Citrix Endpoint Management

Acerca de Endpoint Management

Endpoint Management ofrece la administración de dispositivos móviles (MDM) y la administración de aplicaciones móviles (MAM).

Con las funciones de MDM que ofrece Endpoint Management, puede:

  • Implementar aplicaciones y directivas de dispositivo.
  • Obtener inventarios de activos.
  • Llevar a cabo acciones en los dispositivos, como borrados.

Con las funciones de MAM que ofrece Endpoint Management, puede:

  • Proteger las aplicaciones y los datos en los dispositivos móviles BYOD.
  • Entregar aplicaciones móviles de empresa.
  • Bloquear aplicaciones y borrar los datos que contengan.

Con una combinación de funciones de MDM y MAM, puede:

  • Administrar dispositivos de empresa a través de MDM
  • Implementar aplicaciones y directivas de dispositivo
  • Obtener un inventario de activos
  • Borrar dispositivos
  • Entregar aplicaciones móviles de empresa
  • Bloquear aplicaciones y borrar los datos en los dispositivos

En la siguiente tabla, se resumen las funciones de Endpoint Management disponibles para MDM, MAM o MDM+MAM.

Funciones (por plataforma) MDM (1) MAM (2) MDM+MAM
Android Enterprise:      
Disponibilidad de la inscripción de dispositivos
Disponibilidad de la autenticación de dominios No
Disponibilidad de la autenticación con dominio y token de seguridad No No
Disponibilidad de la autenticación con certificados de cliente No
Compatibilidad con la autenticación con certificado de cliente y dominio No No
Compatibilidad con el certificado de cliente y token de seguridad No No
Compatibilidad con proveedores de identidades de Azure AD No No
Single Sign-On en aplicaciones SaaS nativas No
Compatibilidad con Citrix Content Delivery Network para aplicaciones empresariales
Compatibilidad con dispositivos compartidos mediante el aprovisionamiento de dispositivos Android Enterprise (COSU) dedicados No
Android (heredado):      
Disponibilidad de la inscripción de dispositivos
Disponibilidad de la autenticación con dominio o dominio y token de seguridad No No
Disponibilidad de la autenticación con certificados de cliente No
Compatibilidad con la autenticación con certificado de cliente y dominio No No
Compatibilidad con el certificado de cliente y token de seguridad No No
Compatibilidad con proveedores de identidades de Azure AD y Citrix No No
Single Sign-On en aplicaciones SaaS nativas No
Compatibilidad con Citrix Content Delivery Network para aplicaciones empresariales
Chrome:      
Disponibilidad de la inscripción de dispositivos No
Compatibilidad con autenticación de nombre de usuario y contraseña No
iOS:      
Disponibilidad de la inscripción de dispositivos
Disponibilidad de la autenticación con dominio o dominio y token de seguridad No No
Disponibilidad de la autenticación con certificados de cliente No
Compatibilidad con la autenticación con certificado de cliente y dominio No No
Compatibilidad con credenciales derivadas No No
Compatibilidad con proveedores de identidades de Azure AD y Citrix No No
Single Sign-On en aplicaciones SaaS nativas No
Integración en Apple Education No
macOS:      
Disponibilidad de la inscripción de dispositivos No No
Compatibilidad con dominio o dominio y contraseña de un solo uso No No
Compatibilidad con URL de invitación y contraseña de un solo uso No No
Windows:      
Disponibilidad de la inscripción de dispositivos No No
Inscripción automática de dispositivos Windows 10 a través de la aplicación Citrix Workspace No No
Disponibilidad de la autenticación con dominio o dominio y token de seguridad No No
Disponibilidad de la autenticación con certificados de cliente No No
Compatibilidad con la autenticación con certificado de cliente y dominio No No
Autenticación federada a través del proveedor de identidades de Azure AD o Citrix No No
Compatibilidad con Citrix Content Delivery Network para aplicaciones empresariales No No
Integración en Workspace Environment Management (3) No No

Notas:

(1) El orden de implementación solo se aplica a los dispositivos de un grupo de entrega que tenga un perfil de inscripción configurado para MDM (administración de dispositivos).

(2) La inscripción en MAM requiere Citrix Gateway.

(3) La integración en Workspace Environment Management (WEM) ofrece acceso a las funciones de MDM en una amplia gama de sistemas operativos Windows.

Para obtener más información, consulte Modos de administración.

Arquitectura

Los requisitos de administración de dispositivos o de aplicaciones que tenga la organización son los que determinan los componentes de Endpoint Management que incluirá su arquitectura de Endpoint Management. Los componentes de Endpoint Management son módulos y se construyen unos sobre otros. Por ejemplo, su implementación incluye Citrix Gateway:

  • Citrix Gateway proporciona a los usuarios acceso remoto a las aplicaciones móviles y realiza un seguimiento de los tipos de dispositivos de los usuarios.
  • Endpoint Management es donde administra esas aplicaciones y dispositivos.

El diagrama siguiente ofrece una vista general de la arquitectura que tendría una implementación de Endpoint Management en la nube; también se ilustra la integración en su centro de datos.

Arquitectura general

Las siguientes subsecciones contienen diagramas de arquitectura de referencia para:

  • Endpoint Management
  • Componentes opcionales como entidades de certificación externas y conectores de Endpoint Management para Exchange ActiveSync

Para obtener más información acerca de los requisitos de Citrix ADC y Citrix Gateway, consulte la documentación de productos Citrix en https://docs.citrix.com/.

Arquitectura de referencia para componentes principales

Para obtener información detallada sobre los requisitos de los puertos, consulte Requisitos del sistema.

Arquitectura de componentes principales

Arquitectura de referencia con Citrix Virtual Apps and Desktops

Arquitectura de Citrix Virtual Apps and Desktops

Arquitectura de referencia con el conector de Endpoint Management para Exchange ActiveSync

Arquitectura con el conector de Endpoint Management para Exchange ActiveSync

Arquitectura de referencia con el conector de Citrix Gateway para Exchange ActiveSync

Arquitectura con el conector de Citrix Gateway para Exchange ActiveSync

Ubicaciones de recursos

Coloque las ubicaciones de recursos donde mejor se adapten a las necesidades de su negocio. Por ejemplo, en una nube pública, una sucursal, una nube privada o un centro de datos. A continuación se presentan los factores que determinan la selección de la ubicación:

  • Proximidad a los suscriptores
  • Proximidad a los datos
  • Requisitos de escala
  • Atributos de seguridad

Puede crear cuantas ubicaciones de recursos quiera. Por ejemplo, puede:

  • Crear una ubicación de recursos en el centro de datos para la oficina principal, en función de los suscriptores y las aplicaciones que necesitan situarse cerca de los datos.
  • Agregar una ubicación de recursos separada para usuarios globales en una nube pública. O crear ubicaciones de recursos independientes en cada una de las sucursales para entregar aplicaciones que funcionan mejor cuando se sitúan cerca de los trabajadores de las sucursales.
  • Agregar una ubicación de recursos adicional en otra red, que proporcione aplicaciones de carácter restringido. Esta estructura ofrece la ventaja de una visibilidad restringida para otros recursos y suscriptores, sin la necesidad de ajustar las demás ubicaciones de recursos.

Cloud Connector

Citrix usa Cloud Connector para integrar la arquitectura de Endpoint Management en la infraestructura que usted tenga. Cloud Connector autentica y cifra toda la comunicación entre Citrix Cloud y las ubicaciones de recursos. Cloud Connector admite todos los tipos de autenticación de Endpoint Management.

El siguiente diagrama muestra el flujo del tráfico de Cloud Connector.

Flujo de tráfico de Cloud Connector

Cloud Connector establece conexiones con Citrix Cloud. Cloud Connector no acepta conexiones entrantes.

Cloud Connector recibe la carga solo durante la inscripción de dispositivos. Para obtener más información, consulte Consideraciones sobre la escala y el tamaño de Cloud Connector.

Una solución que ofrezca la administración de aplicaciones móviles (MAM) requiere una red micro VPN proporcionada por un Citrix Gateway local. En este caso:

  • Los siguientes componentes residen en el centro de datos:
    • Cloud Connector
    • Citrix Gateway
    • Sus servidores para Exchange, aplicaciones web, Active Directory y PKI
  • Los dispositivos móviles se comunican con Endpoint Management y su Citrix Gateway local.

Componentes Endpoint Management

Consola de Endpoint Management. Utilice la consola de administrador de Endpoint Management para configurar Endpoint Management. Para obtener información detallada sobre cómo usar la consola de Endpoint Management, consulte los artículos de Endpoint Management. Citrix le notificará cuando los artículos “Novedades” de Endpoint Management se actualicen para una nueva versión.

Tenga en cuenta estas diferencias entre Endpoint Management Service y las versiones locales:

  • En Endpoint Management, el cliente de asistencia remota, llamado Endpoint Management Remote Support, no está disponible.
  • Los componentes del lado de servidor de Endpoint Management no cumplen el estándar FIPS 140-2.
  • Citrix no ofrece soporte a la integración de syslog en Endpoint Management con un servidor syslog local. En su lugar, puede descargar los registros desde la página Solución de problemas y asistencia en la consola de Endpoint Management. Al hacerlo, debe hacer clic en Descargar todo.

SDK de MAM o MDX Service. La tecnología de empaquetado MDX está programada para alcanzar el final de su vida útil (EOL) en septiembre de 2021. Para seguir administrando sus aplicaciones empresariales, debe incorporar el SDK de MAM.

  • El SDK de administración de aplicaciones móviles (MAM) proporciona funcionalidad MDX que no cubren las plataformas iOS y Android. Puede habilitar MDX y proteger las aplicaciones iOS o Android. Puede hacer que esas aplicaciones estén disponibles en un almacén interno o en tiendas públicas de aplicaciones. Consulte SDK de aplicaciones MDX.
  • El servicio Endpoint Management MDX Service empaqueta de forma segura las aplicaciones móviles creadas dentro o fuera de la empresa. Para obtener más información, consulte MDX Service.

Aplicaciones móviles de productividad. Las aplicaciones móviles de productividad desarrolladas por Citrix ofrecen un conjunto de herramientas de productividad y comunicación dentro del entorno de Endpoint Management. Las directivas de la empresa protegen esas aplicaciones. Para obtener más información, consulte Aplicaciones móviles de productividad.

Conector de Endpoint Management para Exchange ActiveSync. El conector de Endpoint Management para Exchange ActiveSync ofrece acceso seguro al correo electrónico para los usuarios que usan aplicaciones móviles nativas de correo electrónico. El conector para Exchange ActiveSync ofrece el filtrado de ActiveSync en el nivel de servicio de Exchange. Así, el filtrado solo se produce una vez que el correo haya llegado al servicio de intercambio, en lugar de en cuanto entre en el entorno de Endpoint Management. El conector no requiere el uso de Citrix Gateway. Puede implementar el conector sin cambiar el enrutamiento del tráfico existente de ActiveSync. Para obtener más información, consulte Conector de Endpoint Management para Exchange ActiveSync.

Conector de Citrix Gateway para Exchange ActiveSync. El conector de Citrix Gateway para Exchange ActiveSync ofrece acceso seguro al correo electrónico para los usuarios que usan aplicaciones móviles nativas de correo electrónico. El conector para Exchange ActiveSync ofrece el filtrado de ActiveSync en el perímetro. El filtrado utiliza Citrix Gateway como proxy para el tráfico de ActiveSync. Así, el componente de filtrado se encuentra en la ruta de tráfico del correo: lo intercepta a medida que entra o sale del entorno. El conector para Exchange ActiveSync actúa como intermediario entre Citrix Gateway y Endpoint Management. Para obtener más información, consulte Conector de Citrix Gateway para Exchange ActiveSync.

Información técnica general sobre la seguridad de Endpoint Management

Citrix Cloud administra el plano de control para entornos de Endpoint Management. El plano de control incluye el servidor de Endpoint Management, el equilibrador de carga de Citrix ADC y una base de datos de un solo arrendatario. El servicio de nube se integra en el centro de datos del cliente a través de Citrix Cloud Connector. Los clientes de Endpoint Management que usan Cloud Connector suelen administrar Citrix Gateway en sus centros de datos.

En la siguiente imagen se ilustra el servicio y sus límites de seguridad.

Límites de seguridad

La información de esta sección:

  • Ofrece una introducción a la funcionalidad de seguridad en Citrix Cloud.
  • Define la división de responsabilidades entre los clientes y Citrix para proteger la implementación de Citrix Cloud.
  • No está pensada para ser una guía de configuración o administración de Citrix Cloud ni de ninguno de sus componentes o servicios.

Flujo de datos

El plano de control tiene acceso de lectura limitado a los objetos de usuario y grupo. Esos objetos residen en su directorio, DNS y servicios similares. El plano de control accede a esos servicios a través de Citrix Cloud Connector mediante conexiones HTTPS seguras.

Los datos de empresa (como el correo electrónico, la intranet y el tráfico de las aplicaciones web) se transfieren directamente entre un dispositivo y los servidores de aplicaciones a través de Citrix Gateway. Citrix Gateway se implementa en el centro de datos del cliente.

Aislamiento de datos

El plano de control almacena los metadatos necesarios para administrar los dispositivos de usuario y sus aplicaciones móviles. El servicio en sí se compone de una combinación de componentes de arrendatario único y multiarrendatario. Sin embargo, según la arquitectura del servicio, los metadatos de clientes de cada arrendatario siempre se almacenan por separado y se protegen con credenciales únicas.

Gestión de credenciales

El servicio gestiona los siguientes tipos de credenciales:

  • Credenciales de usuario: Las credenciales de usuario se transmiten desde el dispositivo al plano de control a través de una conexión HTTPS. El plano de control coteja esas credenciales con un directorio en el directorio del cliente a través de una conexión segura y las valida.
  • Credenciales de administrador: Los administradores se autentican en Citrix Cloud, que utiliza el sistema de inicio de sesión de Citrix Online. Ese proceso genera un token web JSON (JWT) firmado y de un solo uso, lo que permite que el administrador acceda al servicio.
  • Credenciales de Active Directory: El plano de control requiere credenciales vinculadas para leer los metadatos de usuario en Active Directory. Esas credenciales se cifran con el cifrado AES-256 y se guardan en una base de datos por arrendatario.

Consideraciones sobre la implementación

Citrix recomienda consultar la documentación publicada sobre las prácticas recomendadas para implementar Citrix Gateway en sus entornos.

Más recursos

Consulte los siguientes recursos para obtener más información acerca de la seguridad:

Integración en el software Mobile Threat Defense

El software Mobile Threat Defense (MTD) detecta, analiza y ayuda a prevenir ataques cibernéticos avanzados contra dispositivos móviles empresariales. La combinación de MTD y Unified Endpoint Management (UEM) aumenta la seguridad y la visibilidad para su organización.

El software MTD proporciona datos de amenazas que Endpoint Management utiliza para:

  • Proteger contra malware, phishing, ataques a redes y ataques de tipo “Man in the middle”
  • Determinar el estado de conformidad del dispositivo
  • Determinar los niveles de riesgo
  • Realizar acciones basadas en directivas para proteger aplicaciones, datos, dispositivos y redes móviles

Citrix Endpoint Management se integra en los siguientes proveedores de MTD:

Para obtener más información o solicitar una demostración, póngase en contacto con nuestros socios de MTD o con un representante de ventas de Citrix.

Acerca de Endpoint Management