À propos de Endpoint Management

Endpoint Management propose la gestion d’appareils mobiles (MDM) et la gestion d’applications mobiles (MAM).

Les fonctionnalités MDM de Endpoint Management vous permettent d’effectuer les opérations suivantes :

  • Déployer des applications et des stratégies d’appareil
  • Récupérer des inventaires logiciels
  • Effectuer des actions sur les appareils, telles que l’effacement

Les fonctionnalités MAM de Endpoint Management vous permettent d’effectuer les opérations suivantes :

  • Sécuriser les applications et données sur les appareils mobiles BYO
  • Mettre à disposition des applications mobiles d’entreprise
  • Verrouiller les applications et effacer leurs données

En combinant les fonctionnalités MDM et MAM, vous pouvez effectuer les opérations suivantes :

  • Gérer un appareil fourni par l’entreprise via MDM
  • Déployer des applications et des stratégies d’appareil
  • Récupérer un inventaire logiciel
  • Effacer des appareils
  • Mettre à disposition des applications mobiles d’entreprise
  • Verrouiller des applications et effacer les données sur les appareils

Pour plus d’informations, veuillez consulter Modes de gestion.

Architecture

Les besoins en matière de gestion des applications ou appareils de votre organisation déterminent les composants Endpoint Management de votre architecture Endpoint Management. Les composants Endpoint Management sont modulaires et complémentaires. Par exemple, votre déploiement inclut Citrix Gateway pour accorder aux utilisateurs un accès à distance à des applications mobiles et pour connaître les types d’appareils des utilisateurs. Endpoint Management est l’emplacement à partir duquel vous gérez les applications et les appareils ; Citrix Gateway permet aux utilisateurs de se connecter à votre réseau.

Le schéma suivant illustre une architecture générale d’un déploiement cloud de Endpoint Management et son intégration avec votre data center :

Schéma d'une architecture générale

Les sous-sections suivantes contiennent des diagrammes d’architecture de référence pour l’instance Endpoint Management principale et pour les composants facultatifs tels qu’une autorité de certification externe et Endpoint Management Connector pour Exchange ActiveSync.

Pour plus d’informations sur la configuration requise pour Citrix ADC et Citrix Gateway, consultez la documentation du produit Citrix à l’adresse docs.citrix.com.

Architecture de référence principale

Pour les exigences en matière de port, consultez la section Configuration système requise.

Schéma d'une architecture principale

Architecture de référence avec Citrix Virtual Apps and Desktops

Diagramme de l'architecture Citrix Virtual Apps and Desktops

Architecture de référence avec Endpoint Management Connector pour Exchange ActiveSync

Diagramme de l'architecture d'Endpoint Management Connector pour Exchange ActiveSync

Architecture de référence avec Citrix Gateway Connector pour Exchange ActiveSync

Diagramme de l'architecture Citrix Gateway Connector pour Exchange ActiveSync

Emplacements des ressources

Placez les emplacements de ressources là où ils répondent le mieux aux besoins de votre entreprise. Par exemple : dans un cloud public, une succursale, un cloud privé ou un centre de données. Facteurs qui peuvent déterminer le choix de l’emplacement :

  • Proximité des abonnés
  • Proximité des données
  • Exigences en matière de montée en charge
  • Attributs de sécurité

Vous pouvez créer n’importe quel nombre d’emplacements de ressources. Par exemple, vous pouvez :

  • Créer un emplacement de ressources dans votre centre de données pour le siège social en fonction des applications et des abonnés qui doivent être proches des données.
  • Ajouter un emplacement de ressources distinct pour vos utilisateurs internationaux dans un cloud public. Ou créer des emplacements de ressources distincts dans les succursales pour fournir les applications les plus utilisées à proximité des employés de la succursale.
  • Ajouter un autre emplacement de ressources sur un réseau distinct qui fournit des applications restreintes. Cette configuration offre une visibilité limitée aux autres ressources et abonnés sans avoir à ajuster les autres emplacements de ressources.

Cloud Connector

Citrix utilise Cloud Connector pour intégrer l’architecture Endpoint Management dans votre infrastructure existante. Cloud Connector authentifie et crypte toutes les communications entre Citrix Cloud et vos emplacements de ressources. Cloud Connector prend en charge tous les types d’authentification Endpoint Management.

Le schéma suivant illustre le flux du trafic pour Cloud Connector.

Schéma du flux du trafic pour Cloud Connector

Cloud Connector établit les connexions avec Citrix Cloud. Cloud Connector n’accepte pas les connexions entrantes.

Une solution qui inclut la gestion des applications mobiles (MAM) nécessite un micro-VPN fourni par une passerelle Citrix Gateway locale. Cloud Connector, Citrix Gateway et vos serveurs pour Exchange, applications Web, Active Directory et PKI résident dans votre centre de données. Les appareils mobiles communiquent avec Endpoint Management et votre Citrix Gateway sur site.

Composants Endpoint Management

Console Endpoint Management : Vous utilisez la console d’administration Endpoint Management pour configurer Endpoint Management. Pour de plus amples informations sur l’utilisation de la console Endpoint Management, consultez les articles sous Endpoint Management. Citrix vous avertit lorsque les articles Nouveautés Endpoint Management sont mis à jour pour une nouvelle version.

Tenez compte des différences suivantes entre le service Endpoint Management et les versions locales :

  • Le client d’assistance à distance n’est pas disponible dans Endpoint Management.
  • Les composants côté serveur de Endpoint Management ne sont pas conformes à la norme FIPS 140-2.
  • Citrix ne prend pas en charge l’intégration de syslog dans Endpoint Management avec un serveur syslog sur site. Au lieu de cela, vous pouvez télécharger les journaux à partir de la page de support dans la console Endpoint Management. Ce faisant, vous devez cliquer sur Tout télécharger.

MDX Service : Endpoint Management MDX Service peut encapsuler de manière sécurisée des applications qui ont été créées au sein de votre organisation ou hors de l’entreprise. Pour plus d’informations, veuillez consulter MDX Service.

Applications de productivité mobiles : Les applications de productivité mobiles développées par Citrix offrent une suite d’outils de productivité et de communication au sein de l’environnement Endpoint Management. Ce sont vos politiques d’entreprise qui sécurisent ces applications. Pour plus d’informations, veuillez consulter Applications de productivité mobiles.

Endpoint Management Connector pour Exchange ActiveSync : Endpoint Management Connector pour Exchange ActiveSync fournit un accès sécurisé à la messagerie aux utilisateurs qui utilisent des applications de messagerie mobile natives. Le connecteur pour Exchange ActiveSync fournit un filtrage ActiveSync au niveau du service Exchange. Par conséquent, le filtrage ne se produit qu’une fois que le courrier parvient au service Exchange, et non lorsqu’il entre dans l’environnement Endpoint Management. Le connecteur ne nécessite pas l’utilisation de Citrix Gateway. Vous pouvez déployer le connecteur sans modifier le routage du trafic ActiveSync existant. Pour plus d’informations, veuillez consulter Endpoint Management Connector pour Exchange ActiveSync.

Citrix Gateway Connector pour Exchange ActiveSync : Citrix Gateway Connector pour Exchange ActiveSync fournit un accès sécurisé à la messagerie aux utilisateurs qui utilisent des applications de messagerie mobile natives. Le connecteur pour Exchange ActiveSync fournit un filtrage ActiveSync sur le périmètre en utilisant Citrix Gateway comme proxy pour le trafic ActiveSync. Le composant de filtrage se trouve donc sur le chemin du flux de trafic de messagerie, interceptant le courrier à l’entrée ou à la sortie de l’environnement. Le connecteur pour Exchange ActiveSync agit comme un intermédiaire entre Citrix Gateway et Endpoint Management Server. Pour plus d’informations, veuillez consulter Citrix Gateway Connector pour Exchange ActiveSync.

Vue d’ensemble de la sécurité technique de Endpoint Management

Citrix Cloud gère le plan de contrôle pour les environnements Endpoint Management, y compris Endpoint Management Server, l’équilibrage de charge Citrix ADC et une base de données mono-locataire. Le service cloud s’intègre à un data center client à l’aide de Citrix Cloud Connector. Les clients Endpoint Management qui utilisent Cloud Connector gèrent généralement Citrix Gateway dans leurs data centers.

La figure suivante illustre le service et ses limites de sécurité.

Schéma des limites de sécurité

Les informations de cette section :

  • fournissent une introduction aux fonctionnalités de sécurité de Citrix Cloud ;
  • définissent la répartition des responsabilités entre Citrix et les clients pour la sécurisation du déploiement de Citrix Cloud ;
  • n’ont pas vocation à servir de guide de configuration et d’administration pour Citrix Cloud ou l’un de ses composants ou services.

Flux de données

Le plan de contrôle a un accès en lecture limité aux objets utilisateur et groupe à partir d’un répertoire client et d’autres services tels que DNS. Le plan de contrôle accède à ces services via Citrix Cloud Connector, qui utilise des connexions HTTPS sécurisées.

Les données de l’entreprise, telles que les e-mails, l’intranet et le trafic d’applications Web, circulent directement entre un appareil et les serveurs d’applications via Citrix Gateway. Citrix Gateway est déployé dans le data center du client.

Isolation des données

Le plan de contrôle stocke les métadonnées nécessaires à la gestion des appareils utilisateurs et de leurs applications mobiles. Le service lui-même consiste en une combinaison de composants multi-locataires et mono-locataires. Cependant, par l’architecture de service, les métadonnées client sont toujours stockées séparément pour chaque locataire et sécurisées à l’aide d’informations d’identification uniques.

Gestion des informations d’identification

Le service gère les types d’informations d’identification suivants :

  • Informations d’identification de l’utilisateur : les informations d’identification de l’utilisateur sont transmises de l’appareil au plan de contrôle via une connexion HTTPS. Le plan de contrôle valide ces informations d’identification avec un répertoire dans le répertoire du client sur une connexion sécurisée.
  • Informations d’identification d’administrateur : les administrateurs s’authentifient auprès de Citrix Cloud, qui utilise le système d’authentification de Citrix Online. Ce processus génère un jeton JWT (JSON Web Token) à usage unique, qui permet à l’administrateur d’accéder au service.
  • Informations d’identification Active Directory : le plan de contrôle requiert des informations d’identification de liaison pour lire les métadonnées d’utilisateur provenant d’Active Directory. Ces informations d’identification sont chiffrées à l’aide du chiffrement AES-256 et enregistrées dans une base de données par locataire.

Considérations de déploiement

Citrix vous recommande de consulter la documentation sur les meilleures pratiques publiées pour le déploiement de Citrix Gateway dans vos environnements.

Plus de ressources

Consultez les ressources suivantes pour de plus amples informations sur la sécurité :