Authentifizierung
In einer Endpoint Management-Bereitstellung sind bei der Konfiguration der Authentifizierung verschiedene Faktoren zu berücksichtigen. In diesem Abschnitt werden diverse Faktoren beschrieben, die sich auf die Authentifizierung auswirken:
- Die wichtigsten MDX-Richtlinien, Endpoint Management-Clienteigenschaften und Citrix Gateway-Einstellungen, die mit der Authentifizierung verbunden sind.
- Die Interaktion dieser Richtlinien, Clienteigenschaften und Einstellungen miteinander.
- Die Vor- und Nachteile jeder Auswahl.
Der Artikel enthält auch drei empfohlene Konfigurationsbeispiele, mit denen die Sicherheit erhöht werden kann.
Im Allgemeinen geht eine verstärkte Sicherheit zu Lasten der Benutzererfahrung, da Benutzer sich häufiger authentifizieren müssen. Wie Sie hier einen Ausgleich schaffen, hängt ab von den Anforderungen und Prioritäten Ihrer Organisation. Sehen Sie sich die drei empfohlenen Konfigurationen an, um das Zusammenspiel der verschiedenen Authentifizierungsoptionen zu verstehen.
Authentifizierungsmodi
Onlineauthentifizierung: Ermöglicht Benutzern den Zugriff auf das Endpoint Management-Netzwerk. Eine Internetverbindung ist hierfür erforderlich.
Offlineauthentifizierung: wird auf dem Gerät ausgeführt. Benutzer entsperren den Tresor und erhalten Offlinezugriff auf heruntergeladene E-Mails, zwischengespeicherte Websites, Notizen und andere Elemente.
Methoden der Authentifizierung
Einstufig
LDAP: Sie können in Endpoint Management eine Verbindung mit einem oder mehreren LDAP-kompatiblen Verzeichnissen herstellen. Dies ist eine häufig verwendete Methode, um in Unternehmensumgebungen einen Single Sign-On (SSO) mit einmaliger Anmeldung bereitzustellen. Um die Benutzererfahrung zu optimieren, können Sie die Citrix-PIN mit Active Directory-Kennwortzwischenspeicherung verwenden. Gleichzeitig können Sie durch komplexe Kennwörter bei Registrierung, Kennwortablauf und Kontosperrung die Sicherheit gewährleisten.
Weitere Details finden Sie unter Authentifizierung mit Domäne bzw. mit Domäne und Sicherheitstoken.
Clientzertifikat: Endpoint Management ermöglicht die Integration mit branchenüblichen Zertifizierungsstellen zur Verwendung von Zertifikaten als einzige Methode für eine Online-Authentifizierung. Endpoint Management bietet dieses Zertifikat nach der Benutzerregistrierung, wofür entweder ein Einmalkennwort, eine Einladungs-URL oder die LDAP-Anmeldeinformationen erforderlich sind. Bei Verwendung eines Clientzertifikats als primäre Authentifizierungsmethode ist in Umgebungen, die nur ein Clientzertifikat verwenden, eine Citrix-PIN erforderlich, um die Sicherheit des Gerätezertifikats zu gewährleisten.
Endpoint Management unterstützt Zertifikatsperrlisten (CRL) nur für Drittanbieterzertifizierungsstellen. Wenn Sie eine Microsoft-Zertifizierungsstelle konfiguriert haben, wird in Endpoint Management zum Verwalten der Zertifikatsperre Citrix Gateway verwendet. Bedenken Sie beim Konfigurieren der Clientzertifikatauthentifizierung, ob Sie die Citrix Gateway-Einstellung für Zertifikatsperrlisten (CRL) Enable CRL Auto Refresh konfigurieren müssen. Dadurch wird sichergestellt, dass Benutzer von nur in MAM registrierten Geräten sich nicht mit einem existierenden Zertifikat auf dem Gerät authentifizieren können. Endpoint Management stellt ein neues Zertifikat aus, da es Benutzer nicht daran hindert, ein Benutzerzertifikat zu generieren, falls eines gesperrt wurde. Diese Einstellung erhöht die Sicherheit von PKI-Entitäten, wenn über die Zertifikatsperrliste auf abgelaufene PKI-Entitäten geprüft wird.
Bereitstellungsdiagramme für eine zertifikatbasierte Authentifizierung oder die Ausstellung von Gerätezertifikaten über die Zertifizierungsstelle (ZS) Ihres Unternehmens finden Sie unter Architektur.
Zweistufige Authentifizierung
LDAP + Clientzertifikat: Diese Konfiguration bietet die beste Kombination aus Sicherheit und Benutzererfahrung für Endpoint Management. Eine Authentifizierung mit LDAP und Clientzertifikat bietet folgende Vorteile:
- Beste Möglichkeiten für Single Sign-On, und hohe Sicherheit durch zweistufige Authentifizierung bei Citrix Gateway.
- Sicherheit wird durch etwas, das Benutzer wissen (ihr Active Directory-Kennwort) und etwas, das sie haben (Clientzertifikate auf ihrem Gerät) gewährleistet.
Secure Mail bietet mit der Clientzertifikatauthentifizierung eine automatische Konfiguration und intuitive Benutzererfahrung für Erstbenutzer. Für dieses Feature ist eine Umgebung mit ordnungsgemäß konfiguriertem Exchange-Clientzugriffsserver erforderlich.
Die optimale Benutzerfreundlichkeit erreichen Sie, wenn Sie die Authentifizierung per LDAP und Clientzertifikat mit der Citrix-PIN und Active Directory-Kennwortzwischenspeicherung kombinieren.
LDAP + Token: Diese Konfiguration ermöglicht die Standardkonfiguration mit LDAP-Anmeldeinformationen und einem Einmalkennwort unter Verwendung des RADIUS-Protokolls. Die optimale Benutzerfreundlichkeit erreichen Sie, wenn Sie diese Option mit der Citrix-PIN und der Active Directory-Kennwortzwischenspeicherung kombinieren.
Wichtige Richtlinien, Einstellungen und Clienteigenschaften für die Authentifizierung
Die folgenden Richtlinien, Einstellungen und Clienteigenschaften sind für die folgenden drei empfohlenen Konfigurationen von Bedeutung:
MDX-Richtlinien
App-Passcode: Bei der Einstellung Ein ist nach einem bestimmten Zeitraum der Inaktivität zum Starten bzw. Fortsetzen der App eine Citrix-PIN oder ein Passcode erforderlich. Die Standardeinstellung ist Ein.
Sie konfigurieren den Inaktivitätstimer für alle Apps, indem Sie in der Endpoint Management-Konsole auf der Registerkarte Einstellungen unter Clienteigenschaften den Wert INACTIVITY_TIMER in Minuten festlegen. Die Standardeinstellung ist 15 Minuten. Setzen Sie den Wert auf Null, um den Inaktivitätstimer zu deaktivieren, damit eine Eingabeaufforderung für PIN oder Passcode nur beim Start der App angezeigt wird.
Micro-VPN-Sitzung erforderlich: Bei der Einstellung Ein muss der Benutzer mit dem Unternehmensnetzwerk verbunden sein und eine aktive Sitzung haben, um auf die App auf dem Gerät zugreifen zu können. Bei Auswahl der Einstellung Aus ist für einen Zugriff auf die App auf dem Gerät keine aktive Sitzung erforderlich. Die Standardeinstellung ist Aus.
Maximale Offlinezeit (Stunden): Legt die maximale Zeit fest, die eine App ausgeführt werden kann, ohne dass der App-Anspruch und die Aktualisierungsrichtlinien von Endpoint Management neu bestätigt werden müssen. Eine iOS-App ruft automatisch neue Richtlinien für MDX-Apps von Endpoint Management ab, wenn die folgenden Bedingungen erfüllt sind:
- Sie definieren eine maximale Offlinezeit und
- Secure Hub für iOS besitzt einen gültigen Citrix Gateway-Token.
Wenn Secure Hub keinen gültigen Citrix Gateway-Token hat, müssen Benutzer sich über Secure Hub authentifizieren, bevor App-Richtlinien aktualisiert werden können. Der Citrix Gateway-Token kann durch Citrix Gateway-Sitzungsinaktivität oder eine erzwungene Sitzungstimeoutrichtlinie ungültig werden. Benutzer können die App jedoch weiter verwenden, wenn sie sich wieder bei Secure Hub anmelden.
Benutzer werden 30, 15 und 5 Minuten vor Ablauf dieser Zeit daran erinnert, sich anzumelden. Nach Ablauf der Zeit wird die App gesperrt, bis sich Benutzer anmelden. Der Standardwert ist 72 Stunden (3 Tage). Der Mindestzeitraum ist 1 Stunde.
Hinweis:
Beachten Sie, dass in einem Szenario, bei dem Benutzer häufig unterwegs sind und auch internationales Roaming verwenden, die Standardeinstellung von 72 Stunden (3 Tagen) zu kurz sein könnte.
Ticketablauf für Hintergrunddienste: die Zeitspanne, die ein Netzwerkdienstticket im Hintergrund gültig bleibt. Wenn Secure Mail sich über Citrix Gateway mit einem Exchange Server verbindet, auf dem ActiveSync ausgeführt wird, gibt Endpoint Management einen Token aus. Mit diesem Token stellt Secure Mail dann eine Verbindung zum internen Exchange Server her. Diese Eigenschaft bestimmt, wie lange Secure Mail den Token verwenden kann, ohne einen neuen Token für die Authentifizierung und die Verbindung zum Exchange Server zu benötigen. Wenn das Zeitlimit abläuft, müssen Benutzer sich neu anmelden, damit ein neues Token generiert wird. Die Standardeinstellung ist 168 Stunden (7 Tage). Nach Ablauf des Zeitlimits werden keine weiteren E-Mail-Benachrichtigungen gesendet.
Kulanzzeitraum für erforderliche Micro-VPN-Sitzung: Legt fest, wie viele Minuten ein Benutzer die App offline verwenden kann, bis die Onlinesitzung validiert ist. Der Standardwert ist 0 (kein Kulanzzeitraum).
Informationen zur Authentifizierungsrichtlinien finden Sie hier:
- Bei Verwendung des MAM-SDK: Überblick über das MAM-SDK
- Wenn Sie das MDX Toolkit verwenden: Endpoint Management MDX-Richtlinien für iOS und Endpoint Management MDX-Richtlinien für Android.
Endpoint Management-Clienteigenschaften
Hinweis:
Clienteigenschaften sind globale Einstellungen und gelten für alle Geräte, die mit Endpoint Management verbunden sind.
Citrix-PIN: Durch Aktivieren der Citrix-PIN ermöglichen Sie Benutzern eine einfache Anmeldung. Mit der PIN müssen Benutzer andere Anmeldeinformationen, z. B. ihren Active Directory-Benutzernamen und ihr Kennwort, nicht wiederholt eingeben. Konfigurieren Sie die Citrix-PIN als eigenständige Option zur Authentifizierung im Offlinemodus, oder kombinieren Sie die PIN mit der Active Directory-Kennwortzwischenspeicherung, um den Authentifizierungsprozess zu vereinfachen. Sie konfigurieren die Citrix-PIN in der Endpoint Management-Konsole unter Einstellungen > Client > Clienteigenschaften.
Es folgt eine Zusammenfassung der wichtigsten Eigenschaften. Weitere Informationen finden Sie unter Clienteigenschaften.
ENABLE_PASSCODE_AUTH
Anzeigename: Enable Citrix PIN Authentication
Über diesen Schlüssel können Sie die Citrix-PIN-Funktion aktivieren. Ist die Citrix-PIN oder der Citrix Passcode aktiviert, werden die Benutzer aufgefordert, eine PIN zur Verwendung anstelle des Active Directory- Kennworts zu erstellen. Aktivieren Sie diese Einstellung, wenn ENABLE_PASSWORD_CACHING aktiviert ist oder wenn Endpoint Management die Zertifikatauthentifizierung verwendet.
Mögliche Werte: true oder false
Standardwert: false
ENABLE_PASSWORD_CACHING
Anzeigename: Enable User Password Caching
Über diesen Schlüssel können Sie die lokale Zwischenspeicherung des Active Directory-Kennworts auf dem Mobilgerät zulassen. Wenn Sie diesen Schlüssel auf “true” setzen, werden die Benutzer aufgefordert, eine Citrix-PIN oder einen Citrix Passcode festzulegen. Der Schlüssel ENABLE_PASSCODE_AUTH muss auf “true” festgelegt werden, wenn Sie diesen Schlüssel auf true festlegen.
Mögliche Werte: true oder false
Standardwert: false
PASSCODE_STRENGTH
Anzeigename: PIN Strength Requirement
Dieser Schlüssel definiert die Sicherheit der Citrix-PIN bzw. des Citrix Passcodes. Wenn Sie diese Einstellung ändern, werden die Benutzer zum Festlegen einer neuen Citrix-PIN bzw. eines neuen Citrix Passcodes aufgefordert, wenn sie sich das nächste Mal authentifizieren.
Mögliche Werte: Low, Medium oder Strong
Standardwert: Medium
INACTIVITY_TIMER
Anzeigename: Inactivity Timer
Dieser Schlüssel definiert die Zeitdauer (in Minuten), die Geräte inaktiv sein dürfen, bevor Benutzer zur Eingabe von Citrix-PIN bzw. Citrix Passcode aufgefordert werden, wenn sie auf eine App zugreifen möchten. Zum Aktivieren dieser Einstellung für eine MDX-App müssen Sie die Einstellung App-Passcode auf Ein festlegen. Wenn App-Passcode auf Aus festgelegt ist, werden die Benutzer für eine vollständige Authentifizierung an Secure Hub umgeleitet. Wenn Sie diese Einstellung ändern, tritt der neue Wert erst in Kraft, wenn ein Benutzer das nächste Mal zur Authentifizierung aufgefordert wird. Die Standardeinstellung ist 15 Minuten.
ENABLE_TOUCH_ID_AUTH
Anzeigename: Enable Touch ID Authentication
Ermöglicht die Verwendung des Fingerabdrucklesegeräts (nur iOS) zur Offlineauthentifizierung. Die Onlineauthentifizierung erfordert weiterhin die primäre Authentifizierungsmethode.
ENCRYPT_SECRETS_USING_PASSCODE
Anzeigename: Encrypt secrets using Passcode
Mit diesem Schlüssel können vertrauliche Daten auf Mobilgeräten in einem Geheimtresor statt in einem plattformbasierten systemeigenen Speicher (z. B. iOS-Schlüsselbund) gespeichert werden. Der Konfigurationsschlüssel ermöglicht eine starke Verschlüsselung von Schlüsselartefakten und erzeugt zudem Benutzerentropie (eine vom Benutzer generierte zufällige PIN, die nur dem Benutzer bekannt ist).
Mögliche Werte: true oder false
Standardwert: false
Citrix Gateway-Einstellungen
Session time-out: Wenn Sie diese Einstellung aktivieren, wird die Sitzung getrennt, wenn Citrix Gateway im angegebenen Zeitraum keine Netzwerkaktivität erkennt. Die Einstellung wird für Benutzer durchgesetzt, die eine Verbindung mit dem Citrix Gateway Plug-in, Citrix Workspace, Secure Hub oder über einen Webbrowser herstellen. Der Standardwert ist 1440 Minuten. Wenn Sie diesen Wert auf Null setzen, wird die Einstellung deaktiviert.
Forced time-out: Mit dieser Einstellung trennt Citrix Gateway die Sitzung nach Ablauf der Timeoutfrist, unabhängig von den aktuellen Aktivitäten des Benutzers. Benutzer haben keine Möglichkeit, diese Trennung nach Ablauf der Timeoutfrist zu vermeiden. Die Einstellung wird für Benutzer durchgesetzt, die eine Verbindung mit dem Citrix Gateway Plug-in, Citrix Workspace, Secure Hub oder über einen Webbrowser herstellen. Bei Verwendung der Secure Ticket Authoritiy (STA), einem speziellen Citrix Gateway-Modus in Secure Mail, wird diese Einstellung nicht auf Secure Mail-Sitzungen angewendet. Standardmäßig ist kein Wert angegeben, sodass Sitzungen bei Aktivität verlängert werden.
Weitere Informationen zu den Timeouteinstellungen für Citrix Gateway finden Sie in der Citrix Gateway-Dokumentation.
Weitere Informationen zu den Szenarios, bei denen Benutzer zur Authentifizierung bei Endpoint Management durch Eingabe der Anmeldeinformationen auf ihrem Gerät aufgefordert werden, finden Sie unter Szenarios für Authentifizierungsaufforderungen.
Standardkonfigurationseinstellungen
Bei diesen Einstellungen handelt es sich um die Standardwerte, die bereitgestellt werden von:
- NetScaler für XenMobile-Assistent
- MAM-SDK oder MDX Toolkit
- Endpoint Management-Konsole
| Einstellung | Ort der Einstellung | Standardeinstellung |
|---|---|---|
| Session time-out | Citrix Gateway | 1440 Minuten |
| Forced time-out | Citrix Gateway | Kein Wert (aus) |
| Maximale Offlinezeit | MDX-Richtlinien | 72 Stunden |
| Ticketablauf für Hintergrunddienste | MDX-Richtlinien | 168 Stunden (7 Tage) |
| Micro-VPN-Sitzung erforderlich | MDX-Richtlinien | Aus |
| Kulanzzeitraum für erforderliche Micro-VPN-Sitzung | MDX-Richtlinien | 0 |
| App-Passcode | MDX-Richtlinien | Ein |
| Encrypt secrets using passcode | Endpoint Management-Clienteigenschaften | false |
| Enable Citrix-PIN Authentication | Endpoint Management-Clienteigenschaften | false |
| PIN Strength Requirement | Endpoint Management-Clienteigenschaften | Mittel |
| PIN Type | Endpoint Management-Clienteigenschaften | Numerisch |
| Enable User Password Caching | Endpoint Management-Clienteigenschaften | false |
| Inactivity Timer | Endpoint Management-Clienteigenschaften | 15 |
| Enable Touch ID Authentication | Endpoint Management-Clienteigenschaften | false |
Empfohlene Konfigurationen
Der folgende Abschnitt enthält Beispiele für drei Endpoint Management-Konfigurationen. Die Beispiele reichen von niedrigster Sicherheit und optimaler Benutzererfahrung bis hin zu höchster Sicherheit bei eingeschränktem Benutzerkomfort. Die Beispiele sind als Referenzpunkte gedacht, anhand derer Sie bestimmen können, wo Sie die eigene Konfiguration auf der Skala platzieren möchten. Wenn Sie diese Einstellungen ändern, müssen möglicherweise auch andere Einstellungen angepasst werden. Beispielsweise darf die maximale Offlinezeit nicht höher sein als das Sitzungstimeout.
Höchste Sicherheit
Diese Konfiguration bietet die höchste Sicherheit, jedoch verbunden mit beträchtlichen Einschränkungen bei der Benutzerfreundlichkeit.
| Einstellung | Ort der Einstellung | Empfohlene Einstellung | Auswirkungen |
| Session time-out | Citrix Gateway | 1440 | Benutzer geben ihre Anmeldeinformationen in Secure Hub nur bei erforderlicher Onlineauthentifizierung ein – alle 24 Stunden. |
| Forced time-out | Citrix Gateway | Kein Wert | Sitzungen werden bei Aktivität verlängert. |
| Maximale Offlinezeit | MDX-Richtlinien | 23 | Richtlinienaktualisierung jeden Tag erforderlich. |
| Ticketablauf für Hintergrunddienste | MDX-Richtlinien | 72 Stunden | Das STA-Timeout ermöglicht längere Sitzungen ohne Sitzungstoken von Citrix Gateway. In Secure Mail verhindert ein STA-Timeout, das länger ist als das Sitzungstimeout, dass E-Mail-Benachrichtigungen beendet werden. Benutzer erhalten in diesem Fall von Secure Mail keine Aufforderung, wenn sie die App nicht vor Sitzungsablauf öffnen. |
| Micro-VPN-Sitzung erforderlich | MDX-Richtlinien | Aus | Gewährleistet eine gültige Netzwerkverbindung und Citrix Gateway-Sitzung zur Verwendung von Apps. |
| Kulanzzeitraum für erforderliche Micro-VPN-Sitzung | MDX-Richtlinien | 0 | Kein Kulanzzeitraum (bei aktivierter Option “Micro-VPN-Sitzung erforderlich”). |
| App-Passcode | MDX-Richtlinien | Ein | Passcode für Anwendung erforderlich. |
| Encrypt secrets using passcode | Endpoint Management-Clienteigenschaften | true | Tresor wird durch einen von der Benutzerentropie abgeleiteten Schlüssel geschützt. |
| Enable Citrix-PIN Authentication | Endpoint Management-Clienteigenschaften | true | Citrix-PIN zur vereinfachten Benutzerauthentifizierung aktivieren. |
| PIN Strength Requirement | Endpoint Management-Clienteigenschaften | Gut | Hohe Anforderungen an die Kennwortkomplexität. |
| PIN Type | Endpoint Management-Clienteigenschaften | Alphanumerisch | PIN ist eine alphanumerische Sequenz. |
| Enable Password Caching | Endpoint Management-Clienteigenschaften | false | Das Active Directory-Kennwort wird nicht zwischengespeichert, und die Citrix-PIN wird für Offlineauthentifizierungen verwendet. |
| Inactivity Timer | Endpoint Management-Clienteigenschaften | 15 | Aufforderung zur Offlineauthentifizierung anzeigen, wenn ein Benutzer keine MDX-Apps oder Secure Hub im festgelegten Zeitraum verwendet. |
| Enable Touch ID Authentication | Endpoint Management-Clienteigenschaften | false | Deaktiviert die Offlineauthentifizierung per Touch ID in iOS. |
Höhere Sicherheit
Diese Konfiguration liegt im Mittelfeld und umfasst eine häufigere Authentifizierung von Benutzern (alle 3 Tage anstatt alle 7) und strengere Sicherheitsmaßnahmen. Die erhöhte Anzahl an Authentifizierungen führt häufiger zur Containersperre, was zu mehr Datensicherheit führt, wenn Geräte nicht verwendet werden.
| Einstellung | Ort der Einstellung | Empfohlene Einstellung | Auswirkungen |
| Session time-out | Citrix Gateway | 4320 | Benutzer geben ihre Anmeldeinformationen in Secure Hub nur bei erforderlicher Onlineauthentifizierung ein – alle 3 Tage. |
| Forced time-out | Citrix Gateway | Kein Wert | Sitzungen werden bei Aktivität verlängert. |
| Maximale Offlinezeit | MDX-Richtlinien | 71 | Erfordert alle 3 Tage eine Richtlinienaktualisierung. Die Differenz von einer Stunde ermöglicht die Aktualisierung vor dem Sitzungstimeout. |
| Ticketablauf für Hintergrunddienste | MDX-Richtlinien | 168 Stunden | Das STA-Timeout ermöglicht längere Sitzungen ohne Sitzungstoken von Citrix Gateway. In Secure Mail verhindert ein STA-Timeout, das länger ist als das Sitzungstimeout, dass E-Mail-Benachrichtigungen unaufgefordert beendet werden. |
| Micro-VPN-Sitzung erforderlich | MDX-Richtlinien | Aus | Gewährleistet eine gültige Netzwerkverbindung und Citrix Gateway-Sitzung zur Verwendung von Apps. |
| Kulanzzeitraum für erforderliche Micro-VPN-Sitzung | MDX-Richtlinien | 0 | Kein Kulanzzeitraum (bei aktivierter Option “Micro-VPN-Sitzung erforderlich”). |
| App-Passcode | MDX-Richtlinien | Ein | Passcode für Anwendung erforderlich. |
| Encrypt secrets using passcode | Endpoint Management-Clienteigenschaften | false | Keine Benutzerentropie zum Verschlüsseln des Tresors erforderlich. |
| Enable Citrix-PIN Authentication | Endpoint Management-Clienteigenschaften | true | Citrix-PIN zur vereinfachten Benutzerauthentifizierung aktivieren. |
| PIN Strength Requirement | Endpoint Management-Clienteigenschaften | Mittel | Erzwingt Kennwörter mittlerer Komplexität. |
| PIN Type | Endpoint Management-Clienteigenschaften | Numerisch | PIN ist eine numerische Sequenz. |
| Enable Password Caching | Endpoint Management-Clienteigenschaften | true | Die Benutzer-PIN speichert und schützt das Active Directory-Kennwort. |
| Inactivity Timer | Endpoint Management-Clienteigenschaften | 30 | Aufforderung zur Offlineauthentifizierung anzeigen, wenn ein Benutzer keine MDX-Apps oder Secure Hub im festgelegten Zeitraum verwendet. |
| Enable Touch ID Authentication | Endpoint Management-Clienteigenschaften | true | Aktiviert Touch ID für Anwendungsfälle mit Offlineauthentifizierung in iOS. |
Hohe Sicherheit
Diese Konfiguration ist am benutzerfreundlichsten und bietet ein Mindestmaß an Sicherheit.
| Einstellung | Ort der Einstellung | Empfohlene Einstellung | Auswirkungen |
| Session time-out | Citrix Gateway | 10080 | Benutzer geben ihre Anmeldeinformationen in Secure Hub nur bei erforderlicher Onlineauthentifizierung ein – alle 7 Tage. |
| Forced time-out | Citrix Gateway | Kein Wert | Sitzungen werden bei Aktivität verlängert. |
| Maximale Offlinezeit | MDX-Richtlinien | 167 | Erfordert eine wöchentliche Richtlinienaktualisierung (alle 7 Tage). Die Differenz von einer Stunde ermöglicht die Aktualisierung vor dem Sitzungstimeout. |
| Ticketablauf für Hintergrunddienste | MDX-Richtlinien | 240 | Das STA-Timeout ermöglicht längere Sitzungen ohne Sitzungstoken von Citrix Gateway. In Secure Mail verhindert ein STA-Timeout, das länger ist als das Sitzungstimeout, dass E-Mail-Benachrichtigungen beendet werden. Benutzer erhalten in diesem Fall von Secure Mail keine Aufforderung, wenn sie die App nicht vor Sitzungsablauf öffnen. |
| Micro-VPN-Sitzung erforderlich | MDX-Richtlinien | Aus | Gewährleistet eine gültige Netzwerkverbindung und Citrix Gateway-Sitzung zur Verwendung von Apps. |
| Kulanzzeitraum für erforderliche Micro-VPN-Sitzung | MDX-Richtlinien | 0 | Kein Kulanzzeitraum (bei aktivierter Option “Micro-VPN-Sitzung erforderlich”). |
| App-Passcode | MDX-Richtlinien | Ein | Passcode für Anwendung erforderlich. |
| Encrypt secrets using passcode | Endpoint Management-Clienteigenschaften | false | Keine Benutzerentropie zum Verschlüsseln des Tresors erforderlich. |
| Enable Citrix-PIN Authentication | Endpoint Management-Clienteigenschaften | true | Citrix-PIN zur vereinfachten Benutzerauthentifizierung aktivieren. |
| PIN Strength Requirement | Endpoint Management-Clienteigenschaften | Niedrig | Keine Anforderungen an die Kennwortkomplexität. |
| PIN Type | Endpoint Management-Clienteigenschaften | Numerisch | PIN ist eine numerische Sequenz. |
| Enable Password Caching | Endpoint Management-Clienteigenschaften | true | Die Benutzer-PIN speichert und schützt das Active Directory-Kennwort. |
| Inactivity Timer | Endpoint Management-Clienteigenschaften | 90 | Aufforderung zur Offlineauthentifizierung anzeigen, wenn ein Benutzer keine MDX-Apps oder Secure Hub im festgelegten Zeitraum verwendet. |
| Enable Touch ID Authentication | Endpoint Management-Clienteigenschaften | true | Aktiviert Touch ID für Anwendungsfälle mit Offlineauthentifizierung in iOS. |
Verwenden der verstärkten Authentifizierung
Einige Apps erfordern möglicherweise eine erweiterte Authentifizierung. Dies können ein sekundärer Authentifizierungsfaktor (z. B. ein Token) oder aggressive Sitzungstimeout ein. Sie können diese Authentifizierungsmethode über eine MDX-Richtlinie steuern. Dieses Verfahren erfordert einen eigenen virtuellen Server (auf demselben oder einem separaten Citrix Gateway-Gerät) zur Steuerung der Authentifizierungsmethoden.
| Einstellung | Ort der Einstellung | Empfohlene Einstellung | Auswirkungen |
|---|---|---|---|
| Alternatives Citrix Gateway | MDX-Richtlinien | Erfordert FQDN und Port des sekundären Citrix Gateway-Geräts. | Ermöglicht eine erweiterte Authentifizierung, die durch die Authentifizierungs- und Sitzungsrichtlinien des sekundären Citrix Gateway-Geräts gesteuert wird. |
Öffnet ein Benutzer eine App, die das alternative Citrix Gateway verwendet, verwenden auch alle übrigen Apps diese Citrix Gateway-Instanz zur Kommunikation mit dem internen Netzwerk. Die Sitzung wechselt nur dann zurück zur Citrix Gateway-Instanz mit geringerer Sicherheit, wenn bei der Citrix Gateway-Instanz mit erhöhter Sicherheit ein Sitzungstimeout auftritt.
Verwendung von “Micro-VPN-Sitzung erforderlich”
Für bestimmte Anwendungen wie Secure Web können Sie sicherstellen, dass Benutzer eine App nur dann ausführen, wenn sie eine authentifizierte Sitzung verwenden. Diese Richtlinie erzwingt diese Option und ermöglicht einen Kulanzzeitraum, damit Benutzer ihre Arbeit beenden können.
| Einstellung | Ort der Einstellung | Empfohlene Einstellung | Auswirkungen |
|---|---|---|---|
| Micro-VPN-Sitzung erforderlich | MDX-Richtlinien | Ein | Gewährleistet, dass ein Gerät online ist und einen gültigen Authentifizierungstoken hat. |
| Kulanzzeitraum für erforderliche Micro-VPN-Sitzung | MDX-Richtlinien | 15 | Gewährt einen Kulanzzeitraum von 15 Minuten, bevor der Benutzer die Apps nicht mehr verwenden kann. |