Control del acceso a las aplicaciones
La función de control de acceso a las aplicaciones le permite controlar cómo se accede a estas a través de reglas. Le ayuda a optimizar la administración de aplicaciones e imágenes. Por ejemplo, puede entregar máquinas idénticas a diferentes departamentos y satisfacer, al mismo tiempo, los requisitos específicos en cuestión de aplicaciones de cada uno de ellos para reducir, de este modo, la cantidad de imágenes.
En este artículo se explica cómo habilitar el control de acceso a las aplicaciones y configurar las reglas de control. También se ofrece un ejemplo de uso de esta función para simplificar la administración de imágenes en entornos virtuales.
Introducción
Con la función de control de acceso a las aplicaciones, puede ocultar aplicaciones a usuarios, máquinas y procesos mediante la configuración de reglas de ocultación.
Una regla de ocultación de aplicaciones define dos partes de la información:
-
Objetos que ocultar. Archivos, carpetas y entradas del Registro que quiere ocultar para una aplicación.
Por ejemplo, para ocultar una aplicación, debe especificar todos los objetos asociados a ella, como archivos, carpetas y entradas del Registro.
-
Asignaciones. Usuarios, máquinas y procesos para los que quiere ocultar la aplicación.
Tipos de asignación
Las asignaciones en las reglas de ocultación se dividen en tres categorías: usuarios, máquinas y procesos. Los tipos de asignación detallados son los siguientes:
- Usuarios
- Grupos de usuarios
- Máquinas
- Unidades organizativas (UO)
- Procesos
Nota:
En el contexto del control de acceso a las aplicaciones, las unidades organizativas se utilizan como contenedores solo para las máquinas. Como resultado, una asignación de unidad organizativa oculta la aplicación solo para las máquinas de la unidad organizativa. No oculta la aplicación para los usuarios de la OU.
Cuando una regla de ocultación de aplicaciones tiene configuradas varias asignaciones, tenga en cuenta estas consideraciones:
- Si esas asignaciones pertenecen a la misma categoría (por ejemplo, usuario A y grupo de usuarios B), la aplicación se oculta a todos los objetos especificados en esas asignaciones (el usuario A y todos los usuarios del grupo de usuarios B).
- Si esas asignaciones pertenecen a categorías diferentes (por ejemplo, usuario A y máquina X), la aplicación se oculta cuando se cumplen las condiciones especificadas en todas esas asignaciones (cuando el usuario A inicia sesión en la máquina X).
- Si esas asignaciones pertenecen a la categoría de procesos, la aplicación se oculta a todos los procesos especificados en esas asignaciones.
Nota:
Si no hay ninguna asignación configurada para una regla, se oculta la aplicación especificada en la regla.
Flujo de trabajo
Con la función de control de acceso a las aplicaciones, Profile Management puede ocultar estas a los usuarios, las máquinas y los procesos en función de las reglas que usted proporcione.
Para aplicar el control de acceso a las aplicaciones a su entorno, primero debe crear reglas de ocultación. Para ello, utilice Rule Generator, una herramienta de PowerShell que se suministra con el paquete de instalación de Profile Management.
A nivel general, el procedimiento para crear reglas de ocultación es el siguiente:
-
Cree una regla de ocultación para una aplicación:
- Especifique los archivos, carpetas y entradas de Registro que desea ocultar de la aplicación.
- Configure las asignaciones para la regla. Para ello, especifique los grupos de usuarios, máquinas o procesos a los que desea ocultar la aplicación. Para obtener más información, consulte Tipos de asignación.
-
Repita el paso 1 para crear reglas de ocultación para otras aplicaciones.
-
Genere datos sin procesar para todas las reglas que configuró.
Para obtener más información sobre Rule Generator, consulte Crear, administrar e implementar reglas mediante Rule Generator.
-
Utilice los GPO para aplicar reglas de ocultación a máquinas de su entorno. Para obtener más información, consulte Habilitar el control de acceso a aplicaciones mediante objetos de directiva de grupo.
Crear, administrar e implementar reglas mediante Rule Generator
En esta sección, se proporciona orientación sobre el uso de la herramienta Rule Generator de PowerShell para crear, administrar e implementar reglas.
Antes de empezar, asegúrese de que la máquina en la que se ejecuta la herramienta:
- Tiene instalado Windows 10 u 11, o bien Windows Server 2016, 2019 o 2022
- Está en el mismo dominio que sus usuarios y máquinas
El procedimiento general es el siguiente:
- Ejecute Windows PowerShell como administrador.
- Acceda a la carpeta \tool del paquete de instalación de Profile Management y, a continuación, ejecute CPM_App_Access_Control_Config.ps1.
- Siga las instrucciones que aparecen en pantalla para crear, administrar y generar reglas de ocultación:
-
Consulte cada aplicación instalada en el equipo y su estado:
- Not configured. No hay reglas configuradas para la aplicación.
- Configured. Hay una o más reglas configuradas para la aplicación y ninguna de ellas se aplica a máquinas.
- Configured and applied. Hay una o más reglas configuradas para la aplicación y se aplica al menos una regla a máquinas.
-
En la lista de aplicaciones, seleccione la aplicación que desee ocultar introduciendo su índice. Aparecerán todos los archivos, carpetas y entradas de Registro que se ocultarán de la aplicación.
-
Para ocultar otros archivos, carpetas o entradas de Registro de la aplicación seleccionada, agréguelos a la aplicación introduciendo sus rutas.
Puede utilizar variables de entorno del sistema (como %windir%) en las rutas. No se admiten variables de entorno de usuario (como %appdata%).
Nota:
También puede definir manualmente una aplicación asociándola a determinados archivos, carpetas y entradas del Registro.
-
Configure las asignaciones para la regla. En detalle, especifique el tipo de asignación (usuarios, grupos de usuarios, máquinas, unidades organizativas o procesos) y, a continuación, introduzca los objetos específicos del tipo seleccionado de los que desee ocultar la aplicación. Para los usuarios, grupos de usuarios y unidades organizativas, introduzca sus nombres de dominio de AD. En el caso de las máquinas, introduzca sus nombres de host DNS.
Nota:
Si no configura ninguna asignación para una regla, la aplicación especificada en la regla será invisible.
-
- Repita el paso 3 para crear reglas de ocultación para otras aplicaciones.
- Siga las instrucciones que aparecen en pantalla para generar los datos sin procesar para las reglas que configuró y, a continuación, guárdelos en un archivo TXT para usarlos en el futuro.
- Para probar la eficacia de las reglas, impleméntelas en el Registro local o en los registros de un grupo de máquinas por medio de un objeto de directiva de grupo.
Nota:
No recomendamos usar esta herramienta para implementar reglas en entornos de producción.
Habilitar el control de acceso a aplicaciones mediante objetos de directiva de grupo
Después de crear y generar las reglas de control de acceso a las aplicaciones, puede usar los objetos de directiva de grupo para aplicar esas reglas a las máquinas de su entorno.
Para aplicar reglas de control a las máquinas mediante un objeto de directiva de grupo, siga estos pasos:
- Abra el Editor de administración de directivas de grupo.
- Acceda a Directivas > Plantillas administrativas: Definiciones de directivas (archivos ADMX) > Componentes de Citrix > Profile Management > Control de acceso a aplicaciones.
- Haga doble clic en Control de acceso a aplicaciones.
- En la ventana de directiva que aparece, seleccione Habilitado.
- Abra el archivo TXT en el que guardó las reglas generadas, copie el contenido y péguelo en el campo Reglas de control de acceso a aplicaciones.
- Haga clic en Aceptar.
La prioridad de configuración de la función es la siguiente:
- Si esta opción no utiliza un objeto de directiva de grupo, Studio o WEM, se utilizará el valor del archivo INI.
- Si esta opción no está configurada en ninguna parte, la función se inhabilita.
Ejemplo
En esta sección se usa un ejemplo para guiarle en la implementación del control de acceso a las aplicaciones para una imagen.
Requisitos
Los requisitos de este ejemplo son los siguientes:
- Utilice una sola imagen para crear máquinas virtuales para los departamentos de Ventas, Recursos Humanos e Ingeniería.
- Controle el acceso a las siguientes aplicaciones:
- Microsoft Excel: Invisible para los usuarios del departamento de Recursos Humanos.
- Visual Studio Code: Invisible para los usuarios del departamento de Ventas o de Recursos Humanos.
Solución
Instale Profile Management para controlar el acceso a las aplicaciones instaladas.
Instalar una máquina de plantilla
Instale una máquina de plantilla para capturar la imagen. El procedimiento es el siguiente:
- Une una nueva máquina al mismo dominio de AD que sus usuarios y máquinas.
- Instale el siguiente software en el equipo:
- Windows 10 u 11, o Windows Server 2016, 2019 o 2022, según sea necesario
- Profile Management versión 2303 o posterior
- Todas las aplicaciones necesarias
Crear y generar reglas de ocultación
-
En la máquina de plantilla, utilice Rule Generator para crear y generar reglas de ocultación.
- Regla 1: Ocultar Microsoft Excel a los usuarios del departamento de Recursos Humanos (aplicación: Microsoft Excel; asignación: grupo de usuarios de Recursos Humanos)
- Regla 2: Ocultar Visual Studio Code a los usuarios del departamento de Ventas o Recursos Humanos (aplicación: Visual Studio Code; asignaciones: grupo de usuarios de Ventas y grupo de usuarios de Recursos Humanos)
-
Genere datos sin procesar para las dos reglas y guárdelos en un archivo TXT.
Para obtener más información sobre cómo utilizar la herramienta, consulte Crear, generar e implementar reglas mediante Rule Generator.
Ahora puede capturar la imagen desde la máquina de plantilla.
Habilitar el control de acceso a aplicaciones mediante objetos de directiva de grupo
Una vez creadas las máquinas virtuales, utilice los objetos de directiva de grupo para, de forma centralizada, habilitar el control de acceso a las aplicaciones y aplicar las reglas generadas a las máquinas. Para obtener más información, consulte Habilitar el control de acceso a aplicaciones mediante objetos de directiva de grupo.