Citrix Endpoint Management

Integration in Citrix Gateway und Citrix ADC

Bei Integration in Citrix Endpoint Management bietet Citrix Gateway für MAM-Geräte einen Authentifizierungsmechanismus für den Remotezugriff auf das interne Netzwerk. Durch die Integration können mobile Citrix Produktivitätsapps über ein Micro-VPN auf Unternehmensserver im Intranet zugreifen. Citrix Endpoint Management erstellt ein Micro-VPN von den Apps auf dem Gerät zu Citrix Gateway. Citrix Gateway bietet einen Micro-VPN-Pfad für den Zugriff auf alle Unternehmensressourcen und unterstützt eine starke Multifaktorauthentifizierung.

Wenn ein Benutzer die MDM-Registrierung abwählt, erfolgt die Geräteregistrierung per Citrix Gateway-FQDN.

Citrix Cloud Operations verwaltet den Citrix ADC-Lastausgleich.

Designentscheidungen

Nachfolgend finden Sie eine Zusammenfassung der zahlreichen Design-Entscheidungen, die bei der Planung einer Citrix Gateway-Integration in Citrix Endpoint Management getroffen werden müssen.

Zertifikate

Entscheidungsdetails:

  • Benötigen Sie ein höheres Maß an Sicherheit für Registrierungen und den Zugriff auf die Citrix Endpoint Management-Umgebung?
  • Ist LDAP keine Option?

Designhilfen:

Standardmäßig ist Citrix Endpoint Management für die Authentifizierung per Benutzernamen und Kennwort konfiguriert. Als zusätzliche Sicherheitsstufe für die Registrierung bei und den Zugriff auf die Citrix Endpoint Management-Umgebung ist die zertifikatbasierte Authentifizierung in Betracht zu ziehen. Sie können Zertifikate mit LDAP für die zweistufige Authentifizierung verwenden und so ohne RSA-Server ein höheres Maß an Sicherheit gewährleisten.

Wenn Sie LDAP nicht zulassen und Smartcards oder ähnliche Methoden verwenden, können Sie durch Konfigurieren von Zertifikaten Citrix Endpoint Management eine Smartcard präsentieren. Die Benutzer registrieren sich in diesem Fall mit einer eindeutigen PIN, die von Citrix Endpoint Management generiert wird. Sobald ein Benutzer Zugriff hat, erstellt Citrix Endpoint Management das Zertifikat für die spätere Authentifizierung bei der Citrix Endpoint Management-Umgebung und stellt es bereit.

Citrix Endpoint Management unterstützt Zertifikatsperrlisten (CRL) nur für Drittanbieterzertifizierungsstellen. Wenn Sie eine Microsoft-Zertifizierungsstelle konfiguriert haben, wird in Citrix Endpoint Management zum Verwalten der Zertifikatsperre Citrix Gateway verwendet. Bedenken Sie beim Konfigurieren der Clientzertifikatauthentifizierung, ob Sie die Citrix Gateway-Einstellung für Zertifikatsperrlisten (CRL) Enable CRL Auto Refresh konfigurieren müssen. Dadurch wird sichergestellt, dass Benutzer von bei MAM registrierten Geräten keine Authentifizierung mit einem existierenden Zertifikat am Gerät durchführen können. Citrix Endpoint Management stellt ein neues Zertifikat aus, da es Benutzer nicht daran hindert, ein Benutzerzertifikat zu generieren, falls eines gesperrt wurde. Diese Einstellung erhöht die Sicherheit von PKI-Entitäten, wenn über die Zertifikatsperrliste auf abgelaufene PKI-Entitäten geprüft wird.

Dedizierte oder gemeinsam genutzt Citrix Gateway-VIPs

Entscheidungsdetails:

  • Verwenden Sie zurzeit Citrix Gateway für Citrix Virtual Apps and Desktops?
  • Wird Citrix Endpoint Management dasselbe Citrix Gateway wie Citrix Virtual Apps and Desktops nutzen?
  • Welche Authentifizierungsanforderungen gelten für beide Datenströme?

Designhilfen:

Wenn Ihre Citrix Umgebung sowohl Citrix Endpoint Management als auch Virtual Apps and Desktops enthält, können Sie für beides denselben virtuellen Citrix Gateway-Server verwenden. Aufgrund möglicher Versionskonflikte und der Umgebungsisolierung wird für jede Citrix Endpoint Management-Umgebung ein dediziertes Citrix Gateway empfohlen.

Wenn Sie die LDAP-Authentifizierung verwenden, ist eine Authentifizierung von Citrix Workspace und Citrix Secure Hub bei demselben Citrix Gateway problemlos möglich. Bei Verwendung der zertifikatbasierten Authentifizierung überträgt Citrix Endpoint Management ein Zertifikat in den MDX-Container und Citrix Secure Hub verwendet das Zertifikat zur Authentifizierung beim Citrix Gateway. Die Citrix Workspace-App ist von Citrix Secure Hub getrennt und kann für die Authentifizierung beim selben Citrix Gateway nicht dasselbe Zertifikat wie Citrix Secure Hub verwenden.

Mit folgendem Workaround können Sie denselben FQDN für zwei Citrix Gateway-VIPs verwenden: Sie können zwei Citrix Gateway-VIPs mit derselben IP-Adresse erstellen. Die für Citrix Secure Hub verwendet dann den Standardport 443 und die für Citrix Virtual Apps and Desktops (= Citrix Workspace-App-Bereitstellung) den Port 444. Ein FQDN wird dann in die gleiche IP-Adresse aufgelöst. Für diesen Workaround müssen Sie ggf. StoreFront so konfigurieren, dass eine ICA-Datei für Port 444 anstelle des Standardports 443 zurückgegeben wird. Der Workaround erfordert keine Eingabe einer Portnummer durch die Benutzer.

Citrix Gateway-Timeouts

Entscheidungsdetails:

  • Wie möchten Sie die Citrix Gateway-Timeouts für den Citrix Endpoint Management-Datenverkehr konfigurieren?

Designhilfen:

Citrix Gateway enthält die Einstellungen “Session time-out” und “Forced time-out”. Weitere Informationen finden Sie unter Empfohlene Konfigurationen. Beachten Sie, dass es für Hintergrunddienste, Citrix Gateway und für den Offlinezugriff auf Anwendungen unterschiedliche Timeoutwerte gibt.

Registrierungs-FQDN

Wichtig:

Eine Änderung des Registrierungs-FQDN erfordert eine neue SQL Server-Datenbank und die Neuerstellung des Citrix Endpoint Management-Servers.

Citrix Secure Web-Datenverkehr

Entscheidungsdetails:

  • Soll Citrix Secure Web auf das interne Webbrowsing beschränkt werden?
  • Soll Citrix Secure Web für das interne und das externe Webbrowsing aktiviert werden?

Designhilfen:

Wenn Sie Citrix Secure Web nur für das interne Webbrowsing verwenden, bereitet das Konfigurieren von Citrix Gateway keine Probleme. Wenn Citrix Secure Web jedoch nicht alle internen Sites standardmäßig erreichen kann, müssen Sie gegebenenfalls Firewalls und Proxyserver konfigurieren.

Wenn Sie Citrix Secure Web für das interne und das externe Browsing verwenden möchten, müssen Sie für die SNIP ausgehenden Internetzugriff aktivieren. Geräte, die (mit dem MDX-Container) registriert wurden, werden in der Regel als Erweiterung des Unternehmensnetzwerks angesehen. Daher ist es normalerweise erwünscht, dass Citrix Secure Web-Verbindungen zu Citrix Gateway zurückgehen und über einen Proxyserver in das Internet führen. Für den Zugriff auf Citrix Secure Web wird standardmäßig ein Tunnel zum internen Netzwerk verwendet. Citrix Secure Web verwendet pro Anwendung einen VPN-Tunnel zum internen Netzwerk für den gesamten Netzwerkzugriff zusammen mit Citrix Gateway Split-Tunnel-Einstellungen verwendet.

Eine Beschreibung von Citrix Secure Web-Verbindungen finden Sie unter Konfigurieren von Benutzerverbindungen.

Pushbenachrichtigungen für Citrix Secure Mail

Entscheidungsdetails:

  • Möchten Sie Pushbenachrichtigungen verwenden?

Designhilfe für iOS:

Wenn die Citrix Gateway-Konfiguration Secure Ticket Authority (STA) umfasst und Split-Tunneling deaktiviert ist, muss Citrix Gateway den Datenverkehr von Citrix Secure Mail zu den Citrix Listenerdienst-URLs zulassen. Diese URLs sind in den Pushbenachrichtigungen für Citrix Secure Mail für iOS festgelegt.

Designhilfe für Android:

Steuern Sie mit Firebase Cloud Messaging (FCM), wie und wann Android-Geräte eine Verbindung zu Citrix Endpoint Management herstellen. Wenn FCM konfiguriert ist, lösen Sicherheitsaktionen oder Bereitstellungsbefehle eine Pushbenachrichtigung an Citrix Secure Hub aus, sodass der Benutzer aufgefordert wird, erneut eine Verbindung mit dem Citrix Endpoint Management-Server herzustellen.

HDX-STAs

Entscheidungsdetails:

  • Welche STAs sollte man bei Integration des Zugriffs auf HDX-Anwendungen verwenden?

Designhilfen:

HDX STAs müssen mit den STAs in StoreFront übereinstimmen und für die Virtual Apps and Desktops-Site gültig sein.

Citrix Files und ShareFile

Entscheidungsdetails:

  • Möchten Sie einen Speicherzonencontroller in der Umgebung verwenden?
  • Welche Citrix Files-VIP-URL möchten Sie verwenden?

Designhilfen:

Wenn die Umgebung Speicherzonencontroller enthält, müssen Sie Folgendes korrekt konfigurieren:

  • Citrix Files Content Switch-VIP (zur Kommunikation zwischen Citrix Files-Steuerungsebene und Speicherzonencontroller-Servern)
  • Citrix Files-Lastausgleichs-VIPs
  • Alle erforderlichen Richtlinien und Profile

Weitere Informationen finden Sie in der Dokumentation für den Speicherzonencontroller.

SAML-Identitätsanbieter

Entscheidungsdetails:

  • Wenn SAML für Citrix Files erforderlich ist, soll Citrix Endpoint Management als SAML-Identitätsanbieter verwendet werden?

Designhilfen:

Die empfohlene bewährte Methode ist die Integration von Citrix Files in Citrix Endpoint Management – eine einfachere Alternative zur Konfiguration eines SAML-basierten Verbunds. Citrix Endpoint Management bietet folgende Funktionen für Citrix Files:

  • Authentifizierung per Single Sign-On (SSO) für mobile Citrix Produktivitätsappbenutzer.
  • Active Directory-basiertes Benutzerkontoprovisioning.
  • Umfassende Richtlinien zur Zugriffssteuerung.

Mit der Citrix Endpoint Management-Konsole können Sie Citrix Files konfigurieren sowie Servicelevel und Lizenznutzung überwachen.

Es gibt zwei Arten von Citrix Files-Clients: Citrix Files für Citrix Endpoint Management-Clients (“umschlossenes Citrix Files”) und mobile Citrix Files-Clients (“nicht umschlossenes Citrix Files”). Die Unterschiede werden unter Unterschiede zwischen Citrix Files für Citrix Endpoint Management-Clients und mobilen Citrix Files-Clients erläutert.

Sie können Citrix Endpoint Management und Citrix Files so konfigurieren, dass Sie mit SAML per SSO auf Folgendes zugreifen können:

  • Citrix Files-Apps, die MAM-SDK-fähig sind oder Apps, die mit dem MDX Toolkit umschlossen wurden
  • Nicht umschlossene Citrix Files-Clients, z. B. die Website, das Outlook-Plug-in oder Synchronisierungsclients

Wenn Sie Citrix Endpoint Management als SAML-Identitätsanbieter für Citrix Files verwenden möchten, stellen Sie sicher, dass die richtigen Konfigurationen vorhanden sind. Weitere Informationen finden Sie unter SAML für SSO bei Citrix Files.

Direkte ShareConnect-Verbindungen

Entscheidungsdetails:

  • Sollen Benutzer von einem Computer oder Mobilgerät mit ShareConnect direkt auf einen Hostcomputer zugreifen?

Designhilfen:

Mit ShareConnect können Benutzer sichere Verbindungen von iPads sowie Android-Tablets und -Telefonen mit ihren Computern herstellen und auf Dateien und Anwendungen zugreifen. Bei direkten Verbindungen bietet Citrix Endpoint Management über Citrix Gateway sicheren Benutzerzugriff auf Ressourcen außerhalb des lokalen Netzwerks. Informationen zur Konfiguration finden Sie unter ShareConnect.

Registrierungs-FQDN für jeden Verwaltungsmodus

Verwaltungsmodus Registrierungs-FQDN
MDM+MAM mit verbindlicher MDM-Registrierung Citrix Endpoint Management-Server-FQDN
MDM+MAM mit optionaler MDM-Registrierung Citrix Endpoint Management-Server-FQDN oder Citrix Gateway-FQDN
Nur MAM Citrix Endpoint Management-Server-FQDN
Nur-MAM (Legacy) Citrix Gateway-FQDN

Zusammenfassung der Bereitstellung

Wenn Sie mehrere Citrix Endpoint Management-Instanzen haben (z. B. für die Test-, die Entwicklungs- und die Produktionsumgebung), müssen Sie Citrix Gateway für die zusätzlichen Umgebungen manuell konfigurieren. Notieren Sie sich bei einer funktionierenden Umgebung die Einstellungen, bevor Sie Citrix Gateway manuell für Citrix Endpoint Management konfigurieren.

Eine wichtige Entscheidung ist die Wahl zwischen HTTPS und HTTP für die Kommunikation mit dem Citrix Endpoint Management-Server. HTTPS bietet eine sichere Back-End-Kommunikation, da der Datenverkehr zwischen Citrix Gateway und Citrix Endpoint Management verschlüsselt wird. Die erneute Verschlüsselung hat allerdings Auswirkungen auf die Leistung des Citrix Endpoint Management-Servers. HTTP bietet die bessere Citrix Endpoint Management-Serverleistung. Der Datenverkehr zwischen Citrix Gateway und Citrix Endpoint Management wird jedoch nicht verschlüsselt. Die folgenden Tabellen enthalten die erforderlichen HTTP- und HTTPS-Ports für Citrix Gateway und Citrix Endpoint Management.

HTTPS

Citrix empfiehlt normalerweise die Verwendung einer SSL-Brücke für Citrix Gateway in Konfigurationen mit virtuellem MDM-Server. Bei Verwendung von SSL-Offload für Citrix Gateway mit virtuellen MDM-Servern unterstützt Citrix Endpoint Management nur Port 80 als Back-End-Dienst.

Verwaltungsmodus Citrix Gateway-Lastausgleichsmethode SSL-Neuverschlüsselung Citrix Endpoint Management-Serverport
MAM SSL-Offload Aktiviert 8443
MDM+MAM MDM: SSL-Brücke 443, 8443
MDM+MAM MAM: SSL-Offload Aktiviert 8443

HTTP

Verwaltungsmodus Citrix Gateway-Lastausgleichsmethode SSL-Neuverschlüsselung Citrix Endpoint Management-Serverport
MAM SSL-Offload Aktiviert 8443
MDM+MAM MDM: SSL-Offload Nicht unterstützt 80
MDM+MAM MAM: SSL-Offload Aktiviert 8443

Diagramme von Citrix Gateway in Citrix Endpoint Management-Bereitstellungen finden Sie unter Architektur.

Integration in Citrix Gateway und Citrix ADC