Konfigurieren der globalen Gerätehaltungseinstellungen

Nachfolgend sind einige der globalen Gerätehaltungseinstellungen aufgeführt, die Sie nach Bedarf konfigurieren können.

• Regelmäßiges Scannen von Geräten
• Benutzerdefinierte Nachrichten für Szenarien mit verweigertem Zugriff
• Gerätestatusprüfungen überspringen
• Unterstützung für benutzerdefinierte Arbeitsbereich-URLs
• Konfiguration der Sitzungsaufzeichnung mit Device Posture
• Gerätezertifikatsprüfung

Regelmäßiges Scannen von Geräten

Sie können das regelmäßige Scannen von Windows-Geräten für die konfigurierten Prüfungen alle 30 Minuten aktivieren. Um das regelmäßige Scannen von Geräten zu ermöglichen, muss der EPA-Client auf dem Endgerät mit Administratorrechten installiert werden. Um regelmäßige Scans zu aktivieren, gehen Sie wie folgt vor:

1. Navigieren Sie zu Gerätehaltung > Gerätescans und klicken Sie auf Einstellungen.
2. Schieben Sie im Abschnitt Periodische Gerätestatus-Scans den Kippschalter auf ON, um das regelmäßige Scannen von Geräten zu aktivieren.

Hinweis:

• Wenn sich bei HTTP/HTTPS-Apps das Ergebnis eines Scans von Konform in Nicht konform oder Zugriff verweigertändert, werden nachfolgende App-Starts blockiert. Auf die bereits gestarteten Apps hat dies jedoch keine Auswirkungen.
• Wenn bei TCP/UDP-Apps der Gerätestatus-Scan zu einer Herabstufung führt (wenn sich der Gerätestatus beispielsweise von Konform zu Nicht konform oder Zugriff verweigert oder von Nicht konform zu Zugriff verweigertändert), werden alle aktiven TCP/UDP-Sitzungen beendet.

Benutzerdefinierte Nachrichten für Szenarien mit verweigertem Zugriff

Administratoren können die Nachricht anpassen, die auf dem Endgerät angezeigt wird, wenn ein Zugriff verweigert wird.

Führen Sie die folgenden Schritte aus, um benutzerdefinierte Nachrichten hinzuzufügen:

1. Navigieren Sie zur Seite Gerätehaltung > Gerätescans .
2. Klicken Sie auf Einstellungen.
3. Klicken Sie auf Bearbeiten und geben Sie im Feld Nachricht die Nachricht ein, die in Szenarien mit verweigertem Zugriff angezeigt werden soll. Sie können maximal 256 Zeichen eingeben.

4. Klicken Sie auf Benutzerdefinierte Nachricht beim Speichern aktivieren , um die Option zum Anzeigen der benutzerdefinierten Nachricht zu erzwingen. Wenn Sie dieses Kontrollkästchen nicht aktivieren, wird die benutzerdefinierte Nachricht erstellt, in Szenarien mit verweigertem Zugriff jedoch nicht auf den Geräten angezeigt.

   Alternativ können Sie den Umschalter Benutzerdefinierte Nachricht auf der Seite Einstellungen aktivieren, um die Nachricht auf den Geräten anzuzeigen.

5. Klicken Sie auf Speichern.

Das folgende Bild zeigt eine vom Administrator hinzugefügte Beispielnachricht.

Das folgende Bild zeigt die benutzerdefinierte Meldung, die auf dem Endbenutzergerät angezeigt wird, wenn der Zugriff verweigert wird.

Immer dann, wenn dem Endgerät der Zugriff verweigert wird, erscheint die von Ihnen eingegebene Meldung.

Gerätestatusprüfungen überspringen

Administratoren können Endbenutzern in den folgenden Szenarien gestatten, die Gerätestatusprüfungen auf ihren Geräten zu überspringen:

• Der Device Posture Agent ist nicht auf dem Gerät installiert.
• Der auf dem Gerät installierte EPA-Client ist nicht in der neusten Version.

Wenn die Funktion zum Überspringen der Prüfung aktiviert ist, wird das Standardrichtlinienergebnis (nicht konform) erzwungen und das Gerät als nicht konform klassifiziert. Endbenutzer erhalten teilweisen oder eingeschränkten Zugriff auf die Citrix Secure Private Access- oder Citrix DaaS-Ressourcen.

Aktivieren Sie das Überspringen der Gerätestatusprüfungen

1. Navigieren Sie zu Gerätehaltung > Gerätescans.
2. Klicken Sie auf Einstellungen.

3. Schieben Sie im Abschnitt „ Gerätehaltungsprüfung überspringen “ den Kippschalter auf „ON“, um das Überspringen der Gerätehaltungsprüfungen zu aktivieren.

   Wenn die Option Gerätestatusprüfung überspringen aktiviert ist und sich der Endbenutzer beim Citrix Workspace anmeldet, wird die folgende Meldung angezeigt, wenn der Endbenutzer versucht, den Client herunterzuladen oder die EPA-Version zu aktualisieren.

   Alternativ können Sie mit eingeschränktem Zugriff zu Citrix Workspace fortfahren.

Unterstützung für benutzerdefinierte Arbeitsbereich-URLs

Benutzerdefinierte Arbeitsbereichs-URLs werden mit dem Device Posture-Dienst unterstützt. Sie können zusätzlich zu Ihrer cloud.com-URL eine URL verwenden, deren Eigentümer Sie sind, um auf den Arbeitsbereich zuzugreifen. Stellen Sie sicher, dass Sie den Zugriff auf citrix.com von Ihrem Netzwerk aus zulassen. Einzelheiten zu benutzerdefinierten Domänen finden Sie unter Konfigurieren einer benutzerdefinierten Domäne.

Konfiguration der Sitzungsaufzeichnung mit Device Posture

Mit der Sitzungsaufzeichnung können Organisationen Benutzeraktivitäten auf dem Bildschirm in virtuellen Sitzungen aufzeichnen. Sie können Tags angeben, wenn Sie eine benutzerdefinierte Richtlinie zur Sitzungsaufzeichnung, Ereigniserkennung oder Ereignisreaktion erstellen. Ein Beispiel finden Sie unter Benutzerdefinierte Aufzeichnungsrichtlinie erstellen.

Gerätezertifikatsprüfung

Um Gerätezertifikatsprüfungen mit dem Device Posture-Dienst zu konfigurieren, müssen Administratoren ein Ausstellerzertifikat von ihrem Gerät importieren. Sobald im Device Posture-Dienst ein gültiges Ausstellerzertifikat vorhanden ist, können Administratoren Gerätezertifikatsprüfungen als Teil der Device Posture-Richtlinien verwenden.

Wichtige Hinweise:

• Der Device Posture-Dienst unterstützt nur den Ausstellerzertifikatstyp PEM.
• Für die Gerätezertifikatsprüfung unter Windows muss der EPA-Client auf dem Endgerät mit administrativen Rechten installiert sein. Für andere Prüfungen benötigen Sie keine lokalen Administratorrechte. Einzelheiten zu den unterstützten Scans finden Sie unter Von der Gerätehaltung unterstützte Scans.

• Um den EPA-Client mit Administratorrechten unter Windows zu installieren, führen Sie den folgenden Befehl an dem Speicherort aus, an dem das EPA-Client-Plug-In heruntergeladen wurde.

  msiexec /i epasetup.msi

• Die Gerätezertifikatsprüfung mit dem Device Posture-Dienst unterstützt die Zertifikatssperrprüfung nicht.

• Wenn ein Gerätezertifikat mit einem Zwischenzertifikat signiert ist, müssen Sie die komplette Kette mit dem Stammzertifikat und den Zwischenzertifikaten in einer einzigen PEM-Datei hochladen.

      Example: chain.pem
      
      -----BEGIN CERTIFICATE-----
      ******************************
      -----END CERTIFICATE-----
      -----BEGIN CERTIFICATE-----
      ******************************
      -----END CERTIFICATE
  

Gerätezertifikat hochladen

1. Klicken Sie auf der Device Posture-Startseite auf Einstellungen .
2. Klicken Sie auf Verwaltenund dann auf Ausstellendes Zertifikat importieren.
3. Wählen Sie unter Zertifikattypden Zertifikatstyp aus. Es wird nur der PEM-Typ unterstützt.
4. Klicken Sie in Zertifikatsdateiauf Zertifikat auswählen , um das Ausstellerzertifikat auszuwählen.
5. Klicken Sie auf Öffnenund dann auf Importieren.

Das ausgewählte Zertifikat wird unter Einstellungen > Ausstellerzertifikateaufgelistet. Sie können mehrere Zertifikate importieren.

Importierte Zertifikate anzeigen

1. Klicken Sie auf der Device Posture-Startseite auf Einstellungen .
2. Klicken Sie in Ausstellerzertifikateauf Verwalten.
3. Auf der Seite „Ausstellerzertifikate“ werden die importierten Ausstellerzertifikate aufgelistet.

Installieren des Gerätezertifikats auf dem Endgerät

Windows:

1. Öffnen Sie über das Startmenü den Computerzertifikat-Manager.

2. Stellen Sie sicher, dass das Zertifikat unter Certificates - Local Computer\Personal\Certificatesinstalliert ist.

   • Die beabsichtigten Zwecke müssen Client-Authentifizierungumfassen.
   • Die Spalte „ Ausgestellt von “ muss mit dem in der Administrator-GUI konfigurierten Ausstellernamen übereinstimmen.

macOS:

1. Öffnen Sie Schlüsselbundzugriff und wählen Sie dann Systemaus.

2. Klicken Sie auf Datei > Elemente importieren , um das Zertifikat zu importieren.

   Das Feld Ausgestellt von muss den Namen des Zertifikatsausstellers anzeigen.