Intégration de Endpoint Management

Cet article décrit les éléments à prendre en compte lors de la planification de l’intégration de Endpoint Management à votre réseau et à vos solutions. Par exemple, si vous utilisez déjà Citrix Gateway pour Citrix Virtual Apps and Desktops :

  • Devez-vous utiliser l’instance existante de Citrix Gateway ou une nouvelle instance dédiée ?
  • Voulez-vous intégrer à Endpoint Management les applications HDX publiées avec StoreFront ?
  • Avez-vous l’intention d’utiliser Citrix Files avec Endpoint Management ?
  • Avez-vous une solution de contrôle d’accès réseau que vous souhaitez intégrer à Endpoint Management ?

Citrix Gateway

Citrix Gateway est requis pour Endpoint Management. Citrix Gateway fournit un chemin micro VPN pour l’accès à toutes les ressources de l’entreprise et fournit une prise en charge de l’authentification forte à multi-facteurs.

Vous pouvez utiliser des instances de Citrix Gateway existantes ou en configurer de nouvelles pour Endpoint Management. Les sections suivantes expliquent les avantages et les inconvénients de l’utilisation d’instances Citrix Gateway dédiées existantes ou nouvelles.

Citrix Gateway MPX partagé avec une VIP Citrix Gateway créée pour Endpoint Management

Avantages :

  • Utilise une instance Citrix Gateway commune pour toutes les connexions distantes Citrix : Citrix Virtual Apps, VPN complet et VPN sans client.
  • Utilise les configurations Citrix Gateway existantes, telles que l’authentification par certificat et l’accès à des services tels que DNS, LDAP et NTP.
  • Utilise une seule licence de plateforme Citrix Gateway.

Inconvénients :

  • Il est plus difficile de planifier l’échelle du déploiement lorsque vous gérez deux cas d’utilisation très différents sur le même Citrix Gateway.
  • Parfois, vous avez besoin d’une version spécifique de Citrix Gateway pour une utilisation spécifique de Citrix Virtual Apps. Cette même version peut présenter des problèmes connus pour Endpoint Management. Ou Endpoint Management peut présenter des problèmes connus pour la version Citrix Gateway.
  • Si une instance de Citrix Gateway existe, vous ne pouvez pas exécuter l’assistant NetScaler for XenMobile une deuxième fois pour créer la configuration Citrix Gateway pour Endpoint Management.
  • Sauf lorsque des licences Platinum sont utilisées pour Citrix Gateway 11.1 ou version ultérieure : les licences d’accès utilisateur installées sur Citrix Gateway et requises pour la connectivité VPN sont regroupées. Comme ces licences sont disponibles pour tous les serveurs virtuels Citrix Gateway, des services autres que Endpoint Management peuvent potentiellement les consommer.

Instance VPX/MPX Citrix Gateway dédiée

Avantages :

Citrix recommande d’utiliser une instance dédiée de Citrix Gateway.

  • Plus facile à planifier en termes d’échelle et sépare le trafic Endpoint Management d’une instance Citrix Gateway qui pourrait déjà être limitée en ressources.
  • Évite les problèmes lorsque Endpoint Management et Citrix Virtual Apps nécessitent différentes versions du logiciel Citrix Gateway. Il est généralement préférable d’utiliser la dernière version/build de Citrix Gateway compatible pour Endpoint Management.
  • Permet la configuration Endpoint Management de Citrix Gateway via l’assistant NetScaler pour XenMobile intégré.
  • Séparation virtuelle et physique des services.

Inconvénients :

  • Nécessite l’installation de services supplémentaires sur Citrix Gateway pour prendre en charge la configuration Endpoint Management.
  • Nécessite une autre licence de plate-forme Citrix Gateway. Licence pour chaque instance Citrix Gateway pour Citrix Gateway.

Pour plus d’informations sur les éléments à prendre en compte lors de l’intégration de Citrix Gateway et Citrix ADC avec chaque mode de serveur Endpoint Management, consultez Intégration avec Citrix Gateway et Citrix ADC.

StoreFront

Si vous disposez d’un environnement Citrix Virtual Apps and Desktops, vous pouvez intégrer des applications HDX avec Endpoint Management à l’aide de StoreFront. Lorsque vous intégrez des applications HDX avec Endpoint Management :

  • Les applications sont disponibles pour les utilisateurs inscrits avec Endpoint Management.
  • Les applications s’affichent dans le magasin d’applications avec d’autres applications mobiles.
  • Endpoint Management utilise le site PNAgent (services) hérité sur StoreFront.
  • Lorsque l’application Citrix Workspace est installée sur un appareil, les applications HDX commencent à utiliser cette application.

StoreFront est limité à un site de services par instance. Supposons que vous ayez plusieurs magasins et que vous souhaitiez le séparer d’autres utilisations de production. Dans ce cas, Citrix vous recommande généralement d’envisager une nouvelle instance de StoreFront avec un nouveau site de services pour Endpoint Management.

Les points à prendre en compte sont les suivants :

  • Existe-t-il des exigences d’authentification différentes pour StoreFront ? Le site de services StoreFront nécessite des informations d’identification Active Directory pour la connexion. Les clients utilisant uniquement l’authentification par certificat ne peuvent pas énumérer les applications via Endpoint Management en utilisant la même instance de Citrix Gateway.
  • Utiliser le même magasin ou en créer un nouveau ?
  • Utiliser le même serveur StoreFront ou un serveur différent ?

Les sections suivantes indiquent les avantages et les inconvénients de l’utilisation d’instances StoreFront séparées ou combinées pour Citrix Workspace et pour les applications de productivité mobiles Citrix.

Intégrer votre instance StoreFront existante avec Endpoint Management

Avantages :

  • Même magasin : aucune configuration supplémentaire de StoreFront n’est requise pour Endpoint Management, à condition que vous utilisiez le même accès par VIP Citrix Gateway pour HDX. Supposons que vous choisissiez d’utiliser le même magasin et que vous souhaitiez diriger l’accès de Citrix Workspace vers une nouvelle VIP Citrix Gateway. Dans ce cas, ajoutez la configuration Citrix Gateway appropriée à StoreFront.
  • Même serveur StoreFront : utilise l’installation et la configuration de StoreFront existantes.

Inconvénients :

  • Même magasin : toute reconfiguration de StoreFront pour gérer les charges de travail Citrix Virtual Apps and Desktops peut également avoir un effet négatif sur Endpoint Management.
  • Même serveur StoreFront : dans les environnements de grande taille, considérez la charge supplémentaire que représente l’utilisation de PNAgent par Endpoint Management pour l’énumération et le démarrage des applications.

Utiliser une nouvelle instance StoreFront dédiée pour l’intégration avec Endpoint Management

Avantages :

  • Nouveau magasin : les modifications de configuration du magasin StoreFront pour Endpoint Management ne devraient pas affecter les charges de travail Citrix Virtual Apps and Desktops existantes.
  • Nouveau serveur StoreFront : les modifications de configuration du serveur ne devraient pas affecter le flux de travail Citrix Virtual Apps and Desktops. De plus, la charge hors de l’utilisation de PNAgent par Endpoint Management pour l’énumération et le lancement des applications ne devrait pas affecter la capacité à monter en charge.

Inconvénients :

  • Nouveau magasin : configuration du magasin StoreFront.
  • Nouveau serveur StoreFront : requiert une nouvelle installation et une nouvelle configuration de StoreFront.

Pour plus d’informations, voir Citrix Virtual Apps and Desktops via le magasin d’applications.

Citrix Files

Citrix Files permet aux utilisateurs d’accéder à toutes leurs données et de les synchroniser à partir de n’importe quel appareil. Avec Citrix Files, les utilisateurs peuvent partager des données en toute sécurité avec des personnes à l’intérieur et à l’extérieur de l’organisation. Si vous intégrez Citrix Files avec Endpoint Management, Endpoint Management peut fournir à Citrix Files les fonctions suivantes :

  • Authentification à connexion unique pour les utilisateurs de l’application Endpoint Management.
  • Provisionnement de compte d’utilisateur basé sur Active Directory.
  • Stratégies de contrôle d’accès complètes.

Les utilisateurs mobiles peuvent bénéficier de l’ensemble complet des fonctionnalités de Citrix Files Enterprise.

Vous pouvez également configurer Endpoint Management pour une intégration exclusivement avec des connecteurs StorageZone. Grâce aux connecteurs StorageZone, Citrix Files fournit un accès aux éléments suivants :

  • Documents et dossiers
  • Partages de fichiers réseau
  • Dans les sites SharePoint : collections de sites et bibliothèques de documents.

Les partages de fichiers connectés peuvent inclure les mêmes lecteurs réseau que ceux utilisés dans les environnements Citrix Virtual Apps and Desktops. La console Endpoint Management permet de configurer l’intégration avec les connecteurs Citrix Files Enterprise ou StorageZones. Pour plus d’informations, consultez la section Utilisation de Citrix Files avec Endpoint Management.

Les sections suivantes indiquent les questions à poser lors de la prise de décision concernant la conception pour Citrix Files.

Intégrer avec Citrix Files Enterprise ou connecteurs StorageZone uniquement

Questions à poser :

  • Avez-vous besoin de stocker des données dans des StorageZones gérés par Citrix ?
  • Voulez-vous fournir aux utilisateurs des fonctions de partage de fichiers et de synchronisation ?
  • Voulez-vous permettre aux utilisateurs d’accéder aux fichiers sur le site Web Citrix Files ? Ou d’accéder à du contenu Office 365 et à des connecteurs Personal Cloud depuis des appareils mobiles ?

Décision de conception :

  • Si la réponse à l’une de ces questions est « oui », effectuez une intégration avec Citrix Files Enterprise.
  • Une intégration avec des connecteurs StorageZone exclusivement donne aux utilisateurs iOS un accès mobile sécurisé aux référentiels de stockage locaux existants, tels que des sites SharePoint et des partages de fichiers réseau. Dans cette configuration, la configuration d’un sous-domaine Citrix Files, le provisioning d’utilisateurs pour Citrix Files ou l’hébergement de données Citrix Files ne sont pas nécessaires. L’utilisation de connecteurs StorageZone avec Endpoint Management est conforme aux restrictions de sécurité contre la fuite d’informations utilisateur en dehors du réseau d’entreprise.

Emplacement du serveur du contrôleur de StorageZone

Questions à poser :

  • Avez-vous besoin d’un stockage sur site ou de fonctionnalités telles que les connecteurs StorageZone ?
  • Si vous utilisez les fonctionnalités locales de Citrix Files, où se trouveront les contrôleurs de StorageZone sur le réseau ?

Décision de conception :

  • Déterminez si vous souhaitez localiser les serveurs du contrôleur StorageZone dans le cloud Citrix Files, dans votre système de stockage local à locataire unique ou dans un stockage cloud tiers pris en charge.
  • Les contrôleurs StorageZone ont besoin d’un accès à Internet pour communiquer avec le plan de contrôle Citrix Files. Vous pouvez vous connecter de plusieurs manières, y compris par accès direct ou configurations NAT / PAT.

Connecteurs StorageZone

Questions à poser :

  • Quels sont les chemins de partage CIFS ?
  • Quelles sont les URL SharePoint ?

Décision de conception :

  • Déterminez si les contrôleurs StorageZone locaux doivent accéder à ces emplacements.
  • En raison de la communication des connecteurs StorageZone avec des ressources internes telles que des référentiels de fichiers, des partages CIFS et SharePoint : Citrix recommande que les contrôleurs StorageZone résident dans le réseau interne derrière les pare-feu DMZ et devant Citrix Gateway.

Intégration de SAML avec Endpoint Management Enterprise

Questions à poser :

  • L’authentification avec Active Directory est-elle requise pour Citrix Files ?
  • La première utilisation de l’application Citrix Files pour Endpoint Management nécessite-t-elle une authentification unique ?
  • Existe-t-il un fournisseur d’identité standard dans votre environnement actuel ?
  • Combien de domaines sont requis pour utiliser SAML ?
  • Existe-t-il plusieurs alias d’adresse e-mail pour les utilisateurs d’Active Directory ?
  • Des migrations de domaine Active Directory sont-elles en cours ou prévues pour bientôt ?

Décision de conception :

Les environnements Endpoint Management Enterprise peuvent choisir d’utiliser SAML comme mécanisme d’authentification pour Citrix Files. Les options d’authentification sont les suivantes :

  • Utiliser le serveur Endpoint Management en tant que fournisseur d’identité (IdP) pour SAML

Cette option peut fournir une excellente expérience utilisateur et automatiser la création de compte Citrix Files, ainsi qu’activer les fonctionnalités SSO de l’application mobile.

  • Le serveur Endpoint Management est adapté à ce processus : il ne nécessite pas la synchronisation d’Active Directory.
  • Utilisez l’outil de gestion des utilisateurs Citrix Files pour provisionner des utilisateurs.
  • Utiliser un fournisseur tiers pris en charge en tant que fournisseur d’identité pour SAML

Si vous disposez déjà d’un fournisseur d’identité et pris en charge et que vous n’avez pas besoin de fonctionnalités d’authentification unique pour les applications mobiles, cette option peut vous convenir. Cette option nécessite également l’utilisation de l’outil de gestion des utilisateurs Citrix Files pour le provisionnement des comptes.

L’utilisation de solutions d’identité tierces telles qu’ADFS peut également fournir des fonctionnalités d’authentification unique du côté client Windows. Veillez à évaluer les cas d’utilisation avant de choisir votre fournisseur d’identité SAML Citrix Files.

En outre, pour satisfaire aux deux cas d’utilisation, vous pouvez Configurer ADFS et Endpoint Management en tant que fournisseur d’identité double.

Applications mobiles

Questions à poser :

  • Quelle application mobile Citrix Files envisagez-vous d’utiliser (public, MDM, MDX) ?

Décision de conception :

  • Vous pouvez distribuer les applications de productivité mobiles Citrix à partir de l’App Store d’Apple et de Google Play Store. Avec cette distribution depuis des magasins publics, vous obtenez des applications encapsulées à partir de la page de téléchargements Citrix.
  • Si la sécurité est faible et que vous n’avez pas besoin de conteneurisation, l’application publique Citrix Files peut ne pas convenir. Dans un environnement MDM exclusif, vous pouvez fournir la version MDM de l’application Citrix Files à l’aide de Endpoint Management en mode MDM.
  • Pour plus d’informations, consultez les sections Applications et Citrix Files pour Endpoint Management.

Sécurité, stratégies et contrôle d’accès

Questions à poser :

  • Quelles restrictions sont requises pour les utilisateurs de bureau, Web et mobiles ?
  • Quels paramètres de contrôle d’accès standard souhaitez-vous pour les utilisateurs ?
  • Quelle stratégie de rétention des fichiers comptez-vous utiliser ?

Décision de conception :

  • Citrix Files vous permet de gérer les autorisations des employés et la sécurité des appareils. Pour plus d’informations, consultez les sections Autorisations des employés et Gestion des appareils et des applications.
  • Certains paramètres de sécurité des appareils Citrix Files et certaines stratégies MDX contrôlent les mêmes fonctionnalités. Dans ce cas, les stratégies Endpoint Management sont prioritaires, suivies des paramètres de sécurité des appareils Citrix Files. Exemples : si vous désactivez des applications externes dans Citrix Files, mais les activez dans Endpoint Management, les applications externes sont désactivées dans Citrix Files. Vous pouvez configurer les applications pour que Endpoint Management n’exige pas de code PIN/code secret, mais que l’application Citrix Files requiert un code PIN/code secret.

StorageZones standard ou restreintes

Questions à poser :

  • Avez-vous besoin de StorageZones restreintes ?

Décision de conception :

  • Une StorageZone standard est conçue pour stocker les données à caractère non confidentiel et permet aux employés de partager des données avec des non-salariés. Cette option prend en charge les workflows qui impliquent le partage de données en dehors de votre domaine.
  • Une StorageZone restreinte protège les données confidentielles : seuls les utilisateurs de domaine authentifiés peuvent accéder aux données stockées dans la zone.

Contrôle d’accès

Les entreprises peuvent désormais gérer les appareils mobiles à l’intérieur et à l’extérieur des réseaux. Les solutions de gestion de la mobilité d’entreprise telles que Endpoint Management sont excellentes pour fournir sécurité et contrôle pour les appareils mobiles, indépendamment de leur emplacement. Toutefois, en intégrant aussi une solution de contrôle d’accès réseau (NAC), vous pouvez ajouter une qualité de service et un contrôle plus précis aux appareils internes de votre réseau. Cette combinaison vous permet d’étendre l’évaluation de la sécurité des appareils Endpoint Management via votre solution NAC. Votre solution NAC peut ensuite utiliser l’évaluation de sécurité Endpoint Management pour faciliter et gérer les décisions d’authentification. Citrix a validé l’intégration de NAC avec Endpoint Management pour le moteur de services d’identité Cisco (ISE) ou ForeScout. Citrix ne garantit pas l’intégration avec d’autres solutions NAC.

Les avantages d’une intégration de solution NAC avec Endpoint Management sont les suivants :

  • Sécurité, conformité et contrôle améliorés pour tous les points de terminaison sur un réseau d’entreprise.
  • Une solution NAC peut :
    • Détecter les appareils au moment où ils tentent de se connecter à votre réseau.
    • Interroger Endpoint Management sur les attributs de l’appareil.
    • Utiliser ensuite ces informations pour déterminer si ces appareils doivent être autorisés, bloqués, limités ou redirigés. Ces décisions dépendent des stratégies de sécurité que vous choisissez d’appliquer.
  • Une solution NAC fournit aux administrateurs informatiques une vue des appareils non gérés et non conformes.

Vous trouverez une description des filtres de conformité NAC pris en charge par Endpoint Management dans la section Contrôle d’accès réseau.

Intégration de Endpoint Management