HDX应用的SmartAccess

该功能允许您基于设备属性、设备的用户属性或设备上安装的应用程序控制对HDX应用程序的访问。您可以通过设置自动操作来将设备标记为不符合要求，从而拒绝该设备访问，从而使用此功能。在Citrix Virtual apps和desktop中使用SmartAccess策略来配置带有此功能的HDX应用程序，该策略拒绝访问不符合要求的设备。端点管理使用经过签名的加密标记将设备的状态通信给StoreFront。然后StoreFront根据应用程序的访问控制策略允许或拒绝访问。

要使用此功能，您的部署需要：

• Citrix虚拟应用和桌面
• Citrix Endpoint Management.
• 端点管理配置了用于签名和加密标记的SAML证书。在店面服务器上上传了没有私钥的相同证书。

要开始使用该特性:

• 将端点管理服务器证书配置为StoreFront Store
• 至少为一个Citrix Virtual Apps和desktop交付组配置SmartAccess策略
• 在端点管理中设置自动操作

SmartAccess到端点的HDX应用程序

使用此功能，您可以应用基于策略的访问控制来限制设备访问HDX应用程序。您可以将这些访问级别应用于HDX应用程序：

• 完全访问．设备可以访问安全中心商店提供的所有HDX应用程序。
• 禁止进入．设备可以访问一个或多个但不是所有HDX应用程序。
• 没有访问．设备无法访问任何HDX应用程序。

下图说明了访问控制是如何工作的。尝试在安全集线器中启动HDX应用程序会触发对交付控制器的请求。然后，交付控制器将请求转发到端点管理服务器进行验证。验证的结果决定了设备的访问级别。例如，如果设备越狱，则无法访问HDX应用程序。

导出和配置端点管理服务器证书并将其上传到StoreFront Store

SmartAccess使用签名和加密的标签在Endpoint Management和StoreFront服务器之间进行通信。要启用这种通信，需要将端点管理服务器证书添加到StoreFront存储中。

有关将店面和端点管理集成时的更多信息，请在终端管理与基于域和基于证书的身份验证启用时，请参阅支持知识中心．

从端点管理导出SAML证书

1. 在端点管理控制台中，单击右上角的齿轮图标。这设置页面出现。点击证书．

2. 找到端点管理服务器的SAML证书。

3. 确保导出私钥被设置为离开．点击出口将证书导出到下载目录。

4. 在下载目录中找到证书。证书的格式为PEM。

将PEM格式的证书转换为CER格式

1. 打开Microsoft Management Console (MMC)，右键单击证书>所有任务>导入．

2. 出现证书导入向导时，单击下一个．

3. 浏览到下载目录中的证书。

4. 选择将所有证书放入以下存储区并选择个人的作为证书存储。点击下一个．

5. 查看您的选择并单击结束．点击好的取消确认窗口。

6. 在MMC中，右键单击证书，然后选择所有任务>导出．

7. 当出现证书导出向导时，单击下一个．

8. 选择格式der编码二进制x.509（.cer）．点击下一个．

9. 浏览到证书。键入证书的名称，然后单击下一个．

10. 保存证书。

11. 浏览到证书并单击下一个．

12. 查看您的选择并单击结束．点击好的取消确认窗口。

13. 在下载目录中找到证书。请注意，证书处于Cer格式。

将证书复制到StoreFront服务器

1. 在StoreFront服务器上，创建一个名为SmartCert．

2. 将证书复制到SmartCert文件夹中。

在StoreFront存储上配置证书

在StoreFront Server上，运行此powershell命令在商店中配置转换后的端点管理服务器证书：

grant-stfstorepnasmartaccess -storeservice $ Store -CertificatePath“C：\ XMS \ XMS.CER”-ServerName“XMS Server”<！ -  CaltCopy  - >

如果StoreFront Store上有任何现有证书，请运行此powershell命令以撤消它们：

Revoke-stfstorepnasmartaccess -storeservice $ Store -All <！ -  CentCopy  - >

或者，您可以在StoreFront Server上运行这些PowerShell命令，以撤消StoreFront Store上的现有证书：

• 按名称撤消：

$store = Get-STFStoreService -VirtualPath /Citrix/ store revok - stfstorepnasmartaccess -StoreService $store -ServerName " My XM Server" 

• 缩写撤消：

$store = Get-STFStoreService -VirtualPath /Citrix/ store Revoke-STFStorePnaSmartAccess -StoreService $store -CertificateThumbprint "[Thumbprint] 

• 通过服务器对象撤销:

$store = Get-STFStoreService -VirtualPath /Citrix/ store $access = Get-STFStorePnaSmartAccess -StoreService $storeAccessConditionsTrusts [0] < !——NeedCopy >

配置Citrix虚拟应用和桌面的SmartAccess策略

要将所需的SmartAccess策略添加到提供HDX应用程序的传递组：

1. 从Citrix Cloud Console打开Citrix Studio。

2. 选择交付组在工作室导航窗格中。

3. 选择发送应用程序或希望控制访问的应用程序的组。然后选择编辑交付组在行动窗格。

4. 在访问政策页面，选择通过Citrix网关连接和连接符合下列任何一项．

5. 点击添加．

6. 添加访问策略农场是XM和过滤器是XMCompliantDevice．

7. 点击申请要应用您所做的任何更改，请打开窗口，或单击好的应用更改并关闭窗口。

在端点管理中设置自动操作

在HDX应用下发组中设置SmartAccess策略，当设备不符合要求时，拒绝该设备的访问。使用自动动作来标记设备不符合要求。

1. 从端点管理控制台中，单击配置>动作．这行动页面出现。

2. 点击添加添加一个动作。这行动信息页面出现。

3. 在行动信息页，键入操作的名称和描述。

4. 点击下一个．这行动细节页面出现。在以下示例中，创建一个触发器，即立即将设备标记为符合要求，如果它们具有用户属性名称eng5或者eng6．

5. 在里面扳机列表，选择设备属性那用户属性,或已安装的应用名称．SmartAccess不支持事件触发器。

6. 在里面行动列表：

   • 选择将设备标记为不合规．
   • 选择是．
   • 选择真的．
   • 若要设置在满足触发器条件时立即标记设备不符合要求的动作，请将时间范围设置为0.．

7. 选择要应用此操作的一个或多个端点管理交付组。

8. 回顾行动总结。

9. 点击下一个然后点击节省．

当设备被标记出不合规时，HDX应用程序不再出现在安全的集线器存储中。用户不再订阅应用程序。没有通知将发送到设备，安全的集线器存储中的任何内容都表示HDX应用程序以前可用。

如果您希望在设备被标记为不符合要求时通知用户，请创建一个通知，然后创建一个自动操作来发送该通知。

当设备被标记为不符合时，这个例子创建并发送这个通知:“设备序列号或电话号码不再符合设备策略，HDX应用程序将被阻止。”

创建通知用户看到设备何时标记为不合规时

1. 在端点管理控制台中，单击控制台右上角的齿轮图标。这设置页面出现。

2. 点击通知模板．这通知模板页面出现。

3. 点击添加要添加通知模板页。

4. 提示先设置SMS服务器时，请单击不，以后成立．

5. 配置这些设置：

   • 名称:HDX应用程序块
   • 描述：设备不合规时的代理通知
   • 类型：临时通知
   • 安全枢纽：激活
   • 信息：设备$ {firstnotnull（device.tel_number，device.serialnumber）}不再符合设备策略，HDX应用程序将被阻止。

6. 点击节省．

创建在设备被标记不合规时发送通知的操作

1. 从端点管理控制台中，单击配置>动作．这行动页面出现。

2. 点击添加添加一个动作。这行动信息页面出现。

3. 在行动信息页，输入操作的名称和描述:

   • 名称：HDX被阻止通知
   • 描述：HDX被阻止通知，因为设备不合规

4. 点击下一个．这行动细节页面出现。

5. 在里面扳机列表：

   • 选择设备属性．
   • 选择合规的．
   • 选择是．
   • 选择真的．

6. 在里面行动列表，指定满足触发器时发生的动作:

   • 选择发送通知
   • 选择HDX应用程序块，您创建的通知．
   • 选择0.．将此值设置为0会导致触发条件符合触发条件后立即发送通知。

7. 选择要应用此操作的一个或多个端点管理交付组。在本例中，选择的权限．

8. 回顾行动总结。

9. 点击下一个然后点击节省．

有关设置自动操作的更多信息，请参见自动操作．

用户如何重新访问HDX应用程序

用户可以在设备备份后再次访问HDX应用程序：

1. 在设备上，转到安全的中心商店以刷新商店中的应用程序。

2. 进入应用程序，点击添加到应用程序。

添加应用程序后，它会在我的应用中显示在它的蓝色点旁边，因为它是一个新安装的应用程序。