Endpoint Management

Endpoint Management bietet Mobile Device Management (MDM) und Mobile App Management (MAM).

Die MDM-Funktionen von Endpoint Management bieten folgende Möglichkeiten:

  • Bereitstellen von Geräterichtlinien und Apps
  • Abrufen von Bestandsverzeichnissen
  • Ausführen von Aktionen an Geräten, z. B. Löschen von Geräten

Die MAM-Funktionen von Endpoint Management bieten folgende Möglichkeiten:

  • Sichern von Apps und Daten auf BYO-Mobilgeräten
  • Bereitstellen mobiler Unternehmensapps
  • Sperren von Apps und Löschen ihrer Daten

Eine Kombination aus MDM- und MAM-Funktionen bietet folgende Möglichkeiten:

  • Verwalten eines vom Unternehmen bereitgestellten Geräts mithilfe von MDM
  • Bereitstellen von Geräterichtlinien und Apps
  • Abrufen eines Bestandsverzeichnisses
  • Löschen von Geräten
  • Bereitstellen mobiler Unternehmensapps
  • Sperren von Apps und Löschen der Daten auf Geräten

Architektur

Welche Endpoint Management-Komponenten Sie in der Endpoint Management-Architektur bereitstellen, hängt von den Anforderungen des Unternehmens an die Geräte- bzw. App-Verwaltung ab. Die Komponenten von Endpoint Management sind modular und bauen aufeinander auf. Ihre Bereitstellung enthält beispielsweise Citrix Gateway, um Benutzern Remotezugriff auf mobile Apps zu geben und um die Benutzergerätetypen zu überwachen. In Endpoint Management verwalten Sie Apps und Geräte. Citrix Gateway ermöglicht den Benutzern die Verbindung mit Ihrem Netzwerk.

Das folgende Diagramm zeigt eine allgemeine Übersicht über die Architektur einer Endpoint Management-Cloudbereitstellung und ihre Integration in das Datencenter:

Diagramm der allgemeinen Architektur

Die folgenden Unterabschnitte enthalten Referenzarchitekturdiagramme zur Kernstruktur von Endpoint Management und zu optionalen Komponenten wie einer externen Zertifizierungsstelle und Endpoint Management Connector für Exchange ActiveSync.

Weitere Informationen zu den Anforderungen für Citrix ADC und Citrix Gateway finden Sie in der Citrix Produktdokumentation unter docs.citrix.com.

Referenzarchitektur mit Kernstruktur

Weitere Informationen zu den Portanforderungen finden Sie unterSystemanforderungen.

Diagramm der Kernarchitektur

Referenzarchitektur mit Citrix Virtual Apps and Desktops

Diagramm der Architektur mit Citrix Virtual Apps und Desktops

Referenzarchitektur mit Endpoint Management Connector für Exchange ActiveSync

Diagramm der Architektur mit Endpoint Management Connector für Exchange ActiveSync

Referenzarchitektur mit Citrix Gateway Connector für Exchange ActiveSync

Diagramm der Architektur mit Citrix Gateway Connector für Exchange ActiveSync

Ressourcenstandorte

Platzieren Sie Ressourcenstandorte dort, wo sie die Unternehmensanforderungen am besten erfüllen. Beispielsweise in einer öffentlichen Cloud, einer Zweigstelle, einer privaten Cloud oder in einem Datencenter. Faktoren für die Standortwahl:

  • Die Nähe zu Abonnenten
  • die Nähe zu Daten
  • Anforderungen an die Skalierbarkeit
  • Sicherheitsattribute

Sie können beliebig viele Ressourcenstandorte erstellen. Beispiel:

  • Sie erstellen einen Ressourcenstandort im Datencenter für den Firmenhauptsitz, basierend auf Abonnenten und Anwendungen, die in Datennähe sein müssen.
  • Sie fügen einen separaten Ressourcenstandort für die globalen Benutzer in einer öffentlichen Cloud hinzu. Alternativ können Sie separate Ressourcenstandorte in Geschäftsstellen erstellen, um die Anwendungen bereitzustellen, die in der Nähe der Fililalmitarbeiter sein sollten.
  • Sie fügen einen weiteren Ressourcenstandort in einem anderen Netzwerk hinzu, der eingeschränkte Anwendungen bereitstellt. Dies schränkt die Sichtbarkeit für andere Ressourcen und Abonnenten ein, ohne die anderen Ressourcenstandorte anpassen zu müssen.

Cloudconnector

Citrix verwendet Cloud Connector, um die Endpoint Management-Architektur in Ihre vorhandene Infrastruktur zu integrieren. Der Cloud Connector authentifiziert und verschlüsselt die gesamte Kommunikation zwischen Citrix Cloud und Ihren Ressourcen. Cloud Connector unterstützt alle Endpoint Management-Authentifizierungstypen.

Das folgende Diagramm zeigt den Datenfluss für Cloud Connector.

Diagramm des Cloud Connector-Verkehrsflusses

Der Cloud Connector stellt Verbindungen zu Citrix Cloud her. Der Cloud Connector akzeptiert keine eingehenden Verbindungen.

Eine Lösung mit integrierter Mobilanwendungsverwaltung (MAM) benötigt ein Micro-VPN, das über ein on-premises Citrix Gateway bereitgestellt wird. Cloud Connector, Citrix Gateway und Ihre Server für Exchange, Web-Apps, Active Directory und PKI sind in Ihrem Datencenter. Mobilgeräte kommunizieren mit Endpoint Management und Ihrem on-premises Citrix Gateway.

Endpoint Management-Komponenten

Endpoint Management-Konsole. Sie verwenden die Endpoint Management-Konsole zum Konfigurieren von Endpoint Management. Informationen zur Verwendung der Endpoint Management-Konsole finden Sie in den Artikeln unter Endpoint Management. Citrix benachrichtigt Sie, wenn die Artikel “Neue Features” für Endpoint Management bei Veröffentlichung eines neuen Releases aktualisiert werden.

Beachten Sie folgende Unterschiede zwischen Endpoint Management und on-premises Versionen:

  • Der Remotesupportclient ist für Endpoint Management nicht verfügbar.
  • Die serverseitigen Komponenten von Endpoint Management sind nicht FIPS 140-2-konform.
  • Citrix unterstützt keine Syslog-Integration in Endpoint Management mit einem lokalen Syslog-Server. Sie können die Protokolle von der Supportseite in der Endpoint Management-Konsole herunterladen. Klicken Sie hierfür auf Alle herunterladen.

MDX Service. Mit dem Endpoint Management MDX Service können Sie mobile Apps, die in und außerhalb des Unternehmens erstellt wurden, sicher umschließen. Weitere Informationen finden Sie unter MDX Service.

Mobile Produktivitätsapps. Die von Citrix entwickelten mobile Produktivitätsapps bieten innerhalb der Endpoint Management-Umgebung Produktivitäts- und Kommunikationstools. Ihre Unternehmensrichtlinien sichern diese Apps. Weitere Informationen finden Sie unter Mobile Produktivitätsapps.

Endpoint Management Connector für Exchange ActiveSync. Der Endpoint Management Connector für Exchange ActiveSync bietet Benutzern, die native mobile E-Mail-Apps verwenden, einen sicheren Zugriff auf ihre E-Mail. Der Connector für Exchange ActiveSync ermöglicht eine ActiveSync-Filterung auf der Exchange-Dienstebene. Das Resultat ist, dass die Filterung erst dann erfolgt, wenn die E-Mail den Exchange-Dienst erreicht, und nicht sobald sie in die Endpoint Management-Umgebung gelangt. Citrix Gateway ist für den Connector nicht erforderlich. Sie können den Connector ohne Änderungen am Routing des ActiveSync-Datenverkehrs bereitstellen. Weitere Informationen finden Sie unter Endpoint Management Connector für Exchange ActiveSync.

Citrix Gateway Connector für Exchange ActiveSync. Der Citrix Gateway Connector für Exchange ActiveSync bietet Benutzern, die native mobile E-Mail-Apps verwenden, einen sicheren Zugriff auf ihre E-Mail. Der Connector für Exchange ActiveSync ermöglicht eine ActiveSync-Filterung im Umkreis, wobei Citrix Gateway als Proxy für den ActiveSync-Datenverkehr agiert. Dies bedeutet, dass die Filterkomponente im Pfad des E-Mail-Datenverkehrs ist und E-Mails beim Erreichen oder Verlassen der Umgebung abfängt. Der Connector für Exchange ActiveSync fungiert als Vermittler zwischen Citrix Gateway und dem Endpoint Management-Server. Weitere Informationen finden Sie unter Citrix Gateway Connector für Exchange ActiveSync.

Endpoint Management – Technische Sicherheit

Citrix Cloud verwaltet die Steuerungsebene von Endpoint Management-Umgebungen, einschließlich Endpoint Management-Server, Citrix ADC-Load Balancer und einer Einmandanten-Datenbank. Der Cloudservice kann über Citrix Cloud Connector in ein Kunden-Datencenter integriert werden. Endpoint Management-Kunden, die Cloud Connector verwenden, verwalten Citrix Gateway normalerweise in ihren Datencentern.

Die folgende Abbildung zeigt den Service und seine Sicherheitsgrenzen.

Diagramm der Sicherheitsgrenzen

Die Informationen in diesem Abschnitt:

  • Eine Einführung in die Sicherheitsfunktionen von Citrix Cloud.
  • enthalten eine Erläuterung der Aufgabenverteilung für den Schutz der Citrix Cloud-Bereitstellung zwischen Citrix und Kunden.
  • sind keine Konfigurations- oder Verwaltungsanleitung für Citrix Cloud oder eine der zugehörigen Komponenten oder Services.

Datenfluss

Die Steuerungsebene hat einen eingeschränkten Lesezugriff auf Benutzer- und Gruppenobjekte eines Kundenverzeichnisses und anderer Dienste wie etwa DNS. Die Steuerungsebene greift auf diese Dienste über Citrix Cloud Connector und sichere HTTPS-Verbindungen zu.

Unternehmensdaten, etwa E-Mail-, Intranet- und Web-App-Datenverkehr, werden über Citrix Gateway direkt zwischen Gerät und Anwendungsservern übertragen. Citrix Gateway wird im Datencenter des Kunden bereitgestellt.

Datenisolierung

In der Steuerungsebene werden die zur Verwaltung von Benutzergeräten und mobilen Apps benötigten Metadaten gespeichert. Der Service selbst besteht aus einer Mischung aus Multimandanten- und Einmandanten-Komponenten. Die Kundenmetadaten werden jedoch gemäß der Servicearchitektur für jeden Mandanten separat gespeichert und mithilfe eindeutiger Anmeldeinformationen geschützt.

Handhabung von Anmeldeinformationen

Der Service verarbeitet die folgenden Arten von Anmeldeinformationen:

  • Benutzeranmeldeinformationen: Diese werden über eine HTTPS-Verbindung vom Gerät an die Steuerungsebene übertragen. Die Steuerungsebene prüft die Anmeldeinformationen über eine sichere Verbindung gegen ein Kundenverzeichnis.
  • Administratoranmeldeinformationen: Administratoren authentifizieren sich über Citrix Cloud mit dem Anmeldesystem von Citrix Online. Dabei wird ein signiertes JSON Web Token (JWT) zur einmaligen Benutzung generiert, das dem Administrator Zugriff auf den Service gewährt.
  • Active Directory-Anmeldeinformationen: Die Steuerungsebene erfordert Binde-Anmeldeinformationen, um Benutzermetadaten aus Active Directory zu lesen. Die Anmeldeinformationen werden mit AES-256 verschlüsselt und in einer Mandantendatenbank gespeichert.

Überlegungen zur Bereitstellung

Beachten Sie die in der Dokumentation beschriebenen bewährten Methoden für die Bereitstellung von Citrix Gateway in Ihren Umgebungen.

Weitere Ressourcen

Weitere Informationen zur Sicherheit finden Sie in den folgenden Ressourcen: