Endpoint Management 集成

本文介绍了规划 Endpoint Management 与现有网络和解决方案的集成方式时要考虑的事项。例如, 如果您已对 Citrix Virtual Apps and Desktops 使用 Citrix Gateway:

  • 应该使用现有的 Citrix Gateway 实例还是使用新的专用实例?
  • 是否要将使用 StoreFront 发布的 HDX 应用程序与 Endpoint Management 集成?
  • 是否计划将 Citrix Files 与 Endpoint Management 结合使用?
  • 是否有要集成到 Endpoint Management 的网络访问控制解决方案?

Citrix Gateway

Endpoint Management 需要 Citrix Gateway。Citrix Gateway 提供用于访问所有公司资源的 Micro VPN 路径,并提供加强的多重身份验证支持。

可以使用现有 Citrix Gateway 实例, 也可以为 Endpoint Management 设置新实例。以下各节阐述了使用现有的 Citrix Gateway 实例或新的专用 Citrix Gateway 实例的优势和劣势。

使用为 Endpoint Management 创建的 Citrix Gateway VIP 共享 Citrix Gateway MPX

优势:

  • 所有 Citrix 远程连接使用一个公用 Citrix Gateway 实例:Citrix Virtual Apps、完整 VPN 和无客户端 VPN。
  • 对证书身份验证以及服务(例如 DNS、LDAP 和 NTP)访问等使用现有的 Citrix Gateway 配置。
  • 使用一个 Citrix Gateway 平台许可证。

劣势:

  • 在同一 Citrix Gateway 上处理两个截然不同的用例时,很难规划扩展。
  • 有时, 您需要 Citrix Virtual Apps 用例的特定 Citrix Gateway 版本。同一版本可能存在有关 Endpoint Management 的已知问题。或者, Endpoint Management 可能存在 Citrix Gateway 版本的已知问题。
  • 如果存在 Citrix Gateway,则不能再次运行 NetScaler for XenMobile 向导为 Endpoint Management 创建 Citrix Gateway 配置。
  • 除了将 Platinum 许可证用于 Citrix Gateway 11.1 或更高版本时外:安装在 Citrix Gateway 上及 VPN 连接所需的用户访问许可证汇集在池中。由于这些许可证可用于所有 Citrix Gateway 虚拟服务器,因此,Endpoint Management 以外的服务可能会占用它们。

专用 Citrix Gateway VPX/MPX 实例

优势:

Citrix 建议使用专用的 Citrix Gateway 实例。

  • 更易于规划扩展,并可将 Endpoint Management 流量与资源可能已受限的 Citrix Gateway 实例分开。
  • 避免了 Endpoint Management 和 Citrix Virtual Apps 需要不同 Citrix Gateway 软件版本时出现的问题。通常建议在 Endpoint Management 中使用最新的兼容 Citrix Gateway 版本和内部版本。
  • 允许通过内置的 NetScaler for XenMobile 向导对 Citrix Gateway 进行 Endpoint Management 配置。
  • 对服务进行虚拟和物理隔离。

劣势:

  • 需要为 Citrix Gateway 设置额外的服务, 以支持 Endpoint Management 配置。
  • 需要使用另一个 Citrix Gateway 平台许可证。为 Citrix Gateway 每个 Citrix Gateway 实例许可。

有关在每个 Endpoint Management 服务器模式下集成 Citrix Gateway 和 Citrix ADC 时要注意的事项的信息,请参阅与 Citrix Gateway 和 Citrix ADC 相集成

StoreFront

如果您有 Citrix Virtual Apps and Desktops 环境,您可以使用 StoreFront 将 HDX 应用程序与 Endpoint Management 集成。将 HDX 应用程序与 Endpoint Management 集成时:

  • 这些应用程序可供使用 Endpoint Management 注册的用户使用。
  • 这些应用程序与其他移动应用程序一起显示在应用商店中。
  • 在 StoreFront 上 Endpoint Management 使用旧版 PNAgent(服务)站点。
  • 在设备上安装 Citrix Workspace 应用程序后,HDX 应用程序开始使用该应用程序。

StoreFront 存在每个 StoreFront 实例一个服务站点的限制。假设您有多个应用商店,并想要将其与其他生产使用情况分开。在这种情况下,Citrix 通常建议考虑将一个新的 StoreFront 实例和服务站点用于 Endpoint Management。

注意事项包括:

  • StoreFront 是否有任何不同的身份验证要求?StoreFront 服务站点要求使用 Active Directory 凭据进行登录。仅使用基于证书的身份验证的客户不能使用同一 Citrix Gateway 通过 Endpoint Management 枚举应用程序。
  • 使用同一存储还是创建一个新存储?
  • 使用同一还是不同的 StoreFront 服务器?

以下各节阐述了对 Citrix Workspace 和 Citrix 移动生产力应用程序使用单独的 StoreFront 和组合的 StoreFront 的优势和劣势。

将现有的 StoreFront 实例与 Endpoint Management 集成

优势:

  • 同一应用商店:假定您使用同一 Citrix Gateway VIP 访问 HDX,不需要为 Endpoint Management 对 StoreFront 进行额外配置。假设您选择使用同一应用商店,并想要将 Citrix Workspace 访问定向至新的 Citrix Gateway VIP。在这种情况下,可将合适的 Citrix Gateway 配置添加到 StoreFront。
  • 同一 StoreFront 服务器:使用现有的 StoreFront 安装和配置。

劣势:

  • 同一应用商店:如果为了支持 Citrix Virtual Apps and Desktops 工作负载而对 StoreFront 进行任何重新配置,也可能会对 Endpoint Management 产生不利影响。
  • 同一 StoreFront 服务器:在大型环境中,要考虑 Endpoint Management 使用 PNAgent 进行应用程序枚举和启动产生的额外负载。

将新的专用 StoreFront 实例用于与 Endpoint Management 集成

优势:

  • 新应用商店:为 Endpoint Management 对 StoreFront 应用商店进行任何配置更改应不会影响现有的 Virtual Apps and Desktops 工作负载。
  • 新的 StoreFront 服务器:服务器配置更改应不会影响 Virtual Apps and Desktops 工作流。此外,Endpoint Management 使用 PNAgent 进行应用程序枚举和启动产生的负载应不会影响可扩展性。

劣势:

  • 新应用商店:StoreFront 应用商店配置。
  • 新的 StoreFront 服务器:需要新的 StoreFront 安装和配置。

有关详细信息,请参阅通过应用商店下载 Citrix Virtual Apps and Desktops

Citrix Content Collaboration 和 Citrix Files

您可以利用 Citrix Content Collaboration 轻松、安全地交换文档、通过电子邮件发送大型文档、安全地处理向第三方的文档传输。用户可以通过 Citrix Files 应用程序从任何设备访问和同步自己的所有数据。借助 Citrix Files,用户可以与组织内部和外部的人安全地共享数据。

Citrix Content Collaboration 与 Endpoint Management 的集成因您的站点是否启用了 Workspace 而异。

如果 Endpoint Management 启用了 Workspace

使用 Citrix Workspace 和 Citrix Workspace 应用程序以及 Citrix Content Collaboration 服务时, 可以执行以下操作:

  • 从 Citrix Workspace 中的文件选项卡访问您的所有文件。
  • 查看您的所有收藏夹、个人和共享文件夹, 并访问您的云连接器。
  • 提交文件以获取反馈和审批、查看文件 Box、管理回收站以及编辑文件。
  • 有关不受 Workspace 支持的 Citrix Collaboration 功能的信息,请参阅部署创建 Content Collaboration (ShareFile) 帐户或将其与 Citrix Cloud 链接

如果 Endpoint Management 未启用 Workspace

如果 Endpoint Management 未启用 Workspace, 则将 Citrix Files 与 Endpoint Management 相集成。Endpoint Management 随以下各项提供 Citrix Files:

  • 移动生产力应用程序用户的单点登录身份验证。
  • 基于 Active Directory 的用户帐户预配。
  • 全面的访问控制策略。

移动设备用户将从完整的 Citrix Files Enterprise 功能集受益。

或者,可以将 Endpoint Management 配置为只与 StorageZone 连接器集成。通过 StorageZone 连接器,Citrix Files 提供访问以下各项的权限:

  • 文档和文件夹
  • 网络文件共享
  • 在 SharePoint 站点中:站点集合和文档库。

连接的文件共享可以包括 Citrix Virtual Apps and Desktops 环境中使用的相同网络主驱动器。可使用 Endpoint Management 控制台配置与 Citrix Files Enterprise 或 Storagezone 连接器的集成。有关详细信息,请参阅将 Citrix Files 与 Endpoint Management 结合使用

以下各节阐述了为 Citrix Files 制定设计决策时提出的问题。

与 Citrix Files 或仅 StorageZone 连接器集成

提出的问题:

  • 是否需要在 Citrix 托管的 StorageZone 中存储数据?
  • 是否要向用户提供文件共享和同步功能?
  • 是否要让用户能够访问 Citrix Files Web 站点上的文件?或者,是否要从移动设备访问 Office 365 内容和个人云连接器?

设计决策:

  • 如果对所有这些问题都回答“是”,则与 Citrix Files Enterprise 集成。
  • 仅与 StorageZone 连接器的集成为 iOS 用户提供对现有本地部署存储库(例如 SharePoint 站点和网络文件共享)的安全移动访问权限。在此配置中, 您不会设置 Citrix Files 子域、向用户预配 Citrix Files 或托管 Citrix Files 数据。将 Storagezone 连接器与 Endpoint Management 结合使用时遵守防止在企业网络外部泄漏用户信息的安全限制。

StorageZones Controller 服务器位置

提出的问题:

  • 是否需要本地存储或功能(例如 StorageZone 连接器)?
  • 如果使用 Citrix Files 的本地功能,StorageZones Controller 将位于网络中的什么位置?

设计决策:

  • 确定将 StorageZones Controller 服务器置于 Citrix Files 云中、本地单租户存储系统中还是支持的第三方云存储中 。
  • StorageZones Controller 需要某些 Internet 访问权限以与 Citrix Files 控制平面进行通信。可以采用多种方法(包括直接访问 或 NAT/PAT 配置)进行连接。

StorageZone 连接器

提出的问题:

  • CIFS 共享路径是什么?
  • SharePoint URL 是什么?

设计决策:

  • 确定访问这些位置是否需要本地 StorageZones Controller。
  • 由于 StorageZone 连接器与内部资源(例如,文件存储库、CIFS 共享和 SharePoint)进行通信:Citrix 建议 StorageZones Controller 位于 DMZ 防火墙后面的内部网络中,且 Citrix Gateway 位于前端。

与 Endpoint Management Enterprise 的 SAML 集成

提出的问题:

  • ShareFile 是否需要 Citrix Files 身份验证?
  • 首次使用 Citrix Files 应用程序以实现 Endpoint Management 时, 是否需要 SSO?
  • 当前环境中是否存在标准 IdP?
  • 使用 SAML 需要多少个域?
  • Active Directory 用户是否有多个电子邮件别名?
  • 是否有正在进行或计划不久将进行的任何 Active Directory 域迁移?

设计决策:

Endpoint Management Enterprise 环境可以选择使用 SAML 作为 Citrix Files 的身份验证机制。身份验证方式包括:

  • 使用 Endpoint Management 服务器作为 SAML 的身份提供程序 (IdP)

此方式可以提供卓越的用户体验和自动创建 Citrix Files 帐户的功能,以及支持移动应用程序 SSO 功能。

  • 在此过程可增强 Endpoint Management 服务器:不需要同步 Active Directory。
  • 使用 Citrix Files 用户管理工具进行用户预配。
  • 使用受支持的第三方供应商作为 SAML 的 IdP

如果您已有受支持的 IdP,且不需要移动应用程序 SSO 功能,此方式可能最适合您。此方式还需要使用 Citrix Files 用户管理工具进行帐户预配。

使用第三方 IdP 解决方案(例如 ADFS)还可以在 Windows 客户端上提供 SSO 功能。请务必在选择 Citrix Files SAML IdP 之前评估用例。

此外,为了满足两种用例,您可以“配置” 和 “ADFS” 和 “Endpoint Management” 作为双 IdP

移动应用程序

提出的问题:

  • 您计划使用哪种 Citrix Files 移动应用程序(公共、MDM、MDX)?

设计决策:

  • 从 Apple App Store 和 Google Play 应用商店分发 Citrix 移动生产力应用程序。采用这种公共应用商店分发,您可以从 Citrix 下载页面获取打包的应用程序。
  • 如果安全性较低且您不需要容器化,公共 Citrix Files 应用程序可能不适用。在仅 MDM 环境中,您可以使用处于 MDM 模式的 Endpoint Management 交付 MDM 版本的 Citrix Files 应用程序。
  • 有关详细信息,请参阅应用程序Citrix Files for Endpoint Management

安全性、策略和访问控制

提出的问题:

  • 对桌面、Web 和移动用户有哪些限制要求?
  • 对用户要进行哪些标准访问控制设置?
  • 计划使用什么文件保留策略?

设计决策:

  • Citrix Files 允许您管理员工权限和设备安全性。有关信息,请参阅员工权限管理设备和应用程序
  • 某些 Citrix Files 设备安全设置和 MDX 策略控制相同的功能。在这些情况下,Endpoint Management 策略优先于 Citrix Files 设备安全设置。示例:如果您在 Citrix Files 中禁用外部应用程序,但在 Endpoint Management 中启用这些应用程序,则在 Citrix Files 中外部应用程序处于禁用状态。您可以配置应用程序,以实现 Endpoint Management, 不要求使用 PIN/通行码,但 Citrix Files 应用程序要求使用 PIN/通行码。

标准与受限 StorageZone

提出的问题:

  • 是否需要受限 StorageZone?

设计决策:

  • 标准 StorageZone 专用于存储非敏感数据,员工可以在此区域中与非员工共享数据。此方式支持涉及在域外部共享数据的工作流。
  • 受限 StorageZone 保护敏感数据:只有通过身份验证的域用户可以访问此区域中存储的数据。

访问控制

企业现在可以管理网络内部和外部的移动设备。企业移动性管理解决方案(例如 Endpoint Management)非常适合为移动设备提供安全和控制功能,而与位置无关。但是,与网络访问控制 (NAC) 解决方案结合使用时,可以为您网络内部的设备增加 QoS 和更加细化的控制。该组合让您可以通过您的 NAC 解决方案延长 Endpoint Management 设备安全评估。之后您的 NAC 解决方案可以使用 Endpoint Management 安全评估帮助制定和处理身份验证决策。Citrix 已针对 Cisco Identity Services Engine (ISE) 或 ForeScout 验证 NAC 与 Endpoint Management 的集成。Citrix 不保证其他 NAC 解决方案的集成。

NAC 解决方案与 Endpoint Management 的集成具有以下优势:

  • 提高了企业网络上所有端点的安全性和合规性,并增强了对其控制能力。
  • NAC 解决方案可以:
    • 在设备尝试连接到网络的同时检测到设备。
    • 查询 Endpoint Management 以了解设备属性。
    • 然后使用该信息来确定允许、阻止、限制还是重定向这些设备。这些决策取决于您选择强制执行的安全策略。
  • NAC 解决方案为 IT 管理员提供非托管设备和不合规设备信息。

有关 Endpoint Management 支持的 NAC 合规性过滤器的说明,请参阅网络访问控制