XenMobile Server

SmartAccess para aplicativos HDX

Esse recurso permite controlar o acesso a aplicativos HDX com base nas propriedades do dispositivo, nas propriedades do usuário de um dispositivo ou nos aplicativos instalados em um dispositivo. Use esse recurso definindo ações automatizadas para marcar o dispositivo como fora de conformidade, para negar acesso a esse dispositivo. Os aplicativos HDX usados com esse recurso são configurados nos aplicativos e áreas de trabalho virtuais usando uma política SmartAccess que nega acesso a dispositivos fora de conformidade. O XenMobile comunica o status do dispositivo ao StoreFront usando uma marca assinada e criptografada. Em seguida, o StoreFront permite ou nega o acesso com base na política de controle de acesso do aplicativo.

Para usar esse recurso, a implantação requer:

  • Virtual Apps and Desktops 7.6
  • StoreFront 3.7 ou 3.8
  • XenMobile Server configurado para reunir aplicativos HDX a partir de um servidor StoreFront
  • XenMobile Server configurado com um certificado SAML a ser usado para assinar e criptografar marcas. O mesmo certificado sem a chave privada é carregado no servidor StoreFront.

Para começar a usar este recurso:

  • Configure o certificado do XenMobile Server para o repositório do StoreFront
  • Configure pelo menos um grupo de entrega de aplicativos e áreas de trabalho virtuais com a política SmartAccess necessária
  • Defina a ação automatizada no XenMobile

Exporte e configure o certificado do XenMobile Server e carregue-o no repositório do StoreFront

O SmartAccess usa marcas assinadas e criptografadas para se comunicar entre os servidores XenMobile e StoreFront. Para ativar essa comunicação, adicione o certificado do XenMobile Server ao repositório do StoreFront.

Para obter mais informações sobre como integrar o StoreFront e o XenMobile quando o XenMobile estiver ativado com autenticação baseada em domínio e em certificado, consulte o Support Knowledge Center.

Exportar o certificado SAML do XenMobile Server

  1. No console XenMobile, clique no ícone de engrenagem no canto superior direito. A página Configurações é exibida. Clique em Certificados.

  2. Localize o certificado SAML do XenMobile Server.

    Configuração do SmartAccess

  3. Verifique se a opção Exportar chave privada está definida como O. Clique em Exportar para exportar o certificado para o diretório de download.

    Configuração do SmartAccess

  4. Localize o certificado no diretório de download. O certificado está no formato PEM.

    Configuração do SmartAccess

Converter o certificado de PEM para CER

  1. Abra o Console de Gerenciamento Microsoft (MMC) e clique com o botão direito do mouse em Certificados > Todas as tarefas > Importar.

    Configuração do SmartAccess

  2. Quando o assistente de importação de certificado for exibido, clique em Avançar.

    Configuração do SmartAccess

  3. Navegue até o certificado no diretório de download.

    Configuração do SmartAccess

  4. Selecione Colocar todos os certificados no repositório a seguir e selecione Pessoal como o repositório de certificados. Clique em Avançar.

    Configuração do SmartAccess

  5. Revise suas seleções e clique em Concluir. Clique em OK na janela de confirmação.

  6. No MMC, clique com o botão direito do mouse no certificado e escolha Todas as tarefas > Exportar.

    Configuração do SmartAccess

  7. Quando o assistente de exportação de certificado for exibido, clique em Avançar.

    Configuração do SmartAccess

  8. Escolha o formato x.509 binário codificado por DER (.CER). Clique em Avançar.

    Configuração do SmartAccess

  9. Procure o certificado. Digite um nome para o certificado e clique em Avançar.

    Configuração do SmartAccess

  10. Salve o certificado.

    Configuração do SmartAccess

  11. Procure o certificado e clique em Avançar.

    Configuração do SmartAccess

  12. Revise suas seleções e clique em Concluir. Clique em OK na janela de confirmação.

    Configuração do SmartAccess

  13. Localize o certificado no diretório de download. O certificado está no formato CER.

    Configuração do SmartAccess

Copie o certificado para o Servidor StoreFront

  1. No servidor StoreFront, crie uma pasta chamada SmartCert.

  2. Copie o certificado para a pasta SmartCert.

    Configuração do SmartAccess

Configure o certificado no repositório do StoreFront

No servidor StoreFront, execute este comando do PowerShell para configurar o certificado do XenMobile Server convertido no repositório:

    Grant-STFStorePnaSmartAccess –StoreService $store –CertificatePath  “C:\xms\xms.cer” –ServerName “XMS server”
<!--NeedCopy-->

Configuração do SmartAccess

Se houver algum certificado existente no repositório StoreFront, execute este comando do PowerShell para revogá-lo:

    Revoke-STFStorePnaSmartAccess –StoreService $store –All
<!--NeedCopy-->

Configuração do SmartAccess

Como alternativa, você pode executar qualquer um desses comandos do PowerShell no servidor StoreFront para revogar certificados existentes no repositório do StoreFront:

  • Revogar por nome:
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    Revoke-STFStorePnaSmartAccess –StoreService $store –ServerName “My XM Server"
<!--NeedCopy-->
  • Revogar por impressão digital:
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    Revoke-STFStorePnaSmartAccess –StoreService $store –CertificateThumbprint “ReplaceWithThumbprint”
<!--NeedCopy-->
  • Revogar por objeto de servidor:
    $store = Get-STFStoreService –VirtualPath /Citrix/Store

    $access = Get-STFStorePnaSmartAccess –StoreService $store

    Revoke-STFStorePnaSmartAccess –StoreService $store –SmartAccess $access.AccessConditionsTrusts[0]
<!--NeedCopy-->

Configure a política SmartAccess para os aplicativos e áreas de trabalho virtuais

Para adicionar a política SmartAccess necessária ao grupo de entrega que fornecer o aplicativo HDX:

  1. No servidor de aplicativos e áreas de trabalho virtuais, abra o Citrix Studio.

  2. Selecione Delivery Groups no painel de navegação do Studio.

  3. Selecione um grupo de entrega para o aplicativo ou os aplicativos aos quais você deseja controlar o acesso. Em seguida, selecione Editar grupo de entrega no painel Ações.

  4. Na página Política de acesso, selecione Conexões por meio do NetScaler Gateway e Conexão que atende a qualquer um dos seguintes.

  5. Clique em Adicionar.

  6. Adicione uma política de acesso em que Farm seja XM e Filtro seja XMCompliantDevice.

    Configuração do SmartAccess

  7. Clique em Apply para aplicar as alterações feitas e manter a janela aberta, ou clique em OK para aplicar as alterações e fechar a janela.

Definir ações automatizadas no XenMobile

A política SmartAccess que você define no grupo de entrega de um aplicativo HDX nega o acesso a um dispositivo quando esse dispositivo está fora de conformidade. Use ações automatizadas para marcar o dispositivo como fora de conformidade.

Configuração do SmartAccess

  1. No console XenMobile, clique em Configurar > Ações. A página Ações é exibida.

  2. Clique em Adicionar para adicionar uma ação. A página Informações sobre a ação é exibida.

  3. Na página Informações sobre a ação, digite um nome e uma descrição para a ação.

  4. Clique em Avançar. A página Detalhes da ação é exibida. No exemplo a seguir, é criado um gatilho que marca imediatamente os dispositivos como fora de conformidade quando eles têm o nome de propriedade do usuário eng5 ou eng6.

    Configuração do SmartAccess

  5. Na lista Gatilho, escolha Propriedade do dispositivo, Propriedade do usuário ou Nome do aplicativo instalado. O SmartAccess não dá suporte a gatilhos de evento.

  6. Na lista Ação:

    • Escolha Marcar o dispositivo como fora de conformidade.
    • Escolha Is.
    • Escolha True.
    • Para definir a ação de marcar o dispositivo como fora de conformidade imediatamente quando a condição de gatilho for atendida, defina o período de tempo como 0.
  7. Escolha o grupo ou os grupos de entrega do XenMobile aos quais aplicar essa ação.

  8. Reveja o resumo da ação.

  9. Clique em Avançar e em Salvar.

Quando o dispositivo está marcado como fora de conformidade, os aplicativos HDX deixam de ser exibidos no repositório do Secure Hub. O usuário deixa de estar inscrito aos aplicativos. Nenhuma notificação é enviada ao dispositivo e nada no repositório do Secure Hub indica que os aplicativos HDX estavam disponíveis anteriormente.

Se quiser que os usuários sejam notificados quando um dispositivo estiver marcado como fora de conformidade, crie uma notificação e, em seguida, crie uma ação automatizada para enviar essa notificação.

Esse exemplo cria e envia essa notificação quando um dispositivo está marcado como fora de conformidade: “O número de série do dispositivo ou o número de telefone não está mais em conformidade com a política do dispositivo, e os aplicativos HDX serão bloqueados”.

Configuração do SmartAccess

Criar a notificação que os usuários veem quando um dispositivo está marcado como fora de conformidade

  1. No console XenMobile, clique no ícone de engrenagem no canto superior direito do console. A página Configurações é exibida.

  2. Clique em Modelos de notificação. A página Modelos de notificação é exibida.

  3. Clique em Adicionar para acrescentar à página Modelos de notificação.

  4. Quando solicitado a configurar primeiro o servidor SMS, clique em Não, configurar mais tarde.

    Configuração do SmartAccess

  5. Defina estas configurações:

    • Nome: bloqueio de aplicativos HDX
    • Descrição: notificação do agente quando o dispositivo está fora de conformidade
    • Tipo: notificação Ad Hoc
    • Secure Hub: ativado
    • Mensagem: o dispositivo ${firstnotnull(device.TEL_NUMBER,device.serialNumber)} não está mais em conformidade com a política de dispositivo, e os aplicativos HDX serão bloqueados.

    Configuração do SmartAccess

  6. Clique em Salvar.

Crie a ação que envia a notificação quando um dispositivo está marcado como fora de conformidade

  1. No console XenMobile, clique em Configurar > Ações. A página Ações é exibida.

  2. Clique em Adicionar para adicionar uma ação. A página Informações sobre a ação é exibida.

  3. Na página Informações sobre a ação, insira um nome e uma descrição para a ação:

    • Nome: notificação de HDX bloqueado
    • Descrição: notificação de HDX bloqueado porque o dispositivo está fora de conformidade
  4. Clique em Avançar. A página Detalhes da ação é exibida.

  5. Na lista Gatilho:

    • Escolha Propriedade do dispositivo.
    • Escolha Fora de conformidade.
    • Escolha Is.
    • Escolha True.

    Configuração do SmartAccess

  6. Na lista Ação, especifique as ações que ocorrem quando o gatilho é atendido:

    • Escolha Enviar notificação
    • Escolha Bloco de aplicativos HDX, a notificação que você criou.
    • Escolha 0. Definir esse valor como 0 faz com que a notificação seja enviada assim que a condição do gatilho é atendida.
  7. Selecione o grupo ou os grupos de entrega do XenMobile aos quais aplicar essa ação. Neste exemplo, escolha AllUsers.

  8. Reveja o resumo da ação.

  9. Clique em Avançar e em Salvar.

Para obter mais informações sobre como definir ações automatizadas, consulte Ações automatizadas.

Como os usuários recuperam o acesso a aplicativos HDX

Os usuários podem acessar aplicativos HDX novamente depois que o dispositivo é recolocado em conformidade:

  1. No dispositivo, vá até a loja do Secure Hub para atualizar os aplicativos na loja.

  2. Vá até o aplicativo e toque em Adicionar ao aplicativo.

Depois que o aplicativo for adicionado, ele aparecerá em Meus aplicativos com um ponto azul ao lado, pois é um aplicativo recém-instalado.

Configuração do SmartAccess