设计方法用户层

设计方法的顶层是每个唯一用户组定义的用户层。

用户层恰当地设置每个用户组环境的整体方向。此层包含业务优先级和用户组要求的评估标准,以便为端点和 Citrix Receiver 定义有效的策略。这些设计决策会影响每个用户组的灵活性和功能。

端点选择

有多种端点设备可供选择,所有端点设备都具有不同的功能,包括:

  • 基于平板电脑
  • 便携式计算机
  • 桌面 PC
  • 瘦客户端
  • 智能手机

用户的主端点设备必须符合总体业务目标以及每个用户的角色和相关要求。在许多情况下,多个端点可能是合适的,每个端点都提供不同的功能。

决策:端点所有权

在许多组织中,端点设备由公司拥有和管理。然而,越来越多的组织现在都引入自带设备 (BYOD) 计划,以提高员工满意度、降低成本并简化设备管理。即使 BYOD 是业务优先级,但这并不意味着每个用户都应被允许在企业环境中使用个人设备。

某些用户要求(在用户细分过程中确定) 可以极大地影响个人设备的适用性:

  • 安全性 - 需要高级安全性的用户可能无法将个人设备带入安全环境,以防数据被盗的风险。
  • 移动性 - 在断开连接模式下操作的用户可能无法使用个人设备,因为与此类型的要求相关联的本地 VM 桌面 VDI 模型可能具有特定的硬件要求或特殊的维护要求。
  • 桌面丢失严重程度 - 桌面丢失严重程度等级较高的用户在出现故障时可能需要冗余端点。这将要求用户在其个人设备出现故障时采用替代方式进行连接,这可能会使这些用户无法使用 BYOD 计划。
  • VDI 模型 - 不应建议使用本地 VDI 模型(例如本地流桌面、本地 VM 桌面或远程 PC 访问)的用户组使用个人设备。这些 VDI 模型通常需要特定的硬件配置或安装,以限制设备选择。

下图提供了何时可以使用用户拥有的设备的指导:

BYOD 示意图

决策:端点生命周期

组织可以选择重新调整设备的用途,以延长刷新周期或为合同制工作人员提供溢出容量。端点现在提供更多功能,从而允许其具有更长的使用寿命。在许多情况下,这些硬件功能远远超出了典型用户的需求。与虚拟化应用程序和桌面工作负载的功能结合使用时,这将为管理员提供新的选项,例如重新调整现有工作站的用途。这些选项远远超出了简单的三年 PC 刷新周期。但是,重新调整工作站的用途或重新分配工作站的好处应针对以下注意事项加以权衡。

  • 最低标准 - 虽然重新调整现有工作站的用途的成本因素可能令人信服,但应达到某些最低标准,以保证良好的用户体验。至少建议重新调整用途的工作站配备 1 GHz 处理器、1 GB RAM、16 GB 可用磁盘空间和能够支持 HDX 功能的 GPU。
  • 业务驱动因素 - 优先级是任何重大项目成功的基础。通过延长硬件刷新周期而优先降低资本支出的组织可以受益于硬件的重新调整用途。相反,如果组织的业务驱动因素包括降低电源消耗作为整体绿色计划的一部分,购买较新的端点可能会有好处,以便利用最新式的设备中最新一代的电源管理功能。
  • 工作负载 - 最终用户的工作类型和 VDI 模型可以确定其是重新调整用途的端点的良好候选对象,还是新设备可以更好地提供服务。如果个人执行的工作涉及本地安装的应用程序,则提供功能最强大、最近更新的处理器和图形体系结构的新端点可以为个人提供最佳服务。但是,如果用户主要执行与虚拟化应用程序相关的任务,而不涉及网络摄像头、VoIP 和媒体重定向等最新多媒体功能,重新调整用途的工作站应是一个可行的替代方案。

下面的计划列表概述了重新调整现有硬件用途时的注意事项:

端点预配条件 调整现有硬件的用途 购买新硬件
资金受限环境 X  
大量虚拟化应用程序 X  
希望延长硬件刷新周期 X  
现有桌面之间的高故障率   X
过时的客户端功能集   X
耗电量或绿色倡议   X

决策:Unified Endpoint Management (UEM)

VDI 允许用户从任何位置在任何设备上工作,同时仍然可以访问其应用程序和数据。由于分布式用户跨多个设备(包括移动设备)访问环境,管理员需要能够集中保护和支持移动设备。管理员需要:

  • 如果设备丢失、被盗或不合规,可以选择性擦除设备。
  • 需要通行码安全标准。
  • 定义地理定位设备限制。
  • 简化 Exchange ActiveSync 配置。
  • 定义办公地点的 Wi-Fi 参数。
  • 集成证书来确保通信安全。

管理分布式端点只是挑战的一部分。管理员需要定义访问级别。管理员需要保护和控制对应用程序和数据的访问。当用户能够从个人设备访问公司 XenApp 和 XenDesktop 资源时,安全性会变得更为受关注。将 XenApp 和 XenDesktop 应用程序交付到移动设备时需要注意的一些事项:

  • 越狱设备可以访问哪些资源?
  • 用户是否能够在个人应用程序与 XenApp 和 XenDesktop 应用程序之间复制/粘贴?
  • 未配置通行码的设备是否可以访问公司资源?
  • 用户是否可以继续使用本地或不受信任的第三方电子邮件客户端?
  • 移动设备用户是否能够使用针对移动设备优化的浏览器或已发布的桌面浏览器访问 Intranet 站点?

UEM 解决方案(例如 Citrix XenMobile)可以保护应用程序数据,并允许管理员控制应用程序数据共享。UEM 还允许您独立于个人数据来管理公司数据和资源。

决策:移动设备管理 (MDM)

VDI 允许用户从任何位置在任何设备上工作,同时仍然可以访问其应用程序和数据。由于分布式用户跨多个设备(包括移动设备)访问环境,管理员需要能够集中保护和支持移动设备,这称为移动设备管理 (MDM)。

MDM 解决方案(例如 Citrix XenMobile)允许组织在系统级别保护设备和设备上的数据。例如,

  • 如果设备丢失、被盗或不合规,可以选择性擦除设备。
  • 需要通行码安全标准。
  • 定义地理定位设备限制。
  • 简化 Exchange ActiveSync 配置。
  • 定义办公地点的 Wi-Fi 参数。
  • 集成证书来确保通信安全。

MDM 通常适用于企业拥有的移动设备,因为大多数拥有个人设备的用户不希望让 IT 团队过多地控制其个人设备。

决策:移动应用程序管理 (MAM)

由于分布式员工跨多个设备访问 XenApp 和 XenDesktop 环境,管理员需要保护和控制对应用程序和数据的访问。当用户能够从个人设备访问公司 XenApp 和 XenDesktop 资源时,安全性会变得更为受关注。将 XenApp 和 XenDesktop 应用程序交付到移动设备时需要注意的一些事项:

  • 越狱设备可以访问哪些资源?
  • 用户是否能够在个人应用程序与 XenApp 和 XenDesktop 应用程序之间复制/粘贴?
  • 未配置通行码的设备是否可以访问公司资源?
  • 用户是否可以继续使用本地或不受信任的第三方电子邮件客户端?
  • 移动设备用户是否能够使用针对移动设备优化的浏览器或已发布的桌面浏览器访问 Intranet 站点?

MAM 解决方案(例如 Citrix XenMobile)可以保护应用程序数据,并允许管理员控制应用程序数据共享。MAM 还允许您独立于个人数据来管理公司数据和资源。

MAM 通常适用于自带 (BYO) 设备,因为即使设备未托管,公司数据仍受保护。

决策:端点外形规格

端点的功能随着瘦客户端外形规格中提供的效率而增长。即使是中间瘦客户端现在也具有图形功能,允许利用多显示器支持等 HDX 功能,同时提供管理和电源效率优势。Citrix 基于瘦客户端的 HDX 功能开发了三层分类:HDX Ready、HDX Premium 和 HDX 3D Pro,可用于帮助根据用例要求缩小适当的瘦客户端设备的范围。这种功能的扩展为 IT 管理员提供了比以往更多的选择和灵活性。

大多数组织可能会部署功能齐全的客户端和瘦客户端的组合。但是,与某些 VDI 模型组合使用时,某些端点设备更合适,如下表中所述。

在此表中:

  • 表示推荐。
  • 表示不推荐。
  • o 表示可行
VDI 模型 瘦客户端 桌面 PC 便携式计算机 平板电脑 智能手机
托管 Windows 应用程序
托管浏览器应用程序
托管共享桌面 o o
托管池桌面 o o
托管个人桌面 o o
托管专业图形桌面 o o o
本地流桌面
本地 VM 桌面 o
Remote PC Access o o

来自现场的经验

  • 大型系统集成商 - 大型系统集成商建议客户为所有用户部署单一类型的功能有限的低端端点。在部署到生产时,用户立即抱怨说,通过 WAN 查看多媒体内容时,用户体验很差。系统集成商和客户以高昂的成本重新评估了环境,并选择部署支持 HDX MediaStream 的端点。这一错误造成了系统集成商与客户之间的分裂,导致时间、资金损失,并导致多年来促成的业务关系终结。分配给每个用户组的端点必须支持其要求。

Receiver 选择

Citrix Receiver 是一款易于安装的软件客户端,可以用来轻松安全地从任何设备(包括智能手机、平板电脑、PC 和 Mac)访问应用程序、桌面和数据。

下面的部分提供了在部署 Citrix Receiver 时应注意的一系列设计决策。

决策:Receiver 类型

虽然大多数组织只需部署与其端点兼容的最新 Citrix Receiver,但重要的是要认识到版本之间存在某些差异。应参考下表以确定每个用户组最合适的 Citrix Receiver 版本。有关最新的功能列表,请参阅 Receiver 功能列表

决策:初始部署

有多个部署选项可用于将 Citrix Receiver 交付到端点。尽管通常最佳做法是将 Citrix Receiver 的完整版本部署到端点以提供最高级别的功能,但对于根本无法安装 Citrix Receiver 的情况,请务必考虑回退选项(例如 HTML5 Receiver)。请注意,尽管 HTML5 Receiver 可以用作回退选项(例如 Java 客户端使用 Web Interface),但由于功能集有限以及针对不安全 WebSocket 连接的常见浏览器限制,因此通常不建议将其作为企业进行标准化的主 Receiver(有关详细信息,请参阅 CTX134123)。

来自现场的经验

  • 家具分销商 - 家具分销商维护各种家具选项的配置器应用程序。配置器应用程序通过一个功能有限的展台进行访问,该展台部署在各个家具店,包括小型独立零售商,很少或未配备 IT 人员。在很多情况下,这些展台完全锁定,甚至连运行 Java 应用程序也受到限制。这些展台确实配备了新式浏览器 (Google Chrome),因此,能够利用 HTML5 Receiver 以提供访问配置器应用程序。
  • 县政府 - 政府 IT 组织向县内运营的所有机构提供服务。完整桌面和应用程序的混合部署到基于 Windows 的桌面和 iPad 中。由于桌面已加入 Active Directory 域,因此使用 GPO 来部署和配置 Citrix Receiver。通过 iPad 访问 Citrix 环境的移动用户从 App Store 安装和配置 Receiver。为允许无缝预配,配置了基于电子邮件的发现。这允许用户通过输入电子邮件地址将 Receiver 配置为通过 NetScaler Gateway 进行内部和外部访问。

以下机制通常用于部署和更新 Citrix Receiver:

  • StoreFront - 如果 Citrix StoreFront 可用,管理员可以通过启用“客户端检测”功能通过 Receiver for Web 站点部署 Citrix Receiver。开发时,借助 Receiver for Web 站点,用户可以通过 Web 页面访问 StoreFront 应用商店。如果 Receiver for Web 站点检测到用户没有 Citrix Receiver 的兼容版本,系统会提示用户下载并安装 Citrix Receiver。Receiver 客户端可以托管在 StoreFront 服务器上,也可以将用户定向到 citrix.com 以获取最新的 Receiver 文件。
  • 内部下载站点 - 用户可能会被阻止从 Internet 下载软件,即使其有权安装应用程序亦如此。管理员可以为受支持的 Citrix Receiver 创建内部 Web 站点,或者将其托管在公用软件分发点上,以获得更无缝的用户体验。这可以替代在 StoreFront Receiver for Web 站点上启用客户端检测,这可能会导致用户体验不一致,具体取决于浏览器的 ActiveX 设置。
  • 市场和应用商店 - Citrix Receiver 可在 Windows、Android 和 iOS 应用商店中获取。
  • 企业软件部署 - 许多组织采用企业软件部署 (ESD) 或移动应用程序管理 (MAM) 解决方案。ESD/MAM 解决方案可用于将 Citrix Receiver 部署到托管端点设备上。仅当用户成功将设备注册到管理工具时,才能管理员工拥有的设备。
  • 主映像 - 大多数组织都有一组主桌面映像,这些映像部署到每个企业拥有的桌面、笔记本电脑、服务器或虚拟桌面。确保访问虚拟桌面和应用程序的常用机制为在主映像中包含受支持的 Citrix Receiver 版本。Citrix Receiver 的后续更新通过企业软件部署工具或者手动进行处理。
  • 组策略 - 对于没有强大的 ESD 解决方案的客户,可以通过 Microsoft 组策略部署和配置 Citrix Receiver。Citrix XenApp 和 XenDesktop 介质中提供了部署和删除 Citrix Receiver 的示例启动脚本:

    Citrix Receiver and Plugins\Windows\Receiver\Startup_Logon_Scripts

  • 手动安装 - 所有受支持的 Citrix Receiver 版本均可从 Citrix Receiver 下载站点获取。登录此站点后,将执行客户端检测,并提供平台和操作系统特定的链接,以允许用户下载相应版本的 Citrix Receiver。请务必注意,此下载不会完成任何配置,因此用户将在首次使用时收到输入服务器 URL 或电子邮件地址的提示。此选项很可能在 BYOD 环境中使用。

选择适当的部署方法取决于所选 Citrix Receiver 类型。应参考下表以帮助确定 Citrix Receiver 的适当部署选项。

在表格中,

  • 表示推荐。
  • 表示不推荐。
部署方案 瘦客户端 桌面 PC 便携式计算机 平板电脑 智能手机
基础映像 Y Y Y N N
EDS/MAM N Y Y N N
组策略 N Y Y N N
Receiver for Web 站点 N Y Y N N
内部下载站点 N Y Y N N
应用商店 N N N Y Y

决策:初始配置

必须配置 Citrix Receiver 才能提供对企业资源的访问权限。配置方法因 Citrix Receiver 版本、设备的外形规格以及所涉及的访问方法(本地或远程)而异。对于一个组织来说,有几种方法可能是可行的。所采用的方法取决于可用的资源(人员、系统、时间)以及大型组织计划,例如 BYOD 计划。

可以使用以下方法配置 Citrix Receiver:

  • 基于电子邮件的发现 - 可以通过输入电子邮件地址来配置 Citrix Receiver 的最新版本。基于电子邮件的发现需要 Citrix StoreFront 以及指向 StoreFront 服务器的 FQDN 的 SRV DNS 记录。

注意:任何 DNS 平台都应支持基于电子邮件的发现,但只有 Windows DNS 已明确测试。

  • 对于远程访问,NetScaler Gateway 必须与外部 DNS 中的相应 SRV 记录结合使用。NetScaler Gateway 设备或 StoreFront 服务器上必须安装有效的服务器证书,才能启用基于电子邮件的帐户发现。此配置假定“@”后的电子邮件地址部分是应查询此 SRV 记录的 DNS 命名空间。对于使用不同于 DNS 命名空间的外部和内部命名空间或电子邮件地址的客户来说,这可能具有挑战性。

  • 组策略 - 可以使用 Microsoft 组策略配置 Citrix Receiver。这可以通过启动用于部署 Receiver 的脚本来完成,方法是确保 SERVER_LOCATION=Server_URL 参数有一个值,或者使用 Citrix Receiver 安装时附带的 ADMX/ADML 模板文件与另一种 Receiver 部署方法一起设置 StoreFront 帐户列表选项。以 https://baseurl/Citrix/storename/discovery 格式提供运行 Citrix StoreFront 的服务器的 URL。
  • 预配文件 - 对于运行 StoreFront 的环境,可以为用户提供包含应用商店信息的预配文件。预配文件从 StoreFront 控制台导出。该文件将使用“*.cr”扩展名保存,然后可以放置在共享网络资源、Receiver for Web 站点或其他基于 Web 的资源上,或者通过电子邮件发送给用户。然后可以从端点启动该文件,端点会自动将 Citrix Receiver 配置为使用应用商店。如果用户浏览到 Receiver for Web 站点并在其用户名下选择“激活”选项,也会自动下载这一相同的“.cr”文件并为用户配置 Receiver 客户端。
  • 手动 - 如果允许,通常可以通过输入服务器 URL 来手动配置 Citrix Receiver。此方法应保留供掌握了高级知识的管理员或用户使用。
  • Studio - 除上述方法外,为配置部署在虚拟桌面或服务器映像(在 XenDesktop 或 XenApp 环境中)上的 Receiver,可以通过交付组的属性设置 StoreFront 地址。

决策:更新

Citrix Receiver 正在积极开发中。因此会发布定期更新,以提供增强功能或解决用户问题。与任何积极开发的产品一样,这些产品的最新版本应部署到端点,以便用户从最新功能中受益,并保持产品支持生命周期的合规性。有多种方法可用于更新 Citrix Receiver 以及相关插件(如果适用)。

  • 自动更新 - Receiver for Windows 4.8+ 和 Receiver for Mac 12.6+ 包括自动更新功能,能够自动检查 Receiver 的较新版本。自动更新服务可以配置为允许用户延迟更新以及跳过任何非长期服务版本 (LTSR) 的更新。Receiver for iOS 和 Receiver for Android 通过其相应的应用商店自动更新。
  • 企业软件部署 - ESD 工具为组织提供直接控制 Receiver 对托管设备进行更新的时间/频率。还必须考虑在公司防火墙外部更新非托管设备和端点。
  • 手动更新 - 没有可用的自动化解决方案时,可以使用手动方法更新 Citrix Receiver。无论部署在 Receiver for Web 站点、StoreFront、内部 Citrix Receiver 站点还是外部站点上,这些选项都需要用户参与更新 Citrix Receiver。由于所涉及的手动更新的特性以及用户出错的机会,只有在万不得已的情况下才能使用此选项。

设计方法用户层