SmartAccess pour applications HDX

Cette fonctionnalité vous permet de contrôler l’accès aux applications HDX en fonction des propriétés d’un appareil, des propriétés utilisateur d’un appareil ou des applications installées sur un appareil. Pour utiliser cette fonctionnalité, vous définissez des actions automatisées pour marquer l’appareil comme non conforme pour refuser l’accès de cet appareil. Utilisées en conjonction avec cette fonctionnalité, les applications HDX sont configurées dans Virtual Apps and Desktops à l’aide d’une stratégie SmartAccess qui refuse l’accès aux appareils non conformes. XenMobile communique l’état de l’appareil à StoreFront à l’aide d’une balise signée et cryptée. Ensuite, StoreFront autorise ou refuse l’accès en fonction de la stratégie de contrôle d’accès de l’application.

Pour utiliser cette fonctionnalité, votre déploiement requiert :

• Virtual Apps and Desktops 7.6
• StoreFront 3.7 ou 3.8
• XenMobile Server configuré avec des applications HDX agrégées à partir d’un serveur StoreFront
• XenMobile服务器配置用联合国证书SAMLà utiliser pour la signature et le cryptage des balises. Le même certificat sans clé privée est chargé sur le serveur StoreFront.

Pour commencer à utiliser cette fonctionnalité :

• Configurer le certificat du serveur XenMobile pour le magasin StoreFront
• Configurer au moins un groupe de mise à disposition Virtual Apps and Desktops avec la stratégie SmartAccess requise
• Définir l’action automatisée dans XenMobile

Exporter et configurer le certificat du serveur XenMobile et le charger vers le magasin StoreFront

SmartAccess utilise des balises signées et cryptées pour communiquer entre les serveurs StoreFront et XenMobile. Pour activer cette communication, vous ajoutez le certificat du serveur XenMobile au magasin StoreFront.

倒+ d标签苏尔l 'integration de StoreFront et XenMobile lorsque XenMobile est activé avec l’authentification basée sur domaine et sur certificats, consultez leCentre de connaissances．

Exporter le certificat SAML à partir du serveur XenMobile

1. Dans la console XenMobile, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La pageParamètress’affiche. Cliquez surCertificats．

2. Localisez le certificat SAML pour le serveur XenMobile.

   

3. Assurez-vous queExporter clé privéeest défini surDésactivé．Cliquez surExporterpour exporter le certificat vers votre répertoire de téléchargement.

   

4. Localisez le certificat dans votre répertoire de téléchargement. Le certificat est au format PEM.

   

Convertir le certificat de PEM vers CER

1. Ouvrez la console Microsoft Management Console (MMC) et cliquez avec le bouton droit surCertificats > Toutes les tâches > Importer．

   

2. Lorsque l’Assistant Importation de certificat apparaît, cliquez surSuivant．

   

3. Accedez盟证书的repertoire de téléchargement.

   

4. SélectionnezPlacer tous les certificats dans le magasin suivantet sélectionnezPersonnelcomme magasin de certificats. Cliquez surSuivant．

   

5. Vérifiez vos sélections et cliquez surTerminer．Cliquez surOKdans la fenêtre de confirmation.

6. Dans la console MMC, cliquez avec le bouton droit de la souris sur le certificat et sélectionnezToutes les tâches > Exporter．

   

7. Lorsque l’Assistant Exportation de certificat apparaît, cliquez surSuivant．

   

8. Choisissez le formatX.509 binaire encodé DER (*.cer)．Cliquez surSuivant．

   

9. Localisez le certificat. Saisissez un nom pour le certificat et cliquez surSuivant．

   

10. Enregistrez le certificat.

    

11. Localisez le certificat et cliquez surSuivant．

    

12. Vérifiez vos sélections et cliquez surTerminer．Cliquez surOKdans la fenêtre de confirmation.

    

13. Localisez le certificat dans votre répertoire de téléchargement. Veuillez noter que le certificat est au format CER.

    

Copiez le certificat vers le serveur StoreFront

1. Sur le serveur StoreFront, créez un dossier appeléSmartCert．

2. Copiez le certificat dans le dossierSmartCert．

   

Configurer le certificat sur le magasin StoreFront

Sur le serveur StoreFront, exécutez cette commande PowerShell pour configurer le certificat du serveur XenMobile converti sur le magasin :

Grant-STFStorePnaSmartAccess –StoreService $store –CertificatePath “C:\xms\xms.cer” –ServerName “XMS server” 

S’il existe des certificats dans le magasin StoreFront, exécutez cette commande PowerShell pour les révoquer :

Revoke-STFStorePnaSmartAccess –StoreService $store –All 

Vous pouvez également exécuter l’une de ces commandes PowerShell sur le serveur StoreFront pour révoquer des certificats existants sur le magasin StoreFront :

• Révoquer par nom :

$存储= Get-STFStoreService -VirtualPath / Citrix /Store Revoke-STFStorePnaSmartAccess –StoreService $store –ServerName “My XM Server" 

• Révoquer par empreinte numérique :

$存储= Get-STFStoreService -VirtualPath / Citrix /Store Revoke-STFStorePnaSmartAccess –StoreService $store –CertificateThumbprint “ReplaceWithThumbprint” 

• Révoquer par objet serveur :

$存储= Get-STFStoreService -VirtualPath / Citrix /Store $access = Get-STFStorePnaSmartAccess –StoreService $store Revoke-STFStorePnaSmartAccess –StoreService $store –SmartAccess $access.AccessConditionsTrusts[0] 

Configurer la stratégie SmartAccess pour Virtual Apps and Desktops

Pour ajouter la stratégie SmartAccess requise au groupe de mise à disposition de l’application HDX :

1. Sur le serveur Virtual Apps and Desktops, ouvrez Citrix Studio.

2. SélectionnezGroupes de mise à dispositiondans le volet de navigation de Studio.

3. Sélectionnez un groupe mettant à disposition l’application ou les applications dont vous souhaitez contrôler l’accès. SélectionnezModifier le groupe de mise à dispositiondans le voletActions．

4. Dans la pageStratégie d’accès, sélectionnezConnexions transitant par NetScaler GatewayetConnexions remplissant l’un des critères de filtre suivants．

5. Cliquez surAjouter．

6. Ajoutez une stratégie d’accès dans laquelleBatterieestXMetFiltreestXMCompliantDevice．

   

7. Cliquez surAppliquerpour appliquer les modifications que vous avez apportées et garder la fenêtre ouverte, ou cliquez surOKpour appliquer les modifications et fermer la fenêtre.

Définir les actions automatisées dans XenMobile

选择策略SmartAccess你们definie丹s le groupe de mise à disposition pour une application HDX refuse l’accès à un appareil lorsque l’appareil n’est pas conforme. Utilisez des actions automatisées pour marquer l’appareil comme non conforme.

1. Dans la console XenMobile, cliquez surConfigurer > Actions．拉页Actionss’affiche.

2. Cliquez surAjouterpour ajouter une action. La pageInformations sur l’actions’affiche.

3. Sur la pageInformations sur l’action, entrez un nom et une description pour l’action.

4. Cliquez surSuivant．拉页sur lesDétails de l’actions’affiche. Dans l’exemple suivant, un déclencheur est créé qui marque immédiatement les appareils comme non conformes s’ils ont le nom de propriété utilisateureng5oueng6．

   

5. Dans la listeDéclencheur, sélectionnezPropriété de l’appareil,Propriété utilisateurouNom de l’application installée．SmartAccess ne prend pas en charge les déclencheurs d’événements.

6. Dans la listeAction:

   • ChoisissezMarquer l’appareil comme non conforme.
   • ChoisissezEst．
   • ChoisissezVrai．
   • Pour que l’action marque l’appareil comme non conforme dès que la condition de déclencheur est remplie, définissez le délai sur0．

7. Choisissez les groupes de mise à disposition XenMobile auxquels appliquer cette action.

8. Vérifiez le récapitulatif de l’action.

9. Cliquez surSuivant, puis cliquez surEnregistrer．

Lorsque l’appareil est marqué comme non conforme, les applications HDX ne s’affichent plus dans le magasin Secure Hub. L’utilisateur n’est plus abonné aux applications. Aucune notification n’est envoyée à l’appareil et rien dans le magasin Secure Hub n’indique que les applications HDX ont été disponibles.

Si vous souhaitez que les utilisateurs soient avertis lorsqu’un appareil est marqué comme non conforme, créez une notification, puis créez une action automatique pour envoyer cette notification.

Cet exemple crée et envoie cette notification lorsqu’un appareil est marqué comme non conforme : « L’appareil (numéro de série ou numéro de téléphone) n’est plus conforme avec la stratégie et les applications HDX vont être bloquées. »

Créer la notification que les utilisateurs voient lorsqu’un appareil est marqué comme non conforme

1. Dans la console XenMobile, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La pageParamètress’affiche.

2. Cliquez surModèles de notification．拉页Modèles de notifications’affiche.

3. Cliquez surAjouterpour ajouter un nouveau modèle de notification sur la pageModèles de notification．

4. Lorsque vous êtes invité à configurer le serveur SMS, cliquez surNon, configurer plus tard．

   

5. Pour configurer ces paramètres :

   • Nom :Blocage application HDX
   • Description :notification de l’agent lorsque l’appareil n’est pas conforme
   • Type :notification ad hoc
   • Secure Hub :Activé
   • Message :L’appareil ${firstnotnull(device.TEL_NUMBER,device.serialNumber)} n’est plus conforme avec la stratégie et les applications HDX vont être bloquées.

   

6. Cliquez surEnregistrer．

Créer l’action qui envoie la notification lorsqu’un appareil est marqué comme non conforme

1. Dans la console XenMobile, cliquez surConfigurer > Actions．拉页Actionss’affiche.

2. Cliquez surAjouterpour ajouter une action. La pageInformations sur l’actions’affiche.

3. Sur la pageInformations sur l’action, entrez un nom et une description pour l’action.

   • Nom :notification HDX bloquée
   • Description :notification HDX bloquée car l’appareil n’est pas conforme

4. Cliquez surSuivant．拉页sur lesDétails de l’actions’affiche.

5. Dans la listeDéclencheur:

   • ChoisissezPropriété de l’appareil．
   • ChoisissezNon conforme.
   • ChoisissezEst．
   • ChoisissezVrai．

   

6. Dans la listeAction, spécifiez les actions qui se produisent lorsque le critère du déclencheur est rencontré :

   • ChoisissezEnvoyer une notification．
   • ChoisissezL 'application HDX bloque la通知,钩镰枪s avez créée．
   • Choisissez0．Lorsque cette valeur est définie sur 0, la notification est envoyée dès que la condition du déclencheur est rencontrée.

7. Choisissez les groupes de mise à disposition XenMobile auxquels appliquer cette action. Dans cet exemple, choisissezAllUsers．

8. Vérifiez le récapitulatif de l’action.

9. Cliquez surSuivant, puis cliquez surEnregistrer．

Pour de plus amples informations sur la configuration d’actions automatiques, consultez la sectionActions automatisées．

Comment les utilisateurs peuvent rétablir l’accès aux applications HDX

Les utilisateurs peuvent de nouveau accéder aux applications HDX une fois que la conformité de l’appareil est rétablie :

1. Sur l’appareil, accédez au magasin Secure Hub pour actualiser les applications dans le magasin.

2. Accédez à l’application et touchezAjouterà l’application.

Une fois que l’application est ajoutée, elle s’affiche dans Mes applications avec un point bleu, car il s’agit d’une application nouvellement installée.