Authentifizierung
Bei einer XenMobile®-Bereitstellung sind mehrere Aspekte zu berücksichtigen, wenn entschieden wird, wie die Authentifizierung konfiguriert werden soll. Dieser Abschnitt hilft Ihnen, die verschiedenen Faktoren zu verstehen, die die Authentifizierung beeinflussen, indem er Folgendes erläutert:
- Die wichtigsten MDX-Richtlinien, XenMobile-Client-Eigenschaften und Citrix Gateway-Einstellungen, die mit der Authentifizierung verbunden sind.
- Die Art und Weise, wie diese Richtlinien, Client-Eigenschaften und Einstellungen zusammenwirken.
- Die Kompromisse jeder Wahl.
Dieser Artikel enthält auch drei Beispiele für empfohlene Konfigurationen für zunehmende Sicherheitsstufen.
Im Allgemeinen führt stärkere Sicherheit zu einer weniger optimalen Benutzererfahrung, da Benutzer sich häufiger authentifizieren müssen. Wie Sie diese Bedenken abwägen, hängt von den Anforderungen und Prioritäten Ihrer Organisation ab. Durch die Überprüfung der drei empfohlenen Konfigurationen sollen Sie ein besseres Verständnis des Zusammenspiels der Ihnen zur Verfügung stehenden Authentifizierungsmaßnahmen und der besten Bereitstellung Ihrer eigenen XenMobile-Umgebung gewinnen.
Authentifizierungsmodi
Online-Authentifizierung: Ermöglicht Benutzern den Zugriff auf das XenMobile-Netzwerk. Erfordert eine Internetverbindung.
Offline-Authentifizierung: Erfolgt auf dem Gerät. Benutzer entsperren den sicheren Tresor und haben Offline-Zugriff auf Elemente wie heruntergeladene E-Mails, zwischengespeicherte Websites und Notizen.
Authentifizierungsmethoden
Einzelfaktor
LDAP: Sie können in XenMobile eine Verbindung zu einem oder mehreren Verzeichnissen konfigurieren, z. B. Active Directory, das dem Lightweight Directory Access Protocol (LDAP) entspricht. Dies ist eine häufig verwendete Methode zur Bereitstellung von Single Sign-On (SSO) für Unternehmensumgebungen. Sie könnten sich für Citrix PIN mit Active Directory-Passwort-Caching entscheiden, um die Benutzererfahrung mit LDAP zu verbessern, während gleichzeitig die Sicherheit komplexer Passwörter bei der Registrierung, dem Ablauf von Passwörtern und der Kontosperrung gewährleistet wird.
Weitere Informationen finden Sie unter Domäne oder Domäne plus STA.
Clientzertifikat: XenMobile kann sich in branchenübliche Zertifizierungsstellen integrieren, um Zertifikate als einzige Methode der Online-Authentifizierung zu verwenden. XenMobile stellt dieses Zertifikat nach der Benutzerregistrierung bereit, die entweder ein Einmalpasswort, eine Einladungs-URL oder LDAP-Anmeldeinformationen erfordert. Bei Verwendung eines Clientzertifikats als primäre Authentifizierungsmethode ist in Umgebungen, die nur Clientzertifikate verwenden, eine Citrix PIN erforderlich, um das Zertifikat auf dem Gerät zu sichern.
XenMobile unterstützt die Zertifikatsperrliste (CRL) nur für eine Drittanbieter-Zertifizierungsstelle. Wenn Sie eine Microsoft CA konfiguriert haben, verwendet XenMobile Citrix ADC zur Verwaltung des Widerrufs. Wenn Sie die clientzertifikatbasierte Authentifizierung konfigurieren, überlegen Sie, ob Sie die Citrix ADC-Einstellung für die Zertifikatsperrliste (CRL), „CRL Auto Refresh aktivieren“, konfigurieren müssen. Dieser Schritt stellt sicher, dass der Benutzer eines Geräts im MAM-only-Modus sich nicht mit einem vorhandenen Zertifikat auf dem Gerät authentifizieren kann. XenMobile stellt ein neues Zertifikat aus, da es einen Benutzer nicht daran hindert, ein Benutzerzertifikat zu generieren, wenn eines widerrufen wird. Diese Einstellung erhöht die Sicherheit von PKI-Entitäten, wenn die CRL auf abgelaufene PKI-Entitäten prüft.
Ein Diagramm, das die erforderliche Bereitstellung zeigt, wenn Sie eine zertifikatbasierte Authentifizierung für Benutzer verwenden oder Ihre Unternehmenszertifizierungsstelle (CA) zum Ausstellen von Gerätezertifikaten nutzen möchten, finden Sie unter Referenzarchitektur für lokale Bereitstellungen.
Zwei-Faktor
LDAP + Clientzertifikat: In der XenMobile-Umgebung ist diese Konfiguration die beste Kombination aus Sicherheit und Benutzererfahrung, mit den besten SSO-Möglichkeiten, gepaart mit der Sicherheit, die durch die Zwei-Faktor-Authentifizierung bei Citrix ADC geboten wird. Die Verwendung von LDAP und Clientzertifikaten bietet Sicherheit durch etwas, das Benutzer wissen (ihre Active Directory-Passwörter), und etwas, das sie haben (Clientzertifikate auf ihren Geräten). Secure Mail (und einige andere mobile Produktivitäts-Apps) können sich automatisch konfigurieren und eine nahtlose Erstanwendererfahrung mit Clientzertifikat-Authentifizierung bieten, in einer ordnungsgemäß konfigurierten Exchange Client Access Server-Umgebung. Für optimale Benutzerfreundlichkeit können Sie diese Option mit Citrix PIN und Active Directory-Passwort-Caching kombinieren.
LDAP + Token: Diese Konfiguration ermöglicht die klassische Konfiguration von LDAP-Anmeldeinformationen plus einem Einmalpasswort unter Verwendung des RADIUS-Protokolls. Für optimale Benutzerfreundlichkeit können Sie diese Option mit Citrix PIN und Active Directory-Passwort-Caching kombinieren.
Wichtige Richtlinien, Einstellungen und Client-Eigenschaften, die bei der Authentifizierung eine Rolle spielen
Die folgenden Richtlinien, Einstellungen und Client-Eigenschaften kommen bei den folgenden drei empfohlenen Konfigurationen zum Tragen:
MDX-Richtlinien
App-Passcode: Wenn Ein, ist eine Citrix PIN oder ein Passcode erforderlich, um die App zu entsperren, wenn sie nach einer Zeit der Inaktivität startet oder fortgesetzt wird. Standard ist Ein.
Um den Inaktivitäts-Timer für alle Apps zu konfigurieren, legen Sie den Wert für INACTIVITY_TIMER in Minuten in der XenMobile-Konsole unter Client-Eigenschaften auf der Registerkarte Einstellungen fest. Der Standardwert ist 15 Minuten. Um den Inaktivitäts-Timer zu deaktivieren, sodass eine PIN- oder Passcode-Eingabeaufforderung nur beim Start der App angezeigt wird, setzen Sie den Wert auf Null.
Hinweis:
Wenn Sie für die Richtlinie „Verschlüsselungsschlüssel“ die Option „Offline sichern“ auswählen, wird diese Richtlinie automatisch aktiviert.
Online-Sitzung erforderlich: Wenn Ein, muss der Benutzer eine Verbindung zum Unternehmensnetzwerk und eine aktive Sitzung haben, um auf die App auf dem Gerät zuzugreifen. Wenn Aus, ist keine aktive Sitzung erforderlich, um auf die App auf dem Gerät zuzugreifen. Standard ist Aus.
Maximale Offline-Periode (Stunden): Definiert die maximale Zeitspanne, die eine App ausgeführt werden kann, ohne die App-Berechtigung erneut zu bestätigen und Richtlinien von XenMobile zu aktualisieren. Wenn Sie die maximale Offline-Periode festlegen und Secure Hub für iOS über ein gültiges Citrix Gateway-Token verfügt, ruft die App neue Richtlinien für MDX-Apps von XenMobile ab, ohne dass Benutzer unterbrochen werden. Wenn Secure Hub kein gültiges Citrix ADC-Token hat, müssen Benutzer sich über Secure Hub authentifizieren, damit die App-Richtlinien aktualisiert werden. Das Citrix ADC-Token kann aufgrund einer Inaktivität der Citrix Gateway-Sitzung oder einer erzwungenen Sitzungs-Timeout-Richtlinie ungültig werden. Wenn Benutzer sich erneut bei Secure Hub anmelden, können sie die App weiterhin ausführen.
Benutzer werden 30, 15 und 5 Minuten vor Ablauf der Periode daran erinnert, sich anzumelden. Nach Ablauf wird die App gesperrt, bis sich Benutzer anmelden. Standard ist 72 Stunden (3 Tage). Die Mindestperiode beträgt 1 Stunde.
Hinweis:
Beachten Sie, dass in einem Szenario, in dem Benutzer häufig reisen und internationales Roaming nutzen können, der Standardwert von 72 Stunden (3 Tage) möglicherweise zu kurz ist.
Ablauf des Tickets für Hintergrunddienste: Der Zeitraum, in dem ein Ticket für einen Hintergrundnetzwerkdienst gültig bleibt. Wenn Secure Mail über Citrix Gateway eine Verbindung zu einem Exchange Server herstellt, der ActiveSync ausführt, stellt XenMobile ein Token aus, das Secure Mail verwendet, um eine Verbindung zum internen Exchange Server herzustellen. Diese Eigenschaftseinstellung bestimmt die Dauer, für die Secure Mail das Token verwenden kann, ohne ein neues Token für die Authentifizierung und die Verbindung zum Exchange Server zu benötigen. Wenn das Zeitlimit abläuft, müssen sich Benutzer erneut anmelden, um ein neues Token zu generieren. Standard ist 168 Stunden (7 Tage). Wenn dieses Zeitlimit abläuft, werden E-Mail-Benachrichtigungen eingestellt.
Gnadenfrist für erforderliche Online-Sitzung: Bestimmt, wie viele Minuten ein Benutzer die App offline verwenden kann, bevor die Richtlinie „Online-Sitzung erforderlich“ die weitere Nutzung verhindert (bis die Online-Sitzung validiert ist). Der Standardwert ist 0 (keine Gnadenfrist).
Informationen zu Authentifizierungsrichtlinien finden Sie unter:
- Wenn Sie das MAM SDK verwenden: MAM SDK – Übersicht
- Wenn Sie das MDX Toolkit verwenden: MDX-Richtlinien für iOS und MDX-Richtlinien für Android
XenMobile-Client-Eigenschaften
Hinweis:
Client-Eigenschaften sind eine globale Einstellung, die für alle Geräte gilt, die eine Verbindung zu XenMobile herstellen.
Citrix PIN: Für eine einfache Anmeldung können Sie die Citrix PIN aktivieren. Mit der PIN müssen Benutzer nicht wiederholt andere Anmeldeinformationen wie ihre Active Directory-Benutzernamen und -Kennwörter eingeben. Sie können die Citrix PIN als eigenständige Offline-Authentifizierung konfigurieren oder die PIN mit der Active Directory-Kennwortzwischenspeicherung kombinieren, um die Authentifizierung für optimale Benutzerfreundlichkeit zu optimieren. Sie konfigurieren die Citrix PIN in der XenMobile-Konsole unter Einstellungen > Client > Client-Eigenschaften.
Im Folgenden finden Sie eine Zusammenfassung einiger wichtiger Eigenschaften. Weitere Informationen finden Sie unter Client-Eigenschaften.
ENABLE_PASSCODE_AUTH
Anzeigename: Citrix PIN-Authentifizierung aktivieren
Dieser Schlüssel ermöglicht es Ihnen, die Citrix PIN-Funktionalität zu aktivieren. Mit der Citrix PIN oder dem Passcode werden Benutzer aufgefordert, eine PIN zu definieren, die sie anstelle ihres Active Directory-Kennworts verwenden können. Sie müssen diese Einstellung aktivieren, wenn ENABLE_PASSWORD_CACHING aktiviert ist oder wenn XenMobile die Zertifikatsauthentifizierung verwendet.
Mögliche Werte: true oder false
Standardwert: false
ENABLE_PASSWORD_CACHING
Anzeigename: Zwischenspeicherung des Benutzerkennworts aktivieren
Dieser Schlüssel ermöglicht es, das Active Directory-Kennwort der Benutzer lokal auf dem mobilen Gerät zwischenzuspeichern. Wenn Sie diesen Schlüssel auf true setzen, werden Benutzer aufgefordert, eine Citrix PIN oder einen Passcode festzulegen. Der Schlüssel ENABLE_PASSCODE_AUTH muss auf true gesetzt werden, wenn Sie diesen Schlüssel auf true setzen.
Mögliche Werte: true oder false
Standardwert: false
PASSCODE_STRENGTH
Anzeigename: Anforderung an die PIN-Stärke
Dieser Schlüssel definiert die Stärke der Citrix PIN oder des Passcodes. Wenn Sie diese Einstellung ändern, werden Benutzer beim nächsten Mal, wenn sie zur Authentifizierung aufgefordert werden, aufgefordert, eine neue Citrix PIN oder einen neuen Passcode festzulegen.
Mögliche Werte: Niedrig, Mittel oder Stark
Standardwert: Mittel
INACTIVITY_TIMER
Anzeigename: Inaktivitätstimer
Dieser Schlüssel definiert die Zeit in Minuten, die Benutzer ihre Geräte inaktiv lassen und dann auf eine App zugreifen können, ohne zur Eingabe einer Citrix PIN oder eines Passcodes aufgefordert zu werden. Um diese Einstellung für eine MDX-App zu aktivieren, müssen Sie die Einstellung App-Passcode auf Ein setzen. Wenn die Einstellung App-Passcode auf Aus gesetzt ist, werden Benutzer zur vollständigen Authentifizierung zu Secure Hub umgeleitet. Wenn Sie diese Einstellung ändern, wird der Wert beim nächsten Mal wirksam, wenn Benutzer zur Authentifizierung aufgefordert werden. Der Standardwert ist 15 Minuten.
ENABLE_TOUCH_ID_AUTH
Anzeigename: Touch ID-Authentifizierung aktivieren
Ermöglicht die Verwendung des Fingerabdrucklesers (nur unter iOS) für die Offline-Authentifizierung. Die Online-Authentifizierung erfordert weiterhin die primäre Authentifizierungsmethode.
ENCRYPT_SECRETS_USING_PASSCODE
Anzeigename: Geheimnisse mit Passcode verschlüsseln
Dieser Schlüssel ermöglicht es, sensible Daten auf dem mobilen Gerät in einem geheimen Tresor anstatt in einem plattformbasierten nativen Speicher, wie dem iOS-Schlüsselbund, zu speichern. Dieser Konfigurationsschlüssel ermöglicht eine starke Verschlüsselung von Schlüsselartefakten, fügt aber auch Benutzerentropie hinzu (ein vom Benutzer generierter zufälliger PIN-Code, den nur der Benutzer kennt).
Mögliche Werte: true oder false
Standardwert: false
Citrix ADC-Einstellungen
Sitzungs-Timeout: Wenn Sie diese Einstellung aktivieren, trennt Citrix Gateway die Sitzung, wenn Citrix ADC für das angegebene Intervall keine Netzwerkaktivität erkennt. Diese Einstellung wird für Benutzer erzwungen, die sich mit dem Citrix Gateway Plug-in, Citrix Receiver™, Secure Hub oder über einen Webbrowser verbinden. Der Standardwert ist 1440 Minuten. Wenn Sie diesen Wert auf Null setzen, ist die Einstellung deaktiviert.
Erzwungenes Timeout: Wenn Sie diese Einstellung aktivieren, trennt Citrix Gateway die Sitzung, nachdem das Timeout-Intervall abgelaufen ist, unabhängig davon, was der Benutzer tut. Wenn das Timeout-Intervall abläuft, kann der Benutzer keine Maßnahmen ergreifen, um die Trennung zu verhindern. Diese Einstellung wird für Benutzer erzwungen, die sich mit dem Citrix Gateway Plug-in, Citrix Receiver, Secure Hub oder über einen Webbrowser verbinden. Wenn Secure Mail STA verwendet, einen speziellen Citrix ADC-Modus, gilt die Einstellung Erzwungenes Timeout nicht für Secure Mail-Sitzungen. Der Standardwert ist 1440 Minuten. Wenn Sie diesen Wert leer lassen, ist die Einstellung deaktiviert.
Weitere Informationen zu Timeout-Einstellungen in Citrix Gateway finden Sie in der Citrix ADC-Dokumentation.
Weitere Informationen zu den Szenarien, die Benutzer zur Authentifizierung bei XenMobile durch Eingabe von Anmeldeinformationen auf ihren Geräten auffordern, finden Sie unter Szenarien für Authentifizierungsaufforderungen.
Standardkonfigurationseinstellungen
Diese Einstellungen sind die Standardwerte, die bereitgestellt werden von:
- NetScaler® für XenMobile-Assistent
- MAM SDK oder MDX Toolkit
- XenMobile-Konsole
| Einstellung | Wo die Einstellung zu finden ist | Standardeinstellung |
|---|---|---|
| Sitzungs-Timeout | Citrix Gateway | 1440 Minuten |
| Erzwungenes Timeout | Citrix Gateway | 1440 Minuten |
| Maximale Offline-Periode | MDX-Richtlinien | 72 Stunden |
| Ablauf des Tickets für Hintergrunddienste | MDX-Richtlinien | 168 Stunden (7 Tage) |
| Online-Sitzung erforderlich | MDX-Richtlinien | Aus |
| Kulanzzeitraum für erforderliche Online-Sitzung | MDX-Richtlinien | 0 |
| App-Passcode | MDX-Richtlinien | Ein |
| Geheimnisse mit Passcode verschlüsseln | XenMobile-Client-Eigenschaften | false |
| Citrix PIN-Authentifizierung aktivieren | XenMobile-Client-Eigenschaften | false |
| PIN-Stärkeanforderung | XenMobile-Client-Eigenschaften | Mittel |
| PIN-Typ | XenMobile-Client-Eigenschaften | Numerisch |
| Benutzerkennwort-Caching aktivieren | XenMobile-Client-Eigenschaften | false |
| Inaktivitäts-Timer | XenMobile-Client-Eigenschaften | 15 |
| Touch ID-Authentifizierung aktivieren | XenMobile-Client-Eigenschaften | false |
Empfohlene Konfigurationen
Dieser Abschnitt enthält Beispiele für drei XenMobile-Konfigurationen, die von der niedrigsten Sicherheit und optimalen Benutzererfahrung bis zur höchsten Sicherheit und einer invasiveren Benutzererfahrung reichen. Diese Beispiele sollen Ihnen hilfreiche Referenzpunkte bieten, um zu bestimmen, wo auf dieser Skala Sie Ihre eigene Konfiguration platzieren möchten. Das Ändern dieser Einstellungen kann auch die Änderung anderer Einstellungen erfordern. Zum Beispiel muss die maximale Offline-Periode immer kürzer sein als das Sitzungs-Timeout.
Höchste Sicherheit
Diese Konfiguration bietet das höchste Sicherheitsniveau, beinhaltet jedoch erhebliche Kompromisse bei der Benutzerfreundlichkeit.
| Einstellung | Wo die Einstellung zu finden ist | Empfohlene Einstellung | Auswirkung auf das Verhalten |
| Sitzungs-Timeout | Citrix Gateway | 1440 | Benutzer geben ihre Secure Hub-Anmeldeinformationen nur ein, wenn eine Online-Authentifizierung erforderlich ist – alle 24 Stunden. |
| Erzwungenes Timeout | Citrix Gateway | 1440 | Eine Online-Authentifizierung ist alle 24 Stunden zwingend erforderlich. Aktivität verlängert die Sitzungsdauer nicht. |
| Maximale Offline-Periode | MDX-Richtlinien | 23 | Erfordert eine Richtlinienaktualisierung jeden Tag. |
| Ablauf des Tickets für Hintergrunddienste | MDX-Richtlinien | 72 Stunden | Timeout für STA, das langlebige Sitzungen ohne Citrix Gateway-Sitzungstoken ermöglicht. Im Falle von Secure Mail verhindert ein längeres STA-Timeout als das Sitzungs-Timeout, dass E-Mail-Benachrichtigungen ohne Benutzeraufforderung stoppen, wenn die App vor Ablauf der Sitzung nicht geöffnet wird. |
| Online-Sitzung erforderlich | MDX-Richtlinien | Aus | Stellt eine gültige Netzwerkverbindung und Citrix Gateway-Sitzung zur Nutzung von Apps sicher. |
| Kulanzzeitraum für erforderliche Online-Sitzung | MDX-Richtlinien | 0 | Kein Kulanzzeitraum (wenn Sie „Online-Sitzung erforderlich“ aktiviert haben). |
| App-Passcode | MDX-Richtlinien | Ein | Erfordert einen Passcode für die Anwendung. |
| Geheimnisse mit Passcode verschlüsseln | XenMobile-Client-Eigenschaften | true | Ein von der Benutzer-Entropie abgeleiteter Schlüssel schützt den Tresor. |
| Citrix PIN-Authentifizierung aktivieren | XenMobile-Client-Eigenschaften | true | Aktiviert die Citrix PIN für eine vereinfachte Authentifizierungserfahrung. |
| PIN-Stärkeanforderung | XenMobile-Client-Eigenschaften | Stark | Hohe Anforderungen an die Kennwortkomplexität. |
| PIN-Typ | XenMobile-Client-Eigenschaften | Alphanumerisch | PIN ist eine alphanumerische Sequenz. |
| Kennwort-Caching aktivieren | XenMobile-Client-Eigenschaften | false | Das Active Directory-Kennwort wird nicht zwischengespeichert und die Citrix PIN wird für Offline-Authentifizierungen verwendet. |
| Inaktivitäts-Timer | XenMobile-Client-Eigenschaften | 15 | Wenn der Benutzer MDX-Apps oder Secure Hub für diesen Zeitraum nicht verwendet, wird eine Offline-Authentifizierung angefordert. |
| Touch ID-Authentifizierung aktivieren | XenMobile-Client-Eigenschaften | false | Deaktiviert Touch ID für Offline-Authentifizierungsfälle in iOS. |
Höhere Sicherheit
Dieser Ansatz ist ein Mittelweg und erfordert, dass Benutzer sich häufiger authentifizieren – höchstens alle 3 Tage statt alle 7 – und bietet stärkere Sicherheit. Die erhöhte Anzahl von Authentifizierungen sperrt den Container häufiger und gewährleistet so die Datensicherheit, wenn Geräte nicht verwendet werden.
| Einstellung | Wo die Einstellung zu finden ist | Empfohlene Einstellung | Auswirkung auf das Verhalten |
| Sitzungs-Timeout | Citrix Gateway | 4320 | Benutzer geben ihre Secure Hub-Anmeldeinformationen nur ein, wenn eine Online-Authentifizierung erforderlich ist – alle 3 Tage. |
| Erzwungenes Timeout | Citrix Gateway | Kein Wert | Sitzungen werden bei Aktivität verlängert. |
| Maximale Offline-Periode | MDX-Richtlinien | 71 | Erfordert eine Richtlinienaktualisierung alle 3 Tage. Die Stundendifferenz dient dazu, eine Aktualisierung vor dem Sitzungs-Timeout zu ermöglichen. |
| Ablauf des Tickets für Hintergrunddienste | MDX-Richtlinien | 168 Stunden | Timeout für STA, das langlebige Sitzungen ohne Citrix Gateway-Sitzungstoken ermöglicht. Im Falle von Secure Mail verhindert ein längeres STA-Timeout als das Sitzungs-Timeout, dass E-Mail-Benachrichtigungen ohne Benutzeraufforderung stoppen, wenn die App vor Ablauf der Sitzung nicht geöffnet wird. |
| Online-Sitzung erforderlich | MDX-Richtlinien | Aus | Stellt eine gültige Netzwerkverbindung und Citrix Gateway-Sitzung zur Nutzung von Apps sicher. |
| Kulanzzeitraum für erforderliche Online-Sitzung | MDX-Richtlinien | 0 | Kein Kulanzzeitraum (wenn Sie „Online-Sitzung erforderlich“ aktiviert haben). |
| App-Passcode | MDX-Richtlinien | Ein | Erfordert einen Passcode für die Anwendung. |
| Geheimnisse mit Passcode verschlüsseln | XenMobile-Client-Eigenschaften | false | Erfordert keine Benutzer-Entropie zur Verschlüsselung des Tresors. |
| Citrix PIN-Authentifizierung aktivieren | XenMobile-Client-Eigenschaften | true | Aktiviert die Citrix PIN für eine vereinfachte Authentifizierungserfahrung. |
| PIN-Stärkeanforderung | XenMobile-Client-Eigenschaften | Mittel | Erzwingt Regeln für mittlere Kennwortkomplexität. |
| PIN-Typ | XenMobile-Client-Eigenschaften | Numerisch | Eine PIN ist eine numerische Sequenz. |
| Kennwort-Caching aktivieren | XenMobile-Client-Eigenschaften | true | Die Benutzer-PIN speichert und schützt das Active Directory-Kennwort. |
| Inaktivitäts-Timer | XenMobile-Client-Eigenschaften | 30 | Wenn der Benutzer MDX-Apps oder Secure Hub für diesen Zeitraum nicht verwendet, wird eine Offline-Authentifizierung angefordert. |
| Touch ID-Authentifizierung aktivieren | XenMobile-Client-Eigenschaften | true | Aktiviert Touch ID für Offline-Authentifizierungsfälle in iOS. |
Hohe Sicherheit
Diese Konfiguration, die für Benutzer am bequemsten ist, bietet ein grundlegendes Sicherheitsniveau.
| Einstellung | Wo die Einstellung zu finden ist | Empfohlene Einstellung | Auswirkung auf das Verhalten |
| Sitzungs-Timeout | Citrix Gateway | 10080 | Benutzer geben ihre Secure Hub-Anmeldeinformationen nur ein, wenn eine Online-Authentifizierung erforderlich ist – alle 7 Tage. |
| Erzwungenes Timeout | Citrix Gateway | Kein Wert | Sitzungen werden bei Aktivität verlängert. |
| Maximale Offline-Periode | MDX-Richtlinien | 167 | Erfordert eine Richtlinienaktualisierung jede Woche (alle 7 Tage). Die Stundendifferenz dient dazu, eine Aktualisierung vor dem Sitzungs-Timeout zu ermöglichen. |
| Ablauf des Tickets für Hintergrunddienste | MDX-Richtlinien | 240 | Timeout für STA, das langlebige Sitzungen ohne Citrix Gateway-Sitzungstoken ermöglicht. Im Falle von Secure Mail verhindert ein längeres STA-Timeout als das Sitzungs-Timeout, dass E-Mail-Benachrichtigungen ohne Benutzeraufforderung stoppen, wenn die App vor Ablauf der Sitzung nicht geöffnet wird. |
| Online-Sitzung erforderlich | MDX-Richtlinien | Aus | Stellt eine gültige Netzwerkverbindung und Citrix Gateway-Sitzung zur Nutzung von Apps sicher. |
| Kulanzzeitraum für erforderliche Online-Sitzung | MDX-Richtlinien | 0 | Kein Kulanzzeitraum (wenn Sie „Online-Sitzung erforderlich“ aktiviert haben). |
| App-Passcode | MDX-Richtlinien | Ein | Erfordert einen Passcode für die Anwendung. |
| Geheimnisse mit Passcode verschlüsseln | XenMobile-Client-Eigenschaften | false | Erfordert keine Benutzer-Entropie zur Verschlüsselung des Tresors. |
| Citrix PIN-Authentifizierung aktivieren | XenMobile-Client-Eigenschaften | true | Aktiviert die Citrix PIN für eine vereinfachte Authentifizierungserfahrung. |
| PIN-Stärkeanforderung | XenMobile-Client-Eigenschaften | Niedrig | Keine Anforderungen an die Kennwortkomplexität. |
| PIN-Typ | XenMobile-Client-Eigenschaften | Numerisch | Eine PIN ist eine numerische Sequenz. |
| Kennwort-Caching aktivieren | XenMobile-Client-Eigenschaften | true | Die Benutzer-PIN speichert und schützt das Active Directory-Kennwort. |
| Inaktivitäts-Timer | XenMobile-Client-Eigenschaften | 90 | Wenn der Benutzer MDX-Apps oder Secure Hub für diesen Zeitraum nicht verwendet, wird eine Offline-Authentifizierung angefordert. |
| Touch ID-Authentifizierung aktivieren | XenMobile-Client-Eigenschaften | true | Aktiviert Touch ID für Offline-Authentifizierungsfälle in iOS. |
Verwendung der Step-Up-Authentifizierung
Einige Apps erfordern möglicherweise eine erweiterte Authentifizierung (z. B. einen sekundären Authentifizierungsfaktor wie ein Token oder aggressive Sitzungs-Timeouts). Sie steuern diese Authentifizierungsmethode über eine MDX-Richtlinie. Die Methode erfordert auch einen separaten virtuellen Server zur Steuerung der Authentifizierungsmethoden (entweder auf demselben oder auf separaten Citrix ADC-Appliances).
| Einstellung | Wo die Einstellung zu finden ist | Empfohlene Einstellung | Auswirkung auf das Verhalten |
|---|---|---|---|
| Alternativer Citrix Gateway | MDX-Richtlinien | Erfordert den FQDN und den Port der sekundären Citrix ADC-Appliance. | Ermöglicht eine erweiterte Authentifizierung, die durch die Authentifizierungs- und Sitzungsrichtlinien der sekundären Citrix ADC-Appliance gesteuert wird. |
Wenn ein Benutzer eine App öffnet, die sich bei der alternativen Citrix Gateway-Instanz anmeldet, verwenden alle anderen Apps diese Citrix Gateway-Instanz für die Kommunikation mit dem internen Netzwerk. Die Sitzung wechselt erst dann zur Citrix Gateway-Instanz mit geringerer Sicherheit zurück, wenn die Sitzung von der Citrix Gateway-Instanz mit erhöhter Sicherheit abläuft.
Verwendung von „Online-Sitzung erforderlich“
Für bestimmte Anwendungen, wie Secure Web, möchten Sie möglicherweise sicherstellen, dass Benutzer eine App nur ausführen, wenn sie eine authentifizierte Sitzung haben und das Gerät mit einem Netzwerk verbunden ist. Diese Richtlinie erzwingt diese Option und ermöglicht eine Kulanzzeit, damit Benutzer ihre Arbeit beenden können.
| Einstellung | Wo die Einstellung zu finden ist | Empfohlene Einstellung | Auswirkung auf das Verhalten |
|---|---|---|---|
| Online-Sitzung erforderlich | MDX-Richtlinien | Ein | Stellt sicher, dass das Gerät online ist und über ein gültiges Authentifizierungstoken verfügt. |
| Kulanzzeitraum für erforderliche Online-Sitzung | MDX-Richtlinien | 15 | Ermöglicht eine Kulanzzeit von 15 Minuten, bevor der Benutzer die Apps nicht mehr verwenden kann. |