Citrix Endpoint Management

Tableta y escritorio Windows

Endpoint Management inscribe los dispositivos Windows 10 en MDM. Endpoint Management admite los siguientes tipos de autenticación para dispositivos Windows inscritos en MDM.

  • Autenticación basada en dominios
    • Active Directory
    • Azure Active Directory
  • Proveedores de identidades:
    • Azure Active Directory
    • Proveedor de identidades Citrix

Para obtener más información acerca de los tipos de autenticación admitidos, consulte Certificados y autenticación.

Un flujo de trabajo general para iniciar la administración de dispositivos Windows 10 es el siguiente:

  1. Complete el proceso de incorporación. Consulte Incorporarse como usuario y configurar recursos y Preparar la inscripción de dispositivos y la entrega de recursos.

    Si tiene pensado inscribir dispositivos Windows utilizando el servicio de detección automática, primero debe configurar el servicio de detección automática de Citrix. Póngase en contacto con la asistencia técnica de Citrix para obtener ayuda. Para obtener más información, consulte Solicitar detección automática para dispositivos Windows.

  2. Elija y configure un método de inscripción. Consulte Métodos de inscripción admitidos.

  3. Configurar directivas de dispositivo para escritorios y tabletas Windows.

  4. Los usuarios inscriben dispositivos Windows 10.

  5. Configure las acciones de seguridad para los dispositivos y las aplicaciones. Consulte Acciones de seguridad.

Para obtener información sobre los sistemas operativos compatibles, consulte Sistemas operativos compatibles.

Métodos de inscripción admitidos

La manera de administrar los dispositivos Windows 10 se especifica en los perfiles de inscripción. Hay dos opciones disponibles:

  • Totalmente administrado (inscripción en MDM)
  • No administrar dispositivos (sin inscripción en MDM)

Para configurar los parámetros de inscripción de dispositivos Windows 10, vaya a Configurar > Perfiles de inscripción > Windows. Para obtener más información sobre los perfiles de inscripción, consulte Perfiles de inscripción.

Página Perfil de inscripción para Windows

En la siguiente tabla se indican los métodos de inscripción que Endpoint Management admite para dispositivos Windows 10:

Método Se admite
Inscripción a través de Azure Active Directory
Inscripción en la aplicación Citrix Workspace
Inscripción en el servicio de detección automática
Inscripción en bloque de Windows
Inscripción manual
Invitaciones de inscripción No

Nota:

  • En la inscripción manual, los usuarios deben introducir el nombre de dominio completo (FQDN) del servidor de Endpoint Management. No se recomienda el uso de la inscripción manual. En su lugar, utilice otros métodos a fin de simplificar el proceso de inscripción para los usuarios.
  • No puede enviar invitaciones de inscripción a los dispositivos Windows. Los usuarios de Windows se inscriben directamente a través de sus dispositivos.

Configurar directivas de dispositivo para escritorios y tabletas Windows

Use estas directivas para configurar cómo interactúa Endpoint Management con escritorios y tabletas Windows 10. En esta tabla se indican todas las directivas de dispositivo disponibles para escritorios y tabletas Windows.

     
Configuración de aplicaciones Inventario de aplicaciones Bloqueo de aplicaciones
Desinstalación de aplicaciones Protección de aplicaciones BitLocker
Control de actualización del SO Credenciales XML personalizado
Defender Device Guard Device Health Attestation (Atestación del estado de dispositivos)
Exchange Firewall Quiosco
Office Código de acceso Restricciones
Almacén Términos y condiciones VPN
Clip web Wi-Fi Agente Windows
Windows Hello para empresas Configuración del objeto de directiva de grupo Windows Windows Information Protection

Inscribir dispositivos Windows 10 a través de Azure Active Directory

Importante:

Antes de que los usuarios puedan inscribirse, debe configurar los parámetros de Azure Active Directory (AD) en Azure y, a continuación, configurar Endpoint Management. Para obtener información detallada, consulte Conectar Endpoint Management a Azure AD.

Los dispositivos Windows 10 pueden inscribirse con Azure como método federado de autenticación de AD. Este método de inscripción requiere una suscripción a Azure AD Premium. Para obtener más información, consulte https://docs.microsoft.com/en-us/azure/active-directory/devices/overview#license-requirements.

Puede unir dispositivos Windows 10 a Microsoft Azure AD utilizando cualquiera de los métodos siguientes:

Inscribirse en MDM al unirse a Azure AD después de configurar dispositivos

  1. En el menú Inicio de un dispositivo, vaya a Configuración > Cuentas > Obtener acceso a trabajo o escuela y haga clic en Conectar.

  2. En el cuadro de diálogo Configurar una cuenta profesional o educativa, en Acciones alternativas, haga clic en Unir este dispositivo a Azure Active Directory.

  3. Introduzca las credenciales de Azure AD y haga clic en Iniciar sesión.

  4. Acepte los términos y condiciones que requiere la organización.

    • Si los usuarios hacen clic en Rechazar, el dispositivo no se une a Azure AD ni se inscribe en Endpoint Management.
  5. Haga clic en Unirse para continuar con el proceso de inscripción.

  6. Haga clic en Hecho para completar el proceso de inscripción.

Inscribirse en MDM al registrarse en Azure AD

  1. En el menú Inicio de un dispositivo, vaya a Configuración > Cuentas > Obtener acceso a trabajo o escuela y haga clic en Conectar.

  2. En el cuadro de diálogo Configurar una cuenta profesional o educativa, introduzca las credenciales de Azure AD y haga clic en Iniciar sesión.

  3. Acepte los términos y condiciones que requiere la organización. El dispositivo se registra en Azure AD y se inscribe en Endpoint Management.

    • Si los usuarios hacen clic en Rechazar, el dispositivo se registra en Azure AD, pero no se inscribe en Endpoint Management. No hay ningún botón Información en la cuenta.
  4. Haga clic en Unirse para continuar con el proceso de inscripción.

  5. Haga clic en Hecho para completar el proceso de inscripción.

Inscribir dispositivos Windows 10 a través de la aplicación Citrix Workspace (Vista previa)

Endpoint Management admite la inscripción automática de dispositivos Windows 10 a través de la aplicación Citrix Workspace. De esta forma, los usuarios pueden inscribir dispositivos Windows 10 compatibles.

Requisitos previos:

  • Implementación basada en la nube
  • Aplicación Citrix Workspace 1911 o una versión posterior
  • Citrix Endpoint Management 20.1.0 o una versión posterior
  • Integración de Citrix Endpoint Management con Citrix Workspace

    Para obtener información sobre la integración de Endpoint Management con Citrix Workspace, consulte Integración en la experiencia de Citrix Workspace. Para obtener información sobre cómo habilitar la integración con Workspace para Endpoint Management en Citrix Cloud, consulte Endpoint Management en la documentación de Citrix Workspace.

Cuando los usuarios introducen sus credenciales para agregar un almacén en la aplicación Citrix Workspace, aparece el siguiente mensaje de inscripción:

Solicitud de inscripción en la aplicación Citrix Workspace para Windows

La solicitud de inscripción solamente aparece cuando se cumplen las condiciones siguientes:

  • El dispositivo no está inscrito en MDM.

  • El usuario es miembro del grupo de administradores locales en el dispositivo de punto final.

  • Hay un perfil de inscripción presente para dispositivos Windows 10.

Inscribir dispositivos Windows mediante el servicio de detección automática

Para configurar el servicio de detección automática para dispositivos Windows, solicite ayuda a la asistencia técnica de Citrix. Para obtener más información, consulte Solicitar detección automática para dispositivos Windows.

Nota:

Para que los dispositivos Windows se puedan inscribir, el certificado SSL de escucha debe ser un certificado público. La inscripción falla si se cargan certificados SSL autofirmados.

Los usuarios siguen estos pasos para completar la inscripción:

  1. En el menú Inicio de un dispositivo, vaya a Configuración > Cuentas > Obtener acceso a trabajo o escuela y haga clic en Inscribirse solo en la administración de dispositivos.

  2. En el cuadro de diálogo Configurar una cuenta profesional o educativa, introduzca una dirección de correo electrónico corporativa y haga clic en Siguiente.

    Para inscribirse como un usuario local, introduzca una dirección de correo electrónico que no exista y un nombre de dominio correcto (por ejemplo, foo\@mydomain.com). Ese paso permite a un usuario omitir una limitación conocida de Microsoft donde la administración de dispositivos integrada de Windows realiza la inscripción. En el cuadro de diálogo Conectando con un servicio, escriba el nombre de usuario y la contraseña asociados al usuario local. A continuación, el dispositivo detecta el servidor de Endpoint Management y se inicia el proceso de inscripción.

  3. Introduzca las credenciales y haga clic en Continuar.

  4. En el cuadro de diálogo Condiciones de uso, acepte que el dispositivo sea administrado y, a continuación, haga clic en Aceptar.

El proceso de inscribir dispositivos Windows unidos a un dominio a través del servicio de detección automática falla si la directiva de dominio inhabilita la inscripción MDM. Los usuarios pueden utilizar, en su lugar, cualquiera de los métodos siguientes:

  • Quitar los dispositivos del dominio, inscribir y volverlos a unir.
  • Introducir el nombre de dominio completo FQDN del servidor de Endpoint Management para continuar.

Inscripción en bloque de Windows

Con la inscripción en bloque de Windows, puede configurar varios dispositivos para que un servidor MDM los administre sin necesidad de restablecer la imagen inicial de los dispositivos. Puede usar un paquete de aprovisionamiento para la inscripción en bloque de escritorios y portátiles Windows 10. Para obtener más información, consulte Inscribir en bloque dispositivos Windows.

Acciones de seguridad

Los dispositivos Windows 10 admiten las siguientes acciones de seguridad. Para obtener una descripción de cada acción de seguridad, consulte Acciones de seguridad.

     
Localizar Bloquear Reiniciar
Revocar Borrado selectivo Borrar

Conectar Endpoint Management a Azure AD

Los dispositivos Windows 10 pueden inscribirse en Azure. Los usuarios creados en Azure AD pueden acceder a los dispositivos. Endpoint Management se implementa en Microsoft Azure como servicio MDM. La conexión de Endpoint Management a Azure AD permite a los usuarios inscribir automáticamente sus dispositivos en Endpoint Management cuando los inscriben en Azure AD.

Para conectar Endpoint Management a Azure AD, siga estos pasos:

  1. En el portal de Azure AD, vaya a Azure Active Directory > Movilidad (MDM y MAM) > Agregar aplicación y haga clic en Configuración de la aplicación MDM local.

  2. Proporcione un nombre para la aplicación y haga clic en Agregar.

  3. Seleccione la aplicación que creó, configure lo siguiente y, a continuación, haga clic en Guardar.

    • Ámbito de usuario de MDM. Seleccione Todo.
    • URL de condiciones de uso MDM. Introduzca en el formato https://<Endpoint Management Enrollment FQDN>:8443/zdm/wpe/tou.
    • URL de detección MDM. Introduzca en el formato https:// <Endpoint Management Enrollment FQDN>:8443/zdm/wpe.
  4. Haga clic en Configuración de la aplicación MDM local.

    • En el panel Propiedades, establezca el URI de id. de aplicación en el formato https:// < Endpoint Management Enrollment FQDN>:8443. Este URI de ID de aplicación es un ID único que no puede volver a usar en ninguna otra aplicación.
    • En el panel Permisos necesarios, seleccione Microsoft Graph y Windows Azure Active Directory.
    • En el panel Claves, cree la clave de autenticación. Haga clic en Guardar para ver el valor de la clave. El valor de la clave aparece solo una vez. Guarde la clave para su uso posterior. Necesitará la clave en el paso 7.
  5. En la consola de Endpoint Management, vaya a Parámetros > Proveedor de identidades (IdP). A continuación, haga clic en Agregar.

  6. En la página URL de detección, configure lo siguiente y haga clic en Siguiente.

    • Nombre de IdP. Escriba un nombre único para identificar la conexión del proveedor de identidades que va a crear.
    • Tipo de IdP. Seleccione Azure Active Directory.
    • ID de arrendatario. El ID del directorio en Azure. Lo verá cuando vaya a Azure Active Directory > Propiedades en Azure.
  7. En la página Información de Win 10 MDM, configure lo siguiente y haga clic en Siguiente.

    • URI de ID de la aplicación. El valor de URI de ID de aplicación que escribió en Azure.
    • ID de cliente. El ID de aplicación que aparece en el panel Propiedades de Azure.
    • Clave. El valor de clave que creó y guardó en el paso 4 anterior.
  8. En la página Uso de notificaciones IdP, configure lo siguiente y haga clic en Siguiente:

    • Tipo de identificador del usuario. Seleccione userPrincipalName.
    • Cadena de identificador del usuario. Escriba ${id_token}.upn.
  9. Haga clic en Guardar.

  10. Agregue un usuario de Azure AD como usuario local y asígnelo a un grupo de usuarios local.

  11. Cree una directiva de términos y condiciones y un grupo de entrega que incluya ese grupo de usuarios local.

Administración de dispositivos cuando se integra con Workspace Environment Management

No es posible implementar MDM únicamente con Workspace Environment Management (WEM). Si utiliza únicamente Endpoint Management, está limitado a administrar dispositivos Windows 10. Al integrar ambos, WEM puede acceder a funciones de MDM, y usted puede administrar un espectro más amplio de sistemas operativos Windows a través de Endpoint Management. Esa administración adopta la forma de configurar objetos de directivas de grupo de Windows. Actualmente, los administradores importan un archivo ADMX a Citrix Endpoint Management y lo envían a escritorios y tabletas Windows 10 para configurar aplicaciones específicas. Mediante la directiva de configuración de objetos de directiva de grupo de Windows, puede configurar los objetos de directiva de grupo e insertar cambios en el servicio WEM. A continuación, el agente de WEM aplica los objetos de directiva de grupo (GPO) a los dispositivos y sus aplicaciones.

La administración de MDM no es un requisito para la integración de WEM. Se pueden enviar configuraciones de GPO a cualquier dispositivo compatible con WEM, incluso si Endpoint Management no admite ese dispositivo de forma nativa.

Para obtener una lista de los dispositivos admitidos, consulte Requisitos del sistema operativos.

Los dispositivos que reciben la directiva de configuración de GPO de Windows se ejecutan en un nuevo modo de Endpoint Management denominado WEM. En la lista Administrar > Dispositivos de dispositivos inscritos, la columna Modo para dispositivos administrados por WEM muestra WEM.

Para obtener más información, consulte Directiva de configuración de GPO de Windows.

Clave de recuperación de BitLocker

El cifrado de discos mediante BitLocker es una útil función de seguridad. Sin embargo, desbloquear dispositivos puede ser complicado si el usuario pierde su clave de recuperación de BitLocker. Ahora, Endpoint Management puede guardar automáticamente y de forma segura las claves de recuperación de BitLocker de los usuarios. Los usuarios pueden encontrar su clave de recuperación de BitLocker en Self-Help Portal. Para habilitar y buscar la clave de recuperación de BitLocker:

  1. En la consola de Endpoint Management, vaya a Parámetros > Propiedades del servidor.
  2. Busque shp y habilite la función shp.console.enable. Asegúrese de que enable.new.shp permanece inhabilitado. Para obtener más información sobre cómo habilitar Self-Help Portal, consulte Configurar modos de inscripción.
  3. Vaya a Configurar > Directivas de dispositivo. Busque la directiva de BitLocker o cree una y habilite Recuperación de seguridad de BitLocker en Endpoint Management.

Al desbloquear su dispositivo, los usuarios finales pueden ver un mensaje en el que se les pide que introduzcan su clave. El mensaje muestra también el ID de clave de recuperación.

Mensaje de recuperación de BitLocker

Para encontrar su clave de recuperación de BitLocker, los usuarios se dirigen a Self-Help Portal.

  1. En los detalles de General, consulte Datos de recuperación de BitLocker.
    • ID de la clave de recuperación: El identificador de la clave de recuperación de BitLocker utilizada para cifrar el disco. Este ID debe coincidir con el ID de clave indicado en el mensaje anterior.
    • Clave de recuperación: La clave que el usuario debe introducir para desbloquear el disco. Introduzca esta tecla en la solicitud de desbloqueo. Clave de recuperación de BitLocker en Self-Help Portal

Para obtener más información sobre la directiva de BitLocker, consulte Directiva de BitLocker.