Citrix Endpoint Management

Authentifizierung mit Azure Active Directory über Citrix Cloud

Endpoint Management unterstützt die Authentifizierung mit Azure Active Directory (Azure AD)-Anmeldeinformationen über Citrix Cloud. Diese Authentifizierungsmethode steht nur Benutzern zur Verfügung, die sich über die Citrix Workspace-App oder Citrix Secure Hub bei MDM registrieren. Wenn Endpoint Management Workspace-fähig ist, greifen Benutzer über die Citrix Workspace-App auf Ressourcen zu. Wenn Sie die Citrix Workspace-Integration mit Citrix Endpoint Management nicht aktivieren, greifen Benutzer von Secure Hub aus auf Ressourcen zu.

Geräte, die sich bei MAM registrieren, können sich nicht mit Azure AD-Anmeldeinformationen über Citrix Cloud authentifizieren. Um Secure Hub mit MDM+MAM zu verwenden, konfigurieren Sie Endpoint Management zur Verwendung von Citrix Gateway für die MAM-Registrierung. Weitere Informationen finden Sie unter Citrix Gateway und Endpoint Management.

Endpoint Management verwendet die Citrix-Identität, einen Service von Citrix Cloud, für den Verbindungsaufbau mit Azure Active Directory. Citrix empfiehlt, dass Sie den Citrix-Identitätsanbieter und keine direkte Verbindung mit Azure Active Directory verwenden.

Endpoint Management unterstützt die Authentifizierung mit Azure AD für die folgenden Plattformen:

  • iOS-Geräte
  • Android Enterprise-Geräte (Preview) im BYOD- und vollständig verwalteten Modus
  • Android-Geräte, die im Legacy-Geräteverwaltungsmodus ausgeführt werden

Für die Authentifizierung mit Azure AD über Citrix Cloud gelten folgende Einschränkungen:

  • Nicht für lokale Endpoint Management-Konten verfügbar.
  • Unterstützt keine Authentifizierung mit Azure AD für Registrierungseinladungen. Wenn Sie eine Registrierungseinladung mit einer Registrierungs-URL senden, authentifizieren sich die Benutzer über LDAP anstelle von Azure AD.

Voraussetzungen

  • Azure Active Directory-Benutzeranmeldeinformationen
  • Benutzergruppen in Active Directory müssen mit den Benutzergruppen in Azure Active Directory übereinstimmen.
  • Benutzernamen und E-Mail-Adressen in Active Directory müssen mit denen in Azure Active Directory übereinstimmen.
  • Citrix Cloud-Konto mit installiertem Citrix Cloud Connector für die Synchronisierung der Verzeichnisdienste.
  • Citrix Gateway. Citrix empfiehlt die Aktivierung der zertifikatbasierten Authentifizierung für die komplette Single-Sign-On-Erfahrung. Wenn Sie die LDAP-Authentifizierung für das Citrix Gateway für die MAM-Registrierung verwenden, erhalten Endbenutzer bei der Registrierung zwei Authentifizierungsanforderungen. Weitere Informationen finden Sie unter Authentifizierung mit Clientzertifikat oder Zertifikat und Domäne.
  • Secure Hub, wenn Endpoint Management nicht Workspace-fähig ist.
  • Citrix Workspace-App, wenn Endpoint Management Workspace-fähig ist. Weitere Informationen zum Aktivieren der Citrix Workspace-Integration finden Sie unter Workspacekonfiguration.
  • Legen Sie in Registrierungsprofilen für Android Enterprise die Option Benutzer dürfen Geräteverwaltung ablehnen auf Aus fest. Wenn Benutzer die Geräteverwaltung ablehnen, können sie sich bei der Authentifizierung nicht mit einem Identitätsanbieter registrieren. Weitere Informationen finden Sie unter Registrierungssicherheit.

Sie können dieses Feature mit und ohne aktivierte Workspace-Benutzeroberfläche konfigurieren.

Konfiguration mit Workspace-fähigem Endpoint Management

Wenn Sie Endpoint Management mit Citrix Workspace integrieren, können Sie die Authentifizierung mit Azure AD über Citrix Cloud folgendermaßen konfigurieren:

  1. Konfigurieren Sie in Citrix Cloud Azure AD als Identitätsanbieter.
  2. Konfigurieren Sie Azure AD als Authentifizierungsmethode für Citrix Workspace.

Konfiguration mit nicht Workspace-fähigem Endpoint Management

Wenn Citrix Workspace nicht für Endpoint Management aktiviert ist, können Sie die Authentifizierung mit Azure AD über Citrix Cloud folgendermaßen konfigurieren:

  1. Konfigurieren Sie in Citrix Cloud Azure AD als Identitätsanbieter.
  2. Konfigurieren Sie Citrix-Identität als IdP-Typ für Endpoint Management.

Nach dieser Konfiguration können domänengebundene Secure Hub-Benutzer sich über Secure Hub mit ihren Azure AD-Anmeldeinformationen anmelden. Secure Hub verwendet die Clientzertifikat-Authentifizierung für MAM-Geräte.

Konfigurieren von Azure Active Directory als Identitätsanbieter (IdP) in Citrix Cloud

Um diesen Dienst mit der Citrix Workspace-App und Secure Hub zu verwenden, konfigurieren Sie Azure Active Directory in Citrix Cloud.

  1. Melden Sie sich unter https://citrix.cloud.com an Ihrem Citrix Cloud-Konto an.

  2. Stellen Sie im Citrix Cloud-Menü auf der Seite Identitäts- und Zugriffsverwaltung eine Verbindung mit Azure Active Directory her.

  3. Geben Sie Ihre Administrator-Anmelde-URL ein und klicken Sie auf Verbinden.

    Citrix Cloud-Bildschirm

  4. Nach der Anmeldung wird Ihr Azure Active Directory-Konto mit Citrix Cloud verbunden. Auf der Seite Identitäts- und Zugriffsverwaltung > Authentifizierung sehen Sie, mit welchen Konten Sie sich bei den Citrix Cloud- und Azure AD-Konten anmelden.

  5. Um die Authentifizierung mit Azure AD für Benutzer zu aktivieren, die sich über die Citrix Workspace-App und Secure Hub registrieren, wählen Sie unter Workspacekonfiguration > Authentifizierung die Option Azure Active Directory. Nach Abschluss der Konfiguration können Sie Benutzergeräte über die Citrix Workspace-App und Secure Hub registrieren.

Konfigurieren der Citrix-Identität als IdP-Typ für Endpoint Management

Diese Konfiguration gilt nur für Benutzer, die sich über Secure Hub registrieren. Nach dem Konfigurieren von Azure Active Directory in Citrix Cloud konfigurieren Sie Endpoint Management wie nachfolgend beschrieben.

  1. Navigieren Sie in der Endpoint Management-Konsole zu Einstellungen > Identitätsanbieter (IdP) und klicken Sie auf Hinzufügen.

  2. Konfigurieren Sie auf der Seite Identitätsanbieter (IdP) folgende Einstellungen:

    • IdP-Name: Geben Sie einen eindeutigen Namen für die IdP-Verbindung ein, die Sie erstellen.
    • IdP-Typ: Wählen Sie Citrix-Identitätsplattform.
    • Auth-Domäne: Wählen Sie Azure Active Directory. Diese Domäne entspricht der Identitätsanbieterdomäne auf der Seite Workspacekonfiguration > Authentifizierung in Citrix Cloud.
  3. Klicken Sie auf Weiter. Konfigurieren Sie folgende Einstellungen auf der Seite IdP-Anspruchsverwendung:

    • Benutzer-ID-Typ: Dieses Feld ist standardmäßig auf userPrincipalName festgelegt. Stellen Sie sicher, dass Sie alle Benutzer im on-premises Active Directory und in Azure Active Directory mit derselben ID konfigurieren. Endpoint Management verwendet diese ID, um Benutzer im Identitätsanbieter den on-premises Active Directory-Benutzern zuzuordnen.
    • Benutzer-ID-Zeichenfolge: Dieses Feld wird automatisch ausgefüllt.
  4. Klicken Sie auf Weiter, lesen Sie die Zusammenfassung und klicken Sie auf Speichern.

    Benutzer von Secure Hub, der Endpoint Management-Konsole und des Selbsthilfeportals können sich jetzt mit ihren Azure Active Directory-Anmeldeinformationen anmelden.

Verfahren zur Authentifizierung in Secure Hub

Endpoint Management verwendet das folgende Verfahren, um Benutzer mit Azure AD als Identitätsanbieter auf Geräten zu authentifizieren, die über Secure Hub registriert sind:

  1. Ein Benutzer startet Secure Hub.
  2. Die Authentifizierungsanforderung wird von Secure Hub an die Citrix-Identität und von dort an Azure Active Directory geleitet.
  3. Der Benutzer gibt den Benutzernamen und das Kennwort für Azure Active Directory ein.
  4. Azure Active Directory überprüft den Benutzer und sendet einen Code an die Citrix-Identität.
  5. Die Citrix-Identität sendet den Code an Secure Hub, von wo er an den Endpoint Management-Server weitergeleitet wird.
  6. Endpoint Management fordert mit dem Code und dem geheimen Schlüssel einen ID-Token an und überprüft die Benutzerinformationen im ID-Token. Endpoint Management gibt eine Sitzungs-ID zurück.
Authentifizierung mit Azure Active Directory über Citrix Cloud