Tarefas e considerações do administrador

Este artigo discute as tarefas e considerações relevantes para administradores de aplicativos móveis de produtividade.

Gerenciamento de sinalização de recurso

Se ocorrer um problema com o Secure Hub, Secure Mail ou Secure Web para iOS e Android na produção, podemos desativar um recurso dentro do código do aplicativo afetado. Para fazer isso, usamos sinalizadores de recurso e um serviço de terceiros chamado Launch Darkly. Você não precisa fazer as configurações para ativar o tráfego para Launch Darkly, exceto quando você tiver um firewall ou proxy que bloqueie o tráfego de saída. Nesse caso, você ativa o tráfego para Launch Darkly via URLs específicos ou endereços IP, dependendo dos requisitos de sua política. Para obter detalhes sobre suporte no MDX desde os aplicativos móveis de produtividade 10.6.15 para a exclusão de domínios de encapsulamento, consulte a Documentação do MDX Toolkit.

Você pode ativar o tráfego e a comunicação com o Launch Darkly das seguintes maneiras:

Habilite o tráfego para as seguintes URLs:

  • events.launchdarkly.com
  • stream.launchdarkly.com
  • clientstream.launchdarkly.com
  • firehose.launchdarkly.com

Crie uma lista branca por domínio:

Anteriormente, oferecíamos uma lista de endereços IP para usar quando suas políticas internas exigissem que apenas endereços IP fossem listados. Agora, como a Citrix fez melhorias de infraestrutura, estamos eliminando os endereços IP públicos a partir de 16 de julho. Recomendamos que você crie uma lista branca por domínio, se possível.

Listar endereços IP em uma lista branca:

Se você precisar acrescentar os endereços IP à lista branca, consulte a lista de IPs públicos do Launch Darkly para obter uma lista de todos os intervalos de endereços IP atuais. Você pode usar essa lista para garantir que suas configurações de firewall sejam atualizadas automaticamente, de acordo com as atualizações da infraestrutura. Para obter mais detalhes, consulte Launch Darkly root resource. Para obter detalhes sobre o status atual das alterações de infraestrutura, consulte LaunchDarkly status page.

Nota:

Os aplicativos da loja pública requerem uma instalação nova na primeira vez que você os implanta. Não é possível atualizar a partir da versão empresarial atual preparada do aplicativo para a versão da loja pública.

Com distribuição em loja de aplicativos pública, você não precisa assinar e preparar aplicativos desenvolvidos pela Citrix com o MDX Toolkit. Isso agiliza significativamente o processo de implantação de aplicativos. No entanto, você pode usar o MDX Toolkit para preparar os aplicativos de terceiros ou empresariais.

Requisitos de sistema do Launch Darkly

  • Endpoint Management 10.5 ou posterior.
  • Verifique se os aplicativos podem se comunicar com os seguintes serviços o encapsulamento dividido do NetScaler estiver definido como Desativado:

Lojas de aplicativos com suporte

Os aplicativos móveis de produtividade estão disponíveis na loja de aplicativos da Apple e no Google Play. Para proteger e implantar os aplicativos de produtividade nativos em dispositivos Windows, consulte o Política de dispositivo Proteção de informações do Windows.

Na China, onde o Google Play não está disponível, o Secure Hub para Android está disponível nas seguintes lojas de aplicativos:

Ativar a distribuição em loja de aplicativos pública

  1. Baixe os arquivos .mdx da loja pública para iOS e Android na página de downloads do Endpoint Management.
  2. Carregue os arquivos .mdx no console XenMobile. As versões da loja pública dos aplicativos móveis de produtividade ainda são carregados como aplicativos MDX. Não carregue os aplicativos como aplicativos de armazenamento público no servidor. Para informações sobre as etapas, consulte Adicionar aplicativos.
  3. Altere as políticas de seus padrões com base nas suas políticas de segurança (opcional).
  4. Envie os aplicativos como aplicativos necessários (opcional). Esta etapa requer que seu ambiente seja habilitado para gerenciamento de dispositivos móveis.
  5. Instale aplicativos no dispositivo da App Store, do Google Play ou da loja de aplicativos do Endpoint Management.
    • No Android, o usuário é direcionado à Play Store para instalar o aplicativo. No iOS, em implantações com o MDM, o aplicativo é instalado sem que o usuário vá até a loja de aplicativos.
    • Quando o aplicativo é instalado da App Store ou Play Store, suas transições para um aplicativo gerenciado desde o arquivo .mdx correspondente tenha sido carregado no servidor. Ao fazer a transição para um aplicativo gerenciado, o aplicativo pede um PIN da Citrix. Quando os usuários inserem o PIN da Citrix, o Secure Mail exibe a tela de configuração de conta.
  6. Os aplicativos estão acessíveis somente se você estiver registrado no Secure Hub e o arquivo .mdx correspondente estiver no servidor. Se alguma das condições não for atendida, os usuários podem instalar o aplicativo, mas o uso do aplicativo é bloqueado.

Se você atualmente usa aplicativos do Citrix Ready Marketplace que estão em lojas de aplicativos públicas, você já está familiarizado com o processo de implantação. Os aplicativos móveis de produtividade adotam a mesma abordagem que muitos ISVs utilizam atualmente. Incorpore o SDK do MDX no aplicativo para tornar o aplicativo apto para loja de aplicativos pública.

Nota:

As versões de loja pública do aplicativo Citrix Files para iOS e Android agora são universais. O aplicativo Citrix Files é o mesmo para telefones e tablets.

Notificação por Push da Apple

Para obter informações sobre a configuração de notificações por push, consulte Configuração de Secure Mail para notificações por push.

Perguntas frequentes da loja de aplicativos

1. Posso implantar várias cópias do aplicativo de loja pública em diferentes grupos de usuários? Por exemplo, eu talvez queira implantar políticas diferentes para diferentes grupos de usuários.

Você terá para carregar um arquivo .mdx diferente para cada grupo de usuários. No entanto, nesse caso, um único usuário não pode pertencer a mais de um grupo. Se os usuários pertencerem a mais de um grupo, várias cópias do mesmo aplicativo são atribuídas àquele usuário. Mais de uma cópia de um aplicativo de loja pública não pode ser implantada no mesmo dispositivo porque a ID de aplicativo não pode ser alterado.

2. Posso enviar por push aplicativos de loja pública conforme seja necessário?

Sim. O envio de aplicativos por push requer MDM; não tem suporte com implantações de apenas MAM.

3. Preciso atualizar as políticas de tráfego ou regras do Exchange Server que são baseadas em agente de usuário?

Cadeias de caracteres para as políticas baseadas em agentes e regras por plataforma como apresentado a seguir.

Android

Aplicativo Servidor Cadeia de agente do usuário
Citrix Secure Mail Exchange WorxMail
  Lotus Notes Traveler Apple - iPhone WorxMail
Citrix Secure Web   WorxMail
Citrix Secure Tasks Exchange WorxMail
Citrix Secure Notes Exchange WorxMail
  Citrix Files Secure Notes

iOS

Aplicativo Servidor Cadeia de agente do usuário
Citrix Secure Mail Exchange WorxMail
  Lotus Notes Traveler Apple - iPhone WorxMail
Citrix Secure Web   com.citrix.browser
Citrix Secure Tasks Exchange WorxTasks
Citrix Secure Notes Exchange WorxNotes
  Citrix Files Secure Notes

4. Posso impedir atualizações do aplicativo?

Não. Quando uma atualização é colocada na loja de aplicativos pública, todos os usuários que têm atualizações automáticas ativadas recebem a atualização.

5. Posso impor atualizações de aplicativo?

Sim, as atualizações são impostas por meio da política de período de cortesia de atualização. Esta política é definida quando o novo arquivo .mdx correspondente à versão atualizada do aplicativo é carregado para o XenMobile Server.

6. Como faço para testar aplicativos antes da atualização atingir os usuários se eu não puder controlar os prazos da atualização?

Semelhante ao processo para o Secure Hub, os aplicativos estão disponíveis para teste no Test Flight para iOS durante o período EAR. No Android, os aplicativos estão disponíveis por meio do programa beta Google Play durante o período EAR. Você pode testar as atualizações de aplicativos durante esse período.

7. O que acontece se eu não atualizar o novo arquivo .mdx antes de a atualização automática atingir os dispositivos de usuário?

O aplicativo atualizado continua a funcionar com o arquivo .mdx mais antigo. Os novos recursos que dependem de uma nova política não são ativados.

8. O aplicativo fará a transição para gerenciado se o Secure Hub estiver instalado ou o aplicativo precisa ser registrado?

Os usuários devem estar registrados no Secure Hub para que a loja de aplicativos pública o ative como um aplicativo gerenciado pelo (com segurança pelo MDX) e ele seja utilizável. Se o Secure Hub estiver instalado, mas não registrado, o usuário não pode usar o aplicativo de loja pública.

9. Preciso de uma conta de desenvolvedor Apple Enterprise para os aplicativos de loja pública?

Não. Como a Citrix agora manterá os certificados e perfis de provisionamento para os aplicativos móveis de produtividade, não é necessário ter uma conta de desenvolvedor Apple Enterprise para implantar esses aplicativos aos usuários.

10. O fim de distribuição empresarial se aplica a qualquer aplicativo preparado que eu tiver implantado?

Não, aplica-se somente aos aplicativos móveis de produtividade: Secure Mail, Secure Web, Secure Notes, Secure Tasks, Citrix Files para Endpoint Management, ScanDirect para XenMobile, QuickEdit para XenMobile e ShareConnect para XenMobile. Os outros aplicativos empresariais preparados que você tiver implantado que foram desenvolvidos internamente ou por terceiros podem continuar a usar preparação empresarial. O MDX Toolkit continuará a oferecer suporte à preparação empresarial para desenvolvedores de aplicativos.

11. Quando eu instalo um aplicativo do Google Play, recebo um erro do Android com código de erro 505.

Este é um problema conhecido com o Google Play e Android das versões 5.x. Se o erro ocorrer, há alguns procedimentos que você pode executar para limpar dados obsoletos no dispositivo que estão impedindo a instalação do aplicativo:

  1. Reinicie o dispositivo.

  2. Limpe o cache e os dados do Google Play por meio das configurações do dispositivo.

  3. Como último recurso, remova e adicione de volta a conta do Google ao seu dispositivo.

Para obter mais informações, pesquise este site usando as seguintes palavras-chave: “Fix Google Play Store Error 505 in Android: Unknown Error Code”

12. Embora o aplicativo no Google Play tenha sido liberado para produção e não haja uma nova versão beta, por que ainda aparece Beta após o nome do aplicativo no Google Play?

Se você faz parte do nosso programa de versão de acesso antecipado, você sempre verá Beta ao lado do nome do aplicativo. Esse nome simplesmente notifica os usuários sobre o seu nível de acesso para um aplicativo específico. O nome Beta indica que os usuários tem a versão mais recente do aplicativo disponível. A versão mais recente pode ser a última publicada para produção ou como beta.

13. Após instalar e abrir o aplicativo, os usuários veem a mensagem Aplicativo não autorizado, ainda que o arquivo .mdx esteja no XenMobile Server.

Esse problema pode acontecer se os usuários instalarem o aplicativo diretamente da App Store ou Google Play e o Secure Hub não tiver sido atualizado. O Secure Hub precisa ser atualizado quando o timer de inatividade expira. As políticas são atualizadas quando os usuários abrem o Secure Hub e autenticam novamente. O aplicativo será autorizado na próxima vez em que os usuários abrirem o aplicativo.

14. É necessário um código de acesso para usar o aplicativo? Eu vejo uma tela que me pede para inserir um código de acesso quando instalo o aplicativo da App Store ou Play Store.

Se for exibida uma tela que solicita o código de acesso, isso indica que você não está registrado no Endpoint Management através do Secure Hub. Registre com o Secure Hub e verifique se o arquivo .mdx foi implantado no servidor. Também verifique se é possível usar o aplicativo. O código de acesso está limitado ao uso interno da Citrix. Os aplicativos exigem uma implantação de Endpoint Management para que sejam ativados.

15. Posso implantar aplicativos de loja pública do iOS via VPP ou DEP?

O XenMobile Server é otimizado para distribuição por VPP de aplicativos de loja pública não MDX. Embora você possa distribuir os aplicativos da loja pública do Endpoint Management com VPP, a implantação não é ideal, até que façamos aprimoramentos adicionais ao XenMobile Server e à loja do Secure Hub para resolver as limitações. Para obter uma lista de problemas conhecidos com a implantação de aplicativos da loja pública do Endpoint Management por meio de VPP e possíveis soluções alternativas, consulte este artigo do knowledge center da Citrix.

Políticas de MDX para aplicativos móveis de produtividade

As políticas de MDX permitem que você defina as configurações que o XenMobile Server impõe. As políticas abrangem autenticação, segurança de dispositivo, requisitos de rede e de acesso, criptografia, interação de aplicativos, restrições de aplicativos e muito mais. Muitas políticas de MDX se aplicam a todos os aplicativos móveis de produtividade; algumas políticas são específicas a cada aplicativo.

Os arquivos de política são fornecidos como arquivos .mdx para as versões de loja pública dos aplicativos móveis de produtividade. Você também pode configurar as políticas no console Endpoint Management ao adicionar um aplicativo.

As seções a seguir descrevem as políticas de MDX relacionadas a conexões de usuário.

Conexões de usuário à rede interna

A conexões que fazem túnel para a rede interna podem usar um túnel VPN ou uma variação de uma VPN sem cliente, conhecida como navegação segura. A Política de modo VPN preferencial controla esse comportamento. Como padrão, as conexões usam navegador seguro, que é recomendado para conexões que exigem SSO. A configuração de túnel VPN completo é recomendada para conexões que usam certificados de cliente ou SSL de ponta a ponta a um recurso na rede interna; a configuração lida com qualquer protocolo sobre TCP e pode ser usada com computadores Windows e Mac, bem como dispositivos iOS e Android.

O Secure Web para iOS oferece suporte ao uso de um arquivo PAC com implantação de um túnel VPN completo, se você usar NetScaler para autenticação proxy.

A política Permitir comutação de modo VPN permite alternar automaticamente entre os modos Túnel VPN completo e navegação segura, conforme o necessário. Como padrão, esta política está Desativada. Quando esta política está ativada, uma solicitação de rede que falhar devido a uma solicitação de autenticação que não possa ser processado no modo VPN preferida é repetida no modo alternativo. Por exemplo, desafios do servidor para certificados de cliente podem ser acomodados pelo modo túnel VPN completo, mas não pelo modo navegação segura. Da mesma forma, os desafios de autenticação HTTP têm maior probabilidade de serem atendidos pelo SSO ao usar o modo navegação segura.

Restrições de acesso à rede

A política de Acesso à rede especifica se são colocadas restrições no acesso à rede. Como padrão, o acesso ao Secure Mail e Secure Notes é irrestrito, o que significa que não há restrições colocadas no acesso à rede; os aplicativos têm acesso irrestrito à rede na qual o dispositivo está conectado. Como padrão, o acesso ao Secure Web é com túnel para a rede interna, o que significa que é usado um túnel de VPN por aplicativo para rede interna para todo o acesso à rede e são utilizadas configurações de túnel dividido do NetScaler. Você também pode especificar acesso bloqueado para que o aplicativo funcione como se o dispositivo não tivesse conexão de rede.

Não bloqueie a política de acesso à rede se você quiser permitir recursos como AirPrint e iCloud, além de APIs do Facebook e Twitter.

A política Acesso à rede interage com a política Serviços de rede em segundo plano. Para obter detalhes, consulte Integração do Exchange Server ou servidor IBM Notes Traveler.

Propriedades do cliente Endpoint Management

As propriedades do cliente contêm informações que são fornecidas diretamente para o Secure Hub em dispositivos de usuários. As propriedades do cliente estão localizadas no console Endpoint Management em Configurações > Cliente > Propriedades do cliente.

As propriedades do cliente são usadas para configurar configurações como as seguintes:

Armazenamento em cache de senha do usuário

O armazenamento de senha do usuário em cache permite aos usuários que a senha do Active Directory seja armazenada em cache localmente no dispositivo móvel. Se você ativar o armazenamento em cache da senha do usuário, os usuários são solicitados a criar um PIN da Citrix ou código secreto.

Timer de inatividade

O timer de inatividade define o tempo, em minutos, durante o qual os usuários podem deixar seu dispositivo inativo e, em seguida, podem acessar um aplicativo sem que lhes seja solicitado um PIN da Citrix ou código secreto. Para ativar esta configuração em um aplicativo de MDX, você deve definir a Política de código secreto de aplicativo como Ativada. Se a Política de código secreto de aplicativo estiver Desativada, os usuários são redirecionados para o Secure Hub para executar uma autenticação completa. Quando você altera essa configuração, o valor entra em vigor na próxima vez em que houver solicitação para que os usuários se autentiquem.

Autenticação do PIN da Citrix

O PIN da Citrix simplifica o processo de autenticação do usuário. O PIN é usado para proteger um certificado de cliente ou salvar credenciais do Active Directory localmente no dispositivo. Se você definir as configurações do PIN do Worx, o usuário faz o logon da seguinte maneira:

  1. Quando os usuários iniciam o Secure Hub pela primeira vez, eles recebem um aviso para inserir um PIN, que armazena em cache as credenciais do Active Directory.

  2. Quando os usuários iniciam um aplicativo móvel de produtividade, como o Secure Mail, eles inserem o PIN e se conectam.

Você deve usar as propriedades de cliente para ativar a autenticação por PIN, especificar o tipo de PIN e especificar a força, comprimento do PIN e alterar os requisitos.

Autenticação por impressões digitais

A autenticação por impressão digital é uma alternativa ao PIN da Citrix quando aplicativos preparados, exceto o Secure Hub, precisam de autenticação offline, como, por exemplo, o tempo de inatividade do timer expira. Você pode ativar o recurso nos seguintes cenários de autenticação:

  • PIN da Citrix + configuração de certificado de cliente
  • PIN da Citrix + senha de AD armazenada em cache
  • PIN da Citrix + configuração de certificado do e configuração da senha de AD armazenada em cache
  • PIN da Citrix está desativado

Se a autenticação por impressão digital falhar ou se um usuário cancelar o aviso de autenticação por impressão digital, os aplicativos ajustados voltam para autenticação do PIN da Citrix ou de senha de AD.

Requisitos de autenticação por impressão digital:

  • Dispositivos iOS (mínimo de versão 8.1) que dão suporte a autenticação por impressão digital, devendo ter pelo menos uma impressão digital configurada.

  • A entropia de usuário deve estar desativada.

Autenticação de impressão digital

Importante:

Se a entropia de usuário estiver ativada, a propriedade Ativar Autenticação de Touch ID é ignorada. O recurso de entropia de usuário é ativado por meio da chave Criptografar segredos usando o código secreto.

  1. No console Endpoint Management vá até Configurações > Cliente > Propriedades do cliente.

  2. Clique em Adicionar.

    Imagem da tela Adicionar nova propriedade do cliente

  3. Adicione a chave ENABLE_TOUCH_ID_AUTH, defina o Valor como Verdadeiro e defina a política Nome para Ativar Autenticação por impressão digital.