Citrix Endpoint Management 与微软 Intun/EMS 和 Android Enterprise 集成的参考体系结构

Citrix Endpoint Management 概述

Citrix Endpoint Management 通过全面、统一的端点管理解决方案简化了设备和应用程序管它还允许随时随地、任意设备访问人们提高工作效率所需的一切内容,包括指导和自动化工作的智能功能。Citrix Virtual Apps and Desktops 还有云管理选项。Citrix Endpoint Management 在 Citrix Cloud 中作为服务提供,该服务无需客户管理基础架构,使他们能够专注于设备策略和应用程序管理。

Citrix Endpoint Management 具有移动设备管理 (MDM) 和移动应用程序管理 (MAM) 功能。Endpoint Management 的 MDM 功能允许管理员部署设备策略和应用程序、检索资产清单以及在设备上执行操作,例如擦除设备。Endpoint Management 的 MAM 功能允许保护自带移动设备上的应用程序和数据、交付移动企业应用、锁定应用程序和擦除应用程序数据。

请参阅 Citrix 文档,其中说明了 Endpoint Management 部署(以前称为 XenMobile)的参考体系结构。部署方案包括仅限 MDM、仅限 MAM 和 MDM+MAM 作为核心体系结构。

请参阅 产品文档,其中说明了 Endpoint Management 组件和具有通信流的综合参考体系结构图。它还涵盖了核心参考体系结构、与 Citrix Virtual Apps and Desktops 的集成、用于 Exchange ActiveSync 的 Endpoint Management 连接器以及用于 Exchange ActiveSync 的 Citrix Gateway 连接器。

微软 EMS 概述

微软 EMS 代表微软企业移动性 + 安全性。它包括以下内容:

  • Azure Active Directory 高级版 — 微软身份中心,可从任何地方启用所有资源的单点登录,并包括条件访问和多因素身份验证等安全方面。

  • Microsoft Intune — 是微软移动设备管理和移动应用程序管理解决方案,为移动设备上的用户、数据和应用程序提供安全控制。微软计划将系统中心配置管理器 (SCCM) 和 Microsoft Intune 移动管理服务整合到一个名为 “微软端点管理器” 的新品牌中。“

  • Azure 权限管理 — 提供文档级安全性,用于管理和强制访问受保护数据的权限。

  • 微软高级威胁分析 — 利用大数据提供实时安全监控来识别威胁并通知风险

Microsoft EMS 通过几个 Microsoft 产品获得许可,这些产品具有不同的功能集,因企业需求而异。EMS 包括 Intune 许可证;因此,每个 EMS 客户都可以使用 Intune MDM 和/或 Intune 应用程序保护功能。

Citrix Endpoint Management 与 Microsoft Intune/EMS 的集成

两种产品之间集成的目的是将应用程序安全地交付到任何设备。与 Microsoft Intun/EMS 集成是 Citrix Endpoint Management 服务的一项功能,该服务通过为 Intune 和启用 EMS 的应用程序(例如 Office365 和其他业务线应用程序)提供对本地资源的安全访问,从而为 Microsoft EMS + Intune 增加了价值。它还为 Intune 和 Citrix Endpoint Management 客户提供了安全和生产力方面的优势。

企业组织的移动应用程序部署包含以下内容:

  • Office 365 应用程序
  • 其他原生移动应用
  • 本地托管的自定义应用
  • Web 和 SaaS 应用程序
  • 本地和云托管的虚拟化应用

如今,组织为自带设备 (BYOD) 或公司拥有设备 (COD) 部署企业移动管理和 Office365 应用程序,其中包括 Microsoft EMS/InTune。最受欢迎的 Office365 应用程序是 Word、Excel、Outlook 和 PowerPoint。还有其他 Office 365 应用程序,例如微软 SharePoint 和微软动态 365。最终用户需要在其设备上访问这些生产力应用程序。企业组织需要监控这些应用程序以及应用如何以最佳的用户体验处理用户设备上的数据。

作为 Citrix 安全数字工作区的一部分,Endpoint Management 允许 IT 人员配置 Micro-VPN 连接并将其应用到移动应用程序。设备上的每个托管移动应用程序都有自己的私有 Micro-VPN,应用程序数据可以从终端安全地流动到防火墙后面的公司资源位置。Citrix Endpoint Management 还提供了在 Office 365 应用程序和组织应用程序之间交换数据和文档等功能。在 Citrix Gateway 的帮助下,Citrix Endpoint Management 可以提供每个应用程序 Micro-VPN 来保护动态数据的安全。

通过此集成,Citrix Endpoint Management (CEM) 可以通过 Microsoft Intune 设备合规性服务将设备合规性状态推送到 Azure Active Directory 高级版。CEM 通过 Microsoft Intune 设备合规性服务和 Azure Active Directory 条件访问确保满足访问公司资源的适当条件。

概念体系结构

Citrix-Endpoint-Management-Image-1

CEM 与 EMS/INTune 集成的好处

Citrix Endpoint Management 允许 IT 人员保护企业数据和应用程序,并将其与端点设备上的个人应用程序和数据隔Citrix Endpoint Management 附带应用商店,该应用商店是专为企业设计的安全私有应用商店。在此应用商店中,IT 部门可以交付企业应用和公共应用程序。

CEM 将 Citrix Endpoint micro VPN 的价值带给 Microsoft Intune 感知的应用程序,例如微软托管浏览器。它还允许企业将业务线应用程序与 Intune 和 Citrix 打包在 Intune 移动应用程序管理 (MAM) 容器中,以提供 Micro-VPN 功能。Citrix Endpoint micro VPN 使移动应用程序能够访问本地资源。

IT 人员可以在一个容器中管理和交付 Office 365 应用程序、业务线应用程序和 Citrix Secure Mail,以实现最高的安全性和用户工作效率。Micro-VPN 通过与 CEM/XenMobile SDK 集成的应用程序将市场领先的 Citrix Gateway 的远程访问功能带到移动设备。它是 Secure Hub 在移动设备上启动的按需应用程序 VPN 连接,用于访问公司网络站点或资源。

Citrix-Endpoint-Management-Image-2

CEM 与 Intune 集成的示例用例

借助 CEM Micro-VPN 功能,用户可以使用 Intune 浏览器访问内部资源,该浏览器现已嵌入了 CEM/XenMobile Micro-VPN SDK,而无需设备级 VPN 或完全 MDM 注册。

借助 CEM Micro-VPN 功能,IT 管理员可以访问本地托管的业务线应用程序服务器,而无需设置设备级 VPN 或完全 MDM 注册。

部署模式

Citrix Endpoint Management 和微软 EMS 可以通过各种方式协同工作。我们在此侧重于与 Intune 部署模型或场景的集成。以下部分列出了使用 Endpoint Management 和 Intune 的可能移动管理方案。选择正确的部署模式取决于多种因素,例如移动性要求或当前的许可投资。每种部署模型都有自己的优点。我们的目标是突出提供 Citrix 和 Microsoft 必须共同提供的 “最佳” 功能的解决方案。

让我们回顾三个关键的集成场景:

Citrix MDM + Intune MAM + mVPN SDK

推荐的部署模型,它将所有关键优势整合到一个解决方案中。由于访问 Citrix 控制台中的 Microsoft Graph API,它提供了出色的管理员体验。所有 Citrix 应用程序都是 Intune Enlighing,因此它允许使用 DLP 在单个容器中安全地共享数据。它还包括所有 Micro-VPN 增值,并提供了出色的用户体验。此模型将全面的 Citrix 统一 Endpoint Management 与 Intune MAM 适用于 Office 365 应用程序和 Secure Mail 应用。

Citrix-Endpoint-Management-Image-3

Intune MDM + Intune MAM + mVPN SDK

对于使用 Intune 作为 MDM(已注册的设备)的现有 Microsoft EMS 客户而言,此部署模型可能是一种常见的场景。使用 Micro VPN 的 Citrix Endpoint Management 在多个领域提供了增值,包括开明的 ShareFile、Secure Mail、带 XenMobile SDK 的微软托管 Intune 浏览器、Citrix Gateway NAC 以及 CEM 与 Intune EMS 向导集成以促进 Intune 配置。此外,不需要重新注册。因此,它立即增加了价值。

Citrix-Endpoint-Management-Image-4

Intune MAM 仅限 + mVPN SDK

此部署模式为 Intune 客户提供了极佳的价值,他们发现 MDM 注册具有侵扰性,并可能使用第三方 VPN 解决方案访问防火墙后面的公司资源但是,第三方 VPN 解决方案的缺点是,它们增加了维护,可能不一致,需要昂贵的基础设施、许可和运营成本。此外,除了每应用 VPN 解决方案之外,设备 VPN 解决方案通常对移动设备的效率不高,并导致电池耗尽。另一方面,Citrix 专有 Micro-VPN 是无客户端的,Citrix Gateway 配置很好地驱动了它。现在,使用 Microsoft 托管 Intune 浏览器(带或不带 Intune MDM)的 Intune 客户可以使用 Citrix MicroVPN 访问内联网资源。

Citrix-Endpoint-Management-Image-5

无需设备注册或设备级别 VPN。Citrix 是唯一为 Intune 应用程序或 Intune 打包应用程序提供 MicroVPN 的供应商,而无需 MDM 注册或使用旧设备 VPN 客户端。

Citrix-Endpoint-Management-Image-6

此部署模型适用于希望将双 MAM 容器用于 Intune 和 Citrix 封装应用程序的客户。MDM 和 MAM 使用 Micro VPN 在多个领域提供了增值,包括 Content Collaboration、Secure Mail、使用 XenMobile SDK 的微软托管 Intune 浏览器、Citrix Gateway NAC。CEM 与 Intune EMS 向导的集成可促进 Intune 配置,并且 Secure Mail 默认使用 Citrix MAM 容器非常重要。

集成入门

有关准备集成的系统要求和先决条件,请参阅Citrix 文档。另外,请参阅此指南,它将指导你了解如何设置 Citrix Endpoint Management 与 Microsoft Intun/EMS 的集成,以便你可以将应用程序从 Azure 安全地交付到任何设备。

Intune 集成摘要

Citrix 和 Microsoft 有多项联合创新,提供了灵活的方案来安全交付应用程序和数据。在这里选择正确的场景是成功的关键,Citrix 的共同目标是通过提供 Citrix 和 Microsoft 可以共同提供的 “最佳” 产品,提供满足组织要求的解决方案。

CEM 与 EMS 集成使用每应用 VPN 选项提供了更高级别的安全性。它还为动态数据和静态数据提供了安全性。它可以为移动设备管理和移动应用程序管理进行精细的策略设置。将所有 Office 365 应用程序与 Citrix Secure Mail 无缝集成。它是一个单一的管理窗格,用于使用各种受支持的设备来管理不同的设备和平台,并为所有企业应用程序提供企业应用商店。

带 Citrix Endpoint Management 的 Android Enterprise

Android Enterprise 概述

谷歌宣布推出 2019 年 Android 版本的设备管理员弃用。使用设备管理员权限进行设备管理被认为是 Android 设备的传统管理方法。Android Enterprise 是一个现代化的管理平台。

Android Enterprise 是一套由 Google 提供的作为 Android 设备的企业管理解决方案工具和服务。该计划为开发人员提供了 API 和其他工具,以将对 Android 的支持集成到其企业移动管理 (EMM) 解决方案(如 Citrix Endpoint Management)中。

借助 Android Enterprise:

  • 客户可以使用 Endpoint Management 来管理公司拥有的 Android 设备和自带 (BYO) Android 设备。
  • 客户可以管理整个设备或设备上的单独工作配置文件。单独的工作配置文件将企业帐户、应用程序和数据与个人帐户、应用程序和数据隔离开来。
  • 客户还可以管理专用于一次性使用的设备,例如库存管理。

当 Endpoint Management 与托管 Google Play 集成以在组织中使用 Android Enterprise 时称为企业版。谷歌定义,企业是组织和移动管理 (EMM) 解决方案之间的绑定。组织通过 EMM 解决方案管理的所有用户和设备都属于其企业。当 Endpoint Management 与 Android Enterprise 集成时,完整的解决方案包含以下组件:

  • Citrix Endpoint Management:Citrix Endpoint Management 是用于安全数字工作空间的统一端点管理。Endpoint Management 为 IT 管理员提供了为其组织管理设备和应用程序的方法。
  • Citrix Secure Hub:Citrix DPC 应用程序。Secure Hub 是 Endpoint Management 的启动板。Secure Hub 在设备上强制执行策略。
  • 托管 Google Play:与 Citrix Endpoint Management 及其 API 集成的谷歌企业应用平台可设置应用政策并分发应用。

借助 Citrix Endpoint Management 的 Android Enterprise 的优势

无论是公司还是员工拥有,Citrix Endpoint Management 和 Android Enterprise 都能提供组织保护信息所需的控制,同时提高用户工作效率。Citrix Endpoint Management 支持每种 Android Enterprise 管理模式,包括 BYOD(Android 工作配置文件)和公司配置文件,包括 COPE(公司拥有/个人启用)、COBO(仅限公司拥有/企业)、COSU(公司拥有、单机使用)使用案例。对于 BYOD 用户,由 Citrix Endpoint Management 用户管理的 Android Enterprise 可以让 IT 部门从数据安全性和合规性中获益,让 IT 部门高枕无忧和个人

当由 Citrix Endpoint Management 管理管理时,Android Enterprise 可以灵活地保护公司信息。应用多层 Android 安全保护,包括强化的安全性和 Google Play 防护,并扩展 Citrix Endpoint Management 的高级设备和应用程序管理控制。

为了加快入门和注册速度,Citrix Endpoint Management 支持 Android Enterprise 提供的不同配置选项,包括 EMM 令牌、零接触注册、NFC 和二维码。除了由 Citrix Endpoint Management 的 Android Enterprise 之外,用户还可以通过托管的 Google Play 无缝访问其 Android 商务应用程序。与 Citrix Workspace 结合使用时,用户还可以访问所有其他应用程序,包括虚拟、SaaS 和 Web。用户还可以使用 Citrix 移动生产力应用程序完成更多工作,包括带集成工作流的 Citrix Secure Mail 和 Citrix 内容

设备管理弃用的影响

谷歌宣布弃用以下设备管理 API。将 Secure Hub 升级到以 Android Q API 级别为目标后,这些 API 将无法在运行 Android Q 的设备上运行:

  • 禁用相机头: 控制对设备相机的访问。
  • Keyguard 功能:与设备锁相关的控制功能,例如生物识别和模式。
  • 密码过期:强制用户在可配置的时间后更改密码。
  • 限制密码: 设置限制性密码要求。
  • 弃用的 API 不会对在 Citrix 仅 MAM 模式下注册的设备产生任何影响。

随着企业界对 Android 设备的需求增加以及使用案例的增长,谷歌推出了具有现代化管理模式的 Android Enterprise,包括工作配置文件、完全托管和专用设备。有关使用案例和配置文件的更多详细信息,请参阅谷歌开发者文档

使用 Citrix Endpoint Management 的 Android Enterprise 参考体系结构

Citrix-Endpoint-Management-Image-7

要通过 EMM 控制台注册新客户,您需要创建企业。在 Android Enterprise 部署中,企业可以控制用户设备的各个方面,例如将与工作相关的信息与用户的个人数据隔离开来,为环境预配置批准的应用程序,或禁用设备功能(例如,摄像头)。请参阅 谷歌文档

在 CEM 服务器上,您将 Citrix 绑定为适用于 Android Enterprise 的 EMM 合作伙伴(三步过程)。CEM 创建了企业服务帐号,用于通过 Google Play API 管理数据。Google Play 基础设施提供的服务包括托管的私有企业应用交付商店。

集成设置后,Citrix Endpoint Management 和托管的 Google Play 无缝协作,以保护、配置和管理组织的 Android 设备以及所需的公共或公司应用程序。

管理员使用 EMM 控制台执行一系列任务,包括配置设备设置和应用程序。DPC Secure Hub 在安装工作配置文件的设备上创建和管理工作配置文件。工作配置文件加密与工作相关的信息,并将其与用户的个人应用程序和数据分开。在创建工作配置文件之前,DPC 还可以配置托管的 Google Play 帐号以便在设备上使用。

在适用于工作配置文件或完全托管设备的 Android Enterprise 中,用户通过托管的 Google Play 商店接收其应用。EMM 管理员批准使用公共应用,还可以在托管 Google Play 商店中添加私人应用。与 Citrix Endpoint Management 的 OrgiD 绑定控制在该组织注册的设备的私有应用程序的可见性,这些应用程序通过托管 Google Play 商店获得批准。

Secure Hub 应用管理员设置的设备策略,以满足组织的要求和限制。例如,安全策略可能要求在尝试一定次数的密码失败后锁定设备。DPC 查询 EMM 控制台以获取当前策略,然后应用策略

置备方法:

完全托管的设备配置方法

QR 码 — Android 9 及更高版本的设备内置了 QR 码阅读器。对于这种方法,用户只需打开设备,点击欢迎屏幕六次,然后扫描二维码,二维码即可通过连接到 Google Play 访问管理配置文件,自动启动注册预配过程。

Android 零接触 — 使用 Android 零接触注册,IT 管理员可以创建、编辑和删除 UEM 配置。这样,可以在注册已完成的情况下发货设备或设备组。用户需要做的就是打开设备,连接到 Wi-Fi,然后输入密码。

EMM 令牌 — 使用此方法,用户的 IT 部门为他们提供令牌。对于 Citrix Endpoint Management,令牌是 afw #xenmobile。当提示用户输入 “电子邮件或电话” 时,必须在新设备打开后输入此令牌。输入正确的 EMM 令牌会下载 Citrix Endpoint Management 设备策略控制器应用程序,以便用户只需输入凭据即可进行设置。

NFC Bump — NFC 凹凸方法使用 “近场通信” 来配置设备。使用 NFC Bump 时,新设备必须靠近另一台设备(4 厘米)。批量注册公司发行的设备一直是 IT 人员头疼的主要问题。通过 NFC Bump 注册,IT 人员会注册主设备,携带 MDM 服务器详细信息,然后轻点该设备到其他未注册的设备即可启动自动注册过程。批量注册变得轻松!

BYOD 配置方法

除了上面的 “工作管理” 选项之外,BYOD 方法对于使用个人拥有设备的工作人员而言也很受欢迎。通过这种方法,IT 部门可以管理业务数据(Android 工作配置文件),将所有个人数据和应用程序保密。换句话说,IT 部门只能查看和控制工作应用程序,而没有其他任何东西。使用这种方法,没有设备管理,只有移动应用程序管理 (MAM)。

从设备管理迁移到 Android Enterprise

网站 详情 默认 注册资料 评论/建议
新 站点 Android Enterprise — 完全管理/工作配置文件 任何新站点都默认使 Android Enterprise (AE)。建议:如果尚未设置 AE 并在 AE 中注册设备,则设备管理员是旧模式
Android Enterprise 版 (AE) 设置的现有站点 Android Enterprise — 完全管理/工作配置文件 任何配置了 AE 的站点都默认为 Android Enterprise。建议: a) 如果站点是 AE 且没有设备管理员注册-无需更改 b) 如果 站点已注册设备管理员模式 — 请确保更新这些设备的注册配置文件以指向旧版(设备管理员)
未使用 Android Enterprise 设置现有站点 旧版(设备管理员) 没有 Android Enterprise 设置的站点将默认为旧版(设备 管理员)。建议:设置 Android Enterprise 并规划迁移

Android Enterprise 支持完全托管和工作配置文件设备模式。Google 出版物 Android Enterprise 迁移蓝皮书详细解释了旧版设备管理与 Android Enterprise 的不同之处。我们建议您阅读谷歌的迁移方法。另外,请参阅Android Enterprise 解决方案目录以获取符合提高企业要求的 Android 推荐设备的列表。如需了解更多信息,请访问 思杰的 Android Enterprise 产品页面

来源

此参考体系结构的目标是帮助您规划自己的实施。为了简化这项工作,我们希望为您提供源图,您可以在您自己的详细设计和实施指南中进行调整:源图

引用

面向本地部署的参考体系结构

CEM 的核心参考体系结构

EMS/Intune 集成的CEM 产品文档

开始使用 Intune 集成

Android Enterprise 谷歌指南

谷歌关于构建 DPC 的文档

Android Enterprise 迁移蓝皮书

Android Enterprise 解决方案目录

思杰的 Android Enterprise 产品文档