访问限制选项

在创建访问策略时选择“允许有限制的访问”操作时，可以选择访问限制。这些限制是在系统中预定义的。管理员无法修改或添加其他组合。有关创建访问策略和启用访问限制的详细信息，请参阅配置访问策略。

剪贴板

通过 Citrix Enterprise Browser 访问时，使用此访问策略在 SaaS 或内部 Web 应用程序上启用/禁用剪切/复制/粘贴操作。默认值：已启用。

复制

通过 Citrix Enterprise Browser 访问时，启用/禁用使用此访问策略从 SaaS 或内部 Web 应用程序复制数据。默认值：已启用。

注意：

• 如果策略中同时启用了剪贴板和复制限制，则剪贴板限制优先于复制限制。
• 最终用户必须使用 Citrix Enterprise Browser 版本 2405 或更高版本才能访问启用此限制的应用程序。否则，应用程序访问受到限制。
• 为了精细控制应用程序内的复制操作， 管理员可以使用安全组限制。有关详细信息，请参阅安全组的剪贴板限制。

按文件类型划分的下载限制

当用户通过 Citrix Enterprise Browser 访问时，使用此策略启用/禁用用户从 SaaS 或内部 Web 应用程序中下载特定 MIME（文件）类型的权限。

注意：

• 除下载限制外，还提供按文件类型划分的下载限制。
• 如果策略中同时启用了下载和按文件类型划分的下载限制，则下载限制优先于按文件类型划分的下载限制。
• 最终用户必须使用 Citrix Enterprise Browser 版本 2405 或更高版本才能访问启用此限制的应用程序。否则，应用程序访问受到限制。

要启用 MIME 类型的下载，请执行以下步骤：

1. 创建或编辑访问策略。有关详细信息，请参阅创建访问策略。
2. 在“步骤 3：操作”页面中，选择“允许但有限制”。
3. 单击“按文件类型划分的下载限制”，然后单击“编辑”。

4. 在按文件类型划分的下载限制设置页面中，选择以下选项之一：

   • 允许所有下载，但有例外 - 选择必须阻止的类型并允许所有其他类型。
   • 阻止所有下载，但有例外 - 仅选择可以上载的类型并阻止所有其他类型。

5. 如果列表中不存在该文件类型，则执行以下操作：

   1. 单击“添加自定义 MIME 类型”。
   2. 在添加 MIME 类型中，按 category/subcategory<extension> 格式输入 MIME 类型。例如 image/png。
   3. 单击 Done（完成）。

   MIME 类型现在出现在例外列表中。

当最终用户尝试下载受限文件类型时，Citrix Enterprise Browser 会显示以下消息：

下载

当用户通过 Citrix Enterprise Browser 访问时，使用此策略启用/禁用用户从 SaaS 或内部 Web 应用程序中下载的权限。默认值：已启用。

注意：

如果策略中同时启用了下载和按文件类型划分的下载限制，则下载限制优先于按文件类型划分的下载限制。

键盘记录保护

当通过 Citrix Enterprise Browser 访问时，使用此访问策略启用/禁用键盘记录器从 SaaS 或内部 Web 应用程序捕获击键。默认值：已启用。

粘贴

通过 Citrix Enterprise Browser 访问时，使用此访问策略启用/禁用将复制的数据粘贴到 SaaS 或内部 Web 应用程序中。默认值：已启用。

注意：

• 如果策略中同时启用了剪贴板和粘贴限制，则剪贴板限制优先于粘贴限制。
• 最终用户必须使用 Citrix Enterprise Browser 版本 126 或更高版本才能访问启用此限制的应用程序。否则，应用程序访问受到限制。
• 为了精细控制应用程序中的粘贴操作，管理员可以使用安全组限制。有关详细信息，请参阅安全组的剪贴板限制。

个人数据屏蔽

通过 Citrix Enterprise Browser 访问时，使用此策略启用/禁用在 SaaS 或内部 Web 应用程序上编辑或屏蔽个人身份信息 (PII)。个人身份信息可以是信用卡号、社会保险号、日期等。您还可以定义自定义规则，以检测特定类型的敏感信息并相应地对其进行屏蔽。个人数据屏蔽限制还提供了完全或部分掩盖信息的选项。

注意：

最终用户必须使用 Citrix Enterprise Browser 版本 2405 或更高版本才能访问启用此限制的应用程序。否则，应用程序访问受到限制。

要编辑或掩盖个人身份信息，请执行以下步骤：

1. 创建或编辑访问策略。有关详细信息，请参阅创建访问策略。
2. 在“步骤 3：操作”页面中，选择“允许但有限制”。
3. 单击“个人数据屏蔽”，然后单击“编辑”。

4. 选择要掩盖或掩盖的信息类型，然后单击“添加”。

   如果该信息类型未出现在预定义列表中，则可以添加自定义信息类型。有关详细信息，请参阅添加自定义信息类型。

5. 选择掩码类型。

   • 完全屏蔽 — 完全掩盖敏感信息，使其无法读取。

   • 部分屏蔽 - 部分掩盖敏感信息。仅涵盖相关部分，其余部分完好无损。

     选择“部分标记”时，必须选择从文档开头或结尾开始的字符。必须在“第一个屏蔽字符”和“最后一个屏蔽字符”字段中输入数字。

     预览字段显示掩码格式。此预览不适用于自定义策略。

6. 单击“保存”，然后单击“完成”。

添加自定义信息类型

您可以通过添加信息类型的正则表达式来添加自定义信息类型。

1. 在“选择信息类型”中，选择“自定义”，然后单击“添加”。
2. 在字段名称中，输入要掩盖的信息类型的名称。
3. 在字符数中，输入信息类型的字符数。
4. 在正则表达式（RE2 库）中，输入自定义信息类型的表达式。例如，^4[0-9]{12}(?:[0-9]{3})?$。
5. 如果要掩盖完整信息或前几个字符或最后几个字符，请选择掩码类型。
6. 单击“保存”，然后单击“完成”。

下图显示了屏蔽 PII 的示例应用程序。该图还显示了与掩盖 PII 相关的通知。

打印

通过 Citrix Enterprise Browser 访问时，使用此策略启用/禁用从配置的 SaaS 或内部 Web 应用程序打印数据。默认值：已启用。

当最终用户尝试从启用了打印限制的应用程序中打印内容时，会出现以下消息。

注意：

如果在策略中同时启用了打印和打印机管理限制，则打印限制优先于打印机管理限制。

打印机管理

通过 Citrix Enterprise Browser 访问时，使用管理员配置的打印机从配置的 SaaS 或具有此策略的内部 Web 应用程序中启用/禁用打印数据。

注意：

• 除打印限制外，打印机管理限制也可用，打印机管理限制是启用或禁用打印的。 如果在访问策略中同时启用了打印和打印机管理限制，则打印限制优先于打印机管理限制。
• 最终用户必须使用 Citrix Enterprise Browser 版本 2405 或更高版本才能访问启用此限制的应用程序。否则，应用程序访问受到限制。

要启用/禁用打印限制，请执行以下步骤：

1. 创建或编辑访问策略。有关详细信息，请参阅创建访问策略。
2. 在“步骤 3：操作”页面中，选择“允许但有限制”。
3. 单击“打印机管理”，然后单击“编辑”。

1. 根据您的要求选择例外情况。

   • 网络打印机 - 网络打印机是一种可以连接到网络并由多个用户使用的打印机。
     • 已禁用： 禁止从网络中的任何网络打印机进行打印。
     • 已启用： 允许从所有网络打印机进行打印。如果指定了打印机主机名，则除了指定的打印机以外的所有其他网络打印机都将被阻止。

     注意： 网络打印机由其主机名标识。

   • 本地打印机 - 本地打印机是通过有线连接直接连接到个人计算机的设备。这种连接通常通过 USB、并行端口或其他直接接口来实现。
     • 已禁用： 禁用从所有本地打印机进行打印。
     • 已启用： 允许从所有本地打印机进行打印。
   • 使用“另存为 PDF”进行打印
     • 已禁用：禁用以 PDF 格式保存应用程序中的内容。
     • 已启用：启用以 PDF 格式保存应用程序中的内容。

2. 单击“保存”。

如果禁用了网络打印机，则当最终用户尝试在“目标”字段中选择打印机时，特定的打印机名称将显示为灰色。

此外，如果禁用“使用另存为 PDF 打印”，则当您单击“目标”字段中的“查看更多”链接时，“另存为 PDF”选项将显示为灰色。

如果最终用户重命名网络打印机，则他们无法使用网络打印机。

屏幕截图

使用任何屏幕捕获程序或应用程序通过 Citrix Enterprise Browser 访问时，启用/禁用使用此策略从 SaaS 或内部 Web 应用程序捕获屏幕的功能。如果用户尝试捕获屏幕，则会捕获一个空白屏幕。默认值：已启用。

按文件类型划分的上载限制

启用/禁用用户在通过 Citrix Enterprise Browser 访问时使用此策略从 SaaS 或内部 Web 应用程序下载特定 MIME（文件）类型的权限。

注意：

• 除上载限制外，还提供按文件类型划分的上载限制。
• 如果策略中同时启用了上载和按文件类型划分的上载限制，则上载限制优先于按文件类型划分的上载限制。
• 最终用户必须使用 Citrix Enterprise Browser 版本 2405 或更高版本才能访问启用此限制的应用程序。否则，应用程序访问受到限制。

要启用/禁用 MIME 类型的上载，请执行以下步骤：

1. 创建或编辑访问策略。有关详细信息，请参阅创建访问策略。
2. 在“步骤 3：操作”页面中，选择“允许但有限制”。
3. 单击“按文件类型划分的上载限制”，然后单击“编辑”。

4. 在按文件类型划分的上载限制设置页面中，选择以下选项之一：

   • 允许所有上载，但有例外 - 上载除选定类型之外的所有文件。
   • 阻止所有上载，但有例外 - 阻止除选定类型之外的所有文件类型上载。

5. 如果列表中不存在该文件类型，则执行以下操作：

   1. 单击“添加自定义 MIME 类型”。
   2. 在添加 MIME 类型中，按 category/subcategory<extension> 格式输入 MIME 类型。例如 image/png。
   3. 单击 Done（完成）。

   MIME 类型现在出现在例外列表中。

当最终用户尝试上载受限文件类型时，Citrix Enterprise Browser 会显示一条警告消息。

上载

当用户通过 Citrix Enterprise Browser 访问时，启用/禁用用户在使用此策略配置的 SaaS 或内部 Web 应用程序中上载的权限。默认值：已启用。

注意：

如果策略中同时启用了上载和按文件类型划分的上载限制，则上载限制优先于按文件类型划分的上载。

水印

在显示用户计算机的用户名和 IP 地址的用户屏幕上启用/禁用水印。默认值：已禁用。

安全组的剪贴板限制

您可以限制任何指定的应用程序组访问剪贴板。这些指定的应用程序组是作为安全组创建的，因此最终用户只能在该安全组中复制和粘贴内容。要在安全组中的应用程序中启用剪贴板访问权限，您只需在不选择任何访问设置的情况下使用允许或允许操作进行配置即可。

• 启用安全组限制后，您无法在不同安全组中的应用程序之间复制/粘贴数据。例如，如果应用程序“ProdDocs”属于安全组“SG1”，而应用程序“Edocs”属于安全组“SG2”，则即使对这两个组都启用了复制/粘贴限制，您也无法将内容从“Edocs”复制/粘贴到“ProdDocs”。

• 对于不属于安全组的应用程序，您可以创建一条操作为允许但有限制的访问策略，然后选择限制（复制、粘贴或剪贴板）。在这种情况下，该应用程序不属于安全组，复制/粘贴限制可以应用于该应用程序。

注意：

您还可以通过 Global App Configuration Service (GACS) 限制通过 Citrix Enterprise Browser 访问的应用程序访问剪贴板。如果您使用 GACS 管理 Citrix Enterprise Browser，请使用“启用沙盒剪贴板”选项来管理剪贴板访问权限。当您限制通过 GACS 访问剪贴板时，它适用于通过 Citrix Enterprise Browser 访问的所有应用程序。

要创建安全组，请执行以下步骤：

1. 在 Secure Private Access 控制台中，单击“应用程序”，然后单击“安全组”。
2. 单击“添加新安全组”。

1. 输入安全组的名称。
2. 在添加 Web 或 SaaS 应用程序中，选择要组合在一起以启用复制和粘贴控制的应用程序。例如，Wikipedia、Pinterest 和 Dribble。
3. 单击“保存”。

有关高级剪贴板设置的详细信息，请参阅为本机应用程序和未发布的应用程序启用复制/粘贴控件。

当最终用户从 Citrix Workspace 启动这些应用程序（Wikipedia、Pinterest 和 Dribble）时，他们必须能够将一个应用程序中的数据（复制/粘贴）共享到安全组内的其他应用程序。无论应用程序是否已启用其他安全限制，都会进行复制/粘贴。

但是，最终用户无法将计算机上的本地应用程序或未发布的应用程序中的内容复制并粘贴到这些指定的应用程序中，反之亦然。将内容从指定应用程序复制到另一个应用程序时会显示以下通知：

注意：

您可以使用高级剪贴板设置中的选项，在安全组中的应用程序与计算机上的其他本地应用程序或未发布的 Web 应用程序之间复制和粘贴内容。有关详细信息，请参阅为本机应用程序和未发布的应用程序启用复制/粘贴控件。

启用精细级别的剪贴板访问权限

您可以在指定组中的应用程序内启用精细级别的剪贴板访问权限。为此，您可以为应用程序创建访问策略并根据需要启用“复制/粘贴”限制。

注意：

确保您为精细级别的剪贴板访问创建的特定访问策略的优先级高于为安全组创建的策略的优先级。

示例：

假设您已经创建了一个包含三个应用程序的安全组，即 Wikipedia、Pinterest 和 Dribble。

现在，您想限制将来自 Wikipedia 或 Dribble 的内容粘贴到 Pinterest 中。为此，请执行以下步骤：

1. 创建或编辑为应用程序 Pinterest 分配的访问策略。有关创建访问策略的详细信息，请参阅创建访问策略。
2. 在“步骤 3：操作”页面中，选择“允许但有限制”。
3. 选择“粘贴”。

尽管 Pinterest 是同时包含 Wikipedia 和 Dribble 的安全组的一部分，但由于与 Pinterest 相关的访问策略禁用了粘贴限制，用户无法将 Wikipedia 或 Dribble 中的内容复制到 Pinterest。

为本机应用程序和未发布的应用程序启用复制/粘贴控件

您可以使用高级剪贴板设置中的选项，在安全组中的应用程序与计算机上的其他本地应用程序或未发布的 Web 应用程序之间复制和粘贴内容

1. 创建安全组。有关详细信息，请参阅创建安全组。

2. 展开“高级剪贴板设置”。

   

3. 根据您的要求选择以下任一选项：

   • 允许将数据从安全组复制到未发布的域 - 允许将数据从安全组中的应用程序复制到未在 Secure Private Access 中发布的应用程序。
   • 允许将数据从安全组复制到本机应用程序 - 允许将数据从安全组中的应用程序复制到计算机上的本地应用程序。
   • 允许将数据从未发布的域复制到安全组 - 允许将未通过 Secure Private Access 发布的应用程序中的数据复制到安全组中的应用程序。
   • 允许将数据从本机应用程序操作系统复制安全组 - 允许将数据从计算机上的本地应用程序复制到应用程序。

已知问题

• （设置 > 应用程序域）中的路由表保留已删除应用程序的域。因此，在 Secure Private Access 中，这些应用程序也被视为已发布的应用程序。如果直接从 Citrix Enterprise Browser 访问这些域，则无论您在高级剪贴板设置中选择了什么选项，这些应用程序都将禁用复制/粘贴。

  例如，假设以下场景：

  • 您已经删除了一个名为 Jira2 (https://test.citrite.net) 的应用程序，该应用程序属于安全组。
  • 您已启用“允许将数据从安全组复制到未发布的域”选项。

  在这种情况下，如果用户尝试将数据从该应用程序复制到同一安全组中的另一个应用程序，则粘贴控件将被禁用。将向用户显示有关同一内容的通知。

• 对于 SaaS 应用程序，如果为应用程序配置了具有“拒绝访问”操作的访问策略，则可以拒绝该应用程序的访问权限。最终用户仍然可以访问该应用程序，因为应用程序流量不是通过 Secure Private Access 通道传输的。此外，如果应用程序是安全组的一部分，则不支持安全组设置，因此您无法从应用程序中复制/粘贴内容。