自定义安全和隐私政策

本文提供有关如何在配置完 Workspace 访问和身份验证后自定义登录体验的指导。

有关配置工作区访问权限和身份验证所涉及的步骤的概述,请访问 配置访问权限。有关如何配置工作区订阅者身份验证的信息,请访问 安全工作区

创建统一的用户登录流程

员工用户和客户端(外部)用户的默认登录体验是分屏模式。

登录页面

要移除分屏,请导航到 Workspace 配置 > 身份验证 > 统一用户登录流程 ,然后选择 启用。启用此功能可为所有用户提供相同的登录选项。

登录页面

为 Web 和 Workspace 应用程序桌面和移动设备设置非活动超时时间

使用 Workspace 配置 > 自定义 > 首选项中的 Web 不活动超时设置来指定订阅者自动注销 Citrix Workspace 之前允许的空闲时间(最长 8 小时)。您还可以通过选择相应的配置框为台式机和移动设备上的 Workspace 应用程序启用非活动超时功能。

工作区会话超时设置

与断开 DaaS 会话连接的手动注销不同,订阅者在超时后由于不活动而保持与 DaaS 会话的连接。

为 Citrix Workspace 应用程序设置重新身份验证期限

使用 Workspace 配置 > 自定义 > 首选项中的 Workspace 应用程序的重新身份验证期限设置来指定订阅者在需要再次登录之前可以保持登录 Citrix Workspace 应用程序的时间长度。

重新验证期限设置

默认情况下,此设置要求订阅者每 24 小时(一天)登录一次。您可以指定更长的重新身份验证期限,最长为 365 天。较长的重新身份验证期限需要订阅者同意才能保持登录状态。2021 年 9 月 27 日之后配置的用户,订阅者需要有 30 天的时间才能再次登录。

在您设置的重新身份验证期限内,订阅者将保持登录状态,除非他们一次不活跃 14 天或更长时间。如果订阅者在 14 天或更长时间内处于非活动状态,则系统会在下次尝试访问其工作区时提示他们重新进行身份验证。

通过下载此 PowerShell 脚本 并按照下载中包含的说明操作,可以使订阅者的会话失效。使会话失效后,订阅者必须在接下来的 24 小时内对其工作区重新进行身份验证。

如果您需要将 Citrix Workspace 应用程序的重新身份验证期限设置为少于 24 小时,则可以通过 PowerShell 执行此操作。 有关详细信息,请参阅配置 InactivityTimeoutInMinutes 的步骤

支持的 Workspace 应用程序客户端

以下版本的 Citrix Workspace 应用程序支持此功能:

  • 适用于 Windows 的 Workspace 应用程序 2106 或更高版本
  • 适用于 Mac 的 Workspace 应用程序 2106 或更高版本
  • 适用于 iOS 的 Workspace 应用程序 21.6.5 或更高版本
  • 适用于 Android 的 Workspace 应用程序 21.6.0 或更高版本

支持的身份验证方法

以下身份验证方法支持保持对 Citrix Workspace 应用程序的登录状态:

  • Active Directory
  • Active Directory 加令牌
  • Azure Active Directory
  • Citrix Gateway
  • Okta

注意:

要获得与使用 Okta 或 Azure Active Directory 的 Citrix DaaS 客户相同的体验,请配置 Citrix 联合身份验证服务 (FAS)。有关 FAS 的更多信息,请参阅 使用 Citrix 联合身份验证服务为工作区启用单点登录

保持登录状态的订阅者体验

当订阅者在其设备上登录 Workspace 时,Workspace 会提示他们同意保持登录状态。

保持登录状态对话框

当订阅者选择“允许”时,他们在重新身份验证期间保持登录状态。如果订阅者的设备在四天内未检测到任何活动,系统会自动提示订阅者重新进行身份验证。登录 Citrix Workspace 应用程序后,只要他们在设备上使用应用程序和桌面,重新身份验证期限就会一直有效。

如果订阅者选择 拒绝,Workspace 会提示订阅者再次登录。之后,Workspace 会提示订阅者在 24 小时后再次登录。

如果订阅者的密码发生更改,则订阅者必须注销并通过 Citrix Workspace 应用程序重新登录,才能继续使用重新身份验证期。

允许订阅者更改其帐户密码

注意:

此功能正在逐步向客户推出。在部署过程完成之前,您可能看不到该功能。

Citrix 的目标是在新功能和产品更新可用时向 Citrix Workspace 客户提供这些功能和产品更新。对您而言,此过程是透明的。初始更新仅应用于 Citrix 内部站点,然后逐步应用于客户环境。逐步提供更新有助于确保产品质量并最大限度地提高可用性。

Workspace 配置 > 自定义 > 首选项中的“允许更改帐户密码”设置控制订阅者是否可以从 Citrix Workspace 中更改其域密码。您还可以向订阅者提供指导,以便他们可以根据贵组织的密码策略创建有效的密码。

启用(默认)后,订阅者可以根据贵组织的 Active Directory 设置随时更改其密码。如果禁用,Workspace 会在密码过期时提示订阅者更改密码,但他们无法在 Workspace 中更改未过期的密码。

支持的身份验证方法

  • Active Directory
  • Active Directory 加令牌

支持的 Workspace 应用程序客户端

以下版本的 Citrix Workspace 应用程序支持此功能:

  • 适用于 Windows 的 Workspace 应用程序 2101 或更高版本
  • 适用于 Mac 的 Workspace 应用程序 2012 或更高版本
  • 适用于 Chrome 的 Workspace 应用程序 2010 或更高版本
  • 适用于 HTML5 的 Workspace 应用程序 2101 或更高版本
  • 适用于 Android 的 Workspace 应用程序 21.1.0 或更高版本

订阅者在使用最新版本的 Edge、Chrome、Firefox 或 Safari 网络浏览器访问工作区时也可以使用此功能。

旧版本的 Citrix Workspace 应用程序和适用于 Linux 的 Citrix Workspace 应用程序不支持此功能。

密码指导

您最多可以添加 20 个密码要求,以满足贵组织的安全策略并由身份提供商强制执行。当订阅者从 Workspace 的“帐户设置”页面更改密码时,Workspace 会将这些要求显示为指南。如果您未添加任何密码要求,Workspace 会显示消息“您所在组织的密码要求仍然适用。”

重要:

Citrix Workspace 不会验证订阅者输入的新密码。如果订阅者试图通过 Workspace 将其有效密码更改为无效密码,您的身份提供商会拒绝新密码。现有密码未更改。

要添加密码要求,请执行以下操作:

  1. 导航到 Workspace 配置 > 自定义 > 首选项
  2. 在“允许更改帐户密码”下,检查该设置是否已启用。如果禁用,请启用该设置。
  3. 选择“添加密码要求”。

    允许更改帐户密码设置处于启用状态

  4. 输入符合贵组织对有效密码的安全要求的要求。例如,您可以指定密码必须为特定的字符长度。选择 添加密码要求可在 订阅者更改密码时为其添加更多项目。

    添加密码要求表

  5. 添加完需求后,选择 保存
  6. 再次选择“保存”以保存所有设置更改。

    “允许更改帐户密码”设置需满足密码要求

更改密码时的订阅者体验

提示:

要提高订阅者对该功能的认识,请考虑在内部知识库中包含一项建议,让订阅者通过 Workspace 更改其域密码。下载此 PDF 文件 ,了解可以在自己的通讯和知识库文章中包含的说明。

启用“允许更改帐户密码”后,订阅者可以通过前往“帐户设置”>“安全和登录”在 Workspace 中更改密码。

选择查看密码要求以显示您在 Workspace 配置中输入的所有要求。

突出显示的要求的“更改密码”部分

订阅者在更改密码后会自动从 Workspace 注销,并且必须使用新密码重新登录。

发送自定义公告

发送自定义公告以显示您选择的限时消息,例如即将到来的维护窗口。

自定义公告显示在所有客户端(包括网络和移动设备)中的所有订阅者。订阅者登录后会看到该消息。订阅者无法忽略此公告,但他们可以在移动设备上将其隐藏。

  1. Citrix Cloud 菜单中,选择 Workspace 配置 > 自定义 > 首选项 > 发送自定义公告 > 配置
  2. 输入要显示的消息的标题和文本,然后选择向订阅者显示消息的日期、时间和位置(顶部或底部)。
  3. 要查看您的消息在订阅者面前的显示效果,请选择“预览”。
  4. 完成后,选择“保存”。

配置登录策略

创建自定义登录策略, 以便在订阅者登录其工作区时通知其组织的最终用户许可协议 (EULA)。

启用和配置后,登录策略将显示在所有客户端(包括 Web 和移动设备)中。订阅者可以在登录时看到登录策略。订阅者不能绕过该策略,必须接受该策略才能登录其工作区。

  1. Citrix Cloud 菜单中,选择 Workspace 配置 > 自定义 > 首选项
  2. 在“登录策略”部分中,选择“配置”。如果存在策略,则该按钮将改为显示“编辑”
  3. 使用启用策略下的开关启用该功能。
  4. 策略标题中,输入策略的标题。
  5. 输入订阅者在登录前必须同意的策略文本。如果需要,请在同一文本框中添加其他语言的本地化文本。
  6. 输入按钮的名称,订阅者必须选择该名称才能同意该策略。

    登录策略配置页面

  7. 选择“预览”以查看订阅者的政策是什么样子。
  8. 完成后,选择“保存”。

注意

如果您将 Citrix Gateway 配置为 Workspace 身份提供商,则可能已经将登录策略作为 AAA 和 nFactor 身份验证流程的一部分。Citrix 建议您仅配置一个登录策略,作为现有 nFactor 身份验证流程的一部分或使用 Citrix Cloud 管理控制台在流程之外配置。

自定义安全和隐私政策