Citrix Endpoint Management

关于 Endpoint Management

Endpoint Management 提供移动设备管理 (MDM) 和移动应用程序管理 (MAM)。

通过 Endpoint Management 的 MDM 功能,您可以:

  • 部署设备策略和应用程序。
  • 检索资产清单。
  • 在设备上执行操作,例如设备擦除。

通过 Endpoint Management 的 MAM 功能,您可以:

  • 保护 BYO 移动设备上应用程序和数据的安全。
  • 交付企业移动应用程序。
  • 锁定应用程序并擦除其数据。

结合使用 MDM 和 MAM 功能,您可以:

  • 通过使用 MDM 来管理公司发放的设备
  • 部署设备策略和应用程序
  • 检索资产清单
  • 擦除设备
  • 交付企业移动应用程序
  • 锁定应用程序并擦除设备上的数据

下表总结了 MDM、MAM 或 MDM+MAM 支持的 Endpoint Management 功能。

功能(按平台) MDM (1) MAM (2) MDM+MAM
Android Enterprise:      
设备注册支持
域身份验证支持
域加安全令牌身份验证支持
客户端证书身份验证支持
客户端证书加域身份验证支持
客户端证书加安全令牌支持
Azure AD 身份提供程序支持
单点登录到本机 SaaS 应用程序
面向企业应用程序的 Citrix 内容交付网络支持
通过预配专用 Android Enterprise (COSU) 设备来支持共享设备
Android(旧版):      
设备注册支持
域或域加安全令牌身份验证支持
客户端证书身份验证支持
客户端证书加域身份验证支持
客户端证书加安全令牌支持
Azure AD 和 Citrix 身份提供程序支持
单点登录到本机 SaaS 应用程序
面向企业应用程序的 Citrix 内容交付网络支持
Chrome:      
设备注册支持
用户名和密码身份验证支持
iOS:      
设备注册支持
域或域加安全令牌身份验证支持
客户端证书身份验证支持
客户端证书加域身份验证支持
派生凭据支持
Azure AD 和 Citrix 身份提供程序支持
单点登录到本机 SaaS 应用程序
Apple 教育集成
macOS:      
设备注册支持
域或域加一次性密码支持
邀请 URL 加一次性密码支持
Windows:      
设备注册支持
通过 Citrix Workspace 应用程序自动注册 Windows 10 设备
域或域加安全令牌身份验证支持
客户端证书身份验证支持
客户端证书加域身份验证支持
通过 Azure AD 或 Citrix 身份提供程序进行联合身份验证
面向企业应用程序的 Citrix 内容交付网络支持
Workspace Environment Management 集成 (3)

注意:

(1) 部署排序仅适用于交付组中具有为 MDM 配置的注册配置文件的设备。

(2) MAM 注册需要 Citrix Gateway。

(3) Workspace Environment Management (WEM) 集成提供对各种 Windows 操作系统上的 MDM 功能的访问。

有关详细信息,请参阅管理模式

体系结构

贵组织的设备和应用程序管理要求决定您的 Endpoint Management 参考体系结构中的 Endpoint Management 组件。Endpoint Management 的组件为模块式,彼此在对方的基础之上构建。例如,您的部署包括 Citrix Gateway:

  • Citrix Gateway 向用户授予对移动应用程序的远程访问权限以及跟踪用户设备类型。
  • Endpoint Management 是您管理这些应用程序和设备的位置。

下图显示了 Endpoint Management 云部署的常规体系结构概览及其与您的数据中心的集成:

常规体系结构

下面各小节包含以下各项的参考体系结构图:

  • Endpoint Management
  • 可选组件,例如适用于 Exchange ActiveSync 的外部证书颁发机构和 Endpoint Management 连接器

有关 Citrix ADC 和 Citrix Gateway 要求的详细信息,请参阅 Citrix 产品文档,网址为 https://docs.citrix.com/

核心参考体系结构

有关端口要求的详细信息,请参阅系统要求

核心体系结构

面向 Citrix Virtual Apps and Desktops 的参考体系结构

Citrix Virtual Apps and Desktops 体系结构

面向适用于 Exchange ActiveSync 的 Endpoint Management 连接器的参考体系结构

适用于 Exchange ActiveSync 的 Endpoint Management 连接器的体系结构

面向适用于 Exchange ActiveSync 的 Citrix Gateway 连接器的参考体系结构

适用于 Exchange ActiveSync 的 Citrix Gateway 连接器的体系结构

资源位置

请将资源位置放置在最能满足您的业务需求的位置。例如,公有云、分支机构、私有云或数据中心中。决定位置选择的因素包括:

  • 与订阅者的临近程度
  • 与数据的临近程度
  • 规模要求
  • 安全属性

可以构建任意数量的资源位置。例如,您可以:

  • 在您的数据中心中根据需要靠近数据的订阅者和应用程序为总部构建一个资源位置。
  • 在公有云中为您的全局用户添加一个单独的资源位置。或者,在分支机构构建单独的资源位置,以提供能够提供最佳服务的靠近分支机构工作人员的应用程序。
  • 在单独的网络中添加另一个提供受限制的应用程序的资源位置。此设置将提供对其他资源和订阅者的受限可见性,而不需要调整其他资源位置。

Cloud Connector

Citrix 使用 Cloud Connector 将 Endpoint Management 体系结构集成到您的现有体系结构中。Cloud Connector 进行身份验证并加密 Citrix Cloud 与您的资源位置之间的所有通信。Cloud Connector 支持所有 Endpoint Management 身份验证类型。

下图显示了 Cloud Connector 的流量图。

Cloud Connector 通信流

Cloud Connector 建立与 Citrix Cloud 的连接。Cloud Connector 不接受传入连接。

Cloud Connector 仅在设备注册期间低于负载。有关详细信息,请参阅Cloud Connector 的扩展和大小注意事项

包括移动应用程序管理 (MAM) 的解决方案需要本地 Citrix Gateway 提供的 Micro VPN。在此情景中:

  • 以下组件驻留在您的数据中心中:
    • Cloud Connector
    • Citrix Gateway
    • 适用于 Exchange、Web 应用程序、Active Directory 和 PKI 的服务器
  • 移动设备与 Endpoint Management 和您的本地 Citrix Gateway 进行通信。

Endpoint Management 组件

Endpoint Management 控制台。可以使用 Endpoint Management 管理员控制台来配置 Endpoint Management。有关使用 Endpoint Management 控制台的详细信息,请参阅 Endpoint Management 下的文章。Citrix 会在更新了新版本的 Endpoint Management 的新增功能文章时向您发出通知。

请注意 Endpoint Management 服务与本地版本之间的以下差异:

  • 远程支持客户端不可用于 Endpoint Management。
  • Endpoint Management 服务器端组件不遵从 FIPS 140-2。
  • Citrix 不支持在 Endpoint Management 中将 syslog 与本地 syslog 服务器相集成。相反,可以在 Endpoint Management 控制台中从故障排除和支持页面下载这些日志。执行此操作时,必须单击全部下载

MAM SDK 或 MDX Service。MDX 封装技术计划于 2021 年 9 月达到生命周期结束 (EOL) 状态。要继续管理您的企业应用程序,必须合并 MAM SDK。

  • 移动应用程序管理 (MAM) SDK 提供了 iOS 和 Android 平台不涵盖的 MDX 功能。可以启用 MDX 并保护 iOS 或 Android 应用程序。您可以在内部应用商店或公共应用商店中提供这些应用程序。请参阅 MDX 应用程序 SDK
  • Endpoint Management MDX Service 安全地封装在贵组织中或公司外部创建的移动应用程序。有关详细信息,请参阅MDX Service

移动生产力应用程序。Citrix 开发的移动生产力应用程序提供了一套在 Endpoint Management 环境中使用的生产率和通信工具。贵公司的政策保护这些应用程序的安全。有关详细信息,请参阅移动生产力应用程序

适用于 Exchange ActiveSync 的 Endpoint Management 连接器。适用于 Exchange ActiveSync 的 Endpoint Management 连接器为使用本机移动电子邮件应用程序的用户提供了安全的电子邮件访问权限。适用于 Exchange ActiveSync 的连接器在 Exchange 服务级别提供 ActiveSync 过滤功能。因此,过滤仅在邮件抵达 Exchange 服务时发生,而不是在其进入 Endpoint Management 环境时发生。连接器不需要使用 Citrix Gateway。可以部署连接器而不更改现有 ActiveSync 流量的路由。有关详细信息,请参阅适用于 Exchange ActiveSync 的 Endpoint Management 连接器

适用于 Exchange ActiveSync 的 Citrix Gateway 连接器。适用于 Exchange ActiveSync 的 Citrix Gateway 连接器为使用本机移动电子邮件应用程序的用户提供了安全的电子邮件访问权限。适用于 Exchange ActiveSync 的连接器在外围提供 ActiveSync 过滤功能。过滤功能使用 Citrix Gateway 作为 ActiveSync 流量的代理。因此,过滤组件位于邮件通信流的路径中,在邮件进入或离开环境时截获邮件。适用于 Exchange ActiveSync 的连接器将用作 Citrix Gateway 与 Endpoint Management 之间的中介。有关详细信息,请参阅适用于 Exchange ActiveSync 的 Citrix Gateway 连接器

Endpoint Management 技术安全性概述

Citrix Cloud 管理 Endpoint Management 环境的控制平面。控制平面包括 Endpoint Management 服务器、Citrix ADC 负载平衡器和单租户数据库。云服务使用 Citrix Cloud Connector 与客户数据中心相集成。使用 Cloud Connector 的 Endpoint Management 客户通常在其数据中心中管理 Citrix Gateway。

下图说明了服务及其安全边界。

安全范围

本部分包含以下信息:

  • 提供 Citrix Cloud 的安全功能的简介。
  • 定义在确保 Citrix Cloud 部署安全方面 Citrix 与客户之间的职责划分。
  • 不是 Citrix Cloud 或其任何组件或服务的配置或管理指南。

数据流

控制平面对用户和组对象具有有限的读取访问权限。这些对象驻留在您的目录、DNS 以及类似的服务中。控制平面通过安全 HTTPS 连接借助 Citrix Cloud Connector 访问这些服务。

公司数据(例如电子邮件、Intranet 和 Web 应用程序流量)通过 Citrix Gateway 直接在设备与应用程序服务器之间流动。Citrix Gateway 在客户数据中心中部署。

数据隔离

控制平面存储管理用户设备及其移动应用程序所需的元数据。服务本身包含多租户组件和单租户组件的混合。但是,根据服务体系结构,客户元数据将始终为每个租户单独存储,并使用唯一的凭据来确保安全。

凭据处理

此服务处理以下四种类型的凭据:

  • 用户凭据: 用户凭据通过 HTTPS 连接从设备传输到控制平面。控制平面通过安全连接在客户目录中的某个目录中验证这些凭据。
  • 管理员凭据: 管理员针对 Citrix Cloud 进行身份验证,而 Citrix Cloud 使用 Citrix Online 开发的登录系统。此过程将生成一个一次性签名的 JSON Web 令牌 (JWT),管理员通过该令牌访问服务。
  • Active Directory 凭据: 控制平面需要绑定凭据才能从 Active Directory 中读取用户元数据。这些凭据使用 AES-256 加密方法进行加密,并保存在每租户数据库中。

部署注意事项

Citrix 建议您查阅已发布的最佳做法文档,了解在您的环境中部署 Citrix Gateway 的相关信息。

更多资源

有关更多安全信息,请参阅以下资源:

与 Mobile Threat Defense 软件集成

移动威胁防护 (MTD) 软件可检测、分析和帮助防止针对企业移动设备的高级网络攻击。MTD 和 Unified Endpoint Management (UEM) 的组合提高了组织的安全性和可见性。

MTD 软件提供 Endpoint Management 用于执行以下操作的威胁数据:

  • 防止恶意软件、网络钓鱼、网络攻击和中间人攻击
  • 确定设备合规性状态
  • 确定风险水平
  • 采取基于策略的操作来保护您的应用程序、数据、设备和移动网络

Citrix Endpoint Management 与以下 MTD 供应商集成:

有关更多信息或请求演示,请联系我们的 MTD 合作伙伴或 Citrix 销售代表。

关于 Endpoint Management