Requisitos del sistema

Mientras espera a que Citrix aprovisione Endpoint Management, puede prepararse para la implementación de Endpoint Management instalando Cloud Connector. Aunque Citrix aloja y entrega su solución de Endpoint Management, se requiere que configure determinados puertos y vías de comunicación. Esa configuración conecta la infraestructura de Endpoint Management a los servicios de empresa, tales como Active Directory.

Requisitos de Cloud Connector

Citrix usa Cloud Connector para integrar la arquitectura de Endpoint Management en la infraestructura que usted tenga. Cloud Connector integra de forma segura las siguientes ubicaciones de recursos en Endpoint Management a través del puerto 443: LDAP, servidor PKI, consultas DNS internas y enumeración de Citrix Workspace.

  • Al menos dos máquinas Windows Server 2012 R2 o Windows Server 2016 dedicadas que estén unidas a su dominio de Active Directory. Pueden ser máquinas físicas o virtuales. Para una instalación y un funcionamiento óptimos, la máquina donde se va a instalar Cloud Connector debe estar sincronizada con la hora UTC. Para obtener una lista completa de los requisitos más recientes, consulte el material de implementación que le facilite su equipo de cuentas de Citrix.

    El asistente de incorporación le guiará a través de la instalación de Cloud Connector en esas máquinas.

  • Para ver más requisitos del sistema para la plataforma, consulte Citrix Cloud Connector.

Requisitos de Citrix Gateway

En estos casos, Endpoint Management requiere un Citrix Gateway instalado en su ubicación de recursos:

  • Necesita una micro VPN para que las aplicaciones de línea de negocio puedan acceder a los recursos de la red interna. Esas aplicaciones están empaquetadas con la tecnología MDX de Citrix. La micro VPN necesita Citrix Gateway para conectarse a las infraestructuras back-end internas.
  • Quiere usar aplicaciones de productividad móvil de Citrix, como Citrix Secure Mail.
  • Quiere integrar Endpoint Management con Microsoft Intune/EMS.

Los requisitos:

  • Autenticación de dominio (LDAP)
  • NetScaler 10.5 compilación 66.9 o posterior, con una licencia de plataforma o universal.

    Para obtener información, consulte el artículo How to License a NetScaler Gateway Appliance de Citrix Support.

  • Certificado SSL público

Para obtener información, consulte el artículo How to Add an SSL Certificate Bundle on the NetScaler Appliance de Citrix Support.

  • Dirección IP pública no utilizada para el servidor virtual Citrix Gateway
  • Nombre de dominio completo (FQDN) que pueda resolverse públicamente para el servidor virtual Citrix Gateway
  • Certificados raíz e intermedios de Endpoint Management alojado en Cloud (suministrados en el paquete de script)
  • Dirección IP privada no utilizada para asignarla como IP del equilibrador de carga del proxy
  • Para conocer los requisitos de puertos, consulte “Requisitos de puertos para Citrix Gateway” más adelante en este artículo.
  • Integrar Endpoint Management con Microsoft Intune/EMS
  • Implementar Citrix NetScaler VPX en Microsoft Azure

Para obtener información acerca de los requisitos de NetScaler, consulte el material de implementación que le facilite su equipo de cuentas de Citrix.

Para obtener información sobre los requisitos de Android Enterprise, consulte la sección Android Enterprise.

Requisitos de Citrix Files

Los servicios de intercambio y sincronización de archivos que ofrece Citrix Files están disponibles en la oferta Premium de Endpoint Management Service. StorageZones Controller amplía el almacenamiento en nube SaaS de Citrix Files porque ofrece almacenamiento de datos privado a la cuenta de Citrix Files.

Requisitos de StorageZones Controller:

  • Una máquina física o virtual dedicada
  • Windows Server 2012 R2 o Windows Server 2016
  • 2 CPU virtuales
  • 4 GB de RAM
  • 50 GB de espacio en disco
  • Roles del servidor para el servidor web (IIS):

    • Desarrollo de aplicaciones: ASP. NET 4.5.2
    • Seguridad: Autenticación básica
    • Seguridad: Autenticación de Windows

Requisitos de plataforma para Citrix Files:

  • El instalador de Citrix Files requiere privilegios de administrador en el servidor Windows
  • Nombre de usuario del administrador de Citrix Files

Requisitos de puertos

Para que dispositivos y aplicaciones puedan comunicarse con Endpoint Management, debe abrir puertos específicos en los firewalls. El siguiente diagrama muestra el flujo del tráfico de Endpoint Management.

Diagrama del flujo de tráfico de Endpoint Management

En los siguientes apartados se ofrece una lista de los puertos que se deben abrir.

Requisitos de puertos de Citrix Gateway

Abra puertos para permitir las conexiones de usuario desde Citrix Secure Hub y Citrix Workspace a través de Citrix Gateway a:

  • Endpoint Management
  • StoreFront
  • Otros recursos de red interna, como los sitios web de intranet

Para obtener información sobre Citrix Gateway, consulte Configuration Settings for your Endpoint Management Environment en la documentación de Citrix Gateway. Para obtener información acerca de las direcciones IP que pertenecen a NetScaler, consulte How a NetScaler appliance communicates with clients and servers en la documentación de NetScaler. Esa sección contiene información sobre las direcciones IP de NetScaler (NSIP), las direcciones IP virtuales (VIP) y las direcciones IP de subred (SNIP).

Puerto TCP Descripción Origen Destino
53 (TCP y UDP) Se utiliza para las conexiones DNS. Dirección IP de subred de Citrix Gateway Servidor DNS
80/443 Citrix Gateway transfiere la conexión micro VPN al recurso de la red interna a través del segundo firewall. Dirección IP de subred de Citrix Gateway Sitios web de la intranet
123 (TCP y UDP) Se usa para los servicios del protocolo de tiempo de red (NTP). Dirección IP de subred de Citrix Gateway Servidor NTP
389 Se usa para conexiones de protocolo LDAP no seguras. IP de Citrix Gateway (o, si usa un equilibrador de carga, SNIP) Servidor de autenticación LDAP o Microsoft Active Directory
443 Se usa para conexiones a StoreFront desde Citrix Workspace a Citrix Virtual Apps and Desktops. Internet Citrix Gateway
443 Se utiliza para las conexiones a Endpoint Management con el objetivo de entregar aplicaciones web, aplicaciones para móvil y aplicaciones SaaS. Internet Citrix Gateway
443 Se utiliza para la comunicación de Cloud Connector: enumeración de LDAP, DNS, PKI y Citrix Workspace Servidores de Cloud Connectors https://*.citrixworkspacesapi.net, https://*.cloud.com, https://*.blob.core.windows.net/, https://*.servicebus.windows.net
636 Se usa para conexiones seguras de protocolo LDAP. IP de Citrix Gateway (o, si usa un equilibrador de carga, SNIP) Servidor de autenticación LDAP o Active Directory
1494 Se usa para las conexiones ICA a aplicaciones Windows en la red interna. Citrix recomienda mantener este puerto abierto. Dirección IP de subred de Citrix Gateway Citrix Virtual Apps and Desktops
1812 Se utiliza para las conexiones RADIUS. IP de Citrix Gateway Servidor de autenticación RADIUS
2598 Se utiliza para las conexiones a aplicaciones Windows en la red interna mediante la función de fiabilidad de la sesión. Citrix recomienda mantener este puerto abierto. Dirección IP de subred de Citrix Gateway Citrix Virtual Apps and Desktops
3269 Se usa para conexiones seguras LDAP del catálogo global de Microsoft. IP de Citrix Gateway (o, si usa un equilibrador de carga, SNIP) Servidor de autenticación LDAP o Active Directory
8443 Se utiliza para la inscripción, la administración de aplicaciones para móvil (MAM) y el almacén de aplicaciones. Dirección IP de subred de Citrix Gateway Endpoint Management
8443 El puerto Secure Ticket Authority (STA) se utiliza para el token de autenticación de Secure Mail. Dirección IP de subred de Citrix Gateway Endpoint Management
4443 Se utiliza para que un administrador acceda a la consola de Endpoint Management a través del explorador. Punto de acceso (explorador) Endpoint Management

Requisitos de red y firewall

Para que dispositivos y aplicaciones puedan comunicarse con Endpoint Management, debe abrir puertos específicos en los firewalls. En las siguientes tablas, se ofrece una lista de esos puertos.

Abra puertos desde la red interna a Citrix Cloud:

Puerto TCP IP de origen Descripción Destino IP de destino
443   Cloud Connector https://*.citrixworkspacesapi.net, https://*.cloud.com, https://*.sharefile.com, https://cwsproduction.blob.core.wind ows.net/downloads, https://*.servicebus.windows.net  
443   Consola de administración https://*.citrixworkspacesapi.net, https://*.cloud.com, https://*.citrix.com, https://cwsproduction.blob.core.windows.net/downloads  
4443   Acceso a consola de Endpoint Management a través de un explorador Endpoint Management  

Abra puertos desde Internet a la zona DMZ:

Puerto TCP Descripción IP de origen Destino IP de destino
443 Dispositivo cliente Endpoint Management   IP de Citrix Gateway  
443 Dispositivo cliente Endpoint Management   Dirección IP virtual de NetScaler para Citrix Files  
443 Dirección IP pública de Citrix Files CTX208318 Dirección IP virtual de NetScaler para Citrix Files  

Abra puertos desde la zona DMZ a la red interna:

Puerto TCP Descripción IP de origen Destino IP de destino
389 o 636 IP de NetScaler   IP de Active Directory  
53 (UDP) IP de NetScaler   IP del servidor DNS  
443 SNIP de NetScaler   IP del servidor Exchange (EAS)  
443 SNIP de NetScaler   Aplicaciones/Servicios web internos  
443 SNIP de NetScaler   Dirección IP de StorageZones Controller  

Abra puertos desde la red interna a la zona DMZ:

Puerto TCP Descripción IP de origen Destino IP de destino
443 Cliente de administración   IP de NetScaler  

Abra puertos desde la red interna a Internet:

Puerto TCP Descripción IP de origen Destino IP de destino
443 IP del servidor Exchange (EAS)   Agentes de escucha para notificaciones push de Endpoint Management (1)  
443 Dirección IP de StorageZones Controller   Plano de control de Citrix Files CTX208318

(1) us-east-1.mailboxlistener.xm.citrix.com, eu-west-1.mailboxlistener.xm.citrix.com, ap-southeast-1.mailboxlistener.xm.citrix.com

Abra puertos desde la red Wi-Fi corporativa a Internet:

Puerto TCP Descripción IP de origen Destino IP de destino
8443 / 443 Dispositivo cliente Endpoint Management   Endpoint Management  
5223 Dispositivo cliente Endpoint Management   Servidores Apple APNS 17.0.0.0/8
5228 Dispositivo cliente Endpoint Management   Firebase Cloud Messaging android.apis.google.com, cm.googleapis.com
5229 Dispositivo cliente Endpoint Management   Firebase Cloud Messaging android.apis.google.com, cm.googleapis.com
5230 Dispositivo cliente Endpoint Management   Firebase Cloud Messaging android.apis.google.com, cm.googleapis.com
443 Dispositivo cliente Endpoint Management   Firebase Cloud Messaging cm.googleapis.com
443 Dispositivo cliente Endpoint Management   Servicio de notificaciones push de Windows *.notify.windows.com
443 / 80 Dispositivo cliente Endpoint Management   Tienda de aplicaciones iTunes de Apple ax.itunes.apple.com, *.mzstatic.com, vpp.itunes.apple.com
443 / 80 Dispositivo cliente Endpoint Management   Google Play play.google.com, android.clients.google.com, android.l.google.com, android.com, google-analytics.com
443 / 80 Dispositivo cliente Endpoint Management   Tienda de aplicaciones de Microsoft login.live.com, *.notify.windows.com
443 Dispositivo cliente Endpoint Management   Servicio de detección automática de Endpoint Management ads.xm.cloud.com
443 Dirección IP de StorageZones Controller   Plano de control de Citrix Files CTX208318
443 Dispositivo cliente Endpoint Management   Administración de Google Mobile, API de Google, API de la tienda Google Play *.googleapis.com
443 Dispositivo cliente Endpoint Management   Comprobación de conectividad antes de CloudDPC v470. La comprobación de conectividad de Android a partir de N MR1 requiere que https://www.google.com/generate_204 sea accesible, o que la red Wi-Fi en cuestión apunte a un archivo PAC accesible. connectivitycheck.android.com, www.google.com

Requisito de puerto para la conectividad con el servicio de detección automática

Esta configuración de puerto garantiza que los dispositivos Android que se conectan desde Secure Hub para Android puedan acceder al servicio de detección automática (ADS) de Endpoint Management desde dentro de la red interna. La capacidad de acceder a ADS es importante en el momento de descargar las actualizaciones de seguridad que están disponibles a través del servicio ADS.

Nota:

Puede que las conexiones ADS no admitan su servidor proxy. En este caso, permita que la conexión ADS circunvale el servidor proxy.

Si quiere habilitar la fijación de certificados, debe cumplir los siguientes requisitos previos:

  • Obtenga certificados para el servidor Endpoint Management y NetScaler. Los certificados deben estar en formato PEM y deben ser un certificado público y no la clave privada.
  • Póngase en contacto con la asistencia técnica de Citrix y solicite la habilitación de la fijación de certificados. Durante este proceso, se le pedirán los certificados.

La fijación de certificados requiere que los dispositivos se conecten al servicio ADS antes de que el dispositivo se inscriba. Ese requisito garantiza que Secure Hub disponga de la información de seguridad más actualizada. Para que Secure Hub inscriba un dispositivo, éste debe contactar con el servicio ADS. Por lo tanto, es vital abrir el acceso al servicio ADS dentro de la red interna para permitir la inscripción de dispositivos.

Para que Secure Hub para Android acceda al servicio ADS, abra el puerto 443 para el nombre de dominio completo (FQDN) y las direcciones IP siguientes:

Nombre de dominio completo (FQDN) Dirección IP Puerto Uso de IP y puerto
ads.xm.cloud.com 52.5.138.94 443 Secure Hub - Comunicación ADS
ads.xm.cloud.com 52.1.30.122 443 Secure Hub - Comunicación ADS
ads.xm.cloud.com 34.194.83.188 443 Secure Hub - Comunicación ADS
ads.xm.cloud.com 34.193.202.23 443 Secure Hub - Comunicación ADS

Requisitos de red de Android Enterprise

Hay varias conexiones salientes que debe tener en cuenta al configurar entornos de red para Android Enterprise.

Requisitos de puertos

Si la consola se encuentra en un entorno local, los siguientes hosts de destino deben ser accesibles desde la red para crear un Google Play Enterprise administrado y acceder al ​Google Play iFrame administrado. Google ha puesto el iFrame Managed Play a disposición de los desarrolladores para simplificar la búsqueda y la aprobación de aplicaciones.

Puerto TCP Descripción Host de destino
443 Registro en la tienda Google Play, Play Enterprise play.google.com
443 Autenticación de cuentas accounts.youtube.com, accounts.google.com
443 GCM y otros servicios web de Google apis.google.com
443 Elementos de la IU de iFrame ogs.google.com
443 Notificaciones móviles y de escritorio notifications.google.com
443 Contenido de Google Fonts generado por usuarios fonts.googleapis.com, *.gstatic.com, *.googleusercontent.com
443 Validación de certificados cri.pki.goog, ocsp.pki.goog