Integrar Endpoint Management
En este artículo se describen los elementos a tener en cuenta al planificar cómo se integra Endpoint Management en su red y sus soluciones existentes. Por ejemplo, si ya está utilizando Citrix Gateway para Citrix Virtual Apps and Desktops:
- ¿Quiere utilizar la instancia existente de Citrix Gateway o una nueva instancia dedicada?
- ¿Quiere integrar en Endpoint Management las aplicaciones HDX que se han publicado mediante StoreFront?
- ¿Va a usar Citrix Files con Endpoint Management?
- ¿Tiene una solución de control de acceso a la red que quiera integrar en Endpoint Management?
Citrix Gateway
Se necesita Citrix Gateway para Endpoint Management. Citrix Gateway proporciona una ruta de red micro VPN para acceder a todos los recursos de empresa. Asimismo, admite la autenticación de varios factores.
Puede usar instancias existentes de Citrix Gateway o configurar nuevas para Endpoint Management. En las secciones siguientes se indican las ventajas y las desventajas de utilizar las instancias de Citrix Gateway existentes o unas instancias nuevas dedicadas.
Citrix Gateway MPX compartido con una dirección IP virtual de Citrix Gateway creada para Endpoint Management
Ventajas:
- Utiliza una instancia común de Citrix Gateway para todas las conexiones remotas de Citrix: Citrix Virtual Apps, VPN completa y VPN sin cliente.
- Utiliza las configuraciones existentes de Citrix Gateway; por ejemplo, para la autenticación con certificados y para acceder a servicios como DNS, LDAP y NTP.
- Utiliza una única licencia de plataforma de Citrix Gateway.
Desventajas:
- Es más difícil planificar la escalabilidad cuando se enfrenta a dos casos de uso diferentes en el mismo Citrix Gateway.
- A veces necesita una versión concreta de Citrix Gateway para un caso de uso de Citrix Virtual Apps. Sin embargo, esa misma versión podría presentar problemas conocidos en Endpoint Management. O Endpoint Management podría presentar problemas conocidos para la versión de Citrix Gateway.
- Si ya existe un Citrix Gateway, no puede ejecutar el asistente de NetScaler para XenMobile por segunda vez para crear la configuración de Citrix Gateway para Endpoint Management.
- Excepto cuando se usan licencias Platinum de Citrix Gateway 11.1 o posterior, se agrupan las licencias de acceso de usuario instaladas en Citrix Gateway, necesarias para la conectividad VPN. Puesto que esas licencias están disponibles para todos los servidores virtuales de Citrix Gateway, unos servicios que no sean de Endpoint Management pueden potencialmente consumirlas.
Instancia VPX o MPX dedicada de Citrix Gateway
Ventajas:
Citrix recomienda usar una instancia dedicada de Citrix Gateway.
- Es más fácil planear la escalabilidad en ella. Además, así el tráfico de Endpoint Management se separa de una instancia de Citrix Gateway que podría ya tener restricciones de recursos.
- Evita los problemas que pueden surgir cuando Endpoint Management y Citrix Virtual Apps necesitan diferentes versiones de software de Citrix Gateway. Por lo general, es mejor utilizar la versión y la compilación más recientes de Citrix Gateway compatibles con Endpoint Management.
- Permite configurar Citrix Gateway para Endpoint Management gracias al asistente integrado de NetScaler para XenMobile.
- Separación virtual y física de servicios.
Desventajas:
- Requiere la instalación y la configuración de servicios adicionales en Citrix Gateway para admitir la configuración de Endpoint Management.
- Requiere otra licencia de plataforma de Citrix Gateway. Cada instancia de Citrix Gateway debe tener una licencia de Citrix Gateway.
Para obtener información sobre qué tener en cuenta a la hora de integrar Citrix Gateway y Citrix ADC para los modos de administración de Endpoint Management, consulte Integración en Citrix Gateway y Citrix ADC.
StoreFront
Si tiene un entorno de Citrix Virtual Apps and Desktops, puede usar StoreFront para integrar aplicaciones HDX en Endpoint Management. Cuando integra aplicaciones HDX en Endpoint Management:
- Las aplicaciones están disponibles para los usuarios que están inscritos en Endpoint Management.
- Las aplicaciones se muestran en el almacén de aplicaciones junto con otras aplicaciones móviles.
- Endpoint Management utiliza Citrix Receiver en StoreFront.
- Si la aplicación Citrix Workspace está instalada en un dispositivo, las aplicaciones HDX comienzan a usarla.
StoreFront presenta una limitación de un sitio de servicios por instancia de StoreFront. Supongamos que tiene varios almacenes y quiere separarlos de otro uso de producción. En ese caso, Citrix recomienda generalmente que se plantee un nuevo sitio de servicios y una nueva instancia de StoreFront para Endpoint Management.
Plantéese lo siguiente:
- ¿Hay algún requisito de autenticación diferente para StoreFront? El sitio de servicios de StoreFront requiere credenciales de Active Directory para el inicio de sesión. Los clientes que solo usan la autenticación basada en certificados no pueden enumerar las aplicaciones a través de Endpoint Management mediante el mismo Citrix Gateway.
- ¿Usar el mismo almacén o crear otro?
- ¿Usar el mismo servidor de StoreFront o no?
En las siguientes secciones se indican las ventajas y las desventajas de utilizar almacenes de StoreFront separados o combinados para Citrix Workspace y las aplicaciones móviles de productividad Citrix.
Integrar la instancia existente de StoreFront en Endpoint Management
Ventajas:
- Mismo almacén: No se requiere configuración adicional de StoreFront para Endpoint Management, suponiendo que utilice la misma dirección IP virtual de Citrix Gateway para el acceso HDX. Supongamos que elige usar el mismo almacén y quiere dirigir el acceso de Citrix Workspace a una nueva dirección IP virtual de Citrix Gateway. En ese caso, agregue la configuración apropiada de Citrix Gateway a StoreFront.
- Mismo servidor de StoreFront: Utiliza la instalación y la configuración del StoreFront existente.
Desventajas:
- Mismo almacén: Cualquier cambio en la configuración de StoreFront para admitir las cargas de trabajo de Citrix Virtual Apps and Desktops puede afectar negativamente a Endpoint Management.
- Mismo servidor de StoreFront: En entornos grandes, tenga en cuenta la carga adicional que provocará el uso de Citrix Receiver por parte de Endpoint Management para la enumeración y el inicio de las aplicaciones.
Usar una instancia nueva y dedicada de StoreFront para la integración en Endpoint Management
Ventajas:
- Nuevo almacén: Ningún cambio en la configuración del almacén de StoreFront para Endpoint Management afecta a las cargas de trabajo existentes de Citrix Virtual Apps and Desktops.
- Nuevo servidor de StoreFront: Los cambios en la configuración del servidor no afectan a los flujos de trabajo de Citrix Virtual Apps and Desktops. Además, la carga no derivada del uso de Citrix Receiver por parte de Endpoint Management para la enumeración y el inicio de aplicaciones no afecta a la escalabilidad.
Desventajas:
- Nuevo almacén: Configuración del almacén StoreFront.
- Nuevo servidor de StoreFront: Requiere una nueva instalación y configuración de StoreFront.
Para obtener más información, consulte Citrix Virtual Apps and Desktops a través de la tienda de aplicaciones.
Citrix Content Collaboration y Citrix Files
Citrix Content Collaboration permite intercambiar documentos de forma fácil y segura, enviar documentos grandes por correo electrónico y manejar de forma segura transferencias de documentos a terceros. La aplicación Citrix Files permite a los usuarios acceder y sincronizar todos sus datos desde cualquier dispositivo. Con Citrix Files, los usuarios pueden compartir datos de forma segura con personas tanto dentro como fuera de la organización.
La integración de Citrix Content Collaboration en Endpoint Management varía en función de si el sitio está habilitado para Workspace.
Si Endpoint Management está habilitado para Workspace
Cuando utilice Citrix Workspace y la aplicación Citrix Workspace junto con el servicio Citrix Content Collaboration, puede:
- Acceder a todos sus archivos desde la ficha Archivos de Citrix Workspace.
- Consulte las carpetas de favoritos, las carpetas personales y compartidas; y acceda a sus conectores de nube.
- Enviar archivos para comentarios y aprobación, ver la caja de archivos, administrar la papelera de reciclaje y modificar archivos.
- Para obtener información sobre las funciones de Citrix Collaboration que no se admiten en Workspace, consulte Implementación y Crear una cuenta de Content Collaboration (ShareFile) o vincularla a Citrix Cloud.
Si Endpoint Management no está habilitado para Workspace
Si Endpoint Management no está habilitado para Workspace, debe integrar Content Collaboration en Endpoint Management. Endpoint Management proporciona a Citrix Files lo siguiente:
- Autenticación Single Sign-On para los usuarios de las aplicaciones móviles de productividad.
- Aprovisionamiento de cuentas de usuario basado en Active Directory.
- Directivas integrales para controlar el acceso.
Los usuarios móviles pueden aprovechar el conjunto completo de funciones de la cuenta Enterprise.
De forma alternativa, puede configurar Endpoint Management para que se integre solamente en conectores de zonas de almacenamiento. A través de conectores de zonas de almacenamiento, Citrix Files proporciona acceso a:
- Documentos y carpetas
- Recursos compartidos de red
- En sitios de SharePoint: Colecciones de sitios y bibliotecas de documentos.
Los recursos compartidos conectados pueden incluir las mismas unidades “home” de red utilizadas en entornos de Citrix Virtual Apps and Desktops. Puede utilizar la consola de Endpoint Management para configurar la integración en cuentas Enterprise o conectores de zonas de almacenamiento. Para obtener más información, consulte Citrix Files para Endpoint Management.
En las siguientes secciones se indican las preguntas a contestar cuando se decide el diseño de Citrix Files.
Integrar en Citrix Files o solo en conectores de zonas de almacenamiento
Preguntas que debe hacer:
- ¿Necesita almacenar datos en las zonas de almacenamiento que administra Citrix?
- ¿Quiere ofrecer a los usuarios funciones de intercambio y sincronización de archivos?
- ¿Quiere que los usuarios puedan acceder a los archivos que se encuentran en el sitio web de Citrix Files? ¿O que puedan acceder al contenido de Office 365 y los conectores de nube personal desde dispositivos móviles?
Decisión de diseño:
- Si la respuesta a alguna de esas preguntas es «sí», integre en una cuenta Enterprise.
- Una integración en solo conectores de zonas de almacenamiento permite a los usuarios iOS un acceso móvil seguro a repositorios de almacenamiento locales existentes, como sitios de SharePoint y recursos compartidos de archivos de red. En esta configuración no se requiere configurar ningún subdominio de Citrix Files, aprovisionar usuarios a Citrix Files ni alojar datos de Citrix Files. El uso de conectores de zonas de almacenamiento con Endpoint Management cumple las restricciones de seguridad contra la filtración de datos del usuario fuera de la red corporativa.
Ubicación de los servidores de controladores de zonas de almacenamiento
Preguntas que debe hacer:
- ¿Necesita almacenamiento local o funciones como conectores de zonas de almacenamiento?
- Si usa las funciones locales de Citrix Files, ¿dónde se ubicarán los controladores de zonas de almacenamiento en la red?
Decisión de diseño:
- Determine si ubicar los servidores de los controladores de las zonas de almacenamiento en la nube de Citrix Files, en su sistema local de almacenamiento de arrendatarios individuales o en un almacenamiento en la nube de terceros compatible.
- Los controladores de zonas de almacenamiento requieren acceso a Internet para comunicarse con el plano de control de Citrix Files. Puede conectarse de varias formas, incluido el acceso directo o las configuraciones NAT/PAT.
Conectores de zonas de almacenamiento
Preguntas que debe hacer:
- ¿Cuáles son las rutas a recursos CIFS?
- ¿Cuáles son las URL de SharePoint?
Decisión de diseño:
- Determine si son necesarios unos controladores de zonas de almacenamiento locales para acceder a esas ubicaciones.
- Debido a la comunicación del controlador de zonas de almacenamiento con recursos internos (como repositorios de archivos, recursos CIFS y SharePoint), Citrix recomienda que esos controladores residan en la red interna, detrás de los firewalls DMZ y de Citrix Gateway.
Integrar SAML en Endpoint Management
Preguntas que debe hacer:
- ¿Se requiere la autenticación de Active Directory para Citrix Files?
- ¿Usar la aplicación Citrix Files por primera vez para Endpoint Management requiere SSO?
- ¿Hay un proveedor de identidades estándar en el entorno actual?
- ¿Cuántos dominios se requieren para usar SAML?
- ¿Hay varios alias de correo electrónico para los usuarios de Active Directory?
- ¿Hay alguna migración de dominio de Active Directory en curso o programada próximamente?
Decisión de diseño:
Puede elegir utilizar SAML como mecanismo de autenticación para Citrix Files. Las opciones de autenticación son:
-
Utilizar el servidor Endpoint Management como el proveedor de identidades (IdP) para SAML
Esta opción puede proporcionar una excelente experiencia de usuario, automatizar la creación de cuentas de Citrix Files y habilitar las funciones de Single Sign-On para las aplicaciones móviles.
El servidor Endpoint Management se ha mejorado para este proceso, ya que no requiere la sincronización con Active Directory.
Usar la herramienta Citrix Files User Management Tool para el aprovisionamiento de usuarios.
-
Usar un proveedor de terceros compatible en calidad de IdP para SAML
Si tiene un IdP existente compatible y no requiere capacidades SSO para aplicaciones móviles, esta puede ser la opción más adecuada. Esta opción también requiere la herramienta Citrix Files User Management Tool para el aprovisionamiento de cuentas.
Usar soluciones IdP de terceros, como ADFS, también puede proporcionar SSO en el lado del cliente Windows. Debe valorar los casos de uso antes de elegir su IdP SAML para Citrix Files.
-
O bien, para satisfacer los dos casos de uso, consulte Citrix Content Collaboration single sign-on configuration guide for dual identity providers.
Aplicaciones móviles
Preguntas que debe hacer:
- ¿Qué aplicación móvil de Citrix Files va a usar (pública, MDM, MDX)?
Decisión de diseño:
- Puede distribuir las aplicaciones móviles de productividad Citrix desde Apple App Store y la tienda de Google Play. Con esa distribución desde el tienda pública de aplicaciones, se obtienen aplicaciones empaquetadas desde la página Descargas de Citrix.
- Si sus requisitos de seguridad son bajos y no necesita utilizar contenedores, puede que la aplicación pública Citrix Files no sea la adecuada.
- Para obtener más información, consulte Aplicaciones y Citrix Files para Endpoint Management.
Seguridad, directivas y control de acceso
Preguntas que debe hacer:
- ¿Qué restricciones necesita para usuarios móviles, Web y de escritorio?
- ¿Qué configuración estándar quiere para controlar el acceso de los usuarios?
- ¿Qué directiva de retención de archivos va a usar?
Decisión de diseño:
- Citrix Files le permite administrar los permisos de los empleados. Para obtener más información, consulte Employee Permissions.
- Determinadas directivas MDX y configuraciones de Citrix Files para la seguridad del dispositivo controlan las mismas funciones. En esos casos, tienen prioridad las directivas de Endpoint Management, seguidas de las configuraciones de Citrix Files para la seguridad de los dispositivos. Ejemplos: Si inhabilita aplicaciones externas en Citrix Files, pero las habilita en Endpoint Management, las aplicaciones externas se inhabilitan en Citrix Files. Puede configurar las aplicaciones para que Endpoint Management no requiera PIN o código de acceso, pero la aplicación Citrix Files los requiere.
Zonas de almacenamiento estándar o restringidas
Preguntas que debe hacer:
- ¿Necesita zonas de almacenamiento restringidas?
Decisión de diseño:
- Una zona de almacenamiento estándar está diseñada para almacenar datos no confidenciales, y permite a los empleados compartir datos con otras personas ajenas a la empresa. En esta opción se admiten flujos de trabajo que implican compartir datos fuera del dominio.
- Una zona de almacenamiento restringida protege datos confidenciales, por lo que solo los usuarios de dominio autenticados pueden acceder a los datos almacenados en estas zonas.
Control de acceso
Las empresas pueden administrar dispositivos móviles dentro y fuera de las redes. Las soluciones de administración de la movilidad empresarial (como Endpoint Management) son excelentes para proporcionar la seguridad de los dispositivos móviles y control sobre ellos, independientemente de dónde estén ubicados. Sin embargo, cuando esas soluciones se combinan con una solución de control de acceso a la red (NAC), puede agregar QoS y un control más preciso a los dispositivos internos de su red. Esa combinación permite extender la evaluación de la seguridad de los dispositivos Endpoint Management a través de la solución NAC. La solución NAC puede usar la evaluación de seguridad de Endpoint Management para facilitar y gestionar las decisiones de autenticación.
Puede utilizar cualquiera de estas soluciones para aplicar directivas de NAC:
- Citrix Gateway
- ForeScout
Citrix no garantiza la integración de otras soluciones NAC.
Ventajas de integrar una solución NAC en Endpoint Management:
- Una seguridad, conformidad y control mejores para todos los dispositivos de punto final en una red empresarial.
- Una solución NAC puede:
- Detectar dispositivos en el instante en que intentan conectarse a la red.
- Enviar consultas a Endpoint Management sobre los atributos de los dispositivos.
- Luego, usar esa información para determinar si permitir, bloquear, limitar o redirigir esos dispositivos. Esas decisiones dependen de las directivas de seguridad que elija aplicar.
- Una solución NAC ofrece a los administradores de TI una visión que engloba dispositivos no administrados y no conformes.
Para obtener una descripción de los filtros de conformidad de NAC que admite Endpoint Management y una introducción a la configuración, consulte Control de acceso de red.