Préparation à l’inscription d’appareils et à la mise à disposition de ressources
Important :
Avant de commencer, assurez-vous de terminer toutes les tâches décrites dans la section Intégration et configuration des ressources.
Tenez vos utilisateurs informés des changements à venir. Consultez Bienvenue dans votre kit d’adoption utilisateur Citrix Endpoint Management.
Endpoint Management prend en charge diverses options d’inscription. Cet article traite de la configuration de base requise pour permettre l’inscription de tous les appareils pris en charge. Le diagramme suivant résume la configuration de base.
Pour obtenir une liste des appareils pris en charge, consultez la section Systèmes d’exploitation d’appareils pris en charge.
Configurer un certificat Apple Push Notification Service (APNS) pour les appareils iOS
Important :
La prise en charge par Apple du protocole binaire hérité du service Apple Push Notification prend fin le 31 mars 2021. Apple recommande d’utiliser à la place l’API du fournisseur APNs basé sur HTTP/2. À partir de la version 20.1.0, Citrix Endpoint Management prend en charge l’API HTTP/2. Pour plus d’informations, consultez « Apple Push Notification Service Update » dans https://developer.apple.com/. Pour obtenir de l’aide sur la vérification de la connectivité à APNs, reportez-vous à la section Tests de connectivité.
Pour inscrire et gérer des appareils iOS, Endpoint Management requiert un certificat Apple Push Notification Service (APNS). Endpoint Management requiert également un certificat APNS pour les notifications push pour Secure Mail pour iOS.
-
L’obtention d’un certificat Apple nécessite un identifiant Apple ID et un compte de développeur. Pour plus de détails, consultez le site Web Apple Developer Program.
-
Pour obtenir un certificat APNS et l’importer dans Endpoint Management, consultez la section Certificats APNS.
-
Pour plus d’informations sur Endpoint Management et APNS, consultez la section Notifications push pour Secure Mail pour iOS.
Configurer Firebase Cloud Messaging (FCM) pour les appareils Android
Firebase Cloud Messaging (FCM) permet de contrôler quand et comment les appareils Android se connectent au service Endpoint Management. Toute action de sécurité ou commande de déploiement déclenche une notification push. La notification invite les utilisateurs à se reconnecter à Endpoint Management.
-
La configuration de FCM nécessite la configuration de votre compte Google. Pour créer des informations d’identification Google Play, consultez Gérer les informations de votre compte de développeur. Vous utilisez également Google Play pour ajouter, acheter et approuver des applications en vue de les déployer sur l’espace Android Entreprise d’un appareil. Vous pouvez utiliser Google Play pour déployer des applications Android privées, des applications tierces et publiques.
-
Pour configurer FCM, consultez Firebase Cloud Messaging.
Configurer la détection automatique Endpoint Management
Important :
À compter du 1er juin 2020, Citrix passera de
discovery.mdm.zenprise.com
àads.xm.cloud.com
, pour les appareils iOS et Android. Pour les appareils Windows Phone,autodisc.zc.zenprise.com
passe aussi àautodisc.xm.cloud.com
. Lorsque ces modifications se produiront, vous devrez mettre à jour les enregistrements CNAME associés.
La détection joue un rôle important dans la plupart des déploiements Endpoint Management. Le service de détection automatique simplifie le processus d’inscription pour les utilisateurs. Utilisateurs :
- Peuvent utiliser leurs noms d’utilisateur réseau et leurs mots de passe Active Directory pour inscrire leurs appareils.
- Peut se connecter sans saisir de détails sur Endpoint Management.
- Entrent leur nom d’utilisateur au format UPN (nom d’utilisateur principal). Par exemple,
user@mycompany.com
.
Le service de détection automatique de Endpoint Management vous permet de créer ou de modifier un enregistrement de détection automatique sans l’aide de l’assistance Citrix.
La détection automatique est recommandée pour les environnements hautement sécurisés. La détection automatique prend en charge le certificate pinning, qui empêche les attaques « man-in-the-middle ». Le certificate pinning garantit que le certificat signé par votre entreprise est utilisé lorsque les clients Citrix communiquent avec Endpoint Management. Pour plus d’informations, consultez la section Certificate pinning.
Pour accéder au service de détection automatique de Endpoint Management, accédez à https://tools.xm.cloud.com (commercial) ou https://tools.cem.cloud.us (gouvernement) et cliquez sur Request Auto Discovery.
Faire une demande de détection automatique
-
Sur la page AutoDiscovery Service, vous devez d’abord revendiquer un domaine. Cliquez sur Add Domain.
-
Dans la boîte de dialogue qui s’affiche, entrez le nom de domaine de votre environnement Endpoint Management et cliquez sur Next.
-
L’écran suivant vous explique comment vérifier que vous êtes le propriétaire du domaine.
-
Copiez le jeton DNS fourni dans le portail Endpoint Management Tools Portal.
-
Pour créer un enregistrement TXT DNS dans le fichier de zone de votre domaine dans le portail Domain Hosting Provider :
Connectez-vous au portail Domain Hosting Provider pour le domaine. Vous pouvez modifier vos enregistrements DNS et ajouter un enregistrement TXT personnalisé. La capture d’écran suivante montre un portail hébergeur de domaine. Votre portail peut sembler différent.
-
Collez le jeton de domaine dans votre enregistrement TXT DNS et enregistrez votre enregistrement DNS.
-
Dans Endpoint Management Tools Portal, cliquez sur Done et démarrez la vérification du DNS.
Le système détecte votre enregistrement TXT DNS. Vous pouvez éventuellement cliquer sur I’ll update later pour enregistrer. La vérification du DNS ne démarre pas tant que vous n’avez pas sélectionné l’enregistrement dont l’état est « Waiting » et cliqué sur DNS Check.
Cette vérification prend généralement environ une heure. Cependant, la réponse peut prendre jusqu’à deux jours. Le changement d’état peut ne pas apparaître dans le portail Outils tant que vous n’effectuez pas une déconnexion/connexion.
-
-
Après avoir revendiqué votre domaine, vous entrez les informations relatives au service de détection automatique. Cliquez avec le bouton droit sur l’enregistrement de domaine pour lequel vous souhaitez faire une demande de détection automatique, puis cliquez sur Add ADS.
-
Entrez les informations requises, puis cliquez sur Next. Si vous ne connaissez pas le nom de votre instance, ajoutez l’instance par défaut
zdm
. -
Entrez les informations suivantes pour Secure Hub et cliquez sur Next.
-
User ID Type : sélectionnez le type d’ID avec lequel les utilisateurs se connectent, soit l’adresse e-mail soit le nom UPN.
Pour inviter les utilisateurs à entrer leur nom d’utilisateur et leur mot de passe, choisissez E-mail address. Pour inviter les utilisateurs à entrer leur mot de passe, choisissez UPN. Utilisez UPN lorsque l’UPN (nom d’utilisateur principal) correspond à l’adresse e-mail. Les deux méthodes utilisent le domaine entré pour trouver l’adresse du serveur.
-
HTTPS Port : entrez le numéro de port utilisé pour accéder à Secure Hub sur HTTPS. En règle générale, il s’agit du port 443.
-
iOS Enrollment Port : entrez le numéro de port utilisé pour accéder à Secure Hub pour l’inscription iOS. En règle générale, il s’agit du port 8443.
-
Required Trusted CA for Endpoint Management : indiquez si un certificat approuvé est nécessaire pour accéder à Endpoint Management. Cette option peut être définie sur Off ou On. Si vous souhaitez utiliser un certificat approuvé, contactez le support technique Citrix pour charger le certificat. Pour en savoir plus sur le certificate pinning, consultez la section sur le certificate pinning dans la documentation Secure Hub. Pour en savoir plus sur les ports requis pour assurer le fonctionnement du certificate pinning, consultez l’article Exigences requises par Endpoint Management en matière de port pour la connectivité ADS.
-
-
Une page de résumé affiche les informations que vous avez entrées dans les étapes précédentes. Vérifiez que les données sont correctes et cliquez sur Save.
Demander la découverte automatique pour les appareils Windows
Si vous prévoyez d’inscrire des appareils Windows, procédez comme suit :
-
Contactez le support Citrix et créez une demande de support pour activer la découverte automatique de Windows.
-
Obtenez un certificat SSL non générique, signé publiquement pour
enterpriseenrollment.mycompany.com
. La partiemycompany.com
est le domaine qui contient les comptes que les utilisateurs utilisent pour s’inscrire. Joignez le certificat SSL au format .pfx et son mot de passe à la demande de support créée à l’étape précédente.Pour utiliser plusieurs domaines pour inscrire des appareils Windows, vous pouvez également utiliser un certificat multi-domaines avec la structure suivante :
- Un SubjectDN avec un CN (nom commun) qui spécifie le domaine principal qu’il sert (par exemple, enterpriseenrollment.masociété1.com).
- Les SAN appropriés pour les domaines restants (par exemple, enterpriseenrollment.masociété2.com, enterpriseenrollment.masociété3.com, etc).
-
Créez un nom canonique (CNAME) dans votre DNS et mappez l’adresse de votre certificat SSL (enterpriseenrollment.masociété.com) vers autodisc.xm.cloud.com.
Lorsqu’un utilisateur d’appareil Windows s’inscrit à l’aide d’un UPN, le serveur d’inscription Citrix :
- fournit les détails de votre serveur Endpoint Management ;
- indique à l’appareil de demander un certificat valide à Endpoint Management.
À ce stade, vous pouvez inscrire tous les appareils pris en charge. Passez à la section suivante pour préparer la mise à disposition de ressources aux appareils.
Stratégies d’appareil par défaut et applications de productivité mobiles
Si vous intégrez Endpoint Management à partir de la version 19.5.0 ou version ultérieure, nous préconfigurons quelques stratégies d’appareil et applications de productivité mobiles. Cette configuration vous permet de :
- Déployer immédiatement des fonctionnalités de base sur les appareils
- Commencer par les configurations de base recommandées pour un espace de travail sécurisé
Pour les plates-formes Android, Android Enterprise, iOS, macOS et Windows Desktop/Tablet, votre site contient les stratégies d’appareil préconfigurées suivantes :
-
Stratégie de code secret : la stratégie de code secret est définie sur Activé et tous les paramètres de code secret sont activés par défaut.
-
Stratégie d’inventaire des applications : la stratégie d’inventaire des applications est définie sur Activé.
-
Stratégies de restrictions : la stratégie de restrictions est définie sur Activé et tous les paramètres de restrictions sont activés par défaut.
Ces stratégies se trouvent dans le groupe de mise à disposition AllUsers, qui contient tous les utilisateurs Active Directory et locaux. Nous vous recommandons d’utiliser le groupe de mise à disposition AllUsers uniquement pour les tests initiaux. Ensuite, créez vos propres groupes de mise à disposition et désactivez le groupe de mise à disposition AllUsers. Vous pouvez réutiliser les stratégies et les applications préconfigurées dans vos groupes de mise à disposition.
Toutes les stratégies d’appareil Endpoint Management sont documentées sous Stratégies d’appareil. Cet article contient des informations sur l’utilisation de la console pour modifier les stratégies d’appareil. Pour plus d’informations sur certaines stratégies d’appareil couramment utilisées, consultez la section Stratégies d’appareil et cas d’utilisation.
Pour les plates-formes iOS et Android, votre site contient les applications de productivité mobiles préconfigurées suivantes :
- Secure Mail
- Secure Web
- Citrix Files
Ces applications se trouvent dans le groupe de mise à disposition AllUsers.
Pour de plus amples informations, consultez la section À propos des applications de productivité mobiles.
Poursuivre la configuration Endpoint Management
Une fois que vous avez terminé la configuration de base pour l’inscription de l’appareil, la manière dont vous configurez Endpoint Management varie considérablement en fonction de vos cas d’utilisation. Par exemple :
- Quelles sont vos exigences en matière de sécurité et comment souhaitez-vous équilibrer ces exigences avec l’expérience utilisateur ?
- Quelles plates-formes d’appareils prenez-vous en charge ?
- Les utilisateurs possèdent-ils leurs appareils ou utilisent-ils des appareils appartenant à l’entreprise ?
- Quelles stratégies souhaitez-vous transmettre aux appareils ?
- Quels types d’applications proposez-vous aux utilisateurs ?
Cette section vous aide à naviguer parmi les nombreux choix de configuration en vous dirigeant vers les articles de documentation.
Lorsque vous terminez la configuration sur des sites tiers, notez les informations et leur emplacement à des fins de référence lors de la configuration des paramètres de la console Endpoint Management.
Sécurité et authentification
Endpoint Management utilise les certificats pour établir des connexions sécurisées et authentifier les utilisateurs. Citrix fournit des certificats génériques pour votre instance Endpoint Management.
Lectures complémentaires recommandées :
Pour plus d’informations sur les composants d’authentification et les configurations recommandées par niveau de sécurité, consultez la section « Concepts avancés » dans l’article Authentification.
Consultez également la section Sécurité et expérience utilisateur.
Pour une présentation des composants d’authentification utilisés lors des opérations Endpoint Management, consultez la section Certificats et authentification.
Vous pouvez choisir parmi les types d’authentification suivants. La configuration de l’authentification inclut des tâches dans les consoles Endpoint Management et Citrix Gateway.
- Authentification domaine ou domaine + jeton de sécurité
- Authentification certificat client ou certificat + domaine
Pour la mise à disposition de certificats aux utilisateurs, configurez les éléments suivants :
Pour d’autres options d’authentification, consultez les articles dans la section Certificats et authentification.
Inscription des appareils
Les modes d’inscription des appareils spécifient les types d’informations d’identification requis pour que les utilisateurs inscrivent leurs appareils dans Endpoint Management. Les modes d’inscription des appareils ont des niveaux de sécurité variables et déterminent les étapes d’inscription requises pour les utilisateurs.
- Pour plus d’informations sur les options d’inscription de Endpoint Management, consultez la section Configurer les modes d’inscription.
L’inscription d’Azure Active Directory est prise en charge pour les appareils iOS, Android et Windows 10. Pour plus d’informations sur la configuration d’Azure comme fournisseur d’identité (IdP), consultez la section Authentification avec Azure Active Directory via Citrix Cloud.
-
Autres options d’inscription :
- Déployer des appareils via le programme de déploiement d’Apple
- Inscription en bloc d’appareils Apple
- Créer un compte d’administrateur Android Entreprise. Pour plus de détails, consultez la section Android Entreprise. Consultez également Ancienne version d’Android Entreprise pour clients G Suite.
- Inscription en bloc Samsung Knox
- Inscription en bloc d’appareils Windows
- Configurez l’inscription d’appareil à G Suite pour Chrome OS depuis votre compte G Suite. Pour plus de détails, consultez la section Chrome OS.
- Gestion des appareils Workspace Hub
-
Vous pouvez envoyer des notifications d’inscription. Pour de plus amples informations, consultez la section Notifications. Vous pouvez également utiliser les notifications pour les actions automatisées et les messages standard envoyés aux utilisateurs.
-
Pour plus d’informations sur l’inscription, consultez la section Gestion des appareils et les articles associés.
Stratégies et gestion d’appareil
-
Stratégies d’appareil (MDM)
Toutes les stratégies d’appareil Endpoint Management sont documentées sous Stratégies d’appareil. Pour plus d’informations sur certaines stratégies d’appareil couramment utilisées, consultez la section Stratégies d’appareil et cas d’utilisation.
Vous pouvez filtrer les listes de stratégies d’appareil dans la console Endpoint Management. Par exemple, vous pouvez filtrer les stratégies par plate-forme pour afficher une liste des stratégies les plus souvent utilisées pour cette plate-forme. Consultez Stratégies d’appareil.
-
Propriétés du client
Les propriétés du client contiennent des informations qui sont fournies directement à Secure Hub sur les appareils des utilisateurs. Voir Propriétés du client et Propriétés du client Endpoint Management.
-
Groupes de mise à disposition
Pour un exemple de cas d’utilisation lié à des groupes de mise à disposition, consultez la section Communautés d’utilisateurs et Pour ajouter un groupe de mise à disposition.
Préparer le déploiement d’application
Pour plus d’informations sur les applications prises en charge par Endpoint Management, consultez la section Ajouter des applications.
-
Vous pouvez gérer les licences d’applications iOS à l’aide de l’achat en volume d’Apple. Pour de plus amples informations, consultez la section Achats en volume d’Apple.
Vous pouvez utiliser Endpoint Management pour déployer des iBooks que vous obtenez via l’achat en volume d’Apple. Pour de plus amples informations, consultez la section Ajouter un média.
-
Vous pouvez connecter Citrix Endpoint Management à Microsoft Store pour Entreprises. Pour de plus amples informations, consultez la section Déployer des applications Microsoft Store pour Entreprises à partir de Endpoint Management.
-
Citrix fournit des applications de productivité mobiles, notamment Secure Mail et Secure Web. Pour de plus amples informations, consultez la section À propos des applications de productivité mobiles.
Au lieu de Secure Mail, vous pouvez mettre à disposition des appareils une messagerie native. Voir :
-
Citrix Secure Mail, Citrix Secure Web et Citrix Files proposent l’option d’ouvrir le conteneur MDX. Cette option permet aux utilisateurs de transférer des documents et des données vers les applications Microsoft Office 365. Vous pouvez gérer cette fonctionnalité pour les plates-formes iOS et Android via les stratégies d’ouverture disponibles sur la console Endpoint Management. Voir Autoriser l’interaction sécurisée avec les applications Office 365 et Stratégie Office.
-
Pour de plus amples informations sur les stratégies d’application, veuillez consulter la section Stratégies d’application et scénario de cas d’utilisation.
-
Le MDX Service et le MDX Toolkit sont des technologies d’encapsulation d’application qui préparent les applications d’entreprise en vue de les déployer en toute sécurité avec Endpoint Management. Le SDK MAM remplace le service MDX et MDX Toolkit, dont la fin de prise en charge est prévue en septembre 2021.
Pour plus d’informations sur le SDK MAM, reportez-vous à la section Présentation du SDK MAM.
-
Pour plus d’informations sur les applications, consultez les autres articles sous Ajouter des applications.
Autre configuration
-
La fonctionnalité de contrôle d’accès basé sur rôle (RBAC) de Endpoint Management vous permet d’attribuer des rôles prédéfinis ou un ensemble d’autorisations aux utilisateurs et aux groupes. Ces autorisations contrôlent le niveau d’accès des utilisateurs aux fonctions du système. Pour de plus amples informations, consultez la section Configurer des rôles avec RBAC.
-
Vous créez des actions automatisées dans Endpoint Management pour spécifier des actions à prendre suite à des événements, à certaines propriétés ou à la présence d’applications sur les appareils utilisateur. Pour de plus amples informations, consultez la section Actions automatisées.
Dans cet article
- Configurer un certificat Apple Push Notification Service (APNS) pour les appareils iOS
- Configurer Firebase Cloud Messaging (FCM) pour les appareils Android
- Configurer la détection automatique Endpoint Management
- Stratégies d’appareil par défaut et applications de productivité mobiles
- Poursuivre la configuration Endpoint Management