SmartAccess para aplicativos HDX

Esse recurso permite controlar o acesso a aplicativos HDX com base nas propriedades do dispositivo, nas propriedades do usuário de um dispositivo ou nos aplicativos instalados em um dispositivo. Use esse recurso definindo ações automatizadas para marcar o dispositivo como fora de conformidade, para negar acesso a esse dispositivo. Os aplicativos HDX usados com esse recurso são configurados nos aplicativos e áreas de trabalho virtuais usando uma política SmartAccess que nega acesso a dispositivos fora de conformidade. O XenMobile comunica o status do dispositivo ao StoreFront usando uma marca assinada e criptografada. Em seguida, o StoreFront permite ou nega o acesso com base na política de controle de acesso do aplicativo.

Para usar esse recurso, a implantação requer:

• Virtual Apps and Desktops 7.6
• StoreFront 3.7 ou 3.8
• XenMobile Server configurado para reunir aplicativos HDX a partir de um servidor StoreFront
• XenMobile Server configurado com um certificado SAML a ser usado para assinar e criptografar marcas. O mesmo certificado sem a chave privada é carregado no servidor StoreFront.

Para começar a usar este recurso:

• Configure o certificado do XenMobile Server para o repositório do StoreFront
• Configure pelo menos um grupo de entrega de aplicativos e áreas de trabalho virtuais com a política SmartAccess necessária
• Defina a ação automatizada no XenMobile

Exporte e configure o certificado do XenMobile Server e carregue-o no repositório do StoreFront

O SmartAccess usa marcas assinadas e criptografadas para se comunicar entre os servidores XenMobile e StoreFront. Para ativar essa comunicação, adicione o certificado do XenMobile Server ao repositório do StoreFront.

Para obter mais informações sobre como integrar o StoreFront e o XenMobile quando o XenMobile estiver ativado com autenticação baseada em domínio e em certificado, consulte oSupport Knowledge Center.

Exportar o certificado SAML do XenMobile Server

1. 没有控制台XenMobile,集团没有icone de engrenagem no canto superior direito. A páginaSettingsé exibida. Clique emCertificados.

2. Localize o certificado SAML do XenMobile Server.

   

3. Verifique se a opçãoExportar chave privadaestá definida comoO. Clique emExportarpara exportar o certificado para o diretório de download.

   

4. Localize o certificado no diretório de download. O certificado está no formato PEM.

   

Converter o certificado de PEM para CER

1. Abra o Console de Gerenciamento Microsoft (MMC) e clique com o botão direito do mouse emCertificados > Todas as tarefas > Importar.

   

2. Quando o assistente de importação de certificado for exibido, clique emAvançar.

   

3. Navegue até o certificado no diretório de download.

   

4. SelecioneColocar todos os certificados no repositório a seguire selecionePessoalcomo o repositório de certificados. Clique emNext.

   

5. Revise suas seleções e clique emConcluir. Clique emOKna janela de confirmação.

6. No MMC, clique com o botão direito do mouse no certificado e escolhaTodas as tarefas > Exportar.

   

7. Quando o assistente de exportação de certificado for exibido, clique emAvançar.

   

8. Escolha o formatox.509 binário codificado por DER (.CER). Clique emNext.

   

9. Procure o certificado. Digite um nome para o certificado e clique emAvançar.

   

10. Salve o certificado.

    

11. Procure o certificado e clique emAvançar.

    

12. Revise suas seleções e clique emConcluir. Clique emOKna janela de confirmação.

    

13. Localize o certificado no diretório de download. Observe que o certificado está no formato CER.

    

Copie o certificado para o Servidor StoreFront

1. No servidor StoreFront, crie uma pasta chamadaSmartCert.

2. Copie o certificado para a pastaSmartCert.

   

Configure o certificado no repositório do StoreFront

No servidor StoreFront, execute este comando do PowerShell para configurar o certificado do XenMobile Server convertido no repositório:

Grant-STFStorePnaSmartAccess –StoreService $store –CertificatePath “C:\xms\xms.cer” –ServerName “XMS server” 

Se houver algum certificado existente no repositório StoreFront, execute este comando do PowerShell para revogá-lo:

Revoke-STFStorePnaSmartAccess –StoreService $store –All 

Como alternativa, você pode executar qualquer um desses comandos do PowerShell no servidor StoreFront para revogar certificados existentes no repositório do StoreFront:

• Revogar por nome:

$store = Get-STFStoreService –VirtualPath /Citrix/Store Revoke-STFStorePnaSmartAccess –StoreService $store –ServerName “My XM Server" 

• Revogar por impressão digital:

$store = Get-STFStoreService –VirtualPath /Citrix/Store Revoke-STFStorePnaSmartAccess –StoreService $store –CertificateThumbprint “ReplaceWithThumbprint” 

• Revogar por objeto de servidor:

$store = Get-STFStoreService –VirtualPath /Citrix/Store $access = Get-STFStorePnaSmartAccess –StoreService $store Revoke-STFStorePnaSmartAccess –StoreService $store –SmartAccess $access.AccessConditionsTrusts[0] 

Configure a política SmartAccess para os aplicativos e áreas de trabalho virtuais

Para adicionar a política SmartAccess necessária ao grupo de entrega que fornecer o aplicativo HDX:

1. No servidor de aplicativos e áreas de trabalho virtuais, abra o Citrix Studio.

2. SelecioneDelivery Groupsno painel de navegação do Studio.

3. Selecione um grupo de entrega para o aplicativo ou os aplicativos aos quais você deseja controlar o acesso. Em seguida, selecioneEditar grupo de entregano painelAções.

4. Na páginaPolítica de acesso, selecioneConexões por meio do NetScaler GatewayeConexão que atende a qualquer um dos seguintes.

5. Clique emAdd.

6. Adicione uma política de acesso em queFarmsejaXMeFiltrosejaXMCompliantDevice.

   

7. Clique emApplypara aplicar as alterações feitas e manter a janela aberta, ou clique emOKpara aplicar as alterações e fechar a janela.

Definir ações automatizadas no XenMobile

A política SmartAccess que você define no grupo de entrega de um aplicativo HDX nega o acesso a um dispositivo quando esse dispositivo está fora de conformidade. Use ações automatizadas para marcar o dispositivo como fora de conformidade.

1. No console XenMobile, clique emConfigurar > Ações. A páginaAçõesé exibida.

2. Clique emAdicionarpara adicionar uma ação. A páginaInformações sobre a açãoé exibida.

3. Na páginaInformações sobre a ação, digite um nome e uma descrição para a ação.

4. Clique emNext. A páginaDetalhes da açãoé exibida. No exemplo a seguir, é criado um gatilho que marca imediatamente os dispositivos como fora de conformidade quando eles têm o nome de propriedade do usuárioeng5oueng6.

   

5. Na listaGatilho, escolhaPropriedade do dispositivo,Propriedade do usuárioouNome do aplicativo instalado. O SmartAccess não dá suporte a gatilhos de evento.

6. Na listaAção:

   • EscolhaMarcar o dispositivo como fora de conformidade.
   • EscolhaIs.
   • EscolhaTrue.
   • Para definir a ação de marcar o dispositivo como fora de conformidade imediatamente quando a condição de gatilho for atendida, defina o período de tempo como0.

7. Escolha o grupo ou os grupos de entrega do XenMobile aos quais aplicar essa ação.

8. Reveja o resumo da ação.

9. Clique emAvançare emSalvar.

Quando o dispositivo está marcado como fora de conformidade, os aplicativos HDX deixam de ser exibidos no repositório do Secure Hub. O usuário deixa de estar inscrito aos aplicativos. Nenhuma notificação é enviada ao dispositivo e nada no repositório do Secure Hub indica que os aplicativos HDX estavam disponíveis anteriormente.

Se quiser, os usuarios sejam notificados quandoum dispositivo estiver marcado como fora de conformidade, crie uma notificação e, em seguida, crie uma ação automatizada para enviar essa notificação.

Esse exemplo cria e envia essa notificação quando um dispositivo está marcado como fora de conformidade: “O número de série do dispositivo ou o número de telefone não está mais em conformidade com a política do dispositivo, e os aplicativos HDX serão bloqueados”.

Criar a notificação que os usuários veem quando um dispositivo está marcado como fora de conformidade

1. 没有控制台XenMobile,集团没有icone de engrenagem no canto superior direito do console. A páginaSettingsé exibida.

2. Clique emModelos de notificação. A páginaModelos de notificaçãoé exibida.

3. Clique emAdicionarpara acrescentar à páginaModelos de notificação.

4. Quando solicitado a configurar primeiro o servidor SMS, clique emNão, configurar mais tarde.

   

5. Defina estas configurações:

   • Nome:bloqueio de aplicativos HDX
   • Descrição:notificação do agente quando o dispositivo está fora de conformidade
   • Tipo:notificação Ad Hoc
   • Secure Hub: ativado
   • Mensagem:o dispositivo ${firstnotnull(device.TEL_NUMBER,device.serialNumber)} não está mais em conformidade com a política de dispositivo, e os aplicativos HDX serão bloqueados.

   

6. Clique emSalvar.

Crie a ação que envia a notificação quando um dispositivo está marcado como fora de conformidade

1. No console XenMobile, clique emConfigurar > Ações. A páginaAçõesé exibida.

2. Clique emAdicionarpara adicionar uma ação. A páginaInformações sobre a açãoé exibida.

3. Na páginaInformações sobre a ação, insira um nome e uma descrição para a ação:

   • Nome:notificação de HDX bloqueado
   • Descrição:notificação de HDX bloqueado porque o dispositivo está fora de conformidade

4. Clique emNext. A páginaDetalhes da açãoé exibida.

5. Na listaGatilho:

   • EscolhaPropriedade do dispositivo.
   • EscolhaFora de conformidade.
   • EscolhaIs.
   • EscolhaTrue.

   

6. Na listaAção, especifique as ações que ocorrem quando o gatilho é atendido:

   • EscolhaEnviar notificação
   • EscolhaBloco de aplicativos HDX, a notificação que você criou.
   • Escolha0. Definir esse valor como 0 faz com que a notificação seja enviada assim que a condição do gatilho é atendida.

7. Selecione o grupo ou os grupos de entrega do XenMobile aos quais aplicar essa ação. Neste exemplo, escolhaAllUsers.

8. Reveja o resumo da ação.

9. Clique emAvançare emSalvar.

Para obter mais informações sobre como definir ações automatizadas, consulteAções automatizadas.

Como os usuários recuperam o acesso a aplicativos HDX

Os usuários podem acessar aplicativos HDX novamente depois que o dispositivo é recolocado em conformidade:

1. No dispositivo, vá até a loja do Secure Hub para atualizar os aplicativos na loja.

2. Vá até o aplicativo e toque emAdicionarao aplicativo.

Depois que o aplicativo for adicionado, ele aparecerá em Meus aplicativos com um ponto azul ao lado, pois é um aplicativo recém-instalado.