自定义安全和隐私政策
本文提供有关如何在配置完 Workspace 访问和身份验证后自定义登录体验的指导。
有关配置工作区访问和身份验证的概述,请访问 配置访问。 有关如何配置工作区订阅者身份验证的信息,请访问 配置身份验证。
为 Web 和 Workspace 应用程序桌面和移动设备设置非活动超时时间
使用 工作区配置 > 自定义 > 首选项 中的不活动超时设置来指定在订阅者自动退出 Citrix Workspace 之前允许的空闲时间量(最多 8 小时)。 针对 Web、用于桌面的 Citrix Workspace 应用程序和用于移动设备的 Citrix Workspace 应用程序有单独的设置。
与手动注销(断开 DaaS 会话)不同,即使因不活动而超时,订阅者仍然保持与其 DaaS 会话的连接。
您可以使用 PowerShell API修改桌面和移动版 Citrix 工作区应用程序的超时。 使用 Set-WorkspaceCustomConfiguration cmdlet 和参数 InactivityTimeoutInMinutes 和 InactivityTimeoutInMinutesMobile。
为 Citrix Workspace 应用程序设置重新身份验证期限
使用 Workspace 配置 > 自定义 > 首选项中的 Workspace 应用程序的重新身份验证期限设置来指定订阅者在需要再次登录之前可以保持登录 Citrix Workspace 应用程序的时间长度。
默认情况下,此设置要求订阅者每 24 小时(一天)登录一次。 您可以指定更长的重新身份验证期限,最长为 365 天。 较长的重新身份验证期限需要订阅者同意才能保持登录状态。 2021 年 9 月 27 日之后配置的用户,订阅者需要有 30 天的时间才能再次登录。
在您设置的重新身份验证期限内,订阅者将保持登录状态,除非他们一次不活跃 14 天或更长时间。 如果订阅者在 14 天或更长时间内处于非活动状态,则系统会在下次尝试访问其工作区时提示他们重新进行身份验证。
通过下载此 PowerShell 脚本 并按照下载中包含的说明操作,可以使订阅者的会话失效。 使会话失效后,订阅者必须在接下来的 24 小时内对其工作区重新进行身份验证。
支持的 Workspace 应用程序客户端
以下版本的 Citrix Workspace 应用程序支持此功能:
- 适用于 Windows 的 Workspace 应用程序 2106 或更高版本
- 适用于 Mac 的 Workspace 应用程序 2106 或更高版本
- 适用于 iOS 的 Workspace 应用程序 21.6.5 或更高版本
- 适用于 Android 的 Workspace 应用程序 21.6.0 或更高版本
支持的身份验证方法
以下身份验证方法支持保持对 Citrix Workspace 应用程序的登录状态:
- Active Directory
- Active Directory 加令牌
- Azure Active Directory
- Citrix Gateway
- Okta
注意:
要获得与使用 Okta 或 Azure Active Directory 的 Citrix DaaS 客户相同的体验,请配置 Citrix 联合身份验证服务 (FAS)。 有关 FAS 的更多信息,请参阅 使用 Citrix 联合身份验证服务为工作区启用单点登录。
保持登录状态的订阅者体验
当订阅者在其设备上登录 Workspace 时,Workspace 会提示他们同意保持登录状态。
当订阅者选择 允许 选项时,他们会在重新认证期间保持登录状态。 如果订阅者的设备在四天内未检测到任何活动,系统会自动提示订阅者重新进行身份验证。 登录 Citrix Workspace 应用程序后,只要他们在设备上使用应用程序和桌面,重新身份验证期限就会一直有效。
如果订阅者选择 拒绝,Workspace 会提示订阅者再次登录。 之后,Workspace 会提示订阅者在 24 小时后再次登录。
如果订阅者的密码发生更改,则订阅者必须注销并通过 Citrix Workspace 应用程序重新登录,才能继续使用重新身份验证期。
允许订阅者更改其帐户密码
注意:
此功能正在逐步向客户推出。 在推出过程完成之前,您可能无法查看该功能。
Citrix 的目标是在新功能和产品更新可用时向 Citrix Workspace 客户提供这些功能和产品更新。 对您而言,此过程是透明的。 初始更新仅应用于 Citrix 内部站点,然后逐步应用于客户环境。 逐步提供更新有助于确保产品质量并最大限度地提高可用性。
Workspace 配置 > 自定义 > 首选项中的“允许更改帐户密码”设置控制订阅者是否可以从 Citrix Workspace 中更改其域密码。 您还可以向订阅者提供指导,以便他们可以根据贵组织的密码策略创建有效的密码。
启用(默认)后,订阅者可以根据贵组织的 Active Directory 设置随时更改其密码。 如果禁用,Workspace 会在密码过期时提示订阅者更改密码,但他们无法在 Workspace 中更改未过期的密码。
支持的身份验证方法
- Active Directory
- Active Directory 加令牌
支持的 Workspace 应用程序客户端
以下版本的 Citrix Workspace 应用程序支持此功能:
- 适用于 Windows 的 Workspace 应用程序 2101 或更高版本
- 适用于 Mac 的 Workspace 应用程序 2012 或更高版本
- 适用于 Chrome 的 Workspace 应用程序 2010 或更高版本
- 适用于 HTML5 的 Workspace 应用程序 2101 或更高版本
- 适用于 Android 的 Workspace 应用程序 21.1.0 或更高版本
订阅者在使用最新版本的 Edge、Chrome、Firefox 或 Safari 网络浏览器访问工作区时也可以使用此功能。
以下设备不支持此功能:
- 旧版本的 Citrix Workspace 应用程序
- 适用于 Linux 的 Citrix Workspace 应用程序
密码指导
您最多可以添加 20 个密码要求,以满足贵组织的安全策略并由身份提供商强制执行。 当订阅者从 Workspace 的“帐户设置”页面更改密码时,Workspace 会将这些要求显示为指南。 如果您未添加任何密码要求,Workspace 会显示消息“您所在组织的密码要求仍然适用。”
重要:
Citrix Workspace 不会验证订阅者输入的新密码。 如果订阅者试图通过 Workspace 将其有效密码更改为无效密码,您的身份提供商会拒绝新密码。 现有密码未更改。
要添加密码要求,请执行以下操作:
- 导航到 Workspace 配置 > 自定义 > 首选项。
- 在 允许更改账户密码下,检查设置是否处于启用状态。 如果禁用,请启用该设置。
-
选择“添加密码要求”。
-
输入符合贵组织对有效密码的安全要求的要求。 例如,您可以指定密码必须为特定的字符长度。 选择 添加密码要求可在 订阅者更改密码时为其添加更多项目。
- 添加完需求后,选择 保存。
-
再次选择“保存”以保存所有设置更改。
更改密码时的订阅者体验
提示:
要提高订阅者对该功能的认识,请考虑在内部知识库中包含一项建议,让订阅者通过 Workspace 更改其域密码。 下载 pdf 文件 以获取可包含在您自己的通信和知识库文章中的说明。
启用“允许更改帐户密码”后,订阅者可以通过前往“帐户设置”>“安全和登录”在 Workspace 中更改密码。
选择查看密码要求以显示您在 Workspace 配置中输入的所有要求。
订阅者在更改密码后会自动从 Workspace 注销,并且必须使用新密码重新登录。
发送自定义公告
发送自定义公告以显示您选择的限时消息,例如即将到来的维护窗口。
自定义公告显示在所有客户端(包括网络和移动设备)中的所有订阅者。 订阅者登录后会看到该消息。 订阅者无法忽略此公告,但可以在移动设备上将其最小化。
- 从 Citrix Cloud 菜单中,选择 Workspace 配置 > 自定义 > 首选项 > 发送自定义公告 > 配置。
- 输入您想要显示的消息的标题和文本,并选择向订阅者显示消息的日期、时间和位置(顶部或底部)。
- 要查看您的消息如何显示给订阅者,请选择 预览。
- 完成后,选择“保存”。
配置登录策略
创建自定义登录策略, 以便在订阅者登录其工作区时通知其组织的最终用户许可协议 (EULA)。
启用和配置后,登录策略将显示在所有客户端(包括 Web 和移动设备)中。 订阅者可以在登录时看到登录策略。 订阅者不能绕过该策略,必须接受该策略才能登录其工作区。
- 从 Citrix Cloud 菜单中,选择 Workspace 配置 > 自定义 > 首选项。
- 在“登录策略”部分中,选择“配置”。 如果存在策略,则该按钮将改为显示“编辑”。
- 使用启用策略下的开关启用该功能。
- 在 策略标题中,输入策略的标题。
- 输入订阅者在登录前必须同意的策略文本。 如果需要,请在同一文本框中添加其他语言的本地化文本。
-
输入按钮的名称,订阅者必须选择该名称才能同意该策略。
- 选择“预览”以查看订阅者的政策是什么样子。
- 完成后,选择“保存”。
注意:
如果您将 Citrix Gateway 配置为 Workspace 身份提供商,则可能已经将登录策略作为 AAA 和 nFactor 身份验证流程的一部分。 Citrix 建议您仅配置一个登录策略,作为现有 nFactor 身份验证流程的一部分或使用 Citrix Cloud 管理控制台在流程之外配置。