场景 2

May 20, 2026

投稿者:

C C

此场景介绍如何为不受信任的设备启用应用程序保护。

对于受信任和不受信任的设备，有许多定义。在此场景中，如果端点分析 (EPA) 扫描成功，则我们将设备视为受信任。所有其他设备均被视为不受信任的设备。

配置自适应身份验证。
使用以下步骤创建包含 EPA 扫描的身份验证策略：
1. 登录 Citrix ADC 管理 UI。在配置选项卡中，导航到安全 > AAA-应用程序流量 > 虚拟服务器。单击要使用的虚拟服务器，在本例中为 auth_vs。
2. 导航到身份验证策略 > 添加绑定。
3. 单击添加以创建策略。
4. 创建基于 EPA 扫描的身份验证策略。输入策略名称。选择操作类型为 EPA。单击添加以创建操作。
  
  此时将显示创建身份验证 EPA 操作屏幕。
5. 在创建身份验证 EPA 操作屏幕上，输入以下详细信息，然后单击创建以创建操作：
  - 名称：此字段用于指定 EPA 操作的名称。在本例中为 EPA_Action_FileExists。
  - 默认组：输入默认组名称。如果 EPA 表达式为 True，则用户将添加到默认组。在本例中，默认组为 FileExists。
  - 隔离组：输入隔离组名称。如果 EPA 表达式为 False，则用户将添加到隔离组。
  - 表达式：添加要扫描的 EPA 表达式。在此示例中，如果存在特定文件，则认为 EPA 扫描成功：sys.client_expr("file_0_C:\\\\epa\\\\avinstalled.txt")
  您将返回到创建身份验证策略屏幕。
6. 在表达式编辑器中输入 true，然后单击创建。
  
  您将返回到策略绑定屏幕。
7. 在策略绑定屏幕上，执行以下操作：
  1. 将Goto 表达式选择为NEXT。
  2. 在选择下一个因素部分中，选择您已在 Application Delivery Controller™ (ADC) 中为身份验证配置的 LDAP 策略。
  3. 单击绑定。
为受信任设备创建智能访问策略：
1. 在 auth_vs 服务器的“身份验证虚拟服务器”页面上，选择“智能访问策略”。
  
  身份验证虚拟服务器(/zh-cn/citrix-workspace-app/media/step-3-a.png)
2. 单击“添加绑定”。
  
  添加绑定(/zh-cn/citrix-workspace-app/media/step-3-b.png)
3. 在“策略绑定”屏幕上，单击“选择策略”部分中的“添加”。
  
  选择策略(/zh-cn/citrix-workspace-app/media/step-3-c.png)
  
  此时将显示“创建身份验证智能访问策略”屏幕。
  
  身份验证智能访问(/zh-cn/citrix-workspace-app/media/step-3-d.png)
4. 在“创建身份验证智能访问策略”屏幕上，输入智能访问策略的“名称”，然后单击“添加”以创建智能访问配置文件。
  
  此时将显示“创建身份验证智能访问配置文件”屏幕。
5. 为操作添加“名称”。在“标签”中输入 trusted。此标签稍后将在 Broker 访问策略规则中引用以进行配置。单击“创建”。
  
  创建身份验证配置文件(/zh-cn/citrix-workspace-app/media/step-3-e.png)
  
  您将返回到“创建身份验证智能访问策略”屏幕。
6. 在“表达式”部分中，输入要推送标签的表达式。在这种情况下，由于标签是为受信任设备推送的，请输入 AAA.USER.IS_MEMBER_OF("FileExists")。单击“创建”。
  
  您将返回到策略绑定屏幕。
7. 选择 转到表达式 为结束，然后单击绑定。
为不受信任的设备创建智能访问策略：
1. 按照上一步的说明进行操作，但子步骤v和vi除外。
2. 对于子步骤v，在创建身份验证智能访问配置文件屏幕上，为操作添加名称。在标签中输入untrusted。此标签稍后将在代理访问策略规则中引用以进行配置。单击创建。
3. 对于子步骤vi，在创建身份验证智能访问策略屏幕的表达式部分中，输入要推送标签的表达式。在这种情况下，由于标签是为不受信任的设备推送的，请输入AAA.USER.IS_MEMBER_OF("FileExists").NOT。
配置代理访问策略规则：
1. 安装 Citrix PowerShell 软件开发工具包并连接到云端应用程序接口，如 Citrix 博客 Citrix Cloud PowerShell 自动化入门中所述。
2. 运行命令 Get-BrokerAccessPolicyRule。
  
  将显示所有当前存在的交付组的全部代理访问策略的列表。
3. 找到要更改的交付组的 DesktopGroupUid。
4. 使用以下命令，您可以获取仅应用于特定交付组的策略：
  
  Get-BrokerAccessPolicyRule -DesktopGroupUid 7
5. 过滤使用受信任设备的用户，请使用以下命令创建另一个 Broker 访问策略：
  
  New-BrokerAccessPolicyRule -Name CAP_Desktops_AG_Trusted-DesktopGroupUid 7 - AllowedConnections ViaAG -AllowedProtocols HDX, RDP -AllowedUsers AnyAuthenticated - AllowRestart $true -Enabled $true-IncludedSmartAccessFilterEnabled $true
6. 要为受信任设备禁用 App Protection 并为不受信任设备启用 App Protection，请使用以下命令：
  
  Set-BrokerAccessPolicyRule CAP_Desktops_AG_trusted -IncludedSmartAccessTags Workspace:trusted -AppProtectionKeyLoggingRequired $false -AppProtectionScreenCaptureRequired $false
  
  Set-BrokerAccessPolicyRule CAP_Desktops_AG -IncludedSmartAccessTags Workspace:untrusted -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true
验证步骤：

退出 Citrix Workspace 应用程序并重新登录。从受信任设备（满足 EPA 扫描条件的设备）启动受保护的资源。您会看到 App Protection 策略未应用。从不受信任设备启动同一资源。您会看到 App Protection 策略已应用。