Tareas y aspectos relevantes para administradores

En este artículo se describen las tareas y los aspectos que son relevantes para los administradores de las aplicaciones móviles de productividad.

Administrar marcas de funcionalidades

Si se produce un problema con Secure Hub, Secure Mail o Secure Web para iOS y Android en producción, se puede inhabilitar la funcionalidad afectada desde el código de la aplicación. Para ello, se utilizan marcas de funcionalidad y un servicio externo denominado Launch Darkly. No es necesario que realice ninguna configuración para permitir el tráfico a Launch Darkly, salvo si tiene un firewall o proxy bloqueando el tráfico saliente. En ese caso, puede habilitar el tráfico a Launch Darkly a través de direcciones URL o direcciones IP específicas, según sus requisitos de directiva. Para obtener más información sobre el respaldo de MDX para excluir dominios del túnel a partir de aplicaciones móviles de productividad 10.6.15, consulte la documentación del MDX Toolkit.

Puede habilitar el tráfico y la comunicación en Launch Darkly de las siguientes formas:

Permitir el tráfico a las siguientes URL:

  • events.launchdarkly.com
  • stream.launchdarkly.com
  • clientstream.launchdarkly.com
  • firehose.launchdarkly.com

Crear una lista blanca por dominio:

Anteriormente, le ofrecimos una lista de direcciones IP para usar cuando sus directivas internas requieran únicamente direcciones IP. Ahora, debido a que Citrix ha realizado mejoras en la infraestructura, estamos eliminando las direcciones IP públicas a partir del 16 de julio. Le recomendamos que cree una lista blanca por dominio, si es posible.

Enumerar direcciones IP en una lista blanca:

Si debe enumerar las direcciones IP en una lista blanca, para obtener una lista de todos los rangos de direcciones IP actuales, consulte esta lista de direcciones IP públicas de Launch Darkly. Puede usar esta lista para asegurarse de que las configuraciones de su firewall se actualicen automáticamente de acuerdo con las actualizaciones de la infraestructura. Para obtener más detalles, consulte el recurso raíz de Launch Darkly. Para obtener más información sobre el estado actual de los cambios en la infraestructura, consulte la Página de estado de Launch Darkly.

Nota:

Las aplicaciones de tienda pública requieren una instalación limpia la primera vez que se implementan. No es posible actualizar la aplicación desde la versión empaquetada de la empresa a la versión de la tienda de aplicaciones.

Con la distribución desde una tienda pública de aplicaciones, no es necesario firmar y empaquetar aplicaciones desarrolladas por Citrix con el MDX Toolkit. Esto simplifica considerablemente el proceso de implementar aplicaciones. Puede usar el MDX Toolkit para empaquetar aplicaciones de empresa o de terceros.

Requisitos del sistema para Launch Darkly

  • Endpoint Management 10.5 o una versión posterior.
  • Compruebe que las aplicaciones pueden comunicarse con los siguientes servicios si el parámetro de túnel dividido está desactivado en NetScaler:

Tiendas de aplicaciones respaldadas

Las aplicaciones móviles de productividad están disponibles en la App Store de Apple y en Google Play. Para proteger e implementar las aplicaciones nativas de productividad en dispositivos Windows, consulte Directiva Windows Information Protection.

En China, donde Google Play no está disponible, Secure Hub para Android está disponible en las siguientes tiendas de aplicaciones:

Habilitar la distribución desde tiendas públicas de aplicaciones

  1. Descargue los archivos .mdx para la tienda pública de iOS y Android desde la página de descargas de Endpoint Management.
  2. Cargue los archivos .mdx en la consola de XenMobile. Las versiones de tienda pública de las aplicaciones móviles de productividad se siguen cargando como aplicaciones MDX. No las cargue como aplicaciones de tienda pública en el servidor. Para ver los pasos a seguir, consulte Agregar aplicaciones.
  3. Cambie los valores predeterminados de las directivas por los valores adecuados para sus directivas de seguridad (optativo).
  4. Envíe las aplicaciones como aplicaciones obligatorias (opcional). Este paso requiere que su entorno tenga habilitada la administración de dispositivos móviles.
  5. Instale las aplicaciones en el dispositivo desde App Store, Google Play o la tienda de aplicaciones de Endpoint Management.
    • En Android, al usuario se le dirige a Play Store para instalarse la aplicación. En iOS, en implementaciones MDM, la aplicación se instala sin redirigir al usuario a la tienda de aplicaciones.
    • Cuando la aplicación se instala desde el App Store o Play Store, se convierte en una aplicación administrada siempre que el archivo .mdx correspondiente se haya cargado en el servidor. Cuando pasa a ser una aplicación administrada, la aplicación pide un PIN de Citrix. Cuando los usuarios escriben el PIN de Citrix, Secure Mail muestra la pantalla de configuración de la cuenta.
  6. Las aplicaciones están accesibles solo si el usuario está inscrito en Secure Hub y el archivo .mdx correspondiente se encuentra en el servidor. Si no se cumple alguna de esas condiciones, los usuarios pueden instalarse la aplicación, pero estará bloqueada.

Si actualmente utiliza aplicaciones de Citrix Ready Marketplace que están en tiendas públicas de aplicaciones, ya estará familiarizado con el proceso de implementación. Las aplicaciones móviles de productividad adoptan el mismo enfoque que varios proveedores de software independientes. Incruste el SDK de MDX en la aplicación para prepararla de cara a la tienda pública.

Nota:

Las versiones de tienda pública de la aplicación Citrix Files para iOS y para Android ahora son universales. La aplicación Citrix Files es la misma para teléfonos y tabletas.

Notificaciones push de Apple

Para obtener más información sobre la configuración de las notificaciones push, consulte Configuración de Secure Mail para notificaciones push.

Preguntas frecuentes sobre las tiendas públicas de aplicaciones

1. ¿Puedo implementar varias copias de la aplicación de tienda pública para grupos diferentes de usuarios? Por ejemplo, puede que me interese implementar directivas distintas a grupos diferentes de usuarios.

Tendrá que cargar un archivo .mdx diferente para cada grupo de usuarios. Sin embargo, en este caso, un solo usuario no puede pertenecer a varios grupos. Si un mismo usuario pertenece a varios grupos, se asignarán varias copias de la misma aplicación a ese usuario. No se pueden implementar varias copias de una aplicación de tienda pública en un mismo dispositivo, porque el ID de aplicación no se puede cambiar.

2. ¿Puedo distribuir aplicaciones de tienda pública como aplicaciones obligatorias?

Sí. La distribución push de aplicaciones en los dispositivos requiere MDM; no se admite en implementaciones de solo MAM.

3. ¿Debo actualizar las reglas de las directivas de tráfico o Exchange Server que se basan en el agente de usuario?

A continuación, se presentan las reglas y las directivas de agente del usuario desglosadas por plataforma.

Android

Aplicación Servidor Cadena de usuario-agente
Citrix Secure Mail Exchange WorxMail
  Lotus Notes Traveler Apple - iPhone WorxMail
Citrix Secure Web   WorxMail
Citrix Secure Tasks Exchange WorxMail
Citrix Secure Notes Exchange WorxMail
  Citrix Files Secure Notes

iOS

Aplicación Servidor Cadena de usuario-agente
Citrix Secure Mail Exchange WorxMail
  Lotus Notes Traveler Apple - iPhone WorxMail
Citrix Secure Web   com.citrix.browser
Citrix Secure Tasks Exchange WorxTasks
Citrix Secure Notes Exchange WorxNotes
  Citrix Files Secure Notes

4. ¿Puedo impedir actualizaciones de la aplicación?

No. Cuando se publica una actualización en la tienda pública de aplicaciones, los usuarios que tengan habilitada la actualización automática de las aplicaciones, recibirán la actualización.

5. ¿Puedo aplicar actualizaciones de la aplicación?

Sí, las actualizaciones se aplican a través de la directiva de período de gracia para la actualización. Esta directiva se define cuando el nuevo archivo .mdx correspondiente a la versión actualizada de la aplicación se carga en XenMobile Server.

6. ¿Cómo puedo probar las aplicaciones antes de que la actualización llegue a los usuarios si no puedo controlar el momento de la actualización?

Al igual que con Secure Hub, las aplicaciones se pueden probar en Test Flight for iOS durante el periodo EAR. Para Android, las aplicaciones están disponibles en el programa Beta de Google Play durante el periodo EAR. Puede probar las actualizaciones de la aplicación durante este tiempo.

7. ¿Qué ocurre si no actualizo el nuevo archivo .mdx antes de que la actualización automática llegue a los dispositivos de los usuarios?

La aplicación actualizada sigue funcionando con el archivo .mdx antiguo. Si hay alguna función que dependa de una directiva nueva, la función no se habilitará.

8. ¿La aplicación se convertirá en aplicación administrada si Secure Hub está instalado o la aplicación se tiene que inscribir para ello?

El usuario debe estar inscrito en Secure Hub para que la aplicación de tienda pública se active como aplicación administrada (protegida por MDX) y sea utilizable. Si Secure Hub está instalado, pero no se ha inscrito, el usuario no podrá usar la aplicación de tienda pública.

9. ¿Necesito una cuenta de desarrollador de Apple Enterprise para las aplicaciones de tienda pública?

No. Puesto que Citrix se ocupa ahora de mantener los certificados y los perfiles de aprovisionamiento para las aplicaciones móviles de productividad, ya no es necesario tener una cuenta de desarrollador de Apple Enterprise para implementar estas aplicaciones para los usuarios.

10. ¿El final de la distribución empresarial afecta a alguna aplicación empaquetada que ya se haya implementado?

No, solo afecta a las aplicaciones móviles de productividad: Secure Mail, Secure Web, Secure Notes, Secure Tasks, Citrix Files para Endpoint Management, ScanDirect para XenMobile, QuickEdit para XenMobile y ShareConnect para XenMobile. Cualquier otra aplicación empaquetada de empresa que ya tenga implementada y que haya sido desarrollada internamente o por terceros puede seguir usando el empaquetado empresarial. El MDX Toolkit seguirá dando respaldo al empaquetado empresarial para los desarrolladores de aplicaciones.

11. Cuando instalo una aplicación desde Google Play, obtengo un error de Android con el código “505”.

Este es un problema conocido con Google Play y Android (versiones 5.x). Si ocurre este error, siga estos pasos para borrar los datos obsoletos del dispositivo que impiden la instalación de la aplicación:

  1. Reinicie el dispositivo.

  2. Borre la memoria caché y los datos de Google Play mediante los ajustes del dispositivo.

  3. Como último recurso, quite y vuelva a agregar la cuenta de Google en el dispositivo.

Para obtener más información, busque en este sitio las siguientes palabras clave “Solucione el error 505 de Google Play Store en Android: código de error desconocido”

12. Si la aplicación en Google Play se ha sacado ya a producción y no hay ninguna nueva versión beta, ¿por qué sigo viendo “Beta” junto al nombre de la aplicación en Google Play?

Si participa en nuestro programa EAR (Early Release Program), siempre verá “Beta” junto al título de la aplicación. Este nombre solo notifica a los usuarios de su nivel de acceso a una aplicación determinada. El nombre “Beta” indica que los usuarios reciben la versión disponible más reciente de la aplicación. La versión más reciente puede ser la más reciente publicada en producción o en pruebas.

13. Después de instalar y abrir la aplicación, los usuarios ven el mensaje “Aplicación no autorizada” aunque el archivo .mdx se encuentra en XenMobile Server.

Esto puede ocurrir si el usuario instala la aplicación directamente desde App Store o Google Play y la presentación de Secure Hub no se ha actualizado. Secure Hub debe actualizarse si el temporizador de inactividad caduca. Las directivas se actualizan cuando el usuario abre Secure Hub y vuelve a autenticarse. La aplicación estará autorizada la próxima vez que el usuario la abra.

14. ¿Necesito un código de acceso para usar la aplicación? Al instalar la aplicación desde App Store o Google Play, aparece una pantalla que me pide introducir un código de acceso.

Si ve una pantalla donde se le pide un código de acceso, es porque no se ha inscrito en Endpoint Management a través de Secure Hub. Inscríbase con Secure Hub y compruebe que el archivo .mdx de la aplicación se ha implementado en el servidor. Compruebe también que la aplicación se pueda usar. El código de acceso está limitado al uso interno de Citrix. Las aplicaciones requieren que se active una implementación de Endpoint Management.

15 ¿Puedo implementar aplicaciones iOS de tienda pública mediante VPP o DEP?

XenMobile Server está optimizado para la distribución por VPP de las aplicaciones de tienda pública que no están habilitadas para MDX. Aunque puede distribuir las aplicaciones de tienda pública de Endpoint Management mediante VPP, la implementación no es óptima hasta que realicemos mejoras adicionales a XenMobile Server y la tienda de Secure Hub para resolver las limitaciones. Para ver una lista de los problemas conocidos a la hora de implementar las aplicaciones de Endpoint Management desde la tienda pública vía VPP y las posibles soluciones temporales a esos problemas, consulte este artículo en Knowledge Center de Citrix.

Directivas MDX para aplicaciones móviles de productividad

Las directivas MDX permiten configurar parámetros que XenMobile Server aplica. Las directivas cubren parámetros de autenticación, seguridad de los dispositivos, requisitos de red y de acceso, cifrado, interacción con las aplicaciones y restricciones de las aplicaciones, entre otros aspectos. Muchas de las directivas MDX se aplican a todas las aplicaciones móviles de productividad, mientras que otras son específicas de cada aplicación.

Los archivos de directivas se suministran en formato MDX para las versiones de tienda pública de las aplicaciones móviles de productividad. Asimismo, puede configurar directamente las directivas desde la consola de Endpoint Management cuando agregue una aplicación.

Las secciones siguientes describen las directivas MDX relacionadas con las conexiones de usuario.

Conexiones de usuario a la red interna

Las conexiones por túnel a la red interna pueden utilizar un túnel VPN completo o una variante de VPN sin cliente conocida como Exploración segura. La directiva “Modo preferido de VPN” controla este comportamiento. De forma predeterminada, las conexiones usan la Exploración segura, que se recomienda para conexiones que requieren SSO. El parámetro de túnel completo de VPN se recomienda para conexiones que usan certificados de cliente o SSL de extremo a extremo hacia un recurso ubicado en la red interna; este parámetro funciona con cualquier protocolo por TCP y se puede usar con equipos Windows y Mac así como con dispositivos iOS y Android.

Secure Web para iOS y Android respalda el uso de un archivo de configuración automática de proxy (PAC) con una implementación de túnel VPN completo, si usa NetScaler para la autenticación de proxy.

La directiva “Permitir cambio de modo VPN” permite cambiar automáticamente entre el modo “Túnel VPN completo” y el modo “Exploración segura”, según sea necesario. De manera predeterminada, esta directiva está desactivada. Si la directiva está activada, las solicitudes de red que no llegan a realizarse debido a una solicitud de autenticación que no se puede resolver en el modo preferido de VPN se vuelven a intentar en el modo alternativo. Por ejemplo, los desafíos de servidor ante certificados de cliente pueden aceptarse en el modo “Túnel VPN completo”, pero no si se utiliza el modo “Exploración segura”. Del mismo modo, los desafíos de autenticación HTTP son más propensos a resolverse con SSO cuando se utiliza el modo “Exploración segura”.

Restricciones del acceso de red

La directiva “Acceso de red” especifica si hay restricciones para el acceso de red. De forma predeterminada, el acceso a Secure Mail y Secure Notes no está restringido, lo que significa que no hay ninguna restricción para el acceso de red; las aplicaciones tienen acceso sin restricciones a las redes a las que está conectado el dispositivo. De manera predeterminada, el acceso a Secure Web se canaliza por un túnel a la red interna, lo que significa que se usa un túnel VPN para cada aplicación hacia la red interna para todo el acceso de red y se usan los parámetros de túnel dividido de NetScaler. También puede especificarse la opción de bloquear acceso, de modo que la aplicación funcione como si el dispositivo no estuviera conectado a la red.

No bloquee la directiva “Acceso de red” si quiere permitir funciones como AirPrint, iCloud y las API de Facebook y Twitter.

La directiva “Acceso de red” también interactúa con la directiva “Servicios de red en segundo plano”. Para ver información detallada, consulte Integrar con Exchange Server o IBM Notes Traveler Server.

Propiedades de cliente de Endpoint Management

En las propiedades de cliente, se ofrece información que se proporciona directamente a Secure Hub en los dispositivos de los usuarios. Las propiedades de cliente se encuentran en la consola de Endpoint Management, en Parámetros > Cliente > Propiedades de cliente.

Las propiedades de cliente se usan para configurar parámetros como los siguientes:

Caché de contraseñas del usuario

El caché de contraseñas del usuario permite guardar localmente la contraseña de Active Directory del usuario en el dispositivo móvil. Si se habilita el almacenamiento en caché de las contraseñas de usuario, se pide a los usuarios que definan un código de acceso o un PIN de Citrix.

Temporizador de inactividad

El temporizador de inactividad define el tiempo en minutos que los usuarios pueden dejar sus dispositivos inactivos y luego acceder a una aplicación sin que se solicite un PIN o un código de acceso de Citrix. Si quiere activar este parámetro para una aplicación MDX, debe activar la directiva “Código de acceso de aplicación”. Si la directiva “Código de acceso de aplicación” está desactivada, se redirige a los usuarios a Secure Hub para una autenticación completa. Al cambiar este parámetro, el valor se aplicará la próxima vez que los usuarios deban autenticarse.

Autenticación por PIN de Citrix

El PIN de Citrix simplifica la experiencia de autenticación del usuario. El PIN se usa para proteger un certificado de cliente o para guardar las credenciales de Active Directory localmente en el dispositivo. Si configura los parámetros de PIN, la experiencia de inicio de sesión de los usuarios es la siguiente:

  1. La primera vez que los usuarios inician Secure Hub, se les solicita introducir un PIN, con lo que se almacenan en caché las credenciales de Active Directory.

  2. Después, cuando los usuarios inician una aplicación móvil de productividad (como Secure Mail), tienen que introducir el PIN para iniciar sesión.

Las propiedades de cliente permiten habilitar la autenticación con PIN, especificar el tipo de PIN, así como su complejidad y longitud, y los requisitos para cambiarlo.

Autenticación por huella digital

La autenticación por huella digital es una alternativa al PIN de Citrix para casos en que las aplicaciones empaquetadas (salvo Secure Hub) necesitan una autenticación sin conexión; por ejemplo, cuando se agota el tiempo del temporizador de inactividad. Puede habilitar esta funcionalidad en los siguientes casos de autenticación:

  • PIN de Citrix + Configuración de certificado de cliente
  • PIN de Citrix + Configuración de contraseña de AD guardada en caché
  • PIN de Citrix + Configuración de certificado de cliente y configuración de contraseña de AD guardada en caché
  • El PIN de Citrix está desactivado

Si falla la autenticación por huella digital o si un usuario cancela la solicitud de autenticación por huella digital, las aplicaciones empaquetadas recurren a la autenticación con el PIN de Citrix o con la contraseña de AD.

Requisitos para la autenticación con huella digital:

  • Dispositivos iOS (versión mínima 8.1) que admiten la autenticación por huella digital y tienen al menos una huella digital configurada.

  • La entropía de usuario debe estar desactivada.

Para configurar la autenticación por huella digital

Importante:

Si la entropía de usuario está activada, se ignora la propiedad “Enable Touch ID Authentication”. La entropía de usuario se habilita mediante “Encrypt secrets using Passcode key”.

  1. En la consola de Endpoint Management, vaya a Parámetros > Cliente > Propiedades de cliente.

  2. Haga clic en Agregar.

    Imagen de la pantalla Agregar nueva propiedad de cliente

  3. Agregue la clave ENABLE_TOUCH_ID_AUTH, establezca el Valor en True, y establezca el Nombre de la directiva en Habilitar autenticación con huella digital.