Préparation à l’inscription d’appareils et à la mise à disposition de ressources

Important :

avant de commencer, assurez-vous de terminer toutes les tâches décrites dans la section Intégration et configuration des ressources.

Endpoint Management prend en charge diverses options d’inscription. Cet article traite de la configuration de base requise pour permettre l’inscription de tous les appareils pris en charge. Le diagramme suivant résume la configuration de base.

Diagramme du workflow de préparation d'un environnement pour l'inscription d'appareils

Pour obtenir une liste des appareils pris en charge, consultez la section Systèmes d’exploitation d’appareils pris en charge.

Configurer un certificat Apple Push Notification Service (APNS) pour les appareils iOS

Pour inscrire et gérer des appareils iOS, Endpoint Management requiert un certificat Apple Push Notification Service (APNS). Endpoint Management requiert également un certificat APNS si vous envisagez d’utiliser des notifications push pour Secure Mail pour iOS.

Configurer Firebase Cloud Messaging (FCM) pour les appareils Android

Firebase Cloud Messaging (FCM) permet de contrôler quand et comment les appareils Android se connectent au service Endpoint Management. Toute action de sécurité ou commande de déploiement déclenche une notification push afin d’inviter les utilisateurs à se reconnecter à Endpoint Management.

  • La configuration de FCM nécessite la configuration de votre compte Google. Pour créer des informations d’identification Google Play, consultez la section Gérer les informations de votre compte développeur. Vous utilisez également Google Play pour ajouter, acheter et approuver des applications en vue de les déployer sur l’espace Android Entreprise d’un appareil. Vous pouvez utiliser Google Play pour déployer des applications Android privées, des applications tierces et publiques.

  • Pour configurer FCM, consultez la section Firebase Cloud Messaging.

Configurer la détection automatique Endpoint Management

Important :

L’URL du service de détection automatique discovery.mdm.zenprise.com ne sera plus disponible après le 31 décembre 2018. Le nouveau nom de domaine complet est ads.xm.cloud.com. Pour de plus amples informations, consultez l’article de l’assistance Citrix https://support.citrix.com/article/CTX202044.

La détection automatique joue un rôle important dans la plupart des déploiements Endpoint Management. La détection automatique simplifie le processus d’inscription pour les utilisateurs. Ils peuvent utiliser leurs noms d’utilisateur réseau et leurs mots de passe Active Directory pour inscrire leurs appareils. Ils n’ont pas besoin d’entrer ces détails sur Endpoint Management. Le nom d’utilisateur doit être entré au format UPN (nom d’utilisateur principal) ; par exemple, user@mycompany.com. Le service de détection automatique de Endpoint Management vous permet de créer ou de modifier un enregistrement de détection automatique sans l’aide de l’assistance Citrix.

La détection automatique est recommandée pour les environnements hautement sécurisés. La détection automatique prend en charge le certificate pinning, qui empêche les attaques « man-in-the-middle ». Le certificate pinning garantit que le certificat signé par votre entreprise est utilisé lorsque les clients Citrix communiquent avec Endpoint Management. Pour plus d’informations, consultez la section Certificate pinning.

Pour accéder au service de détection automatique de Endpoint Management, accédez à https://tools.xm.cloud.com et cliquez sur Request Auto Discovery.

Écran AutoDiscovery Service

Faire une demande de détection automatique

  1. Sur la page AutoDiscovery Service, vous devez d’abord revendiquer un domaine. Cliquez sur Add Domain.

    Image de l'écran ADS List

  2. Dans la boîte de dialogue qui s’affiche, entrez le nom de domaine de votre environnement Endpoint Management et cliquez sur Next.

    Écran d'attribution du nom de domaine

  3. L’écran suivant vous explique comment vérifier que vous êtes le propriétaire du domaine.

    Écran de vérification du domaine

    • Copiez le jeton DNS fourni dans le portail Endpoint Management Tools Portal.

    • Créez un enregistrement TXT DNS dans le fichier de zone de votre domaine dans le portail Domain Hosting Provider.

      Pour créer un enregistrement TXT DNS, connectez-vous au portail Domain Hosting Provider pour le domaine que vous avez ajouté à l’étape précédente. Vous pouvez modifier vos enregistrements DNS et ajouter un enregistrement TXT personnalisé.

    • Collez le jeton de domaine dans votre enregistrement TXT DNS et enregistrez votre enregistrement DNS.

    • Dans Endpoint Management Tools Portal, cliquez sur Done et démarrez la vérification du DNS.

    Le système détecte votre enregistrement TXT DNS. Vous pouvez éventuellement cliquer sur I’ll update later et l’enregistrement est enregistré. La vérification du DNS ne démarre pas tant que vous n’avez pas sélectionné l’enregistrement dont l’état est « Waiting » et cliqué sur DNS Check.

    Cette vérification prend généralement une heure, mais le renvoi d’une réponse peut prendre jusqu’à deux jours. Vous devrez peut-être quitter le portail et y retourner pour actualiser l’état.

    Image de l'écran Waiting status dans ADS List

  4. Après avoir revendiqué votre domaine, vous entrez les informations relatives au service de détection automatique. Cliquez avec le bouton droit sur l’enregistrement de domaine pour lequel vous souhaitez faire une demande de détection automatique, puis cliquez sur Add ADS.

    Image de l'écran Claimed status dans ADS List

  5. Entrez les informations requises, puis cliquez sur Next. Si vous ne connaissez pas le nom de votre instance, ajoutez une instance par défaut zdm.

    Écran des options d'information de Endpoint Management

    Remarque :

    Dans la capture d’écran précédente, « WorxHome » fait référence à l’application qui s’appelle maintenant Secure Hub.

  6. Entrez les informations suivantes pour Secure Hub et cliquez sur Next.

    Écran des paramètres d'informations de Secure Hub

    • User ID Type : sélectionnez le type d’ID avec lequel les utilisateurs se connectent, soit l’adresse e-mail soit le nom UPN.

      Utilisez UPN lorsque l’UPN (nom d’utilisateur principal) de l’utilisateur est le même que son adresse e-mail. Les deux méthodes utilisent le domaine entré pour trouver l’adresse du serveur. Si vous sélectionnez E-mail address, les utilisateurs sont invités à entrer leur nom d’utilisateur et leur mot de passe. Si vous sélectionnez UPN, les utilisateurs sont invités à entrer leur mot de passe.

    • HTTPS Port : entrez le numéro de port utilisé pour accéder à Secure Hub sur HTTPS. En règle générale, il s’agit du port 443.

    • iOS Enrollment Port : entrez le numéro de port utilisé pour accéder à Secure Hub pour l’inscription iOS. En règle générale, il s’agit du port 8443.

    • Required Trusted CA for Endpoint Management : indiquez si un certificat approuvé est nécessaire pour accéder à Endpoint Management. Cette option peut être OFF ou ON. La possibilité de charger un certificat pour cette fonctionnalité n’est pas actuellement disponible. Si vous souhaitez utiliser cette fonctionnalité, appelez le support Citrix et faites une demande de configuration de détection automatique. Pour en savoir plus sur le certificate pinning, consultez la section sur le certificate pinning dans la documentation Secure Hub. Pour en savoir plus sur les ports requis pour assurer le fonctionnement du certificate pinning, consultez l’article Exigences requises par Endpoint Management en matière de port pour la connectivité ADS.

  7. Une page de résumé affiche les informations que vous avez entrées dans les étapes précédentes. Vérifiez que les données sont correctes et cliquez sur Save.

    Écran de la page récapitulative

À ce stade, vous pouvez inscrire tous les appareils pris en charge. Passez à la section suivante pour préparer la mise à disposition de ressources aux appareils.

Poursuivre la configuration Endpoint Management

Une fois que vous avez terminé la configuration de base pour l’inscription de l’appareil, la manière dont vous configurez Endpoint Management varie considérablement en fonction de vos cas d’utilisation. Par exemple :

  • Quelles sont vos exigences en matière de sécurité et comment souhaitez-vous équilibrer ces exigences avec l’expérience utilisateur ?
  • Quelles plates-formes d’appareils prenez-vous en charge ?
  • Vos utilisateurs possèdent-ils leurs appareils ou utilisent-ils des appareils appartenant à l’entreprise ?
  • Quelles stratégies devez-vous transmettre aux appareils ?
  • Quels types d’applications proposez-vous aux utilisateurs ?

Cette section vous aide à naviguer parmi les nombreux choix de configuration en vous dirigeant vers les articles de documentation.

Lorsque vous terminez la configuration sur des sites tiers, notez les informations et leur emplacement à des fins de référence lors de la configuration des paramètres de la console Endpoint Management.

Sécurité et authentification

Endpoint Management utilise les certificats pour établir des connexions sécurisées et authentifier les utilisateurs. Citrix fournit des certificats génériques pour votre instance Endpoint Management.

Lectures complémentaires recommandées :

Pour plus d’informations sur les composants d’authentification et les configurations recommandées par niveau de sécurité, consultez la section « Concepts avancés » dans l’article Authentification.

Consultez également Sécurité et expérience utilisateur.

Pour une présentation des composants d’authentification utilisés lors des opérations Endpoint Management, consultez la section Certificats et authentification.

Vous pouvez choisir parmi les types d’authentification suivants. La configuration de l’authentification inclut des tâches dans les consoles Endpoint Management et Citrix Gateway.

Pour la mise à disposition de certificats aux utilisateurs, configurez les éléments suivants :

Pour d’autres options d’authentification, consultez les articles dans la section Certificats et authentification.

Appareils inscrits

Vous configurez des modes d’inscription d’appareils pour autoriser les utilisateurs à inscrire leurs appareils dans Endpoint Management. Endpoint Management offre sept modes, chacun doté de son propre niveau de sécurité et de ses propres étapes que les utilisateurs doivent suivre pour inscrire leurs appareils.

L’inscription d’Azure Active Directory est prise en charge pour les appareils iOS, Android et Windows 10. Pour plus d’informations sur la configuration d’Azure comme fournisseur d’identité (IdP), consultez la section Authentification unique avec Azure Active Directory.

Stratégies et gestion d’appareil

  • Stratégies d’appareil (MDM)

    • Toutes les stratégies d’appareil Endpoint Management sont documentées sous Stratégies d’appareil. Pour plus d’informations sur certaines stratégies d’appareil couramment utilisées, consultez la section Stratégies d’appareil et cas d’utilisation.

    • Certaines stratégies sont communes à plusieurs plates-formes et certaines sont spécifiques à une plate-forme.

      Vous pouvez filtrer les listes de stratégies d’appareil dans la console Endpoint Management. Par exemple, vous pouvez filtrer les stratégies par plate-forme pour afficher une liste des stratégies les plus souvent utilisées pour cette plate-forme. Pour de plus amples informations, consultez la section Stratégies d’appareil.

  • Propriétés du client

  • Groupes de mise à disposition

Préparer le déploiement d’application

Pour plus d’informations sur les applications prises en charge par Endpoint Management, consultez la section Ajouter des applications.

Autre configuration

  • La fonctionnalité de contrôle d’accès basé sur rôle (RBAC) de Endpoint Management vous permet d’attribuer des rôles prédéfinis ou un ensemble d’autorisations aux utilisateurs et aux groupes. Ces autorisations contrôlent le niveau d’accès des utilisateurs aux fonctions du système. Pour plus d’informations, consultez la section Configurer des rôles avec RBAC.

  • Vous créez des actions automatisées dans Endpoint Management pour spécifier des actions à prendre suite à des événements, à certaines propriétés ou à la présence d’applications sur les appareils utilisateur. Pour plus d’informations, consultez la section Actions automatisées.