Verwalten des Citrix Endpoint Analysis-Clients für den Device Posture-Dienst
Der Citrix Device Posture-Dienst ist eine Cloud-basierte Lösung, die Administratoren dabei hilft, bestimmte Anforderungen durchzusetzen, die die Endgeräte erfüllen müssen, um Zugriff auf Citrix DaaS (virtuelle Apps und Desktops) oder Citrix Secure Private Access-Ressourcen (SaaS, Web-Apps, TCP- und UDP-Apps) zu erhalten.
Um Gerätestatus-Scans auf einem Endgerät auszuführen, müssen Sie den Citrix EndPoint Analysis (EPA)-Client, eine einfache Anwendung, auf diesem Gerät installieren. Der Device Posture-Dienst wird immer mit der neuesten von Citrix veröffentlichten Version des EPA-Clients ausgeführt.
Installation des EPA-Clients
Während der Laufzeit fordert der Device Posture-Dienst den Endbenutzer auf, den EPA-Client herunterzuladen und zu installieren. Einzelheiten finden Sie unter Endbenutzerablauf. Normalerweise erfordert der Download und die Installation eines EPA-Clients auf einem Endpunkt keine lokalen Administratorrechte. Um jedoch Gerätezertifikatsprüfungen auf einem Endgerät ausführen zu können, muss der EPA-Client mit Administratorzugriff installiert werden. Einzelheiten zur Installation eines EPA-Clients mit Administratorzugriff finden Sie unter Gerätezertifikat auf dem Endgerät installieren.
Upgrade des EPA-Clients für Windows
Wenn eine neue Version des EPA-Clients veröffentlicht wird, werden die EPA-Clients für Windows nach der ersten Installation standardmäßig aktualisiert. Durch das automatische Upgrade wird sichergestellt, dass auf den Endbenutzergeräten immer die neueste Version des EPA-Clients ausgeführt wird, die mit dem Device Posture-Dienst kompatibel ist. Für das Auto-Upgrade muss der EPA-Client mit Administratorrechten installiert worden sein.
Verteilung des EPA-Clients
EPA-Clients können mithilfe des Global App Configuration Service (GACS) oder EPA, das in das Citrix Workspace-App-Installationsprogramm integriert ist, oder mithilfe von Softwarebereitstellungstools verteilt werden.
-
In die Citrix Workspace-App integriertes EPA-Clientinstallationsprogramm: Das EPA-Clientinstallationsprogramm ist in die Citrix Workspace-App 2402 LTSR für Windows integriert. Durch diese Integration ist es für Endbenutzer nicht mehr erforderlich, den EPA-Client nach der Installation der Citrix Workspace-App separat zu installieren.
Um den EPA-Client als Teil der Citrix Workspace-App zu installieren, verwenden Sie die Befehlszeilenoption
InstallEPAClient
. Beispiel:./CitrixworkspaceApp.exe InstallEPAClient
.
Hinweis:
- Die EPA-Clientinstallation als Teil der Citrix Workspace-App ist standardmäßig deaktiviert. Es muss explizit mit der Befehlszeilenoption
InstallEPAClient
aktiviert werden.- Wenn auf einem Endgerät bereits ein EPA-Client installiert ist und der Endbenutzer die Citrix Workspace-App installiert, wird der vorhandene EPA-Client aktualisiert.
- Wenn ein Endbenutzer die Citrix Workspace-App deinstalliert, wird standardmäßig auch der integrierte EPA-Client vom Gerät entfernt. Wenn der EPA-Client jedoch nicht als Teil der integrierten Citrix Workspace-App-Installation installiert wurde, bleibt der vorhandene EPA-Client auf dem Gerät erhalten.
- Das in die Citrix Workspace-App integrierte EPA-Client-Installationsprogramm kann auch mit NetScaler verwendet werden. Einzelheiten finden Sie unter Verwalten des EPA-Clients bei Verwendung mit NetScaler und Device Posture.
- Verteilen Sie den Client mit GACS.: GACS ist eine von Citrix bereitgestellte Lösung zum Verwalten der Verteilung clientseitiger Agenten (Plug-Ins). Der in GACS verfügbare automatische Update-Dienst stellt sicher, dass die Endgeräte ohne Eingreifen des Endbenutzers über die neusten EPA-Versionen verfügen. Weitere Informationen zu GACS finden Sie unter Verwenden des Global App Configuration-Dienstes.
Hinweis:
- GACS wird auf Windows-Geräten nur zur Verteilung des EPA-Clients unterstützt.
- Um einen EPA-Client über GACS zu verwalten, installieren Sie Citrix Workspace Application (CWA) auf den Endgeräten.
- Wenn CWA mit Administratorrechten auf einem Endbenutzergerät installiert wird, installiert GACS den EPA-Client mit denselben Administratorrechten.
- Wenn CWA mit Benutzerrechten auf einem Endbenutzergerät installiert wird, installiert GACS den EPA-Client mit denselben Benutzerrechten.
Verteilen Sie den Client mithilfe von Softwarebereitstellungstools.: Der neueste EPA-Client kann von Administratoren mithilfe von Softwarebereitstellungstools wie Microsoft SCCM verteilt werden.
Verwalten des EPA-Clients bei Verwendung mit NetScaler und Device Posture
Der EPA-Client kann zusammen mit NetScaler und Device Posture in den folgenden Bereitstellungen verwendet werden:
- NetScaler-basierte adaptive Authentifizierung mit EPA
- Auf NetScaler basierendes On-Premise-Gateway mit EPA
Der Device Posture-Dienst überträgt die neueste Version des EPA-Clients auf die Endgeräte. Unter NetScaler können Administratoren jedoch die folgende Versionskontrolle für die EPA-Scans auf virtuellen Gateway-Servern konfigurieren:
- Immer: Der EPA-Client auf dem Endgerät und NetScaler müssen auf der gleichen Version sein.
- Unbedingt erforderlich: Die EPA-Client-Version auf dem Endgerät muss innerhalb des auf NetScaler konfigurierten Bereichs liegen.
- Niemals: Das Endgerät kann über jede beliebige Version des EPA-Clients verfügen.
Weitere Informationen finden Sie unter Plug-in-Verhalten.
Überlegungen zur Verwendung des EPA-Clients mit NetScaler und Device Posture
Wenn ein EPA-Client zusammen mit Device Posture Service und NetScaler verwendet wird, kann es Szenarien geben, in denen auf dem Endgerät die neueste Version des EPA-Clients läuft, NetScaler jedoch eine andere Version des EPA-Clients verwendet. Dies kann zu einer Nichtübereinstimmung der EPA-Clientversion auf NetScaler und dem Endgerät führen. Infolgedessen fordert NetScaler den Endbenutzer möglicherweise auf, die auf NetScaler vorhandene EPA-Clientversion zu installieren. Um diesen Konflikt zu vermeiden, empfehlen wir die folgenden Konfigurationsänderungen:
- Wenn Sie EPA mit adaptiver Authentifizierung, lokaler Authentifizierung oder einem virtuellen Gateway-Server konfiguriert haben, wird empfohlen, die Versionskontrolle des EPA-Clients auf NetScaler zu deaktivieren. Dies geschieht, um sicherzustellen, dass der GACS- oder Device Posture-Dienst nicht die neueste Version des EPA-Clients auf die Endgeräte überträgt.
-
Die EPA-Versionskontrolle kann mithilfe der CLI oder der GUI auf und niemals auf eingestellt werden. Diese Konfigurationsänderungen werden auf NetScaler 13.x und späteren Versionen unterstützt.
- CLI: Verwenden Sie die CLI-Befehle für die adaptive Authentifizierung und den virtuellen Authentifizierungsserver vor Ort.
- GUI: Verwenden Sie die GUI für den virtuellen Gateway-Server vor Ort. Einzelheiten finden Sie unter Steuerungsupgrade von Citrix Secure Access-Clients.
Beispiele für CLI-Befehle:
add rewrite action <rewrite_action_name> insert_http_header Plugin-Upgrade "\"epa_win:Never;epa_mac:Always;epa_linux:Always;vpn_win:Never;vpn_mac:Always;vpn_linux:Always;\""
add rewrite policy <rewrite_action_policy> "HTTP.REQ.URL.CONTAINS(\"pluginlist.xml\")" <rewrite_action_name>
bind authentication vserver <Authentication_Vserver_Name> -policy <rewrite_action_policy> -priority 10 -type RESPONSE
<!--NeedCopy-->