Citrix Endpoint Management

Vorbereitung zum Registrieren von Geräten und Bereitstellen von Ressourcen

Wichtig:

Bevor Sie fortfahren, müssen Sie alle Schritte ausführen, die unter Onboarding und Einrichten von Ressourcen beschrieben werden.

Halten Sie Ihre Benutzer über bevorstehende Änderungen auf dem Laufenden. Siehe Willkommen beim Citrix Endpoint Management User Adoption Kit.

Endpoint Management unterstützt verschiedene Registrierungsoptionen. In diesem Artikel wird das Basissetup beschrieben, das für die Registrierung aller unterstützten Geräte erforderlich ist. Die folgende Abbildung fasst die Grundschritte für das Setup zusammen.

Workflowdiagramm: Vorbereiten einer Umgebung für die Geräteregistrierung

Eine Liste der unterstützten Geräte finden Sie unter Unterstützte Gerätebetriebssysteme.

Einrichten eines APNs-Zertifikats für iOS-Geräte

Wichtig:

Apple stellt die Unterstützung für das Legacy-APNs-Binärprotokoll am 31. März 2021 ein. Apple empfiehlt, stattdessen die Verwendung der HTTP/2-basierten APNS-Anbieter-API zu verwenden. Citrix Endpoint Management unterstützt die HTTP/2-basierte API ab Release 20.1.0. Weitere Informationen finden Sie unter “Apple Push Notification Service Update” auf https://developer.apple.com/. Hilfe zum Überprüfen der Konnektivität zu APNs finden Sie unter Konnektivitätsprüfungen.

Endpoint Management erfordert ein APNs (Apple Dienst für Pushbenachrichtigungen)-Zertifikat von Apple, um iOS-Geräte zu registrieren und zu verwalten. Endpoint Management erfordert außerdem ein APNs-Zertifikat für Secure Mail für iOS-Pushbenachrichtigungen.

Einrichten von Firebase Cloud Messaging (FCM) für Android-Geräte

Firebase Cloud Messaging (FCM) steuert, wie und wann Android-Geräte eine Verbindung zum Endpoint Management-Dienst herstellen. Sicherheitsaktionen oder Bereitstellungsbefehle lösen eine Pushbenachrichtigung aus. Die Benachrichtigung fordert Benutzer auf, sich neu mit Endpoint Management zu verbinden.

  • Für das FCM-Setup müssen Sie Ihr Google-Konto konfigurieren. Erstellen der Google Play-Anmeldeinformationen, siehe Verwalten der Developer-Kontoinformationen. Sie verwenden auch Google Play zum Hinzufügen, Erwerben und Genehmigen von Apps für die Bereitstellung in dem Android Enterprise-Workspace von Geräten. Über Google Play können Sie private Android-Apps, öffentliche Apps und solche von Drittanbietern bereitstellen.

  • Informationen zum Einrichten von FCM finden Sie unter Firebase Cloud Messaging.

Einrichten von Endpoint Management AutoDiscovery Service

Der Autodiscoverydienst vereinfacht die Registrierung von Benutzern über eine E-Mail-basierte URL-Erkennung. Citrix Workspace-Kunden erhalten mit dem Autodiscoverydienst zudem Features wie die Registrierungsüberprüfung, das Zertifikatpinning sowie weitere Vorteile. Der in Citrix Cloud gehostete Dienst ist wichtiger Bestandteil vieler Endpoint Management-Bereitstellungen.

Der Autodiscoverydienst bietet folgende Vorteile:

  • Benutzer können ihre Geräte mit den Anmeldeinformationen für das Unternehmensnetzwerk registrieren.
  • Benutzer müssen keine Details zur Endpoint Management-Serveradresse eingeben.
  • Der Benutzername wird im Benutzerprinzipalnamenformat (UPN) eingegeben Beispiel: user@mycompany.com.

Die Verwendung des Autodiscoverydiensts wird für Umgebungen mit hohem Sicherheitsbedarf empfohlen. Der Autodiscoverydienst unterstützt das Zertifikatpinning und verhindert auf diese Weise Man-in-the-Middle-Angriffe. Zertifikatpinning stellt sicher, dass das von Ihrem Unternehmen signierte Zertifikat bei der Kommunikation zwischen Citrix-Clients und Endpoint Management verwendet wird. Wenden Sie sich an den Citrix Support, um das Zertifikatpinning für Ihre Endpoint Management-Sites zu konfigurieren. Informationen über das Zertifikatpinning finden Sie unter Zertifikatpinning.

Für den Zugriff auf den Autodiscoverydienst navigieren Sie zu https://adsui.cloud.com (Unternehmen) oder https://adsui.cem.cloud.us (Behörden).

Voraussetzungen

  • Der neue Autodiscoverydienst in Citrix Cloud erfordert die neueste Version von Secure Hub:
    • Für iOS: Secure Hub Version 21.1.0 oder höher
    • Für Android: Secure Hub Version 21.2.1 oder höher

      Bei Geräten mit früheren Versionen von Secure Hub kann es zu Dienstausfällen kommen.

  • Um auf den neuen AutoDiscovery-Dienst zugreifen zu können, benötigen Sie ein Citrix Cloud-Administratorkonto mit Vollzugriff. Der AutoDiscovery-Dienst unterstützt keine Administratorkonten mit benutzerdefiniertem Zugriff. Wenn Sie noch kein Konto haben, bitte Registrierung bei Citrix Cloud lesen.

    Citrix hat alle vorhandenen AutoDiscovery-Datensätze ohne Betriebsunterbrechung in Citrix Cloud migriert. Die migrierten Datensätze werden nicht automatisch in der neuen Konsole angezeigt. Sie müssen Domänen im neuen AutoDiscovery-Dienst zurückfordern, um die Inhaberschaft nachzuweisen. Weitere Informationen finden Sie unter CTX312339.

  • Bevor Sie den Autodiscoverydienst für Ihre Endpoint Management-Bereitstellungen verwenden, müssen Sie Ihre Domäne verifizieren und beanspruchen. Sie können bis zu 10 Domänen beanspruchen. Die verifizierte und beanspruchte Domäne wird dann mit dem Autodiscoverydienst verknüpft. Um mehr als 10 Domänen zu beanspruchen, erstellen Sie ein SRE-Ticket oder kontaktieren Sie den technischen Support von Citrix.
  • Verwenden Sie die Einstellung MAM-Port anstelle von Citrix Gateway-FQDN, um MAM-Datenverkehr an Ihr Datencenter zu leiten. Wenn Sie einen vollqualifizierten Domänennamen zusammen mit dem Port von Citrix Gateway eingeben, verwendet das Clientgerät die Konfiguration aus der Einstellung MAM-Port.
  • Wenn ein Werbeblocker das Öffnen der Site verhindert, müssen Sie ihn für die gesamte Website deaktivieren.

Beanspruchen einer Domäne

  1. Klicken Sie auf der Registerkarte Ansprüche > Domänen auf Domäne hinzufügen.

    Hinzufügen einer Domäne

  2. Geben Sie im angezeigten Dialogfeld den Domänennamen Ihrer Endpoint Management-Umgebung ein und klicken Sie auf Bestätigen. Ihre Domäne wird unter Ansprüche > Domänen angezeigt.

    Beanspruchen einer Domäne

  3. Klicken Sie in der hinzugefügten Domäne auf die Auslassungspunkte (…) und wählen Sie Domäne überprüfen, um die Verifizierung zu starten. Die Seite Überprüfen Ihrer Domäne wird angezeigt.

    Start der Verifizierung

  4. Folgen Sie auf der Seite Überprüfen Ihrer Domäne den Anweisungen, um zu verifizieren, dass Sie die Domäne besitzen.

    Überprüfen Ihrer Domäne

    1. Klicken Sie auf Kopieren, um den DNS-Token in die Zwischenablage zu kopieren.

    2. Erstellen Sie einen DNS-TXT-Datensatz in der Zonendatei für Ihre Domäne. Gehen Sie dazu zum Portal Ihres Domänenhostinganbieters und fügen Sie den kopierten DNS-Token hinzu.

      Der folgende Screenshot zeigt ein Portal des Domänenhostinganbieters an. Ihr Portal kann anders aussehen.

      Überprüfen Ihrer Domäne

    3. Klicken Sie in Citrix Cloud auf der Seite Überprüfen Ihrer Domäne auf DNS-Prüfung starten, damit Ihr DNS-TXT-Datensatz erkannt wird. Wenn Sie die Domäne später überprüfen möchten, klicken Sie auf Domäne später überprüfen.

    Die Überprüfung dauert in der Regel rund eine Stunde. Es kann jedoch bis zu zwei Tage dauern, bis eine Rückmeldung erfolgt. Sie können sich während der Statusüberprüfung abmelden und erneut anmelden.

    Nach Abschluss der Konfiguration ändert sich der Status Ihrer Domäne von Ausstehend in Verifiziert.

  5. Nachdem Sie Ihre Domäne beansprucht haben, geben Sie Informationen zum Autodiscoverydienst ein. Klicken Sie auf die Auslassungspunkte (…) der hinzugefügten Domäne und dann auf die Option zum Hinzufügen von Endpoint Management-Informationen. Die Seite Informationen zum Autodiscoverydienst wird angezeigt.

  6. Geben Sie die folgenden Informationen ein und klicken Sie auf Speichern.

    • Server-FQDN für Endpoint Management: Geben Sie den vollqualifizierten Domänennamen des Endpoint Management-Servers ein. Beispiel: example.xm.cloud.com. Diese Einstellung wird für MDM- und MAM-Datenverkehr verwendet.

    • Citrix Gateway-FQDN: Geben Sie den vollqualifizierten Domänennamen von Citrix Gateway in der Form FQDN oder FQDN:Port ein. Beispiel: example.com. Diese Einstellung wird verwendet, um MAM-Verkehr an Ihr Datencenter zu leiten. Bei Nur-MDM-Bereitstellungen lassen Sie dieses Feld leer.

      Hinweis:

      Citrix empfiehlt, dass Sie die Einstellung MAM-Port anstelle von Citrix Gateway-FQDN verwenden, um MAM-Datenverkehr zu steuern. Wenn Sie einen vollqualifizierten Domänennamen zusammen mit dem Port von Citrix Gateway eingeben, verwendet das Clientgerät die Konfiguration aus der Einstellung MAM-Port.

    • Instanzname: Geben Sie den Instanznamen des Endpoint Management-Servers ein, den Sie oben konfiguriert haben. Wenn Sie sich bezüglich Ihres Instanznamens nicht sicher sind, sollten Sie den Standardwert zdm übernehmen.

    • MDM-Port: Geben Sie den Port ein, der für den MDM-Datenverkehr und die MDM-Registrierung verwendet werden soll. Für Cloud-basierte Dienste lautet die Standardeinstellung 443.

    • MAM-Port: Geben Sie den Port ein, der für MAM-Datenverkehr, MAM-Registrierung, iOS-Registrierung und App-Enumeration verwendet werden soll. Für Cloud-basierte Dienste lautet die Standardeinstellung 8443.

Anfordern von AutoDiscovery für Windows-Geräte

Wenn Windows-Geräte registriert werden sollen, führen Sie die folgenden Schritte aus:

  1. Erstellen Sie eine Supportanfrage beim Citrix Support, um Windows AutoDiscovery zu aktivieren.

  2. Beziehen Sie ein öffentlich signiertes SSL-Zertifikat ohne Platzhalter für enterpriseenrollment.mycompany.com. Der Teil mycompany.com ist die Domäne mit den Konten, die die Benutzer für die Registrierung verwenden. Senden Sie das SSL-Zertifikat in PFX-Format und das zugehörige Kennwort im Anhang Ihrer Supportanfrage.

    Wenn Sie mehrere Domänen zum Registrieren von Windows-Geräten verwenden möchten, können Sie auch ein Multidomänen-Zertifikat mit der folgenden Struktur verwenden:

    • SubjectDN mit einem CN, der die primäre Domäne für das Zertifikat angibt (z. B. enterpriseenrollment.mycompany1.com)
    • SANs der restlichen Domänen (z. B. enterpriseenrollment.mycompany2.com, enterpriseenrollment.mycompany3.com usw.)
  3. Erstellen Sie einen Datensatz mit einem kanonischen Namen (CNAME) im DNS und weisen Sie die Adresse des SSL-Zertifikats (enterpriseenrollment.mycompany.com) der Adresse autodisc.xm.cloud.com zu.

    Wenn sich ein Windows-Gerätebenutzer mit einem UPN anmeldet, führt der Citrix Registrierungsserver Folgendes aus:

    • Bereitstellen der Details des Endpoint Management-Servers.
    • Anweisen des Geräts, ein gültiges Zertifikat von Endpoint Management anzufordern.

An diesem Punkt können Sie alle unterstützten Geräte registrieren. Fahren Sie mit dem nächsten Abschnitt fort, um die Bereitstellung von Ressourcen für Geräte vorzubereiten.

Integration in bedingten Azure AD-Zugriff

Sie können Endpoint Management so konfigurieren, dass Unterstützung für bedingten Azure AD-Zugriff auf Office 365-Anwendungen angewendet wird. Mit diesem Feature, das sich jetzt in der Vorschau befindet, können Sie die Zero-Trust-Methode für Gerätebenutzer bei der Bereitstellung von Office 365-Anwendungen bereitstellen. Sie können den Gerätestatus, die Risikobewertung, den Standort und den Geräteschutz verwenden, um automatisierte Aktionen anzuwenden und den Zugriff auf die Office 365-Anwendungen auf verwalteten Android Enterprise- und iOS-Geräten zu definieren.

Um die Compliance von Azure AD-Geräten durchzusetzen, müssen Sie Richtlinien für bedingten Zugriff für einzelne Office 365-Anwendungen konfigurieren. Sie können den Benutzerzugriff auf bestimmte Office 365-Anwendungen auf nicht verwalteten und nicht richtlinientreuen Geräten einschränken und den Zugriff auf einzelne Anwendungen nur auf verwalteten und richtlinientreuen Geräten zulassen.

Voraussetzungen

  • Für diese Integration müssen Sie über ein gültiges Azure AD Premium-Abonnement verfügen, einschließlich Intune- und Microsoft Office 365-Lizenzen.
  • Secure Hub Version 21.4.0 und höher
  • Konfigurieren Sie Azure AD als Identitätsanbieter (IdP) in Citrix Cloud und legen Sie dann Citrix-Identität als IdP-Typ für Endpoint Management fest. Weitere Informationen finden Sie unter Authentifizierung mit Azure Active Directory über Citrix Cloud.
  • Installieren Sie die Microsoft Authenticator-Anwendung auf dem Gerät, bevor Sie den Registrierungsprozess für Azure AD-Geräte starten.
  • Konfigurieren Sie für die Android Enterprise-Plattform eine Webbrowser-App als erforderliche App für den öffentlichen Store.
  • Deaktivieren Sie die Einstellung Sicherheitsstandards in der Azure AD-Konsole. Wenn Sie die Azure AD-Konfiguration starten, ersetzen Sie Sicherheitsstandards durch genauere Richtlinien für den bedingten Azure AD-Zugriff. Weitere Informationen zu Sicherheitsstandards finden Sie in der Microsoft-Dokumentation.

Konfigurieren der Gerätecompliance durch Richtlinien für bedingten Azure AD-Zugriff

Die allgemeinen Schritte zur Konfiguration der Gerätecompliance durch Richtlinien für bedingten Azure AD-Zugriff lauten wie folgt:

  1. Endpoint Management-Konfiguration:
    • Fügen Sie im Microsoft Endpoint Manager Admin Center Citrix Workspace-Gerätecompliance als Compliancepartner für jede Geräteplattform hinzu und weisen Sie Benutzergruppen zu.
    • Synchronisieren Sie in Endpoint Management Informationen aus dem Microsoft Endpoint Manager Admin Center.
  2. Azure AD-Konfiguration: Legen Sie im Azure AD-Portal Richtlinien für bedingten Zugriff für einzelne Office 365-Apps fest.

  3. Endpoint Management-Konfiguration: Nachdem Sie Richtlinien für bedingten Zugriff für Office 365-Apps konfiguriert haben, fügen Sie die Microsoft Authenticator-App und Office 365-Apps als Apps im öffentlichen App Store in Endpoint Management hinzu. Weisen Sie diese öffentlichen Apps der Bereitstellungsgruppe zu und legen Sie sie als erforderliche Apps fest.

Konfigurieren von Endpoint Management für Azure AD-Complianceverwaltung

  1. Melden Sie sich im Microsoft Endpoint Manager Admin Center an und navigieren Sie zu Mandantenverwaltung > Connectors und Token > Gerätecomplianceverwaltung. Klicken Sie auf Compliancepartner hinzufügen und wählen Sie Citrix Workspace-Gerätecompliance als Compliancepartner für jede Geräteplattform aus. Weisen Sie dann Benutzergruppen zu.

    Das Microsoft Endpoint Manager Admin Center

  2. Gehen Sie in Endpoint Management zu Einstellungen > Azure AD-Complianceverwaltung. Klicken Sie auf Verbinden, um Informationen aus dem Microsoft Endpoint Manager Admin Center zu synchronisieren

    Synchronisieren von Informationen aus dem Microsoft Endpoint Manager Admin Center

    In einem Dialogfeld werden Sie aufgefordert, die Berechtigungen für diese Konfiguration zu akzeptieren. Klicken Sie auf Akzeptieren. Nach Abschluss der Konfiguration werden synchronisierte Geräteplattformen in der Liste angezeigt.

    Berechtigungsanforderung

Konfigurieren von Richtlinien für bedingten Zugriff in Azure AD

Konfigurieren Sie im Azure AD-Portal Richtlinien für bedingten Zugriff für Office 365-Apps, um die Gerätecompliance durchzusetzen. Gehen Sie zu Geräte > Bedingter Zugriff > Richtlinien > Neue Richtlinie. Weitere Informationen siehe Microsoft-Dokumentation.

So konfigurieren Sie die Gerätecompliance für mit Intune verwaltete Apps:

Konfigurieren von Apps in Endpoint Management

Nachdem Sie Richtlinien für bedingten Zugriff für Office 365-Apps konfiguriert haben, fügen Sie die Microsoft Authenticator-App und Office 365-Apps als Apps im öffentlichen App Store in Endpoint Management hinzu. Weisen Sie diese öffentlichen Apps der Bereitstellungsgruppe zu und legen Sie sie als erforderliche Apps fest. Weitere Informationen finden Sie unter Hinzufügen von Apps aus einem öffentlichen App-Store.

Workflow für Benutzerauthentifizierung

  1. Ein neuer Benutzer muss ein Gerät mit Azure AD-Anmeldeinformationen bei Endpoint Management registrieren. Benutzer, die sich zuvor mit Azure AD-Anmeldeinformationen registriert haben, müssen ihre Geräte nicht erneut registrieren.
  2. Endpoint Management überträgt Microsoft Authenticator und konfigurierte Office 365-Apps per Push als erforderliche Apps auf ein Gerät. Wenn Sie eine Webbrowser-App als erforderliche App im öffentlichen Store für die Android-Plattform konfiguriert haben, überträgt Endpoint Management sie ebenfalls per Push auf das Benutzergerät.
  3. Alle über Endpoint Management verwalteten Apps werden von Secure Hub automatisch installiert und angezeigt.
  4. Wenn ein Benutzer versucht, sich bei einer verfügbaren Office 365-App anzumelden, fordert das Gerät den Benutzer auf, auf den Link zur Azure AD-Registrierung zu tippen, um den Registrierungsprozess zu starten.
  5. Nachdem der Benutzer auf den Registrierungslink geklickt hat, wird die Microsoft Authenticator-App geöffnet. Der Benutzer gibt Azure AD-Anmeldeinformationen ein und stimmt den Bedingungen für die Geräteregistrierung zu. Dann wird die Microsoft Authenticator-App geschlossen und Secure Hub wird wieder geöffnet.
  6. Secure Hub zeigt eine Meldung an, die besagt, dass die Azure AD-Geräteregistrierung abgeschlossen ist. Der Benutzer kann jetzt Microsoft-Apps verwenden, um auf seine Cloudressourcen zuzugreifen.

    Nach Abschluss der Registrierung kennzeichnet Azure AD das Gerät in der Konsole als verwaltet und richtlinientreu.

Standard-Geräterichtlinien und mobile Produktivitätsapps

Bei einer Erstverwendung von Endpoint Management ab Version 19.5.0 oder höher sind einige Geräterichtlinien und mobile Produktivitätsapps bereits vorab konfiguriert. Mit dieser Konfiguration haben Sie folgende Möglichkeiten:

  • Sofortige Bereitstellung grundlegender Funktionen auf Geräten
  • Start mit den empfohlenen Grundkonfigurationen für einen sicheren Workspace

Für die Plattformen Android, Android Enterprise, iOS, macOS und Windows Desktop/Tablet enthält Ihre Site folgende vorkonfigurierte Geräterichtlinien:

  • Passcode-Geräterichtlinie: Die Passcode-Geräterichtlinie ist auf Ein gesetzt und alle Passcode-Standardeinstellungen sind aktiviert.

  • App-Bestandsrichtlinie für Geräte: Die App-Bestandsrichtlinie für Geräte ist auf Ein gesetzt.

  • Geräteeinschränkungsrichtlinie: Die Geräteeinschränkungsrichtlinie ist auf Ein gesetzt und alle Standardeinstellungen zu Einschränkungen sind aktiviert.

Diese Richtlinien befinden sich in der Bereitstellungsgruppe AllUsers, die alle Active Directory- und lokalen Benutzer enthält. Es wird empfohlen, die Bereitstellungsgruppe “AllUsers” nur für erste Tests zu verwenden. Erstellen Sie anschließend Ihre Bereitstellungsgruppen und deaktivieren Sie die Bereitstellungsgruppe “AllUsers”. Sie können die vorkonfigurierten Geräterichtlinien und Apps in Ihren Bereitstellungsgruppen wiederverwenden.

Alle Endpoint Management-Geräterichtlinien werden unter Geräterichtlinien dokumentiert. Dieser Artikel enthält Informationen zum Bearbeiten von Geräterichtlinien über die Konsole. Informationen zu häufig verwendeten Geräterichtlinien finden Sie unter Geräterichtlinien und Anwendungsverhalten.

Für die Plattformen iOS und Android enthält Ihre Site folgende vorkonfigurierte mobile Produktivitätsapps:

  • Secure Mail
  • Secure Web
  • Citrix Files

Diese Apps sind in der Bereitstellungsgruppe AllUsers.

Weitere Informationen finden Sie unter Mobile Produktivitätsapps.

Fortsetzen der Endpoint Management-Konfiguration

Nachdem Sie das Basissetup für die Geräteregistrierung abgeschlossen haben, hängt die Konfiguration von Endpoint Management stark von Ihrem Anwendungsfall ab. Beispiel:

  • Was sind Ihre Sicherheitsanforderungen und wie möchten Sie diese Anforderungen mit der Benutzererfahrung in Einklang bringen?
  • Welche Geräteplattformen unterstützen Sie?
  • Besitzen Benutzer die Geräte oder verwenden sie unternehmenseigene Geräte?
  • Welche Geräterichtlinien möchten Sie auf Geräte übertragen?
  • Welche Arten von Apps stellen Sie Benutzern zur Verfügung?

Dieser Abschnitt hilft, durch die zahlreichen Konfigurationsentscheidungen zu navigieren, indem Sie auf die entsprechenden Artikeln in dieser Dokumentation geführt werden.

Wenn Sie die Konfiguration auf Websites von Drittanbietern abschließen, notieren Sie die Informationen und ihren Speicherort zur Referenz beim Konfigurieren der Einstellungen in der Endpoint Management-Konsole.

Vorbereitung zum Registrieren von Geräten und Bereitstellen von Ressourcen