Integrar Endpoint Management

En este artículo se describen los elementos a tener en cuenta al planificar cómo se integra Endpoint Management en su red y sus soluciones existentes. Por ejemplo, si ya está utilizando Citrix Gateway para Citrix Virtual Apps and Desktops:

  • ¿Debería utilizar la instancia existente de Citrix Gateway o una nueva instancia dedicada?
  • ¿Quiere integrar en Endpoint Management las aplicaciones HDX que se han publicado usando StoreFront?
  • ¿Va a usar Citrix Files con Endpoint Management?
  • ¿Tiene una solución de control de acceso a la red que quiera integrar en Endpoint Management?

Citrix Gateway

Se necesita Citrix Gateway para Endpoint Management. Citrix Gateway proporciona una ruta de red micro VPN para acceder a todos los recursos de empresa. Asimismo, admite la autenticación de varios factores.

Puede usar instancias existentes de Citrix Gateway o configurar nuevas para Endpoint Management. En las secciones siguientes se indican las ventajas y las desventajas de utilizar las instancias de Citrix Gateway existentes o unas instancias nuevas dedicadas.

Citrix Gateway MPX compartido con una dirección IP virtual de Citrix Gateway creada para Endpoint Management

Ventajas:

  • Utiliza una instancia común de Citrix Gateway para todas las conexiones remotas de Citrix: Citrix Virtual Apps, VPN completa y VPN sin cliente.
  • Utiliza las configuraciones existentes de Citrix Gateway; por ejemplo, para la autenticación con certificados y para acceder a servicios como DNS, LDAP y NTP.
  • Utiliza una única licencia de plataforma de Citrix Gateway.

Desventajas:

  • Es más difícil planificar la escalabilidad cuando se enfrenta a dos casos de uso muy diferentes en el mismo Citrix Gateway.
  • A veces necesita una versión concreta de Citrix Gateway para un caso de uso de Citrix Virtual Apps. Sin embargo, esa misma versión podría presentar problemas conocidos en Endpoint Management. O Endpoint Management podría presentar problemas conocidos para la versión de Citrix Gateway.
  • Si ya existe un Citrix Gateway, no puede ejecutar el asistente de NetScaler para XenMobile por segunda vez para crear la configuración de Citrix Gateway para Endpoint Management.
  • Excepto cuando se usan licencias Platinum de Citrix Gateway 11.1 o posterior, se agrupan las licencias de acceso de usuario instaladas en Citrix Gateway, necesarias para la conectividad VPN. Puesto que esas licencias están disponibles para todos los servidores virtuales de Citrix Gateway, unos servicios que no sean de Endpoint Management pueden potencialmente consumirlas.

Instancia VPX o MPX dedicada de Citrix Gateway

Ventajas:

Citrix recomienda usar una instancia dedicada de Citrix Gateway.

  • Es más fácil planear la escalabilidad en ella. Además, así el tráfico de Endpoint Management se separa de una instancia de Citrix Gateway que podría ya tener restricciones de recursos.
  • Evita los problemas que pueden surgir cuando Endpoint Management y Citrix Virtual Apps necesitan diferentes versiones de software de Citrix Gateway. Por lo general, es mejor utilizar la versión y la compilación más recientes de Citrix Gateway compatibles con Endpoint Management.
  • Permite configurar Citrix Gateway para Endpoint Management gracias al asistente integrado de NetScaler para XenMobile.
  • Separación virtual y física de servicios.

Desventajas:

  • Requiere la instalación y la configuración de servicios adicionales en Citrix Gateway para admitir la configuración de Endpoint Management.
  • Requiere otra licencia de plataforma de Citrix Gateway. Cada instancia de Citrix Gateway debe tener una licencia de Citrix Gateway.

Para obtener información sobre qué tener en cuenta a la hora de integrar Citrix Gateway en cada modo de servidor Endpoint Management, consulte Integrar en Citrix Gateway y Citrix ADC.

StoreFront

Si tiene un entorno de Citrix Virtual Apps and Desktops, puede usar StoreFront para integrar aplicaciones HDX en Endpoint Management. Cuando integra aplicaciones HDX en Endpoint Management:

  • Las aplicaciones están disponibles para los usuarios que están inscritos en Endpoint Management.
  • Las aplicaciones se muestran en la tienda de aplicaciones junto con otras aplicaciones móviles.
  • Endpoint Management utiliza el sitio antiguo de (servicios) PNAgent en StoreFront.
  • Si la aplicación Citrix Workspace está instalada en un dispositivo, las aplicaciones HDX comienzan a usarla.

StoreFront presenta una limitación de un sitio de servicios por instancia de StoreFront. Supongamos que tiene varias tiendas y quiere separarlas de otro uso de producción. En ese caso, Citrix recomienda generalmente que se plantee un nuevo sitio de servicios y una nueva instancia de StoreFront para Endpoint Management.

Consideraciones:

  • ¿Hay algún requisito de autenticación diferente para StoreFront? El sitio de servicios de StoreFront requiere credenciales de Active Directory para el inicio de sesión. Los clientes que solo usan la autenticación basada en certificados no pueden enumerar las aplicaciones a través de Endpoint Management utilizando el mismo Citrix Gateway.
  • ¿Usar la misma tienda o crear una nueva?
  • ¿Usar el mismo servidor de StoreFront o no?

En las siguientes secciones se indican las ventajas y las desventajas de utilizar StoreFronts separados o combinados para Citrix Workspace y las aplicaciones móviles de productividad Citrix.

Integrar la instancia existente de StoreFront en Endpoint Management

Ventajas:

  • Misma tienda: No se requiere configuración adicional de StoreFront para Endpoint Management, suponiendo que utilice la misma dirección IP virtual de Citrix Gateway para el acceso HDX. Supongamos que elige usar la misma tienda y quiere dirigir el acceso de Citrix Workspace a una nueva dirección IP virtual de Citrix Gateway. En ese caso, agregue la configuración apropiada de Citrix Gateway a StoreFront.
  • Mismo servidor StoreFront: Utiliza la instalación y la configuración del StoreFront existente.

Desventajas:

  • Misma tienda: Cualquier cambio en la configuración de StoreFront para admitir las cargas de trabajo de Citrix Virtual Apps and Desktops puede afectar negativamente a Endpoint Management.
  • Mismo servidor StoreFront: En entornos grandes, tenga en cuenta la carga adicional que provocará el uso de PNAgent por parte de Endpoint Management para la enumeración y el inicio de las aplicaciones.

Usar una instancia nueva y dedicada de StoreFront para la integración en Endpoint Management

Ventajas:

  • Nueva tienda: Ningún cambio en la configuración de la tienda StoreFront para Endpoint Management debería afectar las cargas de trabajo existentes de Citrix Virtual Apps and Desktops.
  • Nuevo servidor StoreFront: Los cambios en la configuración del servidor no deberían afectar los flujos de trabajo de Citrix Virtual Apps and Desktops. Además, la carga no derivada del uso de PNAgent por parte de Endpoint Management para la enumeración y el inicio de aplicaciones no debería afectar a la escalabilidad.

Desventajas:

  • Nueva tienda: Configuración de la tienda StoreFront.
  • Nuevo servidor StoreFront: Requiere una nueva instalación y configuración de StoreFront.

Para obtener más información, consulte Citrix Virtual Apps and Desktops a través de la tienda de aplicaciones.

Citrix Files

Citrix Files permite a los usuarios acceder y sincronizar todos sus datos desde cualquier dispositivo. Con Citrix Files, los usuarios pueden compartir datos de forma segura con personas tanto dentro como fuera de la organización. Si integra Citrix Files en Endpoint Management Advanced Edition o Enterprise Edition, Endpoint Management puede proporcionar a Citrix Files:

  • Autenticación Single Sign-On para los usuarios de las aplicaciones móviles de productividad.
  • Aprovisionamiento de cuentas de usuario basado en Active Directory.
  • Directivas integrales para controlar el acceso.

Los usuarios de dispositivos móviles pueden beneficiarse del conjunto completo de funciones que ofrece Citrix Files Enterprise.

De forma alternativa, puede configurar Endpoint Management para que se integre solamente en conectores StorageZone. A través de los conectores StorageZone, Citrix Files proporciona acceso a:

  • Documentos y carpetas
  • Recursos compartidos de red
  • En sitios de SharePoint: Colecciones de sitios y bibliotecas de documentos.

Los recursos compartidos conectados pueden incluir las mismas unidades “home” de red utilizadas en entornos de Citrix Virtual Apps and Desktops. Puede utilizar la consola de Endpoint Management para configurar la integración en Citrix Files Enterprise o los conectores StorageZone. Para obtener más información, consulte Usar Citrix Files con Endpoint Management.

En las siguientes secciones se indican las preguntas a contestar cuando se decide el diseño de Citrix Files.

Integrar en Citrix Files Enterprise o solo en conectores StorageZone

Preguntas que contestar:

  • ¿Necesita almacenar datos en las zonas StorageZone que administrada Citrix?
  • ¿Quiere ofrecer a los usuarios funciones de intercambio y sincronización de archivos?
  • ¿Quiere que los usuarios puedan acceder a los archivos que se encuentran en el sitio web de Citrix Files? ¿O que puedan acceder al contenido de Office 365 y los conectores de nube personal desde dispositivos móviles?

Decisión en cuanto a diseño:

  • Si la respuesta a cualquiera de esas preguntas es “sí”, intégrelo en Citrix Files Enterprise.
  • Una integración en solo conectores StorageZone permite a los usuarios iOS un acceso móvil seguro a repositorios de almacenamiento locales existentes, como sitios de SharePoint y recursos compartidos de archivos de red. En esta configuración no se requiere configurar ningún subdominio de Citrix Files, aprovisionar usuarios a Citrix Files ni alojar datos de Citrix Files. El uso de conectores StorageZone con Endpoint Management cumple las restricciones de seguridad contra la filtración de datos del usuario fuera de la red corporativa.

Ubicación de servidores StorageZones Controllers

Preguntas que contestar:

  • ¿Necesita almacenamiento local o características como conectores StorageZone?
  • Si usa las funciones locales de Citrix Files, ¿dónde se ubicarán los StorageZones Controllers en la red?

Decisión en cuanto a diseño:

  • Determine si ubicar los servidores StorageZones Controllers en la nube de Citrix Files, en su sistema local de almacenamiento de arrendatarios individuales o en un almacenamiento en la nube de terceros compatible.
  • Los StorageZones Controllers requieren acceso a Internet para comunicarse con el plano de control de Citrix Files. Puede conectarse de varias formas, incluido el acceso directo o las configuraciones NAT/PAT.

Conectores StorageZone

Preguntas que contestar:

  • ¿Cuáles son las rutas a recursos CIFS?
  • ¿Cuáles son las URL de SharePoint?

Decisión en cuanto a diseño:

  • Determine si son necesarios unos StorageZones Controllers locales para acceder a esas ubicaciones.
  • Debido a la comunicación de StorageZone Connector con recursos internos (como repositorios de archivos, recursos CIFS y SharePoint), Citrix recomienda que los StorageZones Controllers residan en la red interna, detrás de los firewalls DMZ y de Citrix Gateway.

Integrar SAML en Endpoint Management Enterprise

Preguntas que contestar:

  • ¿Se requiere la autenticación de Active Directory para Citrix Files?
  • ¿Usar la aplicación Citrix Files por primera vez para Endpoint Management requiere SSO?
  • ¿Hay un proveedor de identidades estándar en el entorno actual?
  • ¿Cuántos dominios se requieren para usar SAML?
  • ¿Hay varios alias de correo electrónico para los usuarios de Active Directory?
  • ¿Hay alguna migración de dominio de Active Directory en curso o programada próximamente?

Decisión en cuanto a diseño:

Los entornos de Endpoint Management Enterprise pueden optar por utilizar SAML como el mecanismo de autenticación para Citrix Files. Las opciones de autenticación son:

  • Utilizar el servidor Endpoint Management como el proveedor de identidades (IdP) para SAML

Esta opción puede: proporcionar una excelente experiencia de usuario, automatizar la creación de cuentas de Citrix Files y habilitar las funciones del inicio SSO para las aplicaciones móviles.

  • El servidor Endpoint Management se ha mejorado para este proceso, ya que no requiere la sincronización con Active Directory.
  • Usar la herramienta Citrix Files User Management Tool para el aprovisionamiento de usuarios.
  • Usar un proveedor de terceros compatible en calidad de IdP para SAML

Si tiene un IdP existente compatible y no requiere capacidades SSO para aplicaciones móviles, esta puede ser la opción más adecuada. Esta opción también requiere la herramienta Citrix Files User Management Tool para el aprovisionamiento de cuentas.

Usar soluciones IdP de terceros, como ADFS, también puede proporcionar capacidades SSO en el lado del cliente Windows. Debe valorar los casos de uso antes de elegir su IdP SAML para Citrix Files.

Además, para ambos casos de uso, puede configurar ADFS y Endpoint Management como un IdP dual.

Aplicaciones móviles

Preguntas que contestar:

  • ¿Qué aplicación móvil de Citrix Files va a usar (pública, MDM, MDX)?

Decisión en cuanto a diseño:

  • Puede distribuir las aplicaciones móviles de productividad Citrix desde Apple App Store y Google Play Store. Con esa distribución desde la tienda pública de aplicaciones, se obtienen aplicaciones empaquetadas desde la página de descargas de Citrix.
  • Si el nivel de seguridad es bajo y no se necesitan contenedores, puede que la aplicación pública de Citrix Files no sea la adecuada. En un entorno solo MDM, puede entregar la versión MDM de la aplicación Citrix Files usando Endpoint Management en modo MDM.
  • Para obtener más información, consulte Aplicaciones y Citrix Files para Endpoint Management.

Seguridad, directivas y control de acceso

Preguntas que contestar:

  • ¿Qué restricciones necesita para usuarios móviles, Web y de escritorio?
  • ¿Qué configuración estándar quiere para controlar el acceso de los usuarios?
  • ¿Qué directiva de retención de archivos va a usar?

Decisión en cuanto a diseño:

  • Citrix Files permite administrar los permisos de los empleados y la seguridad de los dispositivos. Para obtener información, consulte Permisos de empleado y Administrar dispositivos y aplicaciones.
  • Determinadas directivas MDX y configuraciones de Citrix Files para la seguridad del dispositivo controlan las mismas funciones. En esos casos, tienen prioridad las directivas de Endpoint Management, seguidas de las configuraciones de Citrix Files para la seguridad de los dispositivos. Ejemplos: Si inhabilita aplicaciones externas en Citrix Files, pero las habilita en Endpoint Management, las aplicaciones externas se inhabilitan en Citrix Files. Puede configurar las aplicaciones para que Endpoint Management no requiera PIN o código de acceso, pero la aplicación Citrix Files los requiere.

Zonas StorageZone estándar o restringidas

Preguntas que contestar:

  • ¿Necesita zonas StorageZone restringidas?

Decisión en cuanto a diseño:

  • Una zona StorageZone estándar está diseñada para almacenar datos no confidenciales, y permite a los empleados compartir datos con otras personas ajenas a la empresa. En esta opción se admiten flujos de trabajo que implican compartir datos fuera del dominio.
  • Una zona StorageZone restringida protege datos confidenciales: solo los usuarios de dominio autenticados pueden acceder a los datos almacenados en estas zonas.

Control de acceso

Las empresas ahora pueden administrar dispositivos móviles dentro y fuera de las redes. Las soluciones de administración de la movilidad empresarial (como Endpoint Management) son excelentes para proporcionar la seguridad de los dispositivos móviles y control sobre ellos, independientemente de dónde estén ubicados. Sin embargo, cuando esas soluciones se combinan con una solución de control de acceso a la red (NAC), puede agregar QoS y un control más preciso a los dispositivos internos de su red. Esa combinación permite extender la evaluación de la seguridad de los dispositivos Endpoint Management a través de la solución NAC. La solución NAC puede usar la evaluación de seguridad de Endpoint Management para facilitar y gestionar las decisiones de autenticación. Citrix ha validado la integración de NAC en Endpoint Management para Cisco Identity Services Engine (ISE) o ForeScout. Citrix no garantiza la integración de otras soluciones NAC.

Ventajas de integrar una solución NAC en Endpoint Management:

  • Una seguridad, conformidad y control mejores para todos los dispositivos de punto final en una red empresarial.
  • Una solución NAC puede:
    • Detectar dispositivos en el instante en que intentan conectarse a la red.
    • Enviar consultas a Endpoint Management sobre los atributos de los dispositivos.
    • Luego, usar esa información para determinar si permitir, bloquear, limitar o redirigir esos dispositivos. Esas decisiones dependen de las directivas de seguridad que elija aplicar.
  • Una solución NAC ofrece a los administradores de TI una visión que engloba dispositivos no administrados y no conformes.

Para obtener una descripción de los filtros de conformidad de NAC que admite Endpoint Management, consulte Controlar el acceso a la red.

Integrar Endpoint Management