Citrix DaaS

Accès adaptatif basé sur l’emplacement réseau des utilisateurs

La fonctionnalité d’accès adaptatif de Citrix Workspace utilise une infrastructure de stratégie avancée pour permettre l’accès à Citrix DaaS en fonction de l’emplacement réseau des utilisateurs. L’emplacement est défini à l’aide de la plage d’adresses IP ou des adresses de sous-réseau.

Les administrateurs peuvent définir des stratégies pour énumérer ou non les applications et les bureaux virtuels en fonction de l’emplacement réseau des utilisateurs. Les administrateurs peuvent également contrôler les actions des utilisateurs en activant ou désactivant l’accès au presse-papiers, les imprimantes, le mappage des lecteurs clients, etc., en fonction de l’emplacement réseau des utilisateurs. Par exemple, les administrateurs peuvent définir des stratégies de sorte que les utilisateurs accédant aux ressources depuis leur domicile ont un accès limité aux applications et les utilisateurs accédant aux ressources depuis les succursales disposent d’un accès complet.

Présentation de l'accès adaptatif

Un administrateur peut mettre en œuvre les stratégies suivantes pour l’accès aux applications :

  • Énumérer certaines applications sensibles uniquement à partir du site de l’entreprise ou de ses succursales.
  • Ne pas énumérer les applications sensibles si les employés accèdent à l’espace de travail à partir d’un réseau externe.
  • Désactiver l’accès à une imprimante depuis les succursales.
  • Désactiver l’accès au presse-papiers et à une imprimante lorsque les utilisateurs se trouvent en dehors du réseau d’entreprise.

Droits

La fonctionnalité Accès adaptatif est disponible pour les clients possédant les licences suivantes.

  • DaaS Premium/Premium Plus
  • Secure Private Access Advanced

Logiciels requis

  • Assurez-vous que la fonctionnalité Accès adaptatif est activée (Citrix Workspace > Accès > Accès adaptatif). Pour plus de détails, voir Activer la fonctionnalité Accès adaptatif.

    Lorsque l’accès adaptatif est activé, les stratégies d’accès DaaS sont mises à jour pour utiliser l’option Connexions transitant par Citrix Gateway.

    Remarque :

    NetScaler Gateway est nécessaire pour ajouter des balises d’accès intelligentes dans les stratégies d’accès DaaS. Toutefois, étant donné que DaaS utilise des balises provenant des services Posture de l’appareil, Accès adaptatif et Authentification adaptative, il n’est pas nécessaire de configurer NetScaler Gateway.

  • Comprendre les balises d’emplacement. Pour plus de détails, consultez la section Balises d’emplacement réseau.

Points à noter

Les points suivants ne s’appliquent que si vous souhaitez restreindre l’énumération des applications en fonction de l’emplacement. Si vous prévoyez d’utiliser l’accès adaptatif pour restreindre les contrôles utilisateur tels que la désactivation de l’accès au presse-papiers, la redirection de l’imprimante, le mappage des lecteurs clients, en fonction de l’emplacement réseau, vous pouvez ignorer ces consignes.

  • Si vous prévoyez d’énumérer de manière sélective DaaS en fonction de l’emplacement réseau, la gestion des utilisateurs doit être effectuée à l’aide de stratégies Citrix Studio au lieu de Workspace pour ces groupes de mise à disposition. Lors de la création d’un groupe de mise à disposition, dans Paramètres utilisateur, choisissez Restreindre l’utilisation de ce groupe de mise à disposition aux utilisateurs ou Autoriser les utilisateurs authentifiés à utiliser ce groupe de mise à disposition. Cela vous permet de configurer l’accès adaptatif dans l’onglet Stratégie d’accès sous Groupe de mise à disposition.

Le groupe de mise à disposition

  • Modifications apportées à Direct Workload Connection lorsque l’accès adaptatif est activé.

    • Le champ Balises d’emplacement est visible dans Citrix Cloud > Emplacements réseau > Ajouter un emplacement réseau > Balises d’emplacement.
    • Les stratégies Direct Workload Connection existantes fonctionnent comme prévu.
    • De nouvelles stratégies doivent être créées dans le service Emplacements réseau (sans définir de balises) ainsi que dans le groupe de mise à disposition. De plus, le type de connectivité réseau doit être Interne.
    • Pour les nouvelles stratégies Direct Workload Connection avec des balises, les balises doivent être définies dans le service Emplacement réseau et les mêmes balises doivent également être définies dans le groupe de mise à disposition ou la stratégie d’accès dans DaaS Studio. De plus, le type de connectivité réseau doit être Interne. Les balises d’emplacement ne sont pas pertinentes pour Direct Workload Connection.
  • Il est recommandé de tester votre déploiement Citrix DaaS comme suit.

    • Identifiez un groupe de mise à disposition test ou créez un groupe de mise à disposition pour implémenter cette fonctionnalité.
    • Créez une stratégie ou identifiez une stratégie pouvant être utilisée avec un groupe de mise à disposition test.

Activer la fonctionnalité Accès adaptatif

  1. Connectez-vous à Citrix Cloud.
  2. Sélectionnez Configuration de l’espace de travail dans le menu hamburger.
  3. Le bouton à bascule Accès adaptatif est désactivé par défaut. Activez le bouton Accès adaptatif.
  4. Cliquez sur Oui, activer l’accès adaptatif dans le message de confirmation.

Activer l'accès adaptatif

Message Activer l'accès adaptatif

Lorsque l’accès adaptatif est activé, vous pouvez définir les balises d’emplacement pour l’accès adaptatif (Citrix Cloud > Emplacements réseau > Ajouter un emplacement réseau > Balises d’emplacement).

Accès adaptatif activé

Lorsque l’accès adaptatif est désactivé, vous ne pouvez pas ajouter d’emplacement réseau. Les balises d’emplacement ne sont pas applicables dans ce cas.

Accès adaptatif désactivé

Important :

Lorsque vous essayez de désactiver la fonctionnalité Accès adaptatif, le message suivant apparaît. Notez que Workspace n’envoie pas les balises à DaaS pour l’accès adaptatif lorsque la fonctionnalité est désactivée.

Message de désactivation de l'accès adaptatif

Configurer l’accès adaptatif

La configuration de l’accès adaptatif en fonction des emplacements réseau implique les étapes principales suivantes.

  1. Définir les stratégies d’emplacement réseau
  2. Définir les balises dans DaaS Studio

Pour les exemples de configuration, deux types d’utilisateurs (utilisateurs BranchOffice et utilisateurs WorkFromHome) sont sélectionnés pour obtenir le cas d’utilisation suivant.

  • Les utilisateurs BranchOffice doivent pouvoir accéder aux applications avec tous les accès.
  • Les utilisateurs WorkFromHome ne doivent pas avoir accès au presse-papiers.

Dans cet exemple de configuration, Home et Office sont utilisés comme balises dans les exemples.

Configurer les stratégies d’emplacement réseau

  1. Connectez-vous à Citrix Cloud.
  2. Sélectionnez Emplacements réseau dans le menu hamburger. Assurez-vous que le bouton Accès adaptatif est activé. Sinon, l’interface utilisateur de Direct Workload Connection s’affiche.
  3. Cliquez sur Ajouter un emplacement réseau.

    • Nom de l’emplacement : entrez un nom approprié pour la stratégie.

      Exemple : BranchOffice ou WorkFromHome

    • Plage d’adresses IP publiques : définissez la plage d’adresses IP publiques de votre réseau.

      Exemple : 172.9.2.1-172.9.2.30

    • Balises d’emplacement : définissez des balises pour votre emplacement. Il peut s’agir d’un nom faisant référence à votre emplacement. Ces balises sont utilisées pour configurer les stratégies d’accès adaptatif dans Citrix Studio. Pour plus de détails, consultez la section Définir des balises dans Citrix Studio.

      Exemple : BranchOffice ou WorkFromHome

    • Type de connectivité : définissez le type de lancement de l’application.

    Interne : contournez la passerelle pour le lancement de l’application. Externe : utilisez le service Citrix Gateway ou une passerelle traditionnelle pour lancer l’application.

  4. Cliquez sur Enregistrer.

Vous pouvez désormais utiliser ces balises dans DaaS Studio pour activer l’accès adaptatif.

Remarque :

lors de la définition des balises d’emplacement, assurez-vous de ne saisir que le nom de balise préféré sans le préfixe « LOCATION_TAG », par exemple « BranchOffice ». Toutefois, lorsque vous définissez des balises dans Citrix Studio, vous devez préfixer le nom de la balise par « LOCATION_TAG ». Par exemple, « LOCATION_TAG_BRANCHOFFICE ».

Définir des balises dans Citrix Studio à l’aide de l’interface graphique

Dans cet exemple, des balises sont définies dans les groupes de mise à disposition afin de restreindre l’énumération des applications pour les utilisateurs. Deux groupes de mise à disposition sont créés.

  • Groupe de mise à disposition Accès adaptatif — Pour les utilisateurs de l’emplacement BranchOffice. Ces utilisateurs doivent voir toutes les applications de ce groupe de mise à disposition.
  • Groupe de mise à disposition WFH — Pour les utilisateurs de l’emplacement WorkFromHome. Ces utilisateurs doivent voir les applications de ce groupe de mise à disposition.
  1. Connectez-vous à Citrix Cloud.
  2. Dans la vignette Citrix DaaS, cliquez sur Gérer.
  3. Créez un groupe de mise à disposition. Pour de plus amples informations, consultez la section Créer des groupes de mise à disposition.
  4. Sélectionnez le groupe de mise à disposition que vous avez créé et cliquez sur Modifier le groupe de mise à disposition.
  5. Cliquez sur Stratégie d’accès.
  6. Pour les clients qui utilisent l’accès adaptatif dans la plate-forme Citrix Workspace, procédez comme suit pour restreindre l’accès d’un groupe de mise à disposition aux réseaux internes uniquement :

    1. Cliquez avec le bouton droit sur le groupe de mise à disposition et sélectionnez Modifier.
    2. Sélectionnez la stratégie d’accès dans le panneau de gauche.
    3. Cliquez sur l’icône “Modifier” pour modifier la stratégie de connexion par défaut de Citrix Gateway.

      Connexions de passerelle

    4. Sur la page Modifier la stratégie, sélectionnez Connexions répondant aux critères suivants, sélectionnez N’importe quelle connexion, puis ajoutez les critères.

      Critères

      Pour les utilisateurs de WorkFromHome, entrez les valeurs suivantes dans le Delivery Controller correspondant.

      Batterie : espace de travail

      Filtre : LOCATION_TAG_WORKFROMHOME

      Pour les utilisateurs de BranchOffice, entrez les valeurs suivantes dans le Delivery Controller correspondant.

      Filtre : espace de travail

      Valeur : LOCATION_TAG_BRANCHOFFICE

Vous pouvez désormais utiliser ces balises pour restreindre l’accès aux applications.

Remarque :

Assurez-vous de saisir dans le champ Valeur le nom de balise d’emplacement correct, tel que vous l’avez défini lors de la création des stratégies d’emplacement réseau préfixées par « LOCATION_TAG ». Par exemple, si vous avez défini la balise d’emplacement « BranchOffice », vous devez saisir « LOCATION_TAG_BRANCHOFFICE » dans le champ Valeur. Pour plus de détails sur la configuration des balises d’emplacement, reportez-vous à la section Configurer les stratégies d’emplacement réseau.

Restreindre l’accès aux applications

Dans cet exemple, la redirection du presse-papiers du client est désactivée pour les utilisateurs de l’emplacement WorkFromHome.

  1. Connectez-vous à Citrix DaaS.
  2. Accédez à Stratégies et cliquez sur Créer une stratégie.
  3. Sélectionnez Redirection du Presse-papiers client, puis cliquez sur Interdire.
  4. Cliquez sur Suivant.

Restreindre l'accès au presse-papiers

  1. Sur la page Attribuer la stratégie à, sélectionnez Contrôle d’accès.
  2. Définissez les valeurs suivantes pour la stratégie :

    • Mode : Autoriser
    • Type de connexion : Avec Citrix Gateway
    • Nom de la batterie Gateway : Workspace
    • Condition d’accès : LOCATION_TAG_WORKFROMHOME (tout en majuscules)

Mode et batterie

  1. Cliquez sur Suivant.
  2. Entrez le nom de la stratégie et ajoutez une description de la stratégie.
  3. Cliquez sur Terminer.

Les utilisateurs de l’emplacement WorkFromHome ne peuvent pas accéder aux ressources qu’ils ont lancées dans le presse-papiers.

Configurer les stratégies d’enregistrement de session en fonction des balises

L’enregistrement de session permet aux organisations d’enregistrer l’activité des utilisateurs à l’écran lors de sessions virtuelles. Vous pouvez spécifier des balises, telles que des balises d’emplacement réseau, lors de la création d’une stratégie d’enregistrement de session personnalisée, d’une stratégie de détection d’événements ou d’une stratégie de réponse aux événements. Pour consulter un exemple, reportez-vous à Créer une stratégie d’enregistrement personnalisée.

Balises d’emplacement réseau

Le service Emplacements réseau fournit les balises suivantes.

  • Balises par défaut : ces balises sont définies sur le service Emplacements réseau. Les balises par défaut suivantes sont disponibles.
    • Location_internal : balise envoyée par défaut lorsque le type de connectivité réseau est défini sur INTERNAL.
    • Location_external : balise envoyée par défaut lorsque le type de connectivité réseau est défini sur EXTERNAL.
    • Location_undefined : balise envoyée pour une adresse IP qui n’est pas définie dans la stratégie mais qui passe par le service Emplacements réseau. Les lancements pour ces utilisateurs sont identiques à ceux définis dans le groupe de ressources.
  • Balises personnalisées : les administrateurs peuvent définir des noms de balises personnalisés dans les stratégies. Exemple : bureau, domicile, succursale

Exemples :

Balises par défaut : LOCATION_INTERNAL, LOCATION_EXTERNAL, LOCATION_UNDEFINED

Balises personnalisées : LOCATION_TAG_OFFICE, LOCATION_TAG_HOME

Remarque :

Lorsque vous définissez des balises pour le service Emplacement réseau, assurez-vous de respecter ces règles :

  • Les balises par défaut commencent toujours par le préfixe « LOCATION_<tag name> ». Par exemple, LOCATION_INTERNAL.
  • Les balises personnalisées commencent toujours par le préfixe « LOCATION_TAG<tag name> ». Par exemple, LOCATION_TAG_OFFICE.

Problèmes connus

Si vous désactivez la fonctionnalité Accès adaptatif une fois qu’elle a été activée et que les règles ont été définies (balises et type de connectivité), les emplacements ne sont pas supprimés de la page Emplacements réseau, bien que les balises d’emplacement et les colonnes du type de connectivité soient masquées. Mais ces emplacements sont désactivés dans le back-end. Il s’agit d’un problème esthétique.