Technischer Sicherheitsüberblick

Das folgende Diagramm zeigt die Komponenten einer Citrix DaaS Standard für Azure (ehemals Citrix Virtual Apps and Desktops Standard für Azure)-Bereitstellung. Dieses Beispiel verwendet eine VNet-Peering-Verbindung.

Mit Citrix DaaS für Azure werden die Virtual Delivery Agents (VDAs) des Kunden, die Desktops und Apps bereitstellen, sowie Citrix Cloud™ Connectors in einem Azure-Abonnement und -Mandanten bereitgestellt, die von Citrix verwaltet werden.

HINWEIS:

Dieser Artikel bietet einen Überblick über die Sicherheitsanforderungen für Kunden, die Citrix DaaS für Azure mithilfe eines von Citrix verwalteten Azure-Abonnements bereitstellen. Eine architektonische Übersicht über eine Bereitstellung von Citrix DaaS für Azure mithilfe eines vom Kunden verwalteten Azure-Abonnements, einschließlich Sicherheitsinformationen, finden Sie unter Referenzarchitektur: Virtual Apps and Desktops Service – Azure.

Verantwortlichkeiten von Citrix®

Azure-Abonnement und Azure Active Directory

Citrix ist für die Sicherheit des Azure-Abonnements und des Azure Active Directory (AAD) verantwortlich, die für den Kunden erstellt werden. Citrix gewährleistet die Mandantenisolation, sodass jeder Kunde sein eigenes Azure-Abonnement und AAD hat und Querverkehr zwischen verschiedenen Mandanten verhindert wird. Citrix beschränkt den Zugriff auf das AAD auch nur auf Citrix DaaS™ für Azure- und Citrix-Betriebspersonal. Der Zugriff von Citrix auf das Azure-Abonnement jedes Kunden wird überprüft.

Kunden, die nicht in die Domäne eingebundene Kataloge verwenden, können das von Citrix verwaltete AAD als Authentifizierungsmittel für Citrix Workspace nutzen. Für diese Kunden erstellt Citrix Benutzerkonten mit eingeschränkten Berechtigungen im von Citrix verwalteten AAD. Weder die Benutzer noch die Administratoren der Kunden können jedoch Aktionen im von Citrix verwalteten AAD ausführen. Wenn diese Kunden stattdessen ihr eigenes AAD verwenden möchten, sind sie vollständig für dessen Sicherheit verantwortlich.

Virtuelle Netzwerke und Infrastruktur

Innerhalb des von Citrix verwalteten Azure-Abonnements des Kunden erstellt Citrix virtuelle Netzwerke zur Isolierung von Ressourcenstandorten. Innerhalb dieser Netzwerke erstellt Citrix virtuelle Maschinen für die VDAs, Cloud Connectors und Image-Builder-Maschinen, zusätzlich zu Speicherkonten, Key Vaults und anderen Azure-Ressourcen. Citrix ist in Partnerschaft mit Microsoft für die Sicherheit der virtuellen Netzwerke verantwortlich, einschließlich der Firewalls für virtuelle Netzwerke.

Citrix stellt sicher, dass die Standard-Azure-Firewallrichtlinie (Netzwerksicherheitsgruppen) so konfiguriert ist, dass der Zugriff auf Netzwerkschnittstellen in VNet-Peering-Verbindungen beschränkt wird. Dies steuert im Allgemeinen den eingehenden Datenverkehr zu VDAs und Cloud Connectors. Weitere Informationen finden Sie unter:

• Firewallrichtlinie für Azure VNet-Peering-Verbindungen

Kunden können diese Standard-Firewallrichtlinie nicht ändern, können aber zusätzliche Firewallregeln auf von Citrix erstellten VDA-Maschinen bereitstellen; zum Beispiel, um den ausgehenden Datenverkehr teilweise einzuschränken. Kunden, die Clients für virtuelle private Netzwerke oder andere Software, die Firewallregeln umgehen kann, auf von Citrix erstellten VDA-Maschinen installieren, sind für alle daraus resultierenden Sicherheitsrisiken verantwortlich.

Bei der Verwendung des Image-Builders in Citrix DaaS für Azure zum Erstellen und Anpassen eines neuen Maschinen-Images wird Port 3389 temporär im von Citrix verwalteten VNet geöffnet, damit der Kunde per RDP auf die Maschine zugreifen kann, die das neue Maschinen-Image enthält, um es anzupassen.

Verantwortlichkeiten von Citrix bei der Verwendung von Azure VNet-Peering-Verbindungen

Damit VDAs in Citrix DaaS für Azure lokale Domänencontroller, Dateifreigaben oder andere Intranetressourcen kontaktieren können, bietet Citrix DaaS für Azure einen VNet-Peering-Workflow als Konnektivitätsoption. Das von Citrix verwaltete virtuelle Netzwerk des Kunden wird mit einem vom Kunden verwalteten Azure-VNet gepeert. Das vom Kunden verwaltete virtuelle Netzwerk kann die Konnektivität zu den lokalen Ressourcen des Kunden mithilfe der vom Kunden gewählten Cloud-zu-On-Premises-Konnektivitätslösung, wie Azure ExpressRoute oder IPsec-Tunnel, ermöglichen.

Die Verantwortung von Citrix für VNet-Peering beschränkt sich auf die Unterstützung des Workflows und der zugehörigen Azure-Ressourcenkonfiguration zur Herstellung einer Peering-Beziehung zwischen von Citrix und vom Kunden verwalteten VNets.

Firewallrichtlinie für Azure VNet-Peering-Verbindungen

Citrix öffnet oder schließt die folgenden Ports für eingehenden und ausgehenden Datenverkehr, der eine VNet-Peering-Verbindung verwendet.

Von Citrix verwaltetes VNet mit nicht in die Domäne eingebundenen Maschinen

• Eingehende Regeln
  • Alle eingehenden Verbindungen verweigern. Dies umfasst den Intra-VNet-Datenverkehr von VDA zu VDA.
• Ausgehende Regeln
  • Alle ausgehenden Verbindungen zulassen.

Von Citrix verwaltetes VNet mit in die Domäne eingebundenen Maschinen

• Eingehende Regeln:
  • Ports 80, 443, 1494 und 2598 eingehend von den VDAs zu den Cloud Connectors und von den Cloud Connectors zu den VDAs zulassen.
  • Ports 49152-65535 eingehend zu den VDAs von einem IP-Bereich zulassen, der von der Monitor-Shadowing-Funktion verwendet wird. Siehe Von Citrix-Technologien verwendete Kommunikationsports.
  • Alle anderen eingehenden Verbindungen verweigern. Dies umfasst den Intra-VNet-Datenverkehr von VDA zu VDA und VDA zu Cloud Connector.
• Ausgehende Regeln
  • Alle ausgehenden Verbindungen zulassen.

Vom Kunden verwaltetes VNet mit in die Domäne eingebundenen Maschinen

• Es liegt in der Verantwortung des Kunden, sein VNet korrekt zu konfigurieren. Dies beinhaltet das Öffnen der folgenden Ports für den Domänenbeitritt.
• Eingehende Regeln:
  • Eingehend auf 443, 1494, 2598 von ihren Client-IPs für interne Starts zulassen.
  • Eingehend auf 53, 88, 123, 135-139, 389, 445, 636 vom Citrix VNet (vom Kunden angegebener IP-Bereich) zulassen.
  • Eingehend auf Ports zulassen, die mit einer Proxy-Konfiguration geöffnet wurden.
  • Andere vom Kunden erstellte Regeln.
• Ausgehende Regeln:
  • Ausgehend auf 443, 1494, 2598 zum Citrix VNet (vom Kunden angegebener IP-Bereich) für interne Starts zulassen.
  • Andere vom Kunden erstellte Regeln.

Zugriff auf die Infrastruktur

Citrix kann auf die von Citrix verwaltete Infrastruktur des Kunden (Cloud Connectors) zugreifen, um bestimmte administrative Aufgaben wie das Sammeln von Protokollen (einschließlich Windows-Ereignisanzeige) und das Neustarten von Diensten ohne Benachrichtigung des Kunden durchzuführen. Citrix ist dafür verantwortlich, diese Aufgaben sicher und geschützt sowie mit minimalen Auswirkungen auf den Kunden auszuführen. Citrix ist auch dafür verantwortlich, sicherzustellen, dass alle Protokolldateien sicher und geschützt abgerufen, transportiert und verarbeitet werden. Auf Kunden-VDAs kann auf diese Weise nicht zugegriffen werden.

Backups für nicht in die Domäne eingebundene Kataloge

Citrix ist nicht für die Durchführung von Backups von nicht in die Domäne eingebundenen Katalogen verantwortlich.

Backups für Maschinen-Images

Citrix ist für das Backup aller in Citrix DaaS für Azure hochgeladenen Maschinen-Images verantwortlich, einschließlich der mit dem Image-Builder erstellten Images. Citrix verwendet für diese Images lokal redundanten Speicher.

Firewallrichtlinie bei Verwendung von Fehlerbehebungstools

Wenn ein Kunde die Erstellung einer Bastion-Maschine zur Fehlerbehebung anfordert, werden die folgenden Änderungen an der Sicherheitsgruppe des von Citrix verwalteten VNets vorgenommen:

• Temporär Port 3389 eingehend vom kundenspezifischen IP-Bereich zur Bastion zulassen.
• Temporär Port 3389 eingehend von der Bastion-IP-Adresse zu jeder Adresse im VNet (VDAs und Cloud Connectors) zulassen.
• RDP-Zugriff zwischen den Cloud Connectors, VDAs und anderen VDAs weiterhin blockieren.

Wenn ein Kunde den RDP-Zugriff zur Fehlerbehebung aktiviert, werden die folgenden Änderungen an der Sicherheitsgruppe des von Citrix verwalteten VNets vorgenommen:

• Temporär Port 3389 eingehend vom kundenspezifischen IP-Bereich zu jeder Adresse im VNet (VDAs und Cloud Connectors) zulassen.
• RDP-Zugriff zwischen den Cloud Connectors, VDAs und anderen VDAs weiterhin blockieren.

Vom Kunden verwaltete Abonnements

Für vom Kunden verwaltete Abonnements hält sich Citrix bei der Bereitstellung der Azure-Ressourcen an die oben genannten Verantwortlichkeiten. Nach der Bereitstellung fällt alles oben Genannte in die Verantwortung des Kunden, da der Kunde der Eigentümer des Azure-Abonnements ist.

Verantwortlichkeiten des Kunden

VDAs und Maschinen-Images

Der Kunde ist für alle Aspekte der auf VDA-Maschinen installierten Software verantwortlich, einschließlich:

• Betriebssystem-Updates und Sicherheitspatches
• Antivirus und Antimalware
• VDA-Software-Updates und Sicherheitspatches
• Zusätzliche Software-Firewallregeln (insbesondere für ausgehenden Datenverkehr)
• Beachten Sie die Sicherheitsüberlegungen und Best Practices von Citrix.

Citrix stellt ein vorbereitetes Image bereit, das als Ausgangspunkt dienen soll. Kunden können dieses Image für Proof-of-Concept- oder Demonstrationszwecke oder als Basis für die Erstellung eines eigenen Maschinen-Images verwenden. Citrix garantiert nicht die Sicherheit dieses vorbereiteten Images. Citrix wird versuchen, das Betriebssystem und die VDA-Software auf dem vorbereiteten Image auf dem neuesten Stand zu halten und Windows Defender auf diesen Images zu aktivieren.

Verantwortlichkeiten des Kunden bei der Verwendung von VNet-Peering

Der Kunde muss alle Ports öffnen, die unter Vom Kunden verwaltetes VNet mit in die Domäne eingebundenen Maschinen angegeben sind.

Wenn VNet-Peering konfiguriert ist, ist der Kunde für die Sicherheit seines eigenen virtuellen Netzwerks und dessen Konnektivität zu seinen lokalen Ressourcen verantwortlich. Der Kunde ist auch für die Sicherheit des eingehenden Datenverkehrs vom von Citrix verwalteten gepeerten virtuellen Netzwerk verantwortlich. Citrix unternimmt keine Maßnahmen, um den Datenverkehr vom von Citrix verwalteten virtuellen Netzwerk zu den lokalen Ressourcen des Kunden zu blockieren.

Kunden haben die folgenden Optionen zur Einschränkung des eingehenden Datenverkehrs:

• Weisen Sie dem von Citrix verwalteten virtuellen Netzwerk einen IP-Block zu, der an keiner anderen Stelle im lokalen Netzwerk des Kunden oder im vom Kunden verwalteten verbundenen virtuellen Netzwerk verwendet wird. Dies ist für VNet-Peering erforderlich.
• Fügen Sie Azure-Netzwerksicherheitsgruppen und Firewalls im virtuellen Netzwerk des Kunden und im lokalen Netzwerk hinzu, um den Datenverkehr vom von Citrix verwalteten IP-Block zu blockieren oder einzuschränken.
• Stellen Sie Maßnahmen wie Intrusion Prevention Systeme, Software-Firewalls und Verhaltensanalyse-Engines im virtuellen Netzwerk des Kunden und im lokalen Netzwerk bereit, die auf den von Citrix verwalteten IP-Block abzielen.

Proxy

Der Kunde kann wählen, ob er einen Proxy für den ausgehenden Datenverkehr vom VDA verwenden möchte. Wenn ein Proxy verwendet wird, ist der Kunde verantwortlich für:

• Konfigurieren der Proxy-Einstellungen auf dem VDA-Maschinen-Image oder, wenn der VDA in eine Domäne eingebunden ist, mithilfe der Active Directory-Gruppenrichtlinie.
• Wartung und Sicherheit des Proxys.

Proxys sind nicht zur Verwendung mit Citrix Cloud Connectors oder anderer von Citrix verwalteter Infrastruktur zugelassen.

Katalogresilienz

Citrix bietet drei Arten von Katalogen mit unterschiedlichen Resilienzniveaus:

• Statisch: Jeder Benutzer wird einem einzelnen VDA zugewiesen. Dieser Katalogtyp bietet keine Hochverfügbarkeit. Wenn der VDA eines Benutzers ausfällt, muss er auf einen neuen VDA umgestellt werden, um die Wiederherstellung zu ermöglichen. Azure bietet eine SLA von 99,5 % für Einzelinstanz-VMs mit Standard-SSDs. Der Kunde kann das Benutzerprofil weiterhin sichern, aber alle Anpassungen am VDA (wie die Installation von Programmen oder die Konfiguration von Windows) gehen verloren.
• Zufällig: Jeder Benutzer wird beim Start zufällig einem Server-VDA zugewiesen. Dieser Katalogtyp bietet Hochverfügbarkeit durch Redundanz. Wenn ein VDA ausfällt, gehen keine Informationen verloren, da das Benutzerprofil an einem anderen Ort gespeichert ist.
• Windows 10 Multisession: Dieser Katalogtyp funktioniert auf die gleiche Weise wie der zufällige Typ, verwendet jedoch Windows 10 Workstation-VDAs anstelle von Server-VDAs.

Backups für in die Domäne eingebundene Kataloge

Wenn der Kunde in die Domäne eingebundene Kataloge mit einem VNet-Peering verwendet, ist der Kunde für das Backup seiner Benutzerprofile verantwortlich. Citrix empfiehlt Kunden, lokale Dateifreigaben zu konfigurieren und Richtlinien in ihrem Active Directory oder auf ihren VDAs festzulegen, um Benutzerprofile von diesen Dateifreigaben abzurufen. Der Kunde ist für das Backup und die Verfügbarkeit dieser Dateifreigaben verantwortlich.

Notfallwiederherstellung

Im Falle eines Azure-Datenverlusts wird Citrix so viele Ressourcen wie möglich im von Citrix verwalteten Azure-Abonnement wiederherstellen. Citrix wird versuchen, die Cloud Connectors und VDAs wiederherzustellen. Wenn Citrix diese Elemente nicht erfolgreich wiederherstellen kann, sind die Kunden für die Erstellung eines neuen Katalogs verantwortlich. Citrix geht davon aus, dass Maschinen-Images gesichert sind und dass Kunden ihre Benutzerprofile gesichert haben, wodurch der Katalog neu aufgebaut werden kann.

Im Falle des Verlusts einer gesamten Azure-Region ist der Kunde für den Wiederaufbau seines vom Kunden verwalteten virtuellen Netzwerks in einer neuen Region und die Erstellung eines neuen VNet-Peerings innerhalb von Citrix DaaS für Azure verantwortlich.

Gemeinsame Verantwortlichkeiten von Citrix und Kunden

Citrix Cloud Connector™ für in die Domäne eingebundene Kataloge

Citrix DaaS für Azure stellt mindestens zwei Cloud Connectors an jedem Ressourcenstandort bereit. Einige Kataloge können einen Ressourcenstandort teilen, wenn sie sich in derselben Region, demselben VNet-Peering und derselben Domäne wie andere Kataloge für denselben Kunden befinden. Citrix konfiguriert die in die Domäne eingebundenen Cloud Connectors des Kunden mit den folgenden Standard-Sicherheitseinstellungen auf dem Image:

• Betriebssystem-Updates und Sicherheitspatches
• Antivirus-Software
• Cloud Connector-Software-Updates

Kunden haben normalerweise keinen Zugriff auf die Cloud Connectors. Sie können jedoch Zugriff durch die Verwendung von Schritten zur Katalog-Fehlerbehebung und Anmeldung mit Domänenanmeldeinformationen erhalten. Der Kunde ist verantwortlich für alle Änderungen, die er bei der Anmeldung über die Bastion vornimmt.

Kunden haben auch Kontrolle über die in die Domäne eingebundenen Cloud Connectors über die Active Directory-Gruppenrichtlinie. Der Kunde ist dafür verantwortlich, sicherzustellen, dass die Gruppenrichtlinien, die für den Cloud Connector gelten, sicher und sinnvoll sind. Wenn der Kunde beispielsweise Betriebssystem-Updates mithilfe der Gruppenrichtlinie deaktiviert, ist der Kunde für die Durchführung von Betriebssystem-Updates auf den Cloud Connectors verantwortlich. Der Kunde kann auch wählen, die Gruppenrichtlinie zu verwenden, um strengere Sicherheit als die Cloud Connector-Standardeinstellungen durchzusetzen, z. B. durch die Installation einer anderen Antivirus-Software. Im Allgemeinen empfiehlt Citrix, dass Kunden Cloud Connectors in eine eigene Active Directory-Organisationseinheit ohne Richtlinien platzieren, um sicherzustellen, dass die von Citrix verwendeten Standardeinstellungen problemlos angewendet werden können.

Fehlerbehebung

Wenn der Kunde Probleme mit dem Katalog in Citrix DaaS für Azure hat, gibt es zwei Optionen zur Fehlerbehebung: die Verwendung von Bastions und die Aktivierung des RDP-Zugriffs. Beide Optionen stellen ein Sicherheitsrisiko für den Kunden dar. Der Kunde muss dieses Risiko verstehen und der Übernahme zustimmen, bevor er diese Optionen nutzt.

Citrix ist für das Öffnen und Schließen der notwendigen Ports zur Durchführung von Fehlerbehebungsoperationen und die Einschränkung, auf welche Maschinen während dieser Operationen zugegriffen werden kann, verantwortlich.

Bei Bastions oder RDP-Zugriff ist der aktive Benutzer, der den Vorgang ausführt, für die Sicherheit der Maschinen verantwortlich, auf die zugegriffen wird. Wenn der Kunde über RDP auf den VDA oder Cloud Connector zugreift und versehentlich einen Virus einfängt, ist der Kunde verantwortlich. Wenn Citrix Support-Mitarbeiter auf diese Maschinen zugreifen, liegt es in der Verantwortung dieser Mitarbeiter, die Vorgänge sicher auszuführen. Die Verantwortung für alle Schwachstellen, die von Personen, die auf die Bastion oder andere Maschinen in der Bereitstellung zugreifen, aufgedeckt werden (z. B. Kundenverantwortung für das Hinzufügen von IP-Bereichen zur Positivliste, Citrix-Verantwortung für die korrekte Implementierung von IP-Bereichen), wird an anderer Stelle in diesem Dokument behandelt.

In beiden Szenarien ist Citrix für das korrekte Erstellen von Firewall-Ausnahmen verantwortlich, um RDP-Datenverkehr zuzulassen. Citrix ist auch für den Widerruf dieser Ausnahmen verantwortlich, nachdem der Kunde die Bastion entsorgt oder den RDP-Zugriff über Citrix DaaS für Azure beendet hat.

Bastions

Citrix kann Bastions im von Citrix verwalteten virtuellen Netzwerk des Kunden innerhalb des von Citrix verwalteten Abonnements des Kunden erstellen, um Probleme zu diagnostizieren und zu beheben, entweder proaktiv (ohne Kundenbenachrichtigung) oder als Reaktion auf ein vom Kunden gemeldetes Problem. Die Bastion ist eine Maschine, auf die der Kunde per RDP zugreifen und dann die VDAs und (für in die Domäne eingebundene Kataloge) Cloud Connectors per RDP nutzen kann, um Protokolle zu sammeln, Dienste neu zu starten oder andere administrative Aufgaben auszuführen. Standardmäßig öffnet die Erstellung einer Bastion eine externe Firewallregel, um RDP-Datenverkehr von einem vom Kunden angegebenen IP-Adressbereich zur Bastion-Maschine zuzulassen. Sie öffnet auch eine interne Firewallregel, um den Zugriff auf die Cloud Connectors und VDAs per RDP zuzulassen. Das Öffnen dieser Regeln stellt ein großes Sicherheitsrisiko dar.

Der Kunde ist für die Bereitstellung eines starken Passworts für das lokale Windows-Konto verantwortlich. Der Kunde ist auch für die Bereitstellung eines externen IP-Adressbereichs verantwortlich, der RDP-Zugriff auf die Bastion ermöglicht. Wenn der Kunde sich entscheidet, keinen IP-Bereich anzugeben (wodurch jeder versuchen kann, per RDP zuzugreifen), ist der Kunde für jeden Zugriff verantwortlich, der von bösartigen IP-Adressen versucht wird.

Der Kunde ist auch für das Löschen der Bastion nach Abschluss der Fehlerbehebung verantwortlich. Der Bastion-Host legt zusätzliche Angriffsfläche offen, daher schaltet Citrix die Maschine acht (8) Stunden nach dem Einschalten automatisch ab. Citrix löscht jedoch niemals automatisch eine Bastion. Wenn der Kunde die Bastion über einen längeren Zeitraum nutzen möchte, ist er für das Patchen und Aktualisieren verantwortlich. Citrix empfiehlt, eine Bastion nur für einige Tage zu verwenden, bevor sie gelöscht wird. Wenn der Kunde eine aktuelle Bastion wünscht, kann er seine aktuelle löschen und dann eine neue Bastion erstellen, die eine neue Maschine mit den neuesten Sicherheitspatches bereitstellt.

RDP-Zugriff

Für in die Domäne eingebundene Kataloge kann der Kunde, wenn das VNet-Peering des Kunden funktionsfähig ist, den RDP-Zugriff von seinem gepeerten VNet auf sein von Citrix verwaltetes VNet aktivieren. Wenn der Kunde diese Option verwendet, ist der Kunde für den Zugriff auf die VDAs und Cloud Connectors über das VNet-Peering verantwortlich. Quell-IP-Adressbereiche können angegeben werden, sodass der RDP-Zugriff weiter eingeschränkt werden kann, selbst innerhalb des internen Netzwerks des Kunden. Der Kunde muss Domänenanmeldeinformationen verwenden, um sich bei diesen Maschinen anzumelden. Wenn der Kunde mit dem Citrix Support zusammenarbeitet, um ein Problem zu lösen, muss der Kunde diese Anmeldeinformationen möglicherweise mit dem Support-Personal teilen. Nach Behebung des Problems ist der Kunde für die Deaktivierung des RDP-Zugriffs verantwortlich. Das Offenhalten des RDP-Zugriffs vom gepeerten oder lokalen Netzwerk des Kunden stellt ein Sicherheitsrisiko dar.

Domänenanmeldeinformationen

Wenn der Kunde sich für die Verwendung eines in die Domäne eingebundenen Katalogs entscheidet, ist der Kunde dafür verantwortlich, Citrix DaaS für Azure ein Domänenkonto (Benutzername und Passwort) mit Berechtigungen zum Beitritt von Maschinen zur Domäne bereitzustellen. Bei der Bereitstellung von Domänenanmeldeinformationen ist der Kunde für die Einhaltung der folgenden Sicherheitsprinzipien verantwortlich:

• Auditierbar: Das Konto sollte speziell für die Nutzung von Citrix DaaS für Azure erstellt werden, damit leicht nachvollziehbar ist, wofür das Konto verwendet wird.
• Eingeschränkt: Das Konto benötigt nur Berechtigungen zum Beitritt von Maschinen zu einer Domäne. Es sollte kein vollständiger Domänenadministrator sein.
• Sicher: Für das Konto sollte ein starkes Passwort festgelegt werden.

Citrix ist für die sichere Speicherung dieses Domänenkontos in einem Azure Key Vault im von Citrix verwalteten Azure-Abonnement des Kunden verantwortlich. Das Konto wird nur abgerufen, wenn ein Vorgang das Domänenkontopasswort erfordert.

Weitere Informationen

Verwandte Informationen finden Sie unter:

• Sicherheitsbereitstellungshandbuch für die Citrix Cloud-Plattform: Sicherheitsinformationen für die Citrix Cloud-Plattform.
• Technischer Sicherheitsüberblick: Sicherheitsinformationen für Citrix DaaS
• Benachrichtigungen von Drittanbietern