Produktdokumentation
Citrix Workspace-App
PDF anzeigen

Szenario 2

May 20, 2026
Beitrag von: 
C C

Dieses Szenario beschreibt, wie der App-Schutz für nicht vertrauenswürdige Geräte aktiviert wird.

Es gibt viele Definitionen für vertrauenswürdige und nicht vertrauenswürdige Geräte. Für dieses Szenario betrachten wir ein Gerät als vertrauenswürdig, wenn der Endpoint Analysis (EPA)-Scan erfolgreich ist. Alle anderen Geräte gelten als nicht vertrauenswürdige Geräte.

  1. Adaptive Authentifizierung konfigurieren.

  2. Erstellen Sie eine Authentifizierungsrichtlinie mit dem EPA-Scan, indem Sie die folgenden Schritte ausführen:

    1. Melden Sie sich bei der Citrix ADC Administrationsoberfläche an. Navigieren Sie auf der Registerkarte Configuration zu Security > AAA-Application Traffic > Virtual Servers. Klicken Sie auf den virtuellen Server, den Sie verwenden möchten, in diesem Fall auth_vs.

      Virtuelle Server

    2. Navigieren Sie zu Authentication Policies > Add Binding.

      Authentifizierungsrichtlinien

      Bindung hinzufügen

    3. Klicken Sie auf Add, um eine Richtlinie zu erstellen.

      Richtlinienbindung

    4. Erstellen Sie eine Authentifizierungsrichtlinie basierend auf dem EPA-Scan. Geben Sie den Namen der Richtlinie ein. Wählen Sie Action Type als EPA aus. Klicken Sie auf Add, um eine Aktion zu erstellen.

      Authentifizierungsrichtlinie erstellen

      Der Bildschirm Create Authentication EPA Action wird angezeigt.

      Authentifizierungs-EPA erstellen

    5. Geben Sie auf dem Bildschirm Authentifizierungs-EPA-Aktion erstellen die folgenden Details ein und klicken Sie auf Erstellen, um eine Aktion zu erstellen:
      • Name: Name der EPA-Aktion. In diesem Fall EPA_Action_FileExists.
      • Standardgruppe: Geben Sie den Namen der Standardgruppe ein. Wenn der EPA-Ausdruck True ist, werden Benutzer der Standardgruppe hinzugefügt. Die Standardgruppe ist in diesem Fall FileExists.
      • Quarantänegruppe: Geben Sie den Namen der Quarantänegruppe ein. Wenn der EPA-Ausdruck False ist, werden Benutzer der Quarantänegruppe hinzugefügt.
      • Ausdruck: Fügen Sie den EPA-Ausdruck hinzu, den Sie scannen möchten. In diesem Beispiel betrachten wir den EPA-Scan als erfolgreich, wenn eine bestimmte Datei vorhanden ist: sys.client_expr("file_0_C:\\\\epa\\\\avinstalled.txt")

      Sie kehren zum Bildschirm Authentifizierungsrichtlinie erstellen zurück.

    6. Geben Sie true in den Ausdruckseditor ein und klicken Sie auf Erstellen.

      Authentifizierungs-EPA true

      Sie kehren zum Bildschirm Richtlinienbindung zurück.

    7. Führen Sie auf dem Bildschirm Richtlinienbindung die folgenden Schritte aus:

      1. Wählen Sie den Goto-Ausdruck als NEXT aus.

      2. Wählen Sie im Abschnitt Nächsten Faktor auswählen die LDAP-Richtlinie aus, die Sie für die Authentifizierung im Application Delivery Controller™ (ADC) konfiguriert haben.

      3. Klicken Sie auf Binden.

        Details zur Richtlinienbindung

  3. Erstellen Sie eine Smart Access-Richtlinie für vertrauenswürdige Geräte:

    1. Wählen Sie auf der Seite Authentifizierung virtueller Server des Servers auth_vs die Option Smart Access-Richtlinien aus.

      Authentifizierung virtueller Server

    2. Klicken Sie auf Bindung hinzufügen.

      Bindung hinzufügen

    3. Klicken Sie auf dem Bildschirm Richtlinienbindung im Abschnitt Richtlinie auswählen auf Hinzufügen.

      Richtlinie auswählen

      Der Bildschirm Authentifizierungs-Smart Access-Richtlinie erstellen wird angezeigt.

      Authentifizierungs-Smart Access

    4. Geben Sie auf dem Bildschirm Authentifizierungs-Smart Access-Richtlinie erstellen einen Namen für die Smart Access-Richtlinie ein und klicken Sie auf Hinzufügen, um ein Smart Access-Profil zu erstellen.

      Der Bildschirm Authentifizierungs-Smart Access-Profil erstellen wird angezeigt.

    5. Fügen Sie einen Namen für die Aktion hinzu. Geben Sie trusted unter Tags ein. Das Tag wird später in der Broker Access Policy-Regel zur Konfiguration referenziert. Klicken Sie auf Erstellen.

      Authentifizierungsprofil erstellen

      Sie kehren zum Bildschirm Authentifizierungs-Smart Access-Richtlinie erstellen zurück.

    6. Geben Sie im Abschnitt Ausdruck den Ausdruck ein, für den Sie das Tag übertragen möchten. Da das Tag in diesem Fall für vertrauenswürdige Geräte übertragen wird, geben Sie AAA.USER.IS_MEMBER_OF("FileExists") ein. Klicken Sie auf Erstellen.

      Tag für vertrauenswürdige Geräte(/de-de/citrix-workspace-app/media/step-3-f.png)

      Sie kehren zum Bildschirm Richtlinienbindung zurück.

    7. Wählen Sie die Goto-Expression als Ende aus und klicken Sie auf Binden.

      Goto-Expression auswählen(/de-de/citrix-workspace-app/media/step-3-g.png)

  4. Erstellen Sie eine Smart Access-Richtlinie für nicht vertrauenswürdige Geräte:

    1. Befolgen Sie die Anweisungen des vorherigen Schritts, mit Ausnahme der Unterschritte v und vi.

    2. Für Unterschritt v fügen Sie auf dem Bildschirm Authentifizierungs-Smart Access-Profil erstellen einen Namen für die Aktion hinzu. Geben Sie untrusted unter Tags ein. Der Tag wird später in der Broker Access-Richtlinienregel für die Konfiguration referenziert. Klicken Sie auf Erstellen.

    3. Für Unterschritt vi geben Sie im Abschnitt Ausdruck des Bildschirms Authentifizierungs-Smart Access-Richtlinie erstellen den Ausdruck ein, für den Sie den Tag übertragen möchten. In diesem Fall, da der Tag für nicht vertrauenswürdige Geräte übertragen wird, geben Sie AAA.USER.IS_MEMBER_OF("FileExists").NOT ein.

  5. Konfigurieren Sie die Broker Access-Richtlinienregeln:

    1. Installieren Sie das Citrix PowerShell SDK und stellen Sie eine Verbindung zur Cloud-API her, wie im Citrix-Blog Erste Schritte mit der PowerShell-Automatisierung für Citrix Cloud erläutert.

    2. Führen Sie den Befehl Get-BrokerAccessPolicyRule aus.

      Eine Liste aller vorhandenen Broker Access-Richtlinien für alle Bereitstellungsgruppen wird angezeigt.

    3. Suchen Sie die DesktopGroupUid für die Bereitstellungsgruppe, die Sie ändern möchten.

      Desktop-Gruppen-UID(/de-de/citrix-workspace-app/media/contextual-app-desktop-group-uid.png)

    4. Rufen Sie die Richtlinien ab, die nur auf eine bestimmte Bereitstellungsgruppe angewendet werden, indem Sie den Befehl verwenden:

      Get-BrokerAccessPolicyRule -DesktopGroupUid 7

    5. Um Benutzer mit vertrauenswürdigen Geräten zu filtern, erstellen Sie eine weitere Broker-Zugriffsrichtlinie mit dem Befehl:

      New-BrokerAccessPolicyRule -Name CAP_Desktops_AG_Trusted-DesktopGroupUid 7 - AllowedConnections ViaAG -AllowedProtocols HDX, RDP -AllowedUsers AnyAuthenticated - AllowRestart $true -Enabled $true-IncludedSmartAccessFilterEnabled $true

    6. Um den App-Schutz für vertrauenswürdige Geräte zu deaktivieren und den App-Schutz für nicht vertrauenswürdige Geräte zu aktivieren, verwenden Sie den folgenden Befehl:

      Set-BrokerAccessPolicyRule CAP_Desktops_AG_trusted -IncludedSmartAccessTags Workspace:trusted -AppProtectionKeyLoggingRequired $false -AppProtectionScreenCaptureRequired $false

      Set-BrokerAccessPolicyRule CAP_Desktops_AG -IncludedSmartAccessTags Workspace:untrusted -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

  6. Überprüfung:

    Melden Sie sich von der Citrix Workspace-App ab und wieder an. Starten Sie die geschützte Ressource von einem vertrauenswürdigen Gerät, das die EPA-Scanbedingung erfüllt. Sie sehen, dass die App-Schutzrichtlinien nicht angewendet werden. Starten Sie dieselbe Ressource von einem nicht vertrauenswürdigen Gerät. Sie sehen, dass die App-Schutzrichtlinien angewendet werden.

Szenario 2
May 20, 2026
Beitrag von: 
C C
May 20, 2026
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.