Webcam Zugriff per Citrix Workspace?

[Wiko]

Hallo zusammen,
ein Kunde von mir wünscht, dass ich über Citrix Workspace per virtual desktop in seiner Office365 Welt arbeite.
Leider funktioniert in der MS Teams App innerhalb des virtuellen Desktops via Citrix weder Webcam noch Headset. Der Button für Webcam ist einfach ausgegraut und wenn ich auf Audiocall klicke, erscheint eine Meldung "Remote Verbindung wird noch aufgebaut".
Die Citrix Doku sagt, dass man in den Einstellungen des Workspaces zunächst Webcam und Audio einschalten muss, aber diesen Einstellungstab gibt es bei mir gar nicht.
Klingt also alles wie ein Rechteproblem mit dem Citrix Workspace Client, wobei selbst die Einstellmöglichkeit fehlt

Den Hinweis aus

Code: Alles auswählen

https://support.citrix.com/article/CTX282505/microphone-device-at-linux-endpoint-is-not-redirected-to-hdx-session
AllowAudioInput=True

habe ich bereits geprüft: die Einstellung war bereits so gesetzt.

Wer hat einen Tipp für mich?

[Wiko]

Mein aktueller Workaround ist es, mit Outlook aus/im Citrix zu arbeiten und im Falle eines Teams Calls die URL des Meetings im lokalen Flatpak Chrome zu öffnen. Das klappt zwar grundsätzlich aber hintergeht ja irgendwie die Idee des Kunden aus Datenschutzgründen in seiner Virtualisierung zu arbeiten. Und ich könnte mir vorstellen, dass dies irgendwann einmal von der Kunden-IT unterbunden wird. Es wäre schon gut, hier die aus Kundensicht "korrekte Lösung" zu ermöglichen.

[bitterlemon]

Hallo,

klingt für mich nach einem Rechteproblem. Die Workspace App scheint keine Berechtigung auf die Cam und Audio zu haben und die App könnte so smart sein, das sie die Einstellungen gar nicht anzeigt, wenn sie die Geräte nicht findet. Oder Citrix könnte zertifizierte Geräte voraussetzen und/oder spezielle Treibe, eventuell mit Signatur oder so. Oder aber es muss irgendwo sowas wie USB Passthrough aktiviert sein.

Aber: Ich kenne Citrix Workspace nicht, das ist nur ein Schuss in Blaue. Habe nur peripher damit zu tun, da ich mich mit Virtualisierung auseinander setze und Citrix Hypervisoren auch die libvirt benutzen. Aber vielleicht hilfts ja weiter als Denkanstoß.

[Wiko]

ja, so hatte ich mir das auch schon gedacht. Citrix Workspace legt bei der Installation einen weiteren Benutzer an ("citrixlog"), mit dem auch der ICA Client gestartet wird. Hier hatte ich schon versucht, diesen Benutzer in die entsprechenden Usergruppen video, v4l und audio zu setzen. Das hat das Problem aber nicht gelöst. Bin da für weitere Vorschläge offen

[Wiko]

Was mir aber gerade eben aufgefallen ist: der Citrix ICA Client / Workspace läuft unter Wayland deutlich besser als unter X. Während bei X der Wechsel des aktiven virtuellen Desktops noch zu einem versehentlichen Verschieben der ICA-Anwedungen auf einen anderen Desktop geführt hat, ist das mit Wayland nicht mehr der Fall. Außerdem habe ich das Gefühl, dass die Citrix Fenster insgesamt deutlich schneller laden und ansprechen mit Wayland.

[uname]

Mein aktueller Workaround ist es, mit Outlook aus/im Citrix zu arbeiten und im Falle eines Teams Calls die URL des Meetings im lokalen Flatpak Chrome zu öffnen. Das klappt zwar grundsätzlich aber hintergeht ja irgendwie die Idee des Kunden aus Datenschutzgründen in seiner Virtualisierung zu arbeiten

Vielleicht solltest du deinen Kunden fragen, ob das nicht doch ok ist. Der Umweg über die Virtualisierung wird nicht gerade die Performance verbessern und ist sinnfrei, da wohl z. B. auch der Zugriff per Smartphone-App nicht über die Firma läuft. Zudem erhälst du ja nur Zugriff, da du die Zugangsdaten vom Kunden (Outlook) erhälst. Sollte die Firma darin ein Sicherheitsrisiko sehen, sollte sie diese Art von Zugriff grundsätzlich für ihren Tenant bei Microsoft deaktivieren lassen, da nicht ausgeschlossen werden kann, dass Dritte versehentlich Teams-Meeting-Daten aus E-Mails erhalten und diese dann missbräuchlich verwenden. Aber wahrscheinlich nutzt die Firma auch andere Webanwendungen (mehr ist Teams auch nicht), die die Client-IP nicht überprüfen. Aber da ist dann wahrscheinlich alles egal.

[Bigby]

Das ist durchaus eine verbreitete Praxis Webanwendungen im PD, in einem geschützten Netz zu öffnen, um potenzielle Schäden durch Schadcode über Mail-Clients oder Browser zu minimieren. Zusätzlich läuft der Mail-Client auf mobilen Geräten wie Handys oder Tablets über (VPN-) Tunnel.

Der Hinweis auf die Leistung ist zweifellos relevant. Für Teams existiert eine spezielle, abgespeckte Version, die eigens für solche Umgebungen entwickelt wurde, um die Anwendung reibungslos nutzen zu können. Bzw, innerhalb der App können Admins Funktionen, wie z.B. das Blurren des Hintergrunds etc., deaktivieren.

Allerdings bin ich unsicher, wie genau die jeweiligen Teams es geschafft haben, die Audiofunktion in der Teams-App bereit zu stellen. Wird Teams im Browser geöffnet ist der Zugriff auf das Mic weiterhin geblockt.

[bitterlemon]

Mein aktueller Workaround ist es, mit Outlook aus/im Citrix zu arbeiten und im Falle eines Teams Calls die URL des Meetings im lokalen Flatpak Chrome zu öffnen. Das klappt zwar grundsätzlich aber hintergeht ja irgendwie die Idee des Kunden aus Datenschutzgründen in seiner Virtualisierung zu arbeiten

Vielleicht solltest du deinen Kunden fragen, ob das nicht doch ok ist. Der Umweg über die Virtualisierung wird nicht gerade die Performance verbessern und ist sinnfrei, da wohl z. B. auch der Zugriff per Smartphone-App nicht über die Firma läuft. Zudem erhälst du ja nur Zugriff, da du die Zugangsdaten vom Kunden (Outlook) erhälst. Sollte die Firma darin ein Sicherheitsrisiko sehen, sollte sie diese Art von Zugriff grundsätzlich für ihren Tenant bei Microsoft deaktivieren lassen, da nicht ausgeschlossen werden kann, dass Dritte versehentlich Teams-Meeting-Daten aus E-Mails erhalten und diese dann missbräuchlich verwenden. Aber wahrscheinlich nutzt die Firma auch andere Webanwendungen (mehr ist Teams auch nicht), die die Client-IP nicht überprüfen. Aber da ist dann wahrscheinlich alles egal.

Vorweg, ich bin kein Jurist und das ist keine rechtliche Beratung sondern nur meine persönliche Einschätzung aus Interesse am Thema.

Ich stimme uname in dem Rat bei, mit deinem Kunden Rücksprache zu halten.

Die Grundlegende Frage hier ist doch, was in der zu Grunde liegenden vertraglichen Vereinbarung (Leistungsverzeichnis, Definition des Werkes, Pflichten/Lastenheft, ect.) festgelegt worden ist und wie/ob man bei Mangel damit umgeht und wie man es verargumentiert. Ohne in der Fachlichen Materie ZÜTRICS zu stecken, scheint es technisch nicht möglich. Vielelicht solltest du am besten nochmal den Support direkt Kontaktieren, eventuell über den Kunden bzw. dessen Accountdaten oder im beisein, um die Behauptung durch den Hersteller der Software zu bestätigen oder eine Lösung für das Problem zu erfahren).

Das andere ist die DSGVO Konformität, die der Kunde gegenüber seinen Kunden und Geschäftspartnern hat und was ihn (deinen Kunden) zu einem Sicherheitskonzept nötigt. Wenn der Workaround gegen die Sicherheitsstrategie deines Kunden verstößt, könnte das später Wellen machen. Da du das ganze aber im Rahmen deiner Aufgabe und damit wahrscheinlich im Auftrag deines Kunden gemacht hast, dürfte das gedeckt sein. Es handelt sich ja allem anschein nach auch noch um ein Konzept und keine Praxis im Produktiveinsatz.
Ich würde an deiner Stelle mit dem Kunden Rücksprache halten und das Ergebnis festhalten. So ist jeder auf dem selben Kenntnisstand und im Falle des Falles auch jeder abgesichert: Wenn der Kunde zustimmt, bist du damit, meiner unbedeutenden und definitiv nicht-Fachlich fundierter Meinung nach, aus der gröbsten Haftung raus. Im Zweifel mal den Anwalt deines Vertrauens konsultieren, wenn man es wirklich quasi-sicher haben möchte.

[Wiko]

Erstmal danke für Eure Antworten.
Mein Problem ist hier, dass ich als sehr kleiner Fisch (ich bin als Selbstständiger über einen rein kaufmännisch handelnden Provider für den Endkunden tätig) hier keinerlei Gestaltungsspielraum habe. Ich kann den Auftrag nur machen oder nicht machen. Wobei "nicht machen" von diesem sehr großen Kunden schulterzuckend hingenommen werden würde. D.h.:
- die (Nicht-IT) Fachabteilung des Endkunden versteht überhaupt nicht, was mein Problem ist
- der Support meines Endkunden versteht mein Problem, zieht sich aber auf das Formale zurück: "Einen Citrix Workspace Client für Linux gibt es doch. Nehmen Sie den!". Für Linux als Host-OS des Citrix Clients wird aber kein Support übernommen.
- Eine vertragliche Anpassung oder auch nur die Bestätigung der Workaround-Vereinbarung ist für mich aufgrund der asymmetrischen Machtlage nicht durchsetzbar.
- De facto ist der Workaround mein Produktivbetrieb. Ich sehe aber auch, dass das kein Dauerzustand sein sollte.

So wie ich das sehe habe ich daher nur die Möglichkeiten, das Problem technisch zu lösen (Webcam im Línux-Citrix-Client) oder mittelfristig die Zusammenarbeit zu beenden.
Bin daher weiterhin offen für Eure technischen Vorschläge

[uname]

Die meisten unterliegen einfach dem Monopol und wechseln zu Windows. Toll, dass du es dir leisten kannst einen Kunden zu verlieren.

[sorcim]

Hallo,

ich hatte ähnliche Probleme mit dem Citrix Workspace. Bei mir hing es daran, dass ich nicht alle Abhängigkeiten installiert hatte. Seit ich das nachgeholt habe, funktioniert bei mir Teams.

Um welche Abhängigkeiten es sich handeln könnte, kannst du mit dem folgenden Befehl im Terminal herausfinden:

Code: Alles auswählen

/opt/Citrix/ICAClient/util/workspacecheck.sh