO2-Sicherheitsschlüsseln: FIDO2-Sicherheitsschlüssel ermöglichen Unternehmensmitarbeitern eine nahtlose Authentifizierung ohne Eingabe von Benutzernamen oder Kennwort. Sie können die Authentifizierung mit FIDO2-Sicherheitsschlüsseln für Citrix Workspace konfigurieren. Wenn sich Benutzer bei Citrix Workspace mit ihrem Azure AD-Konto mit einem FIDO2-Sicherheitsschlüssel authentifizieren sollen, lesen Sie den Artikel Enable passwordless security key sign-in unter Docs.microsoft.com/de-de/azure/active-directory/authentication/howto-authentication-passwordless-security-key.
  3. Sie können Single Sign-On (SSO) für Citrix Workspace-App auch von in Microsoft Azure Active Directory (AAD) eingebundenen Maschinen mit AAD als Identitätsanbieter konfigurieren. Weitere Informationen zum Konfigurieren von Azure Active Directory-Domänendiensten finden Sie im Artikel Configuring Azure Active Directory Domain services unter Docs.microsoft.com/de-de/azure/active-directory-domain-services/overview. Weitere Informationen zum Verbinden von Azure Active Directory mit Citrix Cloud finden Sie unter Verbinden von Azure Active Directory mit Citrix Cloud.

Smartcard

Citrix Workspace-App für Windows unterstützt folgende Smartcardauthentifizierung.

  • Passthrough-Authentifizierung (Single Sign-On): Die Passthrough-Authentifizierung erfasst die Smartcard-Anmeldeinformationen, wenn Benutzer sich bei der Citrix Workspace-App anmelden. Die Citrix Workspace-App verwendet die erfassten Anmeldeinformationen wie folgt:

    • Benutzer von in Domänen eingebundenen Geräten, die sich mit einer Smartcard bei der Citrix Workspace-App anmelden, können virtuelle Desktops und Anwendungen ohne erneute Authentifizierung starten.
    • Ist die Citrix Workspace-App auf nicht in Domänen eingebundenen Geräten, die die Smartcard-Anmeldeinformationen verwenden, müssen die Benutzer zum Starten eines virtuellen Desktops oder einer virtuellen Anwendung die Anmeldeinformationen erneut eingeben.

    StoreFront und die Citrix Workspace-App müssen beide für die Passthrough-Authentifizierung konfiguriert werden.

  • Bimodale Authentifizierung: Bei der bimodalen Authentifizierung können die Benutzer zwischen einer Smartcard und der Eingabe des Benutzernamens und des Kennworts wählen. Das Feature eignet sich für Fälle, wenn keine Smartcard verwendet werden kann. Beispielsweise wenn das Anmeldezertifikat abgelaufen ist. Für die bimodale Authentifizierung müssen dedizierte Stores pro Site eingerichtet werden, damit die Methode DisableCtrlAltDel zur Smartcardverwendung auf False festgelegt werden kann. Die bimodale Authentifizierung erfordert eine StoreFront-Konfiguration.

    Mit der bimodalen Authentifizierung kann der StoreFront-Administrator die Authentifizierung über Benutzernamen/Kennwort und per Smartcard bei dem gleichen Store durch Auswahl in der StoreFront-Konsole zulassen. Weitere Informationen finden Sie in der StoreFront-Dokumentation.

  • Mehrere Zertifikate: Mehrere Zertifikate können für eine Smartcard genutzt werden und wenn mehrere Smartcards verwendet werden. Wird eine Smartcard in einen Kartenleser einführt, gelten die Zertifikate für alle Anwendungen, die auf dem Gerät ausgeführt werden, einschließlich der Citrix Workspace-App.

  • Clientzertifikatauthentifizierung: Citrix Gateway und StoreFront müssen für die Clientzertifikatauthentifizierung konfiguriert werden.

    • Für den Zugriff auf StoreFront über Citrix Gateway ist nach dem Entfernen der Smartcard eine erneute Authentifizierung erforderlich.
    • Wenn die SSL-Konfiguration von Citrix Gateway auf Mandatory client certificate authentication (Verbindliche Clientzertifikatauthentifizierung) festgelegt ist, ist der Betrieb sicherer. Die verbindliche Clientzertifikatauthentifizierung ist jedoch nicht mit der bimodalen Authentifizierung kompatibel.
  • Double-Hop-Sitzungen: Wenn ein Double Hop benötigt wird, wird eine Verbindung zwischen Citrix Workspace-App und dem virtuellen Desktop des Benutzers hergestellt.

  • Smartcard-aktivierte Anwendungen: In smartcard-aktivierten Anwendungen, wie Microsoft Outlook und Microsoft Office, können Benutzer Dokumente, die in Sitzungen mit virtuellen Apps und Desktops verfügbar sind, digital signieren oder verschlüsseln.

Einschränkungen:

  • Zertifikate müssen auf der Smartcard und nicht auf dem Benutzergerät gespeichert sein.
  • Die Zertifikatauswahl wird in der Citrix Workspace-App nicht gespeichert, es wird jedoch bei entsprechender Konfiguration die PIN gespeichert. Die PIN wird im nicht ausgelagerten Speicher für die Dauer der Benutzersitzung zwischengespeichert. Sie wird nicht auf der Festplatte gespeichert.
  • Die Citrix Workspace-App stellt die Verbindung mit einer Sitzung nicht wieder her, wenn eine Smartcard eingesteckt wird.
  • Wenn die Citrix Workspace-App für die Smartcardauthentifizierung konfiguriert ist, wird VPN-Single Sign-On oder Sitzungsvorabstart nicht unterstützt. Für die Verwendung eines VPN mit der Smartcardauthentifizierung installieren Sie das Citrix Gateway Plug-In. Melden Sie sich über eine Webseite an und authentifizieren Sie sich bei jedem Schritt mit den Smartcards und PINs. Die Passthrough-Authentifizierung bei StoreFront mit dem Citrix Gateway Plug-In ist für Smartcardbenutzer nicht verfügbar.
  • Die Kommunikation des Updater-Tools der Citrix Workspace-App mit citrix.com und Merchandising Server ist nicht kompatibel mit der Smartcardauthentifizierung auf Citrix Gateway.

Warnung

Einige Konfigurationen erfordern Registrierungsänderungen. Die unsachgemäße Verwendung des Registrierungs-Editors kann zu schwerwiegenden Problemen führen, die nur durch eine Neuinstallation des Betriebssystems gelöst werden können. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine unsachgemäße Verwendung des Registrierungs-Editors zurückzuführen sind, behoben werden können. Machen Sie auf jeden Fall ein Backup der Registrierung, bevor Sie sie bearbeiten.

Single Sign-On für die Smartcardauthentifizierung aktivieren:

Fügen Sie zum Konfigurieren der Citrix Workspace-App für Windows bei der Installation die folgende Befehlszeilenoption hinzu:

  • ENABLE_SSON=Yes

    Single Sign-On ist ein anderer Begriff für Passthrough-Authentifizierung. Wenn diese Einstellung aktiviert ist, zeigt die Citrix Workspace-App keine zweite PIN-Eingabeaufforderung an.

  • Navigieren Sie im Registrierungs-Editor zum folgenden Pfad und legen Sie die Zeichenfolge SSONCheckEnabled auf False fest, wenn die Single Sign-On-Komponente nicht installiert ist.

    HKEY_CURRENT_USER\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\

    HKEY_LOCAL_MACHINE\Software{Wow6432}\Citrix\AuthManager\protocols\integratedwindows\

    Der Schlüssel verhindert, dass der Authentifizierungsmanager der Citrix Workspace-App nach der Single Sign-On-Komponente sucht, sodass die Citrix Workspace-App die Authentifizierung bei StoreFront durchführen kann.

Zum Aktivieren der Smartcardauthentifizierung bei StoreFront anstelle von Kerberos installieren Sie die Citrix Workspace-App für Windows mit folgenden Befehlszeilenoptionen:

  • /includeSSON installiert die Single Sign-On-Authentifizierung (Passthrough-Authentifizierung). Aktiviert das Zwischenspeichern der Anmeldeinformationen und die Verwendung der domänenbasierten Passthrough-Authentifizierung.

  • Meldet der Benutzer sich beim Endpunkt mit einer anderen Authentifizierungsmethode an (z. B. über Benutzernamen und Kennwort), verwenden Sie folgende Befehlszeile:

    /includeSSON LOGON_CREDENTIAL_CAPTURE_ENABLE=No

Diese Art der Authentifizierung verhindert, dass die Anmeldeinformationen bei der Anmeldung erfasst werden. Gleichzeitig kann die Citrix Workspace-App die PIN bei der Anmeldung an der Citrix Workspace-App speichern.

  1. Öffnen Sie die administrative Gruppenrichtlinienobjektvorlage der Citrix Workspace-App durch Ausführen von gpedit.msc.
  2. Wählen Sie Administrative Vorlagen > Citrix Komponenten > Citrix Workspace > Benutzerauthentifizierung > Lokaler Benutzername und Kennwort.
  3. Wählen Sie Passthrough-Authentifizierung aktivieren. Je nach Konfiguration und Sicherheitseinstellungen müssen Sie möglicherweise die Option Passthrough-Authentifizierung für alle ICA-Verbindungen zulassen aktivieren, damit die Passthrough-Authentifizierung funktioniert.

StoreFront konfigurieren:

  • Wenn Sie den Authentifizierungsdienst konfigurieren, aktivieren Sie das Kontrollkästchen Smartcard.

Weitere Informationen zur Verwendung von Smartcards mit StoreFront finden Sie unter Konfigurieren des Authentifizierungsdiensts in der StoreFront-Dokumentation.

Aktivieren der Benutzergeräte für die Smartcardverwendung:

  1. Importieren Sie das Stammzertifikat der Zertifizierungsstelle in den Schlüsselspeicher des Geräts.
  2. Installieren Sie die kryptografische Middleware.
  3. Installieren und konfigurieren Sie die Citrix Workspace-App.

Ändern der Zertifikatauswahl:

Wenn mehrere Zertifikate gültig sind, fordert die Citrix Workspace-App den Benutzer standardmäßig auf, ein Zertifikat aus der Liste auszuwählen. Sie können die Citrix Workspace-App jedoch auch so konfigurieren, dass das Standardzertifikat (gemäß Smartcardanbieter) oder das Zertifikat mit dem spätesten Ablaufdatum verwendet wird. Wenn keine gültigen Anmeldezertifikate vorhanden sind, wird der Benutzer benachrichtigt und kann eine alternative Anmeldemethode (falls vorhanden) verwenden.

Ein gültiges Zertifikat muss die drei folgenden Merkmale haben:

  • Die aktuelle Uhrzeit auf dem lokalen Computer liegt im Gültigkeitszeitraum des Zertifikats.
  • Der öffentliche Schlüssel des Subjekts muss den RSA-Algorithmus verwenden und eine Schlüssellänge von 1024, 2048 oder 4096 Bit haben.
  • Die Schlüsselverwendung muss die digitale Signatur enthalten.
  • Der alternative Antragstellername muss den Benutzerprinzipalnamen (UPN) enthalten.
  • Die erweiterte Schlüsselverwendung muss Smartcard-Anmeldung und Clientauthentifizierung oder alle Schlüsselverwendungen enthalten.
  • Eine der Zertifizierungsstellen in der Ausstellerkette des Zertifikats muss mit einem der zulässigen Distinguished Names übereinstimmen, den der Server im TLS-Handshake sendet.

Ändern Sie mit einer der folgenden Methoden, wie Zertifikate ausgewählt werden:

  • Geben Sie in der Befehlszeile der Citrix Workspace-App die Option AM_CERTIFICATESELECTIONMODE={ Prompt | SmartCardDefault | LatestExpiry } an.

    Prompt ist der Standard. Wenn mehrere Zertifikate die Anforderungen erfüllen, fordert Citrix Workspace für SmartCardDefault oder LatestExpiry den Benutzer zur Auswahl eines Zertifikats auf.

  • Fügen Sie dem Registrierungsschlüssel HKEY_CURRENT_USER OR HKEY_LOCAL_MACHINE\Software\[Wow6432Node\Citrix\AuthManager den folgenden Schlüsselwert hinzu: CertificateSelectionMode={ Prompt SmartCardDefault LatestExpiry }.

In HKEY_CURRENT_USER definierte Werte haben Priorität über Werte in HKEY_LOCAL_MACHINE, um dem Benutzer die Auswahl des Zertifikats zu erleichtern.

CSP-PIN-Aufforderungen verwenden:

Die PIN-Aufforderungen, die den Benutzern angezeigt werden, werden standardmäßig von der Citrix Workspace-App für Windows und nicht von dem Smartcard-Kryptografiedienstanbieter bereitgestellt. Die Citrix Workspace-App fordert die Benutzer bei Bedarf zur Eingabe einer PIN auf und übergibt die PIN an den Smartcard-Kryptografiedienstanbieter. Wenn die Site oder Smartcard strengere Sicherheitsanforderungen hat, z. B. kein Zwischenspeichern der PIN pro Prozess oder pro Sitzung zulässt, können Sie in der Citrix Workspace-App konfigurieren, dass die PIN-Eingabe, einschließlich der Aufforderung für eine PIN, von den Komponenten des Kryptografiedienstanbieters verwaltet wird.

Ändern Sie mit einer der folgenden Methoden, wie die PIN-Eingabe gehandhabt wird:

  • Geben Sie in der Befehlszeile der Citrix Workspace-App die Option AM_SMARTCARDPINENTRY=CSP an.
  • Fügen Sie dem Registrierungsschlüssel HKEY_LOCAL_MACHINE\Software\[Wow6432Node\Citrix\AuthManager den folgenden Schlüsselwert hinzu: SmartCardPINEntry=CSP.

Änderungen bei der Unterstützung und Entfernung von Smartcards

Eine Citrix Virtual Apps-Sitzung wird abgemeldet, wenn Sie die Smartcard entfernen. Wenn Smartcard als Authentifizierungsmethode für die Citrix Workspace-App konfiguriert ist, müssen Sie die entsprechende Richtlinie in der Citrix Workspace-App für Windows konfigurieren, damit das Abmelden der Citrix Virtual Apps-Sitzung erzwungen werden kann. Der Benutzer bleibt an der Citrix Workspace-App-Sitzung angemeldet.

Einschränkung:

Wenn Sie sich an der Citrix Workspace-App per Smartcardauthentifizierung anmelden, wird der Benutzername als Angemeldet angezeigt.

Schnelle-Smartcard-Feature

Das Schnelle-Smartcard-Feature ist eine Verbesserung gegenüber der alten HDX PC/SC-basierten Smartcardumleitung. Das Feature verbessert die Leistung, wenn Smartcards in WANs mit hoher Latenz verwendet werden.

Schnelle Smartcards werden nur unter Windows VDA unterstützt.

Aktivieren der schnellen Smartcardanmeldung in der Citrix Workspace-App:

Die schnelle Smartcardanmeldung ist standardmäßig auf dem VDA aktiviert und in der Citrix Workspace-App standardmäßig deaktiviert. Um die schnelle Smartcardanmeldung zu aktivieren, fügen Sie den folgenden Parameter in die Datei default.ica der zugeordneten StoreFront-Site ein:

copy[WFClient]
SmartCardCryptographicRedirection=On
<!--NeedCopy-->

Deaktivieren der schnellen Smartcardanmeldung in der Citrix Workspace-App:

Um die schnelle Smartcardanmeldung in der Citrix Workspace-App zu deaktivieren, entfernen Sie den Parameter SmartCardCryptographicRedirection aus der Datei default.ica der zugeordneten StoreFront-Site.

Weitere Informationen finden Sie unter Smartcards.

Automatische Authentifizierung für Citrix Workspace

Die Citrix Workspace-App führt eine Richtlinie für ein Gruppenrichtlinienobjekt (GPO) ein, um die automatische Authentifizierung für Citrix Workspace zu aktivieren. Diese Richtlinie ermöglicht es der Citrix Workspace-App, sich beim Systemstart automatisch bei Citrix Workspace anzumelden. Verwenden Sie diese Richtlinie nur, wenn Domänen-Passthrough (Single Sign-On) für Citrix Workspace auf in Domänen eingebundenen Geräten konfiguriert ist. Dieses Feature ist in der Citrix Workspace-App für Windows Version 2012 und höher verfügbar.

Damit diese Richtlinie funktioniert, müssen die folgenden Kriterien erfüllt sein:

  • Single Sign-On muss aktiviert sein.
  • Der Schlüssel SelfServiceMode muss im Registrierungs-Editor auf Off festgelegt sein.

Aktivieren der automatischen Authentifizierung:

  1. Öffnen Sie die administrative Gruppenrichtlinienobjektvorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
  2. Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Workspace > Self-Service.
  3. Klicken Sie auf die Richtlinie Automatische Authentifizierung für Citrix Workspace und legen Sie sie auf Aktiviert fest.
  4. Klicken Sie auf Anwenden und OK.

Zwischenspeicherung von Kennwörtern und Benutzernamen in Citrix Workspace-App für Windows deaktivieren

Standardmäßig verwendet Citrix Workspace für Windows automatisch den zuletzt eingegebenen Benutzernamen. Um das automatische Einfügen des Benutzernamens in das entsprechende Feld zu deaktivieren, bearbeiten Sie die Registrierung auf dem Benutzergerät:

  1. Erstellen Sie einen REG_SZ-Wert unter HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\AuthManager\RememberUsername.
  2. Geben Sie als Wert “false” an.

Um das Kontrollkästchen Kennwort speichern zu deaktivieren und die automatische Anmeldung zu verhindern, erstellen Sie den folgenden Registrierungsschlüssel auf der Clientmaschine, auf der die Citrix Workspace-App für Windows installiert ist:

  • Pfad: HKEY_LOCAL_MACHINE\Software\wow6432node\Citrix\AuthManager
  • Typ: REG_SZ
  • Name: SavePasswordMode
  • Wert: Never

Hinweis:

Die unsachgemäße Verwendung des Registrierungs-Editors kann zu schwerwiegenden Problemen führen, die nur durch eine Neuinstallation des Betriebssystems gelöst werden können. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine falsche Verwendung des Registrierungs-Editors zurückzuführen sind, behoben werden können. Die Verwendung des Registrierungs-Editors geschieht daher auf eigene Gefahr. Machen Sie auf jeden Fall ein Backup der Registrierung, bevor Sie sie bearbeiten.

Informationen zum Verhindern des Zwischenspeicherns von Anmeldeinformationen für StoreFront-Stores finden Sie in der StoreFront-Dokumentation unter Deaktivieren der Zwischenspeicherung von Kennwörtern und Benutzernamen in der Citrix Workspace-App für Windows.

Unterstützung für mehr als 200 Gruppen in Azure AD

Ab diesem Release kann ein Azure AD-Benutzer, der Mitglied in mehr als 200 Gruppen ist, ihm zugewiesene Apps und Desktops anzeigen. Bisher konnte er diese Apps und Desktops nicht sehen.

Hinweis:

Benutzer müssen sich von der Citrix Workspace-App abmelden und wieder anmelden, um diese Funktion zu aktivieren.

Unterstützung der Proxyauthentifizierung

Bisher konnten Sie sich auf Clientcomputern, die für die Proxyauthentifizierung konfiguriert waren, nicht bei der Citrix Workspace-App authentifizieren, wenn die Proxyanmeldeinformationen nicht in der Windows-Anmeldeinformationsverwaltung gespeichert waren.

Für Citrix Workspace-App für Windows Version 2102 und höher gilt: Wenn auf Clientmaschinen, die für die Proxyauthentifizierung konfiguriert sind, die Proxyanmeldeinformationen nicht in der Windows-Anmeldeinformationsverwaltung gespeichert sind, werden Sie aufgefordert, die Proxyanmeldeinformationen einzugeben. Die Citrix Workspace-App speichert dann die Anmeldeinformationen des Proxyservers in der Windows-Anmeldeinformationsverwaltung. Dies führt zu einer nahtlosen Anmeldeerfahrung, da Sie Ihre Anmeldeinformationen vor dem Zugriff auf die Citrix Workspace-App nicht manuell in der Windows-Anmeldeinformationsverwaltung speichern müssen.

User-Agent

Die Citrix Workspace-App sendet einen User-Agent in Netzwerkanforderungen, mit dem Authentifizierungsrichtlinien konfiguriert werden können, einschließlich der Umleitung der Authentifizierung an andere Identitätsanbieter (IdPs).

Hinweis:

Die Versionsnummern, die in der folgenden Tabelle als Teil des User-Agents erwähnt werden, sind Beispiele und werden automatisch auf der Grundlage der von Ihnen verwendeten Versionen aktualisiert.

In der folgenden Tabelle werden Szenarien mit Beschreibung und User-Agent beschrieben:

Szenario Beschreibung User-Agent
Allgemeine HTTP-Anforderungen Netzwerkanforderungen der Citrix Workspace-App erhalten in der Regel einen User-Agent. Zum Beispiel Netzwerkanforderungen wie GET /Citrix/Roaming/Accounts und GET / AGServices/discover. CitrixReceiver/23.5.0.63 Windows/10.0 (22H2 Build 19045.2965) SelfService/23.5.0.63 (Release) X1Class CWACapable
Cloudstore Wenn ein Benutzer einen Cloudstore zur Citrix Workspace-App hinzufügt, werden Netzwerkanforderungen mit einem bestimmten User-Agent gesendet. Zum Beispiel Netzwerkanforderungen mit Pfad /core/connect/authorize. Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36 Edg/113.0.1774.50 CWA/23.5.0.63 Windows/10.0 (22H2 Build 19045.2965)
On-Premises-Store mit Gateway Advanced Auth mithilfe von Edge WebView Wenn sich ein Benutzer mithilfe von Edge WebView bei dem mit Advanced Auth konfigurierten Gateway in der Citrix Workspace-App authentifiziert, werden Netzwerkanforderungen mit einem bestimmten User-Agent gestellt. Zum Beispiel Netzwerkanforderungen, die GET /nf/auth/doWebview.do und GET /logon/LogonPoint/tmindex.html beinhalten. Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36 Edg/108.0.1462.54 CWAWEBVIEW/23.2.0.2111 Windows/10.0 (22H2 Build 19045.2364)
On-Premises-Store mit Gateway Advanced Auth mithilfe von IE WebView Wenn sich ein Benutzer mithilfe von Internet Explorer WebView bei dem mit Advanced Auth konfigurierten Gateway in der Citrix Workspace-App authentifiziert, werden Netzwerkanforderungen mit einem bestimmten User-Agent gestellt. Zum Beispiel Netzwerkanforderungen, die GET /nf/auth/doWebview.do und GET /logon/LogonPoint/tmindex.html beinhalten. Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko, CWAWEBVIEW/23.5.0.43
Benutzerdefinierter Webstore Wenn ein Benutzer einen benutzerdefinierten Webstore zur Citrix Workspace-App hinzufügt, sendet die App einen User-Agent. Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36 Edg/113.0.1774.50 CWA/23.5.0.63 Windows/10.0 (22H2 Build 19045.2965)