Citrix Endpoint Management 集成
本文介绍了在规划 Citrix Endpoint Management 如何与现有网络和解决方案集成时需要考虑的事项。例如,如果您已经在使用适用于 Citrix Virtual Apps and Desktops 的 NetScaler Gateway Virtual Apps and Desktops:
- 您想使用现有 NetScaler Gateway 实例还是新的专用实例?
- 您想将使用 StoreFront 发布的 HDX 应用程序与 Citrix Endpoint Management 集成吗?
- 您打算将 Citrix Files 与 Citrix Endpoint Management 一起使用吗?
- 您有想要集成到 Citrix Endpoint Management 中的网络访问控制解决方案吗?
NetScaler Gateway
Citrix Endpoint Management 需要 NetScaler Gateway。NetScaler Gateway 提供用于访问所有企业资源的 Micro VPN 路径,并提供强大的多因素身份验证支持。
您可以使用现有 NetScaler Gateway 实例,也可以为 Citrix Endpoint Management 设置新实例。以下各节指出了使用现有或新的专用 NetScaler Gateway 实例的优缺点。
与为 Citrix Endpoint Management 创建的 NetScaler Gateway VIP 共享 NetScaler Gateway MPX
优点:
- 对所有 Citrix 远程连接使用通用的 NetScaler Gateway 实例:Citrix Virtual Apps、完整 VPN 和无客户端 VPN。
- 使用现有 NetScaler Gateway 配置,例如用于证书身份验证和访问 DNS、LDAP 和 NTP 等服务。
- 使用单个 NetScaler Gateway 平台许可。
劣势:
- 当您在同一 NetScaler Gateway 上处理两个不同的用例时,规划规模会更加困难。
- 有时,Citrix Virtual Apps 用例需要特定的 NetScaler Gateway 版本。同样的版本可能存在已知的 Citrix Endpoint Management 问题。或者,Citrix Endpoint Management 在 NetScaler Gateway 版本中可能存在已知问题。
- 如果存在 NetScaler Gateway,则无法再次运行适用于 XenMobile 的 NetScaler 向导来为 Citrix Endpoint Management 创建 NetScaler Gateway 配置。
- 除非在 NetScaler Gateway 11.1 或更高版本中使用白金许可:安装在 NetScaler Gateway 上且需要 VPN 连接的用户访问许可将被池化。由于这些许可证适用于所有 NetScaler Gateway 虚拟服务器,因此除了 Citrix Endpoint Management 以外的服务可能会使用它们。
专用 NetScaler Gateway VPX/MPX 实例
优点:
Citrix 建议使用 NetScaler Gateway 的专用实例。
- 更易于规划规模,并将 Citrix Endpoint Management 流量与可能已经受到资源限制的 NetScaler Gateway 实例分开。
- 避免 Citrix Endpoint Management 和 Citrix Virtual Apps 需要不同的 NetScaler Gateway 软件版本时出现问题。建议通常使用最新兼容的 NetScaler Gateway 版本并为 Citrix Endpoint Management 构建。
- 允许通过内置的 XenMobile 版 NetScaler 向导配置 NetScaler Gateway 的 Citrix Endpoint Management。
- 对服务进行虚拟和物理隔离。
劣势:
- 需要在 NetScaler Gateway 上设置额外服务以支持 Citrix Endpoint Management 配置。
- 需要另一个 NetScaler Gateway 平台许可。为 NetScaler Gateway 的每个 NetScaler Gateway 实例授予许可。
有关集成适用于 Citrix Endpoint Management 管理模式的 NetScaler Gateway 和 Citrix ADC 时应考虑的事项的信息,请参阅与 NetScaler Gateway 和 Citrix ADC 集成。
StoreFront
如果您有 Citrix Virtual Apps and Desktops 环境,您可以使用 StoreFront 将 HDX 应用程序与 Citrix Endpoint Management 集成。当您将 HDX 应用程序与 Citrix Endpoint Management 集成时:
- 注册了 Citrix Endpoint Management 的用户可以使用这些应用程序。
- 这些应用程序与其他移动应用程序一起显示在应用商店中。
- Citrix Endpoint Management 在 StoreFront 上使用 Citrix Receiver。
- 在设备上安装 Citrix Workspace 应用程序后,HDX 应用程序将开始使用该应用程序。
StoreFront 的限制是每个 StoreFront 实例只能有一个服务站点。假设您有许多门店,并想将其与其他生产用途区分开。在这种情况下,Citrix 通常建议您考虑为 Citrix Endpoint Management 创建一个新的 StoreFront 实例和服务站点。
注意事项包括:
- StoreFront 是否有任何不同的身份验证要求?StoreFront 服务站点要求使用 Active Directory 凭据进行登录。仅使用基于证书的身份验证的客户无法通过 Citrix Endpoint Management 使用相同的 NetScaler Gateway 枚举应用程序。
- 使用同一应用商店还是创建一个应用商店?
- 使用同一还是不同的 StoreFront 服务器?
以下各部分内容阐述了对 Citrix Workspace 和 Citrix 移动生产力应用程序使用单独的 StoreFront 和组合的 StoreFront 的优势和劣势。
将您的现有 StoreFront 实例与 Citrix Endpoint Management 集成
优点:
- 同一家应用商店:假设您使用相同的 NetScaler Gateway VIP 访问 HDX,则无需对 Citrix Endpoint Management 进行额外的 StoreFront 配置。假设您选择使用同一个商店并想让 Citrix Workspace 访问新的 NetScaler Gateway VIP。在这种情况下,可将合适的 NetScaler Gateway 配置添加到 StoreFront。
- 同一 StoreFront 服务器:使用现有的 StoreFront 安装和配置。
劣势:
- 同一家商店:为支持 Citrix Virtual Apps and Desktops 工作负载而对 StoreFront 进行的任何重新配置都可能对 Citrix Endpoint Management 产生不利影响。
- 相同的 StoreFront 服务器:在大型环境中,可以考虑使用 Citrix Endpoint Management 使用 Citrix Receiver 进行应用程序枚举和启动所产生的额外负载。
使用新的专用 StoreFront 实例与 Citrix Endpoint Management 集成
优点:
- 新商店:StoreFront 商店中适用于 Citrix Endpoint Management 的任何配置更改都不会影响现有虚拟应用程序和桌面工作负载。
- 新的 StoreFront 服务器:服务器配置更改不会影响 Virtual Apps and Desktops 工作流。此外,在 Citrix Endpoint Management 之外的负载使用 Citrix Receiver 进行应用程序枚举和启动不会影响可扩展性。
劣势:
- 新应用商店:StoreFront 应用商店配置。
- 新的 StoreFront 服务器:需要安装和配置新的 StoreFront 服务器。
有关详细信息,请 通过应用商店查看 Citrix Virtual Apps and Desktops。
ShareFile 和 Citrix Files
ShareFile 使您能够轻松安全地交换文档、通过电子邮件发送大型文档以及安全地处理向第三方的文档传输。用户可以通过 Citrix Files 应用程序从任何设备访问和同步自己的所有数据。借助 Citrix Files,用户可以与组织内部和外部的人安全地共享数据。
Citrix Endpoint Management 为 Citrix Files 提供:
- 移动生产力应用程序用户的单点登录身份验证。
- 基于 Active Directory 的用户帐户预配。
- 全面的访问控制策略。
移动设备用户将从完整的 Enterprise 帐户功能集受益。
或者,您可以将 Citrix Endpoint Management 配置为仅与存储区域连接器集成。通过存储区域连接器,Citrix Files 提供对以下对象的访问:
- 文档和文件夹
- 网络文件共享
- 在 SharePoint 站点中:站点集合和文档库。
连接的文件共享可以包括 Citrix Virtual Apps and Desktops 环境中使用的相同网络主驱动器。您可以使用 Citrix Endpoint Management 控制台配置与企业帐户或存储区域连接器的集成。有关详细信息,请参阅适用于 Citrix Endpoint Management 的 Citrix Files。
以下各节阐述了为 Citrix Files 制定设计决策时提出的问题。
与 Citrix Files 集成或仅与存储区域连接器集成
要提问的问题:
- 是否希望在 Citrix 托管的存储区域中存储数据?
- 是否要向用户提供文件共享和同步功能?
- 是否要让用户能够访问 Citrix Files Web 站点上的文件?或者,是否要从移动设备访问 Office 365 内容和个人云连接器?
设计决策:
- 如果对所有这些问题都回答“是”,则与 Enterprise 帐户集成。
- 仅与存储区域连接器的集成为 iOS 用户提供对现有本地部署存储库(例如 SharePoint 站点和网络文件共享)的安全移动访问权限。在此配置中,您不会设置 Citrix Files 子域、将用户预配到 Citrix Files 或托管 Citrix Files 数据。在 Citrix Endpoint Management 中使用存储区域连接器遵循安全限制,防止用户信息泄露到公司网络以外。
存储区域控制器服务器位置
要提问的问题:
- 是否需要本地存储或功能(例如存储区域连接器)?
- 如果使用 Citrix Files 的本地功能,存储区域控制器将位于网络中的什么位置?
设计决策:
- 确定将存储区域控制器服务器置于 Citrix Files 云中、本地单租户存储系统中还是支持的第三方云存储中 。
- 存储区域控制器需要某些 Internet 访问权限以与 Citrix Files 控制平面进行通信。可以采用多种方式进行连接,包括直接访问 或 NAT/PAT 配置。
存储区域连接器
要提问的问题:
- CIFS 共享路径是什么?
- SharePoint URL 是什么?
设计决策:
- 确定访问这些位置是否需要本地存储区域控制器。
- 由于存储区域连接器与文件存储库、CIFS共享和SharePoint等内部资源进行通信:Citrix建议存储区域控制器位于DMZ防火墙后面的内部网络中,由NetScaler Gateway作为前端。
SAML 与 Citrix Endpoint Management 集成
要提问的问题:
- Citrix Files 是否需要 Active Directory 身份验证?
- 首次使用适用于 Citrix Endpoint Management 的 Citrix Files 应用程序是否需要 SSO?
- 当前环境中是否存在标准 IdP?
- 使用 SAML 需要多少个域?
- Active Directory 用户有许多电子邮件别名吗?
- 是否有正在进行或计划不久将进行的任何 Active Directory 域迁移?
设计决策:
您可以选择使用 SAML 作为 Citrix Files 的身份验证机制。身份验证方式包括:
-
使用 Citrix Endpoint Management 服务器作为 SAML 的身份提供商 (IdP)
此选项可以提供卓越的用户体验、自动创建 Citrix Files 帐户以及启用移动应用程序 SSO 功能。
Citrix Endpoint Management 服务器针对此过程进行了增强:它不需要同步 Active Directory。
使用 Citrix Files 用户管理工具进行用户预配。
-
使用受支持的第三方供应商作为 SAML 的 IdP
如果您已有受支持的 IdP,且不需要移动应用程序 SSO 功能,此方式可能最适合您。此方式还需要使用 Citrix Files 用户管理工具进行帐户预配。
使用第三方 IdP 解决方案(例如 ADFS)还可以在 Windows 客户端上提供 SSO 功能。请务必在选择 Citrix Files SAML IdP 之前评估用例。
-
或者,为了满足这两个用例,请参阅 ShareFile 双重身份提供者单点登录配置指南。
移动应用程序
要提问的问题:
- 您计划使用哪种 Citrix Files 移动应用程序(公共、MDM、MDX)?
设计决策:
- 从 Apple App Store 和 Google Play 应用商店分发 Citrix 移动生产力应用程序。通过该公共应用商店发行版,您可以从 Citrix 下载页面获得打包的应用程序。
- 如果您的安全要求较低,并且不需要容器化,公共 Citrix Files 应用程序可能不适用。
- 有关详细信息,请参阅应用程序和适用于 Citrix Endpoint Management 的 Citrix Files。
安全性、策略和访问控制
要提问的问题:
- 对桌面、Web 和移动用户有哪些限制要求?
- 对用户要进行哪些标准访问控制设置?
- 计划使用什么文件保留策略?
设计决策:
- Citrix Files 允许您管理员工权限。有关信息,请参阅 员工权限。
- 某些 Citrix Files 设备安全设置和 MDX 策略控制相同的功能。在这种情况下,Citrix Endpoint Management 策略优先,其次是 Citrix Files 设备安全设置。示例:如果您在 Citrix Files 中禁用外部应用程序,但在 Citrix Endpoint Management 中启用这些应用程序,则外部应用程序会在 Citrix Files 中被禁用。您可以配置应用程序,使 Citrix Endpoint Management 不需要 PIN/密码,但是 Citrix Files 应用程序需要 PIN/密码。
标准存储区域与限制存储区域
要提问的问题:
- 是否需要受限存储区域?
设计决策:
- 标准存储区域专用于存储非敏感数据,员工可以在此区域中与非员工共享数据。此方式支持涉及在域外部共享数据的工作流。
- 受限存储区域保护敏感数据:只有通过身份验证的域用户可以访问此区域中存储的数据。
访问控制
企业可以管理网络内部和外部的移动设备。诸如 Citrix Endpoint Management 之类的企业移动管理解决方案非常适合为移动设备提供安全和控制,不受位置限制。但是,将其与网络访问控制 (NAC) 解决方案结合使用时,可以为您网络内部的设备增加 QoS 和更加细化的控制。这种组合使您能够通过您的 NAC 解决方案扩展 Citrix Endpoint Management 设备安全评估。然后,您的 NAC 解决方案可以使用 Citrix Endpoint Management 安全评估来促进和处理身份验证决策。
可以使用以下任意解决方案来强制实施 NAC 策略:
- NetScaler Gateway
- ForeScout
Citrix 不保证其他 NAC 解决方案的集成。
NAC 解决方案与 Citrix Endpoint Management 集成的优势包括:
- 提高了企业网络上所有端点的安全性和合规性,并增强了对其控制能力。
- NAC 解决方案可以:
- 在设备尝试连接到您的网络时立即对其进行检测。
- 查询 Citrix Endpoint Management 以获取设备属性。
- 请使用该设备信息来确定允许、阻止、限制还是重定向这些设备。这些决定取决于您选择执行的安全策略。
- NAC 解决方案为 IT 管理员提供非托管设备和不合规设备信息。
有关 Citrix Endpoint Management 支持的 NAC 合规过滤器的描述和配置概述,请参阅网络访问控制。