Administratoraufgaben und -überlegungen

In diesem Artikel werden die Aufgaben und Überlegungen erläutert, die für Administratoren von mobilen Produktivitätsapps relevant sind.

Verwalten von Featureflags

Wenn in einer Produktionsumgebung ein Problem mit Secure Hub, Secure Mail oder Secure Web für iOS und Android auftritt, können wir das betroffene Feature im App-Code deaktivieren. Hierfür verwenden wir Featureflags und den Drittanbieterdienst “Launch Darkly”. Sie müssen die Aktivierung des Datenverkehrs über Launch Darkly nur dann konfigurieren, wenn Sie den ausgehenden Datenverkehr durch eine Firewall oder einen Proxyserver blockieren. In diesem Fall aktivieren Sie den Datenverkehr über Launch Darkly Ihren Richtlinienanforderungen entsprechend über bestimmte URLs oder IP-Adressen. Weitere Informationen zum Ausschluss von Domänen vom Tunneling, der in MDX ab mobile Produktivitätsapps 10.6.15 unterstützt wird, finden Sie in der Dokumentation zum MDX Toolkit.

Sie können den Datenaustausch und die Kommunikation mit Launch Darkly wie folgt ermöglichen:

Datenverkehr für folgende URLs zulassen:

  • events.launchdarkly.com
  • stream.launchdarkly.com
  • clientstream.launchdarkly.com
  • firehose.launchdarkly.com

Positivliste nach Domäne erstellen:

Bisher bot Citrix eine Liste mit IP-Adressen an, die verwendet werden konnten, wenn interne Richtlinien eine ausschließliche Auflistung von IP-Adressen erforderten. Nachdem Citrix Infrastrukturverbesserungen vorgenommen hat, werden die öffentlichen IP-Adressen ab dem 16. Juli schrittweise abgebaut. Citrix empfiehlt Verwendung einer Positivliste nach Domäne.

IP-Adressen in einer Positivliste auflisten:

Wenn Sie IP-Adressen in einer Positivliste auflisten müssen, konsultieren Sie die Liste der aktuellen IP-Adressbereiche unter Launch Darkly public IP list. Mithilfe dieser Liste können Sie sicherstellen, dass Ihre Firewallkonfigurationen automatisch anhand der Infrastrukturupdates aktualisiert werden. Weitere Informationen finden Sie unter Launch Darkly root resource. Einzelheiten zum aktuellen Status der Änderungen der Infrastruktur finden Sie unter LaunchDarkly status page.

Hinweis:

Öffentliche Store-Apps müssen zur ersten Bereitstellung neu installiert werden. Ein Upgrade einer umschlossenen Unternehmensapp auf eine öffentliche Store-App ist nicht möglich.

Bei der Bereitstellung in öffentlichen App-Stores brauchen Sie von Citrix entwickelte Apps nicht zu signieren und mit dem MDX Toolkit zu umschließen. Dadurch wird die Bereitstellung von Apps erheblich rationalisiert. Sie können Unternehmensapps und Apps von Drittanbietern mit dem MDX Toolkit umschließen.

Systemanforderungen für Launch Darkly

  • Endpoint Management 10.5 oder höher.
  • Stellen Sie sicher, dass die Apps mit den folgenden Diensten kommunizieren können, wenn Sie auf NetScaler Split-Tunneling auf OFF festgelegt haben:

Unterstützte App-Stores

Die mobilen Produktivitätsapps sind im Apple App Store und in Google Play verfügbar. Informationen zum Sichern und Bereitstellen der nativen Produktivitätsapps auf Windows-Geräten finden Sie unter Geräterichtlinie für Windows Information Protection.

In China ist Google Play nicht verfügbar, Secure Hub für Android ist jedoch in den folgenden App-Stores verfügbar:

Aktivieren der Verteilung über öffentliche App-Stores

  1. Laden Sie die Datei public-store.mdx je für iOS und Android von der Endpoint Management-Downloadseite herunter.
  2. Laden Sie die MDX-Dateien in die XenMobile-Konsole hoch. Die Versionen der mobilen Produktivitätsapps für öffentliche Stores werden weiterhin als MDX-Apps hochgeladen. Laden Sie die Apps nicht als öffentliche Store-Apps auf den Server hoch. Weitere Informationen zu dem Verfahren finden Sie unter Hinzufügen von Apps.
  3. Ändern Sie die Standardwerte von Richtlinien gemäß Ihren Sicherheitsvorgaben (optional).
  4. Stellen Sie die Apps per Push als erforderlich bereit (optional). Für diesen Schritt muss Ihre Umgebung für die Mobilgeräteverwaltung aktiviert sein.
  5. Installieren Sie Apps auf Geräten aus dem App-Store, Google Play oder dem Endpoint Management App Store.
    • Benutzer von Android-Geräten werden zum Installieren der App an den Play Store weitergeleitet. Auf iOS-Geräten wird die App in Bereitstellungen mit MDM installiert. ohne dass Benutzer zum App Store wechseln.
    • Wenn eine App aus dem App-Store oder Play-Store installiert wird, wird sie zur verwalteten App, sofern die zugehörige MDX-Datei auf den Server hochgeladen wurde. Beim Wechsel zur verwalteten App wird die Eingabe einer Citrix-PIN angefordert. Wenn Benutzer die Citrix-PIN eingeben, wird von Secure Mail der Bildschirm zur Kontokonfiguration angezeigt.
  6. Apps sind nur zugänglich, wenn der Benutzer bei Secure Hub registriert und die entsprechende MDX-Datei auf dem Server ist. Ist eine dieser beiden Bedingungen nicht erfüllt, kann der Benutzer die App zwar installieren, jedoch im Anschluss nicht nutzen.

Wenn Sie bereits Apps aus dem Citrix Ready Marketplace in öffentlichen App-Stores verwenden, kennen Sie das Bereitstellungsverfahren schon. Die mobilen Produktivitätsapps verwenden den gleichen Ansatz, den derzeit viele unabhängige Softwarehersteller verwenden. Betten Sie das MDX SDK in die App ein, um die App für den öffentlichen Store vorzubereiten.

Hinweis:

Die Versionen der Citrix Files-Apps für iOS und Android, die in öffentlichen Stores verfügbar sind, sind jetzt universell. Die Citrix Files-App ist dieselbe für Mobiltelefone und Tablets.

Apple-Pushbenachrichtigungen

Weitere Informationen zum Konfigurieren von Pushbenachrichtigungen finden Sie unter Konfigurieren von Secure Mail für Pushbenachrichtigungen.

Häufig gestellte Fragen (FAQs) zum öffentlichen App-Store

1. Kann ich mehrere Exemplare öffentlicher Apps für verschiedene Benutzergruppen bereitstellen? Beispiel: Ich möchte unterschiedliche Richtlinien für verschiedene Benutzergruppen bereitstellen.

Sie müssen eine eigene MDX-Datei für jede Benutzergruppe hochladen. Allerdings darf in diesem Fall ein einzelner Benutzer nicht mehreren Gruppen angehören. Gehörte ein einzelner Benutzer mehreren Gruppen an, würden ihm mehrere Exemplare derselben App zugewiesen. Es können nicht mehrere Exemplare einer öffentlichen Store-App auf demselben Gerät bereitgestellt werden, da die App-ID nicht geändert werden kann.

2. Kann ich öffentliche Store-Apps per Push als erforderliche Apps installieren?

Ja. Die Pushinstallation erfordert MDM, im Nur-MAM-Modus wird sie nicht unterstützt.

3. Muss ich Datenverkehrsrichtlinien oder Exchange Server-Regeln, die auf dem Benutzeragent basieren, aktualisieren?

Zeichenfolgen für alle benutzeragentbasierten Richtlinien und Regeln nach Plattform:

Android

App Server User-Agent-Zeichenfolge
Citrix Secure Mail Exchange WorxMail
  Lotus Notes Traveler Apple - iPhone WorxMail
Citrix Secure Web   WorxMail
Citrix Secure Tasks Exchange WorxMail
Citrix Secure Notes Exchange WorxMail
  Citrix Files Secure Notes

iOS

App Server User-Agent-Zeichenfolge
Citrix Secure Mail Exchange WorxMail
  Lotus Notes Traveler Apple - iPhone WorxMail
Citrix Secure Web   com.citrix.browser
Citrix Secure Tasks Exchange WorxTasks
Citrix Secure Notes Exchange WorxNotes
  Citrix Files Secure Notes

4. Kann ich App-Updates verhindern?

Nein. Wenn ein Update im öffentlichen App-Store bereitgestellt wird, erhalten alle Benutzer, die automatische Updates aktiviert haben, das Update.

5. Kann ich App-Updates erzwingen?

Ja, Updates werden über die Update-Kulanzzeitraumrichtlinie erzwungen. Diese Richtlinie wird festgelegt, wenn die neue MDX-Datei für die aktualisierte App-Version auf den XenMobile-Server hochgeladen wird.

6. Wie kann ich Apps testen, bevor die Benutzer sie erhalten, wenn ich keine Kontrolle über die Update-Zeitachse habe?

Ähnlich wie bei Secure Hub stehen Apps während des EAR-Zeitraums (Early Adopter Release) zum Testen auf TestFlight für iOS zur Verfügung. Android-Apps stehen während des EAR-Zeitraums über das Google Play-Betaprogramm zur Verfügung. In diesem Zeitraum können Sie App-Updates testen.

7. Was passiert, wenn ich die neue MDX-Datei nicht aktualisiere, bevor ein automatisches Update auf die Benutzergeräte gelangt?

Die aktualisierte App funktioniert weiterhin mit der älteren MDX-Datei. Neue Features, die von einer neuen Richtlinie abhängen, werden nicht aktiviert.

8. Wird die App zur verwalteten App, wenn Secure Hub installiert wird, oder muss sie neu registriert werden?

Benutzer müssen bei Secure Hub registriert sein, damit eine öffentliche Store-App als verwaltete (mit MDX geschützte) App aktiviert wird und verwendet werden kann. Wenn Secure Hub installiert ist aber keine Registrierung vorliegt, können die Benutzer die öffentliche Store-App nicht verwenden.

9. Benötige ich ein Apple Enterprise Developer-Konto für öffentliche Store-Apps?

Nein. Da jetzt Citrix die Zertifikate und Provisioningprofile für die mobilen Produktivitätsapps pflegt, ist zur Bereitstellung der Apps kein Apple Enterprise Developer-Konto erforderlich.

10. Gilt das Ende der Unternehmensverteilung für umschlossene Apps, die ich schon bereitgestellt habe?

Nein, es gilt nur für die mobilen Produktivitätsapps: Secure Mail, Secure Web, Secure Notes, Secure Tasks, Citrix Files für Endpoint Management, ScanDirect für XenMobile, QuickEdit für XenMobile und ShareConnect für XenMobile. Alle anderen umschlossenen Unternehmensapps (interne oder von Drittanbietern), die Sie bereitgestellt haben, können weiterhin umschlossen verwendet werden. Das MDX Toolkit unterstützt weiterhin das Umschließen durch App-Entwickler.

11. Beim Installieren einer App aus Google Play wird ein Android-Fehler mit dem Fehlercode 505 angezeigt.

Dies ist ein bekanntes Problem bei Google Play und Android 5.x-Versionen. Wenn dieser Fehler auftritt, können Sie veraltete Daten auf dem Gerät, die die Installation der App verhindern, wie folgt löschen:

  1. Starten Sie das Gerät neu.

  2. Leeren Sie den Cache und löschen Sie die Daten für Google Play über die Geräteeinstellungen.

  3. Entfernen Sie als letzten Ausweg das Google-Konto vom Gerät und fügen Sie es wieder hinzu.

Weitere Informationen finden Sie auf dieser Website, wenn Sie nach folgenden Schlüsselwörtern suchen: “Fix Google Play Store Error 505 in Android: Unknown Error Code”.

12. Wenn eine App in Google Play zur Produktion freigegeben wurde und es keine neue Betaversion gibt, warum wird neben dem App-Namen in Google Play immer noch Beta angezeigt?

Wenn Sie an unserem Early Access Release-Programm teilnehmen, wird neben dem App-Namen immer “Beta” angezeigt. Der Name weist die Benutzer auf ihre Zugriffsebene für eine bestimmte App hin. Der Zusatz “Beta” bedeutet, dass Benutzer die aktuelle Version der App erhalten. Die aktuelle Version kann eine Produktionsversion oder eine Betaversion sein.

13. Nach der Installation und dem Öffnen der App wird “App nicht autorisiert” gemeldet, selbst wenn die MDX-Datei auf dem XenMobile-Server ist.

Dieser Fall kann eintreten, wenn der Benutzer die App direkt aus dem App-Store oder aus Google Play installiert und Secure Hub noch nicht aktualisiert hat. Secure Hub muss aktualisiert werden, wenn der Inaktivitätstimer abgelaufen ist. Richtlinien werden aktualisiert, wenn die Benutzer Secure Hub öffnen und sich erneut authentifizieren. Die App wird autorisiert, wenn die Benutzer sie das nächste Mal öffnen.

14. Benötige ich einen Zugangscode zum Verwenden von Apps? Ich werde zur Eingabe eines Zugangscodes beim Installieren einer App aus dem App Store oder Google Play aufgefordert.

Wenn Sie eine Aufforderung zur Codeeingabe sehen, sind Sie nicht bei Endpoint Management über Secure Hub registriert. Registrieren Sie sich bei Secure Hub und vergewissern Sie sich, dass die MDX-Datei der App auf dem Server bereitgestellt wurde. Stellen Sie zudem sicher, dass die App verwendet werden kann. Der Zugangscode dient nur zur Citrix-internen Verwendung. Apps erfordern eine Endpoint Management-Bereitstellung zur Aktivierung.

15. Kann ich iOS-Apps aus dem öffentlichen Store über VPP oder DEP bereitstellen?

XenMobile Server ist für die Verteilung öffentlicher, nicht MDX-aktivierter Store-Apps per VPP optimiert. Sie können zwar öffentliche Endpoint Management Store Apps über VPP verteilen, doch ist die Bereitstellung so lange nicht optimal, bis Citrix weitere Verbesserungen an XenMobile Server und dem Secure Hub-Store zur Beseitigung von Einschränkungen vorgenommen hat. Eine Liste der bekannten Probleme bei der Bereitstellung öffentlicher Endpoint Management Store Apps über VPP und möglicher Workarounds finden Sie im Citrix Knowledge Center.

MDX-Richtlinien für mobile Produktivitätsapps

Mit den MDX-Richtlinien können Sie Einstellungen konfigurieren, die von XenMobile Server durchgesetzt werden. Die Richtlinien sind für Authentifizierung, Gerätesicherheit, Netzwerkanforderungen und -zugriff, Verschlüsselung, App-Interaktion, App-Einschränkungen usw. Viele MDX-Richtlinien gelten für alle mobilen Produktivitätsapps, während einige Richtlinien App-spezifisch sind.

Richtliniendateien werden als MDX-Dateien für die öffentlichen Storeversionen der mobilen Produktivitätsapps bereitgestellt. Sie können außerdem Richtlinien in der Endpoint Management-Konsole konfigurieren, wenn Sie eine App hinzufügen.

In den folgenden Abschnitten werden die mit den Benutzerverbindungen verbundenen MDX-Richtlinien erläutert.

Benutzerverbindungen mit dem internen Netzwerk

Verbindungen, die einen Tunnel zum internen Netzwerk benötigen, können einen kompletten VPN-Tunnel oder eine Variante eines clientlosen VPNs (Secure Browse) verwenden. Dieses Verhalten wird von der Richtlinie “Bevorzugter VPN-Modus” gesteuert. Standardmäßig verwenden Verbindungen “Secure Browse”, und diese Einstellung wird für Verbindungen empfohlen, die Single Sign-On erfordern. Die Einstellung eines vollständigen VPN-Tunnels wird für Verbindungen empfohlen, die Clientzertifikate oder End-to-End-SSL für Ressourcen im internen Netzwerk einsetzen. Darüber hinaus unterstützt diese Einstellung beliebige Protokolle über TCP und kann mit Windows- und Mac-Computern sowie iOS- und Android-Geräten verwendet werden.

Secure Web für iOS und Android unterstützt die Verwendung einer PAC-Datei (Proxy Automatic Configuration) mit einer vollständigen VPN-Tunnel-Bereitstellung, wenn Sie NetScaler für die Proxyauthentifizierung verwenden.

Die Richtlinie VPN-Moduswechsel zulassen ermöglicht bei Bedarf den automatischen Wechsel zwischen den Modi “Vollständiger VPN-Tunnel” und “Secure Browse”. Standardmäßig ist diese Richtlinie deaktiviert. Wenn die Richtlinie aktiviert ist, werden Netzwerkanfragen, die fehlschlagen, weil eine Authentifizierungsanfrage nicht im bevorzugten VPN-Modus verarbeitet werden konnte, in dem anderen Modus erneut versucht. Beispielsweise können Serveraufforderungen für Clientzertifikate im vollständigen VPN-Tunnel-Modus erfüllt werden, aber nicht im Secure Browse-Modus. Ähnlich werden HTTP-Authentifizierungsaufforderungen mit Single Sign-On eher bedient, wenn “Secure Browse” verwendet wird.

Netzwerkzugangseinschränkungen

Mit der Richtlinie “Netzwerkzugriff” kann der Netzwerkzugriff eingeschränkt werden. Standardmäßig ist der Zugriff auf Secure Mail und Secure Notes nicht beschränkt, d. h. es gelten keine Einschränkungen für den Netzwerkzugriff. Apps haben unbeschränkten Zugriff auf Netzwerke, mit denen das Gerät verbunden ist. Für den Zugriff auf Secure Web ist standardmäßig ein Tunnel zum internen Netzwerk erforderlich, daher wird pro Anwendung ein VPN-Tunnel zum internen Netzwerk für den gesamten Netzwerkzugriff zusammen mit NetScaler Split-Tunnel-Einstellungen verwendet. Sie können den Zugriff blockieren, sodass die App sich verhält, als hätte das Gerät keine Netzwerkverbindung.

Blockieren Sie nicht die Richtlinie “Netzwerkzugriff”, wenn Sie Features wie AirPrint, iCloud sowie Facebook- und Twitter-APIs zulassen.

Die Richtlinie “Netzwerkzugriff” interagiert auch mit der Richtlinie “Hintergrundnetzwerkdienste”. Weitere Informationen finden Sie unter Integration von Exchange Server oder IBM Notes Traveler-Server.

Endpoint Management-Clienteigenschaften

Clienteigenschaften enthalten Informationen, die direkt in Secure Hub auf den Geräten der Benutzer bereitgestellt werden. Clienteigenschaften befinden sich in der Endpoint Management-Konsole unter Einstellungen > Client > Clienteigenschaften.

Mit Clienteigenschaften werden Einstellungen wie die Folgenden konfiguriert:

Benutzerkennwortcaching

Die Clienteigenschaft “Benutzerkennwortcaching” ermöglicht die lokale Zwischenspeicherung des Active Directory-Kennworts auf dem Mobilgerät. Wenn Sie “Benutzerkennwortcaching” aktivieren, werden die Benutzer aufgefordert, eine Citrix-PIN oder einen Passcode festzulegen.

Inaktivitätstimer

Der Inaktivitätstimer definiert die Dauer (in Minuten), die ein Gerät inaktiv sein darf, bevor Benutzer für den Zugriff auf eine App zur Eingabe der Citrix-PIN bzw. des Passcodes aufgefordert werden. Zum Aktivieren dieser Einstellung für eine MDX-App müssen Sie die Richtlinie “App-Passcode” auf Ein festlegen. Wenn die Richtlinie “App-Passcode” auf Aus festgelegt ist, werden Benutzer für eine vollständige Authentifizierung an Secure Hub umgeleitet. Wenn Sie diese Einstellung ändern, tritt der neue Wert erst in Kraft, wenn ein Benutzer das nächste Mal zur Authentifizierung aufgefordert wird.

Citrix PIN-Authentifizierung

Die Citrix-PIN vereinfacht die Benutzerauthentifizierung. Mit der PIN können Clientzertifikate gesichert oder Active Directory-Anmeldeinformationen lokal auf einem Gerät gespeichert werden. Wenn Sie PIN-Einstellungen konfigurieren, melden sich Benutzer wie folgt an:

  1. Wenn Benutzer Secure Hub zum ersten Mal starten, werden sie zur Eingabe einer PIN aufgefordert, die die Active Directory-Anmeldeinformationen zwischenspeichert.

  2. Beim nachfolgenden Start einer mobilen Produktivitätsapp, wie zum Beispiel Secure Mail, geben Benutzer nur die PIN ein und melden sich an.

Verwenden Sie die Clienteigenschaften zum Aktivieren der Authentifizierung durch die PIN, zum Angeben des PIN-Typs, der PIN-Stärke und -Länge sowie zum Ändern der Anforderungen.

Authentifizierung per Fingerabdruck

Die Authentifizierung per Fingerabdruck ist eine Alternative zur Citrix-PIN, wenn für umschlossene Apps (außer Secure Hub) eine Offlineauthentifizierung, etwa nach Ablaufen des Inaktivitätstimers, erforderlich ist. Sie können dieses Feature für die folgenden Authentifizierungskonfigurationen aktivieren:

  • Citrix-PIN + Clientzertifikat
  • Citrix-PIN + zwischengespeichertes Active Directory-Kennwort
  • Citrix-PIN + Clientzertifikat + zwischengespeichertes Active Directory-Kennwort
  • Citrix-PIN ist deaktiviert

Schlägt die Authentifizierung per Fingerabdruck fehl oder bricht der Benutzer die Authentifizierung per Fingerabdruck ab, wird für umschlossene Apps auf die Authentifizierung per Citrix-PIN oder Active Directory-Kennwort zurückgegriffen.

Anforderungen für die Authentifizierung per Fingerabdruck:

  • iOS-Geräte (Mindestversion 8.1), die die Authentifizierung per Fingerabdruck unterstützen und auf denen mindestens ein Fingerabdruck konfiguriert ist.

  • Benutzerentropie muss deaktiviert sein.

Konfigurieren der Authentifizierung per Fingerabdruck

Wichtig:

Bei aktivierter Benutzerentropie wird die Eigenschaft zur Aktivierung der Touch ID-Authentifizierung ignoriert. Die Benutzerentropie wird über den Schlüssel “Encrypt secrets using Passcode” aktiviert.

  1. Navigieren Sie in der Endpoint Management-Konsole zu Einstellungen > Client > Clienteigenschaften.

  2. Klicken Sie auf Hinzufügen.

    Abbildung des Bildschirms "Neue Clienteigenschaft hinzufügen"

  3. Fügen Sie den Schlüssel ENABLE_TOUCH_ID_AUTH hinzu, legen Sie den Wert auf True fest und den Namen der Richtlinie auf Authentifizierung per Fingerabdruck aktivieren.