Présentation de la posture de l’appareil

Le service Citrix Device Posture est une solution basée sur le cloud qui aide les administrateurs à appliquer certaines exigences auxquelles les appareils finaux doivent répondre pour accéder aux ressources Citrix DaaS (applications et postes de travail virtuels) ou Citrix Secure Private Access (applications SaaS, Web, TCP et UDP). L’établissement de la confiance de l’appareil en vérifiant la posture de l’appareil est essentiel pour mettre en œuvre un accès basé sur la confiance zéro. Le service Posture de l’appareil applique les principes de confiance zéro sur votre réseau en vérifiant la conformité des appareils finaux (gestion, BYOD et posture de sécurité) avant d’autoriser un utilisateur final à se connecter.

Prérequis

• Conditions de licence : le droit au service Citrix Device Posture fait partie des licences Citrix DaaS Premium, Citrix DaaS Premium Plus et Citrix Secure Private Access Advanced. Les clients disposant d’autres licences peuvent acheter un droit au service Device Posture en tant que module complémentaire. Pour un module complémentaire, les clients doivent acheter un SKU d’authentification adaptative autonome, mais ne doivent pas nécessairement le déployer pour utiliser le service Device Posture.

• Plates-formes prises en charge :

  • Windows (10 et 11)
  • macOS 13 Ventura
  • macOS 12 Monterey
  • iOS
  • IGEL

Remarque

• Un appareil exécuté sur une plateforme non prise en charge est marqué comme non conforme par défaut. Vous pouvez modifier la classification de Non conforme à Connexion refusée à partir de l’onglet Paramètres sur la page Posture de l’appareil.

• Un appareil qui s’exécute sur une plateforme prise en charge mais qui ne correspond à aucune politique de posture d’appareil prédéfinie est marqué comme non conforme, par défaut. Vous pouvez modifier la classification de Non conforme à Connexion refusée à partir de l’onglet Paramètres sur la page Posture de l’appareil.

• Pour la prise en charge iOS sur le service Device Posture, le client EPA est intégré dans l’application Citrix Workspace pour iOS. Pour plus de détails sur les versions, voir Application Citrix Workspace pour iOS.

• Pour la prise en charge du système d’exploitation IGEL sur le service Device Posture, le client EPA est intégré au système d’exploitation IGEL. Contactez l’équipe d’assistance IGEL pour installer le client EPA sur les appareils IGEL.

• Client Citrix Device Posture (client EPA) : une application légère qui doit être installée sur le périphérique de terminaison pour exécuter des analyses de posture du périphérique. Cette application ne nécessite pas de droits d’administrateur local pour être téléchargée et installée sur un point de terminaison.

Remarque

Si vous utilisez une vérification de certificat de périphérique, vous devez installer le client EPA avec des droits d’administrateur.

• Navigateurs pris en charge : Chrome, Edge et Firefox.

• Configuration du pare-feu : pour permettre au service Device Posture de mettre à jour les clients EPA sur un périphérique final, le pare-feu/proxy doit être configuré pour autoriser les domaines suivants :

  • https://swa-ui-cdn-endpoint-prod.azureedge.net
  • https://productioniconstorage.blob.core.windows.net
  • *.netscalergateway.net
  • *.nssvc.net
  • *.cloud.com
  • *.pendo.io
  • *.citrixworkspacesapi.net

Fonctionnement

Les administrateurs peuvent créer des politiques de posture des appareils pour vérifier la posture des terminaux et déterminer si la connexion d’un terminal est autorisée ou refusée. Les appareils autorisés à se connecter sont ensuite classés comme conformes ou non conformes. Les utilisateurs peuvent se connecter depuis un navigateur ou l’application Citrix Workspace.

Voici les conditions de haut niveau utilisées pour classer un appareil comme conforme, non conforme et connexion refusée.

• Appareils conformes – Un appareil qui répond aux exigences de politique préconfigurées et qui est autorisé à se connecter au réseau de l’entreprise avec un accès complet ou illimité aux ressources Citrix Secure Private Access ou aux ressources Citrix DaaS.

• Appareils non conformes - Un appareil qui répond aux exigences de politique préconfigurées et qui est autorisé à se connecter au réseau de l’entreprise avec un accès partiel ou restreint aux ressources Citrix Secure Private Access ou aux ressources Citrix DaaS en fonction de votre configuration DaaS et Secure Private Access pour la posture de l’appareil.

  • DaaS : les administrateurs peuvent spécifier les groupes de distribution pour restreindre l’accès aux appareils non conformes. Pour plus de détails sur la configuration de l’accès restreint aux groupes de mise à disposition, consultez Configuration de Citrix DaaS avec Device Posture.
  • Accès privé sécurisé : les administrateurs peuvent choisir des applications spécifiques pour restreindre l’accès à ces appareils. Pour plus de détails sur la façon de restreindre l’accès à des applications spécifiques, consultez Configuration de Citrix Secure Private Access avec Device Posture.
• Connexion refusée :  - Un appareil qui ne répond pas aux exigences de la politique se voit refuser la connexion.

La classification des appareils comme conformes, non conformeset connexion refusée est transmise au service Citrix DaaS et Citrix Secure Private Access qui, à son tour, utilise la classification des appareils pour fournir des capacités d’accès intelligentes.

Remarque

• Les politiques de posture de l’appareil doivent être configurées spécifiquement pour chaque plate-forme. Par exemple, pour macOS, un administrateur peut autoriser l’accès aux appareils dotés d’une version de système d’exploitation spécifique. De même, pour Windows, l’administrateur peut configurer des politiques pour inclure un fichier d’autorisation spécifique, des paramètres de registre, etc.
• Les analyses de posture de l’appareil sont effectuées uniquement lors de la pré-authentification/avant la connexion.
• Pour les définitions de « conforme » et « non conforme », voir Définitions.

Numérisations prises en charge par la posture de l’appareil

Les analyses suivantes sont prises en charge par le service Citrix Device Posture :

| Windows | macOS | iOS | IGEL | | ————————————————————————— | ———————————————– | —————————————– | —————————————— | | Version de l’application Citrix Workspace | Version de l’application Citrix Workspace | Version de l’application Citrix Workspace | - | | Version du système d’exploitation | Version du système d’exploitation | Version du système d’exploitation | - | | Fichier (existe, nom du fichier et chemin) | Fichier (existe, nom du fichier et chemin) | - | Fichier (existe, nom du fichier et chemin) | | Geolocation | Geolocation | - | - | | Localisation du réseau | Localisation du réseau | - | - | | Adresse MAC | Adresse MAC | - | - | | Processus (existe) | Processus (existe) | - | - | | Gestionnaire de points de terminaison Microsoft | Gestionnaire de points de terminaison Microsoft | - | - | | Grève de foule | Grève de foule | - | - | | Certificat de l’appareil | Certificat de l’appareil | - | - | | Browser | Browser | - | - | | antivirus | antivirus | - | - | | Registre non numérique (32 bits) | - | - | - | | Registre non numérique (64 bits) | - | - | - | | Registre numérique (32 bits) | - | - | - | | Registre numérique (64 bits) | - | - | - | | Type d’installation de Windows Update | - | - | - | | Vérification de la dernière mise à jour de l’installation de Windows Update | - | - | - |

Remarque

Pour la prise en charge iOS sur le service Device Posture, le client EPA est intégré dans l’application Citrix Workspace pour iOS. Pour plus de détails sur les versions, voir Application Citrix Workspace pour iOS.

Intégration tierce avec la posture de l’appareil

En plus des analyses natives proposées par le service Device Posture, le service peut également être intégré aux solutions tierces suivantes sur Windows et macOS.

• Microsoft Intune. Pour plus de détails, voir Intégration de Microsoft Intune avec Device Posture.
• Grève des foules. Pour plus de détails, voir Intégration de CrowdStrike avec Device Posture.

Limitations connues

• Le temps nécessaire à l’activation ou à la désactivation de la fonctionnalité de posture de l’appareil après l’activation ou la désactivation du bouton de basculement de posture de l’appareil peut prendre quelques minutes à une heure.
• Les modifications apportées à la configuration de la posture de l’appareil ne prennent pas effet immédiatement. Il faudra peut-être environ 10 minutes pour que les modifications prennent effet.
• Si vous avez activé l’option Continuité du service dans Citrix Workspace et si le service Device Posture est en panne, les utilisateurs risquent de ne pas pouvoir se connecter à Workspace. Cela est dû au fait que Citrix Workspace énumère les applications et les postes de travail en fonction du cache local sur la machine utilisateur.
• Si vous avez configuré un jeton et un mot de passe de longue durée sur Citrix Workspace, l’analyse de posture de l’appareil ne fonctionne pas pour cette configuration. Les appareils sont analysés uniquement lorsque les utilisateurs se connectent à Citrix Workspace.
• Chaque plateforme peut avoir un maximum de 10 politiques et chaque politique peut avoir un maximum de 10 règles.
• L’accès basé sur les rôles n’est pas pris en charge avec le service Device Posture.

Qualité du service

• Performances : Dans des conditions idéales, le service Device Posture ajoute 2 secondes de délai supplémentaires lors de la connexion. Ce délai peut augmenter en fonction de configurations supplémentaires telles que des intégrations tierces comme Microsoft Intune.
• Résilience : le service Device Posture est hautement résilient avec plusieurs POP pour garantir qu’il n’y a pas de temps d’arrêt.

Définitions

Les termes « conforme » et « non conforme » en référence au service Device Posture sont définis comme suit.

• Appareils conformes – Un appareil qui répond aux exigences de politique préconfigurées et qui est autorisé à se connecter au réseau de l’entreprise avec un accès complet ou illimité aux ressources Citrix Secure Private Access ou aux ressources Citrix DaaS.
• Appareils non conformes - Un appareil qui répond aux exigences de politique préconfigurées et est autorisé à se connecter au réseau de l’entreprise avec un accès partiel ou restreint aux ressources Citrix Secure Private Access ou aux ressources Citrix DaaS.