Verwalten des Citrix Endpoint Analysis-Clients für den Device Posture-Dienst

Der Citrix Device Posture-Dienst ist eine Cloud-basierte Lösung, die Administratoren dabei hilft, bestimmte Anforderungen durchzusetzen, die die Endgeräte erfüllen müssen, um Zugriff auf Citrix DaaS (virtuelle Apps und Desktops) oder Citrix Secure Private Access-Ressourcen (SaaS, Web-Apps, TCP- und UDP-Apps) zu erhalten.

Um Gerätestatus-Scans auf einem Endgerät auszuführen, müssen Sie den Citrix EndPoint Analysis (EPA)-Client, eine einfache Anwendung, auf diesem Gerät installieren. Der Device Posture-Dienst wird immer mit der neuesten von Citrix veröffentlichten Version des EPA-Clients ausgeführt.

Installation des EPA-Clients

Während der Laufzeit fordert der Device Posture-Dienst den Endbenutzer auf, den EPA-Client herunterzuladen und zu installieren. Einzelheiten finden Sie unter Endbenutzerablauf. Normalerweise erfordert der Download und die Installation eines EPA-Clients auf einem Endpunkt keine lokalen Administratorrechte. Um jedoch Gerätezertifikatsprüfungen auf einem Endgerät ausführen zu können, muss der EPA-Client mit Administratorzugriff installiert werden. Einzelheiten zur Installation eines EPA-Clients mit Administratorzugriff finden Sie unter Gerätezertifikat auf dem Endgerät installieren.

Upgrade des EPA-Clients für Windows

Wenn eine neue Version des EPA-Clients veröffentlicht wird, werden die EPA-Clients für Windows nach der ersten Installation standardmäßig aktualisiert. Durch das automatische Upgrade wird sichergestellt, dass auf den Endbenutzergeräten immer die neueste Version des EPA-Clients ausgeführt wird, die mit dem Device Posture-Dienst kompatibel ist. Für das Auto-Upgrade muss der EPA-Client mit Administratorrechten installiert worden sein.

Verteilung des EPA-Clients

EPA-Clients können mithilfe des Global App Configuration Service (GACS) oder EPA, das in das Citrix Workspace-App-Installationsprogramm integriert ist, oder mithilfe von Softwarebereitstellungstools verteilt werden.

  • In die Citrix Workspace-App integriertes EPA-Clientinstallationsprogramm: Das EPA-Clientinstallationsprogramm ist in die Citrix Workspace-App 2402 LTSR für Windows integriert. Durch diese Integration ist es für Endbenutzer nicht mehr erforderlich, den EPA-Client nach der Installation der Citrix Workspace-App separat zu installieren.

    Um den EPA-Client als Teil der Citrix Workspace-App zu installieren, verwenden Sie die Befehlszeilenoption InstallEPAClient. Beispiel: ./CitrixworkspaceApp.exe InstallEPAClient.

Hinweis:

  • Die EPA-Clientinstallation als Teil der Citrix Workspace-App ist standardmäßig deaktiviert. Es muss explizit mit der Befehlszeilenoption InstallEPAClientaktiviert werden.
  • Wenn auf einem Endgerät bereits ein EPA-Client installiert ist und der Endbenutzer die Citrix Workspace-App installiert, wird der vorhandene EPA-Client aktualisiert.
  • Wenn ein Endbenutzer die Citrix Workspace-App deinstalliert, wird standardmäßig auch der integrierte EPA-Client vom Gerät entfernt. Wenn der EPA-Client jedoch nicht als Teil der integrierten Citrix Workspace-App-Installation installiert wurde, bleibt der vorhandene EPA-Client auf dem Gerät erhalten.
  • Das in die Citrix Workspace-App integrierte EPA-Client-Installationsprogramm kann auch mit NetScaler verwendet werden. Einzelheiten finden Sie unter Verwalten des EPA-Clients bei Verwendung mit NetScaler und Device Posture.
  • Verteilen Sie den Client mit GACS.: GACS ist eine von Citrix bereitgestellte Lösung zum Verwalten der Verteilung clientseitiger Agenten (Plug-Ins). Der in GACS verfügbare automatische Update-Dienst stellt sicher, dass die Endgeräte ohne Eingreifen des Endbenutzers über die neusten EPA-Versionen verfügen. Weitere Informationen zu GACS finden Sie unter Verwenden des Global App Configuration-Dienstes.

Hinweis:

  • GACS wird auf Windows-Geräten nur zur Verteilung des EPA-Clients unterstützt.
  • Um einen EPA-Client über GACS zu verwalten, installieren Sie Citrix Workspace Application (CWA) auf den Endgeräten.
  • Wenn CWA mit Administratorrechten auf einem Endbenutzergerät installiert wird, installiert GACS den EPA-Client mit denselben Administratorrechten.
  • Wenn CWA mit Benutzerrechten auf einem Endbenutzergerät installiert wird, installiert GACS den EPA-Client mit denselben Benutzerrechten.

Verteilen Sie den Client mithilfe von Softwarebereitstellungstools.: Der neueste EPA-Client kann von Administratoren mithilfe von Softwarebereitstellungstools wie Microsoft SCCM verteilt werden.

Verwalten des EPA-Clients bei Verwendung mit NetScaler und Device Posture

Der EPA-Client kann zusammen mit NetScaler und Device Posture in den folgenden Bereitstellungen verwendet werden:

  • NetScaler-basierte adaptive Authentifizierung mit EPA
  • Auf NetScaler basierendes On-Premise-Gateway mit EPA

Der Device Posture-Dienst überträgt die neueste Version des EPA-Clients auf die Endgeräte. Unter NetScaler können Administratoren jedoch die folgende Versionskontrolle für die EPA-Scans auf virtuellen Gateway-Servern konfigurieren:

  • Immer: Der EPA-Client auf dem Endgerät und NetScaler müssen auf der gleichen Version sein.
  • Unbedingt erforderlich: Die EPA-Client-Version auf dem Endgerät muss innerhalb des auf NetScaler konfigurierten Bereichs liegen.
  • Niemals: Das Endgerät kann über jede beliebige Version des EPA-Clients verfügen.

Weitere Informationen finden Sie unter Plug-in-Verhalten.

Überlegungen zur Verwendung des EPA-Clients mit NetScaler und Device Posture

Wenn ein EPA-Client zusammen mit Device Posture Service und NetScaler verwendet wird, kann es Szenarien geben, in denen auf dem Endgerät die neueste Version des EPA-Clients läuft, NetScaler jedoch eine andere Version des EPA-Clients verwendet. Dies kann zu einer Nichtübereinstimmung der EPA-Clientversion auf NetScaler und dem Endgerät führen. Infolgedessen fordert NetScaler den Endbenutzer möglicherweise auf, die auf NetScaler vorhandene EPA-Clientversion zu installieren. Um diesen Konflikt zu vermeiden, empfehlen wir die folgenden Konfigurationsänderungen:

  • Wenn Sie EPA mit adaptiver Authentifizierung, lokaler Authentifizierung oder einem virtuellen Gateway-Server konfiguriert haben, wird empfohlen, die Versionskontrolle des EPA-Clients auf NetScaler zu deaktivieren. Dies geschieht, um sicherzustellen, dass der GACS- oder Device Posture-Dienst nicht die neueste Version des EPA-Clients auf die Endgeräte überträgt.
  • Die EPA-Versionskontrolle kann mithilfe der CLI oder der GUI auf und niemals auf eingestellt werden. Diese Konfigurationsänderungen werden auf NetScaler 13.x und späteren Versionen unterstützt.

    • CLI: Verwenden Sie die CLI-Befehle für die adaptive Authentifizierung und den virtuellen Authentifizierungsserver vor Ort.
    • GUI: Verwenden Sie die GUI für den virtuellen Gateway-Server vor Ort. Einzelheiten finden Sie unter Steuerungsupgrade von Citrix Secure Access-Clients.

Beispiele für CLI-Befehle:

  add rewrite action <rewrite_action_name> insert_http_header Plugin-Upgrade "\"epa_win:Never;epa_mac:Always;epa_linux:Always;vpn_win:Never;vpn_mac:Always;vpn_linux:Always;\""

  add rewrite policy <rewrite_action_policy> "HTTP.REQ.URL.CONTAINS(\"pluginlist.xml\")" <rewrite_action_name>

  bind authentication vserver <Authentication_Vserver_Name> -policy <rewrite_action_policy> -priority 10 -type RESPONSE
<!--NeedCopy-->
Verwalten des Citrix Endpoint Analysis-Clients für den Device Posture-Dienst