Descripción general de la postura del dispositivo

El servicio Citrix Device Posture es una solución basada en la nube que ayuda a los administradores a aplicar ciertos requisitos que los dispositivos finales deben cumplir para obtener acceso a los recursos de Citrix DaaS (aplicaciones y escritorios virtuales) o Citrix Secure Private Access (SaaS, aplicaciones web, TCP y aplicaciones UDP). Establecer la confianza del dispositivo verificando su postura es fundamental para implementar el acceso basado en confianza cero. Device Posture Service aplica principios de confianza cero en la red al comprobar el cumplimiento de los dispositivos finales (dispositivos administrados/BYOD y posición de seguridad) antes de permitir que un usuario final inicie sesión.

Requisitos previos

• Requisitos de licencia: El derecho a utilizar el servicio Citrix Device Posture es parte de las licencias Citrix DaaS Premium, Citrix DaaS Premium Plus y Citrix Secure Private Access Advanced. Los clientes con otras licencias pueden adquirir un servicio de postura del dispositivo como complemento. Para obtener un complemento, los clientes deben comprar un SKU de autenticación adaptativa independiente, pero no necesariamente tienen que implementarlo para usar el servicio de postura del dispositivo.

• Plataformas admitidas:

  • Windows (10 y 11)
  • macOS 13 Ventura
  • macOS 12 Monterrey
  • iOS
  • IGEL

Nota

• Un dispositivo que se ejecuta en una plataforma no compatible se marca como no compatible de forma predeterminada. Puede cambiar la clasificación de No compatible a Inicio de sesión denegado desde la pestaña Configuración en la página Postura del dispositivo.

• Un dispositivo que se ejecuta en una plataforma compatible pero que no coincide con ninguna política de postura de dispositivo predefinida se marca como no compatible, de manera predeterminada. Puede cambiar la clasificación de No compatible a Inicio de sesión denegado desde la pestaña Configuración en la página Postura del dispositivo.

• Para la compatibilidad de iOS con el servicio Device Posture, el cliente EPA está integrado como parte de la aplicación Citrix Workspace para iOS. Para obtener detalles sobre las versiones, consulte Aplicación Citrix Workspace para iOS.

• Para la compatibilidad del sistema operativo IGEL con el servicio de postura del dispositivo, el cliente EPA está integrado como parte del sistema operativo IGEL. Comuníquese con el equipo de soporte de IGEL para instalar el cliente EPA en los dispositivos IGEL.

• Cliente Citrix Device Posture (cliente EPA): una aplicación liviana que debe instalarse en el dispositivo terminal para ejecutar análisis de postura del dispositivo. Esta aplicación no requiere derechos de administrador local para descargarse e instalarse en un punto final.

Nota

Si está utilizando una verificación de certificado de dispositivo, debe instalar el cliente EPA con derechos administrativos.

• Navegadores compatibles: Chrome, Edge y Firefox.

• Configuración del firewall: para permitir que el servicio de postura del dispositivo actualice los clientes de EPA en un dispositivo final, el firewall/proxy debe configurarse para permitir los siguientes dominios:

  • https://swa-ui-cdn-endpoint-prod.azureedge.net
  • https://productioniconstorage.blob.core.windows.net
  • *.netscalergateway.net
  • *.nssvc.net
  • *.cloud.com
  • *.pendo.io
  • *.citrixworkspacesapi.net

Funcionamiento

Los administradores pueden crear políticas de postura del dispositivo para verificar la postura de los dispositivos terminales y determinar si se permite o deniega el inicio de sesión de un dispositivo terminal. Los dispositivos a los que se les permite iniciar sesión se clasifican además como compatibles o no compatibles. Los usuarios pueden iniciar sesión desde un navegador o la aplicación Citrix Workspace.

A continuación se presentan las condiciones de alto nivel que se utilizan para clasificar un dispositivo como compatible, no compatible y con inicio de sesión denegado.

• Dispositivos compatibles – Un dispositivo que cumple con los requisitos de política preconfigurados y tiene permiso para iniciar sesión en la red de la empresa con acceso total o sin restricciones a los recursos de Citrix Secure Private Access o Citrix DaaS.

• Dispositivos no compatibles : un dispositivo que cumple con los requisitos de política preconfigurados y tiene permiso para iniciar sesión en la red de la empresa con acceso parcial o restringido a los recursos de Citrix Secure Private Access o a los recursos de Citrix DaaS según su configuración de DaaS y Secure Private Access para la postura del dispositivo.

  • DaaS: Los administradores pueden especificar los grupos de entrega para restringir el acceso a los dispositivos no compatibles. Para obtener detalles sobre cómo configurar el acceso restringido a los grupos de entrega, consulte Configuración de Citrix DaaS con Device Posture.
  • Acceso privado seguro: los administradores pueden elegir aplicaciones específicas para restringir el acceso a estos dispositivos. Para obtener detalles sobre cómo restringir el acceso a aplicaciones específicas, consulte Configuración de Citrix Secure Private Access con Device Posture.
• Inicio de sesión denegado: - Se niega el inicio de sesión a un dispositivo que no cumple con los requisitos de la política.

La clasificación de los dispositivos como compatibles, no compatiblesy inicio de sesión denegado se pasa al servicio Citrix DaaS y Citrix Secure Private Access que, a su vez, utiliza la clasificación del dispositivo para proporcionar capacidades de acceso inteligente.

Nota

• Las políticas de postura del dispositivo deben configurarse específicamente para cada plataforma. Por ejemplo, para macOS, un administrador puede permitir el acceso a los dispositivos que tienen una versión específica del sistema operativo. De manera similar, para Windows, el administrador puede configurar políticas para incluir un archivo de autorización específico, configuraciones de registro, etc.
• Los escaneos de postura del dispositivo se realizan solo durante la autenticación previa/antes de iniciar sesión.
• Para conocer las definiciones de “compatible” y “no compatible”, consulte Definiciones.

Escaneos compatibles con la postura del dispositivo

El servicio Citrix Device Posture admite los siguientes análisis:

| Windows | macOS | iOS | IGEL | | ——————————————————————— | ——————————————– | —————————————– | ——————————————- | | Versión de la aplicación Citrix Workspace | Versión de la aplicación Citrix Workspace | Versión de la aplicación Citrix Workspace | - | | Versión del sistema operativo | Versión del sistema operativo | Versión del sistema operativo | - | | Archivo (existe, nombre del archivo y ruta) | Archivo (existe, nombre del archivo y ruta) | - | Archivo (existe, nombre del archivo y ruta) | | Geolocation | Geolocation | - | - | | Ubicación de la red | Ubicación de la red | - | - | | Dirección MAC | Dirección MAC | - | - | | Proceso (existe) | Proceso (existe) | - | - | | Administrador de puntos finales de Microsoft | Administrador de puntos finales de Microsoft | - | - | | Golpe de masas | Golpe de masas | - | - | | Certificado del dispositivo | Certificado del dispositivo | - | - | | Explorador Web | Explorador Web | - | - | | antivirus | antivirus | - | - | | Registro no numérico (32 bits) | - | - | - | | Registro no numérico (64 bits) | - | - | - | | Registro numérico (32 bits) | - | - | - | | Registro numérico (64 bits) | - | - | - | | Tipo de instalación de Windows Update | - | - | - | | Instalación de Windows Update Comprobación de la última actualización | - | - | - |

Nota

Para la compatibilidad de iOS con el servicio Device Posture, el cliente EPA está integrado como parte de la aplicación Citrix Workspace para iOS. Para obtener detalles sobre las versiones, consulte Aplicación Citrix Workspace para iOS.

Integración de terceros con la postura del dispositivo

Además de los escaneos nativos que ofrece el servicio Device Posture, el servicio también se puede integrar con las siguientes soluciones de terceros en Windows y macOS.

• Microsoft Intune. Para obtener más detalles, consulte Integración de Microsoft Intune con Device Posture.
• Golpe de masas. Para obtener más detalles, consulte Integración de CrowdStrike con Device Posture.

Limitaciones conocidas

• El tiempo que tarda la funcionalidad de postura del dispositivo en habilitarse o deshabilitarse después de activar o desactivar el botón de alternancia de postura del dispositivo puede demorar entre unos minutos y una hora.
• Cualquier cambio en la configuración de la postura del dispositivo no tiene efecto inmediato. Los cambios podrían tardar unos 10 minutos en surtir efecto.
• Si ha habilitado la opción Continuidad del servicio en Citrix Workspace y el servicio de Postura del dispositivo no funciona, es posible que los usuarios no puedan iniciar sesión en Workspace. Esto se debe a que Citrix Workspace enumera las aplicaciones y los escritorios en función del caché local en el dispositivo del usuario.
• Si ha configurado un token y una contraseña de larga duración en Citrix Workspace, el análisis de postura del dispositivo no funciona para esta configuración. Los dispositivos se escanean solo cuando los usuarios inician sesión en Citrix Workspace.
• Cada plataforma puede tener un máximo de 10 políticas y cada política puede tener un máximo de 10 reglas.
• El acceso basado en roles no es compatible con el servicio de postura del dispositivo.

Calidad del servicio

• Rendimiento: en condiciones ideales, el servicio de postura del dispositivo agrega 2 segundos adicionales de retraso durante el inicio de sesión. Este retraso podría aumentar dependiendo de configuraciones adicionales, como integraciones de terceros como Microsoft Intune.
• Resiliencia: el servicio de postura del dispositivo es altamente resistente con múltiples POP para garantizar que no haya tiempo de inactividad.

Definiciones

Los términos “compatible” y “no compatible” en referencia al servicio Device Posture se definen de la siguiente manera.

• Dispositivos compatibles – Un dispositivo que cumple con los requisitos de política preconfigurados y tiene permiso para iniciar sesión en la red de la empresa con acceso total o sin restricciones a los recursos de Citrix Secure Private Access o Citrix DaaS.
• Dispositivos no compatibles : un dispositivo que cumple con los requisitos de política preconfigurados y tiene permiso para iniciar sesión en la red de la empresa con acceso parcial o restringido a los recursos de Citrix Secure Private Access o Citrix DaaS.