Citrix Endpoint Management

Systemanforderungen

Während Sie darauf warten, dass Citrix das Provisioning von Endpoint Management durchführt, bereiten Sie Ihre Endpoint Management-Bereitstellung vor, indem Sie den Cloud Connector installieren. Citrix hostet zwar Ihre Endpoint Management-Lösung, für die Kommunikation und Ports ist jedoch etwas Setup erforderlich. Bei diesem Setup wird die Endpoint Management-Infrastruktur mit Unternehmensdiensten wie Active Directory verbunden.

Anforderungen für Cloud Connector

Citrix verwendet Cloud Connector, um die Endpoint Management-Architektur in Ihre vorhandene Infrastruktur zu integrieren. Cloud Connector integriert folgende Ressourcenstandorte über Port 443 in den Endpoint Management: LDAP, PKI Server, interne DNS-Abfragen und Citrix Workspace-Enumeration.

  • Mindestens zwei dedizierte Windows Server-Maschinen, die zu Ihrer Active Directory-Domäne gehören. Dies können physikalische oder virtuelle Maschinen sein. Die Maschine, auf der Sie den Connector installieren, muss mit der UTC-Zeit synchronisiert sein, um eine korrekte Installation und einen fehlerfreien Betrieb zu gewährleisten. Eine vollständige Liste der aktuellen Anforderungen finden Sie in den Bereitstellungsmaterialien, die Sie von Ihrem Citrix Team erhalten.

    Der Onboarding-Assistent führt Sie durch die Installation des Cloud Connectors auf diesen Maschinen.

  • Weitere Informationen zu Plattformsystemanforderungen finden Sie unter Citrix Cloud Connector.

Unterstützte Funktionsebenen von Active Directory

Der Citrix Cloud Connector unterstützt die folgenden Funktionsebenen für Active Directory-Gesamtstrukturen und -Domänen für eine Verwendung mit Endpoint Management:

Funktionsebene: Domänenfunktionsebene Unterstützte Domänencontroller
Windows Server 2008 R2 Windows Server 2008 R2 Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016
Windows Server 2008 R2 Windows Server 2012 Windows Server 2012, Windows Server 2012 R2, Windows Server 2016
Windows Server 2008 R2 Windows Server 2012 R2 Windows Server 2012 R2, Windows Server 2016
Windows Server 2008 R2 Windows Server 2016 Windows Server 2016
Windows Server 2012 Windows Server 2012 Windows Server 2012, Windows Server 2012 R2, Windows Server 2016
Windows Server 2012 Windows Server 2012 R2 Windows Server 2012 R2, Windows Server 2016
Windows Server 2012 Windows Server 2016 Windows Server 2016
Windows Server 2012 R2 Windows Server 2012 R2 Windows Server 2012 R2, Windows Server 2016
Windows Server 2012 R2 Windows Server 2016 Windows Server 2016
Windows Server 2016 Windows Server 2016 Windows Server 2016

Anforderungen für Citrix Gateway

Endpoint Management erfordert für folgende Szenarios, dass Citrix Gateway an Ihrem Ressourcenstandort installiert ist:

  • Sie benötigen ein Micro-VPN, damit branchenspezifische Apps auf interne Netzwerkressourcen zugreifen können. Die Apps sind mit der Citrix MDX-Technologie umschlossen. Das Micro-VPN muss über Citrix Gateway eine Verbindung zu internen Backend-Infrastrukturen herstellen.
  • Sie planen, mobile Produktivitätsapps von Citrix wie Citrix Secure Mail zu verwenden.
  • Sie planen, Endpoint Management mit Microsoft Endpoint Manager zu integrieren.

Anforderungen:

  • Domänenauthentifizierung (LDAP)
  • Citrix Gateway 12.1 oder höher mit einer Plattform-/universellen Lizenz

Weitere Informationen finden Sie unter Lizenzierung.

  • Öffentliches SSL-Zertifikat

Weiter Informationen finden Sie unter Erstellen und Verwenden von SSL-Zertifikaten auf einem Citrix ADC-Gerät.

Weitere Informationen zu Anforderungen für Citrix Gateway finden Sie in den Bereitstellungsmaterialien, die Sie von Ihrem Citrix Team erhalten.

Informationen zu den Android Enterprise-Anforderungen finden Sie im Abschnitt Android Enterprise.

Anforderungen für Citrix Files

Die Citrix Files-Dienste zur Dateisynchronisierung und -freigabe sind im Endpoint Management Premium Service-Angebot enthalten. Der Speicherzonencontroller erweitert den Cloudspeicher von Citrix Files SaaS (Software as a Service) durch privaten Datenspeicher für Ihr Citrix Files-Konto.

Anforderungen an den Speicherzonencontroller:

  • Eine dedizierte physische oder virtuelle Maschine
  • Windows Server 2012 R2 oder Windows Server 2016
  • 2 vCPUs
  • 4 GB RAM
  • 50 GB Festplattenspeicherplatz
  • Serverrollen für den Webserver (IIS):

    • Anwendungsentwicklung: ASP. NET 4.5.2
    • Sicherheit: Basic-Authentifizierung
    • Sicherheit: Windows-Authentifizierung

Plattformanforderungen für Citrix Files

  • Der Citrix Files-Installer erfordert Administratorrechte auf dem Windows Server
  • Administratorbenutzername für Citrix Files

Portanforderungen

Damit Geräte und Apps mit Endpoint Management kommunizieren können, öffnen Sie bestimmte Ports in den Firewalls. Das folgende Diagramm zeigt den Datenfluss für Endpoint Management.

Endpoint Management-Verkehrsfluss

Nachfolgend sind die Ports aufgeführt, die Sie öffnen müssen. Informationen zu den von mobilen Produktivitätsapps verwendeten URLs finden Sie unter Verwalten von Featureflags.

Portanforderungen für Citrix Gateway

Öffnen Sie folgende Ports, damit Benutzer über Citrix Gateway Verbindungen von Citrix Secure Hub und Citrix Workspace mit diesen Komponenten herstellen können:

  • Endpoint Management
  • StoreFront
  • Andere interne Netzwerkressourcen, z. B. Intranet-Websites

Weitere Informationen zu Citrix Gateway finden Sie unter Configuring Settings for Your Citrix Endpoint Management Environment in der Citrix Gateway-Dokumentation. Informationen zu IP-Adressen finden Sie unter How Citrix Gateway uses IP addresses in der Citrix Gateway-Dokumentation.

TCP-Port Beschreibung Quelle Ziel
53 (TCP und UDP) Wird für DNS-Verbindungen verwendet. Citrix Gateway SNIP DNS-Server
80/443 Citrix Gateway leitet die Micro-VPN-Verbindung mit der internen Netzwerksressource durch die zweite Firewall. Citrix Gateway SNIP Intranet-Websites
123 (TCP und UDP) Wird für Network Time Protocol-Dienste (NTP) verwendet. Citrix Gateway SNIP NTP-Server
389 Wird für unsichere LDAP-Verbindungen verwendet. Citrix Gateway-NSIP (oder, wenn Sie einen Load Balancer verwenden, SNIP) LDAP-Authentifizierungsserver oder Microsoft-Active Directory
443 Wird für Verbindungen zu StoreFront von Citrix Workspace zu Citrix Virtual Apps and Desktops verwendet. Internet Citrix Gateway
443 Wird für Verbindungen mit Endpoint Management zur Bereitstellung von Web-, Mobil- und SaaS-Apps verwendet. Internet Citrix Gateway
443 Wird für die Cloud Connector-Kommunikation verwendet – LDAP-, DNS-, PKI- und Citrix Workspace-Enumeration Cloud Connector-Server https://*.citrixworkspacesapi.net, https://*.cloud.com (commercial), https://*.cloud.us (government), https://*.blob.core.windows.net/, https://*.servicebus.windows.net
443 Für den Zugriff auf das Selbsthilfeportal von Endpoint Management (sofern aktiviert) über den Browser. Zugriffspunkt (Browser) Endpoint Management (https://<sitename>/zdm/shp)
636 Wird für sichere LDAP-Verbindungen verwendet. Citrix Gateway-NSIP (oder, wenn Sie einen Load Balancer verwenden, SNIP) LDAP-Authentifizierungsserver oder Active Directory
1494 Wird für ICA-Verbindungen mit Windows-basierten Anwendungen im internen Netzwerk verwendet. Citrix empfiehlt, diesen Port geöffnet zu lassen. Citrix Gateway SNIP Citrix Virtual Apps and Desktops
1812 Wird für RADIUS-Verbindungen verwendet. Citrix Gateway NSIP RADIUS-Authentifizierungsserver
2598 Wird für Verbindungen mit Windows-basierten Anwendungen im internen Netzwerk unter Einsatz der Sitzungszuverlässigkeit verwendet. Citrix empfiehlt, diesen Port geöffnet zu lassen. Citrix Gateway SNIP Citrix Virtual Apps and Desktops
3269 Wird für sichere LDAP-Verbindungen mit dem globalen Microsoft-Katalog verwendet. Citrix Gateway-NSIP (oder, wenn Sie einen Load Balancer verwenden, SNIP) LDAP-Authentifizierungsserver oder Active Directory
4443 Wird von Administratoren für den Zugriff auf die Endpoint Management-Konsole über einen Browser verwendet. Zugriffspunkt (Browser) Endpoint Management
8443 Wird für die Registrierung, App-Store und die Mobilanwendungsverwaltung (MAM) verwendet. Citrix Gateway SNIP Endpoint Management
8443 STA-Port (Secure Ticket Authority) für das Secure Mail-Authentifizierungstoken Citrix Gateway SNIP Endpoint Management

Netzwerk- und Firewall-Anforderungen

Damit Geräte und Apps mit Endpoint Management kommunizieren können, öffnen Sie bestimmte Ports in den Firewalls. Diese Ports sind in den folgenden Tabellen aufgelistet.

Öffnen der Ports vom internen Netzwerk zu Citrix Cloud:

TCP-Port Quell-IP Beschreibung Ziel Ziel-IP
443   Cloud Connector https://*.citrixworkspacesapi.net, https://*.cloud.com (commercial), https://*.cloud.us (government), https://*.sharefile.com, https://cwsproduction.blob.core.wind ows.net/downloads, https://*.servicebus.windows.net  
443   Verwaltungskonsole https://*.citrixworkspacesapi.net, https://*.cloud.com (commercial), https://*.cloud.us (government), https://*.citrix.com, https://cwsproduction.blob.core.windows.net/downloads  
443   Zugriff auf das Selbsthilfeportal von Endpoint Management über einen Browser (bei aktiviertem Portal) Endpoint Management  
4443   Endpoint Management-Konsolenzugriff über einen Browser Endpoint Management  

Öffnen der Ports vom Internet zur DMZ:

TCP-Port Beschreibung Quell-IP Ziel Ziel-IP
443 Endpoint Management-Clientgerät   Citrix Gateway-IP  
443 Endpoint Management-Clientgerät   Citrix Gateway VIP  
443 Öffentliche IP für Citrix Files CTX208318 Citrix Gateway VIP  

Öffnen der Ports von der DMZ zum internen Netzwerk:

TCP-Port Beschreibung Quell-IP Ziel Ziel-IP
389 oder 636 Citrix Gateway NSIP   Active Directory-IP  
53 (UDP) Citrix Gateway NSIP   DNS-Server-IP  
443 Citrix Gateway SNIP   Exchange (EAS) Server-IP  
443 Citrix Gateway SNIP   Interne Web-Apps/Webdienste  
443 Citrix Gateway SNIP   Speicherzonencontroller-IP  

Öffnen der Ports vom internen Netzwerk zur DMZ:

TCP-Port Beschreibung Quell-IP Ziel Ziel-IP
443 Administrator-Client   Citrix Gateway NSIP  

Öffnen der Ports vom internen Netzwerk zum Internet:

TCP-Port Beschreibung Quell-IP Ziel Ziel-IP
443 Exchange (EAS) Server-IP   Endpoint Management Push-Benachrichtigungslistener (1)  
443 Speicherzonencontroller-IP   Citrix Files-Steuerungsebene CTX208318

(1) us-east-1.mailboxlistener.xm.citrix.com, eu-west-1.mailboxlistener.xm.citrix.com, ap-southeast-1.mailboxlistener.xm.citrix.com

Öffnen der Ports vom Wi-Fi des Unternehmens zum Internet:

TCP-Port Beschreibung Quell-IP Ziel Ziel-IP
8443 / 443 Endpoint Management-Clientgerät   Endpoint Management  
5223 Endpoint Management-Clientgerät   APNS-Server von Apple 17.0.0.0/8
5228 Endpoint Management-Clientgerät   Firebase Cloud Messaging android.apis.google.com, fcm.googleapis.com
5229 Endpoint Management-Clientgerät   Firebase Cloud Messaging android.apis.google.com, fcm.googleapis.com
5230 Endpoint Management-Clientgerät   Firebase Cloud Messaging android.apis.google.com, fcm.googleapis.com
443 Endpoint Management-Clientgerät   Firebase Cloud Messaging fcm.googleapis.com
443 Endpoint Management-Clientgerät   Windows-Pushbenachrichtigungsdienst *.notify.windows.com
443 / 80 Endpoint Management-Clientgerät   Apple iTunes App-Store ax.apps.apple.com, *.mzstatic.com, vpp.itunes.apple.com
443 / 80 Endpoint Management-Clientgerät   Google Play play.google.com, android.clients.google.com, android.l.google.com, android.com, google-analytics.com
443 / 80 Endpoint Management-Clientgerät   Microsoft App-Store login.live.com, *.notify.windows.com
443 Endpoint Management-Clientgerät   Endpoint Management Autodiscoverydienst für iOS und Android discovery.cem.cloud.us
443 Endpoint Management-Clientgerät   Endpoint Management AutoDiscovery Service für Windows enterpriseenrollment.mycompany.com, discovery.cem.cloud.us
443 Speicherzonencontroller-IP   Citrix Files-Steuerungsebene CTX208318
443 Endpoint Management-Clientgerät   Google Mobile Management, Google APIs, Google Play Store APIs *.googleapis.com
443 Endpoint Management-Clientgerät   Konnektivitätsüberprüfungen für CloudDPC-Versionen vor 470. Für die ab Android N-MR1 durchgeführte Android-Konnektivitätsprüfung muss https://www.google.com/generate_204 erreichbar sein oder das vorliegende Wi-Fi-Netzwerk auf eine erreichbare PAC-Datei verweisen. connectivitycheck.android.com, www.google.com

Portanforderungen für die Verbindung mit dem AutoDiscovery Service

Diese Portkonfiguration gewährleistet, dass Android-Geräte mit Secure Hub für Android über das interne Netzwerk auf den Endpoint Management AutoDiscovery Service (ADS) zugreifen können. Der Zugriff auf den ADS ist zum Herunterladen von Sicherheitsupdates wichtig, die über diesen Dienst zur Verfügung gestellt werden.

Hinweis:

ADS-Verbindungen unterstützen Ihren Proxyserver eventuell nicht. Lassen Sie in diesem Szenario zu, dass die ADS-Verbindung den Proxy-Server umgeht.

Wenn Sie Zertifikatpinning aktivieren möchten, müssen Sie folgende Voraussetzungen erfüllen:

  • Sammeln von Endpoint Management-Server- und Citrix Gateway-Zertifikaten: Die Zertifikate müssen im PEM-Format vorliegen und öffentlich sein, d. h. keine privaten Schlüssel sind zulässig.
  • Öffnen Sie einen Supportfall beim Citrix Support, um Zertifikatpinning zu aktivieren: Bei diesem Prozess müssen Sie Ihre Zertifikate angeben.

Zertifikatpinning erfordert, dass Geräte vor der Registrierung eine Verbindung mit ADS herstellen. Damit wird sichergestellt, dass Secure Hub über die aktuellen Sicherheitsinformationen verfügt. Für eine Registrierung in Secure Hub muss das Gerät mit ADS verbunden sein. Daher ist die Aktivierung des Zugriffs auf ADS im internen Netzwerk erforderlich, damit Geräte registriert werden können.

Damit der Zugriff auf ADS für Secure Hub für Android/iOS möglich ist, öffnen Sie Port 443 für den folgenden FQDN:

FQDN Port IP- und Port-Nutzung
discovery.cem.cloud.us 443 Secure Hub – ADS-Kommunikation über CloudFront

Weitere Informationen zu unterstützten IP-Adressen finden Sie unter Cloud-based storage centers from AWS.

Netzwerkanforderungen für Android Enterprise

Weitere Informationen zu den ausgehenden Verbindungen beim Einrichten von Netzwerkumgebungen für Android Enterprise finden Sie im Google-Hilfeartikel Android Enterprise Network Requirements.

Systemanforderungen