Preparar la inscripción de dispositivos y la entrega de recursos

Importante:

Antes de continuar, debe completar todas las tareas descritas en Incorporarse como usuario y configurar recursos.

Endpoint Management admite varias opciones de inscripción. En este artículo se describe la configuración básica necesaria para permitir que se inscriban todos los dispositivos compatibles. En el diagrama siguiente se resume la configuración básica.

Diagrama del flujo de trabajo para preparar un entorno a la inscripción de dispositivos

Para ver una lista de los dispositivos compatibles, consulte Sistemas operativos compatibles.

Configurar un certificado APNs (Apple Push Notification Service) para los dispositivos iOS

Para inscribir y administrar dispositivos iOS, Endpoint Management requiere un certificado del servicio de notificaciones push de Apple (APNs) proveniente de Apple. Endpoint Management también necesita un certificado APNs para las notificaciones push de Secure Mail para iOS.

Configurar Firebase Cloud Messaging (FCM) para dispositivos Android

Utilice Firebase Cloud Messaging (FCM) para controlar cómo y cuándo los dispositivos Android se conectan al servicio Endpoint Management. Toda acción de seguridad o comando de implementación desencadena una notificación push. La notificación solicita a los usuarios que vuelvan a conectarse a Endpoint Management.

  • La configuración de FCM requiere que configure su cuenta de Google. Para crear credenciales de Google Play, consulte Gestionar la información de tu cuenta de desarrollador. También puede utilizar Google Play para agregar, comprar y aprobar aplicaciones para implementarlas en el espacio de trabajo de Android Enterprise del dispositivo. Se puede utilizar Google Play para implementar aplicaciones privadas de Android, aplicaciones públicas o de terceros.

  • Para configurar FCM, consulte Firebase Cloud Messaging.

Configurar el servicio de detección automática de Endpoint Management

Importante:

A partir del 31 de diciembre de 2018, la URL del servicio de detección automática discovery.mdm.zenprise.com se reemplazó por ads.xm.cloud.com. Para obtener más información, consulte este artículo de asistencia de Citrix: https://support.citrix.com/article/CTX202044.

La detección automática es una parte importante de las implementaciones de Endpoint Management. La detección automática simplifica el proceso de inscripción para los usuarios. Usuarios

  • Se pueden utilizar sus nombres de usuario de red y contraseñas de Active Directory para inscribir sus dispositivos.
  • No es necesario que se especifiquen datos de Endpoint Management.
  • Introduzca su nombre de usuario en formato de nombre principal de usuario (UPN). Por ejemplo, user@mycompany.com.

El servicio de detección automática de Endpoint Management permite crear o modificar un registro de detección automática sin ayuda del servicio de asistencia de Citrix Support.

Se recomienda la detección automática para entornos de alta seguridad. La detección automática admite la fijación de certificados, que impide ataques de intermediarios (ataques de tipo “Man in the middle”). La fijación de certificados garantiza que se utilice el certificado firmado por la empresa cuando los clientes de Citrix se comuniquen con Endpoint Management. Para obtener información sobre la fijación de certificados, consulte Fijar certificados.

Para acceder al servicio de detección automática de Endpoint Management, vaya a https://tools.xm.cloud.com (para uso comercial) o https://tools.cem.cloud.us (para uso gubernamental) y haga clic en la solicitud de detección automática.

AutoDiscovery Service

Solicitar la detección automática

  1. En la página del servicio de detección automática, reclame un dominio. Haga clic en Add Domain.

    Pantalla de la lista de ADS

  2. En el cuadro de diálogo que se abre, introduzca el nombre de dominio de su entorno de Endpoint Management y, a continuación, haga clic en Next.

    Campo de nombre de dominio

  3. En la pantalla siguiente se ofrecen instrucciones para verificar que usted posee el dominio.

    Pantalla para verificar el dominio

    • Copie el token de DNS suministrado en el portal de herramientas de Endpoint Management.

    • Para crear un registro TXT de DNS en el archivo de zona de su dominio en el portal de su proveedor de alojamiento de dominios:

      Inicie sesión en el portal del proveedor de alojamiento del dominio. Puede modificar sus registros de servidor de nombres de dominio (DNS) y agregar un registro TXT personalizado.

    • Pegue el token de dominio en el registro TXT de DNS y guarde el registro de servidor de nombres de dominio (DNS).

    • En el portal de herramientas de Endpoint Management, haga clic en Done, start DNS check para iniciar la comprobación de DNS.

    El sistema detecta el registro TXT de DNS. Si lo prefiere, puede hacer clic en I’ll update later para guardar el registro. La comprobación de DNS no se inicia hasta que seleccione el registro en espera (Waiting) y haga clic en DNS Check.

    Esta comprobación suele tardar aproximadamente una hora. Sin embargo, puede tardar hasta dos días en dar una respuesta. Es posible que el cambio de estado no se refleje en el portal de herramientas hasta que cierre la sesión y vuelva a iniciarla.

    Estado de espera en la pantalla de la lista de ADS

  4. Después de reclamar su dominio, puede introducir la información sobre el servicio de detección automática. Haga clic con el botón secundario en el registro del dominio para el cual quiere solicitar la detección automática y haga clic en Add ADS.

    Estado de reclamo en la pantalla de la lista de ADS

  5. Introduzca la información solicitada y haga clic en Next. Si no está seguro del nombre de la instancia, agregue la instancia predeterminada zdm.

  6. Introduzca la siguiente información de Secure Hub y haga clic en Next.

    Parámetros disponibles en la información sobre Secure Hub

    • User ID Type: Seleccione el tipo de ID con el que los usuarios inician sesiones: E-mail address o UPN.

      Para solicitar a los usuarios que introduzcan su nombre de usuario y su contraseña, elija E-mail address. Para solicitar a los usuarios que introduzcan su contraseña, elija UPN. Utilice UPN cuando el nombre principal del usuario coincida con la dirección de correo electrónico. Ambos métodos usan el dominio especificado para buscar la dirección del servidor.

    • HTTPS Port: Introduzca el puerto usado para acceder a Secure Hub por HTTPS. Por lo general, el puerto HTTPS es 443.

    • iOS Enrollment Port: Escriba el número de puerto que se utiliza para acceder a Secure Hub para la inscripción de iOS. Por lo general, este es el puerto 8443.

    • Required Trusted CA for Endpoint Management: Indique si se necesita un certificado de confianza para acceder a Endpoint Management. Esta opción puede estar activada o desactivada. Si quiere utilizar un certificado de confianza, contacte con la asistencia de Citrix para cargar el certificado. Para obtener más información sobre la fijación de certificados, consulte la sección sobre la fijación de certificados en Secure Hub. Para obtener más información acerca de los puertos necesarios para que funcione la fijación de certificados, consulte el artículo de asistencia Endpoint Management Port Requirements for ADS Connectivity.

  7. Verá una página de resumen que muestra toda la información que ha introducido en los pasos anteriores. Compruebe que la información es correcta y, a continuación, haga clic en Save.

    Página de resumen

A partir de ahora, puede inscribir todos los dispositivos compatibles. Continúe a la siguiente sección si quiere prepararse para la entrega de recursos a los dispositivos.

Directivas de dispositivo predeterminadas y aplicaciones móviles de productividad

Si lleva a cabo la incorporación desde Endpoint Management 19.5.0 o una versión posterior, se preconfiguran algunas directivas de dispositivos y aplicaciones móviles de productividad. Esta configuración le permite implementar inmediatamente la funcionalidad básica a los usuarios de dispositivos.

Para las plataformas Android, Android Enterprise, iOS, macOS y Windows Desktop/Tablet, el sitio contiene las siguientes directivas de dispositivo preconfiguradas:

  • Directiva de códigos de acceso: la directiva de código de acceso está activada, con todos los parámetros de código de acceso predeterminadas habilitadas.

  • Directivas de inventario de aplicaciones: la directiva de inventario de aplicaciones está activada.

  • Directivas de restricciones: la directiva de restricciones está activada, con todos los parámetros de restricciones predeterminadas habilitadas.

Estas directivas se encuentran en el grupo de entrega AllUsers, que contiene todos los usuarios locales y de Active Directory. Se recomienda utilizar el grupo de entrega AllUsers solo para las pruebas iniciales. A continuación, cree sus grupos de entrega e inhabilite el grupo de entrega AllUsers.

Todas las directivas de dispositivo de Endpoint Management están documentadas en Directivas de dispositivo. Este artículo incluye información sobre cómo utilizar la consola para modificar las directivas de dispositivos. Para obtener información sobre directivas de dispositivo comunes, consulte Directivas de dispositivo y comportamiento de caso de uso.

Para las plataformas iOS y Android, su sitio contiene las siguientes aplicaciones de productividad móvil preconfiguradas:

  • Secure Mail
  • Secure Web
  • Citrix Files

Estas aplicaciones se encuentran en el grupo de entrega AllUsers.

Para obtener más información, consulte Acerca de las aplicaciones móviles de productividad y Vista general de las directivas MDX para aplicaciones móviles de productividad.

Continuar la configuración de Endpoint Management

Después de completar la configuración básica para la inscripción de dispositivos, la forma en que configure Endpoint Management varía mucho según sus casos de uso. Por ejemplo:

  • ¿Cuáles son sus requisitos de seguridad y cómo quiere establecer el equilibrio entre esos requisitos y la experiencia de usuario?
  • ¿Qué plataformas de dispositivo admite?
  • ¿Los dispositivos son propiedad de los usuarios o de la empresa?
  • ¿Qué directivas de dispositivo quiere enviar a los dispositivos?
  • ¿Qué tipos de aplicaciones entrega a los usuarios?

En esta sección, se ofrece una guía sobre las diversas opciones de configuración, ya que se le remite a los artículos disponibles en este conjunto de la documentación que puedan ayudarlo.

A medida que complete la configuración en sitios de terceros, tome nota de la información y su ubicación, como referencia para cuando configure parámetros en la consola de Endpoint Management.

Seguridad y autenticación

En Endpoint Management, se usan certificados para crear conexiones seguras y para autenticar usuarios. Citrix proporciona certificados comodín para su instancia de Endpoint Management.

Lectura recomendada:

Para ver una descripción de los componentes de autenticación y las configuraciones recomendadas por nivel de seguridad, consulte el artículo Autenticación en “Conceptos avanzados”.

También puede consultar Seguridad y experiencia del usuario.

Para obtener una descripción general sobre los componentes de autenticación utilizados durante las operaciones de Endpoint Management, consulte Certificados y autenticación.

Puede elegir entre los siguientes tipos de autenticación. En la configuración de la autenticación, se incluyen tareas en las consolas de Endpoint Management y Citrix Gateway.

Para entregar certificados a los usuarios, configure:

Para ver otras opciones de autenticación, consulte los demás artículos de Certificados y autenticación.

Inscripción de dispositivos

Los modos de inscripción de dispositivos especifican los tipos de credenciales necesarios para que los usuarios inscriban sus dispositivos en Endpoint Management. Estos modos tienen varios niveles de seguridad y determinan los pasos necesarios para la inscripción de usuarios.

Se admite la inscripción de Azure Active Directory para dispositivos iOS, Android y Windows 10. Para obtener información sobre la configuración de Azure como proveedor de identidades (IdP), consulte Inicio de sesión único con Azure Active Directory.

Directivas de dispositivo y administración

Preparar aplicaciones para la implementación

Para obtener información sobre las aplicaciones compatibles con Endpoint Management, consulte Agregar aplicaciones.

Otras configuraciones

  • En Endpoint Management, la función del control de acceso por roles (RBAC) permite asignar roles predefinidos o conjuntos de permisos a usuarios y grupos. Con estos permisos, se puede controlar el nivel de acceso de los usuarios a las funciones del sistema. Para obtener información, consulte Configurar roles con RBAC.

  • En Endpoint Management, puede crear acciones automatizadas para estipular la acción que se dará ante determinados eventos, ante propiedades de dispositivo o de usuario, o bien ante la existencia de ciertas aplicaciones en los dispositivos de usuario. Para obtener información, consulte Acciones automatizadas.