设备状态概述
Citrix Device Posture 服务是一种基于云的解决方案,可帮助管理员强制执行终端设备必须满足的某些要求才能访问 Citrix DaaS(虚拟应用程序和桌面)或 Citrix Secure Private Access 资源(SaaS、Web 应用程序、TCP 和 UDP 应用程序)。 通过检查设备的状况来建立设备信任对于实施基于零信任的访问至关重要。 Device Posture 服务在允许最终用户登录之前检查终端设备的合规性(托管/BYOD 和安全状态),从而在您的网络中强制执行零信任原则。
必备条件
-
许可要求:Citrix Device Posture 服务的权利是 Citrix DaaS Premium、Citrix DaaS Premium Plus 和 Citrix Secure Private Access Advanced 许可证的一部分。 拥有其他许可证的客户可以购买 Device Posture Service 授权作为附加组件。 对于附加组件,客户必须购买独立的自适应身份验证 SKU,但不必部署它才能使用设备状态服务。
-
支持的平台:
- Windows(10 和 11)
- macOS 13 Ventura
- macOS 12 Monterey
- iOS
- IGEL
注意:
默认情况下,在不受支持的平台上运行的设备将标记为不合规。 您可以将分类从 不合规 自 拒绝登录 从 设置 选项卡。
默认情况下,在受支持的平台上运行但与任何预定义设备状态策略都不匹配的设备将被标记为不合规。 您可以将分类从 不合规 自 拒绝登录 从 设置 选项卡。
对于设备状态服务的 iOS 支持,EPA 客户端内置于适用于 iOS 的 Citrix Workspace 应用程序中。 有关版本的详细信息,请参阅 适用于 iOS 的 Citrix Workspace 应用程序.
对于 Device Posture 服务上的 IGEL OS 支持,EPA 客户端内置为 IGEL OS 的一部分。 请联系 IGEL 支持团队,以便在 IGEL 设备上安装 EPA 客户端。
- Citrix Device Posture 客户端(EPA 客户端):一种轻量级应用程序,必须安装在端点设备上才能运行设备态势扫描。 此应用程序不需要本地管理员权限即可在端点上下载和安装。
注意:
如果您使用的是设备证书检查,则必须使用管理权限安装 EPA 客户端。
-
支持的浏览器:Chrome、Edge 和 Firefox。
-
防火墙配置:要允许 Device Posture 服务更新终端设备上的 EPA 客户端,必须将防火墙/代理配置为允许以下域:
https://swa-ui-cdn-endpoint-prod.azureedge.nethttps://productioniconstorage.blob.core.windows.net- *.netscalergateway.net
- *.nssvc.net
- *.cloud.com
- *.pendo.io
- *.citrixworkspacesapi.net
工作原理
管理员可以创建设备终端安全评估策略,以检查终端设备的终端安全评估,并确定是允许还是拒绝终端设备登录。 允许登录的设备进一步分类为合规或不合规。 用户可以从浏览器或 Citrix Workspace 应用程序登录。
以下是用于将设备分类为合规、不合规和拒绝登录的高级条件。
- 合规设备 – 满足预配置策略要求并被允许登录公司网络的设备,可以完全或不受限制地访问 Citrix Secure Private Access 资源或 Citrix DaaS 资源。
-
不合规设备 - 满足预配置策略要求的设备,并且允许登录公司网络,并根据设备状态的 DaaS 和 Secure Private Access 配置对 Citrix Secure Private Access 资源或 Citrix DaaS 资源进行部分或受限访问。
- DaaS:管理员可以指定交付组以限制不合规设备的访问。 有关如何配置对交付组的受限访问权限的详细信息,请参阅 具有设备状态的 Citrix DaaS 配置.
- Secure Private Access:管理员可以选择特定的应用程序来限制这些设备的访问。 有关如何限制对特定应用程序的访问的详细信息,请参阅 具有设备状态的 Citrix Secure Private Access 配置.
- 拒绝登录: - 不符合策略要求的设备将被拒绝登录。
设备的分类为 顺从的, 不合规和 拒绝登录 传递到 Citrix DaaS 和 Citrix Secure Private Access 服务,后者反过来使用设备分类来提供智能访问功能。
注意:
- 必须为每个平台专门配置设备状态策略。 例如,对于 macOS,管理员可以允许具有特定 OS 版本的设备进行访问。 同样,对于 Windows,管理员可以配置策略以包含特定的授权文件、注册表设置等。
- 设备状态扫描仅在预身份验证期间/登录之前完成。
- 有关“合规”和“不合规”的定义,请参阅 定义.
设备状态支持的扫描
Citrix Device Posture 服务支持以下扫描:
| Windows | macOS | iOS | IGEL | | ———————– | ———————– | ———————– | —————– | | Citrix Workspace 应用程序版本 | Citrix Workspace 应用程序版本 | Citrix Workspace 应用程序版本 | - | | 操作系统版本 | 操作系统版本 | 操作系统版本 | - | | 文件(exists、文件名和路径) | 文件(exists、文件名和路径) | - | 文件(exists、文件名和路径) | | 地理位置 | 地理位置 | - | - | | 网络位置 | 网络位置 | - | - | | MAC 地址 | MAC 地址 | - | - | | 进程 (exists) | 进程 (exists) | - | - | | Microsoft 端点管理器 | Microsoft 端点管理器 | - | - | | 众攻 | 众攻 | - | - | | 设备证书 | 设备证书 | - | - | | 浏览器 | 浏览器 | - | - | | 防病毒 | 防病毒 | - | - | | 非数字注册表 (32 位) | - | - | - | | 非数字注册表 (64 位) | - | - | - | | 数字注册表 (32 位) | - | - | - | | 数字注册表 (64 位) | - | - | - | | Windows 更新安装类型 | - | - | - | | Windows 更新安装上次更新检查 | - | - | - |
注意:
对于设备状态服务的 iOS 支持,EPA 客户端内置于适用于 iOS 的 Citrix Workspace 应用程序中。 有关版本的详细信息,请参阅 适用于 iOS 的 Citrix Workspace 应用程序.
与设备态势的第三方集成
除了 Device Posture 服务提供的本机扫描外,该服务还可以与 Windows 和 macOS 上的以下第三方解决方案集成。
- Microsoft Intune. 有关详细信息,请参阅 Microsoft Intune 与 Device Posture 集成.
- 众攻。 有关详细信息,请参阅 CrowdStrike 与 Device Posture 集成.
已知限制
- 在打开或关闭设备状态切换按钮后,启用或禁用设备状态功能所需的时间可能需要几分钟到一个小时。
- 设备状态配置中的任何更改都不会立即生效。 更改可能需要大约 10 分钟才能生效。
- 如果您在 Citrix Workspace 中启用了服务连续性选项,并且设备状态服务已关闭,则用户可能无法登录 Workspace。 这是因为 Citrix Workspace 根据用户设备上的本地缓存枚举应用程序和桌面。
- 如果您在 Citrix Workspace 上配置了长期令牌和密码,则设备状态扫描不适用于此配置。 仅当用户登录到 Citrix Workspace 时,才会扫描设备。
- 每个平台最多可以有 10 个策略,每个策略最多可以有 10 个规则。
- Device Posture 服务不支持基于角色的访问。
服务质量
- 性能:在理想情况下,Device Posture 服务在登录期间额外增加了 2 秒的延迟。 此延迟可能会增加,具体取决于其他配置,例如 Microsoft Intune 等第三方集成。
- 弹性:Device Posture 服务具有高度弹性,具有多个 POP,可确保没有停机时间。
定义
与 Device Posture 服务相关的术语“合规”和“不合规”定义如下。
- 合规设备 – 满足预配置策略要求并被允许登录公司网络的设备,可以完全或不受限制地访问 Citrix Secure Private Access 资源或 Citrix DaaS 资源。
- 不合规设备 - 满足预配置策略要求并被允许登录公司网络并部分或限制访问 Citrix Secure Private Access 资源或 Citrix DaaS 资源的设备。