Zugriff auf Anwendungen steuern
Mit der App-Zugriffssteuerung können Sie den Zugriff auf Anwendungen auf der Basis von Regeln steuern. Das Feature trägt zur Rationalisierung der Verwaltung von Anwendungen und Images bei. Sie können beispielsweise verschiedenen Abteilungen identische Maschinen bereitstellen und zugleich die individuellen Anwendungsanforderungen erfüllen. So sind weniger Images erforderlich.
In diesem Artikel wird die Aktivierung der App-Zugriffssteuerung und die Konfiguration der zugehörigen Regeln erläutert. Er enthält außerdem ein Beispiel für die Verwendung des Features zur Vereinfachung der Image-Verwaltung in virtuellen Umgebungen.
Übersicht
Mit der App-Zugriffssteuerung können Sie Anwendungen vor Benutzern, Maschinen und Prozessen verbergen, indem Sie Regeln zum Ausblenden konfigurieren.
Eine Regel zum Ausblenden von Apps definiert zwei Informationen:
-
Auszublendende Objekte. Dateien, Ordner und Registrierungseinträge, die Sie für eine Anwendung ausblenden möchten.
Um beispielsweise eine Anwendung auszublenden, müssen Sie alle mit dieser Anwendung verknüpften Objekte, wie Dateien, Ordner und Registrierungseinträge, angeben.
-
Zuweisungen. Benutzer, Maschinen und Prozesse, vor denen Sie die Anwendung verbergen möchten.
Zuweisungstypen
Zuweisungen in Regeln zum Verbergen lassen sich in drei Kategorien einteilen: Benutzer, Maschinen und Prozesse. Die detaillierten Zuweisungstypen lauten wie folgt:
- Benutzer
- Benutzergruppen
- Maschinen
- Organisationseinheiten (OU)
- Prozesse
Hinweis:
Im Zusammenhang mit der App-Zugriffssteuerung werden Organisationseinheiten nur als Container für Maschinen verwendet. Daher verbirgt eine Organisationseinheitenzuweisung die App nur für Maschinen in der Organisationseinheit. Die App wird nicht vor Benutzern in der Organisationseinheit verborgen.
Wenn für eine Regel zum Ausblenden von Apps mehrere Zuweisungen konfiguriert sind, beachten Sie Folgendes:
- Wenn die Zuweisungen derselben Kategorie angehören (z. B. Benutzer A und Benutzergruppe B), wird die Anwendung vor allen in diesen Zuweisungen angegebenen Objekten verborgen (Benutzer A und alle Benutzer in Benutzergruppe B).
- Wenn diese Zuweisungen unterschiedlichen Kategorien angehören (z. B. Benutzer A und Maschine X), wird die Anwendung ausgeblendet, wenn die in all diesen Zuweisungen angegebenen Bedingungen erfüllt sind (wenn sich Benutzer A bei Maschine X anmeldet).
- Wenn diese Zuweisungen der Prozesskategorie angehören, wird die Anwendung für alle in diesen Zuweisungen angegebenen Prozessen ausgeblendet.
Hinweis:
Wenn für eine Regel keine Zuweisungen konfiguriert sind, wird die in der Regel angegebene Anwendung ausgeblendet.
Workflow
Mithilfe der App-Zugriffssteuerung können Anwendungen auf der Grundlage der von Ihnen angegebenen Regeln für Benutzer, Maschinen und Prozesse verborgen werden.
Um die App-Zugriffssteuerung auf Ihre Umgebung anzuwenden, müssen Sie zuerst Regeln erstellen. Verwenden Sie hierfür das im Installationspaket der Profilverwaltung enthaltene PowerShell-Tool Rule Generator.
Das grundlegende Verfahren zum Erstellen der Regeln ist wie folgt:
-
Regel für eine Anwendung erstellen:
- Geben Sie die Dateien, Ordner und Registrierungseinträge an, die Sie für die Anwendung verbergen möchten.
- Konfigurieren Sie Zuweisungen für die Regel. Geben Sie hierfür Gruppen von Benutzern, Maschinen oder Prozessen an, vor denen Sie die Anwendung verbergen möchten. Weitere Informationen finden Sie unter Zuweisungstypen.
-
Wiederholen Sie Schritt 1, um Regeln für weitere Anwendungen zu erstellen.
-
Generieren Sie Rohdaten für alle Regeln, die Sie konfiguriert haben.
Weitere Informationen zu Rule Generator finden Sie unter Regeln mithilfe des Regelgenerators erstellen, verwalten und bereitstellen.
-
Verwenden Sie GPOs, um Regeln zum Ausblenden auf Maschinen in Ihrer Umgebung anzuwenden. Weitere Informationen finden Sie unter App-Zugriffssteuerung mithilfe von GPOs aktivieren.
Regeln mit Rule Generator erstellen, verwalten und bereitstellen
Dieser Abschnitt enthält Anleitungen zur Verwendung des PowerShell-basierten Tools Rule Generator zum Erstellen, Verwalten und Bereitstellen von Regeln.
Bevor Sie beginnen, stellen Sie sicher, dass die Maschine, auf der Sie das Tool ausführen, folgende Bedingungen erfüllt:
- Windows 10 oder 11 oder Windows Server 2016, 2019 oder 2022
- Befindet sich in derselben Domäne wie die Benutzer und Maschinen
Das allgemeine Verfahren ist wie folgt:
- Führen Sie Windows PowerShell als Administrator aus.
- Führen Sie im Installationspaket der Profilverwaltung im Ordner \tool die Datei CPM_App_Access_Control_Config.ps1 aus.
- Folgen Sie den angezeigten Anweisungen, um Regeln zum Verbergen zu erstellen, zu verwalten und zu generieren:
-
Prüfen Sie den Zustand jeder auf der Maschine installierten Anwendung:
- Not configured. Für die Anwendung sind keine Regeln konfiguriert.
- Configured. Eine oder mehrere Regeln sind für die Anwendung konfiguriert und keine davon wird auf Maschinen angewendet.
- Configured and applied. Eine oder mehrere Regeln sind für die Anwendung konfiguriert und zumindest eine davon wird auf Maschinen angewendet.
-
Wählen Sie aus der Anwendungsliste eine Anwendung aus, die Sie verbergen möchten, indem Sie ihren Index eingeben. Alle Dateien, Ordner und Registrierungseinträge, die für die Anwendung verborgen werden, werden angezeigt.
-
Um zusätzliche Dateien, Ordner oder Registrierungseinträge für die ausgewählte Anwendung zu verbergen, fügen Sie sie der Anwendung hinzu, indem Sie ihre Pfade eingeben.
Sie können Systemumgebungsvariablen (z. B. %windir%) in den Pfaden verwenden. Benutzerumgebungsvariablen (z. B. %appdata%) werden nicht unterstützt.
Hinweis:
Sie können eine Anwendung auch manuell definieren, indem Sie sie Dateien, Ordnern und Registrierungseinträgen zuordnen.
-
Konfigurieren Sie Zuweisungen für die Regel. Geben Sie den Zuweisungstyp an (Benutzer, Benutzergruppen, Maschinen, Organisationseinheiten oder Prozesse) und geben Sie dann die Objekte des ausgewählten Typs an, für die Sie die Anwendung ausblenden möchten. Geben Sie für Benutzer, Benutzergruppen und Organisationseinheiten deren AD-Domänennamen ein. Geben Sie für Maschinen deren DNS-Hostnamen ein.
Hinweis:
Wenn Sie für eine Regel keine Zuweisungen konfigurieren, ist die in der Regel angegebene App unsichtbar.
-
- Wiederholen Sie Schritt 3, um Regeln für weitere Anwendungen zu erstellen.
- Folgen Sie den angezeigten Anweisungen, um die Rohdaten für die konfigurierten Regeln zu generieren, und speichern Sie diese für die zukünftige Verwendung in einer TXT-Datei.
- Um die Regeln zu testen, stellen Sie sie in der lokalen Registrierung oder in den Registrierungen einer Maschinengruppe per GPO bereit.
Hinweis:
Wir raten von der Verwendung dieses Tools zum Bereitstellen von Regeln für Produktionsumgebungen ab.
App-Zugriffssteuerung mithilfe von GPOs aktivieren
Nachdem Sie die App-Zugriffssteuerungsregeln erstellt und generiert haben, können Sie GPOs verwenden, um die Regeln auf Maschinen in Ihrer Umgebung anzuwenden.
Gehen Sie wie folgt vor, um Regeln per GPO auf Maschinen anzuwenden:
- Öffnen Sie den Gruppenrichtlinienverwaltungs-Editor.
- Wählen Sie Richtlinien > Administrative Vorlagen: Richtliniendefinitionen (ADMX-Dateien) > Citrix Komponenten > Profilverwaltung > App-Zugriffssteuerung.
- Doppelklicken Sie auf App-Zugriffssteuerung.
- Wählen Sie in dem nun angezeigten Richtlinienfenster Aktiviert.
- Öffnen Sie die TXT-Datei, in der Sie die generierten Regeln gespeichert haben, kopieren Sie den Inhalt und fügen Sie ihn in das Feld App-Zugriffssteuerungsregeln ein.
- Klicken Sie auf OK.
Konfigurationspriorität:
- Wenn die Einstellung weder ein GPO, noch Studio oder WEM verwendet, wird der Wert aus der INI-Datei verwendet.
- Wenn die Einstellung nirgends konfiguriert ist, ist das Feature deaktiviert.
Beispiel
Dieser Abschnitt enthält ein Beispiel der Implementierung der App-Zugriffssteuerung für ein Image.
Anforderungen
Dem Beispiel liegen folgende Anforderungen zugrunde:
- Verwendung eines einzelnen Images, um virtuelle Maschinen für die Vertriebs-, Personal- und Technikabteilungen zu erstellen.
- Steuern des Zugriffs auf die folgenden Anwendungen:
- Microsoft Excel: verborgen für Benutzer der Personalabteilung.
- Visual Studio Code: verborgen für Benutzer der Vertriebs- oder Personalabteilung.
Lösung
Installieren Sie die Profilverwaltung, um den Zugriff auf installierte Anwendungen zu steuern.
Vorlagenmaschine installieren
Installieren Sie eine Vorlagenmaschine zur Imageerfassung. Gehen Sie dazu folgendermaßen vor:
- Fügen Sie der AD-Domäne mit den Benutzern und Maschinen eine neue Maschine hinzu.
- Installieren Sie die folgende Software auf der Maschine:
- Windows 10 oder 11 oder Windows Server 2016, 2019 oder 2022, je nach Bedarf
- Profilverwaltung Version 2303 oder höher
- Alle erforderlichen Anwendungen
Regeln für das Verbergen erstellen und generieren
-
Verwenden Sie auf der Vorlagenmaschine Rule Generator, um Regeln zu erstellen und zu generieren.
- Regel 1: zum Verbergen von Microsoft Excel für Benutzer der Personalabteilung (Anwendung: Microsoft Excel, Zuweisung: Peronal-Benutzergruppe)
- Regel 2: zum Verbergen von Visual Studio Code für Benutzer der Vertriebs- und Personalabteilung (Anwendung: Visual Studio Code, Zuweisungen: Vertriebs-Benutzergruppe und Personal-Benutzergruppe)
-
Generieren Sie Rohdaten für die beiden Regeln und speichern Sie sie in einer TXT-Datei.
Weitere Informationen zur Verwendung des Tools finden Sie unter Regeln mithilfe von Rule Generator erstellen, verwalten und bereitstellen.
Sie können nun das Image von der Vorlagenmaschine erfassen.
App-Zugriffssteuerung mithilfe von GPOs aktivieren
Wenn virtuelle Maschinen erstellt sind, können Sie die App-Zugriffssteuerung mithilfe von GPOs zentral aktivieren und die generierten Regeln auf Maschinen anwenden. Weitere Informationen finden Sie unter App-Zugriffssteuerung mithilfe von GPOs aktivieren.