载入和资源设置

如果您是 Citrix、Citrix Cloud 或 Endpoint Management 的新用户,本文将指导您完成入门过程。了解开始时所需的工作流程和详细信息。

  • 我从哪里开始?
  • 配置顺序是否重要?本文遵循推荐的配置顺序。您可以按不同的顺序工作。Endpoint Management 控制台通过“预配后设置”等消息,让您知晓是否缺少必备项。

使用 Citrix Endpoint Management 控制台反馈 链接向我们提供有关 Endpoint Management 中新控制台体验的反馈。

面向 Citrix 新客户

对于新使用 Endpoint Management 的 Citrix Cloud 客户:

如果您已购买 Endpoint Management 订阅,请跳至“当“管理”按钮可用时”。

如果您已设置 Citrix Cloud 帐户,但尚未购买 Endpoint Management,请申请服务演示版。

  1. 使用 Citrix Cloud 管理员凭据登录到 Citrix Cloud 帐户。此时将显示 Citrix Cloud 主页。

    所有 Citrix Cloud 管理员帐户按如下所示进行创建:

    • Citrix Cloud 管理员默认为 Endpoint Management 管理员。
    • 创建的具有客户访问权限的 Citrix Cloud 管理员必须选择 Endpoint Management,才能管理 Endpoint Management。
  2. 在 Citrix Cloud 主页上,找到 Endpoint Management 服务磁贴,然后单击申请演示版。此时将显示演示版申请页面。

    Citrix Cloud 演示版申请页面

  3. 填写并提交表单。Endpoint Management 服务磁贴上的按钮更改为已申请演示版

如果在处理申请之前单击 Endpoint Management 服务磁贴,则会显示以下屏幕。我们建议您联系您的代表或合作伙伴。Citrix 销售代表可以提供有关服务的更多详细信息。

联系销售代表页面

等待试用过程中,请务必通过检查系统要求来为您的 Endpoint Management 部署做好准备。虽然 Citrix 托管和交付您的 Endpoint Management 解决方案,但是您必须处理某些通信和端口要求。

继续下一部分。

“管理”按钮可用时

此视频将指导您完成入门操作:

视频图标

当您的 Endpoint Management 服务可用时,Endpoint Management 服务磁贴上的按钮将更改为管理

Endpoint Management 的“管理”按钮

要开始设置,请执行以下操作:

  1. 使用 Citrix Cloud 管理员凭据登录您的 Citrix Cloud 帐户。
  2. 单击 Endpoint Management 磁贴中的管理
  3. 键入您的站点名称并选择一个区域。

Endpoint Management 站点详细信息页面

注意:

要请求 IP 白名单,请联系 Citrix 支持代表。

然后,Endpoint Management 控制台将打开并显示预配状态消息。

Endpoint Management 预配状态消息

  1. 欢迎屏幕中,单击开始设置
  2. 选择要管理的端点。可以随时添加或清除端点,以便在控制台中显示或隐藏这些端点。显示和隐藏端点不会影响您的配置。

Endpoint Management 添加端点页面

在预配完成时,Citrix 会向您发送电子邮件。

资源中心

资源中心图标 单击“资源中心”图标可在不离开控制台的情况下观看操作方法视频。

视频列表

在预配过程中

在我们预配 Endpoint Management 的同时,您可以开始配置。

配置资源位置

在为 Endpoint Management 配置轻型目录访问协议 (LDAP) 连接之前,您需要资源位置。资源位置包含向您的订阅者提供云服务所需的资源。每个域需要一个资源位置。有关帮助,请参阅 Citrix Cloud 文章资源位置

等待试用过程中,请务必通过检查系统要求来为您的 Endpoint Management 部署做好准备。虽然 Citrix 托管和交付您的 Endpoint Management 解决方案,但是仍需要某些通信和端口要求。该设置将 Endpoint Management 体系结构连接到企业服务,例如 Active Directory。必须提供的信息包括在“Endpoint Management Trial Sales Engineer engagement”(Endpoint Management 试用版销售工程师参与情况)下的 Onboarding Handbook(加入手册)中。

授权您访问试用版后,Endpoint Management 对应的按钮将更改为 Manage(管理)。单击管理以打开 Citrix Endpoint Management 控制台。

配置 LDAP

预配站点后,您可以继续进行配置。我们建议您从 LDAP 身份验证开始,以导入组、用户帐户和相关属性。作为此过程的一部分,您需要至少安装一个 Cloud Connector。

要了解快速概述,请观看此视频。

视频图标

要设置 LDAP,请执行以下操作:

  1. 设置页面上,滚动到 LDAP 磁贴,然后单击设置
  2. 按照屏幕上的指南下载并安装 Cloud Connector。在 Citrix Cloud 与您的资源之间启用通信需要 Cloud Connector。有关帮助,请参阅Citrix Cloud Connector

设置 LDAP 后,您可以继续进行身份验证配置或设置特定平台。

配置 Citrix Gateway

与 Endpoint Management 集成后,Citrix Gateway 可提供对您的内部网络和资源的远程设备访问。

Endpoint Management 在以下场景中需要 Citrix Gateway:

  • 您需要 Micro VPN 才能访问业务线应用的内部网络资源。这些应用程序通过 Citrix MDX 技术打包。Micro VPN 需要 Citrix Gateway 连接到内部后端基础结构。
  • 您计划使用 Endpoint Management 来管理应用程序(MAM 或 MDM+MAM)。仅管理设备 (MDM) 不需要 Citrix Gateway。
  • 您计划将 Endpoint Management 与 Microsoft Intune/EMS 相集成。(需要本地 Citrix Gateway。)

Citrix 提供基于云的和本地 Citrix Gateway 解决方案。但是,只有拥有 Citrix Gateway 服务授权的客户才能配置基于云的服务。

要了解快速概述,请观看此视频。

视频图标

重要:

配置 Citrix Gateway 解决方案后,切换到其他解决方案需要重新注册设备。如果您已使用本地 Citrix Gateway 并希望切换到 Citrix Gateway 服务,请与 Citrix 销售代表联系。有关必备条件,请参阅本文中的使用 Citrix Gateway 服务

下表总结了基于云的和本地 Citrix Gateway 解决方案支持的功能。

支持的功能 Citrix Gateway 服务 Citrix Gateway 本地
Secure Mail (STA)* yes yes
通道 - Web SSO (Web 单点登录) yes yes
完整 VPN yes
PerApp VPN yes
移动单点登录(访问控制) yes
高可用性 yes yes**
多 POP 部署 yes 是***
代理支持 yes yes
拆分通道 yes
拆分 DNS yes

* Citrix Cloud Secure Ticket Authority (STA) 服务配置

** 本地配置

*** 全局服务器负载平衡配置

Citrix Gateway 服务用例(预览版)

Citrix Gateway 服务现在提供预览版。有关预览版使用期间的支持,请转到 CGS 和移动 SSO 技术预览版反馈

在以下情况下,将基于云的 Citrix Gateway 服务与 Endpoint Management 结合使用:

  • 您希望使用 Citrix Cloud 提供的统一身份验证体验。Citrix Gateway 服务使用 Citrix 身份提供程序来管理您的 Citrix Cloud 帐户中的所有用户的身份信息。
  • 您计划使用 Citrix 移动生产力应用程序,例如 Citrix Secure Mail 或 Secure Web。Citrix Gateway 提供 Secure Hub 在移动设备上启动的按需应用程序 VPN 连接,以访问公司网络站点或资源。

无客户端 VPN 的这种变体也称为“通道 - Web 单点登录(SSO)”。连接(例如通过通道传输到内部网络的 Web 流量)使用“通道 - Web SSO”。我们建议您对需要单点登录的连接使用“通道 - Web SSO”。

Citrix Gateway 服务的工作原理

MDM 和 MAM 控制流量直接传输到 Citrix Endpoint Management,而无需通过 Citrix Gateway 服务。发送到 Citrix Gateway 的所有流量都会定向到本地网关连接器。

在 Endpoint Management 中的设备注册期间不使用 Citrix Gateway 服务。面向 Citrix 移动生产力应用程序:

  • Secure Hub 使用 MAM 控制流量的证书。
  • Secure Mail 使用 Citrix Cloud Secure Ticket Authority (STA) 服务。

    注意:

    Citrix Gateway 服务使用主要资源位置。

  • Citrix Gateway 提供按需应用程序 VPN 连接。Secure Hub 在移动设备上启动该连接以访问公司网络站点或资源。

Citrix Gateway 服务体系结构概述

在 Endpoint Management 中的设备注册期间不使用 Citrix Gateway 服务。注册后,MDM 控制流量直接传输到 Citrix Endpoint Management,而无需通过 Citrix Gateway 服务。MAM 控制流量通过 Citrix Gateway 服务传输。发送到 Citrix Gateway 的所有流量都会定向到本地网关连接器。

有关通信流的更详细的示意图,请参阅支持 Citrix Endpoint Management。有关网关连接器端口要求,请参阅网关连接器

Citrix Gateway 服务与 Endpoint Management 的集成支持以下身份验证类型:

  • 基本、摘要式、NTLM
  • Kerberos 约束委派 (KCD) 单点登录
  • 基于表单的单点登录
  • SAML 单点登录

要使用 Citrix Gateway 服务,请执行以下操作:

必备项:

  • 启用了 Citrix Workspace 体验

    • 启用 Citrix Workspace 后,用户注册将启动 Workspace 应用程序。当 Secure Hub 检测到 Workspace 授权时,Secure Hub 将完成注册。然后,Secure Hub 将打开 Citrix Workspace,用户可以在其中访问其应用程序和其他资源。
  • Citrix Gateway 服务订阅

    • 如果您已使用本地 Citrix Gateway 并希望切换到 Citrix Gateway 服务,请与 Citrix 销售代表联系。从本地 Citrix Gateway 切换到 Citrix Gateway 服务需要重新注册设备。
    • 新 Endpoint Management 客户:在 Endpoint Management 加入期间选择 Citrix Gateway 服务。
  • 网关连接器在本地安装在资源位置中

    • Endpoint Management 仅为针对 Secure Mail 的 STA 票证使用网关连接器的资源位置。Citrix Gateway 将 STA 流量发送到资源位置中的网关连接器。
    • 可以在任何资源位置中安装一个或多个网关连接器。Endpoint Management 不支持安装在多个资源位置的网关连接器。
    • 可以在与 Active Directory 相同或不同的资源位置中安装网关连接器。Active Directory 的唯一作用是使用 Citrix Cloud 身份验证对 Citrix Gateway 服务的用户进行身份验证。Citrix Gateway 服务为经过身份验证的用户创建与网关连接器的会话连接。您可以有多个 Active Directory。
    • 如果连接器在 Citrix Endpoint Management 载入期间不可用,则可以在载入后进行安装。

    有关详细信息,请参阅Citrix Gateway 连接器系统要求

Citrix 建议新 Endpoint Management 客户配置 Citrix Gateway 服务,而非配置本地 Citrix Gateway:

要设置 Citrix Gateway 服务,请执行以下操作:

  1. 设置页面上,滚动到 Citrix Gateway 磁贴,然后单击设置
  2. 选择 Citrix Gateway 服务(云) 作为类型。只有拥有 Citrix Gateway 服务授权的客户才能查看此设置。
  3. 按照屏幕上的指导进行操作。有关信息,请参阅 将本地 Citrix Gateway 配置为与 Endpoint Management 结合使用

本地 Citrix Gateway 用例

在以下情况下,将一个或多个本地 Citrix Gateway 设备与 Endpoint Management 结合使用:

  • 您需要 PerApp VPN 功能。
  • 您需要完整通道、拆分通道、反向拆分通道或拆分 DNS。我们建议对通过客户端证书或端到端 SSL 与内部网络中的资源建立的连接使用完整 VPN 通道。
  • 您使用 Citrix Endpoint Management 与 Microsoft Intune/EMS 的集成。

使用本地 Citrix Gateway 涉及大量配置和维护工作。在 Endpoint Management 控制台中配置 LDAP 和 Citrix Gateway 后,可以从该控制台中导出脚本。然后,您可以在 Citrix Gateway 上运行该脚本。

  1. 设置页面上,滚动到 Citrix Gateway 磁贴,然后单击开始设置
  2. 选择 Citrix Gateway (本地) 作为类型。
  3. 按照屏幕上的指导进行操作。有关信息,请参阅 将本地 Citrix Gateway 配置为与 Endpoint Management 结合使用

配置通知服务器

要发送通知,必须配置网关和通知服务器。通知服务器可确保最终用户与管理员之间通信的连接性和可能性。要在 Endpoint Management 中设置通知服务器,请参阅通知

为 Apple 设备配置 Apple 推送通知服务 (APNs) 证书

Endpoint Management 需要 Apple 提供的 Apple 推送通知服务 (APNs) 证书来注册和管理 Apple 设备。如果您打算使用适用于 Apple 的 Secure Mail 的推送通知,Endpoint Management 还需要 APNs 证书。有关 Endpoint Management 和 APNs 的信息,请参阅Secure Mail for iOS 的推送通知

要从 Apple 获取证书,需要 Apple ID 和开发者帐户。有关详细信息,请参阅 Apple Developer Program Web 站点。

要了解快速概述,请观看此视频。

视频图标

要使用 Citrix 证书签名请求配置 APN,请执行以下操作:

  1. 设置页面上,展开 Apple 磁贴。
  2. APNs 证书磁贴上,单击设置,然后按照屏幕上的指导进行操作。

“为 APNs 配置 Citrix”屏幕

有关详细信息,请参阅证书和身份验证

配置 Android Enterprise

Endpoint Management 在您创建交付组并通过 Cloud 库向交付组分配用户后完全配置。自此之后,Endpoint Management 管理将在 Citrix Cloud 中进行。组合后的界面简化了在 Citrix Cloud 与 Endpoint Management 之间切换的过程。

可以使 Google Play 或 G Suite 为 Endpoint Management 设置 Android Enterprise。

  1. 如果贵组织不使用 G Suite: 您可以使用托管 Google Play 将 Citrix 注册为 EMM 提供商。如果使用托管 Google Play,您将为设备和最终用户预配托管 Google Play 帐户。托管 Google Play 帐户提供对托管 Google play 的访问,以允许用户安装和使用您提供的工作应用程序。如果贵组织使用第三方身份服务,您可以将托管 Google Play 帐户与您的现有身份帐户链接。

    由于这种类型的企业未绑定到域,因此,您可以为单个组织创建多个企业。例如,组织中的每个部门或区域都可以注册为不同的企业。通过该设置,您可以使用不同的企业来管理单独的设备和应用程序集合。

  2. 如果贵组织尚未使用 G Suite 向用户提供对 Google Apps 的访问权限: 您可以使用 G Suite 将 Citrix 注册为 EMM。如果贵组织使用 G Suite,它将具有现有企业 ID 和用户的现有 Google 帐户。要将 Endpoint Management 与 G Suite 配合使用,请使用 Google Directory API 与 LDAP 目录同步并从 Google 检索 Google 帐户信息。

    这种类型的企业与现有域相关联。因此,每个域只能创建一个企业。要在 Endpoint Management 中注册设备,每个用户都必须使用其现有的 Google 帐户手动登录。该帐户允许用户通过 G Suite 计划访问托管 Google Play 和其他 Google 服务。

要了解快速概述,请观看此视频。

视频图标

要开始,请执行以下操作:

  1. 设置页面上,展开 Android 磁贴。
  2. Android Enterprise 磁贴上,单击设置
  3. 根据您为用户提供 Google Play 应用程序访问权限的方法,选择 Google PlayG Suite。 如果您之前使用 Google Play 配置了 Android Enterprise 平台,UI 会将您带到 Google Play 应用商店以重新注册。单击重新注册按钮,返回到 CEM 控制台,然后刷新页面。
  4. 然后按照屏幕上的指导进行操作。

“为 Android Enterprise 选择 Google Play 或 G Suite”屏幕

请参阅:

  1. 托管 Google Play 或 G Suite
  2. 创建 Android Enterprise 帐户

配置 Firebase Cloud Messaging

Citrix 建议使用 Firebase Cloud Messaging (FCM) 来控制将 Android 设备连接到 Endpoint Management 的方式和时间。Endpoint Management 将连接通知发送到针对 FCM 启用的 Android 设备。任何安全操作或部署命令都将触发推送通知,以提示用户重新连接到 Endpoint Management。请参阅 Firebase Cloud Messaging

与 Microsoft EMS/Intune 集成

Endpoint Management 与 Microsoft 企业移动性 + 安全性 (EMS)/Intune 的集成在 Microsoft Managed Browser 等 Microsoft Intune 感知应用程序中增加了 Endpoint Management Micro VPN 的价值。

Endpoint Management 与 EMS/Intune 的集成还允许企业通过 Intune 和 Citrix 打包自己的业务线应用。应用程序打包在 Intune 移动应用程序管理 (MAM) 容器内提供 Micro VPN 功能。借助 Endpoint Management Micro VPN,您的应用程序能够访问本地资源。可以在一个容器中管理和交付 Office 365 应用程序、业务线应用和 Citrix Secure Mail。单个容器可提供极致的安全性和生产力。

  • Citrix Cloud 管理员默认为 Endpoint Management 管理员。
  • 创建的具有客户访问权限的 Citrix Cloud 管理员必须选择 Endpoint Management,才能管理 Endpoint Management。

在 Endpoint Management 控制台中,只能更改用户的角色和成员关系。要随时更改角色,请从 Citrix Cloud 控制板访问 Endpoint Management 控制台。转到管理选项卡并单击用户。选择特定用户,然后单击编辑以更改角色。有关详细信息,请参阅使用 RBAC 配置角色

要与 Microsoft EMS/Intune 集成,请参阅Citrix Endpoint Management 与 Microsoft Intune/EMS 的集成

在 Citrix Cloud 中完成配置后,返回到 Endpoint Management 控制台,如下所示:转到 Citrix Cloud 主页,然后单击 Endpoint Management 磁贴上的管理。然后,您可以验证是否已使用 Azure Active Directory 帐户登录 Endpoint Management。

  1. 设置页面上,滚动到 与 Microsoft EMS/Intune 集成磁贴。
  2. 单击查看更多。UI 将指示您是否已成功启用连接。

配置 Microsoft EMS/Intune

在 Citrix Cloud 控制台中,也可以更改用户名或密码,以及删除或编辑本地用户。请参阅 身份识别和访问管理

将现有 Citrix Content Collaboration 帐户链接到 Citrix Cloud

如果您有在注册 Citrix Cloud 之前已存在的 Citrix Content Collaboration 帐户,则必须将该帐户链接到 Citrix Cloud。要链接帐户,您的电子邮件地址必须是 Citrix Content Collaboration 帐户的管理员。当您准备好继续操作时,请访问 https://onboarding.cloud.com

  1. 登录后,将显示如下所示的屏幕。

    Cloud 配置屏幕

  2. Citrix Content Collaboration 磁贴中,选择链接帐户

    “链接 Content Collaboration 帐户”菜单

  3. 确认 Citrix Content Collaboration 帐户后,将显示以下页面:

    添加 Content Collaboration 帐户屏幕

  4. 单击 Link Account(链接帐户)选项卡完成此过程。可以立即从 Citrix Cloud 内部管理您的 Citrix Content Collaboration 帐户。

后续步骤

为了确保正确设置所有内容,您可以使用 Endpoint Management Analyzer。在“故障排除和支持”页面中,单击 Endpoint Management Analyzer 以访问此工具。有关使用 Endpoint Management Analyzer 的信息,请参阅 Endpoint Management Analyzer

完成本文中介绍的入门和资源配置后,继续在 Endpoint Management 控制台中进行配置。有关后续步骤的信息,请参阅准备注册设备并交付资源

已知问题

  • 配置 LDAP 后,将禁用对嵌套组的支持。 [CXM-73722]