关于 Endpoint Management

Endpoint Management 提供移动设备管理 (MDM) 和移动应用程序管理 (MAM)。

通过 Endpoint Management 的 MDM 功能,您可以:

  • 部署设备策略和应用程序。
  • 检索资产清单。
  • 在设备上执行操作,例如设备擦除。

通过 Endpoint Management 的 MAM 功能,您可以:

  • 保护 BYO 移动设备上应用程序和数据的安全。
  • 交付企业移动应用程序。
  • 锁定应用程序并擦除其数据。

结合使用 MDM 和 MAM 功能,您可以:

  • 通过使用 MDM 来管理公司发放的设备
  • 部署设备策略和应用程序
  • 检索资产清单
  • 擦除设备
  • 交付企业移动应用程序
  • 锁定应用程序并擦除设备上的数据

有关详细信息,请参阅管理模式

体系结构

贵组织的设备和应用程序管理要求决定您的 Endpoint Management 参考体系结构中的 Endpoint Management 组件。Endpoint Management 的组件为模块式,彼此在对方的基础之上构建。例如,您的部署包括 Citrix Gateway 以向用户授予对移动应用程序的远程访问权限以及跟踪用户设备类型。Endpoint Management 用于管理应用程序和设备,而 Citrix Gateway 使用户可以连接到您的网络。

下图显示了 Endpoint Management 云部署的常规体系结构概览及其与您的数据中心的集成:

常规体系结构

以下各小节包含核心 Endpoint Management 和可选组件(例如外部证书颁发机构和适用于 Exchange ActiveSync 的 Endpoint Management 连接器)的参考体系结构示意图。

有关 Citrix ADC 和 Citrix Gateway 要求的详细信息,请参阅 Citrix 产品文档,网址为 docs.citrix.com

核心参考体系结构

有关端口要求的详细信息,请参阅系统要求

核心体系结构

面向 Citrix Virtual Apps and Desktops 的参考体系结构

Citrix Virtual Apps and Desktops 体系结构

面向适用于 Exchange ActiveSync 的 Endpoint Management 连接器的参考体系结构

适用于 Exchange ActiveSync 的 Endpoint Management 连接器的体系结构

面向适用于 Exchange ActiveSync 的 Citrix Gateway 连接器的参考体系结构

适用于 Exchange ActiveSync 的 Citrix Gateway 连接器的体系结构

资源位置

请将资源位置放置在最能满足您的业务需求的位置。例如,公有云、分支机构、私有云或数据中心中。决定位置选择的因素包括:

  • 与订阅者的临近程度
  • 与数据的临近程度
  • 规模要求
  • 安全属性

可以构建任意数量的资源位置。例如,您可以:

  • 在您的数据中心中根据需要靠近数据的订阅者和应用程序为总部构建一个资源位置。
  • 在公有云中为您的全局用户添加一个单独的资源位置。或者,在分支机构构建单独的资源位置,以提供能够提供最佳服务的靠近分支机构工作人员的应用程序。
  • 在单独的网络中添加另一个提供受限制的应用程序的资源位置。此设置将提供对其他资源和订阅者的受限可见性,而不需要调整其他资源位置。

Cloud Connector

Citrix 使用 Cloud Connector 将 Endpoint Management 体系结构集成到您的现有体系结构中。Cloud Connector 进行身份验证并加密 Citrix Cloud 与您的资源位置之间的所有通信。Cloud Connector 支持所有 Endpoint Management 身份验证类型。

下图显示了 Cloud Connector 的流量图。

Cloud Connector 通信流

Cloud Connector 建立与 Citrix Cloud 的连接。Cloud Connector 不接受传入连接。

包括移动应用程序管理 (MAM) 的解决方案需要本地 Citrix Gateway 提供的 Micro VPN。Cloud Connector、Citrix Gateway 以及用于 Exchange、Web 应用程序、Active Directory 和 PKI 的服务器位于您的数据中心中。移动设备与 Endpoint Management 和您的本地 Citrix Gateway 进行通信。

Endpoint Management 组件

Endpoint Management 控制台。可以使用 Endpoint Management 管理员控制台来配置 Endpoint Management。有关使用 Endpoint Management 控制台的详细信息,请参阅 Endpoint Management 下的文章。Citrix 会在更新了新版本的 Endpoint Management 的新增功能文章时向您发出通知。

请注意 Endpoint Management 服务与本地版本之间的以下差异:

  • 远程支持客户端不可用于 Endpoint Management。
  • Endpoint Management 服务器端组件不遵从 FIPS 140-2。
  • Citrix 不支持在 Endpoint Management 中将 syslog 与本地 syslog 服务器相集成。相反,可以在 Endpoint Management 控制台中从故障排除和支持页面下载这些日志。执行此操作时,必须单击全部下载

MDX Service。Endpoint Management MDX Service 安全地打包在贵组织中或公司外部创建的移动应用程序。有关详细信息,请参阅MDX Service

移动生产力应用程序。Citrix 开发的移动生产力应用程序提供了一套在 Endpoint Management 环境中使用的生产率和通信工具。贵公司的政策保护这些应用程序的安全。有关详细信息,请参阅移动生产力应用程序

适用于 Exchange ActiveSync 的 Endpoint Management 连接器。适用于 Exchange ActiveSync 的 Endpoint Management 连接器为使用本机移动电子邮件应用程序的用户提供了安全的电子邮件访问权限。适用于 Exchange ActiveSync 的连接器在 Exchange 服务级别提供 ActiveSync 过滤功能。因此,过滤仅在邮件抵达 Exchange 服务时发生,而不是在其进入 Endpoint Management 环境时发生。连接器不需要使用 Citrix Gateway。可以部署连接器而不更改现有 ActiveSync 流量的路由。有关详细信息,请参阅适用于 Exchange ActiveSync 的 Endpoint Management 连接器

适用于 Exchange ActiveSync 的 Citrix Gateway 连接器。适用于 Exchange ActiveSync 的 Citrix Gateway 连接器为使用本机移动电子邮件应用程序的用户提供了安全的电子邮件访问权限。适用于 Exchange ActiveSync 的连接器可通过使用 Citrix Gateway 作为 ActiveSync 流量的代理在外围提供 ActiveSync 过滤功能。因此,过滤组件位于邮件通信流的路径中,在邮件进入或离开环境时截获邮件。适用于 Exchange ActiveSync 的连接器将用作 Citrix Gateway 与 Endpoint Management 服务器之间的中介。有关详细信息,请参阅适用于 Exchange ActiveSync 的 Citrix Gateway 连接器

Endpoint Management 技术安全性概述

Citrix Cloud 管理 Endpoint Management 环境的控制平面,包括 Endpoint Management 服务器、Citrix ADC 负载平衡器和单租户数据库。云服务使用 Citrix Cloud Connector 与客户数据中心相集成。使用 Cloud Connector 的 Endpoint Management 客户通常在其数据中心中管理 Citrix Gateway。

下图说明了服务及其安全边界。

安全范围

本部分包含以下信息:

  • 提供 Citrix Cloud 的安全功能的简介。
  • 定义在确保 Citrix Cloud 部署安全方面 Citrix 与客户之间的职责划分。
  • 目的不是用作 Citrix Cloud 或其任何组件或服务的配置和管理指南。

数据流

控制平面对客户目录中的用户和组对象以及 DNS 等其他服务具有有限的读取访问权限。控制平面通过 Citrix Cloud Connector 访问这些服务,而 Citrix Cloud Connector 则使用安全 HTTPS 连接。

公司数据(例如电子邮件、Intranet 和 Web 应用程序流量)通过 Citrix Gateway 直接在设备与应用程序服务器之间流动。Citrix Gateway 在客户数据中心中部署。

数据隔离

控制平面存储管理用户设备及其移动应用程序所需的元数据。服务本身包含多租户组件和单租户组件的混合。但是,根据服务体系结构,客户元数据将始终为每个租户单独存储,并使用唯一的凭据来确保安全。

凭据处理

此服务处理以下四种类型的凭据:

  • 用户凭据:用户凭据通过 HTTPS 连接从设备传输到控制平面。控制平面通过安全连接在客户目录中的某个目录中验证这些凭据。
  • 管理员凭据:管理员针对 Citrix Cloud 进行身份验证,而 Citrix Cloud 使用 Citrix Online 开发的登录系统。此过程将生成一个一次性签名的 JSON Web 令牌 (JWT),管理员通过该令牌访问服务。
  • Active Directory 凭据:控制平面需要绑定凭据才能从 Active Directory 中读取用户元数据。这些凭据使用 AES-256 加密方法进行加密,并保存在每租户数据库中。

部署注意事项

Citrix 建议您查阅已发布的最佳做法文档,了解在您的环境中部署 Citrix Gateway 的相关信息。

更多资源

有关更多安全信息,请参阅以下资源: