Endpoint Management 集成
本文介绍了规划 Endpoint Management 与现有网络和解决方案的集成方式时要注意的事项。例如,如果您已在使用适用于 Citrix Virtual Apps and Desktops 的 Citrix Gateway:
- 要使用现有的 Citrix Gateway 实例还是使用新的专用实例?
- 是否要将使用 StoreFront 发布的 HDX 应用程序与 Endpoint Management 集成?
- 是否计划将 Citrix Files 与 Endpoint Management 结合使用?
- 是否有要集成到 Endpoint Management 的网络访问控制解决方案?
Citrix Gateway
Citrix Gateway 是 Endpoint Management 所必需的。Citrix Gateway 提供用于访问所有公司资源的 Micro VPN 路径,并提供加强的多重身份验证支持。
您可以使用现有的 Citrix Gateway 实例,也可以为 Endpoint Management 设置新实例。以下各节阐述了使用现有的 Citrix ADC 实例或新的专用 Citrix Gateway 实例的优势和劣势。
与为 Endpoint Management 创建的 Citrix Gateway VIP 共享 Citrix Gateway MPX
优势:
- 所有 Citrix 远程连接使用一个公用 Citrix Gateway 实例:Citrix Virtual Apps、完整 VPN 和无客户端 VPN。
- 对证书身份验证以及服务(例如 DNS、LDAP 和 NTP)访问等使用现有的 Citrix Gateway 配置。
- 使用单个 Citrix Gateway 平台许可证。
劣势:
- 在同一 Citrix Gateway 上处理两个截然不同的用例时,很难规划扩展。
- 有时某个 Citrix Virtual Apps 用例需要某个特定的 Citrix Gateway 版本。同一版本可能存在 Endpoint Management 的已知问题。或者,Endpoint Management 可能存在 Citrix Gateway 版本的已知问题。
- 如果存在 Citrix Gateway,则不能再次运行 NetScaler for XenMobile 向导为 Endpoint Management 创建 Citrix Gateway 配置。
- 除了将 Platinum 许可证用于 Citrix Gateway 11.1 或更高版本时外:安装在 Citrix Gateway 上及 VPN 连接所需的用户访问许可证汇集在池中。由于这些许可证可用于所有 Citrix Gateway 虚拟服务器,因此,Endpoint Management 以外的服务可能会占用这些许可证。
专用 Citrix Gateway VPX/MPX 实例
优势:
Citrix 建议使用专用的 Citrix Gateway 实例。
- 更易于规划扩展,并可将 Endpoint Management 流量与资源可能已受限的 Citrix Gateway 实例分开。
- 避免在 Endpoint Management 和 Citrix Virtual Apps 需要不同的 Citrix Gateway 软件版本时出现问题。通常建议在 Endpoint Management 中使用最新的兼容 Citrix Gateway 版本和内部版本。
- 允许通过内置的 NetScaler for XenMobile 向导对 Citrix Gateway 进行 Endpoint Management 配置。
- 对服务进行虚拟和物理隔离。
劣势:
- 需要在 Citrix Gateway 上设置额外服务以支持 Endpoint Management 配置。
- 需要使用另一个 Citrix Gateway 平台许可证。为 Citrix Gateway 许可使用每个 Citrix Gateway 实例。
有关为 Endpoint Management 模式集成 Citrix Gateway 和 Citrix ADC 时应考虑的事项的信息,请参阅 与 Citrix Gateway 和 Citrix ADC 集成。
StoreFront
如果您有 Citrix Virtual Apps and Desktops 环境,则可以使用 StoreFront 将 HDX 应用程序与 Endpoint Management 集成。当您将 HDX 应用程序与 Endpoint Management 集成时:
- 这些应用程序可供注册到 Endpoint Management 的用户使用。
- 这些应用程序与其他移动应用程序一起显示在应用商店中。
- Endpoint Management 在 StoreFront 上使用 Citrix Receiver。
- 在设备上安装 Citrix Workspace 应用程序后,HDX 应用程序将开始使用该应用程序。
StoreFront 存在每个 StoreFront 实例一个服务站点的限制。假设您有多个应用商店,并想要将其与其他生产使用情况分开。在这种情况下,Citrix 通常建议考虑将一个新的 StoreFront 实例和服务站点用于 Endpoint Management。
注意事项包括:
- StoreFront 是否有任何不同的身份验证要求?StoreFront 服务站点要求使用 Active Directory 凭据进行登录。仅使用基于证书的身份验证的客户不能使用同一 Citrix Gateway 通过 Endpoint Management 枚举应用程序。
- 使用同一应用商店还是创建一个应用商店?
- 使用同一还是不同的 StoreFront 服务器?
以下各部分内容阐述了对 Citrix Workspace 和 Citrix 移动生产力应用程序使用单独的 StoreFront 和组合的 StoreFront 的优势和劣势。
将现有的 StoreFront 实例与 Endpoint Management 集成
优势:
- 同一应用商店:假定您使用同一 Citrix Gateway VIP 访问 HDX,不需要为 Endpoint Management 对 StoreFront 进行额外配置。假设您选择使用同一应用商店,并想要将 Citrix Workspace 访问定向至新的 Citrix Gateway VIP。在这种情况下,可将合适的 Citrix Gateway 配置添加到 StoreFront。
- 同一 StoreFront 服务器:使用现有的 StoreFront 安装和配置。
劣势:
- 同一应用商店:如果为了支持 Citrix Virtual Apps and Desktops 工作负载而对 StoreFront 进行任何重新配置,也可能会对 Endpoint Management 产生不利影响。
- 同一 StoreFront 服务器:在大型环境中,要考虑 Endpoint Management 使用 Citrix Receiver 进行应用程序枚举和启动产生的额外负载。
将新的专用 StoreFront 实例用于与 Endpoint Management 集成
优势:
- 新应用商店:为 Endpoint Management 对 StoreFront 应用商店进行任何配置更改不会影响现有的 Virtual Apps and Desktops 工作负载。
- 新的 StoreFront 服务器:服务器配置更改不会影响 Virtual Apps and Desktops 工作流。此外,Citrix Receiver 用于应用程序枚举和启动的 Endpoint Management 外部的加载不会影响可扩展性。
劣势:
- 新应用商店:StoreFront 应用商店配置。
- 新的 StoreFront 服务器:需要新的 StoreFront 安装和配置。
有关更多信息,请 通过应用商店查看 Citrix Virtual Apps and Desktops。
Citrix Content Collaboration 和 Citrix Files
您可以利用 Citrix Content Collaboration 轻松、安全地交换文档、通过电子邮件发送大型文档、安全地处理向第三方的文档传输。用户可以通过 Citrix Files 应用程序从任何设备访问和同步自己的所有数据。借助 Citrix Files,用户可以与组织内部和外部的人安全地共享数据。
Citrix Content Collaboration 与 Endpoint Management 的集成取决于站点是否启用了 Workspace。
如果 Endpoint Management 启用了 Workspace
将 Citrix Workspace 和Citrix Workspace 应用程序与 Citrix Content Collaboration 结合使用时,您可以:
- 从 Citrix Workspace 中的“文件”选项卡访问所有文件。
- 查看所有收藏夹、个人文件夹和共享文件夹以及访问云连接器。
- 提交文件以供反馈和批准,查看您的文件盒,管理您的回收站以及编辑文件。
- 有关工作区中不支持的 Citrix Collaboration 功能的信息,请参阅 部署 和 创建 Content Collaboration (ShareFile) 帐户或将其链接到 Citrix Cloud。
如果 Endpoint Management 未启用 Workspace
如果 Endpoint Management 未启用 Workspace,则需要将 Content Collaboration 与 Endpoint Management 集成。Endpoint Management 为 Citrix Files 提供:
- 移动生产力应用程序用户的单点登录身份验证。
- 基于 Active Directory 的用户帐户预配。
- 全面的访问控制策略。
移动设备用户将从完整的 Enterprise 帐户功能集受益。
或者,可以将 Endpoint Management 配置为只与存储区域连接器集成。通过存储区域连接器,Citrix Files 提供对以下对象的访问:
- 文档和文件夹
- 网络文件共享
- 在 SharePoint 站点中:站点集合和文档库。
连接的文件共享可以包括 Citrix Virtual Apps and Desktops 环境中使用的相同网络主驱动器。可使用 Endpoint Management 控制台配置与 Enterprise 帐户或存储区域连接器的集成。有关更多信息,请参阅 用于 Endpoint Management 的 Citrix Files。
以下各节阐述了为 Citrix Files 制定设计决策时提出的问题。
与 Citrix Files 集成或仅与存储区域连接器集成
要提问的问题:
- 是否希望在 Citrix 托管的存储区域中存储数据?
- 是否要向用户提供文件共享和同步功能?
- 是否要让用户能够访问 Citrix Files Web 站点上的文件?或者,是否要从移动设备访问 Office 365 内容和个人云连接器?
设计决策:
- 如果对所有这些问题都回答“是”,则与 Enterprise 帐户集成。
- 仅与存储区域连接器的集成为 iOS 用户提供对现有本地部署存储库(例如 SharePoint 站点和网络文件共享)的安全移动访问权限。在此配置中,您不会设置 Citrix Files 子域、将用户预配到 Citrix Files 或托管 Citrix Files 数据。将存储区域连接器与 Endpoint Management 结合使用时遵守防止在企业网络外部泄漏用户信息的安全限制。
存储区域控制器服务器位置
要提问的问题:
- 是否需要本地存储或功能(例如存储区域连接器)?
- 如果使用 Citrix Files 的本地功能,存储区域控制器将位于网络中的什么位置?
设计决策:
- 确定将存储区域控制器服务器置于 Citrix Files 云中、本地单租户存储系统中还是支持的第三方云存储中 。
- 存储区域控制器需要某些 Internet 访问权限以与 Citrix Files 控制平面进行通信。可以采用多种方式进行连接,包括直接访问 或 NAT/PAT 配置。
存储区域连接器
要提问的问题:
- CIFS 共享路径是什么?
- SharePoint URL 是什么?
设计决策:
- 确定访问这些位置是否需要本地存储区域控制器。
- 由于存储区域连接器与内部资源(例如,文件存储库、CIFS 共享和 SharePoint)进行通信:Citrix 建议存储区域控制器位于 DMZ 防火墙后面的内部网络中,且 Citrix Gateway 位于前端。
SAML 与 Endpoint Management 集成
要提问的问题:
- Citrix Files 是否需要 Active Directory 身份验证?
- 首次使用适用于 Endpoint Management 的 Citrix Files 应用程序是否需要 SSO?
- 当前环境中是否存在标准 IdP?
- 使用 SAML 需要多少个域?
- Active Directory 用户是否有多个电子邮件别名?
- 是否有正在进行或计划不久将进行的任何 Active Directory 域迁移?
设计决策:
您可以选择使用 SAML 作为 Citrix Files 的身份验证机制。身份验证方式包括:
-
使用 Endpoint Management 服务器作为 SAML 的身份提供程序 (IdP)
此选项可以提供卓越的用户体验、自动创建 Citrix Files 帐户以及启用移动应用程序 SSO 功能。
在此过程可增强 Endpoint Management 服务器:不需要同步 Active Directory。
使用 Citrix Files 用户管理工具进行用户预配。
-
使用受支持的第三方供应商作为 SAML 的 IdP
如果您已有受支持的 IdP,且不需要移动应用程序 SSO 功能,此方式可能最适合您。此方式还需要使用 Citrix Files 用户管理工具进行帐户预配。
使用第三方 IdP 解决方案(例如 ADFS)还可以在 Windows 客户端上提供 SSO 功能。请务必在选择 Citrix Files SAML IdP 之前评估用例。
-
或者,要满足这两种用例,请参阅适用 于双重身份提供商的 Citrix Content Collaboration 单点登录配置指南。
移动应用程序
要提问的问题:
- 您计划使用哪种 Citrix Files 移动应用程序(公共、MDM、MDX)?
设计决策:
- 从 Apple App Store 和 Google Play 应用商店分发 Citrix 移动生产力应用程序。采用这种公共应用商店分发,您可以从 Citrix 下载页面获取打包的应用程序。
- 如果您的安全要求较低,并且不需要容器化,公共 Citrix Files 应用程序可能不适用。
- 有关更多信息,请参阅 Endpoint Management 的 [应用程序](/zh-cn/citrix-endpoint-management/advanced-concepts/deployment/apps.html) 和 Citrix Files。
安全性、策略和访问控制
要提问的问题:
- 对桌面、Web 和移动用户有哪些限制要求?
- 对用户要进行哪些标准访问控制设置?
- 计划使用什么文件保留策略?
设计决策:
- Citrix Files 允许您管理员工权限。有关信息,请参阅 员工权限。
- 某些 Citrix Files 设备安全设置和 MDX 策略控制相同的功能。在这些情况下,Endpoint Management 策略优先于 Citrix Files 设备安全设置。示例:如果您在 Citrix Files 中禁用外部应用程序,但在 Endpoint Management 中启用这些应用程序,则在 Citrix Files 中外部应用程序处于禁用状态。您可以配置应用程序,以实现 Endpoint Management 不要求使用 PIN/通行码,但 Citrix Files 应用程序要求使用 PIN/通行码。
标准存储区域与受限存储区域
要提问的问题:
- 是否需要受限存储区域?
设计决策:
- 标准存储区域专用于存储非敏感数据,员工可以在此区域中与非员工共享数据。此方式支持涉及在域外部共享数据的工作流。
- 受限存储区域保护敏感数据:只有通过身份验证的域用户可以访问此区域中存储的数据。
访问控制
企业可以管理网络内部和外部的移动设备。企业移动性管理解决方案(例如 Endpoint Management)非常适合为移动设备提供安全和控制功能,而与位置无关。但是,将其与网络访问控制 (NAC) 解决方案结合使用时,可以为您网络内部的设备增加 QoS 和更加细化的控制。该组合让您可以通过您的 NAC 解决方案延长 Endpoint Management 设备安全评估。之后您的 NAC 解决方案可以使用 Endpoint Management 安全评估帮助制定和处理身份验证决策。
可以使用以下任意解决方案来强制实施 NAC 策略:
- Citrix Gateway
- ForeScout
Citrix 不保证其他 NAC 解决方案的集成。
NAC 解决方案与 Endpoint Management 的集成具有以下优势:
- 提高了企业网络上所有端点的安全性和合规性,并增强了对其控制能力。
- NAC 解决方案可以:
- 在设备尝试连接到网络的同时检测到设备。
- 查询 Endpoint Management 的设备属性。
- 请使用该设备信息来确定允许、阻止、限制还是重定向这些设备。这些决策取决于您选择强制执行的安全策略。
- NAC 解决方案为 IT 管理员提供非托管设备和不合规设备信息。
有关 Endpoint Management 支持的 NAC 合规性筛选器的说明和配置概述,请参阅 网络访问控制。