Acerca de Endpoint Management

Endpoint Management ofrece la administración de dispositivos móviles (MDM) y la administración de aplicaciones móviles (MAM).

Con las funciones de MDM que ofrece Endpoint Management, puede:

  • Implementar aplicaciones y directivas de dispositivo.
  • Obtener inventarios de activos.
  • Llevar a cabo acciones en los dispositivos, como borrados.

Con las funciones de MAM que ofrece Endpoint Management, puede:

  • Proteger las aplicaciones y los datos en los dispositivos móviles BYOD.
  • Entregar aplicaciones móviles de empresa.
  • Bloquear aplicaciones y borrar los datos que contengan.

Con una combinación de funciones de MDM y MAM, puede:

  • Administrar dispositivos de empresa a través de MDM
  • Implementar aplicaciones y directivas de dispositivo
  • Obtener un inventario de activos
  • Borrar dispositivos
  • Entregar aplicaciones móviles de empresa
  • Bloquear aplicaciones y borrar los datos en los dispositivos

Arquitectura

Los requisitos de administración de dispositivos o de aplicaciones que tenga la organización son los que determinan los componentes de Endpoint Management que incluirá su arquitectura de Endpoint Management. Los componentes de Endpoint Management son módulos y se construyen unos sobre otros. Por ejemplo, para conceder a los usuarios acceso remoto a las aplicaciones móviles y realizar un seguimiento de los tipos de dispositivos que usan, la implementación debe incluir Citrix Gateway. Con Endpoint Management puede administrar aplicaciones y dispositivos, mientras que Citrix Gateway permite a los usuarios conectarse a la red.

El diagrama siguiente ofrece una vista general de la arquitectura que tendría una implementación de Endpoint Management en la nube; también se ilustra la integración en su centro de datos.

Diagrama de la arquitectura general

Las siguientes subsecciones contienen diagramas de arquitecturas de referencia para los componentes principales y opcionales de Endpoint Management (como una entidad de certificación externa y el conector de Endpoint Management para Exchange ActiveSync).

Para obtener más información acerca de los requisitos de Citrix ADC y Citrix Gateway, consulte la documentación de productos Citrix en docs.citrix.com.

Arquitectura de referencia para componentes principales

Para obtener información detallada sobre los requisitos de los puertos, consulte Requisitos del sistema.

Diagrama de la arquitectura de componentes principales

Arquitectura de referencia con Citrix Virtual Apps and Desktops

Diagrama de la arquitectura de Citrix Virtual Apps and Desktops

Arquitectura de referencia con el conector de Endpoint Management para Exchange ActiveSync

Diagrama de la arquitectura con el conector de Endpoint Management para Exchange ActiveSync

Arquitectura de referencia con el conector de Citrix Gateway para Exchange ActiveSync

Diagrama de la arquitectura que presenta el conector de Citrix Gateway para Exchange ActiveSync

Ubicaciones de recursos

Coloque las ubicaciones de recursos donde mejor se adapten a las necesidades de su negocio. Por ejemplo, en una nube pública, una sucursal, una nube privada o un centro de datos. A continuación se presentan los factores que determinan la selección de la ubicación:

  • Proximidad a los suscriptores
  • Proximidad a los datos
  • Requisitos de escala
  • Atributos de seguridad

Puede crear cuantas ubicaciones de recursos quiera. Por ejemplo, puede:

  • Crear una ubicación de recursos en el centro de datos para la oficina principal, en función de los suscriptores y las aplicaciones que necesitan situarse cerca de los datos.
  • Agregar una ubicación de recursos separada para usuarios globales en una nube pública. O crear ubicaciones de recursos independientes en cada una de las sucursales para entregar aplicaciones que funcionan mejor cuando se sitúan cerca de los trabajadores de las sucursales.
  • Agregar una ubicación de recursos adicional en otra red, que proporcione aplicaciones de carácter restringido. Esta estructura ofrece la ventaja de una visibilidad restringida para otros recursos y suscriptores, sin la necesidad de ajustar las demás ubicaciones de recursos.

Cloud Connector

Citrix usa Cloud Connector para integrar la arquitectura de Endpoint Management en la infraestructura que usted tenga. Cloud Connector autentica y cifra toda la comunicación entre Citrix Cloud y las ubicaciones de recursos. Cloud Connector admite todos los tipos de autenticación de Endpoint Management.

El siguiente diagrama muestra el flujo del tráfico de Cloud Connector.

Diagrama del flujo de tráfico de Cloud Connector

Cloud Connector establece conexiones con Citrix Cloud. Cloud Connector no acepta conexiones entrantes.

Una solución que ofrezca la administración de aplicaciones móviles (MAM) requiere una red micro VPN proporcionada por un Citrix Gateway local. Cloud Connector, Citrix Gateway y los servidores de Exchange, las aplicaciones web, Active Directory y PKI residen en su centro de datos. Los dispositivos móviles se comunican con Endpoint Management y su Citrix Gateway local.

Componentes Endpoint Management

Consola de Endpoint Management. Utilice la consola de administrador de Endpoint Management para configurar Endpoint Management. Para obtener información detallada sobre cómo usar la consola de Endpoint Management, consulte los artículos de Endpoint Management. Citrix le notificará cuando los artículos “Novedades” de Endpoint Management se actualicen para una nueva versión.

Tenga en cuenta estas diferencias entre Endpoint Management Service y las versiones locales:

  • En Endpoint Management, el cliente de asistencia remota, llamado Endpoint Management Remote Support, no está disponible.
  • Los componentes del lado de servidor Endpoint Management no cumplen el estándar FIPS 140-2.
  • Citrix no ofrece soporte a la integración de syslog en Endpoint Management con un servidor syslog local. En su lugar, puede descargar los registros desde la página Asistencia en la consola de Endpoint Management. Al hacerlo, debe hacer clic en Descargar todo.

MDX Service. El servicio Endpoint Management MDX Service empaqueta de forma segura las aplicaciones móviles creadas dentro o fuera de la empresa. Para obtener más información, consulte MDX Service.

Aplicaciones móviles de productividad. Las aplicaciones móviles de productividad desarrolladas por Citrix ofrecen un conjunto de herramientas de productividad y comunicación dentro del entorno de Endpoint Management. Las directivas de la empresa protegen esas aplicaciones. Para obtener más información, consulte Aplicaciones móviles de productividad.

Conector de Endpoint Management para Exchange ActiveSync. El conector de Endpoint Management para Exchange ActiveSync ofrece acceso seguro al correo electrónico para los usuarios que usan aplicaciones móviles nativas de correo electrónico. El conector para Exchange ActiveSync ofrece el filtrado de ActiveSync en el nivel de servicio de Exchange. Así, el filtrado solo se produce una vez que el correo haya llegado al servicio de intercambio, en lugar de en cuanto entre en el entorno de Endpoint Management. El conector no requiere el uso de Citrix Gateway. Puede implementar el conector sin cambiar el enrutamiento del tráfico existente de ActiveSync. Para obtener más información, consulte Conector de Endpoint Management para Exchange ActiveSync.

Conector de Citrix Gateway para Exchange ActiveSync. El conector de Citrix Gateway para Exchange ActiveSync ofrece acceso seguro al correo electrónico para los usuarios que usan aplicaciones móviles nativas de correo electrónico. El conector para Exchange ActiveSync ofrece el filtrado de ActiveSync en el perímetro, mediante Citrix Gateway como proxy para el tráfico de ActiveSync. Así, el componente de filtrado se encuentra en la ruta de tráfico del correo: lo intercepta a medida que entra o sale del entorno. El conector para Exchange ActiveSync actúa como intermediario entre Citrix Gateway y el servidor Endpoint Management. Para obtener más información, consulte Conector de Citrix Gateway para Exchange ActiveSync.

Información técnica general sobre la seguridad de Endpoint Management

Citrix Cloud administra el plano de control de los entornos de Endpoint Management, incluidos el servidor Endpoint Management, el equilibrador de carga de Citrix ADC y la base de datos de un arrendatario. El servicio de nube se integra en el centro de datos del cliente a través de Citrix Cloud Connector. Los clientes de Endpoint Management que usan Cloud Connector suelen administrar Citrix Gateway en sus centros de datos.

En la siguiente imagen se ilustra el servicio y sus límites de seguridad.

Diagrama de los límites de seguridad

La información de esta sección:

  • Ofrece una introducción a la funcionalidad de seguridad en Citrix Cloud.
  • Define la división de responsabilidades entre los clientes y Citrix para proteger la implementación de Citrix Cloud.
  • No está pensada para ser una guía de configuración o administración de Citrix Cloud ni de ninguno de sus componentes o servicios.

Flujo de datos

El plano de control tiene un acceso de lectura limitado a los objetos de usuario y grupo desde un directorio de clientes y otros servicios del tipo DNS. El plano de control accede a esos servicios a través de Citrix Cloud Connector, que usa conexiones HTTPS seguras.

Los datos de empresa (como el correo electrónico, la intranet y el tráfico de las aplicaciones web) se transfieren directamente entre un dispositivo y los servidores de aplicaciones a través de Citrix Gateway. Citrix Gateway se implementa en el centro de datos del cliente.

Aislamiento de datos

El plano de control almacena los metadatos necesarios para administrar los dispositivos de usuario y sus aplicaciones móviles. El servicio en sí se compone de una combinación de componentes de arrendatario único y multiarrendatario. Sin embargo, según la arquitectura del servicio, los metadatos de clientes de cada arrendatario siempre se almacenan por separado y se protegen con credenciales únicas.

Gestión de credenciales

El servicio gestiona los siguientes tipos de credenciales:

  • Credenciales de usuario: Las credenciales de usuario se transmiten desde el dispositivo al plano de control a través de una conexión HTTPS. El plano de control coteja esas credenciales con un directorio en el directorio del cliente a través de una conexión segura y las valida.
  • Credenciales de administrador: Los administradores se autentican en Citrix Cloud, que utiliza el sistema de inicio de sesión de Citrix Online. Ese proceso genera un token web JSON (JWT) firmado y de un solo uso, lo que permite que el administrador acceda al servicio.
  • Credenciales de Active Directory: El plano de control requiere credenciales vinculadas para leer los metadatos de usuario en Active Directory. Esas credenciales se cifran con el cifrado AES-256 y se guardan en una base de datos por arrendatario.

Consideraciones sobre la implementación

Citrix recomienda consultar la documentación publicada sobre las prácticas recomendadas para implementar Citrix Gateway en sus entornos.

Más recursos

Consulte los siguientes recursos para obtener más información acerca de la seguridad: