Criar políticas
Antes de criar uma política, decida qual grupo de usuários ou dispositivos ela poderá afetar. Você poderá criar uma política que é baseada na função de trabalho do usuário, tipo de conexão, dispositivo do usuário ou localização geográfica.
Se você já criou uma política que se aplica a um grupo, considere editar essa política em vez de criar outra política. Depois de editar a política, defina as configurações apropriadas. Evite criar uma política exclusivamente para habilitar uma configuração específica ou para excluir a política da aplicação a determinados usuários.
Ao criar uma política, você pode baseá-la nas configurações em um modelo de política e personalizar as configurações conforme necessário. Você também pode criá-la sem usar um modelo e adicionar todas as configurações necessárias.
No Citrix Studio, as novas políticas criadas são definidas como desativadas, a menos que a caixa de seleção Enable policy esteja explicitamente marcada.
Durante a criação da política e ao definir as configurações, o sistema oferece a opção de visualizar o tipo das configurações. Você pode visualizar os seguintes tipos de configurações:
- All settings – Exibir todas as configurações de todas as versões do VDA
- Current settings only – Exibir configurações somente para as versões atuais do VDA
- Legacy settings only – Exibir configurações somente para as versões do VDA preteridas
Para visualizar as configurações ao definir as configurações:
- Faça login no DaaS Premium.
- No painel de navegação à esquerda, clique em Políticas.
- Na guia Policies, clique em Create Policy.
- Na tabela Select Settings, clique no menu suspenso ao lado de Settings.
-
Selecione uma das seguintes opções no menu suspenso:
- All settings – Exibir todas as configurações de todas as versões do VDA
- Current settings only – Exibir configurações somente para as versões atuais do VDA
- Legacy settings only – Exibir configurações somente para as versões do VDA preteridas
- A tabela Settings lista as configurações disponíveis com base na etapa anterior.
Configurações de política
As configurações de política podem estar ativadas, desativadas ou não configuradas. Por padrão, as configurações de política não são configuradas, o que significa que elas não são adicionadas a uma política. As configurações são aplicadas somente quando são adicionadas a uma política.
Ao definir as configurações para criar ou editar uma política, se todos os grupos de entrega estiverem desativados, o sistema exibirá um sinal de notificação de aviso None of the elements in this filter is enabled. Se pelo menos um grupo de entrega estiver ativado, o sistema não exibirá o sinal de aviso.
Para ver o aviso ao criar uma política:
- Faça login no DaaS Premium.
- No painel de navegação à esquerda, clique em Políticas.
- Na guia Policies, clique em Create Policy.
- Na tabela Select Settings, selecione qualquer configuração e clique em Next.
- Na tabela Assign Policy To, selecione um filtro no menu suspenso.
- Desmarque a caixa de seleção Enable e clique em Save.
Nota:
Nem todos os filtros permitem desmarcar a caixa de seleção Enable. Na tabela Filters, o filtro exibe o aviso.
Para ver o aviso ao editar uma política:
- Faça login no DaaS Premium.
- No painel de navegação à esquerda, clique em Políticas.
- Na guia Policies, selecione qualquer uma das políticas listadas e clique em Edit Policy.
- Na página Edit Policy, clique em Assign Policy To no painel de navegação à esquerda.
-
Na tabela Filter, selecione ou clique em Edit no filtro necessário:
- Se um filtro não tiver o botão Edit, selecione o filtro.
- Se um filtro tiver o botão de edição, clique em Edit.
- Desmarque a opção Enable e clique em Save.
Nota:
Nem todos os filtros permitem desmarcar a caixa de seleção Enable. Na tabela Filters, o filtro exibe o aviso.
Algumas configurações de política podem estar em um dos seguintes estados:
- Allowed or Prohibited allows or prevents the action controlled by the setting. Sometimes users are allowed or prevented from managing the setting’s action in a session. For example, if the menu animation setting is set to Allowed, users can control menu animations in their client environment
- Enabled or Disabled turns the setting on or off. If you disable a setting, it is not enabled in lower-ranked policies.
Além disso, algumas configurações controlam a eficácia das configurações dependentes. Por exemplo, o redirecionamento da unidade cliente controla se os usuários têm permissão para acessar as unidades nos respectivos dispositivos. Essa configuração e a configuração Client network drives devem ser adicionadas à política para permitir que os usuários acessem suas unidades de rede. Se a configuração de Client drive redirection estiver desativada, os usuários não poderão acessar suas unidades de rede, mesmo que a configuração de Client network drives esteja ativada.
Em geral, as alterações de configuração de política que afetam as máquinas entram em vigor quando a área de trabalho virtual é reiniciada ou quando um usuário faz logon. Alterações de configuração de política que afetam os usuários entram em vigor na próxima vez que os usuários efetuarem logon.
Para algumas configurações de política, você pode inserir ou selecionar um valor ao adicionar a configuração a uma política. Você pode limitar a configuração do parâmetro selecionando Use default value. Essa seleção desativa a configuração do parâmetro e permite que somente o valor padrão da configuração seja usado quando a política é aplicada. Essa seleção é independente do valor que foi inserido antes de selecionar Use default value.
Como prática recomendada:
- Atribua políticas a grupos em vez de a usuários separadamente. Se você atribuir políticas a grupos, as atribuições serão atualizadas automaticamente quando você adicionar ou remover usuários do grupo.
- Desabilite políticas não utilizadas. Políticas sem configurações adicionadas criam processamento desnecessário.
Atribuições de política
Ao criar uma política, você a atribui a determinados usuários e objetos de máquina. Essa política é aplicada às conexões de acordo com critérios ou regras específicas. Em geral, você pode adicionar quantas atribuições quiser a uma política, com base em uma combinação de critérios. Se você não especificar nenhuma atribuição, a política será aplicada a todas as conexões.
Se você não especificar nenhuma atribuição, ou especificar atribuições, mas desativá-las, a política será aplicada a todas as conexões.
Nota:
As atribuições de política também são conhecidas como filtros de política. Para obter informações adicionais, consulte os seguintes tópicos:
A tabela a seguir lista as atribuições disponíveis:
Nome da atribuição | Aplica uma política baseada em |
---|---|
Controle de acesso | Condições de controle de acesso através das quais um cliente está se conectando. Connection type - se deve aplicar a política a conexões feitas com ou sem NetScaler Gateway. NetScaler Gateway farm name - Nome do servidor virtual NetScaler Gateway. Access condition - Nome da política de análise de ponto de extremidade ou política de sessão que deve ser usada. |
Citrix SD-WAN | Se uma sessão de usuário é iniciada por meio do Citrix SD-WAN. Observação: você pode adicionar somente uma atribuição do Citrix SD-WAN a uma política. |
Endereço IP do cliente | Endereço IP do dispositivo do usuário usado para se conectar à sessão: exemplos IPv4:12.0.0.0, 12.0.0.*, 12.0.0.1-12.0.0.70, 12.0.0.1/24; exemplos IPv6: 2001:0db8:3c4d:0015:0:0:abcd:ef12, 2001:0db8:3c4d:0015::/54 |
Nome do cliente | Nome do dispositivo do usuário. Correspondência exata: ClientABCName. Usando curinga: Client*Name. |
Grupo de entrega | Associação do Grupo de Entrega. |
Tipo de grupo de entrega | Tipo de área de trabalho ou aplicativo: área de trabalho privada, área de trabalho compartilhada, aplicativo privado ou aplicativo compartilhado. |
Unidade Organizacional (UO) | Unidade organizacional. |
Marca | Marcas. Nota: Aplique esta política a todos os computadores com marcas. As marcas de aplicativo não estão incluídas. |
Usuário ou Grupo | Nome do usuário ou do grupo. |
Quando um usuário faz logon, todas as políticas que correspondem às atribuições para a conexão são identificadas. Essas políticas são classificadas em ordem de prioridade e várias instâncias de todas as configurações são comparadas. Cada configuração é aplicada de acordo com a ordem de prioridades da política. Qualquer configuração de política desabilitada tem precedência sobre uma configuração de classificação inferior que esteja ativada. As configurações de política que não estão configuradas são ignoradas.
Importante:
Ao configurar as políticas do Active Directory e do Citrix usando o console de gerenciamento de política de grupo, as atribuições e as configurações podem não ser aplicadas conforme esperado. Para obter mais informações, consulte CTX127461.
É fornecida uma política chamada “Unfiltered” por padrão.
- Se você usar o Web Studio para gerenciar políticas Citrix, as configurações adicionadas à política Unfiltered serão aplicadas a todos os servidores, áreas de trabalho e conexões em um site.
- Os sites e as conexões devem estar dentro do escopo dos objetos de política de grupo (GPO) que inclui a política. Por exemplo, a unidade organizacional (UO) de vendas contém um GPO chamado Vendas-EUA que inclui todos os membros da equipe de vendas dos Estados Unidos. O GPO Vendas-EUA é configurado com uma política Unfiltered que inclui várias configurações de política de usuário. Quando o gerente de vendas dos Estados Unidos faz logon no Site, as configurações na política Unfiltered são aplicadas automaticamente à sessão. Essa configuração ocorre porque o usuário é membro do GPO Vendas-EUA.
O modo de uma atribuição determina se a política é aplicada apenas a conexões que correspondem a todos os critérios de atribuição. Se o modo estiver definido como Allow (o padrão), a política será aplicada apenas a conexões que correspondam aos critérios de atribuição. Se o modo estiver definido como Deny, a política será aplicada se a conexão não corresponder aos critérios de atribuição. Os exemplos a seguir ilustram como os modos de atribuição afetam as políticas Citrix quando várias atribuições estão presentes.
-
Exemplo: Atribuições de tipo semelhante com modos diferentes - Em políticas com duas atribuições do mesmo tipo, uma configurada como Allow (Permitir) e uma como Deny (Negar), a atribuição definida como Deny tem precedência, desde que a conexão satisfaça ambas as atribuições. Por exemplo:
A política 1 inclui as seguintes atribuições:
- Atribuição A especifica o grupo Vendas. O modo é definido como Allow.
- Atribuição B especifica a conta do gerente de vendas. O modo é definido como Deny.
Como o modo de Atribuição B está definido como Deny, a política não é aplicada quando o gerente de vendas faz logon no site, mesmo que o usuário seja membro do grupo Vendas.
-
Exemplo: Atribuições de diferentes tipos com modos semelhantes - Em políticas com duas ou mais atribuições de diferentes tipos, definidas como Allow, a conexão deve satisfazer pelo menos uma atribuição de cada tipo para que a política seja aplicada. Por exemplo:
A política 2 inclui as seguintes atribuições:
- Atribuição C é uma atribuição de usuário que especifica o grupo Vendas. O modo é definido como Allow.
- A atribuição D é uma atribuição de endereço IP do cliente que especifica 10.8.169.* (a rede corporativa). O modo é definido como Allow.
Quando o gerente de vendas faz logon no Site a partir do escritório, a política é aplicada porque a conexão satisfaz ambas as atribuições.
A política 3 inclui as seguintes atribuições:
- Atribuição E é uma atribuição de usuário que especifica o grupo Vendas. O modo é definido como Allow.
- Atribuição F é uma atribuição de controle de acesso que especifica as condições de conexão NetScaler Gateway. O modo é definido como Allow.
Quando o gerente de vendas faz logon no Site a partir do escritório, a política não é aplicada porque a conexão não atende à Atribuição F.