Systemanforderungen
Während Sie darauf warten, dass Citrix das Provisioning von Endpoint Management durchführt, bereiten Sie Ihre Endpoint Management-Bereitstellung vor, indem Sie den Cloud Connector installieren. Citrix hostet zwar Ihre Endpoint Management-Lösung, für die Kommunikation und Ports ist jedoch etwas Setup erforderlich. Bei diesem Setup wird die Endpoint Management-Infrastruktur mit Unternehmensdiensten wie Active Directory verbunden.
Anforderungen für Cloud Connector
Citrix verwendet Cloud Connector, um die Endpoint Management-Architektur in Ihre vorhandene Infrastruktur zu integrieren. Cloud Connector integriert folgende Ressourcenstandorte über Port 443 in den Endpoint Management: LDAP, PKI Server, interne DNS-Abfragen und Citrix Workspace-Enumeration.
-
Mindestens zwei dedizierte Windows Server-Maschinen, die zu Ihrer Active Directory-Domäne gehören. Dies können physikalische oder virtuelle Maschinen sein. Die Maschine, auf der Sie den Connector installieren, muss mit der UTC-Zeit synchronisiert sein, um eine korrekte Installation und einen fehlerfreien Betrieb zu gewährleisten. Eine vollständige Liste der aktuellen Anforderungen finden Sie in den Bereitstellungsmaterialien, die Sie von Ihrem Citrix Team erhalten.
Der Onboarding-Assistent führt Sie durch die Installation des Cloud Connectors auf diesen Maschinen.
-
Weitere Informationen zu Plattformsystemanforderungen finden Sie unter Citrix Cloud Connector.
Unterstützte Funktionsebenen von Active Directory
Der Citrix Cloud Connector unterstützt die folgenden Funktionsebenen für Active Directory-Gesamtstrukturen und -Domänen für eine Verwendung mit Endpoint Management:
| Funktionsebene: | Domänenfunktionsebene | Unterstützte Domänencontroller |
|---|---|---|
| Windows Server 2008 R2 | Windows Server 2008 R2 | Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 |
| Windows Server 2008 R2 | Windows Server 2012 | Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 |
| Windows Server 2008 R2 | Windows Server 2012 R2 | Windows Server 2012 R2, Windows Server 2016 |
| Windows Server 2008 R2 | Windows Server 2016 | Windows Server 2016 |
| Windows Server 2012 | Windows Server 2012 | Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 |
| Windows Server 2012 | Windows Server 2012 R2 | Windows Server 2012 R2, Windows Server 2016 |
| Windows Server 2012 | Windows Server 2016 | Windows Server 2016 |
| Windows Server 2012 R2 | Windows Server 2012 R2 | Windows Server 2012 R2, Windows Server 2016 |
| Windows Server 2012 R2 | Windows Server 2016 | Windows Server 2016 |
| Windows Server 2016 | Windows Server 2016 | Windows Server 2016 |
Anforderungen für Citrix Gateway
Endpoint Management erfordert für folgende Szenarios, dass Citrix Gateway an Ihrem Ressourcenstandort installiert ist:
- Sie benötigen ein Micro-VPN, damit branchenspezifische Apps auf interne Netzwerkressourcen zugreifen können. Die Apps sind mit der Citrix MDX-Technologie umschlossen. Das Micro-VPN muss über Citrix Gateway eine Verbindung zu internen Backend-Infrastrukturen herstellen.
- Sie planen, mobile Produktivitätsapps von Citrix wie Citrix Secure Mail zu verwenden.
- Sie planen, Endpoint Management mit Microsoft Endpoint Manager zu integrieren.
Anforderungen:
- Domänenauthentifizierung (LDAP)
- Citrix Gateway 12.1 oder höher mit einer Plattform-/universellen Lizenz
Weitere Informationen finden Sie unter Lizenzierung.
- Öffentliches SSL-Zertifikat
Weiter Informationen finden Sie unter Erstellen und Verwenden von SSL-Zertifikaten auf einem Citrix ADC-Gerät.
- Nicht verwendete, öffentliche IP-Adresse für den virtuellen Citrix Gateway-Server
- Öffentlich auflösbarer FQDN für den virtuellen Citrix Gateway-Server
- Zwischen- und Stammzertifikat für cloudgehostetes Endpoint Management (im Skriptpaket enthalten)
- Nicht verwendete, interne, private IP-Adresse für den Proxy-Load Balancer
- Informationen zu Portanforderungen finden Sie weiter unten unter Portanforderungen für Citrix Gateway.
- Integration von Citrix Endpoint Management mit Microsoft Endpoint Manager
- Bereitstellen der Citrix ADC VPX-Instanz unter Microsoft Azure
Weitere Informationen zu Anforderungen für Citrix Gateway finden Sie in den Bereitstellungsmaterialien, die Sie von Ihrem Citrix Team erhalten.
Informationen zu den Android Enterprise-Anforderungen finden Sie im Abschnitt Android Enterprise.
Anforderungen für Citrix Files
Die Citrix Files-Dienste zur Dateisynchronisierung und -freigabe sind im Endpoint Management Premium Service-Angebot enthalten. Der Speicherzonencontroller erweitert den Cloudspeicher von Citrix Files SaaS (Software as a Service) durch privaten Datenspeicher für Ihr Citrix Files-Konto.
Anforderungen an den Speicherzonencontroller:
- Eine dedizierte physische oder virtuelle Maschine
- Windows Server 2012 R2 oder Windows Server 2016
- 2 vCPUs
- 4 GB RAM
- 50 GB Festplattenspeicherplatz
-
Serverrollen für den Webserver (IIS):
- Anwendungsentwicklung: ASP. NET 4.5.2
- Sicherheit: Basic-Authentifizierung
- Sicherheit: Windows-Authentifizierung
Plattformanforderungen für Citrix Files
- Der Citrix Files-Installer erfordert Administratorrechte auf dem Windows Server
- Administratorbenutzername für Citrix Files
Portanforderungen
Damit Geräte und Apps mit Endpoint Management kommunizieren können, öffnen Sie bestimmte Ports in den Firewalls. Das folgende Diagramm zeigt den Datenfluss für Endpoint Management.
Nachfolgend sind die Ports aufgeführt, die Sie öffnen müssen. Informationen zu den von mobilen Produktivitätsapps verwendeten URLs finden Sie unter Verwalten von Featureflags.
Portanforderungen für Citrix Gateway
Öffnen Sie folgende Ports, damit Benutzer über Citrix Gateway Verbindungen von Citrix Secure Hub und Citrix Workspace mit diesen Komponenten herstellen können:
- Endpoint Management
- StoreFront
- Andere interne Netzwerkressourcen, z. B. Intranet-Websites
Weitere Informationen zu Citrix Gateway finden Sie unter Configuring Settings for Your Citrix Endpoint Management Environment in der Citrix Gateway-Dokumentation. Informationen zu IP-Adressen finden Sie unter So verwendet NetScaler Gateway IP-Adressen in der NetScaler Gateway-Dokumentation.
| TCP-Port | Beschreibung | Quelle | Ziel |
|---|---|---|---|
| 53 (TCP und UDP) | Wird für DNS-Verbindungen verwendet. | Citrix Gateway SNIP | DNS-Server |
| 80/443 | Citrix Gateway leitet die Micro-VPN-Verbindung mit der internen Netzwerksressource durch die zweite Firewall. | Citrix Gateway SNIP | Intranet-Websites |
| 123 (TCP und UDP) | Wird für Network Time Protocol-Dienste (NTP) verwendet. | Citrix Gateway SNIP | NTP-Server |
| 389 | Wird für unsichere LDAP-Verbindungen verwendet. | Citrix Gateway-NSIP (oder, wenn Sie einen Load Balancer verwenden, SNIP) | LDAP-Authentifizierungsserver oder Microsoft-Active Directory |
| 443 | Wird für Verbindungen zu StoreFront von Citrix Workspace zu Citrix Virtual Apps and Desktops verwendet. | Internet | Citrix Gateway |
| 443 | Wird für Verbindungen mit Endpoint Management zur Bereitstellung von Web-, Mobil- und SaaS-Apps verwendet. | Internet | Citrix Gateway |
| 443 | Wird für die Cloud Connector-Kommunikation verwendet – LDAP-, DNS-, PKI- und Citrix Workspace-Enumeration | Cloud Connector-Server | https://*.citrixworkspacesapi.net, https://*.cloud.com (commercial), https://*.blob.core.windows.net/, https://*.servicebus.windows.net |
| 443 | Für den Zugriff auf das Selbsthilfeportal von Endpoint Management (sofern aktiviert) über den Browser. | Zugriffspunkt (Browser) | Endpoint Management (https://<sitename>/zdm/shp) |
| 636 | Wird für sichere LDAP-Verbindungen verwendet. | Citrix Gateway-NSIP (oder, wenn Sie einen Load Balancer verwenden, SNIP) | LDAP-Authentifizierungsserver oder Active Directory |
| 1494 | Wird für ICA-Verbindungen mit Windows-basierten Anwendungen im internen Netzwerk verwendet. Citrix empfiehlt, diesen Port geöffnet zu lassen. | Citrix Gateway SNIP | Citrix Virtual Apps and Desktops |
| 1812 | Wird für RADIUS-Verbindungen verwendet. | Citrix Gateway NSIP | RADIUS-Authentifizierungsserver |
| 2598 | Wird für Verbindungen mit Windows-basierten Anwendungen im internen Netzwerk unter Einsatz der Sitzungszuverlässigkeit verwendet. Citrix empfiehlt, diesen Port geöffnet zu lassen. | Citrix Gateway SNIP | Citrix Virtual Apps and Desktops |
| 3269 | Wird für sichere LDAP-Verbindungen mit dem globalen Microsoft-Katalog verwendet. | Citrix Gateway-NSIP (oder, wenn Sie einen Load Balancer verwenden, SNIP) | LDAP-Authentifizierungsserver oder Active Directory |
| 4443 | Wird von Administratoren für den Zugriff auf die Endpoint Management-Konsole über einen Browser verwendet. | Zugriffspunkt (Browser) | Endpoint Management |
| 8443 | Wird für die Registrierung, App-Store und die Mobilanwendungsverwaltung (MAM) verwendet. | Citrix Gateway SNIP | Endpoint Management |
| 8443 | STA-Port (Secure Ticket Authority) für das Secure Mail-Authentifizierungstoken | Citrix Gateway SNIP | Endpoint Management |
Netzwerk- und Firewall-Anforderungen
Damit Geräte und Apps mit Endpoint Management kommunizieren können, öffnen Sie bestimmte Ports in den Firewalls. Diese Ports sind in den folgenden Tabellen aufgelistet.
Öffnen der Ports vom internen Netzwerk zu Citrix Cloud:
| TCP-Port | Quell-IP | Beschreibung | Ziel | Ziel-IP |
|---|---|---|---|---|
| 443 | Cloud Connector | https://*.citrixworkspacesapi.net, https://*.cloud.com (commercial), https://*.sharefile.com, https://cwsproduction.blob.core.wind ows.net/downloads, https://*.servicebus.windows.net |
||
| 443 | Verwaltungskonsole | https://*.citrixworkspacesapi.net, https://*.cloud.com (commercial), https://*.citrix.com, https://cwsproduction.blob.core.windows.net/downloads |
||
| 443 | Zugriff auf das Selbsthilfeportal von Endpoint Management über einen Browser (bei aktiviertem Portal) | Endpoint Management | ||
| 4443 | Endpoint Management-Konsolenzugriff über einen Browser | Endpoint Management |
Öffnen der Ports vom Internet zur DMZ:
| TCP-Port | Beschreibung | Quell-IP | Ziel | Ziel-IP |
|---|---|---|---|---|
| 443 | Endpoint Management-Clientgerät | Citrix Gateway-IP | ||
| 443 | Endpoint Management-Clientgerät | Citrix Gateway VIP | ||
| 443 | Öffentliche IP für Citrix Files | CTX208318 | Citrix Gateway VIP |
Öffnen der Ports von der DMZ zum internen Netzwerk:
| TCP-Port | Beschreibung | Quell-IP | Ziel | Ziel-IP |
|---|---|---|---|---|
| 389 oder 636 | Citrix Gateway NSIP | Active Directory-IP | ||
| 53 (UDP) | Citrix Gateway NSIP | DNS-Server-IP | ||
| 443 | Citrix Gateway SNIP | Exchange (EAS) Server-IP | ||
| 443 | Citrix Gateway SNIP | Interne Web-Apps/Webdienste | ||
| 443 | Citrix Gateway SNIP | Speicherzonencontroller-IP |
Öffnen der Ports vom internen Netzwerk zur DMZ:
| TCP-Port | Beschreibung | Quell-IP | Ziel | Ziel-IP |
|---|---|---|---|---|
| 443 | Administrator-Client | Citrix Gateway NSIP |
Öffnen der Ports vom internen Netzwerk zum Internet:
| TCP-Port | Beschreibung | Quell-IP | Ziel | Ziel-IP |
|---|---|---|---|---|
| 443 | Exchange (EAS) Server-IP | Endpoint Management Push-Benachrichtigungslistener (1) | ||
| 443 | Speicherzonencontroller-IP | Citrix Files-Steuerungsebene | CTX208318 |
(1) us-east-1.mailboxlistener.xm.citrix.com, eu-west-1.mailboxlistener.xm.citrix.com, ap-southeast-1.mailboxlistener.xm.citrix.com
Öffnen der Ports vom Wi-Fi des Unternehmens zum Internet:
| TCP-Port | Beschreibung | Quell-IP | Ziel | Ziel-IP |
|---|---|---|---|---|
| 8443 / 443 | Endpoint Management-Clientgerät | Endpoint Management | ||
| 5223 | Endpoint Management-Clientgerät | APNS-Server von Apple | 17.0.0.0/8 |
|
| 5228 | Endpoint Management-Clientgerät | Firebase Cloud Messaging | android.apis.google.com, fcm.googleapis.com |
|
| 5229 | Endpoint Management-Clientgerät | Firebase Cloud Messaging | android.apis.google.com, fcm.googleapis.com |
|
| 5230 | Endpoint Management-Clientgerät | Firebase Cloud Messaging | android.apis.google.com, fcm.googleapis.com |
|
| 443 | Endpoint Management-Clientgerät | Firebase Cloud Messaging | fcm.googleapis.com |
|
| 443 | Endpoint Management-Clientgerät | Windows-Pushbenachrichtigungsdienst | *.notify.windows.com |
|
| 443 / 80 | Endpoint Management-Clientgerät | Apple iTunes App-Store | ax.apps.apple.com, *.mzstatic.com, vpp.itunes.apple.com |
|
| 443 / 80 | Endpoint Management-Clientgerät | Google Play | play.google.com, android.clients.google.com, android.l.google.com, android.com, google-analytics.com |
|
| 443 / 80 | Endpoint Management-Clientgerät | Microsoft App-Store | login.live.com, *.notify.windows.com |
|
| 443 | Endpoint Management-Clientgerät | Endpoint Management Autodiscoverydienst für iOS und Android | discovery.cem.cloud.us |
|
| 443 | Endpoint Management-Clientgerät | Endpoint Management AutoDiscovery Service für Windows |
enterpriseenrollment.mycompany.com, discovery.cem.cloud.us
|
|
| 443 | Speicherzonencontroller-IP | Citrix Files-Steuerungsebene | CTX208318 | |
| 443 | Endpoint Management-Clientgerät | Google Mobile Management, Google APIs, Google Play Store APIs | *.googleapis.com |
|
| 443 | Endpoint Management-Clientgerät | Konnektivitätsüberprüfungen für CloudDPC-Versionen vor 470. Für die ab Android N-MR1 durchgeführte Android-Konnektivitätsprüfung muss https://www.google.com/generate_204 erreichbar sein oder das vorliegende Wi-Fi-Netzwerk auf eine erreichbare PAC-Datei verweisen. |
connectivitycheck.android.com, www.google.com |
Portanforderungen für die Verbindung mit dem AutoDiscovery Service
Diese Portkonfiguration gewährleistet, dass Android-Geräte mit Secure Hub für Android über das interne Netzwerk auf den Endpoint Management AutoDiscovery Service (ADS) zugreifen können. Der Zugriff auf den ADS ist zum Herunterladen von Sicherheitsupdates wichtig, die über diesen Dienst zur Verfügung gestellt werden.
Hinweis:
ADS-Verbindungen unterstützen Ihren Proxyserver eventuell nicht. Lassen Sie in diesem Szenario zu, dass die ADS-Verbindung den Proxy-Server umgeht.
Wenn Sie Zertifikatpinning aktivieren möchten, müssen Sie folgende Voraussetzungen erfüllen:
- Sammeln von Endpoint Management-Server- und Citrix Gateway-Zertifikaten: Die Zertifikate müssen im PEM-Format vorliegen und öffentlich sein, d. h. keine privaten Schlüssel sind zulässig.
- Öffnen Sie einen Supportfall beim Citrix Support, um Zertifikatpinning zu aktivieren: Bei diesem Prozess müssen Sie Ihre Zertifikate angeben.
Zertifikatpinning erfordert, dass Geräte vor der Registrierung eine Verbindung mit ADS herstellen. Damit wird sichergestellt, dass Secure Hub über die aktuellen Sicherheitsinformationen verfügt. Für eine Registrierung in Secure Hub muss das Gerät mit ADS verbunden sein. Daher ist die Aktivierung des Zugriffs auf ADS im internen Netzwerk erforderlich, damit Geräte registriert werden können.
Damit der Zugriff auf ADS für Secure Hub für Android/iOS möglich ist, öffnen Sie Port 443 für den folgenden FQDN:
| FQDN | Port | IP- und Port-Nutzung |
|---|---|---|
discovery.cem.cloud.us |
443 | Secure Hub – ADS-Kommunikation über CloudFront |
Weitere Informationen zu unterstützten IP-Adressen finden Sie unter Cloud-based storage centers from AWS.
Netzwerkanforderungen für Android Enterprise
Weitere Informationen zu den ausgehenden Verbindungen beim Einrichten von Netzwerkumgebungen für Android Enterprise finden Sie im Google-Hilfeartikel Android Enterprise Network Requirements.
App-Anforderungen
Citrix Endpoint Management unterstützt das Hinzufügen und Verwalten von bis zu 300 Apps. Wenn Sie dieses Limit überschreiten, wird das System instabil.