XenMobile®-Integration
Dieser Artikel behandelt Aspekte, die bei der Planung der Integration von XenMobile in Ihr bestehendes Netzwerk und Ihre Lösungen zu berücksichtigen sind. Zum Beispiel, wenn Sie bereits Citrix ADC für Virtual Apps and Desktops verwenden:
- Verwenden Sie die vorhandene Citrix ADC-Instanz oder eine neue, dedizierte Instanz?
- Möchten Sie die HDX-Apps, die über StoreFront™ veröffentlicht werden, in XenMobile integrieren?
- Planen Sie, Citrix Files mit XenMobile zu verwenden?
- Verfügen Sie über eine Network Access Control-Lösung, die Sie in XenMobile integrieren möchten?
- Stellen Sie Web-Proxys für den gesamten ausgehenden Datenverkehr aus Ihrem Netzwerk bereit?
Citrix ADC und Citrix Gateway
Citrix Gateway ist für die XenMobile ENT- und MAM-Modi zwingend erforderlich. Citrix Gateway bietet einen Micro-VPN-Pfad für den Zugriff auf alle Unternehmensressourcen und unterstützt eine starke Multi-Faktor-Authentifizierung. Citrix ADC Load Balancing ist für alle XenMobile Server-Gerätemodi erforderlich:
- Wenn Sie mehrere XenMobile Server haben
- Oder, wenn sich der XenMobile Server in Ihrer DMZ oder Ihrem internen Netzwerk befindet (und der Datenverkehr daher von Geräten über Citrix ADC zu XenMobile fließt)
Sie können vorhandene Citrix ADC-Instanzen verwenden oder neue für XenMobile einrichten. Die folgenden Abschnitte beschreiben die Vor- und Nachteile der Verwendung vorhandener oder neuer, dedizierter Citrix ADC-Instanzen.
Gemeinsamer Citrix ADC MPX mit einem für XenMobile erstellten Citrix Gateway VIP
Vorteile:
- Verwendet eine gemeinsame Citrix ADC-Instanz für alle Citrix-Remote-Verbindungen: Citrix Virtual Apps and Desktops™, Full VPN und Clientless VPN.
- Verwendet die vorhandenen Citrix ADC-Konfigurationen, z. B. für die Zertifikatsauthentifizierung und für den Zugriff auf Dienste wie DNS, LDAP und NTP.
- Verwendet eine einzige Citrix ADC-Plattformlizenz.
Nachteile:
- Es ist schwieriger, die Skalierung zu planen, wenn Sie zwei verschiedene Anwendungsfälle auf demselben Citrix ADC handhaben.
- Manchmal benötigen Sie eine bestimmte Citrix ADC-Version für einen Citrix Virtual Apps™ and Desktops-Anwendungsfall. Dieselbe Version könnte bekannte Probleme für XenMobile aufweisen. Oder XenMobile könnte bekannte Probleme für die Citrix ADC-Version aufweisen.
- Wenn ein Citrix Gateway vorhanden ist, können Sie den Citrix ADC für XenMobile-Assistenten nicht ein zweites Mal ausführen, um die Citrix ADC-Konfiguration für XenMobile zu erstellen.
- Außer wenn Platinum-Lizenzen für Citrix Gateway 11.1 oder höher verwendet werden: Benutzerzugriffslizenzen, die auf Citrix ADC installiert und für die VPN-Konnektivität erforderlich sind, werden gepoolt. Da diese Lizenzen allen virtuellen Citrix ADC-Servern zur Verfügung stehen, können Dienste, die nicht XenMobile sind, diese potenziell verbrauchen.
Dedizierte Citrix ADC VPX/MPX-Instanz
Vorteile:
Citrix empfiehlt die Verwendung einer dedizierten Instanz von Citrix ADC.
- Einfachere Skalierungsplanung und Trennung des XenMobile-Datenverkehrs von einer Citrix ADC-Instanz, die möglicherweise bereits ressourcenbeschränkt ist.
- Vermeidet Probleme, wenn XenMobile und Citrix Virtual Apps and Desktops unterschiedliche Citrix ADC-Softwareversionen benötigen. Die Empfehlung ist im Allgemeinen, die neueste kompatible Citrix ADC-Version und den neuesten Build für XenMobile zu verwenden.
- Ermöglicht die XenMobile-Konfiguration von Citrix ADC über den integrierten Citrix ADC für XenMobile-Assistenten.
- Virtuelle und physische Trennung von Diensten.
- Außer wenn Platinum-Lizenzen für Citrix Gateway 11.1 oder höher verwendet werden: Die für XenMobile erforderlichen Benutzerzugriffslizenzen stehen nur XenMobile-Diensten auf dem Citrix ADC zur Verfügung.
Nachteile:
- Erfordert die Einrichtung zusätzlicher Dienste auf Citrix ADC zur Unterstützung der XenMobile-Konfiguration.
- Erfordert eine weitere Citrix ADC-Plattformlizenz. Lizenzieren Sie jede Citrix ADC-Instanz für Citrix Gateway.
Informationen dazu, was bei der Integration von Citrix ADC und Citrix Gateway in jeden XenMobile Server-Modus zu beachten ist, finden Sie unter Integration mit Citrix ADC und Citrix Gateway.
StoreFront
Wenn Sie eine Citrix Virtual Apps and Desktops-Umgebung haben, können Sie HDX™-Anwendungen mithilfe von StoreFront in XenMobile integrieren. Wenn Sie HDX-Apps in XenMobile integrieren:
- Die Apps stehen Benutzern zur Verfügung, die bei XenMobile registriert sind.
- Die Apps werden im XenMobile Store zusammen mit anderen mobilen Apps angezeigt.
- XenMobile verwendet die ältere PNAgent (Dienste)-Site auf StoreFront.
- Wenn der Citrix Receiver™ auf einem Gerät installiert ist, starten HDX-Apps über den Receiver.
StoreFront hat die Einschränkung, dass nur eine Dienst-Site pro StoreFront-Instanz zulässig ist. Angenommen, Sie haben mehrere Stores und möchten diese von anderen Produktionsnutzungen segmentieren. In diesem Fall empfiehlt Citrix im Allgemeinen, eine neue StoreFront-Instanz und Dienst-Site für XenMobile in Betracht zu ziehen.
Zu berücksichtigende Aspekte:
- Gibt es unterschiedliche Authentifizierungsanforderungen für StoreFront? Die StoreFront-Dienst-Site erfordert Active Directory-Anmeldeinformationen für die Anmeldung. Kunden, die nur zertifikatbasierte Authentifizierung verwenden, können Anwendungen nicht über XenMobile mit demselben Citrix Gateway auflisten.
- Denselben Store verwenden oder einen neuen erstellen?
- Denselben oder einen anderen StoreFront-Server verwenden?
Die folgenden Abschnitte beschreiben die Vor- und Nachteile der Verwendung separater oder kombinierter StoreFronts für Receiver und mobile Produktivitäts-Apps.
Integrieren Sie Ihre vorhandene StoreFront-Instanz in einen XenMobile Server
Vorteile:
- Derselbe Store: Es ist keine zusätzliche Konfiguration von StoreFront für XenMobile erforderlich, vorausgesetzt, Sie verwenden denselben Citrix ADC VIP für den HDX-Zugriff. Angenommen, Sie entscheiden sich für denselben Store und möchten den Receiver-Zugriff auf einen neuen Citrix ADC VIP leiten. In diesem Fall fügen Sie die entsprechende Citrix Gateway-Konfiguration zu StoreFront hinzu.
- Derselbe StoreFront-Server: Verwendet die vorhandene StoreFront-Installation und -Konfiguration.
Nachteile:
- Derselbe Store: Jede Neukonfiguration von StoreFront zur Unterstützung von Virtual Apps and Desktops-Workloads könnte sich auch nachteilig auf XenMobile auswirken.
- Derselbe StoreFront-Server: In großen Umgebungen ist die zusätzliche Last durch die XenMobile-Nutzung von PNAgent für die App-Enumeration und den Start zu berücksichtigen.
Verwenden Sie eine neue, dedizierte StoreFront-Instanz für die Integration mit XenMobile Server
Vorteile:
- Neuer Store: Jegliche Konfigurationsänderungen des StoreFront-Stores für XenMobile dürfen bestehende Virtual Apps and Desktops-Workloads nicht beeinträchtigen.
- Neuer StoreFront-Server: Serverkonfigurationsänderungen dürfen den Virtual Apps and Desktops-Workflow nicht beeinträchtigen. Auch die Last außerhalb der XenMobile-Nutzung von PNAgent für die App-Enumeration und den Start darf die Skalierbarkeit nicht beeinträchtigen.
Nachteile:
- Neuer Store: StoreFront-Store-Konfiguration.
- Neuer StoreFront-Server: Erfordert eine neue StoreFront-Installation und -Konfiguration.
Weitere Informationen finden Sie unter Virtual Apps and Desktops über Citrix Secure Hub in der XenMobile-Dokumentation.
ShareFile und Citrix Files
Haftungsausschluss:
Diese Funktion wird eingestellt, wenn ShareFile (jetzt Progress) die Unterstützung einstellt.
Citrix Files ermöglicht Benutzern den Zugriff auf und die Synchronisierung all ihrer Daten von jedem Gerät aus. Mit Citrix Files können Benutzer Daten sicher mit Personen innerhalb und außerhalb der Organisation teilen. Wenn Sie ShareFile mit XenMobile Advanced Edition oder Enterprise Edition integrieren, kann XenMobile Citrix Files Folgendes bieten:
- Single Sign-On-Authentifizierung für XenMobile App-Benutzer.
- Active Directory-basierte Benutzerkontenbereitstellung.
- Umfassende Zugriffssteuerungsrichtlinien.
Mobile Benutzer können von den vollständigen Funktionen des Enterprise-Kontos profitieren.
Alternativ können Sie XenMobile so konfigurieren, dass es nur mit Speicherzonen-Konnektoren integriert wird. Über Speicherzonen-Konnektoren bietet Citrix Files Zugriff auf:
- Dokumente und Ordner
- Netzwerkdateifreigaben
- Auf SharePoint-Sites: Site-Sammlungen und Dokumentbibliotheken.
Verbundene Dateifreigaben können dieselben Netzwerk-Home-Laufwerke umfassen, die in Citrix Virtual Apps and Desktops-Umgebungen verwendet werden. Sie verwenden die XenMobile-Konsole, um die Integration mit Citrix Files oder Speicherzonen-Konnektoren zu konfigurieren. Weitere Informationen finden Sie unter Citrix Files-Nutzung mit XenMobile.
Die folgenden Abschnitte enthalten Fragen, die bei Designentscheidungen für Citrix Files zu stellen sind.
Integration mit Citrix Files oder nur Speicherzonen-Konnektoren
Zu stellende Fragen:
- Möchten Sie Daten in von Citrix verwalteten Speicherzonen speichern?
- Möchten Sie Benutzern Funktionen zum Teilen und Synchronisieren von Dateien bereitstellen?
- Möchten Sie Benutzern den Zugriff auf Dateien auf der Citrix Files-Website ermöglichen? Oder den Zugriff auf Office 365-Inhalte und Personal Cloud-Konnektoren von mobilen Geräten aus?
Designentscheidung:
- Wenn die Antwort auf eine dieser Fragen “Ja” lautet, integrieren Sie mit Citrix Files.
- Eine Integration nur mit Speicherzonen-Konnektoren bietet iOS-Benutzern sicheren mobilen Zugriff auf bestehende lokale Speicher-Repositories, wie SharePoint-Sites und Netzwerkdateifreigaben. In dieser Konfiguration richten Sie keine ShareFile-Subdomain ein, stellen keine Benutzer für Citrix Files bereit und hosten keine Citrix Files-Daten. Die Verwendung von Speicherzonen-Konnektoren mit XenMobile entspricht den Sicherheitsbeschränkungen gegen das Durchsickern von Benutzerinformationen außerhalb des Unternehmensnetzwerks.
Speicherzonen-Controller-Serverstandort
Zu stellende Fragen:
- Benötigen Sie lokalen Speicher oder Funktionen wie Speicherzonen-Konnektoren?
- Wenn Sie lokale Funktionen von Citrix Files verwenden, wo werden die Speicherzonen-Controller im Netzwerk platziert?
Designentscheidung:
- Bestimmen Sie, ob die Speicherzonen-Controller-Server in der Citrix Files Cloud, in Ihrem lokalen Single-Tenant-Speichersystem oder in unterstütztem Cloud-Speicher von Drittanbietern platziert werden sollen.
- Speicherzonen-Controller benötigen Internetzugang, um mit der Citrix Files Control Plane zu kommunizieren. Sie können auf verschiedene Arten eine Verbindung herstellen, einschließlich direktem Zugriff, NAT/PAT-Konfigurationen oder Proxy-Konfigurationen.
Speicherzonen-Konnektoren
Fragen, die Sie stellen sollten:
- Was sind die CIFS-Freigabepfade?
- Was sind die SharePoint-URLs?
Designentscheidung:
- Bestimmen Sie, ob lokale Storage Zones Controller für den Zugriff auf diese Speicherorte erforderlich sind.
- Aufgrund der Kommunikation des Storage Zone Connectors mit internen Ressourcen wie Dateirepositories, CIFS-Freigaben und SharePoint empfiehlt Citrix, dass Storage Zones Controller im internen Netzwerk hinter DMZ-Firewalls platziert und durch den Citrix ADC geschützt werden.
SAML-Integration mit XenMobile Enterprise
Fragen, die Sie stellen sollten:
- Ist eine Active Directory-Authentifizierung für Citrix Files erforderlich?
- Erfordert die erstmalige Nutzung der Citrix Files-App für XenMobile SSO?
- Gibt es einen Standard-IdP in Ihrer aktuellen Umgebung?
- Wie viele Domänen sind für die Verwendung von SAML erforderlich?
- Gibt es mehrere E-Mail-Aliase für Active Directory-Benutzer?
- Gibt es Active Directory-Domänenmigrationen, die gerade durchgeführt werden oder bald geplant sind?
Designentscheidung:
XenMobile Enterprise-Umgebungen können SAML als Authentifizierungsmechanismus für Citrix Files verwenden. Die Authentifizierungsoptionen sind:
- Verwenden Sie den XenMobile Server als Identity Provider (IdP) für SAML
Diese Option kann eine hervorragende Benutzererfahrung bieten, die Erstellung von Citrix Files-Konten automatisieren und SSO-Funktionen für mobile Apps ermöglichen.
- Der XenMobile Server ist für diesen Prozess optimiert: Er erfordert keine Synchronisierung des Active Directory.
- Verwenden Sie das Citrix Files User Management Tool für die Benutzerbereitstellung.
- Verwenden Sie einen unterstützten Drittanbieter als IdP für SAML
Wenn Sie einen bestehenden und unterstützten IdP haben und keine SSO-Funktionen für mobile Apps benötigen, ist diese Option möglicherweise die beste Wahl für Sie. Diese Option erfordert auch die Verwendung des Citrix Files User Management Tools für die Kontobereitstellung.
Die Verwendung von IdP-Lösungen von Drittanbietern wie ADFS kann auch SSO-Funktionen auf der Windows-Clientseite bereitstellen. Stellen Sie sicher, dass Sie Anwendungsfälle bewerten, bevor Sie Ihren Citrix Files SAML IdP auswählen.
Um beide Anwendungsfälle zu erfüllen, können Sie ADFS und XenMobile als dualen IdP konfigurieren.
Mobile Apps
Fragen, die Sie stellen sollten:
- Welche Citrix Files Mobile App planen Sie zu verwenden (öffentlich, MDM, MDX)?
Designentscheidung:
- Sie vertreiben mobile Produktivitäts-Apps über den Apple App Store und den Google Play Store. Bei dieser öffentlichen App-Store-Verteilung erhalten Sie gewrappte Apps von der Citrix Download-Seite.
- Wenn die Sicherheit gering ist und Sie keine Containerisierung benötigen, ist die öffentliche Citrix Files-Anwendung möglicherweise nicht geeignet. In einer reinen MDM-Umgebung können Sie die MDM-Version der Citrix Files-App mit XenMobile im MDM-Modus bereitstellen.
- Weitere Informationen finden Sie unter Apps und Citrix Files für XenMobile.
Sicherheit, Richtlinien und Zugriffssteuerung
Fragen, die Sie stellen sollten:
- Welche Einschränkungen benötigen Sie für Desktop-, Web- und mobile Benutzer?
- Welche Standard-Zugriffssteuerungseinstellungen wünschen Sie für Benutzer?
- Welche Dateiaufbewahrungsrichtlinie planen Sie zu verwenden?
Designentscheidung:
- Mit Citrix Files können Sie Mitarbeiterberechtigungen und Gerätesicherheit verwalten. Weitere Informationen finden Sie unter Mitarbeiterberechtigungen und Verwalten von Geräten und Apps.
- Einige Citrix Files-Gerätesicherheitseinstellungen und MDX-Richtlinien steuern dieselben Funktionen. In diesen Fällen haben XenMobile-Richtlinien Vorrang, gefolgt von den Citrix Files-Gerätesicherheitseinstellungen. Beispiele: Wenn Sie externe Apps in Citrix Files deaktivieren, diese aber in XenMobile aktivieren, werden die externen Apps in Citrix Files deaktiviert. Sie können die Apps so konfigurieren, dass XenMobile keine PIN/Passcode erfordert, die Citrix Files-App jedoch eine PIN/Passcode benötigt.
Standard- versus eingeschränkte Speicherzonen
Fragen, die Sie stellen sollten:
- Benötigen Sie eingeschränkte Speicherzonen?
Designentscheidung:
- Eine Standard-Speicherzone ist für nicht-sensible Daten vorgesehen und ermöglicht es Mitarbeitern, Daten mit Nicht-Mitarbeitern zu teilen. Diese Option unterstützt Workflows, die das Teilen von Daten außerhalb Ihrer Domäne beinhalten.
- Eine eingeschränkte Speicherzone schützt sensible Daten: Nur authentifizierte Domänenbenutzer können auf die in der Zone gespeicherten Daten zugreifen.
Web-Proxys
Das wahrscheinlichste Szenario für das Routing von XenMobile-Datenverkehr über einen HTTP(S)/SOCKS-Proxy ist folgendes: Wenn das Subnetz, in dem sich der XenMobile Server befindet, keinen ausgehenden Internetzugang zu den erforderlichen Apple-, Google- oder Microsoft-IP-Adressen hat. Sie können Proxyserver-Einstellungen in XenMobile angeben, um den gesamten Internetverkehr an den Proxyserver weiterzuleiten. Weitere Informationen finden Sie unter Proxyserver aktivieren.
Die folgende Tabelle beschreibt die Vor- und Nachteile der gängigsten Proxys, die mit XenMobile verwendet werden.
| Option | Vorteile | Nachteile |
| Verwenden Sie einen HTTP(S)/SOCKS-Proxy mit einem XenMobile Server. | In Fällen, in denen Richtlinien keine ausgehenden Internetverbindungen vom XenMobile Server-Subnetz zulassen: Sie können einen HTTP(S)- oder SOCKS-Proxy konfigurieren, um Internetkonnektivität bereitzustellen. | Wenn der Proxyserver ausfällt, bricht die APNs (iOS)- oder Firebase Cloud Messaging (Android)-Konnektivität ab. Infolgedessen schlagen Gerätemeldungen für alle iOS- und Android-Geräte fehl. |
| Verwenden Sie einen HTTP(S)-Proxy mit Secure Web. | Sie können den HTTP/HTTPS-Datenverkehr überwachen, um sicherzustellen, dass die Internetaktivität den Standards Ihrer Organisation entspricht. | Diese Konfiguration erfordert, dass der gesamte Secure Web-Internetverkehr zum Unternehmensnetzwerk zurückgetunnelt wird, bevor er wieder ins Internet gesendet wird. Wenn Ihre Internetverbindung das Browsen einschränkt: Diese Konfiguration kann die Internet-Browsing-Leistung beeinträchtigen. |
Ihre Citrix ADC-Sitzungsprofilkonfiguration für Split Tunneling beeinflusst den Datenverkehr wie folgt.
Wenn Citrix ADC Split Tunneling deaktiviert ist:
- Wenn die MDX-Richtlinie Netzwerkzugriff auf Getunnelt zum internen Netzwerk eingestellt ist: Der gesamte Datenverkehr wird gezwungen, den Micro-VPN- oder Clientless-VPN (cVPN)-Tunnel zurück zum Citrix Gateway zu verwenden.
- Konfigurieren Sie Citrix ADC-Datenverkehrsrichtlinien/-profile für den Proxyserver und binden Sie diese an die Citrix Gateway VIP.
Wichtig:
Stellen Sie sicher, dass der Secure Hub cVPN-Datenverkehr vom Proxy ausgeschlossen wird.
- Weitere Informationen finden Sie unter XenMobile Secure Hub Traffic Through Proxy Server in Secure Browse Mode.
Wenn Citrix ADC Split Tunneling aktiviert ist:
- Wenn Apps mit der MDX-Richtlinie Netzwerkzugriff auf Getunnelt zum internen Netzwerk eingestellt sind: Die Apps versuchen zuerst, die Webressource direkt abzurufen. Wenn die Webressource nicht öffentlich verfügbar ist, greifen diese Apps auf Citrix Gateway zurück.
- Konfigurieren Sie Citrix ADC-Datenverkehrsrichtlinien und -profile für den Proxyserver. Binden Sie diese Richtlinien und Profile dann an die Citrix Gateway VIP.
Wichtig:
Stellen Sie sicher, dass der Secure Hub cVPN-Datenverkehr vom Proxy ausgeschlossen wird.
Ihre Citrix ADC-Sitzungsprofilkonfiguration für Split DNS (unter Clienterfahrung) funktioniert ähnlich wie Split Tunneling.
Wenn Split DNS aktiviert und auf Beide eingestellt ist:
- Der Client versucht zuerst, den FQDN lokal aufzulösen und greift dann bei einem Fehler auf Citrix ADC zur DNS-Auflösung zurück.
Wenn Split DNS auf Remote eingestellt ist:
- Die DNS-Auflösung erfolgt nur auf Citrix ADC.
Wenn Split DNS auf Lokal eingestellt ist:
- Der Client versucht, den FQDN lokal aufzulösen. Citrix ADC wird nicht für die DNS-Auflösung verwendet.
Zugriffssteuerung
Unternehmen können mobile Geräte innerhalb und außerhalb von Netzwerken verwalten. Enterprise Mobility Management-Lösungen wie XenMobile eignen sich hervorragend, um Sicherheit und Kontrolle für mobile Geräte unabhängig vom Standort zu bieten. Wenn Sie sie jedoch mit einer Network Access Control (NAC)-Lösung kombinieren, können Sie QoS und eine feinere Kontrolle über Geräte hinzufügen, die sich in Ihrem Netzwerk befinden. Diese Kombination ermöglicht es Ihnen, die Sicherheitsbewertung von XenMobile-Geräten über Ihre NAC-Lösung zu erweitern. Ihre NAC-Lösung kann dann die XenMobile-Sicherheitsbewertung nutzen, um Authentifizierungsentscheidungen zu erleichtern und zu handhaben.
Sie können eine der folgenden Lösungen verwenden, um NAC-Richtlinien durchzusetzen:
- Citrix Gateway
- Cisco Identity Services Engine (ISE)
- ForeScout
Citrix garantiert keine Integration für andere NAC-Lösungen.
Vorteile einer NAC-Lösungsintegration mit XenMobile sind:
- Bessere Sicherheit, Compliance und Kontrolle für alle Endpunkte in einem Unternehmensnetzwerk.
- Eine NAC-Lösung kann:
- Geräte in dem Moment erkennen, in dem sie versuchen, sich mit Ihrem Netzwerk zu verbinden.
- XenMobile nach Geräteattributen abfragen.
- Diese Geräteinformationen verwenden, um zu bestimmen, ob diese Geräte zugelassen, blockiert, eingeschränkt oder umgeleitet werden sollen. Diese Entscheidungen hängen von den Sicherheitsrichtlinien ab, die Sie durchsetzen möchten.
- Eine NAC-Lösung bietet IT-Administratoren einen Überblick über nicht verwaltete und nicht konforme Geräte.
Eine Beschreibung der von XenMobile unterstützten NAC-Compliance-Filter und eine Konfigurationsübersicht finden Sie unter Network Access Control.