Documentação de produtos
Secure Hub
Ver PDF

Citrix Secure Hub™

May 6, 2026
Contribuição de: 
C C

O Citrix Secure Hub é a plataforma de lançamento para a experiência do Citrix Endpoint Management™ (anteriormente, XenMobile). Os usuários registram seus dispositivos no Secure Hub para obter acesso à Loja. Na loja, eles podem adicionar aplicativos de produtividade móvel desenvolvidos pela Citrix e aplicativos de terceiros.

Para os requisitos de sistema do Secure Hub e de outros aplicativos de produtividade móvel, consulte Requisitos do sistema.

Administrando o Secure Hub

Você executa a maioria das tarefas de administração relacionadas ao Secure Hub durante a configuração inicial do Endpoint Management. Para disponibilizar o Secure Hub aos usuários, para iOS e Android, carregue o Secure Hub na iOS App Store e na Google Play Store.

Além de fornecer um portal para aplicativos Citrix, o Secure Hub atualiza a maioria das políticas MDX armazenadas no Endpoint Management para os aplicativos instalados quando a sessão do Citrix Gateway de um usuário é renovada após a autenticação usando o Citrix Gateway.

Importante:

Alterações em qualquer uma das seguintes políticas exigem que um usuário exclua e reinstale o aplicativo para aplicar a política atualizada: Grupo de Segurança, Habilitar criptografia e Servidor Exchange do Secure Mail.

PIN do Citrix

  • Você pode configurar o Secure Hub para usar o PIN do Citrix, um recurso de segurança habilitado no console do Endpoint Management em “Configurações” > “Propriedades do Cliente”. A configuração exige que os usuários de dispositivos móveis registrados façam logon no Secure Hub e ativem quaisquer aplicativos empacotados em MDX usando um número de identificação pessoal (PIN).

O recurso PIN do Citrix simplifica a experiência de autenticação do usuário ao fazer logon nos aplicativos empacotados e protegidos. Os usuários não precisam inserir repetidamente outra credencial, como seu nome de usuário e senha do Active Directory.

  • Os usuários que fazem logon no Secure Hub pela primeira vez devem inserir seu nome de usuário e senha do Active Directory. Durante o logon, o Secure Hub salva as credenciais do Active Directory ou um certificado de cliente no dispositivo do usuário e, em seguida, solicita que o usuário insira um PIN. Quando os usuários fazem logon novamente, eles inserem o PIN para acessar seus aplicativos Citrix e a Loja com segurança, até que o próximo período de tempo limite de inatividade termine para a sessão de usuário ativa. As propriedades de cliente relacionadas permitem criptografar segredos usando o PIN, especificar o tipo de senha para o PIN e especificar os requisitos de força e comprimento do PIN. Para obter detalhes, consulte Propriedades do cliente.

  • Quando a autenticação por impressão digital está habilitada, os usuários podem fazer logon usando uma impressão digital quando a autenticação offline é necessária devido à inatividade do aplicativo. Os usuários ainda precisam inserir um PIN ao fazer logon no Secure Hub pela primeira vez, reiniciar o dispositivo e após o tempo limite de inatividade expirar. Para obter informações sobre como habilitar a autenticação por impressão digital, consulte Autenticação por impressão digital ou Touch ID.

  • Fixação de certificado

  • O Secure Hub para iOS e Android oferece suporte à fixação de certificado SSL. Esse recurso garante que o certificado assinado por sua empresa seja usado quando os clientes Citrix se comunicam com o Endpoint Management. A fixação de certificado impede conexões de clientes com o Endpoint Management quando a instalação de um certificado raiz no dispositivo compromete a sessão SSL. Quando o Secure Hub detecta quaisquer alterações na chave pública do servidor, o Secure Hub nega a conexão.

  • A partir do Android N, o sistema operacional não permite mais autoridades de certificação (CAs) adicionadas pelo usuário. A Citrix recomenda usar uma CA raiz pública em vez de uma CA adicionada pelo usuário.

Usuários que atualizam para o Android N podem ter problemas se usarem CAs privadas ou autoassinadas. As conexões em dispositivos Android N são interrompidas nos seguintes cenários:

  • CAs privadas/autoassinadas e a opção CA Confiável Necessária para Endpoint Management no AutoDiscovery Service está definida como ON. Para obter detalhes, consulte Serviço AutoDiscovery do Endpoint Management.
  • CAs privadas/autoassinadas e o AutoDiscovery Service (ADS) não está acessível. Devido a preocupações de segurança, quando o ADS não está acessível, a CA Confiável Necessária é ativada (ON) mesmo que tenha sido definida como OFF inicialmente.

Antes de registrar dispositivos ou atualizar o Secure Hub, considere habilitar a fixação de certificado. A opção está Off por padrão e é gerenciada pelo Serviço de Descoberta Automática (ADS) do Endpoint Management. Ao habilitar a fixação de certificado, os usuários não podem se registrar no Endpoint Management com um certificado autoassinado. Se os usuários tentarem se registrar com um certificado autoassinado, eles serão avisados de que o certificado não é confiável. O registro falhará se os usuários não aceitarem o certificado.

Para usar a fixação de certificado, solicite que a Citrix carregue certificados para o servidor Citrix ADS. Abra um caso de suporte técnico usando o portal de Suporte da Citrix. Em seguida, forneça as seguintes informações:

  • O domínio que contém as contas com as quais os usuários se registrarão.
  • O nome de domínio totalmente qualificado (FQDN) do Endpoint Management.
  • O nome da instância do Endpoint Management. Por padrão, o nome da instância é zdm e diferencia maiúsculas de minúsculas.
  • Tipo de ID de Usuário, que pode ser UPN ou Email. Por padrão, o tipo é UPN.
  • A porta usada para o registro do iOS se você alterou o número da porta da porta padrão 8443.
  • A porta através da qual o Endpoint Management aceita conexões se você alterou o número da porta da porta padrão 443.
  • A URL completa do seu Citrix Gateway.
  • Opcionalmente, um endereço de e-mail para o seu administrador do Endpoint Management.
  • Os certificados formatados em PEM que você deseja adicionar ao domínio.

Configurando a autenticação de certificado + senha de uso único para o Secure Hub

Você pode configurar o Citrix ADC para que o Secure Hub se autentique usando um certificado mais um token de segurança que serve como uma senha de uso único. Essa configuração oferece uma opção de segurança forte que não deixa um rastro do Active Directory nos dispositivos.

Para permitir que o Secure Hub use esse tipo de autenticação, adicione uma ação de reescrita e uma política de reescrita no Citrix ADC que insere um cabeçalho de resposta personalizado do formulário X-Citrix-AM-GatewayAuthType: CertAndRSA para indicar o tipo de logon do Citrix Gateway.

Normalmente, o Secure Hub usa o tipo de logon do Citrix Gateway configurado no console do Endpoint Management. No entanto, essas informações não estão disponíveis para o Secure Hub até que o Secure Hub conclua o logon pela primeira vez. Portanto, o cabeçalho personalizado é necessário para permitir que o Secure Hub faça isso.

Nota:

Se diferentes tipos de logon forem definidos no Endpoint Management e no Citrix ADC, a configuração do Citrix ADC substituirá a configuração. Para obter detalhes, consulte Citrix Gateway e Endpoint Management.

  1. No Citrix ADC, navegue até “Configuration” > “AppExpert” > “Rewrite” > “Actions”.

  2. Clique em “Add”.

    A tela “Create Rewrite Action” é exibida.

  3. Preencha cada campo conforme mostrado na figura a seguir e clique em “Create”.

    Image of the Create Rewrite Action screen

  • O seguinte resultado aparece na tela principal “Rewrite Actions”.

    Image of the Rewrite Actions screen result

  1. Associe a ação de reescrita ao servidor virtual como uma política de reescrita. Vá para “Configuração” > “NetScaler® Gateway” > “Servidores Virtuais” e selecione seu servidor virtual.

    Imagem da tela Servidores Virtuais

  2. Clique em “Editar”.

  3. Na tela “Configuração de Servidores Virtuais”, role para baixo até “Políticas”.

    1. Clique em ”+” para adicionar uma política.

    Imagem da opção adicionar política

    1. No campo “Escolher Política”, escolha “Reescrever”.

  1. No campo “Escolher Tipo”, escolha “Resposta”.

    Imagem da opção Resposta

  2. Clique em “Continuar”.

    A seção “Associação de Política” se expande.

    Imagem da seção Associação de Política

  3. Clique em “Selecionar Política”.

    Uma tela com as políticas disponíveis é exibida.

  • Imagem das políticas disponíveis

  1. Clique na linha da política que você acabou de criar e, em seguida, clique em “Selecionar”. A tela “Associação de Política” é exibida novamente, com a política selecionada preenchida.

    Imagem da política selecionada

  2. Clique em “Associar”.

    Se a associação for bem-sucedida, a tela de configuração principal é exibida com a política de reescrita concluída.

    Imagem de uma associação bem-sucedida

  3. Para visualizar os detalhes da política, clique em “Política de Reescrever”.

    Imagem dos detalhes da Política de Reescrever

Requisito de porta para conectividade ADS para dispositivos Android

A configuração da porta garante que os dispositivos Android que se conectam do Secure Hub possam acessar o Citrix ADS de dentro da rede corporativa. A capacidade de acessar o ADS é importante ao baixar atualizações de segurança disponibilizadas por meio do ADS. As conexões ADS podem não ser compatíveis com seu servidor proxy. Nesse cenário, permita que a conexão ADS ignore o servidor proxy.

Importante:

O Secure Hub para Android e iOS exige que você permita que dispositivos Android acessem o ADS. Para obter detalhes, consulte Requisitos de porta na documentação do Endpoint Management. Observe que essa comunicação ocorre na porta de saída 443. É altamente provável que seu ambiente existente seja projetado para permitir esse acesso. Clientes que não podem garantir essa comunicação são fortemente desencorajados a atualizar para o Secure Hub 10.2. Se tiver alguma dúvida, entre em contato com o suporte da Citrix.

Para habilitar o certificate pinning, você deve fazer os seguintes pré-requisitos:

  • Colete os certificados do Endpoint Management e do Citrix ADC. Os certificados devem estar no formato PEM e devem ser um certificado público, e não a chave privada.
  • Entre em contato com o suporte da Citrix e faça uma solicitação para habilitar o certificate pinning. Durante esse processo, seus certificados serão solicitados.

As novas melhorias de certificate pinning exigem que os dispositivos se conectem ao ADS antes que o dispositivo seja registrado. Isso garante que as informações de segurança mais recentes estejam disponíveis para o Secure Hub para o ambiente no qual o dispositivo está sendo registrado. Se os dispositivos não conseguirem alcançar o ADS, o Secure Hub não permitirá o registro do dispositivo. Portanto, abrir o acesso ao ADS dentro da rede interna é fundamental para permitir que os dispositivos sejam registrados.

Para permitir o acesso ao ADS para o Secure Hub para Android, abra a porta 443 para os seguintes endereços IP e FQDN:

FQDN Endereço IP Porta Uso de IP e porta
discovery.mdm.zenprise.com 52.5.138.94 443 Comunicação Secure Hub - ADS
discovery.mdm.zenprise.com 52.1.30.122 443 Comunicação Secure Hub - ADS
ads.xm.cloud.com: observe que o SecureHub versão 10.6.15 e posterior usa ads.xm.cloud.com. 34.194.83.188 443 Comunicação Secure Hub - ADS
ads.xm.cloud.com: observe que o SecureHub versão 10.6.15 e posterior usa ads.xm.cloud.com. 34.193.202.23 443 Comunicação Secure Hub - ADS

Se o certificate pinning estiver habilitado:

  • O Secure Hub fixa seu certificado corporativo durante o registro do dispositivo.

  • Durante uma atualização, o Secure Hub descarta qualquer certificado atualmente fixado e, em seguida, fixa o certificado do servidor na primeira conexão para usuários registrados.

    Observação:

    Se você ativar a fixação de certificado após uma atualização, os usuários deverão se registrar novamente.

  • A renovação do certificado não exige um novo registro, desde que a chave pública do certificado não tenha sido alterada.

A fixação de certificado oferece suporte a certificados folha, não a certificados intermediários ou de emissor. A fixação de certificado se aplica a servidores Citrix, como Endpoint Management e Citrix Gateway, e não a servidores de terceiros.

Recursos do Secure Hub

O Secure Hub permite monitorar e aplicar políticas móveis, ao mesmo tempo em que fornece acesso à Loja e suporte em tempo real. Os usuários começam baixando o Secure Hub em seus dispositivos na loja de aplicativos da Apple, Android ou Windows.

Quando o Secure Hub é aberto, os usuários inserem as credenciais fornecidas por suas empresas para registrar seus dispositivos no Secure Hub. Para obter mais detalhes sobre o registro de dispositivos, consulte Usuários, contas, funções e registro.

No Secure Hub para Android, durante a instalação e o registro iniciais, a seguinte mensagem aparece: Permitir que o Secure Hub acesse fotos, mídias e arquivos em seu dispositivo?

Observe que esta mensagem vem do sistema operacional Android e não da Citrix. Ao tocar em “Permitir”, a Citrix e os administradores que gerenciam o Secure Hub não visualizam seus dados pessoais em nenhum momento. No entanto, se você realizar uma sessão de suporte remoto com seu administrador, ele poderá visualizar seus arquivos pessoais dentro da sessão.

Uma vez registrados, os usuários veem todos os aplicativos e desktops que você enviou na guia “Meus Aplicativos”. Os usuários podem adicionar mais aplicativos da Loja. Em telefones, o link da Loja está sob o ícone de menu (hambúrguer) de Configurações no canto superior esquerdo.

Image of the Store Link

Em tablets, a Loja é uma guia separada.

Image of the Store on tablets

Quando usuários de iPhones com iOS 9 ou posterior instalam aplicativos de produtividade móvel da loja de aplicativos do Endpoint Management, eles veem uma mensagem informando que o desenvolvedor corporativo, Citrix, não é confiável naquele iPhone e que o aplicativo não estará disponível para uso até que o desenvolvedor seja confiável. Quando esta mensagem aparece, o Secure Hub solicita que os usuários visualizem um guia que os orienta no processo de confiar em aplicativos corporativos da Citrix para seus iPhones.

Para implantações somente MAM, você pode configurar o Endpoint Management para que usuários com dispositivos Android ou iOS que se registram no Secure Hub usando credenciais de e-mail sejam automaticamente registrados no Secure Mail. Os usuários não precisam inserir mais informações ou realizar mais etapas para se registrar no Secure Mail.

No primeiro uso do Secure Mail, o Secure Mail obtém o endereço de e-mail, domínio e ID de usuário do Secure Hub. O Secure Mail usa o endereço de e-mail para autodescoberta. O servidor Exchange é identificado usando o domínio e o ID de usuário, o que permite que o Secure Mail autentique o usuário automaticamente. O usuário é solicitado a inserir uma senha se a política estiver configurada para não passar a senha, mas não é necessário inserir mais informações.

Para habilitar este recurso, crie três propriedades:

  • A propriedade do servidor MAM_MACRO_SUPPORT. Para obter instruções, consulte Propriedades do servidor.
  • As propriedades do cliente ENABLE_CREDENTIAL_STORE e SEND_LDAP_ATTRIBUTES. Para obter instruções, consulte Propriedades do cliente.

Se você quiser personalizar sua Loja, vá para “Configurações” > “Personalização do Cliente” para alterar o nome, adicionar um logotipo e especificar como os aplicativos aparecem.

Image of the Client Branding image

Você pode editar descrições de aplicativos no console do Endpoint Management. Clique em “Configurar” e depois em “Aplicativos”. Selecione o aplicativo na tabela e clique em “Editar”. Selecione as plataformas para o aplicativo com a descrição que você está editando e digite o texto na caixa “Descrição”.

Image of the Description box

Na Loja, os usuários podem navegar apenas pelos aplicativos e desktops que você configurou e protegeu no Endpoint Management. Para adicionar o aplicativo, os usuários tocam em “Detalhes” e depois em “Adicionar”.

O Secure Hub também oferece aos usuários uma variedade de maneiras de obter ajuda. Em tablets, tocar no ponto de interrogação no canto superior direito abre as opções de ajuda. Em telefones, os usuários tocam no ícone de menu (hambúrguer) no canto superior esquerdo e depois tocam em “Ajuda”.

Image of the Help screen

“Seu Departamento de TI” mostra o telefone e o e-mail da central de ajuda da sua empresa, que os usuários podem acessar diretamente do aplicativo. Você insere números de telefone e endereços de e-mail no console do Endpoint Management. Clique no ícone de engrenagem no canto superior direito. A página “Configurações” aparece. Clique em “Mais” e depois em “Suporte ao Cliente”. A tela onde você insere as informações aparece.

Image of the Client Support screen

“Relatar Problema” mostra uma lista de aplicativos. Os usuários selecionam o aplicativo que apresenta o problema. O Secure Hub gera logs automaticamente e, em seguida, abre uma mensagem no Secure Mail com os logs anexados como um arquivo zip. Os usuários adicionam linhas de assunto e descrições do problema. Eles também podem anexar uma captura de tela.

“Enviar Feedback à Citrix” abre uma mensagem no Secure Mail com um endereço de suporte da Citrix preenchido. No corpo da mensagem, o usuário pode inserir sugestões para melhorar o Secure Mail. Se o Secure Mail não estiver instalado no dispositivo, o programa de e-mail nativo será aberto.

Os usuários também podem tocar em “Suporte Citrix”, que abre a Central de Conhecimento da Citrix. A partir daí, eles podem pesquisar artigos de suporte para todos os produtos Citrix.

Em “Preferências”, os usuários podem encontrar informações sobre suas contas e dispositivos.

O Secure Hub também fornece políticas de geolocalização e geomonitoramento se, por exemplo, você quiser garantir que um dispositivo corporativo não viole um determinado perímetro geográfico. Para obter detalhes, consulte Política de dispositivo de localização. Além disso, o Secure Hub coleta e analisa automaticamente informações de falha para que você possa ver o que levou a uma falha específica. Esta função é suportada pelo software Crashlytics.

Citrix Secure Hub™
May 6, 2026
Contribuição de: 
C C
May 6, 2026
Contribuição de: 
C C

Neste artigo

Feedback do site | Your privacy choices footer linkSuas escolhas de privacidade | Privacidade e termos legais | Preferências de cookies | Configurações de consentimento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.