Citrix Secure Hub™

Citrix Secure Hub ist der Startpunkt für die Citrix Endpoint Management™ (ehemals XenMobile) Erfahrung. Benutzer registrieren ihre Geräte in Secure Hub, um Zugriff auf den Store zu erhalten. Aus dem Store können sie von Citrix entwickelte mobile Produktivitäts-Apps und Drittanbieter-Apps hinzufügen.

Die Systemanforderungen für Secure Hub und andere mobile Produktivitäts-Apps finden Sie unter Systemanforderungen.

Verwaltung von Secure Hub

Die meisten Verwaltungsaufgaben im Zusammenhang mit Secure Hub führen Sie während der Erstkonfiguration von Endpoint Management aus. Um Secure Hub für Benutzer verfügbar zu machen, laden Sie Secure Hub für iOS und Android in den iOS App Store und den Google Play Store hoch.

Secure Hub bietet nicht nur ein Portal für Citrix-Apps, sondern aktualisiert auch die meisten in Endpoint Management gespeicherten MDX-Richtlinien für die installierten Apps, wenn die Citrix Gateway-Sitzung eines Benutzers nach der Authentifizierung über Citrix Gateway erneuert wird.

Wichtig:

Änderungen an einer der folgenden Richtlinien erfordern, dass ein Benutzer die App löscht und neu installiert, um die aktualisierte Richtlinie anzuwenden: Sicherheitsgruppe, Verschlüsselung aktivieren und Secure Mail Exchange Server.

Citrix PIN

• Sie können Secure Hub so konfigurieren, dass es die Citrix PIN verwendet, eine Sicherheitsfunktion, die in der Endpoint Management-Konsole unter Settings > Client Properties aktiviert wird. Die Einstellung erfordert, dass registrierte Benutzer mobiler Geräte sich bei Secure Hub anmelden und alle MDX-gekapselten Apps mithilfe einer persönlichen Identifikationsnummer (PIN) aktivieren.

Die Citrix PIN-Funktion vereinfacht die Benutzerauthentifizierung beim Anmelden bei den gesicherten, gekapselten Apps. Benutzer müssen nicht wiederholt andere Anmeldeinformationen wie ihren Active Directory-Benutzernamen und ihr Kennwort eingeben.

• Benutzer, die sich zum ersten Mal bei Secure Hub anmelden, müssen ihren Active Directory-Benutzernamen und ihr Kennwort eingeben. Während der Anmeldung speichert Secure Hub die Active Directory-Anmeldeinformationen oder ein Clientzertifikat auf dem Benutzergerät und fordert den Benutzer dann auf, eine PIN einzugeben. Wenn sich Benutzer erneut anmelden, geben sie die PIN ein, um sicher auf ihre Citrix-Apps und den Store zuzugreifen, bis die nächste Leerlauf-Timeout-Periode für die aktive Benutzersitzung endet. Zugehörige Clienteigenschaften ermöglichen es Ihnen, Geheimnisse mithilfe der PIN zu verschlüsseln, den Passcode-Typ für die PIN anzugeben und Anforderungen an die PIN-Stärke und -Länge festzulegen. Details finden Sie unter Clienteigenschaften.

• Wenn die Fingerabdruckauthentifizierung aktiviert ist, können sich Benutzer mithilfe eines Fingerabdrucks anmelden, wenn aufgrund von App-Inaktivität eine Offline-Authentifizierung erforderlich ist. Benutzer müssen weiterhin eine PIN eingeben, wenn sie sich zum ersten Mal bei Secure Hub anmelden, das Gerät neu starten und nachdem der Inaktivitäts-Timer abgelaufen ist. Informationen zum Aktivieren der Fingerabdruckauthentifizierung finden Sie unter Fingerabdruck- oder Touch ID-Authentifizierung.

• Zertifikat-Pinning

• Secure Hub für iOS und Android unterstützt SSL-Zertifikat-Pinning. Diese Funktion stellt sicher, dass das von Ihrem Unternehmen signierte Zertifikat verwendet wird, wenn Citrix-Clients mit Endpoint Management kommunizieren. Zertifikat-Pinning verhindert Verbindungen von Clients zu Endpoint Management, wenn die Installation eines Stammzertifikats auf dem Gerät die SSL-Sitzung kompromittiert. Wenn Secure Hub Änderungen am öffentlichen Schlüssel des Servers erkennt, verweigert Secure Hub die Verbindung.

• Ab Android N erlaubt das Betriebssystem keine vom Benutzer hinzugefügten Zertifizierungsstellen (CAs) mehr. Citrix empfiehlt die Verwendung einer öffentlichen Stamm-CA anstelle einer vom Benutzer hinzugefügten CA.

Benutzer, die auf Android N aktualisieren, können Probleme haben, wenn sie private oder selbstsignierte CAs verwenden. Verbindungen auf Android N-Geräten werden unter den folgenden Szenarien unterbrochen:

• Private/selbstsignierte CAs und die Option ‘Erforderliche vertrauenswürdige CA für Endpoint Management’ im AutoDiscovery Service ist auf ON gesetzt. Details finden Sie unter Endpoint Management AutoDiscovery Service.
• Private/selbstsignierte CAs und der AutoDiscovery Service (ADS) ist nicht erreichbar. Aus Sicherheitsgründen wird ‘Erforderliche vertrauenswürdige CA’ auf ON gesetzt, wenn ADS nicht erreichbar ist, selbst wenn sie ursprünglich auf OFF gesetzt war.

Bevor Sie Geräte registrieren oder Secure Hub aktualisieren, sollten Sie das Zertifikat-Pinning aktivieren. Die Option ist standardmäßig Off und wird vom Endpoint Management Auto Discovery Service (ADS) verwaltet. Wenn Sie das Zertifikat-Pinning aktivieren, können sich Benutzer nicht mit einem selbstsignierten Zertifikat bei Endpoint Management registrieren. Wenn Benutzer versuchen, sich mit einem selbstsignierten Zertifikat zu registrieren, werden sie gewarnt, dass das Zertifikat nicht vertrauenswürdig ist. Die Registrierung schlägt fehl, wenn Benutzer das Zertifikat nicht akzeptieren.

Um das Zertifikat-Pinning zu verwenden, fordern Sie an, dass Citrix Zertifikate auf den Citrix ADS-Server hochlädt. Öffnen Sie einen technischen Supportfall über das Citrix Support-Portal. Geben Sie dann die folgenden Informationen an:

• Die Domäne, die die Konten enthält, mit denen sich Benutzer registrieren werden.
• Der vollqualifizierte Domänenname (FQDN) von Endpoint Management.
• Der Instanzname von Endpoint Management. Standardmäßig ist der Instanzname zdm und unterscheidet zwischen Groß- und Kleinschreibung.
• Benutzer-ID-Typ, der entweder UPN oder E-Mail sein kann. Standardmäßig ist der Typ UPN.
• Der für die iOS-Registrierung verwendete Port, wenn Sie die Portnummer vom Standardport 8443 geändert haben.
• Der Port, über den Endpoint Management Verbindungen akzeptiert, wenn Sie die Portnummer vom Standardport 443 geändert haben.
• Die vollständige URL Ihres Citrix Gateways.
• Optional eine E-Mail-Adresse für Ihren Endpoint Management-Administrator.
• Die PEM-formatierten Zertifikate, die Sie der Domäne hinzufügen möchten.

Konfigurieren der Zertifikat- + Einmalpasswort-Authentifizierung für Secure Hub

Sie können Citrix ADC so konfigurieren, dass Secure Hub sich mithilfe eines Zertifikats plus eines Sicherheitstokens, das als Einmalpasswort dient, authentifiziert. Diese Konfiguration bietet eine starke Sicherheitsoption, die keine Active Directory-Spuren auf Geräten hinterlässt.

Um Secure Hub die Verwendung dieser Authentifizierungsart zu ermöglichen, fügen Sie in Citrix ADC eine Rewrite-Aktion und eine Rewrite-Richtlinie hinzu, die einen benutzerdefinierten Antwortheader der Form X-Citrix-AM-GatewayAuthType: CertAndRSA einfügt, um den Citrix Gateway-Anmeldetyp anzugeben.

Normalerweise verwendet Secure Hub den in der Endpoint Management-Konsole konfigurierten Citrix Gateway-Anmeldetyp. Diese Informationen stehen Secure Hub jedoch erst zur Verfügung, wenn Secure Hub die Anmeldung zum ersten Mal abgeschlossen hat. Daher ist der benutzerdefinierte Header erforderlich, damit Secure Hub dies tun kann.

Hinweis:

Wenn in Endpoint Management und Citrix ADC unterschiedliche Anmeldetypen festgelegt sind, überschreibt die Citrix ADC-Konfiguration die Konfiguration. Details finden Sie unter Citrix Gateway und Endpoint Management.

1. Navigieren Sie in Citrix ADC zu Configuration > AppExpert > Rewrite > Actions.

2. Klicken Sie auf Add.

   Der Bildschirm Create Rewrite Action wird angezeigt.

3. Füllen Sie jedes Feld wie in der folgenden Abbildung gezeigt aus und klicken Sie dann auf Create.

   

• Das folgende Ergebnis wird auf dem Hauptbildschirm Rewrite Actions angezeigt.

  

1. Binden Sie die Rewrite-Aktion als Rewrite-Richtlinie an den virtuellen Server. Navigieren Sie zu Configuration > NetScaler® Gateway > Virtual Servers, und wählen Sie dann Ihren virtuellen Server aus.

   

2. Klicken Sie auf Edit.

3. Scrollen Sie auf dem Bildschirm Virtual Servers configuration nach unten zu Policies.

• 1. Klicken Sie auf +, um eine Richtlinie hinzuzufügen.

  

• 1. Wählen Sie im Feld Choose Policy die Option Rewrite.

1. Wählen Sie im Feld Choose Type die Option Response.

   

2. Klicken Sie auf Continue.

   Der Abschnitt Policy Binding wird erweitert.

   

3. Klicken Sie auf Select Policy.

   Ein Bildschirm mit verfügbaren Richtlinien wird angezeigt.

1. Klicken Sie auf die Zeile der soeben erstellten Richtlinie und dann auf Select. Der Bildschirm Policy Binding wird erneut angezeigt, wobei Ihre ausgewählte Richtlinie ausgefüllt ist.

   

2. Klicken Sie auf Bind.

   Wenn die Bindung erfolgreich ist, wird der Hauptkonfigurationsbildschirm mit der angezeigten abgeschlossenen Rewrite-Richtlinie angezeigt.

   

3. Um die Richtliniendetails anzuzeigen, klicken Sie auf Rewrite Policy.

   

Portanforderung für ADS-Konnektivität für Android-Geräte

Die Portkonfiguration stellt sicher, dass Android-Geräte, die sich von Secure Hub aus verbinden, auf den Citrix ADS innerhalb des Unternehmensnetzwerks zugreifen können. Die Möglichkeit, auf ADS zuzugreifen, ist wichtig, wenn Sicherheitsupdates heruntergeladen werden, die über ADS verfügbar gemacht werden. ADS-Verbindungen sind möglicherweise nicht mit Ihrem Proxyserver kompatibel. In diesem Szenario lassen Sie die ADS-Verbindung den Proxyserver umgehen.

Wichtig:

Secure Hub für Android und iOS erfordert, dass Sie Android-Geräten den Zugriff auf ADS erlauben. Einzelheiten finden Sie unter Portanforderungen in der Endpoint Management-Dokumentation. Beachten Sie, dass diese Kommunikation über den ausgehenden Port 443 erfolgt. Es ist sehr wahrscheinlich, dass Ihre bestehende Umgebung so konfiguriert ist, dass dieser Zugriff erlaubt ist. Kunden, die diese Kommunikation nicht gewährleisten können, wird dringend davon abgeraten, auf Secure Hub 10.2 zu aktualisieren. Bei Fragen wenden Sie sich bitte an den Citrix Support.

Um Certificate Pinning zu aktivieren, müssen Sie die folgenden Voraussetzungen erfüllen:

• Sammeln Sie Endpoint Management- und Citrix ADC-Zertifikate. Die Zertifikate müssen im PEM-Format vorliegen und ein öffentliches Zertifikat und nicht der private Schlüssel sein.
• Wenden Sie sich an den Citrix Support und stellen Sie eine Anfrage zur Aktivierung des Certificate Pinning. Während dieses Vorgangs werden Sie nach Ihren Zertifikaten gefragt.

Die neuen Verbesserungen beim Certificate Pinning erfordern, dass Geräte eine Verbindung zu ADS herstellen, bevor das Gerät registriert wird. Dies stellt sicher, dass die neuesten Sicherheitsinformationen Secure Hub für die Umgebung zur Verfügung stehen, in der das Gerät registriert wird. Wenn Geräte ADS nicht erreichen können, lässt Secure Hub die Registrierung des Geräts nicht zu. Daher ist die Öffnung des ADS-Zugriffs innerhalb des internen Netzwerks entscheidend, um die Registrierung von Geräten zu ermöglichen.

Um den Zugriff auf den ADS für Secure Hub für Android zu ermöglichen, öffnen Sie Port 443 für die folgenden IP-Adressen und FQDNs:

Wenn Certificate Pinning aktiviert ist:

• Secure Hub pinnt Ihr Unternehmenszertifikat während der Geräteregistrierung.

• Während eines Upgrades verwirft Secure Hub alle aktuell gepinnten Zertifikate und pinnt dann das Serverzertifikat bei der ersten Verbindung für registrierte Benutzer.

  Hinweis:

  Wenn Sie die Zertifikatsanheftung nach einem Upgrade aktivieren, müssen sich Benutzer erneut registrieren.

• Die Zertifikatserneuerung erfordert keine erneute Registrierung, vorausgesetzt, der öffentliche Schlüssel des Zertifikats hat sich nicht geändert.

Die Zertifikatsanheftung unterstützt Blattzertifikate, nicht Zwischen- oder Ausstellerzertifikate. Die Zertifikatsanheftung gilt für Citrix-Server wie Endpoint Management und Citrix Gateway und nicht für Server von Drittanbietern.

Secure Hub-Funktionen

Secure Hub ermöglicht Ihnen die Überwachung und Durchsetzung mobiler Richtlinien und bietet gleichzeitig Zugriff auf den Store und Live-Support. Benutzer beginnen damit, Secure Hub aus dem Apple-, Android- oder Windows App Store auf ihre Geräte herunterzuladen.

Wenn Secure Hub geöffnet wird, geben Benutzer die von ihren Unternehmen bereitgestellten Anmeldeinformationen ein, um ihre Geräte bei Secure Hub zu registrieren. Weitere Informationen zur Geräteregistrierung finden Sie unter Benutzer, Konten, Rollen und Registrierung.

Auf Secure Hub für Android wird während der Erstinstallation und Registrierung die folgende Meldung angezeigt: Secure Hub erlauben, auf Fotos, Medien und Dateien auf Ihrem Gerät zuzugreifen?

Beachten Sie, dass diese Meldung vom Android-Betriebssystem und nicht von Citrix stammt. Wenn Sie auf Zulassen tippen, sehen Citrix und die Administratoren, die Secure Hub verwalten, zu keinem Zeitpunkt Ihre persönlichen Daten. Wenn Sie jedoch eine Remote-Support-Sitzung mit Ihrem Administrator durchführen, kann der Administrator Ihre persönlichen Dateien innerhalb der Sitzung einsehen.

Nach der Registrierung sehen Benutzer alle Apps und Desktops, die Sie in ihrer Registerkarte Meine Apps bereitgestellt haben. Benutzer können weitere Apps aus dem Store hinzufügen. Auf Telefonen befindet sich der Store-Link unter dem Hamburger-Symbol für Einstellungen in der oberen linken Ecke.

Auf Tablets ist der Store eine separate Registerkarte.

Wenn Benutzer mit iPhones, auf denen iOS 9 oder höher ausgeführt wird, mobile Produktivitäts-Apps aus dem Endpoint Management App Store installieren, sehen sie eine Meldung, dass der Unternehmensentwickler Citrix auf diesem iPhone nicht vertrauenswürdig ist und die App erst verwendet werden kann, wenn der Entwickler vertrauenswürdig ist. Wenn diese Meldung angezeigt wird, fordert Secure Hub die Benutzer auf, eine Anleitung anzuzeigen, die sie durch den Prozess des Vertrauens in Citrix Unternehmens-Apps für ihr iPhone führt.

Für reine MAM-Bereitstellungen können Sie Endpoint Management so konfigurieren, dass Benutzer mit Android- oder iOS-Geräten, die sich mit E-Mail-Anmeldeinformationen bei Secure Hub registrieren, automatisch bei Secure Mail registriert werden. Benutzer müssen keine weiteren Informationen eingeben oder zusätzliche Schritte unternehmen, um sich bei Secure Mail zu registrieren.

Bei der ersten Verwendung von Secure Mail ruft Secure Mail die E-Mail-Adresse, Domäne und Benutzer-ID des Benutzers von Secure Hub ab. Secure Mail verwendet die E-Mail-Adresse für die automatische Erkennung. Der Exchange-Server wird anhand der Domäne und Benutzer-ID identifiziert, wodurch Secure Mail den Benutzer automatisch authentifizieren kann. Der Benutzer wird aufgefordert, ein Kennwort einzugeben, wenn die Richtlinie so eingestellt ist, dass das Kennwort nicht weitergegeben wird, aber der Benutzer muss keine weiteren Informationen eingeben.

Um diese Funktion zu aktivieren, erstellen Sie drei Eigenschaften:

• Die Servereigenschaft MAM_MACRO_SUPPORT. Anweisungen finden Sie unter Servereigenschaften.
• Die Clienteigenschaften ENABLE_CREDENTIAL_STORE und SEND_LDAP_ATTRIBUTES. Anweisungen finden Sie unter Clienteigenschaften.

Wenn Sie Ihren Store anpassen möchten, gehen Sie zu Einstellungen > Client-Branding, um den Namen zu ändern, ein Logo hinzuzufügen und festzulegen, wie Apps angezeigt werden.

Sie können App-Beschreibungen in der Endpoint Management-Konsole bearbeiten. Klicken Sie auf Konfigurieren und dann auf Apps. Wählen Sie die App aus der Tabelle aus und klicken Sie dann auf Bearbeiten. Wählen Sie die Plattformen für die App aus, deren Beschreibung Sie bearbeiten, und geben Sie dann den Text in das Feld Beschreibung ein.

Im Store können Benutzer nur die Apps und Desktops durchsuchen, die Sie in Endpoint Management konfiguriert und gesichert haben. Um die App hinzuzufügen, tippen Benutzer auf Details und dann auf Hinzufügen.

Secure Hub bietet Benutzern auch eine Vielzahl von Möglichkeiten, Hilfe zu erhalten. Auf Tablets öffnet das Tippen auf das Fragezeichen in der oberen rechten Ecke die Hilfeoptionen. Auf Telefonen tippen Benutzer auf das Hamburger-Menüsymbol in der oberen linken Ecke und dann auf Hilfe.

Ihre IT-Abteilung zeigt die Telefonnummer und E-Mail-Adresse Ihres Unternehmens-Helpdesks an, auf die Benutzer direkt aus der App zugreifen können. Sie geben Telefonnummern und E-Mail-Adressen in der Endpoint Management-Konsole ein. Klicken Sie auf das Zahnradsymbol in der oberen rechten Ecke. Die Seite Einstellungen wird angezeigt. Klicken Sie auf Mehr und dann auf Client-Support. Der Bildschirm, auf dem Sie die Informationen eingeben, wird angezeigt.

Problem melden zeigt eine Liste von Apps an. Benutzer wählen die App aus, die das Problem aufweist. Secure Hub generiert automatisch Protokolle und öffnet dann eine Nachricht in Secure Mail, wobei die Protokolle als Zip-Datei angehängt sind. Benutzer fügen Betreffzeilen und Beschreibungen des Problems hinzu. Sie können auch einen Screenshot anhängen.

Feedback an Citrix senden öffnet eine Nachricht in Secure Mail mit einer ausgefüllten Citrix-Supportadresse. Im Nachrichtentext kann der Benutzer Vorschläge zur Verbesserung von Secure Mail eingeben. Wenn Secure Mail nicht auf dem Gerät installiert ist, wird das native E-Mail-Programm geöffnet.

Benutzer können auch auf Citrix Support tippen, wodurch das Citrix Knowledge Center geöffnet wird. Dort können sie Supportartikel für alle Citrix-Produkte durchsuchen.

Unter Einstellungen finden Benutzer Informationen zu ihren Konten und Geräten.

Secure Hub bietet auch Geo-Location- und Geo-Tracking-Richtlinien, wenn Sie beispielsweise sicherstellen möchten, dass ein unternehmenseigenes Gerät eine bestimmte geografische Grenze nicht überschreitet. Details finden Sie unter Standortrichtlinie für Geräte. Zusätzlich sammelt und analysiert Secure Hub automatisch Fehlerinformationen, sodass Sie sehen können, was zu einem bestimmten Fehler geführt hat. Diese Funktion wird von der Software Crashlytics unterstützt.