Intégration et configuration des ressources

Si vous découvrez Citrix, Citrix Cloud ou Endpoint Management, cet article vous guidera tout au long de l’intégration. Découvrez le workflow et les détails dont vous avez besoin pour la mise en route.

  • Par où dois-je commencer ?
  • L’ordre de configuration est-il important ? Cet article suit une séquence de configuration recommandée. Vous pouvez suivre un ordre différent. La console Endpoint Management vous permet de déterminer si des conditions préalables sont manquantes, via des messages tels que « Configurer après le provisioning ».

Faites-nous part de vos commentaires sur la nouvelle expérience de console dans Endpoint Management à l’aide du lien Commentaires sur la console Citrix Endpoint Management Console.

Pour les nouveaux clients Citrix

Pour les clients Citrix Cloud qui découvrent Endpoint Management :

Si vous avez déjà acheté un abonnement Endpoint Management, vous pouvez passer directement à la section Lorsque le bouton Gérer est disponible.

Si vous avez déjà configuré un compte Citrix Cloud, mais que vous n’avez pas acheté Endpoint Management, demandez une démo de service.

  1. Utilisez vos informations d’identification d’administrateur Citrix Cloud pour vous connecter à votre compte Citrix Cloud. La page d’accueil de Citrix Cloud s’affiche.

    Tous les comptes administrateur Citrix Cloud sont créés comme suit :

    • Par défaut, les administrateurs de Citrix Cloud sont créés en tant qu’administrateurs de Endpoint Management.
    • Les administrateurs Citrix Cloud créés avec un accès client doivent avoir sélectionné Endpoint Management pour pouvoir administrer Endpoint Management.
  2. Sur la page d’accueil de Citrix Cloud, recherchez la vignette des services Endpoint Management et cliquez sur Demander une démo. Une page de demande de démo s’affiche.

    Page de demande de démo Citrix Cloud

  3. Remplissez le formulaire et envoyez-le. Le bouton de la vignette des services Endpoint Management indique Démo demandée.

Si vous cliquez sur la vignette des services Endpoint Management avant que votre demande ne soit traitée, l’écran suivant s’affiche. Nous vous conseillons de contacter votre technicien ou votre partenaire. Un représentant commercial Citrix peut fournir des informations et des détails complémentaires sur le service.

Page d'entrée en contact avec un représentant commercial

En attendant la version d’évaluation, assurez-vous de préparer votre déploiement de Endpoint Management en consultant la section Configuration système requise. Si Citrix héberge et met à disposition votre solution Endpoint Management, certaines exigences doivent être respectées en matière de communication et de port.

Passez à la section suivante.

Lorsque le bouton Gérer est disponible

Lorsque votre service Endpoint Management est disponible, le bouton de la vignette des services Endpoint Management indiqueGérer.

Bouton Gérer de Endpoint Management

Pour démarrer la configuration :

  1. Connectez-vous à votre compte Citrix Cloud à l’aide de vos informations d’identification d’administrateur Citrix Cloud.
  2. Cliquez sur Gérer dans la vignette Endpoint Management.
  3. Entrez le nom de votre site et sélectionnez une région.

Page de détails du site Endpoint Management

Remarque :

Pour demander la mise en liste blanche d’adresses IP, contactez le technicien Citrix.

La console Endpoint Management s’ouvre avec un message d’état de provisioning.

Message d'état de provisioning de Endpoint Management

  1. Dans l’écran Bienvenue, cliquez sur Démarrer la configuration .
  2. Sélectionnez les points de terminaison que vous souhaitez gérer. Vous pouvez ajouter ou effacer des points de terminaison à tout moment pour les afficher ou les masquer dans la console. L’affichage et le masquage des points de terminaison n’affectent pas votre configuration.

Page d'ajout de points de terminaison de Endpoint Management

Citrix vous envoie un e-mail lorsque le provisioning est terminé.

Centre de ressources

Icône Centre de ressources Cliquez sur l’icône Centre de ressources pour visionner des didacticiels vidéo sans quitter la console.

Liste de vidéos

Pendant le provisioning

Pendant que nous provisionnons Endpoint Management, vous pouvez commencer la configuration.

Configurer les emplacements des ressources

Vous avez besoin d’emplacements de ressources pour pouvoir configurer des connexions LDAP (Lightweight Directory Access Protocol) pour Endpoint Management. Les emplacements de ressources contiennent les ressources requises pour fournir des services cloud à vos abonnés. Vous avez besoin d’un emplacement de ressources par domaine. Pour obtenir de l’aide, consultez l’article Citrix Cloud, Emplacements des ressources.

En attendant la version d’évaluation, assurez-vous de préparer votre déploiement de Endpoint Management en consultant la section Configuration système requise. Si Citrix héberge et met à disposition votre solution Endpoint Management, il existe certaines exigences en matière de communication et de port. Cette configuration connecte l’infrastructure Endpoint Management aux services d’entreprise, tels que Active Directory. Les informations que vous devez fournir sont incluses dans le manuel Manuel d’intégration sous « Endpoint Management Trial Sales Engineer engagement ».

Une fois que vous êtes autorisé à accéder à la version d’évaluation, le bouton de Endpoint Management indique Gérer. Cliquez sur Gérer pour ouvrir la console Citrix Endpoint Management.

Configurer LDAP

Une fois votre site configuré, vous pouvez poursuivre la configuration. Nous vous recommandons de commencer par l’authentification LDAP pour importer des groupes, des comptes utilisateur et les propriétés associées. Dans le cadre de ce processus, vous devez installer au moins un Cloud Connector.

Pour un aperçu rapide, visionnez cette vidéo.

Icône vidéo

Pour configurer LDAP :

  1. Sur la page Paramètres, faites défiler l’affichage jusqu’à la vignette LDAP, puis cliquez sur Configurer .
  2. Suivez les instructions à l’écran pour télécharger et installer un Cloud Connector. Les composants Cloud Connector sont requis pour établir la communication entre Citrix Cloud et vos ressources. Pour obtenir de l’aide, reportez-vous à Citrix Cloud Connector.

Après avoir configuré LDAP, vous pouvez poursuivre la configuration de l’authentification ou configurer une plate-forme spécifique.

Configurer Citrix Gateway

Lorsqu’il est intégré à Endpoint Management, Citrix Gateway fournit un accès à distance à votre réseau interne et à vos ressources.

Endpoint Management requiert l’installation d’une passerelle Citrix Gateway pour les scénarios suivants :

  • Vous avez besoin d’un micro VPN pour accéder aux ressources réseau internes pour les applications métier. Ces applications sont encapsulées avec la technologie Citrix MDX. Le micro VPN a besoin de Citrix Gateway pour se connecter aux infrastructures back-end internes.
  • Vous prévoyez d’utiliser Endpoint Management pour gérer les applications (MAM ou MDM + MAM). Citrix Gateway n’est pas nécessaire pour gérer uniquement les appareils (MDM).
  • Vous envisagez d’intégrer Endpoint Management à Microsoft Intune/EMS. (Nécessite une passerelle Citrix Gateway locale.)

Citrix propose des solutions Citrix Gateway basées sur le cloud et locales. Toutefois, seuls les clients disposant de droits sur le service Citrix Gateway peuvent configurer le service basé sur le cloud.

Pour un aperçu rapide, visionnez cette vidéo.

Icône vidéo

Important :

Après la configuration d’une solution Citrix Gateway, le passage à une autre solution nécessite de réinscrire les appareils. Si vous utilisez déjà une instance Citrix Gateway locale et que vous souhaitez passer au service Citrix Gateway, contactez votre représentant commercial Citrix. Pour connaître les pré-requis, consultez la section Pour utiliser le service Citrix Gateway dans cet article.

Le tableau suivant récapitule les fonctionnalités prises en charge par les solutions Citrix Gateway basées sur le cloud et sur site.

Fonctionnalités prises en charge Service Citrix Gateway Citrix Gateway sur site
Secure Mail (STA)* oui oui
Tunnel - SSO Web (authentification unique Web) oui oui
VPN complet non oui
Per App VPN non oui
Authentification unique mobile (contrôle d’accès) oui non
Haute disponibilité oui oui**
Déploiement multi-POP oui oui***
Prise en charge des proxys oui oui
Split tunneling non oui
Split DNS non oui

* Configuration du service Citrix Cloud Secure Ticket Authority (STA)

** Configuration locale

*** Configuration de l’équilibrage de charge globale des serveurs

Cas d’utilisation du service Citrix Gateway (version préliminaire)

Le service Citrix Gateway est disponible en version préliminaire. Pour obtenir de l’aide avec cette version, accédez à Commentaires sur la Tech Preview de Citrix Gateway Service et Authentification unique (SSO) mobile.

Utilisez le service Citrix Gateway basé sur le cloud avec Endpoint Management lorsque :

  • Vous souhaitez utiliser l’expérience d’authentification unifiée fournie par Citrix Cloud. Le service Citrix Gateway utilise le fournisseur d’identité Citrix pour gérer les informations d’identité de tous les utilisateurs de votre compte Citrix Cloud.
  • Vous envisagez d’utiliser des applications de productivité mobiles, telles que Citrix Secure Mail ou Secure Web. Citrix Gateway fournit une connexion VPN d’application à la demande que Secure Hub lance sur les appareils mobiles pour accéder aux sites ou ressources réseau d’entreprise.

Cette variante d’un VPN sans client est également connue sous le nom de « Tunnel - SSO Web ». Les connexions telles que le trafic Web qui se connecte au réseau interne utilisent Tunnel - SSO Web. Nous recommandons l’option Tunnel - SSO Web pour les connexions nécessitant une authentification unique.

Fonctionnement du service Citrix Gateway

Le trafic de contrôle MDM et MAM s’achemine directement vers Citrix Endpoint Management, sans passer par le service Citrix Gateway. Tout le trafic envoyé à Citrix Gateway est dirigé vers le Gateway Connector sur site.

Le service Citrix Gateway n’est pas utilisé lors de l’inscription d’appareils dans Endpoint Management. Pour les applications de productivité mobiles Citrix :

  • Secure Hub utilise un certificat pour le trafic de contrôle MAM.
  • Secure Mail utilise le service Citrix Cloud Secure Ticket Authority (STA).

    Remarque :

    Le service Citrix Gateway utilise l’emplacement de ressources principal.

  • Citrix Gateway fournit une connexion VPN d’application à la demande. Secure Hub lance cette connexion sur les appareils mobiles pour accéder aux sites ou ressources réseau d’entreprise.

Présentation de l'architecture du service Citrix Gateway

Le service Citrix Gateway n’est pas utilisé lors de l’inscription d’appareils dans Endpoint Management. Une fois l’inscription effectuée, le trafic de contrôle MDM s’achemine directement vers Citrix Endpoint Management, sans passer par le service Citrix Gateway. Le trafic de contrôle MAM passe par le service Citrix Gateway. Tout le trafic envoyé à Citrix Gateway est dirigé vers le Gateway Connector sur site.

Pour obtenir un diagramme du flux de trafic plus détaillé, consultez la section Support for Citrix Endpoint Management. Pour connaître la configuration requise des ports de Gateway Connector, consultez la section Gateway Connector.

Les types d’authentification suivants sont pris en charge pour l’intégration du service Citrix Gateway avec Endpoint Management :

  • Basic, Digest, NTLM
  • Authentification unique KCD (délégation Kerberos contrainte) ; authentification unique basée sur un formulaire
  • Authentification unique SAML

Pour utiliser le service Citrix Gateway :

Pré-requis :

  • Expérience Citrix Workspace activée

    • Lorsque Citrix Workspace est activé, l’inscription des utilisateurs démarre l’application Workspace. Lorsque Secure Hub détecte l’autorisation Workspace, il termine l’inscription. Secure Hub ouvre ensuite Citrix Workspace, où les utilisateurs peuvent accéder à leurs applications et à d’autres ressources.
  • Abonnement au service Citrix Gateway

    • Si vous utilisez déjà une instance Citrix Gateway locale et que vous souhaitez passer au service Citrix Gateway, contactez votre représentant commercial Citrix. Pour passer d’une instance Citrix Gateway sur site au service Citrix Gateway, vous devez réinscrire les appareils.
    • Nouveaux clients Endpoint Management : sélectionnez le service Citrix Gateway lors de l’intégration de Endpoint Management.
  • Gateway Connector installé sur site dans un emplacement de ressource

    • Endpoint Management utilise l’emplacement de ressources pour Gateway Connector uniquement pour les tickets STA pour Secure Mail. Citrix Gateway envoie le trafic STA à Gateway Connector dans l’emplacement de ressources.
    • Vous pouvez installer une ou plusieurs instances Gateway Connector dans un emplacement de ressources. Endpoint Management ne prend pas en charge les instances Gateway Connector installées dans plusieurs emplacements de ressources.
    • Vous pouvez installer Gateway Connector dans le même emplacement de ressources qu’Active Directory ou dans un emplacement différent. Le seul rôle d’Active Directory consiste à utiliser l’authentification Citrix Cloud pour authentifier les utilisateurs auprès du service Citrix Gateway. Le service Citrix Gateway crée des connexions de session à Gateway Connector pour les utilisateurs authentifiés. Vous pouvez disposer de plusieurs répertoires Active Directory.
    • Si le connecteur n’est pas disponible lors de l’intégration de Citrix Endpoint Management, vous pouvez l’installer après l’intégration.

    Pour plus d’informations, veuillez consulter Citrix Gateway Connector et Configuration système requise.

Citrix recommande aux nouveaux clients Endpoint Management de configurer le service Citrix Gateway plutôt qu’une passerelle Citrix Gateway locale :

Pour configurer le service Citrix Gateway :

  1. Sur la page Paramètres, faites défiler l’affichage jusqu’à la vignette Citrix Gateway, puis cliquez sur Configurer.
  2. Choisissez le service Citrix Gateway (cloud) comme type. Seuls les clients disposant de droits sur le service Citrix Gateway peuvent afficher ce paramètre.
  3. Suivez les instructions à l’écran. Pour plus d’informations, veuillez consulter la section Configurer une passerelle Citrix Gateway locale pour une utilisation avec Endpoint Management.

Cas d’utilisation de la passerelle Citrix Gateway locale

Utilisez une ou plusieurs appliances Citrix Gateway sur site avec Endpoint Management lorsque :

  • Vous avez besoin de fonctionnalités Per App VPN.
  • Vous avez besoin d’un tunneling complet, d’un split tunneling, d’un split tunneling inversé ou d’un split DNS. Un tunnel VPN complet est recommandé pour les connexions qui utilisent des certificats clients ou des connexions SSL de bout en bout vers une ressource dans le réseau interne.
  • Vous utilisez l’Intégration de Citrix Endpoint Management à Microsoft Intune/EMS

L’utilisation de la passerelle Citrix Gateway locale implique une configuration et une maintenance importantes. Après avoir configuré LDAP et Citrix Gateway dans la console Endpoint Management, vous exportez un script à partir de cette console. Vous exécutez ensuite le script sur Citrix Gateway.

  1. Sur la page Paramètres, faites défiler l’affichage jusqu’à la vignette Citrix Gateway, puis cliquez sur Configurer.
  2. Choisissez le type Citrix Gateway (local).
  3. Suivez les instructions à l’écran. Pour plus d’informations, veuillez consulter la section Configurer une passerelle Citrix Gateway locale pour une utilisation avec Endpoint Management.

Configurer le serveur de notification

Pour envoyer des notifications, vous devez configurer une passerelle et un serveur de notification. Un serveur de notification assure la connectivité et la possibilité de communication entre les utilisateurs et l’administrateur. Pour configurer un serveur de notifications dans Endpoint Management, reportez-vous à la section Notifications.

Configurer un certificat APNs (Apple Push Notification service) pour les appareils Apple

Pour inscrire et gérer des appareils Apple, Endpoint Management requiert un certificat APNs (Apple Push Notification service). Endpoint Management requiert également un certificat APNs si vous envisagez d’utiliser des notifications push pour Secure Mail pour Apple. Pour plus d’informations sur Endpoint Management et APNs, reportez-vous à la section Notifications push pour Secure Mail pour iOS.

L’obtention d’un certificat Apple nécessite un identifiant Apple ID et un compte de développeur. Pour plus de détails, consultez le site Web Apple Developer Program.

Pour un aperçu rapide, visionnez cette vidéo.

Icône vidéo

Pour configurer APNs avec une demande de signature de certificat Citrix :

  1. Sur la page Paramètres, développez la vignette Apple.
  2. Sur la vignette Certificat APNs, cliquez sur Configurer, puis suivez les instructions à l’écran.

Écran de configuration d'une CSR Citrix pour APNs

Pour de plus amples informations, consultez la section Certificats et authentification.

Configurer Android Enterprise

Endpoint Management est entièrement configuré après la création de groupes de mise à disposition et l’affectation d’utilisateurs aux groupes de mise à disposition via la bibliothèque cloud. À partir de ce moment, l’administration de Endpoint Management se déroule au sein de Citrix Cloud. L’interface combinée simplifie le basculement entre Citrix Cloud et Endpoint Management.

Vous pouvez configurer Android Enterprise pour Endpoint Management avec Google Play ou G Suite.

  1. Si votre organisation n’utilise pas G Suite : vous pouvez utiliser Google Play pour enregistrer Citrix en tant que fournisseur EMM. Si vous utilisez un Google Play d’entreprise, vous provisionnez des comptes Google Play d’entreprise pour les appareils et les utilisateurs. Les comptes Google Play d’entreprise permettent d’accéder à la plate-forme Google Play d’entreprise, ce qui permet aux utilisateurs d’installer et d’utiliser les applications professionnelles que vous mettez à leur disposition. Si votre organisation utilise un service d’identité tiers, vous pouvez lier des comptes Google Play d’entreprise à vos comptes d’identité existants.

    Comme ce type d’entreprise n’est pas lié à un domaine, vous pouvez créer plusieurs entreprises pour une seule organisation. Par exemple, chaque département ou région d’une organisation peut s’inscrire en tant qu’entreprise différente. Cette configuration vous permet d’utiliser différentes entreprises pour gérer des ensembles distincts d’appareils et d’applications.

  2. Si votre organisation utilise déjà G Suite pour permettre aux utilisateurs d’accéder aux applications Google : vous pouvez utiliser G Suite pour enregistrer Citrix comme fournisseur EMM. Si votre organisation utilise G Suite, elle dispose d’un identifiant d’entreprise et de comptes Google existants pour les utilisateurs. Pour utiliser Endpoint Management avec G Suite, vous synchronisez vos données avec votre annuaire LDAP et récupérez les informations de compte Google à partir de Google à l’aide de l’API Google Directory.

    Ce type d’entreprise est lié à un domaine existant. Par conséquent, chaque domaine ne peut créer qu’une seule entreprise. Pour inscrire un appareil dans Endpoint Management, chaque utilisateur doit se connecter manuellement avec son compte Google existant. Le compte permet aux utilisateurs d’accéder au Google Play d’entreprise et à d’autres services Google via votre abonnement G Suite.

Pour un aperçu rapide, visionnez cette vidéo.

Icône vidéo

Pour commencer :

  1. Sur la page Paramètres, développez la vignette Android.
  2. Sur la vignette Android Enterprise, cliquez sur Configurer.
  3. Choisissez Google Play ou G Suite, en fonction de la façon dont vous accordez aux utilisateurs l’accès aux applications Google. Si vous avez précédemment configuré la plate-forme Android Enterprise avec Google Play, l’interface utilisateur vous dirige vers la boutique Google Play pour vous réinscrire. Cliquez sur le bouton Réinscription, revenez à la console CEM et actualisez la page.
  4. Suivez ensuite les instructions à l’écran.

Écran de sélection de Google Play ou G Suite pour Android Enterprise

Voir :

  1. Google Play d’entreprise ou G Suite
  2. Créer un compte Android Entreprise

Configurer Firebase Cloud Messaging

Citrix recommande d’utiliser Firebase Cloud Messaging (FCM) pour contrôler quand et comment les appareils Android se connectent à Endpoint Management. Endpoint Management envoie des notifications de connexion aux appareils Android activés pour FCM. Toute action de sécurité ou commande de déploiement déclenche une notification push afin d’inviter l’utilisateur à se reconnecter au serveur Endpoint Management. Voir Firebase Cloud Messaging.

Intégrer à Microsoft EMS/Intune

L’intégration de Endpoint Management à Microsoft Enterprise Mobility + Security (EMS) / Intune ajoute la valeur du micro VPN de Endpoint Management aux applications compatibles Microsoft Intune, telles que Microsoft Managed Browser.

L’intégration de Endpoint Management à EMS/Intune permet également aux entreprises d’encapsuler leurs propres applications métier avec Intune et Citrix. L’encapsulation d’applications fournit des fonctionnalités de micro-VPN à l’intérieur d’un conteneur de gestion des applications mobiles (MAM) Intune. Le micro VPN de Endpoint Management permet à vos applications d’accéder aux ressources locales. Effectuez la gestion et la mise à disposition des applications Office 365, des applications métier et de Citrix Secure Mail dans un même conteneur. Un conteneur unique assure une sécurité et une productivité optimales.

  • Par défaut, les administrateurs de Citrix Cloud sont créés en tant qu’administrateurs de Endpoint Management.
  • Les administrateurs Citrix Cloud créés avec un accès client doivent avoir sélectionné Endpoint Management pour pouvoir administrer Endpoint Management.

Dans la console Endpoint Management, vous ne pouvez modifier que le rôle et l’appartenance d’un utilisateur. Pour modifier un rôle à tout moment, accédez à la console Endpoint Management à partir du tableau de bord Citrix Cloud. Accédez à l’onglet Gérer et cliquez sur Utilisateurs. Sélectionnez un utilisateur spécifique et cliquez sur Modifier pour modifier le rôle. Pour de plus amples informations, consultez la section Configurer des rôles avec RBAC.

Pour l’intégration à Microsoft EMS/Intune, reportez-vous à la section Intégration de Citrix Endpoint Management à Microsoft Intune/EMS.

Une fois la configuration dans Citrix Cloud terminée, revenez à la console Endpoint Management comme suit : accédez à la page d’accueil de Citrix Cloud, puis cliquez sur Gérer dans la vignette Endpoint Management. Vous pouvez ensuite vérifier si vous vous êtes connecté à Endpoint Management avec votre compte Azure Active Directory.

  1. Sur la page Paramètres, accédez à la vignette Intégrer avec Microsoft EMS/Intune.
  2. Cliquez sur En savoir plus. L’interface utilisateur indique si la connexion a été activée.

Configurer Microsoft EMS/Intune

Dans la console Citrix Cloud, vous pouvez également modifier les noms d’utilisateur ou les mots de passe et supprimer ou modifier des utilisateurs locaux. Voir Gestion des identités et des accès.

Associer un compte Citrix Content Collaboration existant à Citrix Cloud

Si vous avez un compte Citrix Content Collaboration qui existait avant votre inscription à Citrix Cloud, vous devez associer ce compte à Citrix Cloud. Pour associer un compte, le propriétaire de l’adresse e-mail utilisée doit être un administrateur du compte Citrix Content Collaboration. Lorsque vous êtes prêt à continuer, rendez-vous sur https://onboarding.cloud.com.

  1. Une fois que vous êtes connecté, un écran semblable au suivant apparaît :

    Écran de configuration du cloud

  2. Dans la zone Citrix Content Collaboration, choisissez Associer compte.

    Associer compte Content Collaboration

  3. Une fois que nous avons confirmé votre compte Citrix Content Collaboration, la page suivante s’affiche :

    Écran Ajouter compte Content Collaboration

  4. Cliquez sur Associer compte pour terminer le processus. Vous pouvez immédiatement gérer votre compte Citrix Content Collaboration à partir de Citrix Cloud.

Étapes suivantes

Pour vous assurer que la configuration est correcte, vous pouvez utiliser Endpoint Management Analyzer. À partir de la page Dépannage et support, cliquez sur Endpoint Management Analyzer pour accéder à cet outil. Pour plus d’informations sur l’utilisation de Endpoint Management Analyzer, consultez la section Endpoint Management Analyzer.

Une fois la configuration d’intégration et de ressources décrite dans cet article terminée, poursuivez votre configuration dans la console Endpoint Management. Pour plus d’informations sur les étapes suivantes, consultez la section Préparation à l’inscription d’appareils et à la mise à disposition de ressources.

Problèmes connus

  • Après la configuration de LDAP, la prise en charge des groupes imbriqués est désactivée. [CXM-73722]