Documentation produit
Citrix Endpoint Management™
Voir PDF

SmartAccess pour les applications HDX™

April 20, 2026
Contributeur: 
C C

Cette fonctionnalité vous permet de contrôler l’accès aux applications HDX en fonction des propriétés de l’appareil, des propriétés utilisateur d’un appareil ou des applications installées sur un appareil. Vous utilisez cette fonctionnalité en définissant des actions automatisées pour marquer l’appareil comme non conforme afin de lui refuser l’accès. Les applications HDX utilisées avec cette fonctionnalité sont configurées dans Citrix Virtual Apps and Desktops à l’aide d’une stratégie SmartAccess qui refuse l’accès aux appareils non conformes. Citrix Endpoint Management communique l’état de l’appareil à StoreFront à l’aide d’une balise signée et chiffrée. StoreFront autorise ou refuse ensuite l’accès en fonction de la stratégie de contrôle d’accès de l’application.

  • Pour utiliser cette fonctionnalité, votre déploiement nécessite :

  • Citrix Virtual Apps and Desktops™
  • Citrix Endpoint Management
  • Citrix Endpoint Management configuré avec un certificat SAML à utiliser pour la signature et le chiffrement des balises. Le même certificat sans clé privée est téléchargé sur le serveur StoreFront.

Pour commencer à utiliser cette fonctionnalité :

  • Configurez le certificat du serveur Citrix Endpoint Management pour le magasin StoreFront
  • Configurez au moins un groupe de mise à disposition Citrix Virtual Apps and Desktops avec la stratégie SmartAccess requise
  • Définissez l’action automatisée dans Citrix Endpoint Management

SmartAccess aux applications HDX pour les points de terminaison

Avec cette fonctionnalité, vous pouvez appliquer un contrôle d’accès basé sur des stratégies pour restreindre l’accès des appareils aux applications HDX. Vous pouvez appliquer ces niveaux d’accès aux applications HDX :

  • Accès complet. Un appareil peut accéder à toutes les applications HDX fournies par le magasin Citrix Secure Hub.
  • Accès restreint. Un appareil peut accéder à une ou plusieurs applications HDX, mais pas à toutes.
  • Aucun accès. Un appareil ne peut accéder à aucune application HDX.

Le graphique suivant illustre le fonctionnement du contrôle d’accès. Une tentative de lancement d’une application HDX dans Citrix Secure Hub déclenche une demande auprès d’un Delivery Controller. Le Delivery Controller transmet ensuite la demande au serveur Citrix Endpoint Management pour validation. Le résultat de la validation détermine le niveau d’accès de l’appareil. Par exemple, l’accès à une application HDX est refusé si l’appareil est jailbreaké.

Contrôle d’accès SmartAccess

Exporter et configurer le certificat du serveur Citrix Endpoint Management et le télécharger vers le magasin StoreFront

SmartAccess utilise des balises signées et chiffrées pour communiquer entre les serveurs Citrix Endpoint Management et StoreFront. Pour activer cette communication, vous ajoutez le certificat du serveur Citrix Endpoint Management au magasin StoreFront.

Pour plus d’informations sur l’intégration de StoreFront et Citrix Endpoint Management lorsque Citrix Endpoint Management est activé avec l’authentification par domaine et par certificat, consultez le Centre de connaissances de l’assistance.

Exporter le certificat SAML depuis Citrix Endpoint Management

  1. Dans la console Citrix Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche. Cliquez sur Certificats.

  2. Localisez le certificat SAML pour le serveur Citrix Endpoint Management.

    Configuration SmartAccess

  3. Assurez-vous que l’option Exporter la clé privée est définie sur Désactivé. Cliquez sur Exporter pour exporter le certificat vers votre répertoire de téléchargement.

    Configuration SmartAccess

  4. Localisez le certificat dans votre répertoire de téléchargement. Le certificat est au format PEM.

    Configuration SmartAccess

Convertir le certificat de PEM en CER

  1. Ouvrez la console de gestion Microsoft (MMC) et cliquez avec le bouton droit sur Certificats > Toutes les tâches > Importer.

    Configuration SmartAccess

  2. Lorsque l’assistant d’importation de certificat apparaît, cliquez sur Suivant.

    Configuration SmartAccess

  3. Accédez au certificat dans le répertoire de téléchargement.

    Configuration SmartAccess

  4. Sélectionnez Placer tous les certificats dans le magasin suivant et sélectionnez Personnel comme magasin de certificats. Cliquez sur Suivant.

    Configuration SmartAccess

  5. Vérifiez vos sélections et cliquez sur Terminer. Cliquez sur OK pour fermer la fenêtre de confirmation.

    1. Dans la MMC, cliquez avec le bouton droit sur le certificat, puis choisissez Toutes les tâches > Exporter.

    Configuration SmartAccess

  1. Lorsque l’assistant d’exportation de certificat apparaît, cliquez sur Suivant.

    Configuration SmartAccess

  2. Choisissez le format X.509 binaire encodé DER (.CER). Cliquez sur Suivant.

  • Configuration SmartAccess

  1. Accédez au certificat. Saisissez un nom pour le certificat, puis cliquez sur Suivant.

    Configuration SmartAccess

  2. Enregistrez le certificat.

    Configuration SmartAccess

  3. Accédez au certificat et cliquez sur Suivant.

    Configuration SmartAccess

  4. Vérifiez vos sélections et cliquez sur Terminer. Cliquez sur OK pour fermer la fenêtre de confirmation.

    Configuration SmartAccess

  5. Localisez le certificat dans votre répertoire de téléchargement. Le certificat est au format CER.

    Configuration SmartAccess

Copier le certificat sur le serveur StoreFront

  1. Sur le serveur StoreFront, créez un dossier nommé SmartCert.

      1. Copiez le certificat dans le dossier SmartCert.
    • Configuration SmartAccess

Configurer le certificat sur le magasin StoreFront

Sur le serveur StoreFront, exécutez cette commande PowerShell pour configurer le certificat de serveur Citrix Endpoint Management converti sur le magasin :

    Grant-STFStorePnaSmartAccess –StoreService $store –CertificatePath  “C:\xms\xms.cer” –ServerName “XMS server”
<!--NeedCopy-->

Configuration SmartAccess

S’il existe des certificats sur le magasin StoreFront, exécutez cette commande PowerShell pour les révoquer :

    -  Revoke-STFStorePnaSmartAccess –StoreService $store –All
<!--NeedCopy-->

-  ![Configuration SmartAccess](/en-us/citrix-endpoint-management/media/revoke-certs-storefront.png)

Sinon, vous pouvez exécuter l’une de ces commandes PowerShell sur le serveur StoreFront pour révoquer les certificats existants sur le magasin StoreFront :

-  Révoquer par nom :

    -  $store = Get-STFStoreService –VirtualPath /Citrix/Store

    Revoke-STFStorePnaSmartAccess –StoreService $store –ServerName “My XM Server"
<!--NeedCopy-->

-  Révoquer par empreinte numérique :

    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    -  Revoke-STFStorePnaSmartAccess –StoreService $store –CertificateThumbprint "[Thumbprint]
<!--NeedCopy-->

-  Révoquer par objet serveur :

    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    $access = Get-STFStorePnaSmartAccess –StoreService $store

    Revoke-STFStorePnaSmartAccess –StoreService $store –SmartAccess $access.AccessConditionsTrusts[0]
<!--NeedCopy-->

Configurer la stratégie SmartAccess pour Citrix Virtual Apps and Desktops

Pour ajouter la stratégie SmartAccess requise au groupe de mise à disposition qui fournit l’application HDX :

  1. Ouvrez Citrix Studio depuis la console Citrix Cloud.

  2. Sélectionnez Groupes de mise à disposition dans le volet de navigation de Studio.

  3. Sélectionnez un groupe fournissant les applications dont vous souhaitez contrôler l’accès. Sélectionnez ensuite Modifier le groupe de mise à disposition dans le volet Actions.

  4. Sur la page Stratégie d’accès, sélectionnez Connexions via NetScaler Gateway et Connexion répondant à l’une des conditions suivantes.

  5. Cliquez sur Ajouter.

  6. Ajoutez une stratégie d’accès où Batterie de serveurs est XM et Filtre est XMCompliantDevice.

    Configuration SmartAccess

  7. Cliquez sur Appliquer pour appliquer les modifications que vous avez apportées et laisser la fenêtre ouverte, ou cliquez sur OK pour appliquer les modifications et fermer la fenêtre.

Définir des actions automatisées dans Citrix Endpoint Management

La stratégie SmartAccess que vous avez définie dans le groupe de mise à disposition pour une application HDX refuse l’accès à un appareil lorsque celui-ci n’est pas conforme. Utilisez des actions automatisées pour marquer l’appareil comme non conforme.

Configuration SmartAccess

  1. Dans la console Citrix Endpoint Management, cliquez sur Configurer > Actions. La page Actions apparaît.

  2. Cliquez sur Ajouter pour ajouter une action. La page Informations sur l’action apparaît.

  3. Sur la page Informations sur l’action, saisissez un nom et une description pour l’action.

  4. Cliquez sur Suivant. La page Détails de l’action apparaît. Dans l’exemple suivant, un déclencheur est créé qui marque immédiatement les appareils comme non conformes s’ils ont le nom de propriété utilisateur eng5 ou eng6.

    Configuration SmartAccess

  5. Dans la liste Déclencheur, choisissez Propriété de l’appareil, Propriété de l’utilisateur ou Nom de l’application installée. SmartAccess ne prend pas en charge les déclencheurs d’événements.

  6. Dans la liste Action :

    • Choisissez Marquer l’appareil comme non conforme.
    • Choisissez Est.
    • Choisissez Vrai.
    • Pour définir l’action de manière à marquer immédiatement l’appareil comme non conforme lorsque la condition de déclenchement est remplie, définissez la période sur 0.

  7. Choisissez le ou les groupes de mise à disposition Citrix Endpoint Management auxquels appliquer cette action.

  8. Passez en revue le résumé de l’action.

  9. Cliquez sur Suivant, puis sur Enregistrer.

Lorsque l’appareil est marqué comme non conforme, les applications HDX n’apparaissent plus dans le magasin Citrix Secure Hub. L’utilisateur n’est plus abonné à l’application. Aucune notification n’est envoyée à l’appareil et rien dans le magasin Citrix Secure Hub n’indique que les applications HDX étaient auparavant disponibles.

Si vous souhaitez que les utilisateurs soient avertis lorsqu’un appareil est marqué comme non conforme, créez une notification, puis créez une action automatisée pour envoyer cette notification.

Cet exemple crée et envoie cette notification lorsqu’un appareil est marqué comme non conforme : « Le numéro de série ou le numéro de téléphone de l’appareil ne respecte plus la stratégie de l’appareil et les applications HDX sont bloquées. »

Configuration SmartAccess

Créer la notification que les utilisateurs voient lorsqu’un appareil est marqué comme non conforme

  1. Dans la console Citrix Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit de la console. La page Paramètres apparaît.

  2. Cliquez sur Modèles de notification. La page Modèles de notification apparaît.

  3. Cliquez sur Ajouter sur la page Modèles de notification.

  4. Configurez les paramètres suivants :

    • Nom : Blocage d’application HDX
    • Description : Notification de l’agent lorsqu’un appareil n’est pas conforme
    • Type : Notification ad hoc
    • Citrix Secure Hub : Activé
    • Message : L’appareil ${firstnotnull(device.TEL_NUMBER,device.serialNumber)} ne respecte plus la stratégie de l’appareil et les applications HDX sont bloquées.

    Configuration SmartAccess

  5. Cliquez sur Enregistrer.

Créer l’action qui envoie la notification lorsqu’un appareil est marqué comme non conforme

  1. Dans la console Citrix Endpoint Management, cliquez sur Configurer > Actions. La page Actions apparaît.

  2. Cliquez sur Ajouter pour ajouter une action. La page Informations sur l’action apparaît.

  3. Sur la page Informations sur l’action, saisissez un nom et une description pour l’action :

    • Nom : Notification de blocage HDX
    • Description : Notification de blocage HDX car l’appareil n’est pas conforme

  4. Cliquez sur Suivant. La page Détails de l’action apparaît.

  5. Dans la liste Déclencheur :

    • Choisissez Propriété de l’appareil.
    • Choisissez Non conforme.
    • Choisissez Est.
    • Choisissez Vrai.

    Configuration SmartAccess

  6. Dans la liste Action, spécifiez les actions qui se produisent lorsque le déclencheur est rempli :

    • Choisissez Envoyer une notification
    • Choisissez Blocage d’application HDX, la notification que vous avez créée.
    • Choisissez 0. La définition de cette valeur sur 0 entraîne l’envoi de la notification lorsque la condition de déclenchement est remplie.

  7. Sélectionnez le ou les groupes de mise à disposition Citrix Endpoint Management auxquels appliquer cette action. Dans cet exemple, choisissez AllUsers.

  8. Passez en revue le résumé de l’action.

  9. Cliquez sur Suivant, puis sur Enregistrer.

Pour plus d’informations sur la définition des actions automatisées, consultez Actions automatisées.

Comment les utilisateurs retrouvent l’accès aux applications HDX

Les utilisateurs peuvent retrouver l’accès aux applications HDX une fois que l’appareil est de nouveau conforme :

  1. Sur l’appareil, accédez au magasin Citrix Secure Hub pour actualiser les applications du magasin.

  2. Accédez à l’application et appuyez sur Ajouter à l’application.

Une fois l’application ajoutée, elle apparaît dans Mes applications avec un point bleu à côté, car il s’agit d’une application nouvellement installée.

Configuration SmartAccess

SmartAccess pour les applications HDX™
April 20, 2026
Contributeur: 
C C
April 20, 2026
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.