Intégration et configuration des ressources

Pour ouvrir un compte Citrix et demander une version d’évaluation de Endpoint Management, contactez votre représentant Citrix. Lorsque vous êtes prêt à continuer, allez à https://onboarding.cloud.com.

Une fois que vous êtes connecté, un écran semblable au suivant apparaît : En regard de Endpoint Management, cliquez sur Demander évaluation.

Image de l'écran de configuration du cloud

Le bouton devient ensuite Évaluation demandée. Une fois que vous avez demandé une version d’évaluation, un ingénieur commercial Citrix assure le suivi de la demande d’évaluation en remplissant un formulaire Podio. Les informations que vous devez fournir sont incluses dans le manuel Onboarding Handbook sous « Endpoint Management Trial Sales Engineer engagement ». Vous recevez un e-mail pour vous informer que votre version d’évaluation est disponible.

En attendant la version d’évaluation, assurez-vous de préparer votre déploiement de Endpoint Management en consultant la section Configuration système requise. Si Citrix héberge et met à disposition votre solution Endpoint Management, il existe certaines exigences en matière de communication et de port. Cette configuration connecte l’infrastructure Endpoint Management aux services d’entreprise, tels que Active Directory.

Une fois que vous êtes autorisé à accéder à la version d’évaluation, le bouton pour Endpoint Management devient Gérer, ce qui ouvre un assistant. Chaque étape de l’assistant est facultative, mais les configurations constituent un bon point de départ. Si vous ne configurez aucune des étapes de l’assistant, vous pouvez les configurer ultérieurement à partir de la console Endpoint Management.

L’assistant démarre avec la configuration de certificats. Certains certificats sont générés automatiquement. Le seul certificat que vous devez télécharger à ce stade est un certificat APNs, si vous prévoyez de déployer des appareils iOS. Pour plus d’informations sur les certificats, veuillez consulter la section Certificats et authentification.

Image de l'écran de configuration de Endpoint Management

Configurez ensuite les paramètres de NetScaler Gateway. (NetScaler Gateway est maintenant appelé Citrix Gateway, mais le terme NetScaler Gateway apparaît encore à certains endroits de l’interface utilisateur.)

  • Avant de cliquer sur Exporter le script de configuration, remplissez les champs des pages des paramètres NetScaler Gateway et Configuration LDAP, puis enregistrez la configuration. Le script exporté est vide ou incomplet, sauf si vous fournissez les informations sur ces deux pages.
  • Pour exporter le script une fois l’assistant terminé, accédez à Paramètres > NetScaler Gateway. Pour plus d’informations sur l’intégration de Citrix Gateway et Endpoint Management, consultez la section Citrix Gateway et Endpoint Management.

Image de l'écran de configuration de Endpoint Management

Les étapes restantes couvrent la configuration LDAP, la configuration du serveur de notification et la connexion de votre compte Android Enterprise.

Image de l'écran de configuration de Endpoint Management

Image de l'écran de configuration de Endpoint Management

Image de l'écran de configuration de Endpoint Management

Une fois l’assistant terminé, le groupe Citrix Cloud Operations intègre votre instance Endpoint Management sur Citrix Cloud.

Les sections suivantes décrivent les étapes de configuration supplémentaires à effectuer lorsque vous pouvez accéder à la console Endpoint Management.

Configurer les URL autorisées pour les emplacements de ressources

Pour spécifier les adresses URL autorisées pour un emplacement de ressources, accédez à Paramètres > Liste blanche de Cloud Connector, cliquez sur Ajouter et choisissez un emplacement de ressources. Ensuite, spécifiez les URL sur liste blanche/autorisées pour cet emplacement.

  • URL sur liste blanche/autorisées : spécifiez une adresse URL par ligne. Vous pouvez utiliser les caractères génériques astérisque () ou point d’interrogation (?).

Image de l'écran de configuration de Cloud Connector

Configurer les utilisateurs et les groupes

Une colonne Type d’utilisateur apparaît sur la page Gérer> Utilisateurs de la console Endpoint Management. Cette colonne indique si chaque utilisateur est un utilisateur local, Active Directory ou cloud.

Pour les utilisateurs locaux et les utilisateurs AD, vous pouvez exécuter toutes les fonctions de gestion des utilisateurs décrites dans Comptes utilisateur, rôles et inscription.

Un utilisateur de cloud est un compte d’utilisateur spécial créé et géré par Citrix Cloud sur le serveur Endpoint Management. Citrix Cloud crée un compte d’utilisateur cloud lorsqu’un administrateur est ajouté à votre compte client Citrix Cloud. Un compte d’utilisateur cloud utilise le même nom d’utilisateur que le compte d’administrateur. Le compte d’utilisateur cloud fournit une authentification unique et exécute d’autres fonctions administratives.

Pour les utilisateurs cloud :

  • Vous pouvez modifier les rôles et les propriétés utilisateur des utilisateurs cloud via la console Endpoint Management.
  • Vous ne pouvez pas modifier les mots de passe utilisateur cloud via la console Endpoint Management.
  • Vous pouvez modifier un mot de passe utilisateur cloud depuis Gestion des identités et des accès dans Citrix Cloud.
  • Vous ne pouvez pas supprimer les utilisateurs cloud.
  • Vous ne pouvez pas ajouter les utilisateurs cloud à un groupe.

Configurer les groupes de mise à disposition

Lorsque vous créez un groupe de mise à disposition, vous spécifiez si les attributions utilisateur sont gérées dans Endpoint Management ou dans Citrix Cloud. Vous ne pouvez pas modifier cette spécification après avoir créé le groupe de mise à disposition.

Si vous prévoyez d’utiliser le groupe de mise à disposition pour mettre à disposition des services Citrix Cloud, indiquez que les attributions utilisateur sont gérées dans Citrix Cloud. Les autres services incluent Citrix Virtual Apps and Desktops, Citrix Content Collaboration ou Secure Browser Service. Vous pouvez uniquement ajouter des utilisateurs Active Directory à ces groupes de mise à disposition.

Si un groupe de mise à disposition pour les utilisateurs et les applications nécessite uniquement une gestion de la mobilité, définissez Gérer les attributions d’utilisateurs sur Dans Endpoint Management. Les groupes de mise à disposition avec des utilisateurs gérés dans Endpoint Management ne sont pas visibles dans Citrix Cloud. Par conséquent, vous ne pouvez pas utiliser les groupes de mise à disposition gérés dans Endpoint Management pour mettre à disposition d’autres services.

Citrix recommande de créer des groupes de mise à disposition avant de créer des stratégies d’appareil.

Vous pouvez effectuer toutes les fonctions de gestion des groupes de mise à disposition Endpoint Management via la console Endpoint Management, comme décrit dans Déployer des ressources.

Pour ajouter un groupe de mise à disposition et spécifier la manière dont ses attributions utilisateur sont gérées :

  1. Dans la console, cliquez sur Configurer > Groupes de mise à disposition.

  2. Sur la page Groupes de mise à disposition, cliquez sur Ajouter. La page Informations sur le groupe de mise à disposition s’affiche.

    Écran de configuration des groupes de mise à disposition

  3. Entrez un nom et une description pour le groupe de mise à disposition et cliquez sur Suivant.

  4. Sur la page Attributions utilisateur, indiquez comment gérer les attributions utilisateur du groupe de mise à disposition.

    • Dans Endpoint Management. Sélectionnez cette option si vous envisagez de créer un groupe de mise à disposition pour les utilisateurs et les applications qui n’ont besoin que de la gestion de la mobilité. Les groupes de mise à disposition dont les attributions utilisateur sont gérées dans Endpoint Management ne sont pas visibles dans Citrix Cloud et ne peuvent pas être utilisés pour mettre à disposition d’autres services.
    • Dans Citrix Cloud. Sélectionnez cette option si vous prévoyez d’utiliser le groupe de mise à disposition pour mettre à disposition d’autres services. Ces services peuvent inclure Citrix Virtual Apps and Desktops ou Citrix Content Collaboration.

    Écran de configuration des groupes de mise à disposition

    Important :

    Vous ne pouvez pas modifier le paramètre Gérer les attributions d’utilisateurs après la création du groupe d’utilisateurs.

  5. Ajoutez des utilisateurs au groupe de mise à disposition et cliquez sur Suivant.

  6. Ajoutez des ressources facultatives au groupe de mise à disposition, comme décrit dans Déployer des ressources.

  7. Consultez la page de synthèse.

  8. Cliquez sur Enregistrer pour créer le groupe de mise à disposition.

Configurer les emplacements de ressources pour les connexions d’entité PKI

Pour utiliser Cloud Connector pour les connexions d’entité Services de certificats Microsoft, accédez à Paramètres > Entités PKI. Lorsque vous ajoutez ou modifiez une entité PKI, définissez Utiliser Cloud Connector sur ON. Ensuite, spécifiez un Emplacement des ressources et des Chemins relatifs autorisés pour ces emplacements.

  • Emplacement des ressources : choisissez parmi les emplacements de ressources définis dans Citrix Cloud Connector.
  • Chemins relatifs autorisés : chemins relatifs autorisés pour l’emplacement de ressources spécifié. Spécifiez un chemin d’accès par ligne. Vous pouvez utiliser le caractère générique astérisque (*).

Si l’emplacement des ressources est https://www.ServiceRoot/certsrv. Pour fournir l’accès à toutes les adresses URL dans le chemin d’accès, entrez \* dans Chemins relatifs autorisés.

Image de l'écran de configuration de la PKI

Configurer les emplacements des ressources pour les connexions Citrix Virtual Apps and Desktops

Pour utiliser Cloud Connector pour les connexions Virtual Apps and Desktops, accédez à Paramètres > XenApp/XenDesktop. Ensuite, définissez Utiliser Cloud Connector sur ON et spécifiez les options suivantes pour ces emplacements.

  • Emplacement des ressources : choisissez parmi les emplacements de ressources définis dans Citrix Cloud Connector.
  • Chemins relatifs autorisés : chemins relatifs autorisés pour l’emplacement de ressources spécifié. Spécifiez un chemin d’accès par ligne. Vous pouvez utiliser le caractère générique astérisque (*).

    Si l’emplacement des ressources est https://storefront.company.com, et que vous voulez fournir un accès aux URL suivantes :

    • https://storefront.company.com/Citrix/PNAgent/Config.xml
    • https://storefront.company.com/Citrix/PNAgent/enum.aspx
    • https://storefront.company.com/Citrix/PNAgent/launch.aspx

    Pour autoriser toutes les demandes avec l’URL https://storefront.company.com/Citrix/PNAgent/*, entrez ce chemin : /Citrix/PNAgent/*

    Endpoint Management bloque tous les autres chemins.

Image de l'écran de configuration de XenApp et XenDesktop

Configurer Citrix Gateway pour une utilisation avec Endpoint Management

Lorsqu’il est intégré à Endpoint Management, Citrix Gateway fournit un mécanisme d’authentification pour l’accès des appareils distants au réseau interne. Endpoint Management requiert l’installation d’une passerelle Citrix Gateway pour les scénarios suivants :

  • Vous avez besoin d’un micro VPN pour accéder aux ressources réseau internes pour les applications métier. Ces applications sont encapsulées avec la technologie Citrix MDX. Le micro VPN a besoin de Citrix Gateway pour se connecter aux infrastructures back-end internes.

  • Vous prévoyez d’utiliser Endpoint Management pour gérer les applications (MAM ou MDM + MAM). Citrix Gateway n’est pas nécessaire pour gérer uniquement les appareils (MDM).
  • Vous envisagez d’intégrer Endpoint Management à Microsoft Intune/EMS.

Citrix propose des solutions Citrix Gateway basées sur le cloud et sur site.

Important :

après avoir configuré une solution Citrix Gateway, le passage à l’autre solution nécessite actuellement de réinscrire les appareils. Si vous utilisez déjà une instance de Citrix Gateway sur site et que vous souhaitez passer au service Citrix Gateway, contactez votre représentant du support technique Citrix. Pour connaître les conditions préalables, reportez-vous à la section Pour utiliser le service Citrix Gateway.

Le tableau suivant récapitule les fonctionnalités prises en charge par les solutions Citrix Gateway basées sur le cloud et sur site.

Fonctionnalités prises en charge Service Citrix Gateway Citrix Gateway sur site
Secure Mail (STA)* oui oui
Secure Browse (authentification unique Web) oui oui
VPN complet non oui
Per App VPN non oui
Authentification unique mobile (contrôle d’accès) oui non
Haute disponibilité oui oui**
Déploiement multi-POP oui oui***
Prise en charge des proxys oui oui
Split tunneling non oui
Split DNS non oui

* Configuration du service Citrix Cloud Secure Ticket Authority (STA)

** Configuration sur site

*** Configuration Équilibrage de charge globale des serveurs

Cas d’utilisation du service Citrix Gateway (version préliminaire)

Le service Citrix Gateway est disponible en version préliminaire. Pour obtenir de l’aide avec cette version, accédez à Commentaires sur la Tech Preview de Citrix Gateway Service et Authentification unique (SSO) mobile.

Utilisez le service Citrix Gateway basé sur le cloud avec Endpoint Management lorsque :

  • Vous voulez un service sans maintenance qui ne nécessite pas de négociation avec les équipes réseau, sécurité et conformité avant de configurer votre réseau d’entreprise.

  • Vous souhaitez utiliser l’expérience d’authentification unifiée fournie par Citrix Cloud. Le service Citrix Gateway utilise le fournisseur d’identité Citrix pour gérer les informations d’identité de tous les utilisateurs de votre compte Citrix Cloud.

  • Vous envisagez d’utiliser des applications de productivité mobiles, telles que Citrix Secure Mail ou Secure Web. Citrix Gateway fournit une connexion VPN d’application à la demande que Secure Hub lance sur les appareils mobiles pour accéder aux sites ou ressources réseau d’entreprise.

    Cette variante d’un VPN sans client est également connue sous le nom de Secure Browse (Navigation sécurisée). Les connexions telles que le trafic Web qui se connecte au réseau interne utilisent Secure Browse. Nous recommandons Secure Browse pour les connexions qui nécessitent l’authentification unique (SSO).

Fonctionnement du service Citrix Gateway

Le trafic de contrôle MDM et MAM s’achemine directement vers Citrix Endpoint Management, sans passer par le service Citrix Gateway. Tout le trafic envoyé à Citrix Gateway est dirigé vers le Gateway Connector sur site.

Le service Citrix Gateway n’est pas utilisé lors de l’inscription d’appareils dans Endpoint Management.

Pour les applications de productivité mobiles Citrix :

  • Secure Hub utilise un certificat pour le trafic de contrôle MAM.
  • Secure Mail utilise le service Citrix Cloud Secure Ticket Authority (STA).

    Remarque :

    le service Citrix Gateway utilise l’emplacement de ressources principal.

  • Secure Web utilise Secure Browse.

Le diagramme suivant fournit une vue d’ensemble de l’architecture de service Citrix Gateway.

Diagramme de l'architecture de service Citrix Gateway

Le Gateway Connector sur site peut résider en dehors de la zone DMZ. Toutes les connexions Gateway Connector sont sortantes sur le port SSL 443. Pour plus d’informations, veuillez consulter Gateway Connector.

Les types d’authentification suivants sont pris en charge pour l’intégration du service Citrix Gateway avec Endpoint Management :

  • Basic, Digest, NTLM
  • Authentification unique KCD (délégation Kerberos contrainte)
  • Authentification unique basée sur un formulaire
  • Authentification unique SAML

Pour utiliser le service Citrix Gateway

Conditions préalables :

  • Expérience Citrix Workspace activée

    Si vous utilisez déjà une instance de Citrix Gateway sur site et que vous souhaitez passer au service Citrix Gateway, contactez votre représentant du support technique Citrix.

  • Abonnement au service Citrix Gateway

  • Gateway Connector installé sur site dans un emplacement de ressources (pour plus d’informations, voir Gateway Connector)

    Si le connecteur n’est pas disponible lors de l’intégration de Citrix Endpoint Management, vous pouvez l’installer après l’intégration.

Les nouveaux clients Endpoint Management peuvent configurer le service Citrix Gateway :

  • Lors de l’intégration dans l’assistant Configuration initiale.
  • Après l’intégration dans Paramètres > NetScaler Gateway > Ajouter Citrix Gateway Service.

Dans les deux cas, choisissez Utiliser Citrix Gateway Service comme type.

Image de l'écran de configuration de Citrix Gateway

Cas d’utilisation de Citrix Gateway sur site

Utilisez une ou plusieurs appliances Citrix Gateway sur site avec Endpoint Management lorsque :

  • Vous avez besoin de fonctionnalités Per App VPN.
  • Vous avez besoin d’un tunneling complet, d’un split tunneling, d’un split tunneling inversé ou d’un split DNS. Un tunnel VPN complet est recommandé pour les connexions qui utilisent des certificats clients ou des connexions SSL de bout en bout vers une ressource dans le réseau interne.
  • Vous utilisez l’intégration de Citrix Endpoint Management avec Microsoft Intune/EMS

L’utilisation de Citrix Gateway sur site implique une configuration et une maintenance importantes. Pour plus d’informations, veuillez consulter Configurer une passerelle Citrix Gateway sur site pour une utilisation avec Endpoint Management.

Gestion de Endpoint Management

Endpoint Management est entièrement configuré après la création de groupes de mise à disposition et l’affectation d’utilisateurs aux groupes de mise à disposition via la bibliothèque cloud. À partir de ce moment, l’administration de Endpoint Management se déroule au sein de Citrix Cloud. L’interface combinée simplifie le basculement entre Citrix Cloud et Endpoint Management.

Tous les comptes d’administrateur de Citrix Cloud sont également créés comme suit :

  • Par défaut, les administrateurs de Citrix Cloud sont créés en tant qu’administrateurs de Endpoint Management.
  • Toutefois, un administrateur de Citrix Cloud créé avec un accès personnalisé qui exclut Endpoint Management n’est pas créé en tant qu’administrateur Endpoint Management.

Pour modifier un rôle à tout moment, accédez à la console Endpoint Management à partir du tableau de bord Citrix Cloud. Pour plus d’informations sur l’ajout et la modification d’administrateurs, consultez :

Image de l'écran du tableau de bord Endpoint Management

Associer un compte Citrix Content Collaboration existant à Citrix Cloud

Si vous avez un compte Citrix Content Collaboration qui existait avant votre inscription à Citrix Cloud, vous devez associer ce compte à Citrix Cloud. Pour associer un compte, le propriétaire de l’adresse e-mail utilisée doit être un administrateur du compte Citrix Content Collaboration. Lorsque vous êtes prêt à continuer, allez à https://onboarding.cloud.com.

  1. Une fois que vous êtes connecté, un écran semblable au suivant apparaît :

    Image de l'écran de configuration du cloud

  2. Dans la zone Citrix Content Collaboration, choisissez Associer compte.

    Image du menu Associer compte Content Collaboration

    Une fois que nous avons confirmé votre compte Citrix Content Collaboration, la page suivante s’affiche :

    Image de l'écran Ajouter compte Content Collaboration

  3. Cliquez sur Associer compte pour terminer le processus. Vous pouvez immédiatement gérer votre compte Citrix Content Collaboration à partir de Citrix Cloud.

Étapes suivantes

Pour vous assurer que la configuration est correcte, vous pouvez utiliser Endpoint Management Analyzer. À partir de la page Dépannage et support, cliquez sur Endpoint Management Analyzer pour accéder à cet outil. Pour plus d’informations sur l’utilisation de Endpoint Management Analyzer, consultez la section Endpoint Management Analyzer.

Une fois la configuration d’intégration et de ressources décrite dans cet article terminée, poursuivez votre configuration dans la console Endpoint Management. Pour plus d’informations sur les étapes suivantes, consultez la section Préparation à l’inscription d’appareils et à la mise à disposition de ressources.