配置接入场景回退

SmartAccess允许Citrix网关根据端点分析扫描的结果自动确定用户设备允许的访问方法。如果用户设备未通过初始端点分析扫描，则通过允许用户设备通过Citrix Workspace应用程序返回到Web界面或店面，进一步扩展了这种功能。

要启用访问场景回退，您需要配置一个认证后策略，该策略决定用户在登录Citrix Gateway时是否接收替代访问方法。此认证后策略定义为客户端安全表达式，您可以全局配置或作为会话配置文件的一部分进行配置。如果配置会话配置文件，该配置文件将与会话策略相关联，然后将会话策略与用户、组或虚拟服务器绑定。当您启用访问场景回退时，Citrix Gateway在用户身份验证后启动端点分析扫描。对于不满足认证后回退扫描要求的用户设备，扫描结果如下:

• 如果启用了客户端选择，则用户只能使用Citrix Workspace app登录到Web界面或店面。
• 如果禁用无客户端访问和客户端选择，则可以将用户隔离到仅提供对Web界面或店面访问的组中。
• 如果在Citrix Gateway上启用了Web Interface或StoreFront功能，并禁用了ICA Proxy功能，则用户将恢复到无客户端访问。
• 如果未配置Web界面或店面，且无客户端访问设置为允许，则用户会退回到无客户端访问。

禁用无客户端访问时，必须为访问方案回退配置以下设置组合：

• 定义回退后身份验证扫描的客户端安全参数。
• 定义Web界面主页。
• 禁用客户端选择。
• 如果用户设备未通过客户端安全检查，则将用户放入隔离组，该隔离组仅允许访问Web界面或店面以及已发布的应用程序。

为访问场景回退创建策略

要为Access方案回退配置Citrix Gateway，您需要通过以下方式创建策略和组：

• 创建一个隔离组，如果端点分析扫描失败，将在其中放置用户。
• 创建端点分析扫描失败时使用的全局Web Interface或StoreFront设置。
• 创建覆盖全局设置的会话策略，然后将会话策略绑定到组。
• 创建在端点分析失败时应用的全局客户端安全策略。

配置Access方案回退时，请使用以下指南：

• 使用客户选择或访问方案回退需要所有用户的端点分析插件。如果端点分析无法运行或者用户在扫描过程中选择跳过扫描，则用户被拒绝访问。注意：跳过扫描的选项在Citrix Gateway 10.1中删除，Build 120.1316.e
• 启用客户端选择时，如果用户设备未通过端点分析扫描，则将用户放入隔离组。用户可以继续使用Citrix网关插件或Citrix Workspace应用程序登录到Web界面或店面。注意：如果启用客户端选择，Citrix建议您不要创建隔离组。以与通过端点分析扫描的用户设备相同的方式隔离未通过端点分析扫描的用户设备。
• 如果端点分析扫描失败并且用户被置于隔离组中，则何种绑定到隔离区组的策略才有效，只有没有直接绑定到具有比绑定策略相同或较低的优先级编号的策略到检疫组。
• 您可以为访问接口以及Web界面或店面使用不同的Web地址。配置主页时，Access Interface主页优先于Citrix Gateway插件，Web界面主页优先于Web界面用户。Citrix Workspace App主页优先于店面。

创建隔离组

1. 在配置实用程序的“配置”选项卡上的导航窗格中，展开Citrix Gateway >用户管理，然后单击AAA群体。
2. 在“详细信息”窗格中，单击添加。
3. 在里面团队名字，键入组的名称，然后单击创建，然后单击关闭。重要的：隔离区的名称不能与用户可能所属的任何域组的名称匹配。如果隔离区匹配Active Directory组名称，即使用户设备通过端点分析安全扫描，用户也会被隔离。

创建组后，如果用户设备失败终点分析扫描，则配置Citrix Gateway以返回到Web界面。

配置隔离用户连接的设置

1. 在“配置实用程序”中，在“配置”选项卡上，在“导航”窗格中，展开Citrix Gateway，然后单击全局设置。
2. 在“详细信息”窗格中的设置点击更改全局设置。
3. 在Citrix网关全局设置对话框，位于发布应用程序选项卡,ICA代理， 选择关。
4. 旁边网络接口地址，输入StoreFront或web界面的网址。
5. 旁边单点登录域，键入Active Directory域的名称，然后单击好吧。

配置全局设置后，创建覆盖全局ICA代理设置的会话策略，然后将会话策略绑定到隔离组。

为Access Scenario Fallback创建会话策略

1. 在配置实用程序的“配置”选项卡上的导航窗格中，展开Citrix网关>策略然后单击会话。
2. 在“详细信息”窗格中，单击添加。
3. 在里面姓名，键入策略的名称。
4. 旁边请求配置文件点击新。
5. 在这方面发布应用程序选项卡,ICA代理点击覆盖全球， 选择在，然后单击创建。
6. 在创建会话策略对话框，旁边命名表达式， 选择全体的， 选择真值点击添加表情点击创建，然后单击关闭。

创建会话策略后，将策略绑定到隔离区组。

将会话策略绑定到隔离组

1. 在配置实用程序的“配置”选项卡上的导航窗格中，展开Citrix Gateway >用户管理，然后单击AAA群体。
2. 在详细信息窗格中，选择一个组，然后单击打开。
3. 单击会话。
4. 在这方面政策选项卡，选择会话，然后单击插入政策。
5. 在下面政策名称，选择策略，然后单击好吧。

在创建会话策略和配置文件后，在Citrix Gateway上启用Web界面或Storefront，请创建全局客户端安全策略。

创建全局客户端安全策略

1. 在“配置实用程序”中，在“配置”选项卡上，在“导航”窗格中，展开Citrix Gateway，然后单击全局设置。
2. 在“详细信息”窗格中的设置点击更改全局设置。
3. 在这方面安全选项卡，单击高级设置。
4. 在里面客户端安全，输入表达式。有关配置系统表达式的更多信息，请参见配置系统表达式和配置复合客户端安全表达式
5. 在里面检疫组，选择组中配置的组，然后单击好吧。