Preparar la inscripción de dispositivos y la entrega de recursos
Importante:
Antes de continuar, debe completar todas las tareas descritas en Incorporarse como usuario y configurar recursos.
Mantenga a sus usuarios informados sobre los próximos cambios. Consulte Welcome to your Citrix Endpoint Management User Adoption Kit.
Endpoint Management admite varias opciones de inscripción. En este artículo se describe la configuración básica necesaria para permitir que se inscriban todos los dispositivos compatibles. En el diagrama siguiente se resume la configuración básica.
Para obtener una lista de dispositivos compatibles, consulte Sistemas operativos compatibles.
Configurar un certificado APNs (Apple Push Notification Service) para los dispositivos iOS
Importante:
Apple dejará de ofrecer soporte para el protocolo binario heredado de APNs a partir del 31 de marzo de 2021. Apple recomienda que se utilice en su lugar la API del proveedor de APNs basada en HTTP/2. A partir de la versión 20.1.0, Citrix Endpoint Management admite la API basada en HTTP/2. Para obtener más información, consulte la actualización de noticias “Apple Push Notification Service Update” en https://developer.apple.com/. Para obtener ayuda sobre cómo comprobar la conectividad con APNs, consulte Comprobaciones de conectividad.
Para inscribir y administrar dispositivos iOS, Endpoint Management requiere un certificado del servicio de notificaciones push de Apple (APNs) proveniente de Apple. Endpoint Management también necesita un certificado APNs para las notificaciones push de Secure Mail para iOS.
-
Para obtener un certificado de Apple, se requiere un ID de Apple y una cuenta de desarrollador. Para obtener más información, consulte el sitio web Apple Developer Program.
-
Para obtener un certificado APNs e importarlo en Endpoint Management, consulte Certificados APNs.
-
Para obtener más información acerca de Endpoint Management y APNs, consulte Notificaciones push en Secure Mail para iOS.
Configurar Firebase Cloud Messaging (FCM) para dispositivos Android
Firebase Cloud Messaging (FCM) controla cómo y cuándo los dispositivos Android se conectan al servicio Endpoint Management. Toda acción de seguridad o comando de implementación desencadena una notificación push. La notificación solicita a los usuarios que vuelvan a conectarse a Endpoint Management.
-
La configuración de FCM requiere que configure su cuenta de Google. Para crear credenciales de Google Play, consulte Gestionar la información de tu cuenta de desarrollador. También puede utilizar Google Play para agregar, comprar y aprobar aplicaciones para implementarlas en el espacio de trabajo de Android Enterprise del dispositivo. Se puede utilizar Google Play para implementar aplicaciones privadas de Android, aplicaciones públicas o de terceros.
-
Para configurar FCM, consulte Firebase Cloud Messaging.
Configurar el servicio de detección automática de Endpoint Management
Importante:
A partir del 1 de junio de 2020, Citrix cambiará
discovery.mdm.zenprise.com
porads.xm.cloud.com
para dispositivos iOS y Android. Para dispositivos Windows Phone, también cambiaautodisc.zc.zenprise.com
porautodisc.xm.cloud.com
. Cuando se producen esos cambios, debe actualizar los registros CNAME relacionados.
La detección es una parte importante de las implementaciones de Endpoint Management. El servicio de detección automática simplifica el proceso de inscripción para los usuarios. Usuarios:
- Se pueden utilizar sus nombres de usuario de red y contraseñas de Active Directory para inscribir sus dispositivos.
- Puede conectarse sin escribir datos sobre Endpoint Management.
- Introduzca su nombre de usuario en formato de nombre principal de usuario (UPN). Por ejemplo,
user@mycompany.com
.
El servicio de detección automática de Endpoint Management permite crear o modificar un registro de detección automática sin ayuda del servicio de asistencia de Citrix Support.
Se recomienda la detección automática para entornos de alta seguridad. La detección automática admite la fijación de certificados, que impide ataques de intermediarios (ataques de tipo “Man in the middle”). La fijación de certificados garantiza que se utilice el certificado firmado por la empresa cuando los clientes de Citrix se comuniquen con Endpoint Management. Para obtener información sobre la fijación de certificados, consulte Fijar certificados.
Para acceder al servicio de detección automática de Endpoint Management, vaya a https://tools.xm.cloud.com (comercial) o a https://tools.cem.cloud.us (gobierno) y haga clic en la solicitud de detección automática.
Solicitar la detección automática
-
En la página del servicio de detección automática, reclame un dominio. Haga clic en Add Domain.
-
En el cuadro de diálogo que se abre, introduzca el nombre de dominio de su entorno de Endpoint Management y, a continuación, haga clic en Next.
-
En la pantalla siguiente se ofrecen instrucciones para verificar que usted posee el dominio.
-
Copie el token de DNS suministrado en el portal de herramientas de Endpoint Management.
-
Para crear un registro TXT de DNS en el archivo de zona de su dominio en el portal de su proveedor de alojamiento de dominios:
Inicie sesión en el portal del proveedor de alojamiento del dominio. Puede modificar sus registros de servidor de nombres de dominio (DNS) y agregar un registro TXT personalizado.
-
Pegue el token de dominio en el registro TXT de DNS y guarde el registro de servidor de nombres de dominio (DNS).
-
En el portal de herramientas de Endpoint Management, haga clic en Done, start DNS check para iniciar la comprobación de DNS.
El sistema detecta el registro TXT de DNS. Si lo prefiere, puede hacer clic en I’ll update later para guardar el registro. La comprobación de DNS no se inicia hasta que seleccione el registro en espera (Waiting) y haga clic en DNS Check.
Esta comprobación suele tardar aproximadamente una hora. Sin embargo, puede tardar hasta dos días en dar una respuesta. Es posible que el cambio de estado no se refleje en el portal de herramientas hasta que cierre la sesión y vuelva a iniciarla.
-
-
Después de reclamar su dominio, puede introducir la información sobre el servicio de detección automática. Haga clic con el botón secundario en el registro del dominio para el cual quiere solicitar la detección automática y haga clic en Add ADS.
-
Introduzca la información solicitada y haga clic en Next. Si no está seguro del nombre de la instancia, agregue la instancia predeterminada de
zdm
. -
Introduzca la siguiente información de Secure Hub y haga clic en Next.
-
User ID Type: Seleccione el tipo de ID con el que los usuarios inician sesiones: E-mail address o UPN.
Para solicitar a los usuarios que introduzcan su nombre de usuario y su contraseña, elija E-mail address. Para solicitar a los usuarios que introduzcan su contraseña, elija UPN. Utilice UPN cuando el nombre principal del usuario coincida con la dirección de correo electrónico. Ambos métodos usan el dominio especificado para buscar la dirección del servidor.
-
HTTPS Port: Introduzca el puerto usado para acceder a Secure Hub por HTTPS. Por lo general, el puerto HTTPS es 443.
-
iOS Enrollment Port: Escriba el número de puerto que se utiliza para acceder a Secure Hub para la inscripción de iOS. Por lo general, este es el puerto 8443.
-
Required Trusted CA for Endpoint Management: Indique si se necesita un certificado de confianza para acceder a Endpoint Management. Esta opción puede estar desactivada o activada. Si quiere utilizar un certificado de confianza, contacte con la asistencia de Citrix para cargar el certificado. Para obtener más información sobre la fijación de certificados, consulte la sección sobre la fijación de certificados en Secure Hub. Para obtener más información acerca de los puertos necesarios para que funcione la fijación de certificados, consulte el artículo de asistencia Endpoint Management Port Requirements for ADS Connectivity.
-
-
Verá una página de resumen que muestra toda la información que ha introducido en los pasos anteriores. Compruebe que la información es correcta y, a continuación, haga clic en Save.
Solicitar detección automática para dispositivos Windows
Para inscribir dispositivos Windows, lleve a cabo lo siguiente:
-
Póngase en contacto con Citrix Support y cree una solicitud de asistencia para habilitar la detección automática de Windows.
-
Obtenga un certificado SSL sin comodín firmado públicamente para
enterpriseenrollment.mycompany.com
. La partemycompany.com
es el dominio que contiene las cuentas que los usuarios utilizan para inscribirse. Adjunte el certificado SSL en formato .pfx y su contraseña a la solicitud de asistencia creada en el paso anterior.Para utilizar más de un dominio para inscribir dispositivos Windows, también puede utilizar un multidominio con la siguiente estructura:
- Un nombre SubjectDN con un nombre CN que especifica el dominio principal al que está relacionado (por ejemplo, enterpriseenrollment.mycompany1.com).
- Las redes de área de almacenamiento apropiadas para el resto de los dominios (por ejemplo, enterpriseenrollment.mycompany2.com, enterpriseenrollment.mycompany3.com, entre otros).
-
Cree un registro de nombre canónico (CNAME) en el servidor DNS y asigne la dirección del certificado SSL (enterpriseenrollment.mycompany.com) a autodisc.xm.cloud.com.
Cuando un usuario de un dispositivo Windows se inscribe con un UPN, el servidor de inscripción de Citrix:
- Proporciona los detalles del servidor de Endpoint Management.
- Indica al dispositivo que solicite un certificado válido de Endpoint Management.
A partir de ahora, puede inscribir todos los dispositivos compatibles. Continúe a la siguiente sección si quiere prepararse para la entrega de recursos a los dispositivos.
Directivas de dispositivo predeterminadas y aplicaciones móviles de productividad
Si lleva a cabo la incorporación desde Endpoint Management 19.5.0 o una versión posterior, se preconfiguran algunas directivas de dispositivos y aplicaciones móviles de productividad. Esta configuración permite:
- Implementar inmediatamente la funcionalidad básica en los dispositivos
- Comenzar con las configuraciones básicas recomendadas para un espacio de trabajo seguro
Para las plataformas Android, Android Enterprise, iOS, macOS y Windows Desktop/Tablet, el sitio contiene las siguientes directivas de dispositivo preconfiguradas:
-
Directiva de códigos de acceso: La directiva de código de acceso está activada, con todos los parámetros predeterminados de código de acceso habilitados.
-
Directivas de inventario de aplicaciones: La directiva de inventario de aplicaciones está activada.
-
Directivas de restricciones: La directiva de restricciones está activada, con todos los parámetros predeterminados de restricciones habilitados.
Estas directivas se encuentran en el grupo de entrega AllUsers, que contiene todos los usuarios locales y de Active Directory. Se recomienda utilizar el grupo de entrega AllUsers solo para las pruebas iniciales. A continuación, cree sus grupos de entrega e inhabilite el grupo de entrega AllUsers. Puede reutilizar las aplicaciones y directivas de dispositivos preconfiguradas en los grupos de entrega.
Todas las directivas de dispositivo de Endpoint Management están documentadas en Directivas de dispositivo. Este artículo incluye información sobre cómo utilizar la consola para modificar las directivas de dispositivos. Para obtener información sobre directivas de dispositivo comunes, consulte Directivas de dispositivo y comportamiento de caso de uso.
Para las plataformas iOS y Android, su sitio contiene las siguientes aplicaciones de productividad móvil preconfiguradas:
- Secure Mail
- Secure Web
- Citrix Files
Estas aplicaciones se encuentran en el grupo de entrega AllUsers.
Para obtener más información, consulte Acerca de las aplicaciones móviles de productividad.
Continuar la configuración de Endpoint Management
Después de completar la configuración básica para la inscripción de dispositivos, la forma en que configure Endpoint Management varía mucho según sus casos de uso. Por ejemplo:
- ¿Cuáles son sus requisitos de seguridad y cómo quiere establecer el equilibrio entre esos requisitos y la experiencia de usuario?
- ¿Qué plataformas de dispositivo admite?
- ¿Los dispositivos son propiedad de los usuarios o de la empresa?
- ¿Qué directivas de dispositivo quiere enviar a los dispositivos?
- ¿Qué tipos de aplicaciones entrega a los usuarios?
En esta sección, se ofrece una guía sobre las diversas opciones de configuración, ya que se le remite a los artículos disponibles en este conjunto de la documentación que puedan ayudarlo.
A medida que complete la configuración en sitios de terceros, tome nota de la información y su ubicación, como referencia para cuando configure parámetros en la consola de Endpoint Management.
Seguridad y autenticación
En Endpoint Management, se usan certificados para crear conexiones seguras y para autenticar usuarios. Citrix proporciona certificados comodín para su instancia de Endpoint Management.
Lectura recomendada:
Para ver una descripción de los componentes de autenticación y las configuraciones recomendadas por nivel de seguridad, consulte el artículo Autenticación en “Conceptos avanzados”.
Consulte también Seguridad y experiencia del usuario.
Para obtener una descripción general sobre los componentes de autenticación utilizados durante las operaciones de Endpoint Management, consulte Certificados y autenticación.
Puede elegir entre los siguientes tipos de autenticación. En la configuración de la autenticación, se incluyen tareas en las consolas de Endpoint Management y Citrix Gateway.
- Autenticación con dominio o dominio y token de seguridad
- Autenticación con certificado de cliente o certificado y dominio
Para entregar certificados a los usuarios, configure:
Para ver otras opciones de autenticación, consulte los demás artículos de Certificados y autenticación.
Inscripción de dispositivos
Los modos de inscripción de dispositivos especifican los tipos de credenciales necesarios para que los usuarios inscriban sus dispositivos en Endpoint Management. Estos modos tienen varios niveles de seguridad y determinan los pasos necesarios para la inscripción de usuarios.
- Para obtener información sobre los modos de inscripción que ofrece Endpoint Management, consulte Configurar modos de inscripción.
Se admite la inscripción de Azure Active Directory para dispositivos iOS, Android y Windows 10. Para obtener información sobre la configuración de Azure como proveedor de identidades (IdP), consulte Autenticar con Azure Active Directory a través de Citrix Cloud.
-
Otras opciones de inscripción:
- Implementar dispositivos mediante el Programa de implementación de Apple
- Inscribir en bloque dispositivos Apple
- Crear una cuenta de administrador de Android Enterprise. Para obtener información detallada, consulte Android Enterprise. También puede consultar Android Enterprise antiguo para clientes de G Suite.
- Inscribir en bloque dispositivos Samsung Knox
- Inscribir en bloque dispositivos Windows
- Configure G Suite para la inscripción de dispositivos con Chrome OS desde la cuenta de G Suite. Para obtener información detallada, consulte Chrome OS.
- Administrar dispositivos Workspace Hub
-
Puede enviar notificaciones para la inscripción. Para obtener información, consulte Notificaciones. También puede utilizar notificaciones para acciones automatizadas y mensajes estándar enviados a los usuarios.
-
Para obtener más información sobre la inscripción, consulte Administración de dispositivos y los artículos de ese nodo.
Directivas de dispositivo y administración
-
Directivas de dispositivo (MDM)
Todas las directivas de dispositivo de Endpoint Management están documentadas en Directivas de dispositivo. Para obtener información sobre directivas de dispositivo comunes, consulte Directivas de dispositivo y comportamiento de caso de uso.
Puede filtrar listas de directivas de dispositivo en la consola de Endpoint Management. Por ejemplo, puede filtrar por plataforma para ver una lista de las directivas más utilizadas para esa plataforma. Consulte Directivas de dispositivo.
-
Propiedades de cliente
En las propiedades de cliente, se ofrece información que se proporciona directamente a Secure Hub en los dispositivos de los usuarios. Consulte Propiedades de cliente y Propiedades de cliente de Endpoint Management.
-
Grupos de entrega
Para ver un ejemplo de caso de uso relacionado con grupos de entrega, consulte Comunidades de usuarios y Para agregar un grupo de entrega.
Preparar aplicaciones para la implementación
Para obtener información sobre las aplicaciones compatibles con Endpoint Management, consulte Agregar aplicaciones.
-
Puede administrar las licencias de las aplicaciones iOS mediante las compras por volumen de Apple. Para obtener información, consulte Compras por volumen de Apple.
Asimismo, puede utilizar Endpoint Management para implementar libros de iBooks que obtiene a través de las compras por volumen de Apple. Para obtener información, consulte Agregar contenido multimedia.
-
Puede conectar Citrix Endpoint Management a la Tienda Microsoft para Empresas. Para obtener información, consulte Implementar aplicaciones de la Tienda Microsoft para Empresas desde Endpoint Management.
-
Citrix ofrece aplicaciones móviles de productividad, incluidos Secure Mail y Secure Web. Para obtener información, consulte Acerca de las aplicaciones móviles de productividad.
Como alternativa a Secure Mail, puede enviar clientes nativos de correo a los dispositivos. Consulte:
-
Citrix Secure Mail, Citrix Secure Web y Citrix Files ofrecen la opción de abrir el contenedor MDX para permitir la opción de abrir el contenedor MDX. Esta opción permite a los usuarios transferir documentos y datos a aplicaciones de Microsoft Office 365. En plataformas iOS y Android, esta capacidad se gestiona mediante las directivas de apertura en la consola de Endpoint Management. Consulte Permitir la interacción segura con aplicaciones Office 365 y Directiva de Office.
-
Para obtener información general sobre las directivas de aplicación, consulte Directivas de aplicación y casos de uso.
-
MDX Service y MDX Toolkit son tecnologías de empaquetado de aplicaciones que preparan las aplicaciones de empresa para una implementación segura con Endpoint Management. El SDK de MAM reemplaza a MDX Service y MDX Toolkit, cuya retirada está programada para septiembre de 2021.
Para obtener información sobre el SDK de MAM, consulte Introducción al SDK de MAM.
-
Para obtener más información acerca de las aplicaciones, consulte los demás artículos de Agregar aplicaciones.
Otras configuraciones
-
En Endpoint Management, la función del control de acceso por roles (RBAC) permite asignar roles predefinidos o conjuntos de permisos a usuarios y grupos. Con estos permisos, se puede controlar el nivel de acceso de los usuarios a las funciones del sistema. Para obtener información, consulte Configurar roles con RBAC.
-
En Endpoint Management, puede crear acciones automatizadas para estipular la acción que se dará ante determinados eventos, ante propiedades de dispositivo o de usuario, o bien ante la existencia de ciertas aplicaciones en los dispositivos de usuario. Para obtener información, consulte Acciones automatizadas.
En este artículo
- Configurar un certificado APNs (Apple Push Notification Service) para los dispositivos iOS
- Configurar Firebase Cloud Messaging (FCM) para dispositivos Android
- Configurar el servicio de detección automática de Endpoint Management
- Directivas de dispositivo predeterminadas y aplicaciones móviles de productividad
- Continuar la configuración de Endpoint Management