Configuration système requise

En attendant la mise à disposition de Endpoint Management par Citrix, assurez-vous de préparer votre déploiement Endpoint Management en installant Cloud Connector. Si Citrix héberge et met à disposition votre solution Endpoint Management, il est nécessaire de configurer la communication et les ports. Cette configuration connecte l’infrastructure Endpoint Management aux services d’entreprise, tels que Active Directory.

Configuration requise pour Cloud Connector

Citrix utilise Cloud Connector pour intégrer l’architecture Endpoint Management dans votre infrastructure existante. Cloud Connector intègre en toute sécurité les emplacements de ressources suivants à Endpoint Management via le port 443 : LDAP, serveur PKI, requêtes DNS internes et énumération Citrix Workspace.

  • Au moins deux machines Windows Server 2012 R2 ou Windows Server 2016 dédiées appartenant à votre domaine Active Directory Les machines peuvent être physiques ou virtuelles. La machine sur laquelle vous installez le Connector doit être synchronisée avec l’heure UTC pour assurer une installation et un fonctionnement appropriés. Pour obtenir une liste complète des dernières exigences, consultez les documents de déploiement fournis par votre équipe de compte Citrix.

    L’assistant d’intégration vous guide à travers l’installation de Cloud Connector sur ces machines.

  • Pour plus d’informations sur la configuration système requise pour la plate-forme, consultez la section Citrix Cloud Connector.

Configuration requise pour Citrix Gateway

Endpoint Management requiert l’installation d’une passerelle Citrix Gateway dans votre emplacement de ressources pour les scénarios suivants :

  • Vous avez besoin d’un micro VPN pour accéder aux ressources réseau internes pour les applications métier. Ces applications sont encapsulées avec la technologie Citrix MDX. Le micro VPN a besoin de Citrix Gateway pour se connecter aux infrastructures back-end internes.
  • Vous envisagez d’utiliser des applications de productivité mobiles, telles que Citrix Secure Mail.
  • Vous envisagez d’intégrer Endpoint Management à Microsoft Intune/EMS.

Configuration requise :

  • Authentification de domaine (LDAP)
  • NetScaler 10.5 build 66.9 ou version ultérieure, avec une licence de plate-forme ou Universal

    Pour de plus amples informations, consultez l’article de l’assistance Citrix How to License a NetScaler Gateway Appliance.

  • Certificat SSL public

Pour de plus amples informations, consultez l’article de l’assistance Citrix How to Add an SSL Certificate Bundle on the NetScaler Appliance.

  • Adresse IP publique non utilisée pour le serveur virtuel Citrix Gateway
  • Nom de domaine complet (FQDN) pouvant être résolu publiquement pour le serveur virtuel Citrix Gateway
  • Certificats racine et intermédiaire Endpoint Management hébergés sur le cloud (fournis dans le bundle de script)
  • Adresse IP privée interne non utilisée pour l’adresse IP d’équilibrage de charge du proxy
  • Pour plus d’informations sur les ports, reportez-vous à la section « Configuration requise pour les ports Citrix Gateway », plus loin dans cet article.
  • Intégration de Endpoint Management avec Microsoft Intune/EMS
  • Déploiement de Citrix NetScaler VPX sur Microsoft Azure

Pour obtenir des informations sur la configuration requise pour NetScaler, consultez les documents de déploiement fournis par votre équipe de compte Citrix.

Pour plus d’informations sur la configuration requise pour Android Enterprise, consultez la section Android Entreprise.

Configuration requise pour Citrix Files

Les services de synchronisation et de partage de fichiers Citrix Files sont disponibles dans l’offre Endpoint Management Premium Service. StorageZones Controller étend le stockage sur le cloud Citrix Files SaaS en fournissant à votre compte Citrix Files des zones de stockage privées.

Configuration requise pour StorageZones Controller :

  • Une machine physique ou virtuelle dédiée
  • Windows Server 2012 R2 ou Windows Server 2016
  • 2 processeurs virtuels
  • 4 Go de RAM
  • 50 Go d’espace disque
  • Rôles de serveur pour le serveur Web (IIS) :

    • Développement d’applications : ASP. NET 4.5.2
    • Sécurité : authentification de base
    • Sécurité : authentification Windows

Configuration requise pour la plateforme Citrix Files :

  • Le programme d’installation de Citrix Files requiert des privilèges d’administration sur Windows Server
  • Nom d’utilisateur administrateur Citrix Files

Configuration requise pour les ports

Pour autoriser des appareils et des applications à communiquer avec Endpoint Management, vous devez ouvrir des ports spécifiques dans vos pare-feu. Le schéma suivant illustre le flux du trafic pour Endpoint Management.

Schéma du flux de trafic de Endpoint Management

Les sections suivantes répertorient les ports que vous devez ouvrir.

Configuration requise pour le port Citrix Gateway

Ouvrez les ports pour autoriser les connexions utilisateur à partir de Citrix Secure Hub et Citrix Workspace via Citrix Gateway pour :

  • Endpoint Management
  • StoreFront
  • Autres ressources du réseau interne telles que les sites Web intranet

Pour plus d’informations sur Citrix Gateway, consultez la section Configuration Settings for your Endpoint Management Environment dans la documentation relative à Citrix Gateway. Pour de plus amples informations sur les adresses IP NetScaler, consultez la section How a NetScaler appliance communicates with clients and servers dans la documentation NetScaler. Cette section contient des informations sur les adresses IP de NetScaler (NSIP), du serveur virtuel (VIP) et de sous-réseau (SNIP).

Port TCP Description Source Destination
53 (TCP et UDP) Utilisé pour les connexions DNS. SNIP Citrix Gateway Serveur DNS
80/443 Citrix Gateway transmet la connexion micro VPN à la ressource du réseau interne via le second pare-feu. SNIP Citrix Gateway Sites Web intranet
123 (TCP et UDP) Utilisé pour les services NTP (Network Time Protocol). SNIP Citrix Gateway Serveur NTP
389 Utilisé pour les connexions LDAP non sécurisées. NSIP Citrix Gateway (ou SNIP, si un équilibreur de charge est utilisé) Serveur d’authentification LDAP ou Microsoft Active Directory
443 Utilisé pour les connexions à StoreFront de Citrix Workspace vers Citrix Virtual Apps and Desktops. Internet Citrix Gateway
443 Utilisé pour les connexions à Endpoint Management pour la mise à disposition d’applications Web, mobiles et SaaS. Internet Citrix Gateway
443 Utilisé pour la communication Cloud Connector - énumération LDAP, DNS, PKI et Citrix Workspace Serveurs Cloud Connector https://*.citrixworkspacesapi.net, https://*.cloud.com, https://*.blob.core.windows.net/, https://*.servicebus.windows.net
636 Utilisé pour les connexions LDAP sécurisées. NSIP Citrix Gateway (ou SNIP, si un équilibreur de charge est utilisé) Serveur d’authentification LDAP ou Active Directory
1494 Utilisé pour les connexions ICA à des applications Windows dans le réseau interne. Citrix recommande de conserver ce port ouvert. SNIP Citrix Gateway Citrix Virtual Apps and Desktops
1812 Utilisé pour les connexions RADIUS. NSIP Citrix Gateway Serveur d’authentification RADIUS
2598 Utilisé pour les connexions aux applications Windows dans le réseau interne à l’aide de la fiabilité de session. Citrix recommande de conserver ce port ouvert. SNIP Citrix Gateway Citrix Virtual Apps and Desktops
3269 Utilisé pour les connexions LDAP sécurisées au Microsoft Global Catalog. NSIP Citrix Gateway (ou SNIP, si un équilibreur de charge est utilisé) Serveur d’authentification LDAP ou Active Directory
8443 Utilisé pour l’inscription, le magasin d’applications et la gestion des applications mobiles (MAM). SNIP Citrix Gateway Endpoint Management
8443 Port Secure Ticket Authority (STA) utilisé pour le jeton d’authentification de Secure Mail SNIP Citrix Gateway Endpoint Management
4443 Utilisé pour l’accès à la console Endpoint Management par un administrateur via le navigateur. Point d’accès (navigateur) Endpoint Management

Configuration requise pour le réseau et le pare-feu

Pour autoriser des appareils et des applications à communiquer avec Endpoint Management, vous devez ouvrir des ports spécifiques dans vos pare-feu. Les tableaux suivants répertorient ces ports.

Ports ouverts depuis le réseau interne vers Citrix Cloud :

Port TCP IP source Description Destination IP destination
443   Cloud Connector https://*.citrixworkspacesapi.net, https://*.cloud.com, https://*.sharefile.com, https://cwsproduction.blob.core.wind ows.net/downloads, https://*.servicebus.windows.net  
443   Console d’administration https://*.citrixworkspacesapi.net, https://*.cloud.com, https://*.citrix.com, https://cwsproduction.blob.core.windows.net/downloads  
4443   Accès à la console Endpoint Management via un navigateur Endpoint Management  

Ports ouverts depuis Internet vers la DMZ :

Port TCP Description IP source Destination IP destination
443 Appareil client Endpoint Management   IP Citrix Gateway  
443 Appareil client Endpoint Management   Fichiers NetScaler VIP Citrix  
443 Adresse IP publique Citrix Files CTX208318 Fichiers NetScaler VIP Citrix  

Ports ouverts depuis la DMZ vers le réseau interne :

Port TCP Description IP source Destination IP destination
389 ou 636 NetScaler NSIP   IP Active Directory  
53 (UDP) NetScaler NSIP   IP du serveur DNS  
443 SNIP NetScaler   IP serveur Exchange (EAS)  
443 SNIP NetScaler   Applications/Services Web internes  
443 SNIP NetScaler   IP StorageZone Controller  

Ports ouverts depuis le réseau interne vers la DMZ :

Port TCP Description IP source Destination IP destination
443 Client admin   NetScaler NSIP  

Ports ouverts depuis le réseau interne vers Internet :

Port TCP Description IP source Destination IP destination
443 IP serveur Exchange (EAS)   Écouteurs de notifications push Endpoint Management (1)  
443 IP StorageZone Controller   Plan de contrôle Citrix Files CTX208318

(1) us-east-1.mailboxlistener.xm.citrix.com, eu-west-1.mailboxlistener.xm.citrix.com, ap-southeast-1.mailboxlistener.xm.citrix.com

Ports ouverts depuis le Wi-Fi de l’entreprise vers Internet :

Port TCP Description IP source Destination IP destination
8443 / 443 Appareil client Endpoint Management   Endpoint Management  
5223 Appareil client Endpoint Management   Serveurs APNS Apple 17.0.0.0/8
5228 Appareil client Endpoint Management   Firebase Cloud Messaging android.apis.google.com, cm.googleapis.com
5229 Appareil client Endpoint Management   Firebase Cloud Messaging android.apis.google.com, cm.googleapis.com
5230 Appareil client Endpoint Management   Firebase Cloud Messaging android.apis.google.com, cm.googleapis.com
443 Appareil client Endpoint Management   Firebase Cloud Messaging cm.googleapis.com
443 Appareil client Endpoint Management   Windows Push Notification Service *.notify.windows.com
443/80 Appareil client Endpoint Management   Apple iTunes App Store ax.itunes.apple.com, *.mzstatic.com, vpp.itunes.apple.com
443/80 Appareil client Endpoint Management   Google Play play.google.com, android.clients.google.com, android.l.google.com, android.com, google-analytics.com
443/80 Appareil client Endpoint Management   Microsoft App Store login.live.com, *.notify.windows.com
443 Appareil client Endpoint Management   Détection automatique Endpoint Management ads.xm.cloud.com
443 IP StorageZone Controller   Plan de contrôle Citrix Files CTX208318
443 Appareil client Endpoint Management   Gestion des appareils mobiles Google, API Google, API Google Play Store *.googleapis.com
443 Appareil client Endpoint Management   Vérification de la connectivité avant CloudDPC v470. La vérification de la connectivité Android commençant par N MR1 exige que https://www.google.com/generate_204 soit joignable ou que le réseau Wi-Fi donné pointe vers un fichier PAC accessible. connectivitycheck.android.com, www.google.com

Exigences en matière de port pour la connectivité au service de détection automatique

La configuration de ce port permet de s’assurer que les appareils Android qui se connectent à partir de Secure Hub pour Android peuvent accéder au service de détection automatique de Endpoint Management depuis le réseau interne. L’accès au service ADS est important lors du téléchargement de mises à jour de sécurité mises à disposition via ADS.

Remarque :

Les connexions ADS peuvent ne pas prendre en charge votre serveur proxy. Dans ce scénario, autorisez la connexion ADS à contourner le serveur proxy.

Si vous souhaitez autoriser le certificate pinning, procédez comme suit :

  • Collecter les certificats du serveur Endpoint Management et de NetScaler. Les certificats doivent être au format PEM et doivent être des certificats de clé publique et non de clé privée.
  • Contacter l’assistance Citrix et demander l’activation du certificate pinning. Lors de cette opération, vous êtes invité à fournir vos certificats.

Le certificate pinning nécessite que les appareils se connectent à ADS avant l’inscription de l’appareil. Cela garantit que Secure Hub dispose des dernières informations de sécurité. Pour que Secure Hub puisse inscrire un appareil, l’appareil doit contacter le service ADS. Par conséquent, il est primordial d’autoriser l’accès à ADS dans le réseau interne pour permettre aux appareils de s’inscrire.

Pour autoriser l’accès à ADS pour Secure Hub pour Android, ouvrez le port 443 pour les adresses IP et les noms de domaine complets suivants :

Nom de domaine complet Adresse IP Port Utilisation adresse IP et port
ads.xm.cloud.com 52.5.138.94 443 Secure Hub - Communication ADS
ads.xm.cloud.com 52.1.30.122 443 Secure Hub - Communication ADS
ads.xm.cloud.com 34.194.83.188 443 Secure Hub - Communication ADS
ads.xm.cloud.com 34.193.202.23 443 Secure Hub - Communication ADS

Configuration réseau requise pour Android Enterprise

Il existe un certain nombre de connexions sortantes que vous devez prendre en compte lors de la configuration d’environnements réseau pour Android Enterprise.

Configuration requise pour les ports

Si la console est située sur site, les hôtes de destination suivants doivent être accessibles à partir du réseau pour créer une instance Google Play d’entreprise et accéder à Managed Google Play iFrame. Google a mis le composant Managed Play iFrame à la disposition des développeurs afin de simplifier la recherche et l’approbation des applications.

Port TCP Description Hôte de destination
443 Inscription à Google Play Store, Play Enterprise play.google.com
443 Authentification du compte accounts.youtube.com, accounts.google.com
443 GCM et autres services Web Google apis.google.com
443 Eléments de l’interface utilisateur iFrame ogs.google.com
443 Notifications pour bureau et appareil mobile notifications.google.com
443 Contenu généré par l’utilisateur Google Fonts fonts.googleapis.com, *.gstatic.com, *.googleusercontent.com
443 Validation du certificat cri.pki.goog, ocsp.pki.goog