Citrix Secure Private Access

访问限制选项

当您选择操作时 允许访问(有限制) 在创建访问策略时,您可以选择访问限制。 这些限制在系统中预定义。 管理员无法修改或添加其他组合。 有关创建访问策略和启用访问限制的详细信息,请参阅 配置访问策略.

访问限制

剪贴板

通过 Citrix Enterprise Browser 访问时,使用此访问策略在 SaaS 或内部 Web 应用程序上启用/禁用剪切/复制/粘贴操作。 默认值:Enabled。

复制

通过 Citrix Enterprise Browser 访问时,使用此访问策略启用/禁用从 SaaS 或内部 Web 应用程序复制数据。 默认值:Enabled。

注意:

  • 如果两者都 剪贴板复制 限制,则 剪贴板 restriction 优先于 复制 限制。
  • 最终用户必须使用 Citrix Enterprise Browser 版本 2405 或更高版本来访问启用了此限制的应用程序。 否则,应用程序访问将受到限制。
  • 为了对应用程序内的复制操作进行精细控制,管理员可以使用 安全组 限制。 有关详细信息,请参阅 安全组的剪贴板限制.

按文件类型划分的下载限制

启用/禁用用户在通过 Citrix Enterprise Browser 访问时,使用此策略从 SaaS 或内部 Web 应用程序中下载特定 MIME(文件)类型的能力。

注意:

  • 按文件类型划分的下载限制 除了 下载 限制。
  • 如果两者都 下载按文件类型划分的下载限制 限制,则 下载 restriction 优先于 按文件类型划分的下载限制 限制。
  • 最终用户必须使用 Citrix Enterprise Browser 版本 2405 或更高版本来访问启用了此限制的应用程序。 否则,应用程序访问将受到限制。

要启用 MIME 类型的下载,请执行以下步骤:

  1. 创建或编辑访问策略。 有关详细信息,请参阅 创建访问策略.
  2. 第 3 步:操作 页面上,选择 允许但有限制.
  3. 点击 按文件类型划分的下载限制 ,然后单击 编辑.
  4. 按文件类型设置设置的下载限制 页面上,选择以下选项之一:

    • 允许所有下载,但有例外 – 选择必须阻止的类型并允许所有其他类型。
    • 阻止所有下载,但有例外 – 仅选择可以上传的类型并阻止所有其他类型的类型。
  5. 如果列表中不存在该文件类型,请执行以下操作:

    1. 点击 添加自定义 MIME 类型.
    2. 添加 MIME 类型中,在格式 类别/子类别<extension>. 例如 图片/png.
    3. 单击完成
    4. 单击下一步,然后单击完成

    MIME 类型现在显示在例外列表中。

当最终用户尝试下载受限制的文件类型时,Citrix Enterprise Browser 会显示以下消息:

下载

下载

启用/禁用用户在通过 Citrix Enterprise Browser 访问时,使用此策略从 SaaS 或内部 Web 应用程序下载的能力。 默认值:Enabled。

注意:

如果两者都 下载按文件类型划分的下载限制 限制,则 下载 restriction 优先于 按文件类型划分的下载限制.

不安全的内容

启用/禁止最终用户在通过 Citrix Enterprise Browser 访问时访问配置了此策略的 SaaS 或内部 Web 应用程序中的不安全内容。 不安全内容是指使用 HTTP 链接(而不是 HTTPS 链接)从网页链接到的任何文件。 默认值:已禁用.

最终用户必须使用 Citrix Enterprise Browser 版本 126 或更高版本来禁用对不安全内容的访问。

要启用访问不安全内容的权限,请执行以下步骤:

  1. 创建或编辑访问策略。 有关详细信息,请参阅 创建访问策略.
  2. 第 3 步:操作 页面上,选择 允许但有限制.
  3. 选择 不安全的内容.
  4. 单击下一步,然后单击完成

下图显示了访问不安全内容时的示例通知。

下载

键盘记录保护

启用/禁用键盘记录器在通过 Citrix Enterprise Browser 访问时,使用此访问策略从 SaaS 或内部 Web 应用程序捕获击键。 默认值:Enabled。

麦克风

通过 Citrix Enterprise Browser 访问麦克风时,提示/不每次都提示用户访问配置了此策略的 SaaS 或内部 Web 应用程序中的麦克风。 默认值:每次提示。

最终用户必须使用 Citrix Enterprise Browser 版本 126 或更高版本来访问其中 麦克风 限制已启用。

要每次都允许麦克风而不出现提示,请执行以下步骤:

  1. 创建或编辑访问策略。 有关详细信息,请参阅 创建访问策略.
  2. 第 3 步:操作 页面上,选择 允许但有限制.
  3. 点击 麦克风 ,然后单击 编辑.
  4. 麦克风设置 页面上,单击 始终允许访问.
  5. 单击保存
  6. 单击下一步,然后单击完成

注意:

  • 如果 麦克风 在 Secure Private Access 策略中启用限制,Citrix Enterprise Browser 将显示设置 允许.
  • 如果选项 每次提示 在 Secure Private Access 策略中,则应用于 Citrix Enterprise Browser 的设置会有所不同,具体取决于是否使用 Global App Configuration Service (GACS) 来管理 Citrix Enterprise Browser。
  • 如果使用 GACS,则 GACS 设置将应用于 Citrix Enterprise Browser。
  • 如果未使用 GACS,则 Citrix Enterprise Browser 将显示该设置 .

有关 GACS 的更多信息,请参阅 通过 Global App Configuration Service 管理 Citrix Enterprise Browser.

通知

通过 Citrix Enterprise Browser 访问时,允许/提示用户每次查看配置了此策略的 SaaS 或内部 Web 应用程序中的通知。 默认值:每次提示。

最终用户必须使用 Citrix Enterprise Browser 版本 126 或更高版本来访问启用了此限制的应用程序。

要在不提示的情况下阻止通知,请执行以下步骤。

  1. 创建或编辑访问策略。 有关详细信息,请参阅 创建访问策略.
  2. 第 3 步:操作 页面上,选择 允许但有限制.
  3. 点击 通知 ,然后单击 编辑.
  4. 通知设置 页面上,单击 始终阻止通知.
  5. 单击保存
  6. 单击下一步,然后单击完成

粘贴

通过 Citrix Enterprise Browser 访问时,使用此访问策略启用/禁用将复制的数据粘贴到 SaaS 或内部 Web 应用程序中。 默认值:Enabled。

注意:

  • 如果两者都 剪贴板 限制,则 剪贴板 restriction 优先于 限制。
  • 最终用户必须使用 Citrix Enterprise Browser 版本 126 或更高版本来访问启用了此限制的应用程序。 否则,应用程序访问将受到限制。
  • 为了对应用程序内的粘贴操作进行精细控制,管理员可以使用 安全组 限制。 有关详细信息,请参阅 安全组的剪贴板限制.

个人数据屏蔽

通过 Citrix Enterprise Browser 访问时,使用此策略在 SaaS 或内部 Web 应用程序上启用/禁用编辑或屏蔽个人身份信息 (PII)。 个人身份信息可以是信用卡号、社会保险号、日期等。 您还可以定义自定义规则来检测特定类型的敏感信息并相应地对其进行屏蔽。 个人数据掩码限制还提供了一个选项,用于完全或部分掩码信息。

注意:

最终用户必须使用 Citrix Enterprise Browser 版本 2405 或更高版本来访问启用了此限制的应用程序。 否则,应用程序访问将受到限制。

要隐去或屏蔽个人身份信息,请执行以下步骤:

  1. 创建或编辑访问策略。 有关详细信息,请参阅 创建访问策略.
  2. 第 3 步:操作 页面上,选择 允许但有限制.
  3. 点击 个人数据屏蔽 ,然后单击 编辑.
  4. 选择要遮挡或遮罩的信息类型,然后单击 .

    如果信息类型未显示在预定义列表中,则可以添加自定义信息类型。 有关详细信息,请参阅 添加自定义信息类型.

  5. 选择遮罩类型。

    • 完全遮罩 – 完全覆盖敏感信息以使其不可读。
    • 部分遮罩 – 部分覆盖敏感信息。 仅涵盖相关部分,其余部分保持不变。

      当您选择 部分标记中,必须选择从文档开头或结尾开始的字符。 您必须在 第一个蒙面角色最后一个掩码字符 领域。

      预览 字段显示掩码格式。 此预览版不适用于自定义策略。

  6. 点击 ,然后单击 .
  7. 单击下一步,然后单击完成

添加自定义信息类型

您可以通过添加信息类型的正则表达式来添加自定义信息类型。

  1. 选择信息类型选择 习惯,然后单击 .
  2. 字段名称中,输入要屏蔽的信息类型的名称。
  3. 字符数中,输入信息类型的字符数。
  4. 正则表达式(RE2 库)中,输入自定义信息类型的表达式。 例如 ^4[0-9]{12}(?:[0-9]{3})?$.
  5. 如果要遮罩完整信息或前几个或后几个字符,请选择遮罩类型。
  6. 点击 ,然后单击 .
  7. 单击下一步,然后单击完成

蒙版 1

下图显示了一个屏蔽了 PII 的示例应用程序。 该图还显示了与 PII 屏蔽相关的通知。

蒙版 2

弹出窗口

启用/禁用通过 Citrix Enterprise Browser 访问时,在配置了此策略的 SaaS 或内部 Web 应用程序中显示弹出窗口。 默认情况下,网页中的弹出窗口处于禁用状态。 默认值:始终阻止弹出窗口。

最终用户必须使用 Citrix Enterprise Browser 版本 126 或更高版本来访问启用了此限制的应用程序。

要启用弹出窗口的显示,请执行以下步骤:

  1. 创建或编辑访问策略。 有关详细信息,请参阅 创建访问策略.
  2. 第 3 步:操作 页面上,选择 允许但有限制.
  3. 点击 弹出窗口 ,然后单击 编辑.
  4. 弹出窗口设置 页面上,单击 始终允许弹出窗口.
  5. 单击保存
  6. 单击下一步,然后单击完成

打印

通过 Citrix Enterprise Browser 访问时,使用此策略启用/禁用从配置的 SaaS 或内部 Web 应用程序打印数据。 默认值:Enabled。

当最终用户尝试从启用了打印限制的应用程序打印内容时,将显示以下消息。

打印 2

注意:

如果两者都 印刷打印机管理 限制,则 印刷 restriction 优先于 打印机管理 限制。

打印机管理

通过 Citrix Enterprise Browser 访问时,使用具有此策略的已配置 SaaS 或内部 Web 应用程序中的管理员配置的打印机启用/禁用打印数据。

注意:

  • 打印机管理 除了 印刷 启用或禁用打印的限制。 如果两者都 印刷打印机管理 限制在访问策略中启用时, 印刷 restriction 优先于 打印机管理 限制。
  • 最终用户必须使用 Citrix Enterprise Browser 版本 2405 或更高版本来访问启用了此限制的应用程序。 否则,应用程序访问将受到限制。

要启用/禁用打印限制,请执行以下步骤:

  1. 创建或编辑访问策略。 有关详细信息,请参阅 创建访问策略.
  2. 第 3 步:操作 页面上,选择 允许但有限制.
  3. 点击 打印机管理 ,然后单击 编辑.

打印 1

  1. 根据您的要求选择例外。

    • 网络打印机 - 网络打印机是可以连接到网络并由多个用户使用的打印机。
      • 已禁用: 禁止从网络中的任何网络打印机进行打印。
      • 已启用: 允许从所有网络打印机进行打印。 如果指定了打印机主机名,则除指定打印机以外的所有其他网络打印机都将被阻止。

      注意: 网络打印机由其主机名标识。

    • 本地打印机 - 本地打印机是通过有线连接直接连接到单个计算机的设备。 这种连接通常通过 USB、并行端口或其他直接接口来实现。
      • 已禁用: 禁用从所有本地打印机进行打印。
      • 已启用: 允许从所有本地打印机进行打印。
    • 使用“另存为 PDF”进行打印
      • 禁用:以 PDF 格式保存应用程序中的内容被禁用。
      • 启用: 启用以 PDF 格式保存应用程序中的内容。
  2. 单击保存
  3. 单击下一步,然后单击完成

如果禁用了网络打印机,则当最终用户尝试在 目的地 田。

此外,如果 使用另存为 PDF 进行打印 处于禁用状态,则当您单击 查看更多 链接 目的地 字段、 另存为 PDF 选项显示为灰色。

如果最终用户重命名网络打印机,则他们无法使用网络打印机。

打印 3

屏幕截图

使用任何屏幕捕获程序或应用程序通过 Citrix Enterprise Browser 访问屏幕时,使用此策略启用/禁用从 SaaS 或内部 Web 应用程序捕获屏幕的功能。 如果用户尝试捕获屏幕,则会捕获空白屏幕。 默认值:Enabled。

按文件类型划分的上载限制

启用/禁用用户在通过 Citrix Enterprise Browser 访问时,使用此策略从 SaaS 或内部 Web 应用程序下载特定 MIME(文件)类型的能力。

注意:

  • 按文件类型划分的上传限制 除了 上传 限制。
  • 如果两者都 上传按文件类型划分的上传限制 限制,则 上传 restriction 优先于 按文件类型划分的上传限制 限制。
  • 最终用户必须使用 Citrix Enterprise Browser 版本 2405 或更高版本来访问启用了此限制的应用程序。 否则,应用程序访问将受到限制。

要启用/禁用 MIME 类型的上传,请执行以下步骤:

  1. 创建或编辑访问策略。 有关详细信息,请参阅 创建访问策略.
  2. 第 3 步:操作 页面上,选择 允许但有限制.
  3. 点击 按文件类型划分的上传限制 ,然后单击 编辑.
  4. 按文件类型设置设置的上传限制 页面上,选择以下选项之一:

    • 允许所有上传,但有例外 – 上传除所选类型之外的所有文件。
    • 阻止所有上传,但有例外 – 阻止上传除所选类型之外的所有文件类型。
  5. 如果列表中不存在该文件类型,请执行以下操作:

    1. 点击 添加自定义 MIME 类型.
    2. 添加 MIME 类型中,在格式 类别/子类别<extension>. 例如 图片/png.
    3. 单击完成
    4. 单击下一步,然后单击完成

    MIME 类型现在显示在例外列表中。

当最终用户尝试上载受限制的文件类型时,Citrix Enterprise Browser 会显示一条警告消息。

Upload

上传

启用/禁用用户在通过 Citrix Enterprise Browser 访问时,在配置了此策略的 SaaS 或内部 Web 应用程序中上传的能力。 默认值:Enabled。

注意:

如果两者都 上传按文件类型划分的上传限制 限制,则 上传 restriction 优先于 按文件类型划分的上传限制.

水印

启用/禁用用户屏幕上显示用户计算机的用户名和 IP 地址的水印。 默认值:已禁用.

网络摄像机

通过 Citrix Enterprise Browser 访问时,提示/不每次都提示用户访问配置了此策略的 SaaS 或内部 Web 应用程序中的网络摄像头。 默认值:每次提示。

最终用户必须使用 Citrix Enterprise Browser 版本 126 或更高版本来访问其中 网络摄像头 限制已启用。

要每次都允许网络摄像头而不提示,请执行以下步骤:

  1. 创建或编辑访问策略。 有关详细信息,请参阅 创建访问策略.
  2. 第 3 步:操作 页面上,选择 允许但有限制.
  3. 点击 网络摄像头 ,然后单击 编辑.
  4. 网络摄像头设置 页面上,单击 始终允许访问.
  5. 单击保存
  6. 单击下一步,然后单击完成

注意:

  • 如果 网络摄像头 在 Secure Private Access 策略中启用限制,Citrix Enterprise Browser 将显示设置 允许.
  • 如果选项 每次提示 在 Secure Private Access 策略中启用,则 Citrix Enterprise Browser 上应用的设置会有所不同,具体取决于是否使用 Global App Configuration Service (GACS) 来管理 Citrix Enterprise Browser。
  • 如果使用 GACS,则 GACS 设置将应用于 Citrix Enterprise Browser。
  • 如果未使用 GACS,则 Citrix Enterprise Browser 将显示该设置 .

有关 GACS 的更多信息,请参阅 通过 Global App Configuration Service 管理 Citrix Enterprise Browser.

安全组的剪贴板限制

您可以限制对任何指定应用程序组的剪贴板访问。 这些指定的应用程序组创建为安全组,以便仅允许最终用户复制和粘贴该安全组内的内容。 要在安全组的应用程序内启用剪贴板访问,您必须只使用操作配置访问策略 允许允许(有限制) 而不选择任何访问设置。

  • 安全组 限制,则无法在不同安全组中的应用程序之间复制/粘贴数据。 例如,如果应用程序 “ProdDocs” 属于安全组 “SG1”,应用程序 “Edocs” 属于安全组 “SG2”,则即使 复制 / 为两个组启用限制。

  • 对于不属于安全组的应用程序,您可以使用 action 创建访问策略 允许(有限制) 并选择限制 (复制, 剪贴板). 在这种情况下,应用程序不是安全组的一部分,并且 复制 / 粘贴 限制可以应用于该应用程序。

注意:

您还可以通过 Global App Configuration Service (GACS) 限制通过 Citrix Enterprise Browser 访问的应用程序的剪贴板访问。 如果您使用 GACS 管理 Citrix Enterprise Browser,请使用 启用沙盒剪贴板 用于管理剪贴板访问权限的选项。 当您通过 GACS 限制剪贴板访问时,它将应用于通过 Citrix Enterprise Browser 访问的所有应用程序。

要创建安全组,请执行以下步骤:

  1. 在 Secure Private Access 控制台中,单击 应用 ,然后单击 安全组.
  2. 点击 添加新的安全组.

安全组

  1. 输入安全组的名称。
  2. 添加 Web 或 SaaS 应用程序,选择要分组以启用 COPY and PASTE 控件的应用程序。 例如,Wikipedia、Pinterest 和 Dribble。
  3. 单击保存

有关详细信息 高级剪贴板 设置,请参阅 为本机应用程序和未发布的应用程序启用复制/粘贴控件.

当最终用户从 Citrix Workspace 启动这些应用程序(Wikipedia、Pinterest 和 Dribble)时,他们必须能够将数据从一个应用程序共享(复制/粘贴)到安全组内的其他应用程序。 复制/粘贴的发生与已为应用程序启用的其他安全限制无关。

但是,最终用户无法将内容从其计算机上的本地应用程序或未发布的应用程序复制并粘贴到这些指定的应用程序,反之亦然。 将内容从指定的应用程序复制到另一个应用程序时,将显示以下通知:

粘贴错误

注意:

您可以使用以下选项在安全组中的应用与计算机上的其他本地应用或未发布的 Web 应用之间复制和粘贴内容 高级剪贴板设置. 有关详细信息,请参阅 为本机应用程序和未发布的应用程序启用复制/粘贴控件.

启用精细级别的剪贴板访问

您可以在指定组中的应用程序内启用精细级别的剪贴板访问。 为此,您可以为应用程序创建访问策略并启用 复制 / 粘贴 根据您的要求进行限制。

注意:

确保您为精细级别剪贴板访问创建的特定访问策略的优先级高于您为安全组创建的策略。

示例:

假设您创建了一个包含三个应用程序(即 Wikipedia、Pinterest 和 Dribble)的安全组。

现在,您想要限制将 Wikipedia 或 Dribble 中的内容粘贴到 Pinterest 中。 为此,请执行以下步骤:

  1. 创建或编辑为应用程序分配的访问策略 Pinterest 公司. 有关创建访问策略的详细信息,请参阅 创建访问策略.
  2. 第 3 步:操作 页面上,选择 允许但有限制.
  3. 选择 .

尽管 Pinterest 是安全组的一部分,该安全组还包含 Wikipedia 和 Dribble,但用户无法将 Wikipedia 或 Dribble 中的内容复制到 Pinterest,因为与 Pinterest 相关的访问策略中, 限制已禁用。

粘贴错误2

为本机应用程序和未发布的应用程序启用复制/粘贴控件

您可以使用以下选项在安全组中的应用与计算机上的其他本地应用或未发布的 Web 应用之间复制和粘贴内容 高级剪贴板设置

  1. 创建安全组。 有关详细信息,请参阅 创建安全组.
  2. 扩大 高级剪贴板设置.

    高级选项

  3. 根据您的要求选择以下任一选项:

    • 允许将数据从安全组复制到未发布的域 — 允许将数据从安全组中的应用程序复制到未在 Secure Private Access 中发布的应用程序。
    • 允许将数据从安全组复制到本机应用程序 - 允许将数据从安全组中的应用程序复制到计算机上的本地应用程序。
    • 允许将数据从未发布的域复制到安全组 – 允许将未通过 Secure Private Access 发布的应用程序中的数据复制到安全组中的应用程序。
    • 允许从本机应用程序操作系统安全组复制数据 - 支持将数据从计算机上的本地应用程序复制到应用程序。

已知问题

  • 设置 > 应用领域) 保留已删除应用程序的域。 因此,这些应用程序也被视为 Secure Private Access 中的已发布应用程序。 如果直接从 Citrix Enterprise Browser 访问这些域,则无论您在中选择的选项如何,都将从这些应用程序中禁用复制/粘贴 高级剪贴板设置.

    例如,假设以下场景:

    • 您删除了名为 Jira2 (https://test.citrite.net),该安全组的一部分。
    • 您已启用该选项 允许将数据从安全组复制到未发布的域.

    在这种情况下,如果用户尝试将数据从此应用程序复制到同一安全组中的另一个应用程序,则粘贴控制将被禁用。 将向用户显示有关相同的通知。

  • 对于 SaaS 应用程序,如果应用程序配置了具有操作的访问策略,则可以拒绝应用程序访问 拒绝访问。 最终用户仍然可以访问该应用程序,因为应用程序流量未通过 Secure Private Access 进行隧道传输。 此外,如果应用程序是安全组的一部分,则不遵循安全组设置,因此您无法从应用程序复制/粘贴内容。