通过 StoreFront 的安全私有访问进行浏览器限制

现在，您可以使用 Secure Private Access 解决方案在 StoreFront 中配置 Web 和 SaaS 应用程序。 配置应用程序后，最终用户可以使用具有增强安全性的 Citrix Enterprise Browser 打开 Web 和 SaaS 应用程序。

有关 StoreFront 的安全私有访问支持的详细信息，请参阅：

• Citrix Secure Private Access 文档中的 安全私人访问概述 。

• 部署指南：Citrix Secure Private Access On-Premises。

限制最终用户对 Citrix Enterprise Browser 的访问

管理员可以使用安全私有访问解决方案对最终用户的 Citrix Enterprise Browser 应用以下访问限制。

限制剪贴板访问

禁用应用程序和端点剪贴板之间的剪切、复制和粘贴操作。

有关更多信息，请参阅 Citrix Secure Private Access 产品文档中的 剪贴板 。

限制打印

禁用从应用程序内部打印的功能。

有关更多信息，请参阅 Citrix Secure Private Access 产品文档中的 打印 。

限制下载

禁用从 Web 和 SaaS 应用程序内部下载或从浏览器复制文件的功能。

有关更多信息，请参阅 Citrix Secure Private Access 产品文档中的 下载 。

限制上传

禁用上传文件的功能。

Note:

限制上载功能可在以下设备上使用：

• Windows 105.1.1.27 及更高版本
• Mac 105.1.1.36 及更高版本

有关更多信息，请参阅 Citrix Secure Private Access 产品文档中的 Uploads 。

显示水印

覆盖基于屏幕的水印，显示端点的用户名和公共 IP 地址。

Note:

限制导航选项不受支持。

有关更多信息，请参阅 Citrix Secure Private Access 产品文档中的 水印 。

App Protection 策略

限制键盘记录

保护用户免受键盘记录器的侵害。

有关更多信息，请参阅 Citrix Secure Private Access 产品文档中的 键盘记录保护 。

限制屏幕捕获

禁用此策略所应用的应用程序的屏幕截图或屏幕录制。 只要在您的浏览器窗口中显示（而非最小化）受保护的选项卡，即应用此策略。

有关更多信息，请参阅 Citrix Secure Private Access 产品文档中的 屏幕截图 。

个人数据屏蔽

管理员可以使用 个人数据屏蔽 限制来屏蔽各种类型的个人身份信息 (PII)，例如信用卡号、社会保险号和日期。 屏蔽的内容即使被复制或打印仍然是安全的，从而确保敏感信息的全面保护。

个人数据屏蔽限制可以选择完全或部分掩盖信息。 完全屏蔽 选项可完全屏蔽信息。 部分屏蔽 选项可用于屏蔽信息的相关区域。

在 部分屏蔽 选项中，管理员可以选择从信息中屏蔽多少个字符，无论是从开头还是从结尾。 相应的文本框可用于输入字符数。

此外，作为管理员，您可以根据需要使用正则表达式灵活地定义自定义 PII 检测规则。 此功能允许您检测并屏蔽网页中的特定信息。

Note:

此功能仅支持正则表达式 2 (RE2)。 有关更多信息，请参阅 WhyRE2 和 RE2 Syntax。

启用此限制时，Citrix Enterprise Browser 会检测您选择屏蔽的 PII，然后对其进行屏蔽，并向最终用户显示通知。

配置

要了解有关配置此限制的更多信息，请参阅 Citrix Secure Private Access 文档中的 个人数据屏蔽 。

Note:

• 在定义 PII 检测规则时，我们建议您在部署之前测试正则表达式。
• PII 屏蔽不适用于 PDF 文件、图像和具有可编辑内容的网页。

有关更多信息，请参阅 Citrix Secure Private Access 产品文档中的 个人数据屏蔽 。

安全组的剪贴板限制

管理员可以通过全局应用程序配置服务 (GACS) 或安全私人访问或两者的组合来管理剪贴板限制。 这最大限度地降低了未经授权的数据传输和数据泄露的风险，使其成为具有严格安全要求的组织必不可少的功能。

Note:

有关通过全局应用程序配置服务 (GACS) 管理剪贴板限制的更多信息，请参阅 剪贴板限制

通过安全私人访问限制剪贴板访问

当您通过安全私人访问管理剪贴板限制时，该限制仅适用于添加限制的应用程序的 URL。

使用安全组进行剪贴板限制

要限制对在 Citrix Secure Private Access 中配置并在 Citrix Enterprise Browser 中打开的特定应用程序的剪贴板访问，管理员必须创建一个安全组并将这些特定应用程序添加到其中。 这允许最终用户仅在该安全组内的应用程序之间复制和粘贴内容。 例如，假设您创建一个安全组，其中添加应用程序 Wikipedia、Pinterest 和 Dribble。 因此，当用户从 Citrix Workspace 打开这些应用程序时，他们只能在这三个应用程序之间复制和粘贴内容。

要创建安全组并添加任何指定的应用程序组，请参阅 Citrix Secure Private Access 产品文档中的 创建安全组 。

如果管理员需要在安全组应用程序与其机器上的其他本地应用程序或未发布的应用程序之间启用复制和粘贴内容，请参阅 在安全组和其他未发布的应用程序之间启用复制和粘贴。

Note:

如果管理员想要对安全组内的特定应用程序施加更严格的限制，例如为安全组内的特定应用程序启用或禁用复制和粘贴功能，则可以通过为该特定应用程序创建访问策略来管理它。 访问策略规则安全设置中有两个访问设置选项， 复制 和 粘贴。 有关此功能的更多信息，请参阅 Citrix Secure Private Access 产品文档中的 启用粒度复制或粘贴 。

启用安全组和其他未发布的应用之间的复制和粘贴

管理员甚至可以允许最终用户在安全组中的应用程序和企业浏览器中打开的其他未发布的应用程序之间或与系统内存在的其他本机应用程序之间执行复制和粘贴功能。 要管理它，您可以使用安全组中的 高级剪贴板设置 选项。 您可以选择以下任一选项来根据您的要求管理设置。

允许将数据从安全组复制到未发布的域： 启用将数据从安全组中的应用程序复制到未在安全私人访问中发布的网站。

允许将数据从安全组复制到本机应用程序： 启用将数据从安全组中的应用程序复制到计算机上的本地应用程序。

允许将数据从未发布的域复制到安全组： 启用将数据从未通过安全私人访问发布的应用程序复制到安全组中的网站。

允许从本机应用程序操作系统安全组复制数据： 启用从机器上的本地应用程序复制数据到安全组中的应用程序。

有关更多信息，请参阅 Citrix Secure Private Access 产品文档中的 高级剪贴板设置 。

Note:

• 当您通过 GACS 和安全私人访问应用剪贴板限制时，通过安全私人访问应用的限制优先于 GACS。

• 单独的限制（例如 复制、 粘贴和 剪贴板 ）取代了安全组</strong>的 **剪贴板限制。</li> </ul> </blockquote>

  有关更多信息，请参阅 Citrix Secure Private Access 产品文档中的 安全组的剪贴板限制 。

最终用户体验

当任何网页上启用剪贴板限制时，当用户尝试将任何内容粘贴到受限网页时会出现以下通知。

![粘贴受阻](/en-us/citrix-enterprise-browser/media/pasting-blocked.png)

当启用剪贴板限制时， **剪切**、 **复制** 和 **粘贴** 功能在右键菜单列表中显示为禁用。 或者，用户必须使用键盘快捷键或访问 **剪切**、 **复制** **和** 粘贴选项从 **更多** （ **⋮** ） > **查找和编辑**。

![右键菜单列表](/en-us/citrix-enterprise-browser/media/right-click-menu-list.png)

按文件类型划分的上载限制

管理员可以根据 MIME（多用途 Internet 邮件扩展）类型限制文件上载。 与允许您启用或禁用所有文件上传的 **上传** 策略不同， **按文件类型限制上传** 策略允许您启用或禁用特定 MIME 类型的文件上传。

当最终用户尝试上传受限文件类型时，Citrix Enterprise Browser 会显示一条警告消息。

![文件格式限制上传](/en-us/citrix-enterprise-browser/media/file-format-restricted-upload.png)

有关配置此限制的更多信息，请参阅 Citrix Secure Private Access 文档中的 [按文件类型上传限制](/zh-cn/citrix-secure-private-access/current-release/spaop-security-controls#upload-restriction-by-file-type) 。

按文件类型划分的下载限制

管理员可以根据 MIME（多用途 Internet 邮件扩展）类型限制文件下载。 与允许您启用或禁用所有文件下载的 **下载** 策略不同， **按文件类型限制下载** 策略允许您启用或禁用特定 MIME 类型的文件下载。

![文件格式受限-下载](/en-us/citrix-enterprise-browser/media/file-format-restricted-download.png)

有关配置此限制的更多信息，请参阅 Citrix Secure Private Access 文档中的 [按文件类型下载限制](/zh-cn/citrix-secure-private-access/current-release/spaop-security-controls#download-restriction-by-file-type) 。

Note: > 当策略中同时启用 上传 和 按文件类型上传限制 限制时， 上传 限制优先于其他限制。 类似地，当在策略中同时启用 下载 和 按文件类型下载限制 限制时， 下载 限制优先于另一个限制。

打印机管理

企业现在可以防止打印机密文档和未经授权的数据共享。 管理员可以通过 Secure Private Access 配置此策略。 管理员可以使用**另存为 PDF** 选项配置网络打印机、本地打印机和打印的行为。

**在 Windows 中：**

![映像](/en-us/citrix-enterprise-browser/media/printer-windows.png)

**在 Mac 中：**

![映像](/en-us/citrix-enterprise-browser/media/printer-mac.png)

管理员可以使用以下选项来控制最终用户对打印机的访问权限：

-  **网络打印机：** 网络打印机是一种可以连接到网络并由多个用户使用的打印机。
    -  **已禁用：** 禁止从网络中的任何网络打印机进行打印。
    -  **已启用：** 允许从所有网络打印机进行打印。 如果指定了打印机主机名，则除了指定的打印机以外的所有其他网络打印机都将被阻止。

Note: > 打印机通过其主机名来识别。

-  **本地打印机：** 本地打印机是指直接连接到个人计算机的设备。 这种连接通常通过蓝牙、USB、并行端口或其他直接接口来实现。

    -  **已禁用：** 禁用从所有本地打印机进行打印。
    -  **已启用：** 允许从所有本地打印机进行打印。
-  **使用“另存为 PDF”进行打印**

    -  **已禁用：** 禁用用于以 PDF 格式保存内容的“另存为 PDF”选项。
    -  **已启用：** 启用用于以 PDF 格式保存内容的“另存为 PDF”选项。

Note: >

• 如果管理员禁用了某些打印选项，这些选项对最终用户来说会显示为灰色。
• 如果在其设备上重命名了网络打印机，最终用户将无法使用该打印机。

有关更多信息，请参阅 Citrix Secure Private Access 产品文档中的 [打印机管理](/zh-cn/citrix-secure-private-access/current-release/spaop-security-controls#printer-management) 。