SmartAccess für HDX-Apps

Mit dieser Funktion können Sie den Zugriff auf HDX-Apps basierend auf den Geräteeigenschaften, den Benutzereigenschaften eines Geräts oder den auf einem Gerät installierten Anwendungen steuern. Mit dieser Funktion richten Sie automatisierte Aktionen ein, um das Gerät als nicht richtlinientreu zu markieren und diesem Gerät den Zugriff zu verweigern. HDX-Apps, die mit dieser Funktion verwendet werden, werden in Virtual Apps and Desktops anhand einer SmartAccess-Richtlinie konfiguriert, die nicht richtlinientreuen Geräten den Zugriff verweigert. XenMobile überträgt den Status des Geräts anhand eines signierten verschlüsselten Tags an StoreFront. StoreFront gewährt oder verweigert dann den Zugriff entsprechend der Zugriffssteuerungsrichtlinie der App.

Für die Verwendung dieses Features muss die Bereitstellung folgende Komponenten umfassen:

• Virtual Apps and Desktops 7.6
• StoreFront 3.7 oder 3.8
• Mit XenMobile Server konfigurierte aggregierte HDX-Apps von einem StoreFront-Server
• XenMobile Server mit SAML-Zertifikat für das Signieren und Verschlüsseln von Tags. Das gleiche Zertifikat ohne privaten Schlüssel wird auf StoreFront-Server hochgeladen.

Um diese Funktion verwenden zu können, gehen Sie wie folgt vor:

• Konfigurieren Sie das XenMobile Server-Zertifikat für den StoreFront-Store.
• Konfigurieren Sie mindestens eine Virtual Apps and Desktops-Bereitstellungsgruppe mit der erforderlichen SmartAccess-Richtlinie
• Legen Sie die automatisierte Aktion in XenMobile fest.

Exportieren und konfigurieren Sie das XenMobile-Serverzertifikat für den StoreFront-Store

SmartAccess verwendet signierte und verschlüsselte Tags für die Kommunikation zwischen XenMobile- und StoreFront-Servern. Um diese Kommunikation zu ermöglichen, fügen Sie das XenMobile Server-Zertifikat dem StoreFront-Store hinzu.

Weitere Informationen zur Integration von StoreFront in XenMobile, wenn für XenMobile die domänen- und zertifikatbasierte Authentifizierung konfiguriert ist, finden Sie imSupport Knowledge Center.

Exportieren des SAML-Zertifikats von XenMobile Server

1. Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol rechts oben. Die SeiteEinstellungenwird angezeigt. Klicken Sie aufZertifikate.

2. Suchen Sie das SAML-Zertifikat für XenMobile Server.

   

3. Vergewissern Sie sich, dassPrivaten Schlussel exportierenaufAusfestgelegt ist. Klicken Sie aufExportieren, um das Zertifikat in das Downloadverzeichnis zu exportieren.

   

4. Suchen Sie das Zertifikat im Downloadverzeichnis. Das Zertifikat weist das PEM-Format auf.

   

Konvertieren des Zertifikats von PEM in CER

1. Offnen您死Microsoft管理控制台(MMC)und klicken Sie mit der rechten Maustaste aufZertifikate > Alle Aufgaben > Importieren.

   

2. Wenn der Zertifikatimport-Assistent geöffnet wird, klicken Sie aufWeiter.

   

3. Navigieren Sie zum Zertifikat im Downloadverzeichnis.

   

4. Markieren SieAlle Zertifikate in folgendem Speicher speichernund wählen SieEigene Zertifikateals Zertifikatspeicher. Klicken Sie aufWeiter.

   

5. Überprüfen Sie Ihre Auswahl und klicken Sie aufFertig stellen. Klicken Sie im Bestätigungsfenster aufOK.

6. Klicken Sie in der MMC mit der rechten Maustaste auf das Zertifikat und dann aufAlle Aufgaben > Exportieren.

   

7. Wenn der Zertifikatexport-Assistent geöffnet wird, klicken Sie aufWeiter.

   

8. Wählen Sie das FormatDER-codiert-binär X.509 (.CER). Klicken Sie aufWeiter.

   

9. Navigieren Sie zu dem Zertifikat. Geben Sie einen Namen für das Zertifikat ein und klicken Sie aufWeiter.

   

10. Speichern Sie das Zertifikat.

    

11. Navigieren Sie zu dem Zertifikat und klicken Sie aufWeiter.

    

12. Überprüfen Sie Ihre Auswahl und klicken Sie aufFertig stellen. Klicken Sie im Bestätigungsfenster aufOK.

    

13. Suchen Sie das Zertifikat im Downloadverzeichnis. Beachten Sie, dass das Zertifikat im CER-Format vorliegt.

    

Kopieren Sie das Zertifikat auf den StoreFront-Server

1. Erstellen Sie auf dem StoreFront-Server einen Ordner mit dem NamenSmartCert.

2. Kopieren Sie das Zertifikat in den OrdnerSmartCert.

   

Konfigurieren des Zertifikats im StoreFront-Store

Führen Sie auf dem StoreFront-Server den folgenden PowerShell-Befehl aus, um das konvertierte XenMobile Server-Zertifikat im Store zu konfigurieren:

Grant-STFStorePnaSmartAccess –StoreService $store –CertificatePath “C:\xms\xms.cer” –ServerName “XMS server” 

Wenn der StoreFront-Store vorhandene Zertifikate enthält, führen Sie folgenden PowerShell-Befehl aus, um sie zu widerrufen:

Revoke-STFStorePnaSmartAccess –StoreService $store –All 

Alternativ können Sie einen der folgenden PowerShell-Befehle auf dem StoreFront-Server ausführen, um vorhandene Zertifikate im StoreFront-Store zu widerrufen:

• Nach Name widerrufen:

$存储= Get-STFStoreService -VirtualPath / Citrix /Store Revoke-STFStorePnaSmartAccess –StoreService $store –ServerName “My XM Server" 

• Nach Fingerabdruck widerrufen:

$存储= Get-STFStoreService -VirtualPath / Citrix /Store Revoke-STFStorePnaSmartAccess –StoreService $store –CertificateThumbprint “ReplaceWithThumbprint” 

• Nach Serverobjekt widerrufen:

$存储= Get-STFStoreService -VirtualPath / Citrix /Store $access = Get-STFStorePnaSmartAccess –StoreService $store Revoke-STFStorePnaSmartAccess –StoreService $store –SmartAccess $access.AccessConditionsTrusts[0] 

Konfigurieren der SmartAccess-Richtlinie für Virtual Apps and Desktops

Hinzufügen der erforderlichen SmartAccess-Richtlinie zur Bereitstellungsgruppe, die die HDX-App bereitstellt

1. Öffnen Sie auf dem Virtual Apps and Desktops-Server Citrix Studio.

2. Wählen Sie im Studio-NavigationsbereichBereitstellungsgruppenaus.

3. Wählen Sie eine Gruppe aus, die die App bzw. Apps bereitstellt und deren Zugriff Sie steuern möchten. Wählen Sie dann im BereichAktiondie OptionBereitstellungsgruppe bearbeitenaus.

4. Wählen Sie auf der SeiteZugriffsrichtliniedie OptionenÜber NetScaler Gateway hergestellte VerbindungenundVerbindungen, auf die mindestens einer der folgenden Filter zutrifftaus.

5. Klicken Sie aufHinzufügen.

6. Fügen Sie eine Zugriffsrichtlinie hinzu, in derFarmXMundFilterXMCompliantDeviceist.

   

7. Klicken Sie aufAnwenden, damit die Änderungen angewendet werden und das Fenster geöffnet bleibt, oder klicken Sie aufOK, damit die Änderungen angewendet werden und das Fenster geschlossen wird.

Festlegen automatisierter Aktionen in XenMobile

Die SmartAccess-Richtlinie, die Sie in der Bereitstellungsgruppe für eine HDX-App festlegen, verweigert den Zugriff auf ein Gerät, wenn das Gerät nicht richtlinientreu ist. Verwenden Sie automatisierte Aktionen, um das Gerät als nicht richtlinientreu zu markieren.

1. Klicken Sie in der XenMobile-Konsole aufKonfigurieren > Aktionen. Die SeiteAktionenwird angezeigt.

2. Klicken Sie aufHinzufügen, um eine Aktion hinzuzufügen. Die SeiteAktionsinformationenwird angezeigt.

3. Geben Sie auf der SeiteAktionsinformationeneinen Namen und eine Beschreibung für die Aktion ein.

4. Klicken Sie aufWeiter. Die SeiteAktionsdetailswird angezeigt. Im folgenden Beispiel wird ein Auslöser erstellt, der Geräte sofort als nicht richtlinientreu markiert, wenn sie den Benutzereigenschaftsnameneng5odereng6aufweisen.

   

5. Wählen Sie in der ListeAuslöserdie OptionGeräteeigenschaft,BenutzereigenschaftoderName der installierten Appaus. SmartAccess unterstützt keine Ereignisauslöser.

6. Führen Sie in der ListeAktionfolgende Schritte aus:

   • Wählen SieGeräte als nicht richtlinientreu markieren.
   • Wählen SieIst.
   • Wählen SieWahr.
   • Wenn das Gerät sofort bei Erfüllen der Auslösebedingung als nicht richtlinientreu markiert werden soll, legen Sie den Zeitrahmen auf0fest.

7. Wählen Sie die XenMobile-Bereitstellungsgruppe bzw. -gruppen aus, auf die diese Aktion angewendet werden soll.

8. Überprüfen Sie die Zusammenfassung der Aktion.

9. Klicken Sie aufWeiterund dann aufSpeichern.

Wenn ein Gerät als nicht richtlinientreu markiert ist, werden die HDX-Apps nicht mehr im Secure Hub-Store angezeigt. Der Benutzer hat die Apps nicht mehr abonniert. Es wird keine Benachrichtigung an das Gerät gesendet, und nichts im Secure Hub-Store weist darauf hin, dass die HDX-Apps zuvor verfügbar waren.

Wenn Sie möchten, dass Benutzer benachrichtigt werden, wenn ein Gerät als nicht richtlinientreu markiert wird, erstellen Sie eine Benachrichtigung und dann eine automatisierte Aktion zum Senden der Benachrichtigung.

In diesem Beispiel wird die folgende Benachrichtigung erstellt und gesendet, wenn ein Gerät als nicht richtlinientreu markiert wird: “Die Geräteseriennummer oder Telefonnummer erfüllt die Geräterichtlinie nicht mehr und HDX-Apps werden gesperrt.”

Erstellen der Benachrichtigung,死Benutzern安吉zeigt wird, wenn ein Gerät als nicht richtlinientreu markiert wird

1. Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol rechts oben. Die SeiteEinstellungenwird angezeigt.

2. Klicken Sie aufBenachrichtigungsvorlagen. Die SeiteBenachrichtigungsvorlagenwird angezeigt.

3. Klicken Sie aufHinzufügen, um auf der SeiteBenachrichtigungsvorlageneine Vorlage hinzuzufügen.

4. Wenn Sie aufgefordert werden, zuerst den SMS-Server einzurichten, klicken Sie aufNein, später einrichten.

   

5. Konfigurieren Sie folgende Einstellungen:

   • Name:HDX-Anwendungsblockierung
   • Beschreibung:Agent-Benachrichtigung, wenn das Gerät nicht richtlinientreu ist
   • Typ:Ad-Hoc-Benachrichtigung
   • Secure Hub:Aktiviert
   • Nachricht:Gerät ${firstnotnull(device.TEL_NUMBER,device.serialNumber)} erfüllt die Geräterichtlinie nicht mehr und HDX-Apps werden gesperrt.

   

6. Klicken Sie aufSpeichern.

Erstellen der Aktion, mit der die Benachrichtigung gesendet wird, wenn ein Gerät als nicht richtlinientreu markiert wird

1. Klicken Sie in der XenMobile-Konsole aufKonfigurieren > Aktionen. Die SeiteAktionenwird angezeigt.

2. Klicken Sie aufHinzufügen, um eine Aktion hinzuzufügen. Die SeiteAktionsinformationenwird angezeigt.

3. Geben Sie auf der SeiteAktionsinformationeneinen Namen für die Aktion und optional eine Beschreibung ein.

   • Name:HDX blockiert Benachrichtigung
   • Beschreibung:HDX hat die Benachrichtigung gesperrt, weil das Gerät nicht richtlinientreu ist

4. Klicken Sie aufWeiter. Die SeiteAktionsdetailswird angezeigt.

5. In der ListeAuslöser:

   • Wählen SieGeräteeigenschaftaus.
   • Wählen SieNicht richtlinientreu.
   • Wählen SieIst.
   • Wählen SieWahr.

   

6. Geben Sie in der ListeAktiondie Aktionen an, die ausgeführt werden, wenn die Auslösebedingung erfüllt ist:

   • Wählen SieBenachrichtigung sendenaus.
   • Wählen Sie die von Ihnen erstellte BenachrichtigungHDX-Anwendungsblockierung.
   • Wählen Sie0. Wenn der Wert auf 0 festgelegt ist, wird die Benachrichtigung sofort gesendet, sobald die Auslösebedingung erfüllt ist.

7. Wählen Sie die XenMobile-Bereitstellungsgruppe bzw. -gruppen aus, auf die diese Aktion angewendet werden soll. Wählen Sie in diesem BeispielAllUsers.

8. Überprüfen Sie die Zusammenfassung der Aktion.

9. Klicken Sie aufWeiterund dann aufSpeichern.

Details über das Festlegen von automatisierten Aktionen finden Sie unterAutomatisierte Aktionen.

Zurückerhalten des Zugriffs auf HDX-Apps

Nachdem das Gerät wieder richtlinientreu ist, können Benutzer den Zugriff auf die HDX-Apps zurückerhalten:

1. Gehen Sie auf dem Gerät zu Secure Hub-Store, um die Apps im Store zu aktualisieren.

2. Gehen Sie zur App und tippen Sie aufHinzufügenfür die App.

Nach dem Hinzufügen der App wird sie unter “Eigene Apps” mit einem blauen Punkt angezeigt, da es sich um eine neu installierte App handelt.