Citrix Endpoint Management

Richtlinie für verwaltete Konfigurationen

Mit der Richtlinie für verwaltete Konfigurationen können Sie verschiedene App-Konfigurationsoptionen und App-Einschränkungen steuern. Sie erstellen diese Richtlinie für jede Android Enterprise-App, die Sie steuern möchten.

Der App-Entwickler legt fest, welche Optionen und QuickInfos für eine App verfügbar sind. Wenn in einer QuickInfo von einem “Vorlagenwert” gesprochen wird, verwenden Sie stattdessen das entsprechende Citrix Endpoint Management-Makro. Weitere Informationen finden Sie unter Remote configuration overview(auf der Android-Entwicklerwebsite) und Makros.

Die App-Konfigurationseinstellungen können folgende Elemente umfassen:

  • E-Mail-App-Einstellungen
  • Zulassen oder Blockieren von URLs für einen Webbrowser
  • Option für eine gesteuerte Synchronisierung von App-Inhalten über eine Mobilfunkverbindung oder nur über eine Wi-Fi-Verbindung

Weitere Informationen zu den Einstellungen für Ihre Apps erhalten Sie vom App-Entwickler.

Voraussetzungen

  • Schließen Sie die Aufgaben zum Android Enterprise-Setup auf Google ab und verbinden Sie Android Enterprise mit verwaltetem Google Play. Weitere Informationen finden Sie unter Android Enterprise.
  • Fügen Sie Android Enterprise-Apps in Citrix Endpoint Management hinzu. Weitere Informationen finden Sie unter Hinzufügen von Apps in Citrix Endpoint Management.

Zum Hinzufügen oder Konfigurieren dieser Richtlinie gehen Sie zu Konfigurieren > Geräterichtlinien. Weitere Informationen finden Sie unter Geräterichtlinien.

Anforderungen für Pro-App-VPNs

Um ein Pro-App-VPN für Android Enterprise zu erstellen, müssen Sie zusätzlich zur Konfiguration der Geräterichtlinie für verwaltete Konfigurationen weitere Schritte ausführen. Außerdem müssen Sie sicherstellen, dass die folgenden Voraussetzungen erfüllt sind:

  • On-Premises NetScaler Gateway
  • Die folgenden Anwendungen sind auf dem Gerät installiert:
    • Citrix SSO
    • Citrix Secure Hub

Ein allgemeiner Workflow zur Konfiguration eines Pro-App-VPN für AE-Geräte ist wie folgt:

  1. Konfigurieren Sie ein VPN-Profil wie in diesem Artikel beschrieben.

  2. Konfigurieren Sie Citrix ADC so, dass es Datenverkehr vom Pro-App-VPN akzeptiert. Weitere Informationen finden Sie unter Setup des vollständigen VPNs in NetScaler Gateway.

Einschränkungen

Die folgenden Einschränkungen gelten für Pro-App-VPNs auf Android 11+-Geräten in einer Android Enterprise-Umgebung verwenden, aufgrund von Paketsichtbarkeitsbeschränkungen, die in Android 11 eingeführt wurden:

  • Wenn eine App aus der Liste der erlaubten/verweigerten Apps nach VPN-Sitzungsstart auf einem Gerät bereitgestellt wird, muss der Benutzer die VPN-Sitzung neu starten, damit der App-Datenverkehr durch die VPN-Sitzung geleitet werden kann.

  • Wenn ein Pro-App-VPN über eine Always-On-VPN-Sitzung verwendet wird, muss der Benutzer nach der Installation einer neuen App auf dem Gerät das Arbeitsprofil oder das Gerät neu starten, damit der App-Datenverkehr durch die VPN-Sitzung geleitet werden kann.

Hinweis:

Diese Einschränkungen gelten nicht bei Verwendung von Citrix SSO für Android 23.8.1 oder höher. Weitere Informationen finden Sie unter Automatic restart of Always On VPN.

Android Enterprise-Einstellungen

Nachdem Sie eine Richtlinie für verwaltete Konfigurationen hinzugefügt haben, werden Sie zur Auswahl einer App aufgefordert. Wenn Citrix Endpoint Management keine Android Enterprise-Apps hinzugefügt wurden, können Sie nicht fortfahren.

Nachdem Sie eine App ausgewählt haben, konfigurieren Sie die Richtlinieneinstellungen. Die Einstellungen sind App-spezifisch.

Konfigurationsbildschirm für Geräterichtlinien

Konfigurieren von VPN-Profilen für Android Enterprise

Stellen Sie VPN-Profile auf Android Enterprise-Geräten mit der Citrix SSO-App und der Geräterichtlinie für verwaltete Konfigurationen bereit.

Fügen Sie zunächst Citrix SSO als Google Play Store-App zur Citrix Endpoint Management-Konsole hinzu (siehe Hinzufügen von Apps aus einem öffentlichen App-Store).

SSO-App in der Konsole

Mehr erfahren Sie in diesem Video:

Konfigurieren der erweiterten VPN-Verwaltung bei Android-Geräten

Erstellen einer verwalteten Android Enterprise-Konfiguration für Citrix SSO

Konfigurieren Sie zum Erstellen von VPN-Profilen die Geräterichtlinie für verwaltete Konfigurationen für Citrix SSO. Geräte mit installierter Citrix SSO-App und bereitgestellter Richtlinie können auf die von Ihnen erstellten VPN-Profile zugreifen.

Unter folgenden Bedingungen verwendet Citrix Endpoint Management das Benutzerzertifikat im Geräteschlüsselspeicher:

  • NetScaler Gateway ist für die zertifikatbasierte Authentifizierung konfiguriert.
  • Benutzerzertifikat für Authentifizierung bereitstellen ist in Citrix Endpoint Management auf der Seite Einstellungen > NetScaler Gateway aktiviert.

Sie benötigen Ihren NetScaler Gateway-FQDN und -Port.

  1. Klicken Sie in der Citrix Endpoint Management-Konsole auf Konfigurieren > Geräterichtlinien. Klicken Sie auf Hinzufügen.

  2. Wählen Sie Android Enterprise. Klicken Sie auf Verwaltete Konfigurationen.

    Wählen von Android Enterprise-Richtlinien

  3. Im dann angezeigten Fenster Anwendungs-ID auswählen wählen Sie Citrix SSO aus der Liste aus und klicken auf OK.

    Fenster "Anwendungs-ID auswählen"

  4. Geben Sie einen Namen und eine Beschreibung für Ihre VPN-Konfiguration mit Citrix SSO ein. Klicken Sie auf Weiter.

    Assistent für verwaltete Android Enterprise-Konfigurationen

  5. Konfigurieren Sie VPN-Profilparameter.

    • VPN-Profilname: Geben Sie einen Namen für das VPN-Profil ein. Wenn Sie mehrere VPN-Profile erstellen, verwenden Sie für jedes Profil einen eindeutigen Namen. Wenn Sie keinen Namen angeben, wird die im Feld Serveradresse eingegebene Adresse als VPN-Profilname verwendet.

    • Serveradresse (*): Geben Sie Ihren NetScaler Gateway-FQDN ein. Geben Sie auch den NetScaler Gateway-Port ein, wenn Sie nicht Port 443 verwenden. Verwenden Sie das URL-Format. Beispiel: https://gateway.mycompany.com:8443.

    • Benutzername (optional): Geben Sie den Benutzernamen an, den Endbenutzer für die Authentifizierung beim NetScaler Gateway verwenden. Sie können für dieses Feld auch das Citrix Endpoint Management-Makro {user.username} verwenden. (Siehe Makros.) Wenn Sie keinen Benutzernamen angeben, werden Benutzer beim Herstellen einer Verbindung mit NetScaler Gateway aufgefordert, einen Benutzernamen anzugeben.

    • Kennwort (optional): Geben Sie das Kennwort an, das Endbenutzer für die Authentifizierung beim NetScaler Gateway verwenden. Wenn Sie kein Kennwort angeben, werden Benutzer beim Herstellen einer Verbindung mit NetScaler Gateway aufgefordert, ein Kennwort anzugeben.

    • Zertifikatalias (optional): Geben Sie einen Zertifikatalias ein. Der Zertifikatalias erleichtert der App den Zugriff auf das Zertifikat. Wenn derselbe Zertifikatalias mit der Anmeldeinformationsrichtlinie verwendet wird, ruft die App automatisch das Zertifikat ab und authentifiziert das VPN.

    • Angeheftete Gateway-Zertifikate (optional): JSON-Objekt, das die angehefteten Zertifikate für NetScaler Gateway beschreibt. Beispielwert: {"hash-alg" : "sha256", "pinset" : ["AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=", "BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB="]}. Weitere Informationen finden Sie unter NetScaler Gateway certificate pinning with Android Citrix SSO.

    • Pro-App-VPN-Typ (optional): Wenn Sie mit Pro-App-VPN beschränken, welche Apps das VPN verwenden, können Sie diese Einstellung konfigurieren. Bei Auswahl von Zulassen wird der Netzwerkdatenverkehr für die in der App-Liste für Pro-App-VPN aufgeführten App-Paketnamen über das VPN geleitet. Der Netzwerkverkehr aller anderen Apps wird nicht über das VPN geleitet. Bei Auswahl von Nicht zulassen wird der Netzwerkdatenverkehr für die in der App-Liste für Pro-App-VPN aufgeführten App-Paketnamen nicht über das VPN geleitet. Der Netzwerkverkehr aller anderen Apps wird über das VPN geleitet. Die Standardeinstellung ist Zulassen.

    • App-Liste für Pro-App-VPN: Eine Liste aller Apps, deren Datenverkehr auf dem VPN zugelassen oder blockiert ist, festgelegt durch den Wert für Pro-App-VPN-Typ. Die App-Paketnamen sind durch Kommas oder Semikolons in der Liste getrennt. Die Groß- und Kleinschreibung wird berücksichtigt und die Schreibweise der App-Paketnamen in der Liste müssen mit dem Namen im Google Play Store identisch sein. Diese Liste ist optional. Beim Provisioning eines geräteweiten VPNs lassen Sie die Liste unausgefüllt.

    • VPN-Standardprofil: Geben Sie den Namen des VPN-Profils ein, das verwendet werden soll, wenn Benutzer in der Citrix SSO-App nicht auf ein bestimmtes Profil, sondern auf die Verbindungsoption tippen. Wenn dieses Feld leer gelassen wird, wird das Hauptprofil für die Verbindung verwendet. Wenn nur ein Profil konfiguriert ist, wird es als Standardprofil markiert. Für Always-On-VPN muss dieses Feld auf den Namen des VPN-Profils gesetzt werden, das für das Always-On-VPN verwendet werden soll.

    • Benutzerprofile deaktivieren: Bei der Einstellung “Ein” können Benutzer keine eigenen VPNs auf ihren Geräten erstellen. Bei der Einstellung “Aus” können Benutzer eigene VPNs auf ihren Geräten erstellen. Die Standardeinstellung ist Aus.

    • Nicht vertrauenswürdige Server blockieren: Diese Einstellung ist in den folgenden Szenarios auf “Aus” gesetzt:

      • Sie verwenden ein selbstsigniertes Zertifikat für NetScaler Gateway
      • Das Stammzertifikat für die Zertifizierungsstelle, die das NetScaler Gateway-Zertifikat ausstellt, ist nicht in der Liste der Systemzertifizierungsstellen aufgeführt.

      Bei der Einstellung “Ein” wird das NetScaler Gateway-Zertifikat vom Android-Betriebssystem überprüft. Wenn die Validierung fehlschlägt, wird die Verbindung nicht zugelassen. Der Standardwert ist “Ein”.

    Assistent für verwaltete Android Enterprise-Konfigurationen

  6. Optional können Sie benutzerdefinierte Parameter erstellen. Die benutzerdefinierten Parameter XenMobileDeviceId und UserAgent werden unterstützt. Wählen Sie die aktuelle VPN-Konfiguration und klicken Sie auf Hinzufügen.

    Assistent für verwaltete Android Enterprise-Konfigurationen

    Parametername Beschreibung Wert
    XenMobileDeviceId Dies ist die Geräte-ID, die für die Netzwerkzugriffsprüfung basierend auf der Geräteregistrierung in Citrix Endpoint Management verwendet wird. Wenn das Gerät von Citrix Endpoint Management registriert und verwaltet wird, wird die VPN-Verbindung zugelassen. Andernfalls schlägt die Authentifizierung bei der VPN-Einrichtung fehl. Damit der Registrierungs- und Verwaltungsstatus von Geräten in Citrix Endpoint Management bestimmt werden kann, wird der Wert für XenMobileDeviceID auf DeviceID_${device.id} festgelegt.
    UserAgent Dieser Text wird zur zusätzlichen Prüfung von NetScaler Gateway an den User-Agent-HTTP-Header angehängt. Der Wert dieses Textes wird während der Kommunikation mit NetScaler Gateway von der Citrix SSO-App an den User-Agent-HTTP-Header angehängt. Geben Sie den Text ein, den Sie an den User-Agent-HTTP-Header anhängen möchten. Dieser Text muss den Vorgaben für den HTTP-User-Agent entsprechen.
    EnableDebugLogging Debug-Protokollierung in der Citrix SSO-App aktivieren, um VPN-Verbindungsprobleme bei Always-On-VPN zu beheben. Sie können es in einer beliebigen verwalteten VPN-Konfiguration aktivieren. Die Debug-Protokollierung wird wirksam, wenn die verwalteten Konfigurationen verarbeitet werden. True: Aktiviert die Debug-Protokollierung. Standardwert: False

    Assistent für verwaltete Android Enterprise-Konfigurationen

    Zum Erstellen eines weiteren benutzerdefinierten Parameters klicken Sie erneut auf Hinzufügen.

  7. Optional können Sie weitere VPN-Profilkonfigurationen erstellen. Klicken Sie unter der Liste der Konfigurationen auf Hinzufügen. Eine neue Konfiguration wird in der Liste angezeigt. Wählen Sie die neue Konfiguration aus und wiederholen Sie Schritt 5 und optional Schritt 6.

    Assistent für verwaltete Android Enterprise-Konfigurationen

  8. Wenn Sie alle gewünschten VPN-Profile erstellt haben, klicken Sie auf Weiter.

  9. Konfigurieren Sie Bereitstellungsregeln für diese verwaltete Konfiguration für Citrix SSO.

  10. Klicken Sie auf Speichern.

Diese verwaltete Konfiguration für Citrix SSO wird nun in der Liste der konfigurierten Geräterichtlinien angezeigt.

Zum Aktivieren von Always-On für die konfigurierten VPN-Profile, setzen Sie die Citrix Endpoint Management-Optionsrichtlinie für Geräte.

Hinweis:

Citrix Secure Hub 19.5.5 oder höher ist für Always-On-VPN für Android Enterprise erforderlich.

Zugriff vom Gerät auf VPN-Profile

Für den Zugriff auf die von Ihnen erstellten VPN-Profile installieren Android Enterprise-Benutzer Citrix SSO aus dem verwalteten Google Play Store.

Die konfigurierten VPN-Profile werden im Bereich Verwaltete Verbindungen der App angezeigt. Benutzer tippen auf das gewünschte VPN-Profil, um eine Verbindung herzustellen.

Bereich "Verwaltete Verbindungen" der SSO-App auf dem Gerät

Nachdem Benutzer sich authentifiziert und eine Verbindung hergestellt haben, wird neben dem VPN-Profil ein Häkchen angezeigt. Das Schlüsselsymbol zeigt an, dass eine Verbindung zum VPN vorliegt.

Verwalten von Android-Geräten von Zebra mit Zebra OEMConfig

Verwalten Sie Android-Geräte von Zebra mit OEMConfig-Tool von Zebra Technologies. Weitere Informationen zu Zebra OEMConfig finden Sie auf der Website von Zebra Technologies.

Citrix Endpoint Management unterstützt Zebra OEMConfig ab Version 9.2. Informationen zu den Systemanforderungen für die Installation von Zebra OEMConfig auf Geräten finden Sie unter OEMConfig-Setup auf der Website von Zebra Technologies.

Wir unterstützen derzeit die folgenden Zebra-Geräte:

  • EC50, EC55, ET56

  • TC52x, TC52x-HC

  • TC52ax, TC52ax-HC

  • TC57x

Fügen Sie zunächst Zebra OEMConfig in der Citrix Endpoint Management-Konsole als Google Play Store-App hinzu (siehe Hinzufügen von Apps aus einem öffentlichen App-Store).

Erstellen einer verwalteten Android Enterprise-Konfiguration für Zebra OEMConfig

Konfigurieren Sie die Geräterichtlinie für verwaltete Konfigurationen für die Zebra OEMConfig-App. Die Richtlinie gilt für Zebra-Geräte, auf denen die Zebra OEMConfig-App installiert und die Richtlinie bereitgestellt ist.

  1. Klicken Sie in der Citrix Endpoint Management-Konsole auf Konfigurieren > Geräterichtlinien. Klicken Sie auf Hinzufügen.

  2. Wählen Sie Android Enterprise. Klicken Sie auf Verwaltete Konfigurationen.

    Wählen von Android Enterprise-Richtlinien

  3. Im dann angezeigten Fenster Anwendungs-ID auswählen wählen Sie ZebraOEMConfig powered by MX aus der Liste aus und klicken auf OK.

  4. Geben Sie einen Namen und eine Beschreibung für Ihre Zebra OEMConfig-Konfiguration ein. Klicken Sie auf Weiter.

  5. Geben Sie einen Namen für die Zebra OEMConfig-Konfiguration ein.

  6. Konfigurieren Sie die verfügbaren Parameter. Beispiel:

    • Zum Deaktivieren der Kamera an der Vorderseite des Geräts wählen Sie Camera Configuration und legen Use of Front Camera auf Off fest.
    • Um das Zeitformat zu ändern, wählen Sie Clock Configuration und legen für Time Format die Option 12 (12-Stunden-Format) oder 24 (24-Stunden-Format) fest.

Eine Liste und Beschreibungen aller verfügbaren Konfigurationen finden Sie unter Verwaltete Zebra-Konfigurationen auf der Website von Zebra Technologies.

  1. Optional können Sie weitere Zebra OEMConfig-Konfigurationen erstellen. Klicken Sie unter der Liste der Konfigurationen auf Hinzufügen. Eine neue Konfiguration wird in der Liste angezeigt. Wählen Sie die neue Konfiguration aus und konfigurieren Sie die Parameter.

  2. Wenn Sie alle gewünschten Zebra OEMConfig Konfigurationen erstellt haben, klicken Sie auf Weiter.

  3. Konfigurieren Sie Bereitstellungsregeln für diese verwaltete Konfiguration für Zebra OEMConfig.

  4. Klicken Sie auf Speichern.

Richtlinie für verwaltete Konfigurationen