Tareas y aspectos relevantes para administradores

En este artículo se describen las tareas y los aspectos que son relevantes para los administradores de las aplicaciones móviles de productividad.

Administrar marcas de funcionalidades

Si se produce un problema una aplicación móvil de productividad durante la producción, se puede inhabilitar la función afectada con el código de la aplicación. Podemos desactivar la función de Secure Hub, Secure Mail y Secure Web para iOS y Android. Para ello, se utilizan marcas de funcionalidad y un servicio externo denominado LaunchDarkly. No es necesario que realice ninguna configuración para permitir el tráfico a LaunchDarkly, salvo si tiene un firewall o proxy bloqueando el tráfico saliente. En ese caso, puede habilitar el tráfico a LaunchDarkly a través de direcciones URL o direcciones IP específicas, según sus requisitos de directiva. Para obtener más información sobre excluir dominios del túnel en MDX, consulte la documentación de MDX Toolkit.

Puede habilitar el tráfico y la comunicación en LaunchDarkly de las siguientes formas:

Permitir el tráfico a las siguientes URL

  • events.launchdarkly.com
  • stream.launchdarkly.com
  • clientstream.launchdarkly.com
  • firehose.launchdarkly.com

Crear una lista blanca por dominio

Antes, ofrecíamos una lista de direcciones IP que utilizar cuando las directivas internas requieran únicamente direcciones IP. Ahora, debido a que Citrix ha realizado mejoras en la infraestructura, estamos eliminando las direcciones IP públicas a partir del 16 de julio de 2018. Le recomendamos que cree una lista blanca por dominio, si es posible.

Incluir direcciones IP en una lista blanca

Si necesita incluir las direcciones IP en una lista blanca, para obtener una lista de todos los intervalos de direcciones IP actuales, consulte esta lista de direcciones IP públicas de LaunchDarkly.. Puede usar esta lista para asegurarse de que las configuraciones de su firewall se actualicen automáticamente de acuerdo con las actualizaciones de la infraestructura. Para obtener más detalles, consulte el recurso raíz de LaunchDarkly. Para obtener más información sobre el estado de los cambios en la infraestructura, consulte la página de estado de LaunchDarkly.

Note:

Las aplicaciones de almacén público requieren una instalación limpia la primera vez que se implementan. No es posible actualizar la aplicación desde la versión empaquetada de la empresa a la versión del almacén de aplicaciones.

Con la distribución desde un almacén público de aplicaciones, no es necesario firmar y empaquetar aplicaciones desarrolladas por Citrix con el MDX Toolkit. Puede usar el MDX Toolkit para empaquetar aplicaciones de empresa o de terceros.

Requisitos del sistema para LaunchDarkly

  • Endpoint Management 10.7 o posterior.
  • Compruebe que las aplicaciones pueden comunicarse con los siguientes servicios si el parámetro de túnel dividido está desactivado en Citrix ADC:

Almacenes de aplicaciones admitidos

Las aplicaciones móviles de productividad están disponibles en el App Store de Apple y en Google Play. Para proteger e implementar las aplicaciones nativas de productividad en dispositivos Windows, consulte Directiva de Windows Information Protection.

En China, donde Google Play no está disponible, Secure Hub para Android está disponible en las siguientes tiendas de aplicaciones:

Habilitar la distribución desde almacenes públicos de aplicaciones

  1. Descargue los archivos MDX para el almacén público de iOS y Android desde la página de descargas de Endpoint Management.
  2. Cargue los archivos MDX en la consola de Endpoint Management. Las versiones de almacén público de las aplicaciones móviles de productividad se siguen cargando como aplicaciones MDX. No las cargue como aplicaciones de almacén público en el servidor. Para ver los pasos, consulte Agregar aplicaciones.
  3. Cambie los valores predeterminados de las directivas por los valores adecuados para sus directivas de seguridad (optativo).
  4. Envíe las aplicaciones como aplicaciones obligatorias (opcional). Este paso requiere que su entorno tenga habilitada la administración de dispositivos móviles.
  5. Instale las aplicaciones en el dispositivo desde el App Store, Google Play o el almacén de aplicaciones de Endpoint Management.
    • En Android, al usuario se le dirige a Google Play para instalarse la aplicación. En iOS, en implementaciones MDM, la aplicación se instala sin redirigir al usuario a la tienda de aplicaciones.
    • Cuando la aplicación se instala desde el App Store o Google Play, se produce la siguiente acción. La aplicación se convierte en una aplicación administrada siempre que el archivo MDX correspondiente se haya cargado en el servidor. Cuando pasa a ser una aplicación administrada, la aplicación pide un PIN de Citrix. Cuando los usuarios escriben el PIN de Citrix, Secure Mail muestra la pantalla de configuración de la cuenta.
  6. Las aplicaciones están accesibles solo si el usuario está inscrito en Secure Hub y el archivo MDX correspondiente se encuentra en el servidor. Si no se cumple alguna de esas condiciones, los usuarios pueden instalarse la aplicación, pero estará bloqueada.

Si actualmente utiliza aplicaciones de Citrix Ready Marketplace que están en almacenes públicos de aplicaciones, ya conocerá el proceso de implementación. Las aplicaciones móviles de productividad adoptan el mismo enfoque que varios proveedores de software independientes. Incruste el SDK de MDX en la aplicación para prepararla de cara al almacén público.

Note:

Las versiones de almacén público de la aplicación Citrix Files para iOS y para Android ahora son universales. La aplicación Citrix Files es la misma para teléfonos y tabletas.

Notificaciones push de Apple

Para obtener más información acerca de la configuración de notificaciones push, consulte Configurar Secure Mail para notificaciones push.

Preguntas frecuentes sobre los almacenes públicos de aplicaciones

  • ¿Puedo implementar varias copias de la aplicación de almacén público para grupos diferentes de usuarios? Por ejemplo, si le interesa implementar directivas distintas a grupos diferentes de usuarios.

    Tendrá que cargar un archivo MDX diferente para cada grupo de usuarios. Sin embargo, en este caso, un solo usuario no puede pertenecer a varios grupos. Si un mismo usuario pertenece a varios grupos, se asignarán varias copias de la misma aplicación a ese usuario. No se pueden implementar varias copias de una aplicación de almacén público en un mismo dispositivo, porque el ID de aplicación no se puede cambiar.

  • ¿Puedo distribuir aplicaciones de almacén público como aplicaciones obligatorias?

    Sí. La distribución push de aplicaciones en los dispositivos requiere MDM; no se admite en implementaciones de solo MAM.

  • ¿Debo actualizar las reglas de las directivas de tráfico o Exchange Server que se basan en el agente de usuario?

    A continuación, se presentan las reglas y las directivas de agente del usuario desglosadas por plataforma.

    Importante:

    Secure Notes y Secure Tasks han alcanzado el estado Fin de vida (EOL) el 31 de diciembre de 2018. Para obtener información detallada, consulte Fin de vida y aplicaciones retiradas.

Android

Aplicación Servidor Cadena de usuario-agente
Citrix Secure Mail Exchange WorxMail
  Lotus Notes Traveler Apple - iPhone WorxMail
Citrix Secure Web   WorxMail
Citrix Secure Tasks Exchange WorxMail
Citrix Secure Notes Exchange WorxMail
  Citrix Files Secure Notes

iOS

Aplicación Servidor Cadena de usuario-agente
Citrix Secure Mail Exchange WorxMail
  Lotus Notes Traveler Apple - iPhone WorxMail
Citrix Secure Web   com.citrix.browser
Citrix Secure Tasks Exchange WorxTasks
Citrix Secure Notes Exchange WorxNotes
  Citrix Files Secure Notes
  • ¿Puedo impedir actualizaciones de la aplicación?

    No. Cuando se publica una actualización en el almacén público de aplicaciones, los usuarios que tengan habilitada la actualización automática de las aplicaciones, recibirán la actualización.

  • ¿Puedo aplicar actualizaciones de la aplicación?

    Sí, las actualizaciones se aplican a través de la directiva de período de gracia para la actualización. Esta directiva se define cuando el nuevo archivo MDX correspondiente a la versión actualizada de la aplicación se carga en Endpoint Management.

  • ¿Cómo puedo probar las aplicaciones antes de que la actualización llegue a los usuarios si no puedo controlar el momento de la actualización?

    Al igual que con Secure Hub, las aplicaciones se pueden probar en TestFlight for iOS durante el periodo EAR. Para Android, las aplicaciones están disponibles en el programa Beta de Google Play durante el periodo EAR. Puede probar las actualizaciones de la aplicación durante este tiempo.

  • ¿Qué ocurre si no actualizo el nuevo archivo MDX antes de que la actualización automática llegue a los dispositivos de los usuarios?

    La aplicación actualizada sigue siendo compatible con el archivo MDX antiguo. Si hay alguna función que dependa de una directiva nueva, la función no se habilitará.

  • ¿La aplicación se convertirá en aplicación administrada si Secure Hub está instalado o la aplicación se tiene que inscribir para ello?

    El usuario debe estar inscrito en Secure Hub para que la aplicación de almacén público se active como aplicación administrada (protegida por MDX) y sea utilizable. Si Secure Hub está instalado, pero no se ha inscrito, el usuario no podrá usar la aplicación de almacén público.

  • ¿Necesito una cuenta de desarrollador de Apple Enterprise para las aplicaciones de almacén público?

    No. Puesto que Citrix se ocupa ahora de mantener los certificados y los perfiles de aprovisionamiento para las aplicaciones móviles de productividad, ya no es necesario tener una cuenta de desarrollador de Apple Enterprise para implementar estas aplicaciones para los usuarios.

  • ¿El final de la distribución empresarial afecta a alguna aplicación empaquetada que ya se haya implementado?

    No, solo se aplica a las aplicaciones móviles de productividad: Secure Mail, Secure Web y Citrix Files para Endpoint Management, QuickEdit y ShareConnect. Cualquier aplicación empaquetada de empresa que tenga implementada y que haya sido desarrollada internamente o por terceros puede seguir mediante el empaquetado empresarial. MDX Toolkit seguirá ofreciendo el empaquetado empresarial para los desarrolladores de aplicaciones.

  • Cuando instalo una aplicación desde Google Play, obtengo un error de Android con el código “505”.

    Nota:

    Android 5.x dejó de admitirse el 31 de diciembre de 2018.

    Este es un problema conocido con Google Play y Android (versiones 5.x). Si ocurre este error, siga estos pasos para borrar los datos obsoletos del dispositivo que impiden la instalación de la aplicación:

  1. Reinicie el dispositivo.

  2. Borre la memoria caché y los datos de Google Play mediante los ajustes del dispositivo.

  3. Como último recurso, quite y vuelva a agregar la cuenta de Google en el dispositivo.

Para obtener más información, busque en este sitio las siguientes palabras clave “Solucione el error 505 de Google Play Store en Android: código de error desconocido”

  • ¿Si la aplicación en Google Play se ha sacado ya a producción y no hay ninguna nueva versión beta disponible, por qué sigo viendo “Beta” junto al nombre de la aplicación en Google Play?

    Si participa en nuestro programa EAR (Early Release Program), siempre verá “Beta” junto al título de la aplicación. Este nombre solo notifica a los usuarios de su nivel de acceso a una aplicación determinada. El nombre “Beta” indica que los usuarios reciben la versión disponible más reciente de la aplicación. La versión más reciente puede ser la más reciente publicada en producción o en pruebas.

  • Después de instalar y abrir la aplicación, los usuarios ven el mensaje “Aplicación no autorizada”, aunque el archivo MDX se encuentre en la consola de Endpoint Management.

    Esto puede ocurrir si el usuario instala la aplicación directamente desde el App Store o Google Play y si la presentación de Secure Hub no se ha actualizado. Secure Hub debe actualizarse si el temporizador de inactividad caduca. Las directivas se actualizan cuando el usuario abre Secure Hub y vuelve a autenticarse. La aplicación estará autorizada la próxima vez que el usuario la abra.

  • ¿Necesito un código de acceso para usar la aplicación? Al instalar la aplicación desde el App Store o Google Play, aparece una pantalla que me pide introducir un código de acceso.

    Si ve una pantalla donde se le pide un código de acceso, es porque no se ha inscrito en Endpoint Management a través de Secure Hub. Inscríbase con Secure Hub y compruebe que el archivo MDX de la aplicación se ha implementado en el servidor. Compruebe también que la aplicación se pueda usar. El código de acceso está limitado al uso interno de Citrix. Las aplicaciones requieren que se active una implementación de Endpoint Management.

  • ¿Puedo implementar aplicaciones iOS de almacén público mediante VPP o DEP?

    Endpoint Management está optimizado para la distribución por VPP de las aplicaciones de almacén público que no están habilitadas para MDX. Aunque puede distribuir las aplicaciones de almacén público de Endpoint Management mediante VPP, la implementación no es óptima hasta que realicemos mejoras adicionales a Endpoint Management y la almacén de Secure Hub para resolver las limitaciones. Para ver una lista de los problemas conocidos a la hora de implementar las aplicaciones de Endpoint Management desde el almacén público vía VPP así como las posibles soluciones temporales a esos problemas, consulte este artículo en Citrix Knowledge Center.

Directivas MDX para aplicaciones móviles de productividad

Las directivas MDX permiten configurar los parámetros que Endpoint Management aplica. Las directivas cubren parámetros de autenticación, seguridad de los dispositivos, requisitos de red y de acceso, cifrado, interacción con las aplicaciones y restricciones de las aplicaciones, entre otros aspectos. Varias directivas MDX se aplican a todas las aplicaciones móviles de productividad Algunas directivas son específicas de cada aplicación.

Los archivos de directivas se suministran en formato MDX para las versiones de almacén público de las aplicaciones móviles de productividad. Asimismo, puede configurar directamente las directivas desde la consola de Endpoint Management cuando agregue una aplicación.

Para obtener descripciones completas de las directivas MDX, consulte los siguientes artículos de esta sección:

Las secciones siguientes describen las directivas MDX relacionadas con las conexiones de usuario.

Conexiones de usuario a la red interna

Las conexiones por túnel a la red interna pueden utilizar un túnel VPN completo o una variante de VPN sin cliente conocida como Secure Browse. La directiva “Modo preferido de VPN” controla este comportamiento. De forma predeterminada, las conexiones usan la Secure Browse, que se recomienda para conexiones que requieren SSO. Se recomienda el parámetro “Túnel VPN completo” para conexiones que usan certificados de cliente o SSL de extremo a extremo con un recurso de la red interna. El parámetro gestiona cualquier protocolo por TCP y se puede usar con equipos Windows y Mac, así como con dispositivos iOS y Android.

Secure Web para iOS y Android admite el uso de archivos de configuración automática de proxy (PAC) con una implementación de túnel VPN completo. Este caso se da cuando utiliza Citrix ADC para la autenticación de proxy.

La directiva “Permitir cambio de modo VPN” permite cambiar automáticamente entre el modo “Túnel VPN completo” y el modo “Secure Browse”, según sea necesario. De manera predeterminada, esta directiva está desactivada. Si la directiva está activada, las solicitudes de red que no llegan a realizarse debido a una solicitud de autenticación que no se puede resolver en el modo preferido de VPN se vuelven a intentar en el modo alternativo. Por ejemplo, los desafíos de servidor ante certificados de cliente pueden aceptarse en el modo “Túnel VPN completo”, pero no si se utiliza el modo “Secure Browse”. Del mismo modo, los desafíos de autenticación HTTP son más propensos a resolverse con SSO cuando se utiliza el modo “Secure Browse”.

Restricciones al acceso de red

La directiva “Acceso de red” especifica si hay restricciones para el acceso de red. De forma predeterminada, el acceso a Secure Mail no está restringido, lo que significa que no hay ninguna restricción para el acceso de red. Las aplicaciones tienen acceso sin restricciones a las redes a las que está conectado el dispositivo. De manera predeterminada, el acceso a Secure Web se canaliza por un túnel a la red interna, lo que significa que se usa un túnel VPN para cada aplicación hacia la red interna para todo el acceso de red y se usan los parámetros de túnel dividido de Citrix ADC. También puede especificarse la opción de bloquear acceso, de modo que la aplicación funcione como si el dispositivo no estuviera conectado a la red.

No bloquee la directiva “Acceso de red” si quiere permitir funciones como AirPrint, iCloud y las API de Facebook y Twitter.

La directiva “Acceso de red” también interactúa con la directiva “Servicios de red en segundo plano”. Para obtener información detallada, consulte Integrar Exchange Server o IBM Notes Traveler Server.

Propiedades de cliente de Endpoint Management

En las propiedades de cliente, se ofrece información que se proporciona directamente a Secure Hub en los dispositivos de los usuarios. Las propiedades de cliente se encuentran en la consola de Endpoint Management, en Parámetros > Cliente > Propiedades de cliente.

Las propiedades de cliente se usan para configurar parámetros como los siguientes:

Caché de contraseñas del usuario

El caché de contraseñas del usuario permite guardar localmente la contraseña de Active Directory del usuario en el dispositivo móvil. Si se habilita el almacenamiento en caché de las contraseñas de usuario, se pide a los usuarios que definan un código de acceso o un PIN de Citrix.

Temporizador de inactividad

El temporizador de inactividad define el tiempo en minutos que los usuarios pueden dejar sus dispositivos inactivos y acceder a una aplicación sin que se solicite un PIN o un código de acceso de Citrix. Si quiere activar este parámetro para una aplicación MDX, debe activar la directiva “Código de acceso de aplicación”. Si la directiva “Código de acceso de aplicación” está desactivada, se redirige a los usuarios a Secure Hub para una autenticación completa. Al cambiar este parámetro, el valor se aplicará la próxima vez que los usuarios deban autenticarse.

Autenticación por PIN de Citrix

El PIN de Citrix simplifica la experiencia de autenticación del usuario. El PIN se usa para proteger un certificado de cliente o para guardar las credenciales de Active Directory localmente en el dispositivo. Si configura los parámetros de PIN, la experiencia de inicio de sesión de los usuarios es la siguiente:

  1. La primera vez que los usuarios inician Secure Hub, se les solicita introducir un PIN, con lo que se almacenan en caché las credenciales de Active Directory.

  2. La próxima vez que los usuarios inicien una aplicación móvil de productividad (como Secure Mail), tendrán que introducir el PIN para iniciar sesión.

Las propiedades de cliente permiten habilitar la autenticación con PIN, especificar el tipo de PIN, así como su complejidad y longitud, y los requisitos para cambiarlo.

Autenticación por huella digital o Touch ID

La autenticación por huella digital, también conocida como autenticación de Touch ID, es una alternativa al PIN de Citrix en dispositivos iOS. La función es útil para casos en que las aplicaciones empaquetadas (salvo Secure Hub) necesitan una autenticación sin conexión; por ejemplo, cuando se agota el tiempo del temporizador de inactividad. Puede habilitar esta funcionalidad en los siguientes casos de autenticación:

  • PIN de Citrix + Configuración de certificado de cliente
  • PIN de Citrix + Configuración de contraseña de AD guardada en caché
  • PIN de Citrix + Configuración de certificado de cliente y configuración de contraseña de AD guardada en caché
  • El PIN de Citrix está desactivado

Si falla la autenticación por huella digital o si un usuario cancela la solicitud de autenticación por huella digital, las aplicaciones empaquetadas recurren a la autenticación con el PIN de Citrix o con la contraseña de AD.

Requisitos para la autenticación por huella digital

  • Dispositivos iOS (versión mínima 8.1) que admiten la autenticación por huella digital y tienen al menos una huella digital configurada.

  • La entropía de usuario debe estar desactivada.

Para configurar la autenticación por huella digital

Importante:

Si la entropía de usuario está activada, se ignora la propiedad “Enable Touch ID Authentication”. La entropía de usuario se habilita mediante “Encrypt secrets using Passcode key”.

  1. En la consola de Endpoint Management, vaya a Parámetros > Cliente > Propiedades de cliente.

  2. Haga clic en Agregar.

    Imagen de la pantalla Agregar nueva propiedad de cliente

  3. Agregue la clave ENABLE_TOUCH_ID_AUTH, establezca el Valor en True, y establezca el nombre de la directiva en Habilitar autenticación con huella digital.

Después de configurar la autenticación por huella digital, los usuarios no necesitan volver a inscribirse en sus dispositivos.

Para obtener más información acerca de Encrypt secrets using Passcode (Cifrar secretos mediante un código de acceso)y las propiedades del cliente en general, consulte el artículo de Endpoint Management en Propiedades de cliente.