Citrix Endpoint Management 集成
本文介绍在规划如何将 Citrix Endpoint Management 与现有网络和解决方案集成时需要考虑的事项。 例如,如果您已将 NetScaler Gateway 用于 Citrix Virtual Apps and Desktops:
- 您想使用现有的 NetScaler Gateway 实例还是新的专用实例?
- 您是否要将使用 StoreFront 发布的 HDX 应用程序与 Citrix Endpoint Management 集成?
- 您是否计划将 Citrix Files 与 Citrix Endpoint Management 一起使用?
- 您是否有想要集成到 Citrix Endpoint Management 中的网络访问控制解决方案?
NetScaler Gateway
Citrix Endpoint Management 需要 NetScaler Gateway。 NetScaler Gateway 为访问所有公司资源提供了微型 VPN 路径,并提供强大的多因素身份验证支持。
您可以使用现有的 NetScaler Gateway 实例或为 Citrix Endpoint Management 设置新的实例。 以下部分介绍了使用现有或新的专用 NetScaler Gateway 实例的优点和缺点。
为 Citrix Endpoint Management 创建的具有 NetScaler Gateway VIP 的共享 NetScaler Gateway MPX
优点:
- 使用通用的 NetScaler Gateway 实例来建立所有 Citrix 远程连接:Citrix Virtual Apps、完整 VPN 和无客户端 VPN。
- 使用现有的 NetScaler Gateway 配置,例如用于证书身份验证和访问 DNS、LDAP 和 NTP 等服务。
- 使用单个 NetScaler Gateway 平台许可证。
缺点:
- 当您在同一个 NetScaler Gateway 上处理两种不同的用例时,规划规模会更加困难。
- 有时您需要针对 Citrix Virtual Apps 用例使用特定的 NetScaler Gateway 版本。 同一版本可能存在 Citrix Endpoint Management 的已知问题。 或者 Citrix Endpoint Management 可能存在 NetScaler Gateway 版本的已知问题。
- 如果存在 NetScaler Gateway,则无法再次运行 NetScaler for XenMobile 向导来为 Citrix Endpoint Management 创建 NetScaler Gateway 配置。
- 除非对 NetScaler Gateway 11.1 或更高版本使用白金许可证:安装在 NetScaler Gateway 上且 VPN 连接所需的用户访问许可证被集中起来。 由于这些许可证可供所有 NetScaler Gateway 虚拟服务器使用,因此 Citrix Endpoint Management 之外的其他服务都可能会使用它们。
专用 NetScaler Gateway VPX/MPX 实例
优点:
Citrix 建议使用 NetScaler Gateway 的专用实例。
- 更容易规划规模并将 Citrix Endpoint Management 流量与可能已经受到资源限制的 NetScaler Gateway 实例分开。
- 避免 Citrix Endpoint Management 和 Citrix Virtual Apps 需要不同的 NetScaler Gateway 软件版本时出现的问题。 通常建议使用最新兼容的 NetScaler Gateway 版本并为 Citrix Endpoint Management 构建。
- 允许通过内置的 NetScaler for XenMobile 向导对 NetScaler Gateway 进行 Citrix Endpoint Management 配置。
- 服务的虚拟和物理分离。
缺点:
- 需要在 NetScaler Gateway 上设置额外的服务以支持 Citrix Endpoint Management 配置。
- 需要另一个 NetScaler Gateway 平台许可证。 为 NetScaler Gateway 的每个 NetScaler Gateway 实例授予许可。
有关将 NetScaler Gateway 与 Citrix ADC 集成以实现 Citrix Endpoint Management 管理模式时需要考虑的事项的信息,请参阅 与 NetScaler Gateway 与 Citrix ADC 集成。
店面
如果您有 Citrix Virtual Apps and Desktops 环境,则可以使用 StoreFront 将 HDX 应用程序与 Citrix Endpoint Management 集成。 将 HDX 应用程序与 Citrix Endpoint Management 集成时:
- 已注册 Citrix Endpoint Management 的用户可以使用这些应用程序。
- 这些应用程序与其他移动应用程序一起显示在应用商店中。
- Citrix Endpoint Management 在 StoreFront 上使用 Citrix Receiver。
- 当 Citrix Workspace 应用程序安装在设备上时,HDX 应用程序开始使用该应用程序。
StoreFront 每个 StoreFront 实例限制只有一个服务站点。 假设您有许多商店,并希望将其与其他生产用途区分开来。 在这种情况下,Citrix 通常建议您考虑为 Citrix Endpoint Management 提供新的 StoreFront 实例和服务站点。
考虑因素包括:
- StoreFront 是否有不同的身份验证要求? StoreFront 服务站点需要 Active Directory 凭据才能登录。 仅使用基于证书的身份验证的客户无法使用同一 NetScaler Gateway 通过 Citrix Endpoint Management 枚举应用程序。
- 使用同一个商店还是创建一个商店?
- 使用相同还是不同的 StoreFront 服务器?
以下部分介绍了 Citrix Workspace 和 Citrix 移动生产力应用程序使用单独或组合店面的优点和缺点。
将现有 StoreFront 实例与 Citrix Endpoint Management 集成
优点:
- 相同的存储:假设您使用相同的 NetScaler Gateway VIP 进行 HDX 访问,则 Citrix Endpoint Management 不需要对 StoreFront 进行额外配置。 假设您选择使用相同的存储并希望将 Citrix Workspace 访问直接指向新的 NetScaler Gateway VIP。 在这种情况下,将适当的 NetScaler Gateway 配置添加到 StoreFront。
- 相同的 StoreFront 服务器:使用现有的 StoreFront 安装和配置。
缺点:
- 同一存储:对 StoreFront 进行任何重新配置以支持 Citrix Virtual Apps 和 Desktops 工作负载可能会对 Citrix Endpoint Management 产生不利影响。
- 相同的 StoreFront 服务器:在大型环境中,请考虑 Citrix Endpoint Management 使用 Citrix Receiver 进行应用程序枚举和启动所带来的额外负载。
使用新的专用 StoreFront 实例与 Citrix Endpoint Management 集成
优点:
- 新存储:Citrix Endpoint Management 的 StoreFront 存储的任何配置更改都不会影响现有的 Virtual Apps and Desktops 工作负载。
- 新的 StoreFront 服务器:服务器配置更改不会影响虚拟应用程序和桌面工作流程。 此外,在 Citrix Endpoint Management 之外使用 Citrix Receiver 进行应用程序枚举和启动的负载不会影响可扩展性。
缺点:
- 新店:StoreFront 商店配置。
- 新的 StoreFront 服务器:需要新的 StoreFront 安装和配置。
有关更多信息,请通过应用商店</a>参阅
Citrix Virtual Apps and Desktops。</p>
ShareFile 和 Citrix Files
ShareFile 使您能够轻松安全地交换文档、通过电子邮件发送大型文档以及安全地处理向第三方的文档传输。 Citrix Files 应用程序允许用户从任何设备访问和同步他们的所有数据。 借助 Citrix Files,用户可以安全地与组织内部和外部的人员共享数据。
Citrix Endpoint Management 为 Citrix Files 提供:
- 针对移动生产力应用程序用户的单点登录身份验证。
- 基于 Active Directory 的用户帐户配置。
- 全面的访问控制策略。
移动用户可以受益于完整的企业帐户功能集。
或者,您可以将 Citrix Endpoint Management 配置为仅与存储区域连接器集成。 通过存储区域连接器,Citrix Files 提供对以下内容的访问:
- 文件和文件夹
- 网络文件共享
- 在 SharePoint 网站中:网站集合和文档库。
连接的文件共享可以包括 Citrix Virtual Apps 和 Desktops 环境中使用的相同网络主驱动器。 您可以使用 Citrix Endpoint Management 控制台配置与企业帐户或存储区域连接器的集成。 有关更多信息,请参阅 Citrix Endpoint Management 的 Citrix Files。
以下部分介绍了为 Citrix Files 制定设计决策时需要提出的问题。
与 Citrix Files 集成或仅与存储区域连接器集成
要问的问题:
- 您是否想将数据存储在 Citrix 管理的存储区域中?
- 您想为用户提供文件共享和同步功能吗?
- 您是否希望允许用户访问 Citrix Files 网站上的文件? 或者从移动设备访问 Office 365 内容和个人云连接器?
设计决策:
- 如果对任何一个问题的答案是“是”,则请与企业帐户集成。
- 仅与存储区域连接器的集成使 iOS 用户能够通过安全的移动访问现有的内部存储库,例如 SharePoint 站点和网络文件共享。 在此配置中,您无需设置 Citrix Files 子域、向 Citrix Files 配置用户或托管 Citrix Files 数据。 将存储区域连接器与 Citrix Endpoint Management 结合使用可遵循安全限制,防止将用户信息泄露到公司网络之外。
存储区域控制器服务器位置
要问的问题:
- 您是否需要本地存储或存储区域连接器等功能?
- 如果使用 Citrix Files 的本地功能,存储区域控制器将位于网络中的什么位置?
设计决策:
- 确定是否将存储区域控制器服务器放置在 Citrix Files 云中、本地单租户存储系统中还是受支持的第三方云存储中。
- 存储区域控制器需要一些互联网访问才能与 Citrix Files 控制平面进行通信。 您可以通过多种方式连接,包括直接访问或 NAT/PAT 配置。
存储区域连接器
要问的问题:
- CIFS 共享路径有哪些?
- SharePoint URL 是什么?
设计决策:
- 确定是否需要本地存储区域控制器来访问这些位置。
- 由于存储区域连接器与文件存储库、CIFS 共享和 SharePoint 等内部资源进行通信:Citrix 建议存储区域控制器位于 DMZ 防火墙后面并以 NetScaler Gateway 为前端的内部网络中。
SAML 与 Citrix Endpoint Management 集成
要问的问题:
- Citrix Files 是否需要 Active Directory 身份验证?
- 首次使用 Citrix Files 应用程序进行 Citrix Endpoint Management 是否需要 SSO?
- 您当前环境中是否存在标准 IdP?
- 使用 SAML 需要多少个域?
- Active Directory 用户有许多电子邮件别名吗?
- 是否有任何 Active Directory 域迁移正在进行或即将安排?
设计决策:
您可能选择使用 SAML 作为 Citrix Files 的身份验证机制。 身份验证选项包括:
- 使用 Citrix Endpoint Management 服务器作为 SAML 的身份提供者 (IdP)
此选项可以提供出色的用户体验、自动创建 Citrix Files 帐户并启用移动应用程序 SSO 功能。
Citrix Endpoint Management 服务器针对此过程进行了增强:它不需要 Active Directory 的同步。
使用 Citrix Files 用户管理工具进行用户配置。
- 使用受支持的第三方供应商作为 SAML 的 IdP
如果您有现有且受支持的 IdP,并且不需要移动应用程序 SSO 功能,则此选项可能最适合您。 此选项还需要使用 Citrix Files 用户管理工具进行帐户配置。
使用第三方 IdP 解决方案(例如 ADFS)也可能在 Windows 客户端提供 SSO 功能。 在选择 Citrix Files SAML IdP 之前,请务必评估用例。
- 或者,为了满足两种用例,请参阅 双重身份提供者的 ShareFile 单点登录配置指南。
移动应用程序
要问的问题:
- 您计划使用哪款 Citrix Files 移动应用程序(公共、MDM、MDX)?
设计决策:
- 您可以从 Apple App Store 和 Google Play Store 分发 Citrix 移动生产力应用程序。 通过公共应用商店分发,您可以从 Citrix 下载页面获取包装好的应用程序。
- 如果您的安全要求较低且不需要容器化,则公共 Citrix Files 应用程序可能不适合。
- 有关更多信息,请参阅 应用程序 和 Citrix Endpoint Management 的 Citrix Files。
安全、策略和访问控制
要问的问题:
- 您对桌面、网络和移动用户有哪些限制?
- 您希望为用户提供哪些标准访问控制设置?
- 您计划使用什么文件保留策略?
设计决策:
- Citrix Files 允许您管理员工权限。 有关信息,请参阅 员工权限。
- 一些 Citrix Files 设备安全设置和 MDX 策略控制相同的功能。 在这些情况下,Citrix Endpoint Management 策略优先,其次是 Citrix Files 设备安全设置。 示例:如果您在 Citrix Files 中禁用外部应用程序,但在 Citrix Endpoint Management 中启用它们,则外部应用程序在 Citrix Files 中也将被禁用。 您可以配置应用程序,以便 Citrix Endpoint Management 不需要 PIN/密码,但 Citrix Files 应用程序需要 PIN/密码。
标准存储区域与限制存储区域
要问的问题:
- 您需要限制存储区域吗?
设计决策:
- 标准存储区域用于非敏感数据,并允许员工与非员工共享数据。 此选项支持涉及在域外共享数据的工作流程。
- 受限存储区域保护敏感数据:只有经过身份验证的域用户才能访问存储在该区域中的数据。
访问控制
企业可以管理网络内外的移动设备。 Citrix Endpoint Management 等企业移动管理解决方案能够出色地为移动设备提供安全性和控制,且不受位置限制。 但是,当您将它们与网络访问控制 (NAC) 解决方案结合使用时,您可以为网络内部的设备添加 QoS 和更细粒度的控制。 这种组合使您能够通过 NAC 解决方案扩展 Citrix Endpoint Management 设备安全评估。 然后,您的 NAC 解决方案可以使用 Citrix Endpoint Management 安全评估来促进和处理身份验证决策。
您可以使用以下任意解决方案来实施 NAC 策略:
- NetScaler Gateway
- 前锋侦察兵
Citrix 不保证与其他 NAC 解决方案的集成。
NAC 解决方案与 Citrix Endpoint Management 集成的优势包括:
- 为企业网络上的所有端点提供更好的安全性、合规性和控制力。
- NAC 解决方案可以:
- 在设备尝试连接到您的网络时立即检测设备。
- 查询 Citrix Endpoint Management 以获取设备属性。
- 使用该设备信息来确定是否允许、阻止、限制或重定向这些设备。 这些决定取决于您选择实施的安全策略。
- NAC 解决方案为 IT 管理员提供了非托管和不合规设备的视图。
有关 Citrix Endpoint Management 支持的 NAC 合规性过滤器的说明和配置概述,请参阅 网络访问控制。