Citrix Endpoint Management

Integration von Citrix Endpoint Management

In diesem Artikel werden die Punkte beschrieben, die bei der Integration von Citrix Endpoint Management in ein Netzwerk und in bestehende Lösungen berücksichtigt werden müssen. Falls Sie beispielsweise NetScaler Gateway bereits für Citrix Virtual Apps and Desktops verwenden:

  • Möchten Sie die vorhandene NetScaler Gateway-Instanz oder eine neue dedizierte Instanz verwenden?
  • Möchten Sie die mit StoreFront veröffentlichten HDX-Apps in Citrix Endpoint Management integrieren?
  • Planen Sie die Verwendung von Citrix Files mit Citrix Endpoint Management?
  • Haben Sie eine Network Access Control-Lösung, die Sie in Citrix Endpoint Management integrieren möchten?

NetScaler Gateway

NetScaler Gateway ist für Citrix Endpoint Management erforderlich. NetScaler Gateway bietet einen Micro-VPN-Pfad für den Zugriff auf alle Unternehmensressourcen und unterstützt eine starke Multifaktorauthentifizierung.

Sie können vorhandene NetScaler Gateway-Instanzen verwenden oder neue Instanzen für Citrix Endpoint Management einrichten. In den folgenden Abschnitten werden die Vor- und Nachteile der Verwendung vorhandener und neuer NetScaler Gateway-Instanzen aufgeführt.

Gemeinsames NetScaler Gateway MPX mit einer für Citrix Endpoint Management erstellten virtuellen NetScaler Gateway-IP-Adresse

Vorteile:

  • Verwendung einer NetScaler Gateway-Instanz für alle Citrix Remoteverbindungen: Citrix Virtual Apps, vollständiges/clientloses VPN.
  • Verwendung der bestehenden NetScaler Gateway-Konfigurationen, z. B. für die Zertifikatauthentifizierung und den Zugriff auf Dienste wie DNS, LDAP und NTP.
  • Verwendung einer einzelnen NetScaler Gateway-Plattformlizenz.

Nachteile:

  • Die Skalierungsplanung ist schwieriger, wenn zwei unterschiedliche Anwendungsfälle auf demselben NetScaler Gateway bewältigt werden.
  • In Einzelfällen wird für einen Citrix Virtual Apps-Anwendungsfall eine bestimmte NetScaler Gateway-Version benötigt. Diese Version kann jedoch zu Problemen bei Citrix Endpoint Management führen. Umgekehrt kann Citrix Endpoint Management zu Problemen bei der NetScaler Gateway-Version führen.
  • Bei einem vorhandenen NetScaler Gateway können Sie den NetScaler für XenMobile-Assistenten nicht ein zweites Mal ausführen, um die NetScaler Gateway-Konfiguration für Citrix Endpoint Management zu erstellen.
  • Auf NetScaler Gateway installierte Benutzerzugriffslizenzen, die für die VPN-Konnektivität erforderlich sind, werden gepoolt (außer bei Verwendung von Platinum-Lizenzen für NetScaler Gateway 11.1 oder höher). Da diese Lizenzen für alle virtuellen NetScaler Gateway-Server verfügbar sind, können auch andere Dienste als Citrix Endpoint Management sie verbrauchen.

Dedizierte NetScaler Gateway VPX-/MPX-Instanz

Vorteile:

Citrix empfiehlt die Verwendung einer dedizierten NetScaler Gateway-Instanz.

  • Einfachere Skalierungsplanung und Trennung des Citrix Endpoint Management-Datenverkehrs von einer möglicherweise bereits mit eingeschränkten Ressourcen laufenden NetScaler Gateway-Instanz.
  • Keine Probleme, wenn Citrix Endpoint Management und Citrix Virtual Apps unterschiedliche NetScaler Gateway-Softwareversionen erfordern. Normalerweise empfiehlt sich die Verwendung der neuesten kompatiblen NetScaler Gateway-Version für Citrix Endpoint Management.
  • Konfiguration von NetScaler Gateway für Citrix Endpoint Management über den integrierten NetScaler für XenMobile-Assistenten möglich.
  • Virtuelle und physische Trennung von Diensten.

Nachteile:

  • Erfordert die Einrichtung zusätzlicher Dienste auf NetScaler Gateway für die Citrix Endpoint Management-Konfiguration.
  • Erfordert eine zusätzliche NetScaler Gateway-Plattformlizenz. Lizenzierung jeder NetScaler Gateway-Instanz für NetScaler Gateway.

Informationen darüber, was bei der Integration von NetScaler Gateway und Citrix ADC für Citrix Endpoint Management-Verwaltungsmodi zu beachten ist, finden Sie unter Integration in NetScaler Gateway und Citrix ADC.

StoreFront

In Citrix Virtual Apps and Desktops-Umgebungen können HDX-Anwendungen mithilfe von StoreFront in Citrix Endpoint Management integriert werden. Für die Integration von HDX-Apps in Citrix Endpoint Management gilt Folgendes:

  • Die Apps stehen Benutzern zur Verfügung, die bei Citrix Endpoint Management registriert sind.
  • Die Apps werden zusammen mit anderen mobilen Apps im App-Store angezeigt.
  • Citrix Endpoint Management verwendet Citrix Receiver auf StoreFront.
  • Ist die Citrix Workspace-App auf einem Gerät installiert, wird sie von HDX-Apps verwendet.

Bei StoreFront gilt die Beschränkung auf eine Service-Site pro StoreFront-Instanz. Angenommen, Sie haben mehrere Stores und möchten sie von anderen Produktionsverwendungen trennen. In diesem Fall empfiehlt Citrix, die Verwendung einer neuen StoreFront-Instanz und -Services-Site für Citrix Endpoint Management in Betracht zu ziehen.

Folgende Punkte sind zu berücksichtigen:

  • Gibt es für StoreFront andere Authentifizierungsanforderungen? Die StoreFront Services-Site erfordert Active Directory-Anmeldeinformationen für die Anmeldung. Bei ausschließlicher Verwendung der zertifikatbasierten Authentifizierung können Anwendungen nicht über Citrix Endpoint Management mit demselben NetScaler Gateway aufgelistet werden.
  • Sollten Sie den gleichen Store verwenden oder einen Store erstellen?
  • Sollten Sie den gleichen oder einen anderen StoreFront-Server verwenden?

In den folgenden Abschnitten werden die Vor- und Nachteile der Verwendung eigener oder gemeinsamer StoreFront-Instanzen für Citrix Workspace und mobile Citrix Produktivitätsapps aufgeführt.

Integration der bestehenden StoreFront-Instanz in Citrix Endpoint Management

Vorteile:

  • Gleicher Store: Citrix Endpoint Management erfordert keine zusätzliche Konfiguration von StoreFront, vorausgesetzt es wird dieselbe NetScaler Gateway-VIP für den HDX-Zugriff verwendet. Angenommen, Sie entscheiden sich für die Verwendung desselben Stores und möchten den Citrix Workspace-Zugriff auf eine neue NetScaler Gateway-VIP umleiten. Fügen Sie in diesem Fall StoreFront die entsprechende NetScaler Gateway-Konfiguration hinzu.
  • Gleicher StoreFront-Server: Verwendung der bestehenden StoreFront-Installation und -Konfiguration.

Nachteile:

  • Gleicher Store: Jede Änderung der StoreFront-Konfiguration zur Bewältigung von Citrix Virtual Apps and Desktops-Workloads kann sich negativ auf Citrix Endpoint Management auswirken.
  • Gleicher StoreFront-Server: In großen Umgebungen müssen Sie die zusätzliche Belastung von Citrix Receiver durch Citrix Endpoint Management für die App-Auflistung und den Start berücksichtigen.

Verwenden einer neuen, dedizierten StoreFront-Instanz zur Integration in Citrix Endpoint Management

Vorteile:

  • Neuer Store: Konfigurationsänderungen am StoreFront-Store für Citrix Endpoint Management haben keine Auswirkungen auf Virtual Apps and Desktops-Workloads.
  • Neuer StoreFront-Server: Änderungen an der Serverkonfiguration wirken sich nicht auf den Virtual Apps and Desktops-Workflow aus. Außerdem beeinträchtigt die Citrix Endpoint Management-externe Nutzung von Citrix Receiver für App-Auflistung und -Start die Skalierbarkeit nicht.

Nachteile:

  • Neuer Store: StoreFront-Store-Konfiguration.
  • Neuer StoreFront-Server: erfordert eine neue StoreFront-Installation und -Konfiguration.

Weitere Informationen finden Sie unter Citrix Virtual Apps and Desktops über den App-Store.

ShareFile und Citrix Files

ShareFile ermöglicht Ihnen den einfachen und sicheren Austausch von Dokumenten, das Senden umfangreicher Dokumente per E-Mail und die sichere Übertragung von Dokumenten an Dritte. Die Citrix Files-App ermöglicht Benutzern von jedem Gerät aus den Zugriff auf all ihre Daten und deren Synchronisierung. Über Citrix Files können die Benutzer Daten mit Personen innerhalb und außerhalb der Organisation sicher teilen.

Citrix Endpoint Management bietet folgende Funktionen für Citrix Files:

  • Single Sign-On-Authentifizierung für mobile Produktivitätsappbenutzer.
  • Active Directory-basierte Benutzerkontobereitstellung.
  • Umfassende Richtlinien zur Zugriffssteuerung.

Mobile Benutzer können alle Funktionen des Enterprise-Kontos verwenden.

Alternativ können Sie Citrix Endpoint Management für die ausschließliche Integration mit Speicherzonenconnectors konfigurieren. Über Speicherzonenconnectors bietet Citrix Files Zugriff auf folgende Inhalte:

  • Dokumente und Ordner
  • Netzwerkdateifreigaben
  • In SharePoint-Sites: Sitesammlungen und Dokumentbibliotheken.

Verbundene Dateifreigaben können die gleichen Basisnetzlaufwerke enthalten wie Citrix Virtual Apps and Desktops-Umgebungen. Sie konfigurieren die Integration mit Enterprise-Konten oder Speicherzonenconnectors über die Citrix Endpoint Management-Konsole. Weitere Informationen finden Sie unter Citrix Files für Citrix Endpoint Management.

In den folgenden Abschnitten werden die Fragen aufgeführt, die Sie sich im Hinblick auf den Einsatz von Citrix Files stellen sollten.

Integration mit Citrix Files oder nur mit Speicherzonenconnectors

Zu klärende Fragen:

  • Möchten Sie Daten in von Citrix verwalteten Speicherzonen speichern?
  • Sollen die Benutzer Dateien freigeben und synchronisieren können?
  • Sollen die Benutzer Zugriff auf Dateien auf der Citrix Files-Website erhalten? Sollen die Benutzer mit Mobilgeräten auf Office 365-Inhalte und Connectors für die persönliche Cloud zugreifen können?

Designentscheidung:

  • Wenn die Antwort auf eine dieser Fragen “Ja” lautet, sollte die Integration mit einem Enterprise-Konto erfolgen.
  • Eine ausschließliche Integration mit Speicherzonenconnectors bietet iOS-Benutzern sicheren mobilen Zugriff auf bestehende lokale Speicherrepositorys, wie z. B. SharePoint-Sites und Netzwerkdateifreigaben. In dieser Konfiguration müssen Sie keine Citrix Files-Unterdomäne einrichten, Benutzer für Citrix Files bereitstellen oder Citrix Files-Daten hosten. Die Verwendung von Speicherzonenconnectors mit Citrix Endpoint Management entspricht den Sicherheitsbeschränkungen, die verhindern, dass Benutzerdaten außerhalb des Unternehmensnetzwerks gelangen.

Standort des Speicherzonencontroller-Servers

Zu klärende Fragen:

  • Benötigen Sie on-premises Speicher oder Features wie Speicherzonenconnectors?
  • Wo befinden sich bei Verwendung von on-premises Citrix Files-Features die Speicherzonencontroller im Netzwerk?

Designentscheidung:

  • Entscheiden Sie, wo Sie die Speicherzonencontroller ansiedeln: in der Citrix Files-Cloud, on-premises in einem Einmandanten-Speichersystem oder im unterstützten Cloudspeicher eines Drittanbieters.
  • Speicherzonencontroller benötigen Internetzugriff für die Kommunikation mit der Citrix Files-Steuerungsebene. Es gibt verschiedene Verbindungsmöglichkeiten, einschließlich direktem Zugriff und NAT/PAT-Konfigurationen.

Speicherzonenconnectors

Zu klärende Fragen:

  • Welches sind die CIFS-Freigabepfade?
  • Welches sind die SharePoint-URLs?

Designentscheidung:

  • Ermitteln Sie, ob on-premises Speicherzonencontroller für den Zugriff auf diese Orte erforderlich sind.
  • Aufgrund der Kommunikation zwischen Speicherzonenconnectors und internen Ressourcen wie Repositorys, CIFS-Freigaben und SharePoint empfiehlt Citrix, Speicherzonencontroller im internen Netzwerk hinter DMZ-Firewalls und mit vorgeschaltetem NetScaler Gateway anzusiedeln.

SAML-Integration in Citrix Endpoint Management

Zu klärende Fragen:

  • Ist eine Active Directory-Authentifizierung für Citrix Files erforderlich?
  • Ist SSO bei der ersten Verwendung der Citrix Files-App für Citrix Endpoint Management erforderlich?
  • Gibt es in der aktuellen Umgebung einen Standard-IdP?
  • Wie viele Domänen werden für SAML benötigt?
  • Gibt es mehrere E-Mail-Aliasse für Active Directory-Benutzer?
  • Sind Active Directory-Domänenmigrationen im Gang oder in Kürze geplant?

Designentscheidung:

SAML kann als Authentifizierungsmechanismus für Citrix Files verwendet werden. Authentifizierungsoptionen:

  • Verwendung des Citrix Endpoint Management-Servers als Identitätsanbieter (IdP) für SAML

    Diese Option kann eine hervorragende Benutzererfahrung bieten, sie automatisiert die Erstellung von Citrix Files-Konten und sie ermöglicht die Nutzung von Singe Sign-On-Features für mobile Apps.

    Der Citrix Endpoint Management-Server ist für diesen Prozess optimiert: Es ist keine Active Directory-Synchronisierung erforderlich.

    Verwenden des Citrix Files-Benutzerverwaltungstools für die Benutzerbereitstellung

  • Verwenden eines unterstützten Drittanbieter-IdPs für SAML

    Wenn Sie einen unterstützten IdP haben und keine Single Sign-On-Features für mobile Apps benötigen, ist diese Option möglicherweise am besten geeignet. Auch sie erfordert die Verwendung des Citrix Files-Benutzerverwaltungstools für die Kontobereitstellung.

    IdP-Lösungen von Drittanbietern wie ADFS bieten möglicherweise auf dem Windows-Client Single Sign-On-Features. Bewerten Sie die Anwendungsfälle vor Auswahl des SAML-Identitätsanbieters für Citrix Files.

  • Um beide Anwendungsfälle zu erfüllen, lesen Sie ShareFile Single Sign-On-Konfigurationsleitfaden für Anbieter von dualen Identitäten.

Mobile Apps

Zu klärende Fragen:

  • Welche mobile Citrix Files-App (öffentlich, MDM, MDX) möchten Sie verwenden?

Designentscheidung:

  • Sie verteilen mobile Citrix Produktivitätsapps über den App-Store von Apple und Google Play. Mit der öffentlichen App Store-Verteilung erhalten Sie umschlossene Apps von der Citrix Downloadseite.
  • Bei niedrigen Sicherheitsanforderungen (Containerization nicht erforderlich) ist die öffentliche Citrix Files-App möglicherweise ungeeignet.
  • Weitere Informationen finden Sie unter Apps und Citrix Files für Citrix Endpoint Management.

Sicherheit, Richtlinien und Zugriffssteuerung

Zu klärende Fragen:

  • Welche Einschränkungen benötigen Sie für Desktop-, Internet- und mobile Benutzer?
  • Welche Standardeinstellungen für die Zugriffssteuerung sollen für Benutzer gelten?
  • Welche Dateispeicherrichtlinie möchten Sie verwenden?

Designentscheidung:

  • Mit Citrix Files können Sie die Berechtigungen von Mitarbeitern verwalten. Weitere Informationen finden Sie unter Mitarbeiterberechtigungen.
  • Einige Citrix Files-Einstellungen zur Gerätesicherheit steuern dieselben Features wie MDX-Richtlinien. In diesen Fällen haben die Citrix Endpoint Management-Richtlinien Vorrang, gefolgt von den Citrix Files-Einstellungen. Beispiel: Wenn Sie externe Apps in Citrix Files deaktivieren, in Citrix Endpoint Management jedoch aktivieren, werden die externen Apps in Citrix Files deaktiviert. Sie können die Apps so konfigurieren, dass Citrix Endpoint Management keine(n) PIN/Passcode anfordert, die Citrix Files-App jedoch schon.

Standard-Speicherzonen oder eingeschränkte Speicherzonen

Zu klärende Fragen:

  • Benötigen Sie eingeschränkte Speicherzonen?

Designentscheidung:

  • Eine Standard-Speicherzone ist für nicht-vertrauliche Daten gedacht und ermöglicht Mitarbeitern das Freigeben von Daten für Personen, die keine Mitarbeiter sind. Diese Option unterstützt Workflows, bei denen Daten außerhalb Ihrer Domäne freigegeben werden.
  • Eine eingeschränkte Speicherzone schützt vertrauliche Daten: Nur authentifizierte Domänenbenutzer haben Zugriff auf die in dieser Zone gespeicherten Daten.

Zugriffssteuerung

Unternehmen können mobile Geräte innerhalb und außerhalb von Netzwerken verwalten. Enterprise Mobility Management-Lösungen wie Citrix Endpoint Management eignen sich hervorragend zur Bereitstellung von Sicherheit und zur Steuerung von mobilen Geräten unabhängig vom Standort. In Kombination mit einer NAC-Lösung (Network Access Control) erhalten Sie jedoch QoS und eine gezieltere Steuerung für Geräte innerhalb Ihres Netzwerks. Mit dieser Kombination reicht die Bewertung der Gerätesicherheit durch Citrix Endpoint Management in Ihre NAC-Lösung hinein. Die NAC-Lösung kann dann anhand der Citrix Endpoint Management-Sicherheitsbewertung Authentifizierungsentscheidungen vereinfachen und bewältigen.

Sie können NAC-Richtlinien mit jeder der folgenden Lösungen durchsetzen:

  • NetScaler Gateway
  • ForeScout

Citrix übernimmt keine Gewährleistung für die Integration anderer NAC-Lösungen.

Vorteile einer NAC-Integration in Citrix Endpoint Management:

  • Mehr Sicherheit, Compliance und Steuerung für alle Endpunkte im Unternehmensnetzwerk.
  • Eine NAC-Lösung ermöglicht Folgendes:
    • Erkennen von Geräten in dem Moment, in dem diese versuchen, eine Verbindung mit dem Netzwerk herzustellen.
    • Abfragen der Geräteattribute von Citrix Endpoint Management.
    • Entscheidung über Zulassen, Blockieren, Einschränken oder Umleiten der Geräte auf der Basis der abgefragten Geräteinformationen. Die Entscheidung hängt von den von Ihnen festgelegten Sicherheitsrichtlinien ab.
  • Eine NAC-Lösung bietet IT-Administratoren eine Übersicht über nicht verwaltete und nicht richtlinientreue Geräte.

Eine Beschreibung der von Citrix Endpoint Management unterstützten NAC-Richtlinientreuefilter und eine Konfigurationsübersicht finden Sie unter Netzwerkzugriffssteuerung (NAC).

Integration von Citrix Endpoint Management