Citrix DaaS

基于用户网络位置的自适应访问

Citrix Workspace 自适应访问功能使用高级策略基础架构,允许根据用户的网络位置访问 Citrix DaaS。该位置是使用 IP 地址范围或子网地址定义的。

管理员可以定义策略,根据用户的网络位置枚举或不枚举虚拟应用程序和桌面。管理员还可以根据用户的网络位置,通过启用或禁用剪贴板访问、打印机、客户端驱动器映射等来控制用户操作。例如,管理员可以设置策略,使在家中访问资源的用户对应用程序具有有限的访问权限,而从分支机构访问资源的用户具有完全访问权限。

自适应访问概述

管理员可以实施以下策略来访问应用程序:

  • 仅从公司所在地或其分支机构列举一些敏感应用程序。
  • 如果员工从外部网络访问工作区,请勿枚举敏感应用程序。
  • 请禁用从分支机构访问打印机的功能。
  • 当用户不在公司网络中时,请禁用剪贴板访问和打印机访问权限。

应享权利

自适应访问功能适用于拥有以下任何许可证的客户。

  • DaaS Premium / Premium Plus
  • Secure Private Access Advanced

必备条件

  • 确保启用 自适应访问 功能(Citrix Workspace > 访问 > 自适应访问)。有关详细信息,请参阅 启用自适应访问功能

    启用自适应访问后,DaaS 访问策略将更新为使用“通过 Citrix Gateway 进行连接”选项。

    注意:

    NetScaler Gateway 需要在 DaaS 访问策略中添加智能访问标签。但是,由于 DaaS 使用来自设备状态、自适应访问和自适应身份验证服务的标签,因此不必在设置中配置 NetScaler Gateway。

  • 了解位置标签。有关详细信息,请参阅 网络位置标记

需要注意的事项

仅当您想根据位置限制应用程序枚举时,以下几点才适用。如果您计划使用自适应访问根据网络位置限制用户控制,例如禁用剪贴板访问、打印机重定向、客户端驱动器映射,则可以忽略这些准则。

  • 如果您计划根据网络位置有选择地枚举 Citrix DaaS,则必须使用 Citrix Studio 策略而不是工作区对这些交付组执行用户管理。创建交付组时,在用户设置中,选择限制使用此交付组用户或允许任何经过身份验证的用户使用此交付组。这使您能够在 交付组 下的 访问策略选项卡中配置自适应访问。

交付组

  • 启用自适应访问后,对直接工作负载连接进行了更改。

    • 位置标签 字段在 Citrix Cloud > 网络位置 > 添加网络位置 > 位置标签中可见。
    • 现有的直接工作负载连接策略按预期运行。
    • 必须在网络位置服务(不定义标签)和交付组上创建新策略。此外,网络连接类型必须为“内部”。
    • 对于带有标签的直接工作负载连接的新策略,必须在网络位置服务中定义标签,还必须在 DaaS Studio 中的交付组或访问策略上定义相同的标签。此外,网络连接类型必须为“内部”。位置标签与直接工作负载连接无关。
  • 建议您使用以下方法测试您的 Citrix DaaS 部署。

    • 请标识一个测试交付组或创建一个交付组来实施此功能。
    • 创建策略或标识可用于测试交付组的策略。

启用自适应访问功能

  1. 登录 Citrix Cloud。
  2. 从汉堡菜单中选择“Workspace 配置”。
  3. 默认情况下,自适应访问 开关处于关闭状态。打开“自适应访问”开关。
  4. 在确认消息上单击“是,启用自适应访问”。

启用自适应访问

启用自适应访问消息

启用自适应访问后,您可以定义自适应访问的位置标记(Citrix Cloud > 网络位置 > 添加网络位置 > 位置标记)。

已启用自适应访问

禁用自适应访问后,您无法添加网络位置。位置标签不适用于这种情况。

自适应访问已禁用

重要:

当您尝试禁用自适应访问功能时,会出现以下消息。请注意,禁用该功能后,Workspace 不会将标签发送到 DaaS 以进行自适应访问。

自适应访问禁用消息

配置自适应访问

根据网络位置配置自适应访问涉及以下高级步骤。

  1. 定义网络位置策略
  2. 在 DaaS Studio 中定义标签

对于配置示例,选择了两种用户类型(BranchOffice 用户和 WorkFromHome 用户)来实现以下用例。

  • BranchOffice 用户必须能够访问具有所有访问权限的应用程序。
  • WorkFromHome 用户不得具有剪贴板访问权限。

在此配置示例中,使用“家庭”和“办公室”作为示例中的标签。

配置网络位置策略

  1. 登录 Citrix Cloud。
  2. 从汉堡菜单中选择“网络位置”。 确保已启用“自适应访问”开关。否则,将显示直接工作负载连接的用户界面。
  3. 单击“添加网络位置”。

    • 位置名称: 为策略输入相应的名称。

      示例:BranchOffice 或 WorkFromHome

    • 公有 IP 地址范围: 定义网络的公有 IP 地址范围。

      示例:172.9.2.1-172.9.2.30

    • 位置标签: 为您的位置定义标签。这可以是指您所在位置的名称。这些标记用于在 Citrix Studio 中配置自适应访问策略。有关详细信息,请参阅在 Citrix Studio 中定义标记

      示例:BranchOfficeWorkFromHome

    • 连接类型: 定义应用程序启动类型。

    内部 -绕过网关启动应用程序。 外部 -使用 Citrix Gateway 服务或传统网关启动应用程序。

  4. 单击保存

现在,您可以在 DaaS Studio 上使用这些标签来启用自适应访问。

注意:

定义位置标签时,请确保仅输入不带前缀“LOCATION_TAG”的首选标签名称,例如“BranchOffice”。但是,在 Citrix Studio 中定义标签时,必须在标签名称前加上“LOCATION_TAG”作为前缀。例如,“LOCATION_TAG_BRANCHOFFICE”。

使用 GUI 在 Citrix Studio 中定义标签

在此示例中,在交付组中定义了标签,以限制用户的应用程序枚举。创建了两个交付组。

  • 自适应访问交付组 — 适用于来自位置 BranchOffice 的用户。这些用户必须看到该交付组中的所有应用程序。
  • WFH 交付组 — 适用于来自位置 WorkfromHome 的用户。这些用户必须看到来自该交付组的应用程序。
  1. 登录 Citrix Cloud。
  2. Citrix DaaS 磁贴上,单击“管理”。
  3. 创建交付组。有关详细信息,请参阅创建交付组
  4. 选择您创建的交付组,然后单击“编辑交付组”。
  5. 单击访问策略
  6. 对于在 Citrix Workspace 平台内使用自适应访问的客户,请执行以下步骤,将交付组的访问权限限制为仅限内部网络:

    1. 右键单击交付组并选择编辑
    2. 在左侧窗格中选择访问策略。
    3. 单击“编辑”图标修改默认 Citrix Gateway 连接策略。

      网关连接

    4. 在“编辑策略”页面上,选择“符合以下条件的连接”,选择“匹配任意”,然后添加标准。

      条件

      对于 WorkFromHome 用户,请在相应的 Delivery Controller 中输入以下值。

      :Workspace

      过滤器:LOCATION_TAG_WORKFROMHOME

      对于 BranchOffice 用户,在相应的 Delivery Controller 中输入以下值。

      过滤器:Workspace

      :LOCATION_TAG_BRANCHOFFICE

现在,您可以使用这些标签来限制对应用程序的访问。

注意:

确保在“”字段中输入您在创建以“LOCATION_TAG”为前缀的网络位置策略时定义的正确位置标签名称。例如,如果您已将位置标签定义为“分支机构”,则必须在“”字段中输入“LOCATION_TAG_BRANCHOFFICE”。有关配置位置标签的详细信息,请参阅配置网络位置策略

限制应用程序的访问权限

在此示例中,对来自 WorkFromHome 位置的用户禁用了客户端剪贴板重定向。

  1. 登录 Citrix DaaS。
  2. 导航到“策略”,然后单击“创建策略”。
  3. 选择“客户端剪贴板重定向”,然后单击“禁止”。
  4. 单击下一步

限制剪贴板访问

  1. 在“将策略分配给”页面上,选择 访问控制
  2. 为策略定义以下值:

    • 模式: 允许
    • 连接类型: 使用 Citrix Gateway
    • 网关场名称:Workspace
    • 访问条件:LOCATION_TAG_WORKFROMHOME(全部为大写)

模式和场

  1. 单击下一步
  2. 输入策略的名称并添加策略描述。
  3. 单击完成

来自 WorkFromHome 位置的用户无法对他们启动的资源进行剪贴板访问。

根据标签配置会话录制策略

Session Recording 允许组织在虚拟会话中记录屏幕上的用户活动。在创建自定义会话录制策略、事件检测策略或事件响应策略时,您可以指定包括网络位置标签在内的标签。有关示例,请参阅创建自定义录制策略

网络位置标记

网络位置服务提供以下标签。

  • 默认标签: 这些标签是在网络位置服务上定义的。以下默认标签可用。
    • Location_internal: 当网络连接类型设置为“INTERNAL”时,默认情况下会发送标记。
    • Location_externa: 当网络连接类型设置为“EXTERNAL”时,默认情况下会发送标记。
    • Location_undefined: 为未在策略中定义但通过网络位置服务发送的 IP 地址发送的标签。这些用户的启动与资源组中定义的相同。
  • 自定义标签: 管理员可以在策略中定义自定义标签名称。示例:办公室、家庭、分支机构

示例:

默认标签:LOCATION_INTERNAL、LOCATION_EXTERNAL、LOCATION_UNDEFINED

自定义标签:LOCATION_TAG_OFFICE、LOCATION_TAG_HOME

注意:

为网络定位服务定义标签时,请确保满足以下条件:

  • 默认标签始终以前缀“LOCATION_<tag name>”开头。例如,LOCATION_INTERNAL。
  • 自定义标签始终以前缀“LOCATION_TAG”开头<tag name>。例如,LOCATION_TAG_OFFICE。

已知问题

如果在启用 Adaptive Access 功能并设置规则(标签和连接类型)后将其禁用,则尽管位置标签和连接类型列处于隐藏状态,但这并不会从“网络位置”页面中移除这些位置。但是这些位置在后端被禁用了。这是一个表面问题。