Citrix Secure Hub

O Citrix Secure Hub é a plataforma de lançamento dos aplicativos móveis de produtividade. Os usuários registram seus dispositivos no Secure Hub para obter acesso à loja de aplicativos. Na loja de aplicativos, eles podem adicionar aplicativos móveis de produtividade desenvolvidos pela Citrix e aplicativos de terceiros.

Você pode baixar o Secure Hub e outros componentes da Página de downloads do Citrix Endpoint Management.

Quanto ao Secure Hub e outros requisitos de sistema de aplicativos móveis de produtividade, consulte os Requisitos do sistema.

O que há de novo nesta versão

O Secure Hub 10.8.65 inclui correções de bugs e aprimoramentos de desempenho.

O que há de novo em versões anteriores

Secure Hub 10.8.60

O Secure Hub 10.8.60 inclui os seguintes novos recursos:

  • Suporte para o idioma polonês.
  • Suporte para Android P.
  • Suporte para o uso da loja de aplicativos do Workspace. Ao abrir o Secure Hub, os usuários não verão mais a loja de aplicativos do Secure Hub. Agora, um botão Adicionar aplicativos leva os usuários para a loja de aplicativos do Workspace. Para obter mais informações sobre o Workspace, consulte Configuração do Workspace.

    Importante:

    Este recurso está disponível apenas para novos clientes. Atualmente, não oferecemos suporte à migração para clientes existentes.

    Para usar esse recurso, configure o seguinte:

    Importante:

    Depois que esse recurso é ativado, o SSO do Citrix Files ocorre por meio do Workspace e não pelo Endpoint Management (anteriormente, XenMobile). Recomendamos que você desative a integração de Citrix Files no console Endpoint Management antes de habilitar a integração do Workspace.

Versão do Secure Hub 10.8.55

  • A capacidade de transmitir um nome de usuário e senha para o portal Google zero-touch e KNOX Mobile Environment (KME) usando a configuração JSON. Para mais detalhes, consulte o registro em massa do Samsung KNOX.
  • Quando você ativa a fixação de certificado, os usuários não podem se registrar no Endpoint Management com um certificado autoassinado. Se os usuários tentarem se registrar ao Endpoint Management com um certificado autoassinado, eles serão avisados de que o certificado não é confiável.

Versão do Secure Hub 10.8.25: Secure Hub para Android inclui suporte para dispositivos Android P.

Nota:

Antes de atualizar para a plataforma Android P: Certifique-se de que sua infraestrutura de servidor está em conformidade com os certificados de segurança que tenham um nome de host correspondente na extensão subjectAltName (SAN). Para confirmar um nome de host, o servidor deve apresentar um certificado com uma SAN correspondente. Os certificados que não contêm uma SAN correspondente ao nome do host não são mais confiáveis. Para detalhes, consulte o artigo do site do Android Developer sobre alterações de comportamento do Android P.

Atualização do Secure Hub para iOS em 19 de março de 2018: O Secure Hub versão 10.8.6 para iOS está disponível para corrigir um problema com a política de aplicativo VPP. Para obter detalhes, consulte este artigo do Citrix Knowledge Center.

Versão do Secure Hub 10.8.5: suporte no Secure Hub para Android para o modo COSU para o Android Work (Android for Work). Para obter mais detalhes, consulte Documentação do Citrix Endpoint Management.

Administração do Secure Hub

Você executa a maioria das tarefas administrativas relacionadas ao Secure Hub durante a configuração inicial do Endpoint Management. Para tornar o Secure Hub disponível para os usuários, para iOS e Android, carregue o Secure Hub no iOS App Store e no Google Play Store.

O Secure Hub também atualiza a maioria das políticas de MDX armazenadas no Endpoint Management para os aplicativos instalados quando uma sessão de usuário do NetScaler Gateway se renova após autenticação usando o NetScaler Gateway.

Importante:

As alterações a qualquer uma das políticas a seguir exigem que um usuário exclua e reinstale o aplicativo para aplicar a atualização de política: Grupo de Segurança, Ativar criptografia e o Exchange Server do Secure Mail.

PIN da Citrix

Você pode configurar o Secure Hub para usar o PIN da Citrix, um recurso de segurança ativado no console Endpoint Management em Configurações > Propriedades do Cliente. A configuração requer que os usuários de dispositivos móveis registrados façam logon no Secure Hub e ativem os aplicativos MDX incluídos usando um número de identificação pessoal (PIN).

O recurso de PIN da Citrix simplifica a experiência de autenticação do usuário ao fazer logon nos aplicativos seguros preparados. Os usuários não precisam inserir outra credencial repetidamente, como o nome de usuário e a senha do Active Directory.

Os usuários que fazem logon no Secure Hub pela primeira vez precisam inserir seu nome de usuário e senha do Active Directory. Durante o logon, o Secure Hub salva as credenciais do Active Directory ou um certificado de cliente no dispositivo do usuário e, em seguida, solicita ao usuário para inserir um PIN. Quando o usuário faz logon novamente, ele digita o PIN para acessar seus aplicativos Citrix e o Store com segurança, até que o próximo período de tempo limite de ociosidade termine para a sessão de usuário ativa. Propriedades de cliente correlatas permitem criptografar segredos usando o PIN, especificar o tipo de código secreto para PIN e especificar os requisitos de força e comprimento do PIN. Para obter detalhes, consulte Propriedades do cliente.

Quando a autenticação da impressão digital está ativada, os usuários agora podem fazer logon usando uma impressão digital quando for necessária a autenticação offline devido à inatividade de aplicativo. Os usuários ainda têm que inserir um PIN quando fizerem logon ao Secure Hub pela primeira vez ou ao reiniciar o dispositivo, e depois que o tempo limite de inatividade expirar. Autenticação de impressão digital é compatível com alguns dispositivos iOS 9 e iOS 10.3 e alguns dispositivos Android. Para obter informações sobre como ativar a autenticação por impressão digital, consulte a configuração ENABLE_TOUCH_ID_AUTH nas Propriedades do Cliente.

Fixação de certificado

O Secure Hub para iOS e Android oferecem suporte a fixação de certificado SSL. Esse recurso garante que o certificado assinado por sua empresa seja usado quando clientes Citrix se comunicam com o Endpoint Management, evitando conexões de clientes com o Endpoint Management quando a instalação de um certificado raiz no dispositivo comprometer a sessão SSL. Quando o Secure Hub detecta alterações no servidor chave pública, o Secure Hub nega a conexão.

A partir do Android N, o sistema operacional não permite mais autoridades de certificação (AC) adicionadas pelo usuário. A Citrix recomenda o uso de uma Autoridade de Certificação raiz pública no lugar de uma autoridade de certificação adicionada pelo usuário.

Os usuários que fizerem a atualização para Android N podem ter problemas se usarem autoridades de certificação privadas ou autoassinadas. As conexões em dispositivos Android N são interrompidas nos seguintes cenários:

  • Autoridades de certificação privadas/autoassinadas e a opção Required Trusted CA for Endpoint Management está definida como ON. Para obter mais informações, consulte Endpoint Management AutoDiscovery Service.
  • Autoridades de certificação privadas/autoassinadas e o AutoDiscovery Service (ADS) não estão acessíveis. Devido a questões de segurança, quando ADS não está acessível, a opção Required Trusted CA é ativada mesmo que tenha sido definida como desativada inicialmente.

Antes de registrar dispositivos ou atualizar o Secure Hub, considere ativar a fixação de certificados. A opção está Desativada por padrão e é gerenciada pelo Endpoint Management AutoDiscovery Service (ADS). Quando você ativa a fixação de certificado, os usuários não podem se registrar no Endpoint Management com um certificado autoassinado. Se os usuários tentarem se registrar com um certificado autoassinado, eles serão avisados de que o certificado não é confiável. O registro falhará se os usuários não aceitarem o certificado.

Para usar fixação de certificado, solicite que a Citrix carregue certificados no seu servidor Citrix ADS. Abra um caso de suporte técnico usando o Citrix Support portal. Em seguida, forneça as seguintes informações:

  • O domínio que contém as contas com que os usuários se registram.
  • O nome de domínio totalmente qualificado (FQDN) do Endpoint Management.
  • O nome da instância do Endpoint Management. Por padrão, o nome da instância é zdm e ela diferencia maiúsculas de minúsculas.
  • Tipo de ID de usuário, que pode ser UPN ou Email. Como padrão, o tipo é UPN.
  • A porta usada para registro de iOS se você tiver alterado o número de porta da porta padrão 8443.
  • A porta através da qual o Endpoint Management aceita conexões se você tiver alterado o valor do número de porta padrão 443.
  • O URL completo do NetScaler Gateway.
  • Optionalmente, um endereço de email para o seu administrador.
  • Os certificados formatados com PEM que você deseja adicionar ao domínio.
  • Como lidar com os certificados de servidor existentes: remover o certificado de servidor antigo imediatamente (porque está comprometido) ou continuar a dar suporte ao certificado de servidor antigo até que expire.

O caso do suporte técnico caso é atualizado quando seus detalhes e o certificado tiverem sido adicionados aos servidores Citrix.

Configuração de certificado + autenticação de senha de uso único para o Secure Hub

Você pode configurar o NetScaler para que o Secure Hub autentique com um certificado além de um token de segurança que atua como uma senha de uso único. Esta opção fornece uma configuração de alta segurança que não deixa rastros do Active Directory nos dispositivos.

Para ativar o Secure Hub para usar este tipo de autenticação, faça o seguinte: adicione uma ação de regravação e uma política de regravação no NetScaler que insira um cabeçalho de resposta personalizado do formulário X-Citrix-AM-GatewayAuthType: CertAndRSA para indicar o tipo de logon NetScaler Gateway.

Em geral, o Secure Hub usa o tipo de logon do NetScaler Gateway configurado no console Endpoint Management. No entanto, essas informações não estão disponíveis para o Secure Hub até que o Secure Hub conclua o logon pela primeira vez. Portanto, o cabeçalho personalizado é obrigatório.

Nota:

Se diferentes tipos de logon forem definidos para Endpoint Management e NetScaler, a configuração do NetScaler os substituirá. Para obter informações, consulte NetScaler Gateway e Endpoint Management.

  1. No NetScaler, navegue para Configuration > AppExpert > Rewrite > Actions.

  2. Clique em Adicionar.

    É exibida a tela Create Rewrite Action.

  3. Preencha cada campo conforme mostrado na figura a seguir e, em seguida, clique em Create.

    Imagem da tela de criação de uma ação de regravação

    O resultado é exibido na tela principal Rewrite Actions.

    Imagem dos resultados na tela de ações de regravação

  4. Vincule a ação de regravar ao servidor virtual como uma política de regravação. Vá para Configuration > NetScaler Gateway > Virtual Serverse depois selecione seu servidor virtual.

    Imagem da tela de Servidores Virtuais

  5. Clique em Edit.

  6. Na tela Virtual Servers configuration, role até Policies.

  7. Clique em + para adicionar uma política.

    Imagem da opção de adição de política

  8. No campo Choose Policy, selecione Rewrite.

  9. No campo Choose Type, selecione Response.

    Imagem da opção de resposta

  10. Clique em Continue.

    A seção Policy Binding se expande.

    Imagem da seção de vinculação de política

  11. Clique em Select Policy.

    É exibida uma tela com políticas disponíveis.

    Imagem das políticas disponíveis

  12. Clique na linha da política que você criou e clique em Select. A tela Policy Binding aparece novamente, com a sua política selecionada preenchida.

    Imagem da política selecionada

  13. Clique em Bind.

    Se a associação for bem-sucedida, é exibida a principal tela de configuração com a política de reescrever concluída exibida.

    Imagem de um vínculo bem-sucedido

  14. Para exibir os detalhes da política, clique em Rewrite Policy.

    Imagem dos detalhes de reescrita/regravação da política

Requisito de porta para conectividade ADS para dispositivos Android

A configuração de porta garante que dispositivos Android que se conectam do Secure Hub possam acessar o Citrix ADS de dentro da rede corporativa. A capacidade de acessar ADS é importante ao baixar as atualizações de segurança disponibilizadas por meio do ADS. As conexões ADS podem não ser compatíveis com o servidor proxy. Nesse cenário, permita que a conexão do ADS ignore o servidor proxy.

Importante:

o Secure Hub para Android e iOS exige que você permita que dispositivos Android acessem o ADS. Para obter detalhes, consulte os Requisitos de porta na documentação do Citrix Endpoint Management. Note que essa comunicação é na porta de saída 443. É altamente provável que o ambiente existente tenha sido criado para permitir isso. Recomenda-se com ênfase aos clientes que não possam garantir a comunicação que não atualizem para o Secure Hub 10.2. Se tiver alguma dúvida, entre em contato com o Atendimento ao Cliente Citrix.

Os clientes interessados em ativar a fixação de certificado devem atender aos seguintes pré-requisitos:

  • Colete os certificados do Endpoint Management e do NetScaler. Os certificados precisam estar no formato PEM e devem ser um certificado público e não a chave privada.
  • Entre em contato com o suporte da Citrix e faça uma solicitação para permitir a fixação de certificado. Durante este processo, você será solicitado a fornecer seus certificados.

As melhorias do novo certificado de fixação exigem que os dispositivos se conectem ao ADS antes de o dispositivo se inscrever. Esse pré-requisito garante que as informações de segurança mais recentes estejam disponíveis ao Secure Hub para o ambiente no qual o dispositivo está se registrando. Se os dispositivos não puderem alcançar o ADS, o Secure Hub não permitirá o registro do dispositivo. Portanto, a abertura de acesso a ADS na rede interna é crítica para possibilitar que os dispositivos se registrem.

Para permitir o acesso ao ADS para o Secure Hub para Android, abra a porta 443 para os seguintes endereços IP e FQDN:

FQDN Endereço IP Porta Uso de IP e porta
discovery.mdm.zenprise.com 52.5.138.94 443 Secure Hub - ADS Communication
discovery.mdm.zenprise.com 52.1.30.122 443 Secure Hub - ADS Communication
ads.xm.cloud.com: observe que o Secure Hub versão 10.6.15 e posterior usa ads.xm.cloud.com. 34.194.83.188 443 Secure Hub - ADS Communication
ads.xm.cloud.com: observe que o Secure Hub versão 10.6.15 e posterior usa ads.xm.cloud.com. 34.193.202.23 443 Secure Hub - ADS Communication

Se a fixação de certificado estiver ativada:

  • O Secure Hub fixa o certificado corporativo durante o registro do dispositivo.
  • Durante uma atualização, o Secure Hub descarta os certificados fixados e, em seguida, fixa o certificado do servidor na primeira conexão para usuários registrados.

    Nota:

    Se você ativar a fixação de certificado após uma atualização, os usuários devem fazer novo registro.

  • A renovação do certificado não exige o processo de novo registro, se a chave pública de certificado não tiver sido alterada.

A fixação de certificado dá suporte a certificados de folha, mas não certificados intermediários ou certificados de emissor. A fixação de certificado se aplica a servidores Citrix, como, por exemplo, Endpoint Management e NetScaler Gateway, e não a servidores de terceiros.

Recursos do Secure Hub

O Secure Hub permite monitorar e impor políticas móveis e fornece acesso ao Store e suporte ao vivo. Os usuários começam a baixar o Secure Hub para seus dispositivos das lojas de aplicativos Apple, Android ou Windows.

Quando o Secure Hub é aberto, os usuários digitam as credenciais fornecidas pela sua empresa para registrar seus dispositivos no Secure Hub. Para obter mais informações sobre o registro de dispositivos, consulte Contas de usuários, funções e registro.

No Secure Hub para Android, durante a instalação inicial e registro, aparece a seguinte mensagem: Permitir que o Secure Hub acesse fotos, mídia e arquivos em seu dispositivo?

Note que esta mensagem vem do sistema operacional Android e não da Citrix. Quando você toca em Allow, a Citrix e os administradores que administram o Secure Hub não veem seus dados pessoais em nenhum momento. Se, no entanto, você realizar uma sessão de suporte remoto com seu administrador, o administrador pode visualizar seus arquivos pessoais dentro da sessão.

Depois de inscritos, os usuários veem os aplicativos e áreas de trabalho que você enviou nas respectivas guias My Apps. Os usuários podem adicionar mais aplicativos do Store. Nos telefones o link do Store está sob o ícone de configurações tipo hambúrguer no canto superior esquerdo.

Imagem do link da loja

Em tablets, o Store é uma guia separada.

Imagem da loja em tablets

Quando usuários com iPhones com iOS 9 ou posterior instalam aplicativos móveis de produtividade da loja, eles veem uma mensagem. A mensagem afirma que o desenvolvedor corporativo, Citrix, não é confiável nesse iPhone. A mensagem observa que o aplicativo não está disponível para uso até que o desenvolvedor seja confiável. Quando esta mensagem é exibida, o Secure Hub avisa aos usuários para exibir um guia que os orienta pelo processo de confiar nos aplicativos empresariais Citrix para seu iPhone.

Para as implantações somente MAM, você pode configurar o Endpoint Management para que os usuários com dispositivos Android ou iOS que se registrarem no Secure Hub com credenciais de email sejam automaticamente registrados no Secure Mail. Os usuários não têm que digitar mais informações nem executar mais etapas para se registrarem no Secure Mail.

Ao ser usado pela primeira vez, o Secure Mail obtém do Secure Hub o endereço de email do usuário, o domínio e a identificação de usuário. O Secure Mail usa o endereço de email para a detecção automática. O Exchange Server é identificado com o uso do domínio e ID de usuário, o que permite que o Secure Mail autentique o usuário automaticamente. O usuário é solicitado a inserir uma senha se a política estiver configurada para não passar pela senha. O usuário não é, no entanto, obrigado a inserir mais informações.

Para ativar esse recurso, crie três propriedades:

  • A propriedade do servidor MAM_MACRO_SUPPORT. Para obter instruções, consulte Propriedades do servidor.
  • As propriedades de cliente ENABLE_CREDENTIAL_STORE e SEND_LDAP_ATTRIBUTES. Para obter instruções, consulte Propriedades do cliente.

Se você deseja personalizar sua Store, vá para Settings > Client Branding para alterar o nome, adicionar um logotipo e especificar como os aplicativos serão exibidos.

Imagem da imagem de marca do cliente

Você pode editar as descrições do aplicativo no console Endpoint Management. Clique em Configure e em Apps. Selecione o aplicativo na tabela e clique em Edit. Selecione as plataformas para o aplicativo com a descrição que você está editando e digite o texto na caixa Description.

Imagem da caixa de descrição

No Store, os usuários poderão procurar somente os aplicativos e áreas de trabalho que você tiver configurado e protegido no Endpoint Management. Para adicionar o aplicativo, os usuários devem tocar em Details e depois em Add.

O Secure Hub também oferece aos usuários várias formas de obter ajuda. Em tablets, tocar o ponto de interrogação no canto superior direito abre as opções de ajuda. Em telefones, os usuários devem tocar no ícone de hambúrguer no canto superior esquerdo e depois tocar em Help.

Imagem da tela de ajuda

Your IT Department mostra o telefone e o email do suporte técnico de sua empresa, que os usuários podem acessar diretamente do aplicativo. Você pode inserir números de telefone e endereços de email no console Endpoint Management. Clique no ícone de engrenagem no canto superior direito. A página Configurações é exibida. Clique em More e em Client Support. É exibida a tela em que você insere as informações.

Imagem da tela de suporte ao cliente

Report Issue mostra uma lista de aplicativos. Os usuários devem selecionar o aplicativo que apresenta o problema. O Secure Hub gera automaticamente os logs e abre uma mensagem em Secure Mail com os logs anexados como um arquivo zip. Os usuários podem adicionar linhas de assunto e descrição do problema. Eles também podem anexar uma captura de tela.

Send Feedback to Citrix abre uma mensagem no Secure Mail com um endereço de suporte da Citrix preenchido. No corpo da mensagem, o usuário pode fornecer sugestões para melhorar o Secure Mail. Se o Secure Mail não estiver instalado no dispositivo, o programa de email nativo será aberto.

Os usuários também podem tocar em Citrix Support, o que abre o Citrix Knowledge Center. Ali eles podem pesquisar artigos de suporte para todos os produtos da Citrix.

Em Preferences, os usuários podem encontrar informações sobre suas contas e dispositivos.

O Secure Hub também fornece políticas de localização geográfica e rastreio geográfico se, por exemplo, você desejar garantir que um dispositivo pertencente à empresa não invade um determinado perímetro geográfico. Para obter detalhes, consulte Location device policy. Além disso, o Secure Hub coleta automaticamente e analisa informações de falhas para que você possa ver o que levou a uma determinada falha. O software Crashyltics suporta essa função.