Übersicht zur Gerätehaltung

Der Citrix Device Posture-Dienst ist eine Cloud-basierte Lösung, die Administratoren dabei hilft, bestimmte Anforderungen durchzusetzen, die die Endgeräte erfüllen müssen, um Zugriff auf Citrix DaaS (virtuelle Apps und Desktops) oder Citrix Secure Private Access-Ressourcen (SaaS, Web-Apps, TCP- und UDP-Apps) zu erhalten. Um einen auf Zero Trust basierenden Zugriff zu implementieren, ist es wichtig, durch die Überprüfung des Gerätestatus Vertrauen in das Gerät herzustellen. Der Gerätestatusdienst setzt Zero-Trust-Prinzipien im Netzwerk durch, indem er das Endgerät auf Konformität (verwaltet/BYOD und Sicherheitsstatus) überprüft, bevor der Benutzer sich anmelden kann.

Voraussetzungen

• Lizenzanforderungen: Die Berechtigung für den Citrix Device Posture-Dienst ist Teil der Lizenzen Citrix DaaS Premium, Citrix DaaS Premium Plus und Citrix Secure Private Access Advanced. Kunden mit anderen Lizenzen können eine Berechtigung für den Device Posture Service als Add-on erwerben. Als Add-On müssen Kunden eine eigenständige Adaptive Authentication-SKU erwerben, müssen diese aber nicht unbedingt bereitstellen, um den Device Posture-Dienst zu verwenden.

• Unterstützte Plattformen:

  • Windows (10 und 11)
  • macOS 13 Ventura
  • macOS 12 Monterey
  • iOS
  • IGEL

Hinweis:

• Ein Gerät, das auf einer nicht unterstützten Plattform läuft, wird standardmäßig als nicht konform markiert. Sie können die Klassifizierung auf der Seite „Gerätehaltung“ auf der Registerkarte „ Einstellungen “ von „ Nicht konform “ in „ Anmeldung verweigert “ ändern.

• Ein Gerät, das auf einer unterstützten Plattform ausgeführt wird, aber keiner vordefinierten Gerätestatusrichtlinie entspricht, wird standardmäßig als nicht konform markiert. Sie können die Klassifizierung auf der Seite „Gerätehaltung“ auf der Registerkarte „ Einstellungen “ von „ Nicht konform “ in „ Anmeldung verweigert “ ändern.

• Für die iOS-Unterstützung des Device Posture-Dienstes ist der EPA-Client als Teil der Citrix Workspace-App für iOS integriert. Einzelheiten zu den Versionen finden Sie unter Citrix Workspace-App für iOS.

• Für die IGEL OS-Unterstützung im Device Posture-Dienst ist der EPA-Client als Teil des IGEL OS integriert. Wenden Sie sich zur Installation des EPA-Clients auf den IGEL-Geräten an das IGEL-Supportteam.

• Citrix Device Posture Client (EPA-Client): Eine einfache Anwendung, die auf dem Endpunktgerät installiert werden muss, um Gerätehaltungsscans auszuführen. Zum Herunterladen und Installieren dieser Anwendung auf einem Endpunkt sind keine lokalen Administratorrechte erforderlich.

Hinweis:

Wenn Sie eine Gerätezertifikatsprüfung verwenden, müssen Sie den EPA-Client mit Administratorrechten installieren.

• Unterstützte Browser: Chrome, Edge und Firefox.

• Firewall-Konfiguration: Damit der Device Posture-Dienst die EPA-Clients auf einem Endgerät aktualisieren kann, muss die Firewall/der Proxy so konfiguriert werden, dass die folgenden Domänen zugelassen werden:

  • https://swa-ui-cdn-endpoint-prod.azureedge.net
  • https://productioniconstorage.blob.core.windows.net
  • *.netscalergateway.net
  • *.nssvc.net
  • *.cloud.com
  • *.pendo.io
  • *.citrixworkspacesapi.net

Funktionsweise

Die Administratoren können Gerätestatusrichtlinien erstellen, um den Status von Endpunktgeräten zu prüfen und zu bestimmen, ob einem Endpunktgerät die Anmeldung erlaubt oder verweigert wird. Die Geräte, die sich anmelden dürfen, werden außerdem als konform oder nicht konform klassifiziert. Benutzer können sich über einen Browser oder die Citrix Workspace-App anmelden.

Im Folgenden sind die allgemeinen Bedingungen aufgeführt, die zum Klassifizieren eines Geräts als konform, nicht konform und Anmeldung verweigert verwendet werden.

• Konforme Geräte – Ein Gerät, das die vorkonfigurierten Richtlinienanforderungen erfüllt und sich mit vollständigem oder uneingeschränktem Zugriff auf Citrix Secure Private Access-Ressourcen oder Citrix DaaS-Ressourcen beim Unternehmensnetzwerk anmelden darf.

• Nicht konforme Geräte – Ein Gerät, das die vorkonfigurierten Richtlinienanforderungen erfüllt und sich mit teilweisem oder eingeschränktem Zugriff auf Citrix Secure Private Access-Ressourcen oder Citrix DaaS-Ressourcen basierend auf Ihrer DaaS- und Secure Private Access-Konfiguration für die Gerätehaltung beim Unternehmensnetzwerk anmelden darf.

  • DaaS: Administratoren können die Bereitstellungsgruppen angeben, um den Zugriff für nicht konforme Geräte einzuschränken. Einzelheiten zum Konfigurieren des eingeschränkten Zugriffs auf Bereitstellungsgruppen finden Sie unter Citrix DaaS-Konfiguration mit Device Posture.
  • Sicherer privater Zugriff: Administratoren können bestimmte Anwendungen auswählen, um den Zugriff für diese Geräte einzuschränken. Einzelheiten zum Einschränken des Zugriffs auf bestimmte Anwendungen finden Sie unter Citrix Secure Private Access-Konfiguration mit Device Posture.
• Anmeldung verweigert: – Einem Gerät, das die Richtlinienanforderungen nicht erfüllt, wird die Anmeldung verweigert.

Die Klassifizierung von Geräten als konform, nicht konformund Anmeldung verweigert wird an den Citrix DaaS- und Citrix Secure Private Access-Dienst weitergegeben, der wiederum die Geräteklassifizierung verwendet, um intelligente Zugriffsfunktionen bereitzustellen.

Hinweis:

• Die Gerätestatusrichtlinien müssen für jede Plattform speziell konfiguriert werden. Beispielsweise kann ein Administrator für macOS den Zugriff für Geräte zulassen, die über eine bestimmte Betriebssystemversion verfügen. Auf ähnliche Weise kann der Administrator unter Windows Richtlinien konfigurieren, um eine bestimmte Autorisierungsdatei, Registrierungseinstellungen usw. einzuschließen.
• Gerätestatus-Scans werden nur während der Vorauthentifizierung/vor der Anmeldung durchgeführt.
• Definitionen von „konform“ und „nicht konform“ finden Sie unter Definitionen.

Durch die Gerätehaltung unterstützte Scans

Die folgenden Scans werden vom Citrix Device Posture-Dienst unterstützt:

| Windows | macOS | iOS | IGEL | | ————————————————————- | ———————————— | —————————- | ———————————— | | Citrix Workspace-App-Version | Citrix Workspace-App-Version | Citrix Workspace-App-Version | - | | Betriebssystemversion | Betriebssystemversion | Betriebssystemversion | - | | Datei (Existenz, Dateiname und Pfad) | Datei (Existenz, Dateiname und Pfad) | - | Datei (Existenz, Dateiname und Pfad) | | Geolocation | Geolocation | - | - | | Netzwerkstandort | Netzwerkstandort | - | - | | MAC-Adresse | MAC-Adresse | - | - | | Prozess (existiert) | Prozess (existiert) | - | - | | Microsoft Endpoint Manager | Microsoft Endpoint Manager | - | - | | CrowdStrike | CrowdStrike | - | - | | Gerätezertifikat | Gerätezertifikat | - | - | | Browser | Browser | - | - | | Antivirus | Antivirus | - | - | | Nicht-numerische Registrierung (32 Bit) | - | - | - | | Nicht-numerische Registrierung (64 Bit) | - | - | - | | Numerisches Register (32 Bit) | - | - | - | | Numerische Registrierung (64 Bit) | - | - | - | | Installationstyp für Windows Update | - | - | - | | Letzte Update-Prüfung bei der Installation von Windows Update | - | - | - |

Hinweis:

Für die iOS-Unterstützung des Device Posture-Dienstes ist der EPA-Client als Teil der Citrix Workspace-App für iOS integriert. Einzelheiten zu den Versionen finden Sie unter Citrix Workspace-App für iOS.

Integration von Drittanbietern mit Gerätestatus

Zusätzlich zu den nativen Scans, die der Device Posture-Dienst bietet, kann der Dienst auch in die folgenden Drittanbieterlösungen unter Windows und macOS integriert werden.

• Microsoft Intune. Weitere Einzelheiten finden Sie unter Microsoft Intune-Integration mit Device Posture.
• CrowdStrike. Einzelheiten finden Sie unter CrowdStrike-Integration mit Device Posture.

Bekannte Einschränkungen

• Nach dem Ein- oder Ausschalten der Umschaltfläche für die Gerätehaltung kann es einige Minuten bis zu einer Stunde dauern, bis die Gerätehaltungsfunktion aktiviert oder deaktiviert wird.
• Änderungen in der Gerätestatuskonfiguration werden nicht sofort wirksam. Es kann etwa 10 Minuten dauern, bis die Änderungen wirksam werden.
• Wenn Sie die Option “Service Continuity” in Citrix Workspace aktiviert haben und der Device Posture-Dienst ausgefallen ist, können sich Benutzer möglicherweise nicht bei Workspace anmelden. Dies liegt daran, dass Citrix Workspace Apps und Desktops basierend auf dem lokalen Cache auf dem Benutzergerät aufzählt.
• Wenn Sie in Citrix Workspace ein langlebiges Token und Kennwort konfiguriert haben, funktioniert der Gerätestatus-Scan für diese Konfiguration nicht. Die Geräte werden nur gescannt, wenn sich die Benutzer bei Citrix Workspace anmelden.
• Jede Plattform kann maximal 10 Richtlinien und jede Richtlinie kann maximal 10 Regeln haben.
• Rollenbasierter Zugriff wird mit dem Device Posture-Dienst nicht unterstützt.

Qualität der Dienstleistung

• Leistung: Unter idealen Bedingungen fügt der Device Posture-Dienst beim Anmelden eine zusätzliche Verzögerung von 2 Sekunden hinzu. Diese Verzögerung kann sich je nach zusätzlichen Konfigurationen, beispielsweise durch Integrationen von Drittanbietern wie Microsoft Intune, verlängern.
• Ausfallsicherheit: Der Device Posture-Dienst ist mit mehreren POPs äußerst belastbar, um sicherzustellen, dass es keine Ausfallzeiten gibt.

Definitionen

Die Begriffe „konform“ und „nicht konform“ in Bezug auf den Device Posture-Dienst werden wie folgt definiert.

• Konforme Geräte – Ein Gerät, das die vorkonfigurierten Richtlinienanforderungen erfüllt und sich mit vollständigem oder uneingeschränktem Zugriff auf Citrix Secure Private Access-Ressourcen oder Citrix DaaS-Ressourcen beim Unternehmensnetzwerk anmelden darf.
• Nicht konforme Geräte – Ein Gerät, das die vorkonfigurierten Richtlinienanforderungen erfüllt und sich mit teilweisem oder eingeschränktem Zugriff auf Citrix Secure Private Access-Ressourcen oder Citrix DaaS-Ressourcen beim Unternehmensnetzwerk anmelden darf.