XenMobile Server

XenMobile-Integration

In diesem Artikel werden die Punkte beschrieben, die bei der Planung der Integration von XenMobile in ein Netzwerk und bestehende Lösungen berücksichtigt werden müssen. Falls Sie beispielsweise Citrix ADC bereits für Virtual Apps and Desktops verwenden:

  • Verwenden Sie die vorhandene Citrix ADC-Instanz oder eine neue, dedizierte Instanz?
  • Möchten Sie die mit StoreFront veröffentlichten HDX-Apps in XenMobile integrieren?
  • Planen Sie die Verwendung von Citrix Files mit XenMobile?
  • Haben Sie eine Network Access Control-Lösung, die Sie in XenMobile integrieren möchten?
  • Stellen Sie Webproxys für den gesamten von Ihrem Netzwerk ausgehenden Datenverkehr bereit?

Citrix ADC und Citrix Gateway

Citrix Gateway ist für XenMobile im ENT- und MAM-Modus obligatorisch. Citrix Gateway bietet einen Micro-VPN-Pfad für den Zugriff auf alle Unternehmensressourcen und unterstützt eine starke Multifaktorauthentifizierung. Der Citrix ADC-Lastausgleich ist für alle XenMobile Server-Gerätemodi in folgenden Fällen erforderlich:

  • Sie haben mehrere XenMobile-Server.
  • XenMobile Server ist in der DMZ oder dem internen Netzwerk (d. h. der Datenverkehr fließt von den Geräten an Citrix ADC und dann an XenMobile).

Sie können vorhandene Citrix ADC-Instanzen verwenden oder neue für XenMobile einrichten. In den folgenden Abschnitten werden die Vor- und Nachteile der Verwendung vorhandener und neuer Citrix ADC-Instanzen aufgeführt.

Gemeinsames Citrix ADC MPX mit einer virtuellen für XenMobile erstellten Citrix Gateway-IP

Vorteile:

  • Verwendung einer Citrix ADC-Instanz für alle Citrix Remoteverbindungen: Citrix Virtual Apps and Desktops, vollständiges/clientloses VPN.
  • Verwendung der bestehenden Citrix ADC-Konfigurationen, z. B. für die Zertifikatauthentifizierung und den Zugriff auf Dienste wie DNS, LDAP und NTP.
  • Verwendung einer einzelnen Citrix ADC-Plattformlizenz.

Nachteile:

  • Die Skalierungsplanung ist schwieriger, wenn zwei unterschiedliche Anwendungsfälle auf demselben Citrix ADC bewältigt werden.
  • In Einzelfällen wird eine bestimmte Citrix ADC-Version für einen Citrix Virtual Apps and Desktops-Anwendungsfall benötigt. Bei der benötigten Version können Probleme im Zusammenhang mit XenMobile vorliegen. Umgekehrt können bei XenMobile Probleme im Zusammenhang mit der Citrix ADC-Version vorliegen.
  • Ist ein Citrix Gateway vorhanden, können Sie den Citrix ADC für XenMobile-Assistenten kein zweites Mal ausführen, um die Citrix ADC-Konfiguration für XenMobile zu erstellen.
  • Auf Citrix ADC installierte Benutzerzugriffslizenzen, die für die VPN-Konnektivität erforderlich sind, werden gepoolt (außer bei Verwendung von Platinum-Lizenzen für Citrix Gateway 11.1 oder höher). Da diese Lizenzen für alle virtuellen Citrix ADC-Server verfügbar sind, können andere Dienste als XenMobile sie verbrauchen.

Dedizierte Citrix ADC VPX-/MPX-Instanz

Vorteile:

Citrix empfiehlt die Verwendung einer dedizierten Citrix ADC-Instanz.

  • Einfachere Skalierungsplanung und Trennung des XenMobile-Datenverkehrs von einer möglicherweise bereits mit eingeschränkten Ressourcen laufenden Citrix ADC-Instanz.
  • Keine Probleme, wenn XenMobile und Citrix Virtual Apps and Desktops unterschiedliche Citrix ADC-Softwareversionen erfordern. Normalerweise empfiehlt sich die Verwendung der neuesten kompatiblen Citrix ADC-Version für XenMobile.
  • Konfiguration von Citrix ADC für XenMobile über den integrierten Citrix ADC für XenMobile-Assistenten möglich.
  • Virtuelle und physische Trennung von Diensten.
  • Die für XenMobile erforderlichen Benutzerzugriffslizenzen sind nur für XenMobile-Dienste auf dem Citrix ADC verfügbar (außer bei Nutzung einer Platinum-Lizenz für Citrix Gateway 11.1 oder höher).

Nachteile:

  • Erfordert die Einrichtung zusätzlicher Dienste auf Citrix ADC für die XenMobile-Konfiguration.
  • Erfordert eine zusätzliche Citrix ADC-Plattformlizenz. Lizenzierung jeder Citrix ADC-Instanz für Citrix Gateway.

Informationen darüber, was bei der Integration von Citrix Gateway und Citrix ADC in den einzelnen XenMobile-Servermodi zu beachten ist, finden Sie unter Integration mit Citrix ADC und Citrix Gateway.

StoreFront

In Citrix Virtual Apps and Desktops-Umgebungen können HDX-Anwendungen mithilfe von StoreFront in XenMobile integriert werden. Für die Integration von HDX-Apps in XenMobile gilt Folgendes:

  • Die Apps stehen Benutzern zur Verfügung, die bei XenMobile registriert sind.
  • Die Apps werden zusammen mit anderen Apps im XenMobile-Store angezeigt.
  • XenMobile verwendet die ältere PNAgent-Site (Dienste) in StoreFront.
  • Ist Citrix Receiver auf einem Gerät installiert, wird es von HDX-Apps verwendet.

Bei StoreFront gilt die Beschränkung auf eine Service-Site pro StoreFront-Instanz. Angenommen, Sie haben mehrere Stores und möchten sie von anderen Produktionsverwendungen trennen. In diesem Fall empfiehlt Citrix, die Verwendung einer neuen StoreFront-Instanz und -Services-Site für XenMobile in Betracht zu ziehen.

Folgende Punkte sind zu berücksichtigen:

  • Gibt es für StoreFront andere Authentifizierungsanforderungen? Die StoreFront Services-Site erfordert Active Directory-Anmeldeinformationen für die Anmeldung. Bei ausschließlicher Verwendung der zertifikatbasierten Authentifizierung können Anwendungen nicht über XenMobile unter Verwendung desselben Citrix Gateways aufgelistet werden.
  • Sollten Sie den gleichen Store verwenden oder einen neuen erstellen?
  • Sollten Sie den gleichen oder einen anderen StoreFront-Server verwenden?

In den folgenden Abschnitten werden die Vor- und Nachteile der Verwendung eigener oder gemeinsamer StoreFront-Instanzen für Receiver und mobile Produktivitätsapps aufgeführt.

Integration der bestehenden StoreFront-Instanz in XenMobile Server

Vorteile:

  • Gleicher Store: XenMobile erfordert keine zusätzliche Konfiguration von StoreFront, vorausgesetzt es wird dieselbe Citrix ADC-VIP für den HDX-Zugriff verwendet. Angenommen, Sie entscheiden sich für die Verwendung desselben Stores und möchten den Citrix Receiver-Zugriff auf eine neue Citrix ADC-VIP umleiten. Fügen Sie in diesem Fall StoreFront die entsprechende Citrix Gateway-Konfiguration hinzu.
  • Gleicher StoreFront-Server: Verwendung der bestehenden StoreFront-Installation und -Konfiguration.

Nachteile:

  • Gleicher Store: Jede Änderung der StoreFront-Konfiguration zur Bewältigung von Citrix Virtual Apps and Desktops-Workloads kann sich negativ auf XenMobile auswirken.
  • Gleicher StoreFront-Server: In großen Umgebungen müssen Sie die zusätzliche Belastung des PNAgent durch XenMobile für die App-Auflistung und den Start berücksichtigen.

Verwenden einer neuen, dedizierten StoreFront-Instanz zur Integration in XenMobile Server

Vorteile:

  • Neuer Store: Konfigurationsänderungen am StoreFront-Store für XenMobile dürfen keine Auswirkungen auf Citrix Virtual Apps and Desktops-Workloads haben.
  • Neuer StoreFront-Server: Änderungen an der Serverkonfiguration dürfen sich nicht auf den Virtual Apps and Desktops-Workflow auswirken. Darüber hinaus sollte die XenMobile-externe Belastung des PNAgent für App-Auflistung und Start die Skalierbarkeit nicht beeinträchtigen.

Nachteile:

  • Neuer Store: StoreFront-Store-Konfiguration.
  • Neuer StoreFront-Server: erfordert eine neue StoreFront-Installation und -Konfiguration.

Weitere Informationen finden Sie unter Virtual Apps and Desktops über Citrix Secure Hub in der Dokumentation zu XenMobile.

ShareFile und Citrix Files

Citrix Files ermöglicht Benutzern von jedem Gerät aus den Zugriff auf all ihre Daten und deren Synchronisierung. Über Citrix Files können die Benutzer Daten mit Personen innerhalb und außerhalb der Organisation sicher teilen. Bei Integration von ShareFile in XenMobile Advanced Edition oder XenMobile Enterprise Edition ermöglicht XenMobile für Citrix Files Folgendes:

  • Single-Sign-On-Authentifizierung für XenMobile App-Benutzer.
  • Active Directory-basierte Benutzerkontobereitstellung.
  • Umfassende Richtlinien zur Zugriffssteuerung.

Mobile Benutzer können alle Funktionen des Enterprise-Kontos verwenden.

Alternativ können Sie XenMobile für die ausschließliche Integration in Speicherzonenconnectors konfigurieren. Über Speicherzonenconnectors bietet Citrix Files Zugriff auf folgende Inhalte:

  • Dokumente und Ordner
  • Netzwerkdateifreigaben
  • In SharePoint-Sites: Sitesammlungen und Dokumentbibliotheken.

Verbundene Dateifreigaben können die gleichen Basisnetzlaufwerke enthalten wie Citrix Virtual Apps and Desktops-Umgebungen. Die Konfiguration der Integration in Citrix Files oder Speicherzonenconnectors erfolgt über die XenMobile-Konsole. Weitere Informationen finden Sie unter Citrix Files mit XenMobile.

In den folgenden Abschnitten werden die Fragen aufgeführt, die Sie sich im Hinblick auf den Einsatz von Citrix Files stellen sollten.

Integration mit Citrix Files oder nur mit Speicherzonenconnectors

Zu klärende Fragen:

  • Möchten Sie Daten in von Citrix verwalteten Speicherzonen speichern?
  • Sollen die Benutzer Dateien freigeben und synchronisieren können?
  • Sollen die Benutzer Zugriff auf Dateien auf der Citrix Files-Website erhalten? Sollen die Benutzer mit Mobilgeräten auf Office 365-Inhalte und Connectors für die persönliche Cloud zugreifen können?

Designentscheidung:

  • Wenn die Antwort auf eine dieser Fragen “Ja” lautet, wählen Sie die Integration in Citrix Files.
  • Eine ausschließliche Integration mit Speicherzonenconnectors bietet iOS-Benutzern sicheren mobilen Zugriff auf bestehende lokale Speicherrepositorys, wie z. B. SharePoint-Sites und Netzwerkdateifreigaben. In dieser Konfiguration müssen Sie keine ShareFile-Unterdomäne einrichten, Benutzer für Citrix Files bereitstellen oder Citrix Files-Daten hosten. Die Verwendung von Speicherzonenconnectors mit XenMobile entspricht den Sicherheitsbeschränkungen, die verhindern, dass Benutzerdaten außerhalb des Unternehmensnetzwerks gelangen.

Standort des Speicherzonencontroller-Servers

Zu klärende Fragen:

  • Benötigen Sie on-premises Speicher oder Features wie Speicherzonenconnectors?
  • Wo befinden sich bei Verwendung von on-premises Citrix Files-Features die Speicherzonencontroller im Netzwerk?

Designentscheidung:

  • Entscheiden Sie, wo Sie die Speicherzonencontroller ansiedeln: in der Citrix Files-Cloud, on-premises in einem Einmandanten-Speichersystem oder im unterstützten Cloudspeicher eines Drittanbieters.
  • Speicherzonencontroller benötigen Internetzugriff für die Kommunikation mit der Citrix Files-Steuerungsebene. Es gibt verschiedene Verbindungsmöglichkeiten, einschließlich direktem Zugriff, NAT/PAT- und Proxykonfigurationen.

Speicherzonenconnectors

Zu klärende Fragen:

  • Welches sind die CIFS-Freigabepfade?
  • Welches sind die SharePoint-URLs?

Designentscheidung:

  • Ermitteln Sie, ob on-premises Speicherzonencontroller für den Zugriff auf diese Orte erforderlich sind.
  • Aufgrund der Kommunikation zwischen Speicherzonenconnectors und internen Ressourcen wie Repositorys, CIFS-Freigaben und SharePoint empfiehlt Citrix, Speicherzonencontroller im internen Netzwerk hinter DMZ-Firewalls und mit vorgeschaltetem Citrix ADC anzusiedeln.

SAML-Integration in XenMobile Enterprise

Zu klärende Fragen:

  • Ist eine Active Directory-Authentifizierung für Citrix Files erforderlich?
  • Erfordert die erstmalige Verwendung der Citrix Files-App für XenMobile Single Sign-on?
  • Gibt es in der aktuellen Umgebung einen Standard-IdP?
  • Wie viele Domänen werden für SAML benötigt?
  • Gibt es mehrere E-Mail-Aliasse für Active Directory-Benutzer?
  • Sind Active Directory-Domänenmigrationen im Gang oder in Kürze geplant?

Designentscheidung:

In XenMobile Enterprise-Umgebungen kann SAML als Authentifizierungsmechanismus für Citrix Files verwendet werden. Authentifizierungsoptionen:

  • Verwendung des XenMobile-Servers als Identitätsanbieter (IdP) für SAML

Diese Option kann eine hervorragende Benutzererfahrung bieten, sie automatisiert die Erstellung von Citrix Files-Konten und sie ermöglicht die Nutzung von Singe Sign-On-Features für mobile Apps.

  • XenMobile Server ist für diesen Prozess optimiert: Es ist keine Active Directory-Synchronisierung erforderlich.
  • Verwenden des Citrix Files-Benutzerverwaltungstools für die Benutzerbereitstellung
  • Verwenden eines unterstützten Drittanbieter-IdPs für SAML

Wenn Sie einen unterstützten IdP haben und keine Single Sign-On-Features für mobile Apps benötigen, ist diese Option möglicherweise am besten geeignet. Auch sie erfordert die Verwendung des Citrix Files-Benutzerverwaltungstools für die Kontobereitstellung.

IdP-Lösungen von Drittanbietern wie ADFS bieten möglicherweise auf dem Windows-Client Single Sign-On-Features. Bewerten Sie die Anwendungsfälle vor Auswahl des SAML-Identitätsanbieters für Citrix Files.

Um beiden Anwendungsfällen zu genügen, können Sie ADFS und XenMobile als dualen IdP konfigurieren.

Mobile Apps

Zu klärende Fragen:

  • Welche mobile Citrix Files-App (öffentlich, MDM, MDX) möchten Sie verwenden?

Designentscheidung:

  • Sie verteilen mobile Produktivitätsapps über den App-Store von Apple und Google Play. Mit der öffentlichen App Store-Verteilung erhalten Sie umschlossene Apps von der Citrix Downloadseite.
  • Bei niedriger Sicherheitsstufe (ohne erforderliche Containerization) ist die öffentliche Citrix Files-App möglicherweise ungeeignet. In einer Nur-MDM-Umgebung können Sie die MDM-Version der Citrix Files-App über XenMobile im MDM-Modus bereitstellen.
  • Weitere Informationen finden Sie unter Apps und Citrix Files für XenMobile.

Sicherheit, Richtlinien und Zugriffssteuerung

Zu klärende Fragen:

  • Welche Einschränkungen benötigen Sie für Desktop-, Internet- und mobile Benutzer?
  • Welche Standardeinstellungen für die Zugriffssteuerung sollen für Benutzer gelten?
  • Welche Dateispeicherrichtlinie möchten Sie verwenden?

Designentscheidung:

  • Mit Citrix Files können Sie die Berechtigungen von Mitarbeitern und die Gerätesicherheit verwalten. Weitere Informationen finden Sie unter Mitarbeiterberechtigungen und Verwalten von Geräten und Apps.
  • Einige Citrix Files-Einstellungen zur Gerätesicherheit steuern dieselben Features wie MDX-Richtlinien. In diesen Fällen haben die XenMobile-Richtlinien Vorrang gefolgt von der Citrix Files-Einstellung. Beispiel: Wenn Sie externe Apps in Citrix Files deaktivieren, in XenMobile jedoch aktivieren, werden die externen Apps in Citrix Files deaktiviert. Sie können die Apps so konfigurieren, dass XenMobile keine(n) PIN/Passcode anfordert, die Citrix Files-App jedoch schon.

Standard-Speicherzonen oder eingeschränkte Speicherzonen

Zu klärende Fragen:

  • Benötigen Sie eingeschränkte Speicherzonen?

Designentscheidung:

  • Eine Standard-Speicherzone ist für nicht-vertrauliche Daten gedacht und ermöglicht Mitarbeitern das Freigeben von Daten für Personen, die keine Mitarbeiter sind. Diese Option unterstützt Workflows, bei denen Daten außerhalb Ihrer Domäne freigegeben werden.
  • Eine eingeschränkte Speicherzone schützt vertrauliche Daten: Nur authentifizierte Domänenbenutzer haben Zugriff auf die in dieser Zone gespeicherten Daten.

Webproxys

Wahrscheinlichstes Szenario für die Leitung des XenMobile-Datenverkehrs über einen HTTP(S)-/SOCKS-Proxy: Wenn das Subnetz mit dem XenMobile-Server keinen ausgehenden Internetzugriff auf die erforderlichen Apple-, Google- oder Microsoft-IP-Adressen hat. Sie können in XenMobile Proxyservereinstellungen angeben, um den gesamten Internetdatenverkehr an den Proxyserver zu leiten. Weitere Informationen finden Sie unter Proxyserver aktivieren.

Die folgende Tabelle enthält die Vor- und Nachteile der gebräuchlichsten Proxykonfigurationen für XenMobile.

     
Option Vorteile Nachteile
HTTP(S)-/SOCKS-Proxy mit XenMobile-Server Wenn Richtlinien keine ausgehenden Internetverbindungen vom Subnetz mit dem XenMobile-Server zulassen, können Sie einen HTTP(S)- oder SOCKS-Proxy für die Internetverbindung konfigurieren. Fällt der Proxyserver aus, wird die Verbindung mit APNs (iOS) bzw. Firebase Cloud Messaging (Android) getrennt. Es sind dann keine Gerätebenachrichtigungen für iOS- und Android-Geräte möglich.
HTTP(S)-Proxy mit Secure Web Sie können den HTTP-/HTTPS-Datenverkehr überwachen, um sicherzustellen, dass die Internetaktivität Ihren Standards entspricht. Bei dieser Konfiguration muss der gesamte Internetdatenverkehr von Secure Web per Tunnel zurück ins Unternehmensnetzwerk geleitet werden, bevor die Daten wieder ins Internet übertragen werden. Wenn das Surfen durch die Internetverbindung einschränkt ist, kann diese Konfiguration die Surfleistung beeinträchtigen.

Die Konfiguration des Citrix ADC-Sitzungsprofils für Split-Tunneling wirkt sich wie folgt auf den Datenverkehr aus.

Wenn Citrix ADC-Split-Tunneling deaktiviert ist:

  • Wenn die MDX-Netzwerkzugriffsrichtlinie auf Tunnel zum internen Netzwerk festgelegt ist, muss der gesamte Datenverkehr den Micro VPN- oder Clientless VPN (cVPN)-Tunnel zurück zum Citrix Gateway verwenden.
  • Konfigurieren Sie die Citrix ADC-Datenverkehrsrichtlinien/-profile für den Proxyserver und binden Sie sie an die virtuelle IP-Adresse von Citrix Gateway.

Wichtig:

Schließen Sie auf jeden Fall cVPN-Datenverkehr von Secure Hub von dem Proxy aus.

Wenn Citrix ADC-Split-Tunneling aktiviert ist:

  • Wenn für Apps die MDX-Netzwerkzugriffsrichtlinie auf Tunnel zum internen Netzwerk festgelegt ist, versuchen die Apps zunächst, die Webressource direkt zu beziehen. Ist die Webressource nicht öffentlich verfügbar, verwenden die Apps Citrix Gateway.
  • Konfigurieren Sie die Citrix ADC-Datenverkehrsrichtlinien/-profile für den Proxyserver. Binden Sie sie dann an die virtuelle IP-Adresse von Citrix Gateway.

Wichtig:

Schließen Sie auf jeden Fall cVPN-Datenverkehr von Secure Hub von dem Proxy aus.

Die Citrix ADC-Sitzungsprofilkonfiguration für Split DNS (unter Client experience) funktioniert ähnlich wie Split-Tunneling.

Wenn Split DNS aktiviert und auf Both festgelegt ist, gilt Folgendes:

  • Der Client versucht, den FQDN lokal aufzulösen, und greift bei einem Fehler auf Citrix ADC zur DNS-Auflösung zurück.

Wenn Split DNS auf Remote festgelegt ist, gilt Folgendes:

  • Es findet ausschließlich eine DNS-Auflösung durch Citrix ADC statt.

Wenn Split DNS auf Local festgelegt ist, gilt Folgendes:

  • Der Client versucht, den FQDN lokal aufzulösen. Citrix ADC wird nicht für die DNS-Auflösung verwendet.

Zugriffssteuerung

Unternehmen können mobile Geräte innerhalb und außerhalb von Netzwerken verwalten. Enterprise Mobility Management-Lösungen wie XenMobile eignen sich hervorragend zur Bereitstellung von Sicherheit und zur Steuerung von mobilen Geräten unabhängig vom Standort. In Kombination mit einer NAC-Lösung (Network Access Control) erhalten Sie jedoch QoS und eine gezieltere Steuerung für Geräte innerhalb Ihres Netzwerks. Mit dieser Kombination reicht die Bewertung der Gerätesicherheit durch XenMobile in Ihre NAC-Lösung hinein. Die NAC-Lösung kann dann anhand der XenMobile-Sicherheitsbewertung Authentifizierungsentscheidungen vereinfachen und bewältigen.

Sie können NAC-Richtlinien mit jeder der folgenden Lösungen durchsetzen:

  • Citrix Gateway
  • Cisco Identity Services Engine (ISE)
  • ForeScout

Citrix übernimmt keine Gewährleistung für die Integration anderer NAC-Lösungen.

Vorteile einer NAC-Integration in XenMobile:

  • Mehr Sicherheit, Compliance und Steuerung für alle Endpunkte im Unternehmensnetzwerk.
  • Eine NAC-Lösung ermöglicht Folgendes:
    • Erkennen von Geräten in dem Moment, in dem diese versuchen, eine Verbindung mit dem Netzwerk herzustellen.
    • Geräteattribute von XenMobile abfragen.
    • Entscheidung über Zulassen, Blockieren, Einschränken oder Umleiten der Geräte auf der Basis der abgefragten Geräteinformationen. Die Entscheidung hängt von den von Ihnen festgelegten Sicherheitsrichtlinien ab.
  • Eine NAC-Lösung bietet IT-Administratoren eine Übersicht über nicht verwaltete und nicht richtlinientreue Geräte.

Eine Beschreibung der von XenMobile unterstützten NAC-Richtlinientreuefilter und eine Konfigurationsübersicht finden Sie unter Netzwerkzugriffssteuerung (NAC).

XenMobile-Integration