Citrix Endpoint Management

Endpoint Management

Citrix Endpoint Management ist eine Lösung zur einheitlichen Endpunktverwaltung (UEM), die alle Apps und Endpunkte in einer einzigen Ansicht anzeigt und damit die Sicherheit und Produktivität steigert. Einen Überblick über UEM finden Sie in der technischen Kurzbeschreibung Citrix Endpoint Management in der Citrix Tech Zone.

Endpoint Management bietet Mobile Device Management (MDM) und Mobile App Management (MAM).

Die MDM-Funktionen von Endpoint Management bieten folgende Möglichkeiten:

  • Bereitstellen von Geräterichtlinien und Apps
  • Abrufen von Bestandsverzeichnissen
  • Ausführen von Aktionen an Geräten, z. B. Löschen von Geräten

Die MAM-Funktionen von Endpoint Management bieten folgende Möglichkeiten:

  • Sichern von Apps und Daten auf BYO-Mobilgeräten
  • Bereitstellen mobiler Unternehmensapps
  • Sperren von Apps und Löschen ihrer Daten

Eine Kombination aus MDM- und MAM-Funktionen bietet folgende Möglichkeiten:

  • Verwalten eines vom Unternehmen bereitgestellten Geräts mithilfe von MDM
  • Bereitstellen von Geräterichtlinien und Apps
  • Abrufen eines Bestandsverzeichnisses
  • Löschen von Geräten
  • Bereitstellen mobiler Unternehmensapps
  • Sperren von Apps und Löschen der Daten auf Geräten

In der folgenden Tabelle werden die für MDM, MAM und MDM+MAM unterstützten Endpoint Management-Features aufgeführt.

Feature (nach Plattform) MDM (1) MAM (2) MDM+MAM
Android Enterprise:      
Unterstützung für die Geräteregistrierung Ja Ja Ja
Unterstützung für die Domänenauthentifizierung Ja Nein Ja
Unterstützung für die Authentifizierung mit Domäne und Sicherheitstoken Nein Nein Ja
Unterstützung für die Clientzertifikatauthentifizierung Nein Ja Ja
Unterstützung für die Clientzertifikatauthentifizierung plus Authentifizierung mit Domäne Nein Nein Ja
Unterstützung für die Clientzertifikatauthentifizierung und für die Authentifizierung mit Sicherheitstoken Nein Nein Ja
Unterstützung für Azure AD-Identitätsanbieter Ja Nein Ja
Unterstützung für Okta-Identitätsanbieter Ja Nein Ja
Single Sign-On bei nativen SaaS-Anwendungen Ja Nein Ja
Unterstützung von Citrix Netzwerk für die Inhaltsübermittlung für Unternehmensapp Ja Ja Ja
Unterstützung von Citrix Netzwerk für die Inhaltsübermittlung für MDX-App Ja Ja Ja
Unterstützung gemeinsam genutzter Geräte durch Provisioning dedizierter Android Enterprise-Geräte (COSU-Geräte) Ja Nein Ja
Android (Legacy):      
Unterstützung für die Geräteregistrierung Ja Ja Ja
Unterstützung für die Authentifizierung mit Domäne bzw. mit Domäne und Sicherheitstoken Nein Nein Ja
Unterstützung für die Clientzertifikatauthentifizierung Nein Ja Ja
Unterstützung für die Clientzertifikatauthentifizierung plus Authentifizierung mit Domäne Nein Nein Ja
Unterstützung für die Clientzertifikatauthentifizierung und für die Authentifizierung mit Sicherheitstoken Nein Nein Ja
Unterstützung für Azure AD und Citrix-Identitätsanbieter Ja Nein Ja
Unterstützung für Okta-Identitätsanbieter Ja Nein Ja
Single Sign-On bei nativen SaaS-Anwendungen Ja Nein Ja
Unterstützung von Citrix Netzwerk für die Inhaltsübermittlung für Unternehmensapp Ja Ja Ja
Unterstützung von Citrix Netzwerk für die Inhaltsübermittlung für MDX-App Ja Ja Ja
Chrome:      
Unterstützung für die Geräteregistrierung Ja Nein Ja
Unterstützung für Authentifizierung mit Benutzernamen und Kennwort Ja Nein Ja
iOS:      
Unterstützung für die Geräteregistrierung Ja Ja Ja
Unterstützung für die Authentifizierung mit Domäne bzw. mit Domäne und Sicherheitstoken Nein Nein Ja
Unterstützung für die Clientzertifikatauthentifizierung Nein Ja Ja
Unterstützung für die Clientzertifikatauthentifizierung plus Authentifizierung mit Domäne Nein Nein Ja
Unterstützung für Azure AD und Citrix-Identitätsanbieter Ja Nein Ja
Unterstützung für Okta-Identitätsanbieter Ja Nein Ja
Single Sign-On bei nativen SaaS-Anwendungen Ja Nein Ja
Unterstützung von Citrix Netzwerk für die Inhaltsübermittlung für Unternehmensapp Ja Ja Ja
Unterstützung von Citrix Netzwerk für die Inhaltsübermittlung für MDX-App Ja Ja Ja
Integration von Apple Bildung Ja Nein Ja
macOS:      
Unterstützung für die Geräteregistrierung Ja Nein Nein
Unterstützung für Domäne oder Domäne plus Einmalkennwort Ja Nein Nein
Unterstützung für Einladungs-URL + Einmalkennwort Ja Nein Nein
Windows      
Unterstützung für die Geräteregistrierung Ja Nein Nein
Automatische Registrierung von Windows 10-Geräten mit der Citrix Workspace App Ja Nein Nein
Unterstützung für die Authentifizierung mit Domäne bzw. mit Domäne und Sicherheitstoken Ja Nein Nein
Unterstützung für die Clientzertifikatauthentifizierung Ja Nein Nein
Unterstützung für die Clientzertifikatauthentifizierung plus Authentifizierung mit Domäne Ja Nein Nein
Verbundauthentifizierung über Azure AD oder Citrix-Identitätsanbieter Ja Nein Nein
Unterstützung von Citrix Netzwerk für die Inhaltsübermittlung für Unternehmensapp Ja Nein Nein
Integration von Workspace Environment Management (3) Ja Nein Nein

Hinweise:

(1) Die Bereitstellungsreihenfolge gilt nur für Geräte in einer Bereitstellungsgruppe mit einem für MDM konfigurierten Registrierungsprofil.

(2) Die MAM-Registrierung erfordert Citrix Gateway.

(3) Die Integration von Workspace Environment Management (WEM) ermöglicht den Zugriff auf MDM-Features auf vielfältigen Windows-Betriebssystemen.

Weitere Informationen finden Sie unter Verwaltungsmodi.

Architektur

Welche Endpoint Management-Komponenten Sie in der Endpoint Management-Architektur bereitstellen, hängt von den Anforderungen des Unternehmens an die Geräte- bzw. App-Verwaltung ab. Die Komponenten von Endpoint Management sind modular und bauen aufeinander auf. Ihre Bereitstellung enthält beispielsweise Citrix Gateway:

  • Citrix Gateway ermöglicht Benutzern Remotezugriff auf mobile Apps und überwacht Benutzergerätetypen.
  • In Endpoint Management können Sie diese Apps und Geräte verwalten.

Das folgende Diagramm zeigt eine allgemeine Übersicht über die Architektur einer Endpoint Management-Cloudbereitstellung und ihre Integration in das Datencenter:

Allgemeine Architektur

Die folgenden Unterabschnitte enthalten Referenzarchitekturdiagramme für:

  • Endpoint Management
  • Optionale Komponenten wie eine externe Zertifizierungsstelle und einen Endpoint Management-Connector für Exchange ActiveSync

Weitere Informationen zu den Anforderungen für Citrix ADC und Citrix Gateway finden Sie in der Citrix Produktdokumentation unter https://docs.citrix.com/.

Referenzarchitektur mit Kernstruktur

Weitere Informationen zu den Portanforderungen finden Sie unterSystemanforderungen.

Kernarchitektur

Referenzarchitektur mit Citrix Virtual Apps and Desktops

Architektur mit Citrix Virtual Apps and Desktops

Referenzarchitektur mit Endpoint Management Connector für Exchange ActiveSync

Architektur mit Endpoint Management Connector für Exchange ActiveSync

Referenzarchitektur mit Citrix Gateway Connector für Exchange ActiveSync

Architektur mit Citrix Gateway Connector für Exchange ActiveSync

Ressourcenstandorte

Platzieren Sie Ressourcenstandorte dort, wo sie die Unternehmensanforderungen am besten erfüllen. Beispielsweise in einer öffentlichen Cloud, einer Zweigstelle, einer privaten Cloud oder in einem Datencenter. Faktoren für die Standortwahl:

  • die Nähe zu Abonnenten
  • die Nähe zu Daten
  • Anforderungen an die Skalierbarkeit
  • Sicherheitsattribute

Sie können beliebig viele Ressourcenstandorte erstellen. Beispiel:

  • Sie erstellen einen Ressourcenstandort im Datencenter für den Firmenhauptsitz, basierend auf Abonnenten und Anwendungen, die in Datennähe sein müssen.
  • Sie fügen einen separaten Ressourcenstandort für die globalen Benutzer in einer öffentlichen Cloud hinzu. Alternativ können Sie separate Ressourcenstandorte in Geschäftsstellen erstellen, um die Anwendungen bereitzustellen, die in der Nähe der Filialmitarbeiter sein sollten.
  • Sie fügen einen weiteren Ressourcenstandort in einem anderen Netzwerk hinzu, der eingeschränkte Anwendungen bereitstellt. Dies schränkt die Sichtbarkeit für andere Ressourcen und Abonnenten ein, ohne die anderen Ressourcenstandorte anpassen zu müssen.

Cloud Connector

Citrix verwendet Cloud Connector, um die Endpoint Management-Architektur in Ihre vorhandene Infrastruktur zu integrieren. Der Cloud Connector authentifiziert und verschlüsselt die gesamte Kommunikation zwischen Citrix Cloud und Ihren Ressourcen. Cloud Connector unterstützt alle Endpoint Management-Authentifizierungstypen.

Das folgende Diagramm zeigt den Datenfluss für Cloud Connector.

Datenfluss im Cloud-Connector

Der Cloud Connector stellt Verbindungen zu Citrix Cloud her. Der Cloud Connector akzeptiert keine eingehenden Verbindungen.

Cloud Connector ist nur während der Geräteregistrierung unter Last. Weitere Informationen finden Sie unter Überlegungen zur Skalierung und Größe für Cloud Connectors.

Eine Lösung mit integrierter Mobilanwendungsverwaltung (MAM) benötigt ein Micro-VPN, das über ein on-premises Citrix Gateway bereitgestellt wird. Für dieses Szenario gilt:

  • Die folgenden Komponenten befinden sich in Ihrem Datencenter:
    • Cloud Connector
    • Citrix Gateway
    • Ihre Server für Exchange, Web-Apps, Active Directory und die PKI
  • Mobilgeräte kommunizieren mit Endpoint Management und Ihrem on-premises Citrix Gateway.

Endpoint Management-Komponenten

Endpoint Management-Konsole. Sie verwenden die Endpoint Management-Konsole zum Konfigurieren von Endpoint Management. Informationen zur Verwendung der Endpoint Management-Konsole finden Sie in den Artikeln unter Endpoint Management. Citrix benachrichtigt Sie, wenn die Artikel “Neue Features” für Endpoint Management bei Veröffentlichung eines neuen Releases aktualisiert werden.

Beachten Sie folgende Unterschiede zwischen Endpoint Management und on-premises Versionen:

  • Der Remotesupportclient ist für Endpoint Management nicht verfügbar.
  • Citrix unterstützt keine Syslog-Integration in Endpoint Management mit einem lokalen Syslog-Server. Sie können die Protokolle von der Seite Problembehandlung und Support in der Endpoint Management-Konsole herunterladen. Klicken Sie hierfür auf Alle herunterladen.

MAM-SDK oder MDX Service. Die MDX-Technologie erreicht das Ende des Lebenszyklus (EOL) im September 2021. Um die Verwaltung Ihrer Unternehmensanwendungen fortzusetzen, müssen Sie das MAM-SDK integrieren.

  • Das MAM-SDK (Mobile Application Management) bietet MDX-Funktionalität, die nicht von den iOS- und Android-Plattformen abgedeckt ist. Sie können iOS- oder Android-Apps MDX-fähig machen und sichern. Sie stellen diese Apps entweder in einem internen Store oder in öffentlichen App-Stores zur Verfügung. Siehe MDX App SDK.
  • Mit dem Endpoint Management MDX Service können Sie mobile Apps, die in und außerhalb des Unternehmens erstellt wurden, sicher umschließen. Weitere Informationen finden Sie unter MDX Service.

Mobile Produktivitätsapps. Die von Citrix entwickelten mobile Produktivitätsapps bieten innerhalb der Endpoint Management-Umgebung Produktivitäts- und Kommunikationstools. Ihre Unternehmensrichtlinien sichern diese Apps. Weitere Informationen finden Sie unter Mobile Produktivitätsapps.

Endpoint Management Connector für Exchange ActiveSync. Der Endpoint Management Connector für Exchange ActiveSync bietet Benutzern, die native mobile E-Mail-Apps verwenden, einen sicheren Zugriff auf ihre E-Mail. Der Connector für Exchange ActiveSync ermöglicht eine ActiveSync-Filterung auf der Exchange-Dienstebene. Das Resultat ist, dass die Filterung erst dann erfolgt, wenn die E-Mail den Exchange-Dienst erreicht, und nicht sobald sie in die Endpoint Management-Umgebung gelangt. Citrix Gateway ist für den Connector nicht erforderlich. Sie können den Connector ohne Änderungen am Routing des ActiveSync-Datenverkehrs bereitstellen. Weitere Informationen finden Sie unter Endpoint Management Connector für Exchange ActiveSync.

Citrix Gateway Connector für Exchange ActiveSync. Der Citrix Gateway Connector für Exchange ActiveSync bietet Benutzern, die native mobile E-Mail-Apps verwenden, einen sicheren Zugriff auf ihre E-Mail. Der Connector für Exchange ActiveSync bietet ActiveSync-Filterung am Umkreis. Die Filterung verwendet Citrix Gateway als Proxy für ActiveSync-Datenverkehr. Dies bedeutet, dass die Filterkomponente im Pfad des E-Mail-Datenverkehrs ist und E-Mails beim Erreichen oder Verlassen der Umgebung abfängt. Der Connector für Exchange ActiveSync fungiert als Vermittler zwischen Citrix Gateway und Endpoint Management. Weitere Informationen finden Sie unter Citrix Gateway Connector für Exchange ActiveSync.

Endpoint Management – Technische Sicherheit

Citrix Cloud verwaltet die Steuerungsebene für Endpoint Management-Umgebungen. Die Steuerungsebene umfasst den Endpoint Management-Server, den Citrix ADC-Load Balancer und eine Einmandanten-Datenbank. Der Cloudservice kann über Citrix Cloud Connector in ein Kunden-Datencenter integriert werden. Endpoint Management-Kunden, die Cloud Connector verwenden, verwalten Citrix Gateway normalerweise in ihren Datencentern.

Die folgende Abbildung zeigt den Service und seine Sicherheitsgrenzen.

Sicherheitsgrenzen

Die Informationen in diesem Abschnitt:

  • bieten eine Einführung in die Sicherheitsfunktionen von Citrix Cloud.
  • enthalten eine Erläuterung der Aufgabenverteilung für den Schutz der Citrix Cloud-Bereitstellung zwischen Citrix und Kunden.
  • sind keine Konfigurations- oder Verwaltungsanleitung für Citrix Cloud oder zugehörige Komponenten oder Services.

Informationen zur Technologie, die in Endpoint Management zur Bereitstellung umfassender End-to-End-Sicherheit verwendet wird, finden Sie im Citrix Whitepaper Citrix Endpoint Management Security Overview.

Datenfluss

Die Steuerungsebene hat einen eingeschränkten Lesezugriff auf Benutzer- und Gruppenobjekte. Diese Objekte befinden sich in Ihrem Verzeichnis, im DNS und in ähnlichen Diensten. Die Steuerungsebene greift auf diese Dienste über Citrix Cloud Connector und sichere HTTPS-Verbindungen zu.

Unternehmensdaten, etwa E-Mail-, Intranet- und Web-App-Datenverkehr, werden über Citrix Gateway direkt zwischen Gerät und Anwendungsservern übertragen. Citrix Gateway wird im Datencenter des Kunden bereitgestellt.

Datenisolierung

In der Steuerungsebene werden die zur Verwaltung von Benutzergeräten und mobilen Apps benötigten Metadaten gespeichert. Der Service selbst besteht aus einer Mischung aus Multimandanten- und Einmandanten-Komponenten. Die Kundenmetadaten werden jedoch gemäß der Servicearchitektur für jeden Mandanten separat gespeichert und mithilfe eindeutiger Anmeldeinformationen geschützt.

Handhabung von Anmeldeinformationen

Der Service verarbeitet die folgenden Arten von Anmeldeinformationen:

  • Benutzeranmeldeinformationen: Diese werden über eine HTTPS-Verbindung vom Gerät an die Steuerungsebene übertragen. Die Steuerungsebene prüft die Anmeldeinformationen über eine sichere Verbindung gegen ein Kundenverzeichnis.
  • Administratoranmeldeinformationen: Administratoren authentifizieren sich bei Citrix Cloud mit dem Anmeldesystem von Citrix Online. Dabei wird ein signiertes JSON Web Token (JWT) zur einmaligen Benutzung generiert, das dem Administrator Zugriff auf den Service gewährt.
  • Active Directory-Anmeldeinformationen: Die Steuerungsebene erfordert Binde-Anmeldeinformationen, um Benutzermetadaten aus Active Directory zu lesen. Die Anmeldeinformationen werden mit AES-256 verschlüsselt und in einer Mandantendatenbank gespeichert.

Überlegungen zur Bereitstellung

Beachten Sie die in der Dokumentation beschriebenen bewährten Methoden für die Bereitstellung von Citrix Gateway in Ihren Umgebungen.

Weitere Ressourcen

Weitere Informationen zur Sicherheit finden Sie in den folgenden Ressourcen:

Integration mit Mobile Threat Defense-Software

Mit Mobile Threat Defense (MTD)-Software können Sie weitreichende Cyberangriffe gegen mobile Geräte des Unternehmens erkennen, analysieren und leichter abwehren. Durch eine Kombination aus MTD und UEM (Unified Endpoint Management) erhöhen Sie Sicherheit und Transparenz in Ihrem Unternehmen.

Endpoint Management nutzt die Bedrohungsdaten der MTD-Software für Folgendes:

  • Schutz vor Malware, Phishing, Netzwerkangriffen und Man-in-the-Middle-Angriffen
  • Überprüfen der Richtlinientreue von Geräten
  • Bestimmen von Risikostufen
  • Schutz Ihrer Apps, Daten, Geräte und des mobilen Netzwerks durch richtlinienbasierte Aktionen

Citrix Endpoint Management kann mit folgenden MTD-Anbietern integriert werden:

Weitere Informationen oder eine Demoversion erhalten Sie von unseren MTD-Partnern oder Ihrem Citrix-Vertriebsmitarbeiter.

Endpoint Management