À propos de Endpoint Management

Choisissez une offre Endpoint Management pour la gestion des appareils mobiles (MDM), la gestion des applications mobiles (MAM), ou bien des deux.

Par exemple, si vous utilisez uniquement les fonctionnalités MDM de Endpoint Management, vous pouvez :

  • Déployer des applications et des stratégies d’appareil
  • Récupérer des inventaires logiciels
  • Effectuer des actions sur les appareils, telles que l’effacement

Si vous utilisez uniquement les fonctionnalités MAM de Endpoint Management, vous pouvez :

  • Sécuriser les applications et données sur les appareils mobiles BYO
  • Mettre à disposition des applications mobiles d’entreprise
  • Verrouiller les applications et effacer leurs données

Si vous utilisez à la fois les fonctionnalités MDM et MAM, vous pouvez :

  • Gérer un appareil fourni par l’entreprise via MDM
  • Déployer des applications et des stratégies d’appareil
  • Récupérer un inventaire logiciel
  • Effacer des appareils
  • Mettre à disposition des applications mobiles d’entreprise
  • Verrouiller des applications et effacer les données sur les appareils

Pour plus d’informations sur les offres Endpoint Management, consultez cette fiche technique.

Architecture

Les besoins en matière de gestion des applications ou appareils de votre organisation déterminent les composants Endpoint Management de votre architecture Endpoint Management. Les composants Endpoint Management sont modulaires et complémentaires. Par exemple, pour accorder aux utilisateurs un accès à distance à des applications mobiles et pour connaître les types d’appareils des utilisateurs, votre déploiement inclut NetScaler Gateway. Endpoint Management est l’emplacement à partir duquel vous gérez les applications et les appareils ; NetScaler Gateway permet aux utilisateurs de se connecter à votre réseau.

Le schéma suivant illustre une architecture générale d’un déploiement cloud de Endpoint Management et son intégration avec votre data center :

Schéma d'une architecture générale

Les sous-sections suivantes contiennent des diagrammes d’architecture de référence pour l’instance Endpoint Management principale et pour les composants facultatifs tels qu’une autorité de certification externe et XenMobile Mail Manager.

Pour plus d’informations sur la configuration requise pour NetScaler et NetScaler Gateway, consultez la documentation du produit Citrix à l’adresse docs.citrix.com/fr-fr.html.

Architecture de référence principale

Pour les exigences en matière de port, consultez la section Configuration système requise.

Schéma d'une architecture principale

Architecture de référence avec une autorité de certification externe

Schéma d'une architecture avec autorité de certification externe

Architecture de référence avec XenApp et XenDesktop

Schéma d'une architecture avec XenApp et XenDesktop

Architecture de référence avec XenMobile Mail Manager

Schéma d'une architecture avec XenMobile Mail Manager

Architecture de référence avec XenMobile NetScaler Connector

Schéma d'une architecture avec XenMobile NetScaler Connector

Emplacements des ressources

Placez les emplacements de ressources là où ils répondent le mieux aux besoins de votre entreprise. Par exemple : dans un cloud public, une succursale, un cloud privé ou un centre de données. Facteurs qui peuvent déterminer le choix de l’emplacement :

  • Proximité des abonnés
  • Proximité des données
  • Exigences en matière de montée en charge
  • Attributs de sécurité

Vous pouvez créer n’importe quel nombre d’emplacements de ressources. Par exemple, vous pouvez :

  • Créer un emplacement de ressources dans votre centre de données pour le siège social en fonction des applications et des abonnés qui doivent être proches des données.
  • Ajouter un emplacement de ressources distinct pour vos utilisateurs internationaux dans un cloud public. Ou créer des emplacements de ressources distincts dans les succursales pour fournir les applications les plus utilisées à proximité des employés de la succursale.
  • Ajouter un autre emplacement de ressources sur un réseau distinct qui fournit des applications restreintes. Cette configuration offre une visibilité limitée aux autres ressources et abonnés sans avoir à ajuster les autres emplacements de ressources.

Cloud Connector

Citrix utilise Cloud Connector pour intégrer l’architecture Endpoint Management dans votre infrastructure existante. Cloud Connector authentifie et crypte toutes les communications entre Citrix Cloud et vos emplacements de ressources. Cloud Connector prend en charge tous les types d’authentification Endpoint Management.

Le schéma suivant illustre le flux du trafic pour Cloud Connector.

Schéma du flux du trafic pour Cloud Connector

Cloud Connector établit les connexions avec Citrix Cloud. Cloud Connector n’accepte pas les connexions entrantes.

Une solution qui inclut la gestion des applications mobiles (MAM) nécessite un micro-VPN fourni par une passerelle NetScaler Gateway locale. Cloud Connector, NetScaler Gateway et vos serveurs pour Exchange, applications Web, Active Directory et PKI résident dans votre centre de données. Les appareils mobiles communiquent avec Endpoint Management et votre NetScaler Gateway sur site.

Composants Endpoint Management

Console Endpoint Management : Vous utilisez la console d’administration Endpoint Management pour configurer Endpoint Management. Pour de plus amples informations sur l’utilisation de la console Endpoint Management, consultez les articles sous Endpoint Management. Citrix vous avertit lorsque les articles Nouveautés Endpoint Management sont mis à jour pour une nouvelle version.

Tenez compte des différences suivantes entre le service Endpoint Management et les versions locales :

  • Le client d’assistance à distance n’est pas disponible dans Endpoint Management.
  • Les composants côté serveur de Endpoint Management ne sont pas conformes à la norme FIPS 140-2.
  • Citrix ne prend pas en charge l’intégration de syslog dans Endpoint Management avec un serveur syslog sur site. Au lieu de cela, vous pouvez télécharger les journaux à partir de la page de support dans la console Endpoint Management. Ce faisant, vous devez cliquer sur Tout télécharger.

MDX Service : Endpoint Management MDX Service peut encapsuler de manière sécurisée des applications qui ont été créées au sein de votre organisation ou hors de l’entreprise. Pour plus d’informations, consultez la section MDX Service.

Applications de productivité mobiles : Les applications de productivité mobiles développées par Citrix offrent une suite d’outils de productivité et de communication au sein de l’environnement Endpoint Management. Ce sont vos politiques d’entreprise qui sécurisent ces applications. Pour de plus amples informations, consultez la section Applications de productivité mobiles.

XenMobile Mail Manager. XenMobile Mail Manager fournit un accès sécurisé à la messagerie aux utilisateurs qui utilisent des applications de messagerie mobile natives. XenMobile Mail Manager fournit un filtrage ActiveSync au niveau du service Exchange. Par conséquent, le filtrage ne se produit qu’une fois que le courrier parvient au service Exchange, et non lorsqu’il entre dans l’environnement Endpoint Management. XenMobile Mail Manager ne nécessite pas l’utilisation de NetScaler. Vous pouvez déployer XenMobile Mail Manager sans modifier le routage du trafic ActiveSync existant. Pour plus d’informations, consultez la section XenMobile Mail Manager.

XenMobile NetScaler Connector. XenMobile NetScaler Connector fournit un accès sécurisé à la messagerie aux utilisateurs qui utilisent des applications de messagerie mobile natives. XenMobile NetScaler Connector fournit un filtrage ActiveSync sur le périmètre en utilisant NetScaler comme proxy pour le trafic ActiveSync. Par conséquent, le composant de filtrage se trouve dans le chemin du flux du trafic de messagerie, interceptant le courrier entrant et sortant de l’environnement. XenMobile NetScaler Connector agit comme un intermédiaire entre NetScaler et le serveur Endpoint Management. Pour plus d’informations, consultez XenMobile NetScaler Connector.

Vue d’ensemble de la sécurité technique associée à Endpoint Management

Citrix Cloud gère le plan de contrôle pour les environnements Endpoint Management, y compris le serveur Endpoint Management, l’équilibrage de charge NetScaler et une base de données mono-locataire. Le service cloud s’intègre à un data center client à l’aide de Citrix Cloud Connector. Les clients de Endpoint Management qui utilisent Cloud Connector gèrent généralement NetScaler Gateway dans leurs data centers.

La figure suivante illustre le service et ses limites de sécurité.

Schéma des limites de sécurité

Les informations de cette section :

  • fournissent une introduction aux fonctionnalités de sécurité de Citrix Cloud ;
  • définissent la répartition des responsabilités entre Citrix et les clients pour la sécurisation du déploiement de Citrix Cloud ;
  • n’ont pas vocation à servir de guide de configuration et d’administration pour Citrix Cloud ou l’un de ses composants ou services.

Flux de données

Le plan de contrôle a un accès en lecture limité aux objets utilisateur et groupe à partir d’un répertoire client et d’autres services tels que DNS. Le plan de contrôle accède à ces services via Citrix Cloud Connector, qui utilise des connexions HTTPS sécurisées.

Les données de l’entreprise, telles que les e-mails, l’intranet et le trafic d’applications Web, circulent directement entre un appareil et les serveurs d’applications via NetScaler Gateway. NetScaler Gateway est déployé dans le data center du client.

Isolation des données

Le plan de contrôle stocke les métadonnées nécessaires à la gestion des appareils utilisateurs et de leurs applications mobiles. Le service lui-même consiste en une combinaison de composants multi-locataires et mono-locataires. Cependant, par l’architecture de service, les métadonnées client sont toujours stockées séparément pour chaque locataire et sécurisées à l’aide d’informations d’identification uniques.

Gestion des informations d’identification

Le service gère les types d’informations d’identification suivants :

  • Informations d’identification de l’utilisateur : les informations d’identification de l’utilisateur sont transmises de l’appareil au plan de contrôle via une connexion HTTPS. Le plan de contrôle valide ces informations d’identification avec un répertoire dans le répertoire du client sur une connexion sécurisée.
  • Informations d’identification d’administrateur : les administrateurs s’authentifient auprès de Citrix Cloud, qui utilise le système d’authentification de Citrix Online. Ce processus génère un jeton JWT (JSON Web Token) à usage unique, qui permet à l’administrateur d’accéder au service.
  • Informations d’identification Active Directory : le plan de contrôle requiert des informations d’identification de liaison pour lire les métadonnées d’utilisateur provenant d’Active Directory. Ces informations d’identification sont chiffrées à l’aide du chiffrement AES-256 et enregistrées dans une base de données par locataire.

Considérations de déploiement

Citrix vous recommande de consulter la documentation sur les meilleures pratiques publiées pour le déploiement de NetScaler Gateway dans vos environnements.

Plus de ressources

Consultez les ressources suivantes pour de plus amples informations sur la sécurité :