Creare criteri
Prima di creare un criterio, decidere su quale gruppo di utenti o dispositivi può influire. Potrebbe essere utile creare un criterio basato sulla funzione del processo utente, sul tipo di connessione, sul dispositivo utente o sulla posizione geografica.
Se è già stato creato un criterio applicabile a un gruppo, è consigliabile modificarlo anziché creare un altro criterio. Dopo aver modificato il criterio, configurare le impostazioni appropriate. Evitare di creare un criterio esclusivamente per abilitare un’impostazione specifica o per impedire che il criterio venga applicato a determinati utenti.
Quando si crea un criterio, è possibile basarlo sulle impostazioni di un modello di criterio e personalizzare le impostazioni in base alle esigenze. È anche possibile crearlo senza utilizzare un modello e aggiungere tutte le impostazioni necessarie.
In Citrix Studio, i nuovi criteri creati vengono impostati su Disabled (Disabilitato), a meno che la casella di controllo Enable policy (Abilita criterio) non sia esplicitamente selezionata.
Durante la creazione dei criteri e durante la configurazione delle impostazioni, il sistema offre un’opzione per visualizzare il tipo di impostazioni. È possibile visualizzare il seguente tipo di impostazioni:
- All settings: visualizza tutte le impostazioni per tutte le versioni di VDA
- Current settings only: visualizza le impostazioni solo per le versioni VDA correnti
- Legacy settings only: visualizza le impostazioni solo per le versioni VDA deprecate
Per visualizzare le impostazioni mentre le si configura:
- Accedere a DaaS Premium.
- Nella barra di navigazione a sinistra, fare clic su Policies (Criteri).
- Nella scheda Politicies, fare clic su Create Policy (Crea criterio).
- Nella tabella Select Settings (Seleziona impostazioni) fare clic sul menu a discesa accanto a Settings.
-
Selezionare una delle seguenti opzioni dal menu a discesa:
- All settings: visualizza tutte le impostazioni per tutte le versioni di VDA
- Current settings only: visualizza le impostazioni solo per le versioni VDA correnti
- Legacy settings only: visualizza le impostazioni solo per le versioni VDA deprecate
- Nella tabella Settings sono elencate le impostazioni disponibili in base al passaggio precedente.
Impostazioni dei criteri
Le impostazioni dei criteri possono essere abilitate, disabilitate o non configurate. Per impostazione predefinita, le impostazioni dei criteri non sono configurate, il che significa che non vengono aggiunte a un criterio. Le impostazioni vengono applicate solo quando vengono aggiunte a un criterio.
Quando si configurano le impostazioni per la creazione o la modifica di un criterio, se tutti i gruppi di consegna sono disabilitati, il sistema visualizza il segnale di avviso None of the elements in this filter is enabled (Nessuno degli elementi di questo filtro è abilitato). Se è abilitato almeno un gruppo di consegna, il sistema non visualizza il segnale di avviso.
Per visualizzare l’avviso durante la creazione di un criterio:
- Accedere a DaaS Premium.
- Nella barra di navigazione a sinistra, fare clic su Policies (Criteri).
- Nella scheda Politicies, fare clic su Create Policy (Crea criterio).
- Nella tabella Select Settings, selezionare un’impostazione e fare clic su Next.
- Nella tabella Assign Policy To (Assegna criterio a), selezionare un filtro dal menu a discesa.
- Deselezionare la casella di controllo Enable e fare clic su Save.
Nota:
Non tutti i filtri supportano la deselezione della casella di controllo Enable. Nella tabella Filters, il filtro visualizza l’avviso.
Per visualizzare l’avviso durante la modifica di un criterio:
- Accedere a DaaS Premium.
- Nella barra di navigazione a sinistra, fare clic su Policies (Criteri).
- Nella scheda Policies (Criteri), selezionare uno dei criteri elencati e fare clic su Edit Policy (Modifica criterio).
- Nella pagina Edit Policy, fare clic su Assign Policy To (Assegna criterio a) nella barra di navigazione di sinistra.
-
Nella tabella Filter, selezionare o fare clic su Edit per il filtro richiesto:
- Se un filtro non dispone del pulsante Edit, selezionare il filtro.
- Se un filtro dispone del pulsante Edit, fare clic su di esso.
- Deselezionare l’opzione Enable e fare clic su Save.
Nota:
Non tutti i filtri supportano la deselezione della casella di controllo Enable. Nella tabella Filters, il filtro visualizza l’avviso.
Alcune impostazioni dei criteri possono essere in uno dei seguenti stati:
- Allowed or Prohibited allows or prevents the action controlled by the setting. Sometimes users are allowed or prevented from managing the setting’s action in a session. For example, if the menu animation setting is set to Allowed, users can control menu animations in their client environment
- Enabled or Disabled turns the setting on or off. If you disable a setting, it is not enabled in lower-ranked policies.
Inoltre, alcune impostazioni controllano l’efficacia delle impostazioni dipendenti. Ad esempio, il reindirizzamento delle unità client controlla se gli utenti possono accedere alle unità sui propri dispositivi. Sia questa impostazione che l’impostazione Client network drives (Unità di rete client) devono essere aggiunte al criterio per consentire agli utenti di accedere alle unità di rete. Se l’impostazione Client drive redirection (Reindirizzamento unità client) è disabilitata, gli utenti non possono accedere alle unità di rete, anche se l’impostazione Client network drives (Unità di rete client) è abilitata.
In generale, le modifiche delle impostazioni dei criteri che influiscono sulle macchine entrano in vigore al riavvio del desktop virtuale o all’accesso di un utente. Le modifiche delle impostazioni dei criteri che influiscono sugli utenti entrano in vigore al successivo accesso degli utenti.
Per alcune impostazioni dei criteri, è possibile immettere o selezionare un valore quando si aggiunge l’impostazione a un criterio. È possibile limitare la configurazione dell’impostazione selezionando Use default value (Usa valore predefinito). Questa selezione disabilita la configurazione dell’impostazione e consente di utilizzare solo il valore predefinito dell’impostazione quando viene applicato il criterio. Questa selezione è a prescindere dal valore immesso prima di selezionare Use default value (Usa valore predefinito).
Come best practice:
- Assegnare criteri ai gruppi anziché ai singoli utenti. Se si assegnano criteri ai gruppi, le assegnazioni vengono aggiornate automaticamente quando si aggiungono o rimuovono utenti dal gruppo.
- Disabilitare i criteri inutilizzati. I criteri senza impostazioni aggiunte generano un’elaborazione non necessaria.
Assegnazioni dei criteri
Quando si crea un criterio, viene assegnato a determinati utenti e oggetti macchina. Tale criterio viene applicato alle connessioni in base a criteri o regole specifici. In generale, è possibile aggiungere tutte le assegnazioni desiderate a un criterio, in base a una combinazione di criteri. Se non si specifica alcuna assegnazione, il criterio viene applicato a tutte le connessioni.
Se non si specifica alcuna assegnazione o si specificano assegnazioni ma le si disattiva, il criterio viene applicato a tutte le connessioni.
Nota:
Le assegnazioni dei criteri sono note anche come filtri dei criteri. Per ulteriori informazioni, vedere i seguenti argomenti:
Nella tabella seguente sono elencate le assegnazioni disponibili:
Nome assegnazione | Applica un criterio basato su |
---|---|
Controllo degli accessi | Condizioni di controllo degli accessi attraverso le quali un client si connette. Connection type (Tipo di connessione): indica se applicare il criterio alle connessioni effettuate con o senza NetScaler Gateway. NetScaler Gateway farm name (Nome farm NetScaler Gateway): nome del server virtuale NetScaler Gateway. Access condition (Condizione di accesso): nome del criterio di analisi degli endpoint o del criterio di sessione da utilizzare. |
Citrix SD-WAN | Se una sessione utente viene avviata tramite Citrix SD-WAN. Nota: è possibile aggiungere una sola assegnazione Citrix SD-WAN a un criterio. |
Indirizzo IP client | Indirizzo IP del dispositivo utente utilizzato per connettersi alla sessione: esempi IPv4: 12.0.0.0, 12.0.0.*, 12.0.0.1-12.0.0.70, 12.0.0.1/24; esempi IPv6: 2001:0db8:3c4d:0015:0:0:abcd:ef12, 2001:0db8:3c4d:0015::/54 |
Nome client | Nome del dispositivo utente. Corrispondenza esatta: NomeABCClient. Utilizzo del carattere jolly: Nome*Client. |
Gruppo di consegna | Appartenenza al gruppo di consegna. |
Tipo di gruppo di consegna | Tipo di desktop o applicazione: desktop privato, desktop condiviso, applicazione privata o applicazione condivisa. |
Unità organizzativa (OU) | Unità organizzativa. |
Tag | Tag. Nota: applicare questo criterio a tutte le macchine con tag. I tag delle applicazioni non sono inclusi. |
Utente o gruppo | Nome utente o gruppo. |
Quando un utente accede, vengono identificati tutti i criteri corrispondenti alle assegnazioni per la connessione. Tali criteri vengono ordinati in ordine di priorità e vengono confrontate più istanze di tutte le impostazioni. Ogni impostazione viene applicata in base alla classificazione di priorità del criterio. Qualsiasi impostazione dei criteri disabilitata ha la precedenza su un’impostazione di livello inferiore abilitata. Le impostazioni dei criteri non configurate vengono ignorate.
Importante:
Quando si configurano i criteri Active Directory e Citrix utilizzando la Console Gestione Criteri di gruppo, le assegnazioni e le impostazioni potrebbero non essere applicate come previsto. Per ulteriori informazioni, vedere CTX127461.
Per impostazione predefinita viene fornito un criterio denominato “Unfiltered” (Non filtrato).
- Se si utilizza Web Studio per gestire i criteri Citrix, le impostazioni aggiunte al criterio Unfiltered (Non filtrato) vengono applicate a tutti i server, i desktop e le connessioni di un sito.
- I siti e le connessioni devono rientrare nell’ambito degli oggetti Criteri di gruppo (GPO) che includono il criterio. Ad esempio, l’unità organizzativa Vendite include un oggetto Criteri di gruppo denominato Vendite-Stati Uniti che include tutti i membri del team di vendita degli Stati Uniti. L’oggetto Criteri di gruppo Vendite-Stati Uniti è configurato con un criterio Unfiltered (Non filtrato) che include diverse impostazioni dei criteri utente. Quando il responsabile delle vendite degli Stati Uniti accede al sito, le impostazioni del criterio Unfiltered (Non filtrato) vengono applicate automaticamente alla sessione. Questa configurazione è dovuta al fatto che l’utente è un membro dell’oggetto Criteri di gruppo Vendite USA.
La modalità di assegnazione determina se il criterio viene applicato solo alle connessioni che corrispondono a tutti i criteri di assegnazione. Se la modalità è impostata su Allowed (Consenti, impostazione predefinita), il criterio viene applicato solo alle connessioni che corrispondono ai criteri di assegnazione. Se la modalità è impostata su Deny (Nega), il criterio viene applicato se la connessione non corrisponde ai criteri di assegnazione. Gli esempi seguenti illustrano come le modalità di assegnazione influiscono sui criteri Citrix quando sono presenti più assegnazioni.
-
Esempio: assegnazioni di tipo simile con modalità diverse - Nei criteri con due assegnazioni dello stesso tipo, una impostata su Allow (Consenti) e una impostata su Deny (Nega), l’assegnazione impostata su Deny (Nega) ha la precedenza, a condizione che la connessione soddisfi entrambe le assegnazioni. Ad esempio:
Il criterio 1 include le seguenti assegnazioni:
- L’Assegnazione A specifica il gruppo Vendite. La modalità è impostata su Allow (Consenti).
- L’Assegnazione B specifica l’account del responsabile delle vendite. La modalità è impostata su Deny (Nega).
Poiché la modalità per l’Assegnazione B è impostata su Deny (Nega), il criterio non viene applicato quando il responsabile delle vendite accede al sito, anche se l’utente è membro del gruppo Vendite.
-
Esempio: assegnazioni di tipo diverso con modalità simili - Nei criteri con due o più assegnazioni di tipi diversi, impostate su Allow (Consenti), la connessione deve soddisfare almeno un’assegnazione di ogni tipo per applicare il criterio. Ad esempio:
Il criterio 2 include le seguenti assegnazioni:
- L’Assegnazione C è un’assegnazione utente che specifica il gruppo Vendite. La modalità è impostata su Allow (Consenti).
- L’Assegnazione D è un’assegnazione relatiiva all’indirizzo IP client che specifica 10.8.169.* (la rete aziendale). La modalità è impostata su Allow (Consenti).
Quando il responsabile delle vendite accede al sito dall’ufficio, il criterio viene applicato perché la connessione soddisfa entrambe le assegnazioni.
Il criterio 3 include le seguenti assegnazioni:
- L’Assegnazione E è un’assegnazione utente che specifica il gruppo Vendite. La modalità è impostata su Allow (Consenti).
- L’Assegnazione F è un’assegnazione di controllo degli accessi che specifica le condizioni di connessione di NetScaler Gateway. La modalità è impostata su Allow (Consenti).
Quando il responsabile delle vendite accede al sito dall’ufficio, il criterio non viene applicato perché la connessione non soddisfa i requisiti dell’Assegnazione F.