Gérer le client Citrix Endpoint Analysis pour le service Device Posture

Le service Citrix Device Posture est une solution basée sur le cloud qui aide les administrateurs à appliquer certaines exigences auxquelles les appareils finaux doivent répondre pour accéder aux ressources Citrix DaaS (applications et postes de travail virtuels) ou Citrix Secure Private Access (applications SaaS, Web, TCP et UDP).

Pour exécuter des analyses de posture de périphérique sur un périphérique final, vous devez installer le client Citrix EndPoint Analysis (EPA), qui est une application légère, sur ce périphérique. Le service Device Posture s’exécute toujours avec la dernière version du client EPA publiée par Citrix.

Installation du client EPA

Pendant l’exécution, le service Device Posture invite l’utilisateur final à télécharger et à installer le client EPA pendant l’exécution. Pour plus de détails, voir Flux de l’utilisateur final. En règle générale, un client EPA ne nécessite pas de droits d’administrateur local pour télécharger et installer sur un point de terminaison. Cependant, pour exécuter des analyses de vérification de certificat de périphérique sur un périphérique final, le client EPA doit être installé avec un accès administrateur. Pour plus de détails sur l’installation d’un client EPA avec accès administrateur, voir Installer le certificat de périphérique sur le périphérique final.

Mise à niveau du client EPA pour Windows

Lorsqu’une nouvelle version du client EPA est publiée, les clients EPA pour Windows sont mis à niveau par défaut après la première installation. La mise à niveau automatique garantit que les appareils des utilisateurs finaux fonctionnent toujours sur la dernière version du client EPA compatible avec le service Device Posture. Pour la mise à niveau automatique, le client EPA doit avoir été installé avec un accès administrateur.

Répartition du client EPA

Les clients EPA peuvent être distribués à l’aide du service Global App Configuration (GACS) ou d’EPA intégré au programme d’installation d’applications Citrix Workspace, ou à l’aide d’outils de déploiement de logiciels.

• Programme d’installation du client EPA intégré à l’application Citrix Workspace : Le programme d’installation du client EPA est intégré à l’application Citrix Workspace 2402 LTSR pour Windows. Cette intégration élimine la nécessité pour les utilisateurs finaux d’installer le client EPA séparément après l’installation de l’application Citrix Workspace.

  Pour installer le client EPA dans le cadre de l’application Citrix Workspace, utilisez l’option de ligne de commande InstallEPAClient. Par exemple, ./CitrixworkspaceApp.exe InstallEPAClient.

Remarque

• L’installation du client EPA dans le cadre de l’application Citrix Workspace est désactivée par défaut. Il doit être explicitement activé en utilisant l’option de ligne de commande InstallEPAClient.
• Si un appareil final dispose déjà d’un client EPA installé et que l’utilisateur final installe l’application Citrix Workspace, le client EPA existant est mis à niveau.
• Si un utilisateur final désinstalle l’application Citrix Workspace, le client EPA intégré est également supprimé de l’appareil, par défaut. Toutefois, si le client EPA n’a pas été installé dans le cadre de l’installation de l’application Citrix Workspace intégrée, le client EPA existant est conservé sur l’appareil.
• Le programme d’installation du client EPA intégré à l’application Citrix Workspace peut également être utilisé avec NetScaler. Pour plus de détails, voir Gérer le client EPA lorsqu’il est utilisé avec NetScaler et Device Posture.

• Distribuer le client à l’aide de GACS: GACS est une solution fournie par Citrix pour gérer la distribution des agents côté client (plug-ins). Le service de mise à jour automatique disponible dans GACS garantit que les appareils finaux disposent des dernières versions EPA sans intervention de l’utilisateur final. Pour plus d’informations sur GACS, consultez Comment utiliser le service de configuration d’application globale.

Remarque

• GACS est pris en charge sur les appareils Windows uniquement pour la distribution du client EPA.
• Pour gérer un client EPA via GACS, installez Citrix Workspace Application (CWA) sur les périphériques finaux.
• Si CWA est installé avec des privilèges d’administrateur sur un appareil d’utilisateur final, GACS installe le client EPA avec les mêmes privilèges d’administrateur.
• Si CWA est installé avec des privilèges utilisateur sur un appareil d’utilisateur final, GACS installe le client EPA avec les mêmes privilèges utilisateur.

Distribuez le client à l’aide d’outils de déploiement de logiciels: Le dernier client EPA peut être distribué par les administrateurs via des outils de déploiement de logiciels tels que Microsoft SCCM.

Gérer le client EPA lorsqu’il est utilisé avec NetScaler et Device Posture

Le client EPA peut être utilisé avec NetScaler et Device Posture dans les déploiements suivants :

• Authentification adaptative basée sur NetScaler avec EPA
• Passerelle sur site basée sur NetScaler avec EPA

Le service Device Posture envoie la dernière version du client EPA aux appareils finaux. Cependant, sur NetScaler, les administrateurs peuvent configurer le contrôle de version suivant pour les analyses EPA sur les serveurs virtuels de passerelle :

• Toujours: Le client EPA sur le périphérique final et NetScaler doivent être sur la même version.
• Essentiel: La version du client EPA sur le périphérique final doit être dans la plage configurée sur NetScaler.
• Jamais: Le périphérique final peut avoir n’importe quelle version du client EPA.

Pour plus d’informations, voir Comportements des plug-ins.

Considérations à prendre en compte lors de l’utilisation du client EPA avec NetScaler et Device Posture

Lorsqu’un client EPA est utilisé avec Device Posture Service et NetScaler, il peut y avoir des scénarios dans lesquels le périphérique final exécute la dernière version du client EPA tandis que NetScaler est sur une version différente du client EPA. Cela peut entraîner une incompatibilité entre la version du client EPA sur NetScaler et le périphérique final. Par conséquent, NetScaler peut inviter l’utilisateur final à installer la version client EPA présente sur NetScaler. Pour éviter ce conflit, nous recommandons les modifications de configuration suivantes :

• Si vous avez configuré EPA avec l’authentification adaptative ou l’authentification sur site ou le serveur virtuel de passerelle, il est recommandé de désactiver le contrôle de version du client EPA sur NetScaler. Cela permet de garantir que le service GACS ou Device Posture ne transmet pas la dernière version du client EPA aux périphériques finaux.

• Le contrôle de version EPA peut être défini sur Jamais en utilisant la CLI ou l’interface graphique. Ces modifications de configuration sont prises en charge sur NetScaler 13.x et les versions ultérieures.

  • CLI : utilisez les commandes CLI pour l’authentification adaptative et le serveur virtuel d’authentification sur site.
  • GUI : utilisez l’interface graphique utilisateur pour le serveur virtuel de passerelle sur site. Pour plus de détails, voir Contrôler la mise à niveau des clients Citrix Secure Access.

Exemples de commandes CLI :

  add rewrite action <rewrite_action_name> insert_http_header Plugin-Upgrade "\"epa_win:Never;epa_mac:Always;epa_linux:Always;vpn_win:Never;vpn_mac:Always;vpn_linux:Always;\""

  add rewrite policy <rewrite_action_policy> "HTTP.REQ.URL.CONTAINS(\"pluginlist.xml\")" <rewrite_action_name>

  bind authentication vserver <Authentication_Vserver_Name> -policy <rewrite_action_policy> -priority 10 -type RESPONSE
<!--NeedCopy-->