Integration von Endpoint Management

In diesem Artikel werden die Punkte beschrieben, die bei der Integration von Endpoint Management in ein Netzwerk und in bestehende Lösungen berücksichtigt werden müssen. Falls Sie beispielsweise Citrix Gateway bereits für Citrix Virtual Apps and Desktops verwenden:

  • Sollten Sie die vorhandene Citrix Gateway-Instanz oder eine neue, dedizierte Instanz verwenden?
  • Möchten Sie die mit StoreFront veröffentlichten HDX-Apps in Endpoint Management integrieren?
  • Planen Sie die Verwendung von Citrix Files mit Endpoint Management
  • Haben Sie eine Network Access Control-Lösung, die Sie in Endpoint Management integrieren möchten?

Citrix Gateway

Citrix Gateway ist für Endpoint Management erforderlich. Citrix Gateway bietet einen Micro-VPN-Pfad für den Zugriff auf alle Unternehmensressourcen und unterstützt eine starke, mehrstufige Authentifizierung.

Sie können vorhandene Citrix Gateway-Instanzen verwenden oder neue Instanzen für Endpoint Management einrichten. In den folgenden Abschnitten werden die Vor- und Nachteile der Verwendung vorhandener und neuer Citrix Gateway-Instanzen aufgeführt.

Gemeinsames Citrix Gateway MPX mit einer für Endpoint Management erstellten virtuellen Citrix Gateway-IP-Adresse

Vorteile:

  • Verwendung einer Citrix Gateway-Instanz für alle Citrix Remoteverbindungen: Citrix Virtual Apps, vollständiges/clientloses VPN.
  • Verwendung der bestehenden Citrix Gateway-Konfigurationen, z. B. für die Zertifikatauthentifizierung und den Zugriff auf Dienste wie DNS, LDAP und NTP.
  • Verwendung einer einzelnen Citrix Gateway-Plattformlizenz.

Nachteile:

  • Die Skalierungsplanung ist schwieriger, wenn zwei unterschiedliche Anwendungsfälle auf demselben Citrix Gateway bewältigt werden.
  • In Einzelfällen wird für einen Citrix Virtual Apps-Anwendungsfall eine bestimmte Citrix Gateway-Version benötigt. Diese Version kann jedoch zu Problemen bei Endpoint Management führen. Umgekehrt kann Endpoint Management zu Problemen bei der Citrix Gateway-Version führen.
  • Bei einem vorhandenen Citrix Gateway können Sie den NetScaler für XenMobile-Assistenten nicht ein zweites Mal ausführen, um die Citrix Gateway-Konfiguration für Endpoint Management zu erstellen.
  • Auf Citrix Gateway installierte Benutzerzugriffslizenzen, die für die VPN-Konnektivität erforderlich sind, werden gepoolt (außer bei Verwendung von Platinum-Lizenzen für Citrix Gateway 11.1 oder höher). Da diese Lizenzen für alle virtuellen Citrix Gateway-Server verfügbar sind, können auch andere Dienste als Endpoint Management sie verbrauchen.

Dedizierte Citrix Gateway VPX-/MPX-Instanz

Vorteile:

Citrix empfiehlt die Verwendung einer dedizierten Citrix Gateway-Instanz.

  • Einfachere Skalierungsplanung und Trennung des Endpoint Management-Datenverkehrs von einer möglicherweise bereits mit eingeschränkten Ressourcen laufenden Citrix Gateway-Instanz.
  • Keine Probleme, wenn Endpoint Management und Citrix Virtual Apps unterschiedliche Citrix Gateway-Softwareversionen erfordern. Normalerweise empfiehlt sich die Verwendung der neuesten kompatiblen Citrix Gateway-Version für Endpoint Management.
  • Konfiguration von Citrix Gateway für Endpoint Management über den integrierten NetScaler für XenMobile-Assistenten möglich.
  • Virtuelle und physische Trennung von Diensten.

Nachteile:

  • Erfordert die Einrichtung zusätzlicher Dienste auf Citrix Gateway für die Endpoint Management-Konfiguration.
  • Erfordert eine zusätzliche Citrix Gateway-Plattformlizenz. Lizenzierung jeder Citrix Gateway-Instanz für Citrix Gateway.

Informationen darüber, was bei der Integration von Citrix Gateway und Citrix ADC in den einzelnen Endpoint Management-Servermodi zu beachten ist, finden Sie unter Integration in Citrix Gateway und Citrix ADC.

StoreFront

In Citrix Virtual Apps and Desktops-Umgebungen können HDX-Anwendungen mithilfe von StoreFront in Endpoint Management integriert werden. Für die Integration von HDX-Apps in Endpoint Management gilt Folgendes:

  • Die Apps stehen Benutzern zur Verfügung, die bei Endpoint Management registriert sind.
  • Die Apps werden zusammen mit anderen mobilen Apps im App-Store angezeigt.
  • Endpoint Management verwendet die ältere PNAgent-Site (Dienste) in StoreFront.
  • Ist die Citrix Workspace-App auf einem Gerät installiert, wird sie von HDX-Apps verwendet.

Bei StoreFront gilt die Beschränkung auf eine Services-Site pro StoreFront-Instanz. Angenommen, Sie haben mehrere Stores und möchten diese von anderen Produktionnutzungen trennen. In diesem Fall empfiehlt Citrix, die Verwendung einer neuen StoreFront-Instanz und -Services-Site für Endpoint Management in Betracht zu ziehen.

Es sind folgende Punkte zu berücksichtigen:

  • Gibt es für StoreFront andere Authentifizierungsanforderungen? Die StoreFront Services-Site erfordert Active Directory-Anmeldeinformationen für die Anmeldung. Bei ausschließlicher Verwendung der zertifikatbasierten Authentifizierung können Anwendungen nicht über Endpoint Management mit demselben Citrix Gateway aufgelistet werden.
  • Sollten Sie den gleichen Store verwenden oder einen neuen erstellen?
  • Sollten Sie den gleichen oder einen anderen StoreFront-Server verwenden?

In den folgenden Abschnitten werden die Vor- und Nachteile der Verwendung eigener oder gemeinsamer StoreFront-Instanzen für Citrix Workspace und mobile Citrix Produktivitätsapps aufgeführt.

Integration der bestehenden StoreFront-Instanz in Endpoint Management

Vorteile:

  • Gleicher Store: Endpoint Management erfordert keine zusätzliche Konfiguration von StoreFront, vorausgesetzt es wird dieselbe Citrix Gateway-VIP für den HDX-Zugriff verwendet. Angenommen, Sie entscheiden sich für die Verwendung desselben Stores und möchten den Citrix Workspace-Zugriff auf eine neue Citrix Gateway-VIP umleiten. Fügen Sie in diesem Fall StoreFront die entsprechende Citrix Gateway-Konfiguration hinzu.
  • Gleicher StoreFront-Server: Verwendung der bestehenden StoreFront-Installation und -Konfiguration.

Nachteile:

  • Gleicher Store: Jede Änderung der StoreFront-Konfiguration zur Bewältigung von Citrix Virtual Apps and Desktops-Workloads kann sich negativ auf Endpoint Management auswirken.
  • Gleicher StoreFront-Server: In großen Umgebungen müssen Sie die zusätzliche Belastung des PNAgent durch Endpoint Management für die App-Auflistung und den Start berücksichtigen.

Verwenden einer neuen, dedizierten StoreFront-Instanz zur Integration in Endpoint Management

Vorteile:

  • Neuer Store: Konfigurationsänderungen am StoreFront-Store für Endpoint Management dürften keine Auswirkungen auf Virtual Apps and Desktops-Workloads haben.
  • Neuer StoreFront-Server: Änderungen an der Serverkonfiguration sollten sich nicht auf den Virtual Apps and Desktops-Workflow auswirken. Darüber hinaus sollte die Endpoint Management-externe Belastung des PNAgent für App-Auflistung und Start die Skalierbarkeit nicht beeinträchtigen.

Nachteile:

  • Neuer Store: StoreFront-Store-Konfiguration.
  • Neuer StoreFront-Server: erfordert eine neue StoreFront-Installation und -Konfiguration.

Weitere Informationen finden Sie unter Citrix Virtual Apps and Desktops über den App-Store.

Citrix Files

Citrix Files ermöglicht Benutzern von jedem Gerät aus den Zugriff auf all ihre Daten und deren Synchronisierung. Über Citrix Files können die Benutzer Daten mit Personen innerhalb und außerhalb der Organisation sicher teilen. Die Integration von Citrix Files in Endpoint Management Advanced Edition oder Endpoint Management Enterprise Edition ermöglicht Citrix Files Folgendes:

  • Single Sign-On-Authentifizierung für mobile Produktivitätsappbenutzer.
  • Active Directory-basierte Benutzerkontobereitstellung.
  • Umfassende Richtlinien zur Zugriffssteuerung.

Mobile Benutzer können alle Funktionen von Citrix Files Enterprise verwenden.

Alternativ können Sie Endpoint Management für die ausschließliche Integration in StorageZone Connectors konfigurieren. Über StorageZone Connectors bietet Citrix Files Zugriff auf folgende Inhalte:

  • Dokumente und Ordner
  • Netzwerkdateifreigaben
  • In SharePoint-Sites: Sitesammlungen und Dokumentbibliotheken.

Verbundene Dateifreigaben können die gleichen Basisnetzlaufwerke enthalten wie Citrix Virtual Apps and Desktops-Umgebungen. Sie konfigurieren die Integration in Citrix Files Enterprise oder StorageZones Connectors über die Endpoint Management-Konsole. Weitere Informationen finden Sie unter Citrix Files für Endpoint Management.

In den folgenden Abschnitten werden die Fragen aufgeführt, die Sie sich im Hinblick auf den Einsatz von Citrix Files stellen sollten.

Integration in Citrix Files Enterprise oder nur in StorageZone Connectors

Es sind folgende Punkte zu berücksichtigen:

  • Müssen Daten in von Citrix verwalteten StorageZones gespeichert werden?
  • Sollen die Benutzer Dateien freigeben und synchronisieren können?
  • Sollen die Benutzer Zugriff auf Dateien auf der Citrix Files-Website erhalten? Sollen die Benutzer mit Mobilgeräten auf Office 365-Inhalte und Connectors für die persönliche Cloud zugreifen können?

Designentscheidungen:

  • Wenn die Antwort auf eine dieser Fragen “Ja” lautet, wählen Sie die Integration in Citrix Files Enterprise.
  • Eine ausschließliche Integration in StorageZone Connectors bietet iOS-Benutzern sicheren mobilen Zugriff auf bestehende lokale Speicherrepositorys, wie z. B. SharePoint-Sites und Netzwerkdateifreigaben. In dieser Konfiguration müssen Sie keine Citrix Files-Unterdomäne einrichten, Benutzer für Citrix Files bereitstellen oder Citrix Files-Daten hosten. Die Verwendung von StorageZone Connectors mit Endpoint Management entspricht den Sicherheitsbeschränkungen, die verhindern, dass Benutzerdaten außerhalb des Unternehmensnetzwerks gelangen.

Standort des StorageZones Controller-Servers

Es sind folgende Punkte zu berücksichtigen:

  • Benötigen Sie lokalen Speicher oder lokale Features wie StorageZone Connectors?
  • Wo befinden sich bei Verwendung von on-premises Citrix Files-Features die StorageZones Controller im Netzwerk?

Designentscheidungen:

  • Entscheiden Sie, wo Sie die StorageZones Controller ansiedeln: in der Citrix Files-Cloud, in einem on-premises Einmandanten-Speichersystem oder im unterstützten Cloudspeicher eines Drittanbieters.
  • StorageZones Controller benötigen Internetzugriff für die Kommunikation mit der Citrix Files-Steuerungsebene. Es gibt verschiedene Verbindungsmöglichkeiten, einschließlich direktem Zugriff und NAT/PAT-Konfigurationen.

StorageZone Connectors

Es sind folgende Punkte zu berücksichtigen:

  • Welches sind die CIFS-Freigabepfade?
  • Welches sind die SharePoint-URLs?

Designentscheidungen:

  • Ermitteln Sie, ob lokale StorageZones-Controller für den Zugriff auf diese Orte erforderlich sind.
  • Aufgrund der Kommunikation zwischen StorageZone Connectors und internen Ressourcen wie Repositorys, CIFS-Freigaben und SharePoint empfiehlt Citrix, StorageZones Controller im internen Netzwerk hinter DMZ-Firewalls und mit vorgeschaltetem Citrix Gateway anzusiedeln.

SAML-Integration in Endpoint Management Enterprise

Es sind folgende Punkte zu berücksichtigen:

  • Ist eine Active Directory-Authentifizierung für Citrix Files erforderlich?
  • Ist SSO bei der ersten Verwendung der Citrix Files-App für Endpoint Management erforderlich?
  • Gibt es in der aktuellen Umgebung einen Standard-IdP?
  • Wie viele Domänen werden für SAML benötigt?
  • Gibt es mehrere E-Mail-Aliase für Active Directory-Benutzer?
  • Sind Active Directory-Domänenmigrationen im Gang oder in Kürze geplant?

Designentscheidungen:

In Endpoint Management Enterprise-Umgebungen kann SAML als Authentifizierungsmechanismus für Citrix Files verwendet werden. Authentifizierungsoptionen:

  • Verwendung des Endpoint Management-Servers als Identitätsanbieter (IdP) für SAML

Diese Option kann eine hervorragende Benutzererfahrung bieten, sie automatisiert die Erstellung von Citrix Files-Konten und sie ermöglicht die Nutzung von Singe Sign-On-Features für mobile Apps.

  • Der Endpoint Management-Server ist für diesen Prozess optimiert: Es ist keine Active Directory-Synchronisierung erforderlich.
  • Verwenden des Citrix Files-Benutzerverwaltungstools für die Benutzerbereitstellung
  • Verwenden eines unterstützten Drittanbieter-IdPs für SAML

Wenn Sie einen unterstützten IdP haben und keine Single Sign-On-Features für mobile Apps benötigen, ist diese Option möglicherweise am besten geeignet. Auch sie erfordert die Verwendung des Citrix Files-Benutzerverwaltungstools für die Kontobereitstellung.

IdP-Lösungen von Drittanbietern wie ADFS bieten möglicherweise auf dem Windows-Client Single Sign-On-Features. Bewerten Sie die Anwendungsfälle vor Auswahl des SAML-Identitätsanbieters für Citrix Files.

Um beiden Anwendungsfällen zu genügen, können Sie ADFS und Endpoint Management als dualen IdP konfigurieren.

Mobile Apps

Es sind folgende Punkte zu berücksichtigen:

  • Welche mobile Citrix Files-App (öffentlich, MDM, MDX) möchten Sie verwenden?

Designentscheidungen:

  • Sie verteilen mobile Citrix Produktivitätsapps über den App-Store von Apple und Google Play. Mit der öffentlichen App Store-Verteilung erhalten Sie umschlossene Apps von der Citrix Downloadseite.
  • Bei niedriger Sicherheitsstufe (ohne erforderliche Containerization) ist die öffentliche Citrix Files-App möglicherweise ungeeignet. In einer Nur-MDM-Umgebung können Sie die MDM-Version der Citrix Files-App über Endpoint Management im MDM-Modus bereitstellen.
  • Weitere Informationen finden Sie unter Apps und Citrix Files für Endpoint Management.

Sicherheit, Richtlinien und Zugriffssteuerung

Es sind folgende Punkte zu berücksichtigen:

  • Welche Einschränkungen benötigen Sie für Desktop-, Internet- und mobile Benutzer?
  • Welche Standardeinstellungen für die Zugriffssteuerung sollen für Benutzer gelten?
  • Welche Dateispeicherrichtlinie möchten Sie verwenden?

Designentscheidungen:

  • Mit Citrix Files können Sie die Berechtigungen von Mitarbeitern und die Gerätesicherheit verwalten. Weitere Informationen finden Sie unter Mitarbeiterberechtigungen und Verwalten von Geräten und Apps.
  • Einige Citrix Files-Einstellungen zur Gerätesicherheit steuern dieselben Features wie MDX-Richtlinien. In diesen Fällen haben die Endpoint Management-Richtlinien Vorrang, gefolgt von den Citrix Files-Einstellungen. Beispiel: Wenn Sie externe Apps in Citrix Files deaktivieren, in Endpoint Management jedoch aktivieren, werden die externen Apps in Citrix Files deaktiviert. Sie können die Apps so konfigurieren, dass Endpoint Management keine(n) PIN/Passcode anfordert, die Citrix Files-App jedoch schon.

Standard-StorageZones oder eingeschränkte StorageZones

Es sind folgende Punkte zu berücksichtigen:

  • Benötigen Sie eingeschränkte StorageZones?

Designentscheidungen:

  • Eine Standard-StorageZone ist für nicht-vertrauliche Daten gedacht und ermöglicht Mitarbeitern das Freigeben von Daten für Personen, die keine Mitarbeiter sind. Diese Option unterstützt Workflows, bei denen Daten außerhalb Ihrer Domäne freigegeben werden.
  • Eine eingeschränkte StorageZone schützt vertrauliche Daten: Nur authentifizierte Domänenbenutzer haben Zugriff auf die in dieser Zone gespeicherten Daten.

Zugriffssteuerung

Unternehmen können jetzt mobile Geräte innerhalb und außerhalb von Netzwerken verwalten. Enterprise Mobility Management-Lösungen wie Endpoint Management eignen sich hervorragend zur Bereitstellung von Sicherheit und zur Steuerung von mobilen Geräten unabhängig vom Standort. In Verbindung mit einer NAC-Lösung (Network Access Control) erhalten Sie jedoch QoS und eine gezieltere Steuerung für Geräte innerhalb Ihres Netzwerks. Mit dieser Kombination reicht die Bewertung der Gerätesicherheit durch Endpoint Management in Ihre NAC-Lösung hinein. Die NAC-Lösung kann dann anhand der Endpoint Management-Sicherheitsbewertung Authentifizierungsentscheidungen vereinfachen und bewältigen. Citrix hat die NAC-Integration von Cisco Identity Services Engine (ISE) und ForeScout in Endpoint Management validiert. Citrix übernimmt keine Gewährleistung für die Integration anderer NAC-Lösungen.

Vorteile einer NAC-Integration in Endpoint Management:

  • Mehr Sicherheit, Compliance und Steuerung für alle Endpunkte im Unternehmensnetzwerk.
  • Eine NAC-Lösung ermöglicht Folgendes:
    • Erkennen von Geräten in dem Moment, in dem diese versuchen, eine Verbindung mit dem Netzwerk herzustellen.
    • Abfragen der Geräteattribute von Endpoint Management.
    • Entscheidung über Zulassen, Blockieren, Einschränken oder Umleiten der Geräte auf der Basis der abgefragten Informationen. Die Entscheidung hängt von den von Ihnen festgelegten Sicherheitsrichtlinien.
  • Eine NAC-Lösung bietet IT-Administratoren eine Übersicht über nicht verwaltete und nicht richtlinientreue Geräte.

Eine Beschreibung der von Endpoint Management unterstützten NAC-Richtlinientreuefilter finden Sie unter Netzwerkzugriffskontrolle (NAC).

Integration von Endpoint Management