Citrix Endpoint Management
Citrix Endpoint Management ist eine Lösung zur einheitlichen Endpunktverwaltung (Unified Endpoint Management, UEM), die alle Apps und Endpunkte in einer einzigen Ansicht anzeigt und damit die Sicherheit und Produktivität steigert. Einen Überblick über UEM finden Sie in der technischen Kurzbeschreibung Citrix Endpoint Management in der Citrix Tech Zone.
Citrix Endpoint Management bietet Mobile Device Management (MDM) und Mobile App Management (MAM).
Die MDM-Funktionen von Citrix Endpoint Management bieten folgende Möglichkeiten:
- Bereitstellen von Geräterichtlinien und Apps
- Abrufen von Bestandsverzeichnissen
- Ausführen von Aktionen an Geräten, z. B. Löschen von Geräten
Die MAM-Funktionen von Citrix Endpoint Management bieten folgende Möglichkeiten:
- Sichern von Apps und Daten auf BYO-Mobilgeräten
- Bereitstellen mobiler Unternehmensapps.
- Sperren von Apps und Löschen ihrer Daten.
Eine Kombination aus MDM- und MAM-Funktionen bietet folgende Möglichkeiten:
- Verwalten eines vom Unternehmen bereitgestellten Geräts mithilfe von MDM
- Bereitstellen von Geräterichtlinien und Apps
- Abrufen eines Bestandsverzeichnisses
- Geräte löschen
- Bereitstellen mobiler Unternehmensapps
- Sperren von Apps und Löschen der Daten auf Geräten
In der folgenden Tabelle werden die für MDM, MAM und MDM+MAM unterstützten Citrix Endpoint Management-Features aufgeführt.
Feature (nach Plattform) | MDM (1) | MAM (2) | MDM+MAM |
---|---|---|---|
Android Enterprise: | |||
Unterstützung für die Geräteregistrierung | Ja | Ja | Ja |
Unterstützung für die Domänenauthentifizierung | Ja | Nein | Ja |
Unterstützung für die Authentifizierung mit Domäne und Sicherheitstoken | Nein | Nein | Ja |
Unterstützung für die Clientzertifikatauthentifizierung | Nein | Ja | Ja |
Unterstützung für die Clientzertifikatauthentifizierung plus Authentifizierung mit Domäne | Nein | Nein | Ja |
Unterstützung für die Clientzertifikatauthentifizierung und für die Authentifizierung mit Sicherheitstoken | Nein | Nein | Ja |
Unterstützung für Azure AD-Identitätsanbieter | Ja | Nein | Ja |
Unterstützung für Okta-Identitätsanbieter | Ja | Nein | Ja |
Single Sign-On bei nativen SaaS-Anwendungen | Ja | Nein | Ja |
Unterstützung von Citrix Netzwerk für die Inhaltsübermittlung für Unternehmensapp | Ja | Ja | Ja |
Unterstützung von Citrix Netzwerk für die Inhaltsübermittlung für MDX-App | Ja | Ja | Ja |
Unterstützung gemeinsam genutzter Geräte durch Provisioning dedizierter Android Enterprise-Geräte (COSU-Geräte) | Ja | Nein | Ja |
Android (Legacy): | |||
Unterstützung für die Geräteregistrierung | Ja | Ja | Ja |
Unterstützung für die Authentifizierung mit Domäne bzw. mit Domäne und Sicherheitstoken | Nein | Nein | Ja |
Unterstützung für die Clientzertifikatauthentifizierung | Nein | Ja | Ja |
Unterstützung für die Clientzertifikatauthentifizierung plus Authentifizierung mit Domäne | Nein | Nein | Ja |
Unterstützung für die Clientzertifikatauthentifizierung und für die Authentifizierung mit Sicherheitstoken | Nein | Nein | Ja |
Unterstützung für Azure AD und Citrix-Identitätsanbieter | Ja | Nein | Ja |
Unterstützung für Okta-Identitätsanbieter | Ja | Nein | Ja |
Single Sign-On bei nativen SaaS-Anwendungen | Ja | Nein | Ja |
Unterstützung von Citrix Netzwerk für die Inhaltsübermittlung für Unternehmensapp | Ja | Ja | Ja |
Unterstützung von Citrix Netzwerk für die Inhaltsübermittlung für MDX-App | Ja | Ja | Ja |
Chrome: | |||
Unterstützung für die Geräteregistrierung | Ja | Nein | Ja |
Unterstützung für Authentifizierung mit Benutzernamen und Kennwort | Ja | Nein | Ja |
iOS: | |||
Unterstützung für die Geräteregistrierung | Ja | Ja | Ja |
Unterstützung für die Authentifizierung mit Domäne bzw. mit Domäne und Sicherheitstoken | Nein | Nein | Ja |
Unterstützung für die Clientzertifikatauthentifizierung | Nein | Ja | Ja |
Unterstützung für die Clientzertifikatauthentifizierung plus Authentifizierung mit Domäne | Nein | Nein | Ja |
Unterstützung für Azure AD und Citrix-Identitätsanbieter | Ja | Nein | Ja |
Unterstützung für Okta-Identitätsanbieter | Ja | Nein | Ja |
Single Sign-On bei nativen SaaS-Anwendungen | Ja | Nein | Ja |
Unterstützung von Citrix Netzwerk für die Inhaltsübermittlung für Unternehmensapp | Ja | Ja | Ja |
Unterstützung von Citrix Netzwerk für die Inhaltsübermittlung für MDX-App | Ja | Ja | Ja |
Integration von Apple Bildung | Ja | Nein | Ja |
macOS: | |||
Unterstützung für die Geräteregistrierung | Ja | Nein | Nein |
Unterstützung für Domäne oder Domäne plus Einmalkennwort | Ja | Nein | Nein |
Unterstützung für Einladungs-URL + Einmalkennwort | Ja | Nein | Nein |
Windows: | |||
Unterstützung für die Geräteregistrierung | Ja | Nein | Nein |
Automatische Registrierung von Windows 10- und Windows 11-Geräten mit der Citrix Workspace-App | Ja | Nein | Nein |
Unterstützung für die Authentifizierung mit Domäne bzw. mit Domäne und Sicherheitstoken | Ja | Nein | Nein |
Unterstützung für die Clientzertifikatauthentifizierung | Ja | Nein | Nein |
Unterstützung für die Clientzertifikatauthentifizierung plus Authentifizierung mit Domäne | Ja | Nein | Nein |
Verbundauthentifizierung über Azure AD oder Citrix-Identitätsanbieter | Ja | Nein | Nein |
Unterstützung von Citrix Netzwerk für die Inhaltsübermittlung für Unternehmensapp | Ja | Nein | Nein |
Integration von Workspace Environment Management (3) | Ja | Nein | Nein |
Hinweise:
(1) Die Bereitstellungsreihenfolge gilt nur für Geräte in einer Bereitstellungsgruppe mit einem für MDM konfigurierten Registrierungsprofil.
(2) Die MAM-Registrierung erfordert NetScaler Gateway.
(3) Die Integration von Workspace Environment Management (WEM) ermöglicht den Zugriff auf MDM-Features auf vielfältigen Windows-Betriebssystemen.
Weitere Informationen finden Sie unter Verwaltungsmodi.
Architektur
Welche Citrix Endpoint Management-Komponenten Sie in der Citrix Endpoint Management-Architektur bereitstellen, hängt von den Anforderungen des Unternehmens an die Geräte- bzw. App-Verwaltung ab. Die Komponenten von Citrix Endpoint Management sind modular und bauen aufeinander auf. Ihre Bereitstellung enthält beispielsweise NetScaler Gateway:
- NetScaler Gateway ermöglicht Benutzern Remotezugriff auf mobile Apps und überwacht Benutzergerätetypen.
- In Citrix Endpoint Management können Sie diese Apps und Geräte verwalten.
Das folgende Diagramm zeigt eine allgemeine Übersicht über die Architektur einer Citrix Endpoint Management-Cloudbereitstellung und ihre Integration in das Datencenter:
Die folgenden Unterabschnitte enthalten Referenzarchitekturdiagramme für:
- Citrix Endpoint Management
- Optionale Komponenten wie eine externe Zertifizierungsstelle, einen Citrix Endpoint Management-Connector für Exchange ActiveSync und einen Datenfluss mit Citrix Endpoint Management MDM+MAM und Intune MAM.
Weitere Informationen zu den Anforderungen für Citrix ADC und NetScaler Gateway finden Sie in der Citrix Produktdokumentation unter https://docs.citrix.com/.
Referenzarchitektur mit Kernstruktur
Informationen zu den Portanforderungen finden Sie unter Systemanforderungen.
Referenzarchitektur mit Citrix Virtual Apps and Desktops
Referenzarchitektur mit Citrix Endpoint Management Connector für Exchange ActiveSync
Referenzarchitektur mit NetScaler Gateway Connector für Exchange ActiveSync
Referenzarchitektur mit Citrix Endpoint Management MDM+MAM und Intune MAM
Ressourcenstandorte
Platzieren Sie Ressourcenstandorte dort, wo sie die Unternehmensanforderungen am besten erfüllen. Beispiele: in einer öffentlichen Cloud, einer Zweigstelle, einer privaten Cloud oder in einem Datencenter. Faktoren für die Standortwahl:
- die Nähe zu Abonnenten
- die Nähe zu Daten
- Anforderungen an die Skalierbarkeit
- Sicherheitsattribute
Sie können beliebig viele Ressourcenstandorte erstellen. Beispiel:
- Sie erstellen einen Ressourcenstandort im Datencenter für den Firmenhauptsitz, basierend auf Abonnenten und Anwendungen, die in Datennähe sein müssen.
- Sie fügen einen separaten Ressourcenstandort für die globalen Benutzer in einer öffentlichen Cloud hinzu. Alternativ können Sie separate Ressourcenstandorte in Geschäftsstellen erstellen, um die Anwendungen bereitzustellen, die in der Nähe der Fililalmitarbeiter sein sollten.
- Sie fügen einen weiteren Ressourcenstandort in einem anderen Netzwerk hinzu, der eingeschränkte Anwendungen bereitstellt. Dies schränkt die Sichtbarkeit für andere Ressourcen und Abonnenten ein, ohne die anderen Ressourcenstandorte anpassen zu müssen.
Cloud Connector
Der Cloud Connector authentifiziert und verschlüsselt die gesamte Kommunikation zwischen Citrix Cloud und Ihren Ressourcen. Der Cloud Connector ist für den Zugriff auf folgende Dienste erforderlich: LDAP, IdPs, PKI-Server, interne DNS-Abfragen, Citrix Virtual Apps, NetScaler Gateway, Citrix Workspace und Microsoft Endpoint Manager.
Das folgende Diagramm zeigt den Datenfluss für Cloud Connector.
Der Cloud Connector stellt Verbindungen zu Citrix Cloud her. Der Cloud Connector akzeptiert keine eingehenden Verbindungen.
Cloud Connector ist nur während der Geräteregistrierung unter Last. Weitere Informationen finden Sie unter Überlegungen zur Skalierung und Größe für Cloud Connectors.
Eine Lösung mit integrierter Mobilanwendungsverwaltung (MAM) benötigt ein Micro-VPN, das über ein on-premises NetScaler Gateway bereitgestellt wird. Für dieses Szenario gilt:
- Die folgenden Komponenten befinden sich in Ihrem Datencenter:
- Cloud Connector
- NetScaler Gateway
- Ihre Server für Exchange, Web-Apps, Active Directory und die PKI
- Mobilgeräte kommunizieren mit Citrix Endpoint Management und Ihrem on-premises NetScaler Gateway.
Citrix Endpoint Management-Komponenten
Citrix Endpoint Management-Konsole. Sie verwenden die Citrix Endpoint Management-Konsole zum Konfigurieren von Citrix Endpoint Management. Informationen zur Verwendung der Citrix Endpoint Management-Konsole finden Sie in den Artikeln unter Citrix Endpoint Management. Citrix benachrichtigt Sie, wenn die Artikel “Neue Features” für Citrix Endpoint Management bei Veröffentlichung eines neuen Releases aktualisiert werden.
Beachten Sie folgende Unterschiede zwischen Citrix Endpoint Management und on-premises Versionen:
- Der Remotesupportclient ist für Citrix Endpoint Management nicht verfügbar.
- Citrix unterstützt keine Syslog-Integration in Citrix Endpoint Management mit einem lokalen Syslog-Server. Sie können die Protokolle von der Seite Problembehandlung und Support in der Citrix Endpoint Management-Konsole herunterladen. Klicken Sie hierfür auf Alle herunterladen.
MAM-SDK. Das MDX Toolkit erreicht das Ende des Lebenszyklus (EOL) im Juli 2023. Um die Verwaltung Ihrer Unternehmensanwendungen fortzusetzen, müssen Sie das MAM-SDK integrieren.
- Das MAM-SDK (Mobile Application Management) bietet MDX-Funktionalität, die nicht von den iOS- und Android-Plattformen abgedeckt ist. Sie können iOS- oder Android-Apps MDX-fähig machen und sichern. Sie stellen diese Apps entweder in einem internen Store oder in öffentlichen App-Stores zur Verfügung. Siehe MDX App SDK.
Mobile Produktivitätsapps. Die von Citrix entwickelten mobile Produktivitätsapps bieten innerhalb der Citrix Endpoint Management-Umgebung Produktivitäts- und Kommunikationstools. Ihre Unternehmensrichtlinien sichern diese Apps. Weitere Informationen finden Sie unter Mobile Produktivitätsapps.
Citrix Endpoint Management Connector für Exchange ActiveSync. Der Citrix Endpoint Management Connector für Exchange ActiveSync bietet Benutzern, die native mobile E-Mail-Apps verwenden, einen sicheren Zugriff auf ihre E-Mail. Der Connector für Exchange ActiveSync ermöglicht eine ActiveSync-Filterung auf der Exchange-Dienstebene. Das Resultat ist, dass die Filterung erst dann erfolgt, wenn die E-Mail den Exchange-Dienst erreicht, und nicht sobald sie in die Citrix Endpoint Management-Umgebung gelangt. NetScaler Gateway ist für den Connector nicht erforderlich. Sie können den Connector ohne Änderungen am Routing des ActiveSync-Datenverkehrs bereitstellen. Weitere Informationen finden Sie unter Citrix Endpoint Management Connector für Exchange ActiveSync.
NetScaler Gateway Connector für Exchange ActiveSync. Der NetScaler Gateway Connector für Exchange ActiveSync bietet Benutzern, die native mobile E-Mail-Apps verwenden, einen sicheren Zugriff auf ihre E-Mail. Der Connector für Exchange ActiveSync bietet ActiveSync-Filterung am Umkreis. Die Filterung verwendet NetScaler Gateway als Proxy für ActiveSync-Datenverkehr. Dies bedeutet, dass die Filterkomponente im Pfad des E-Mail-Datenverkehrs ist und E-Mails beim Erreichen oder Verlassen der Umgebung abfängt. Der Connector für Exchange ActiveSync fungiert als Vermittler zwischen NetScaler Gateway und Citrix Endpoint Management. Weitere Informationen finden Sie unter NetScaler Gateway Connector für Exchange ActiveSync.
Citrix Endpoint Management – Technische Sicherheit
Citrix Cloud verwaltet die Steuerungsebene für Citrix Endpoint Management-Umgebungen. Die Steuerungsebene umfasst den Citrix Endpoint Management-Server, den Citrix ADC-Load Balancer und eine Einmandanten-Datenbank. Der Cloudservice kann über den Citrix Cloud Connector in ein Kunden-Datencenter integriert werden. Citrix Endpoint Management-Kunden, die Cloud Connector verwenden, verwalten NetScaler Gateway normalerweise in ihren Datencentern.
Die folgende Abbildung zeigt den Service und seine Sicherheitsgrenzen.
Die Informationen in diesem Abschnitt:
- bieten eine Einführung in die Sicherheitsfunktionen von Citrix Cloud.
- enthalten eine Erläuterung der Aufgabenverteilung für den Schutz der Citrix Cloud-Bereitstellung zwischen Citrix und Kunden.
- sind keine Konfigurations- oder Verwaltungsanleitung für Citrix Cloud oder zugehörige Komponenten oder Services.
Informationen zur Technologie, die in Citrix Endpoint Management zur Bereitstellung umfassender End-to-End-Sicherheit verwendet wird, finden Sie unter Security and Productivity for the Mobile Enterprise.
Datenfluss
Die Steuerungsebene hat einen eingeschränkten Lesezugriff auf Benutzer- und Gruppenobjekte. Diese Objekte befinden sich in Ihrem Verzeichnis, im DNS und in ähnlichen Diensten. Die Steuerungsebene greift auf diese Dienste über Citrix Cloud Connector und sichere HTTPS-Verbindungen zu.
Unternehmensdaten, etwa E-Mail-, Intranet- und Web-App-Datenverkehr, werden über NetScaler Gateway direkt zwischen Gerät und Anwendungsservern übertragen. NetScaler Gateway wird im Datencenter des Kunden bereitgestellt.
Datenisolierung
In der Steuerungsebene werden die zur Verwaltung von Benutzergeräten und mobilen Apps benötigten Metadaten gespeichert. Der Service selbst besteht aus einer Mischung aus Multimandanten- und Einmandanten-Komponenten. Die Kundenmetadaten werden jedoch gemäß der Servicearchitektur für jeden Mandanten separat gespeichert und mithilfe eindeutiger Anmeldeinformationen geschützt.
Handhabung von Anmeldeinformationen
Der Service verarbeitet die folgenden Arten von Anmeldeinformationen:
- Benutzeranmeldeinformationen: Diese werden über eine HTTPS-Verbindung vom Gerät an die Steuerungsebene übertragen. Die Steuerungsebene prüft die Anmeldeinformationen über eine sichere Verbindung gegen ein Kundenverzeichnis.
- Administratoranmeldeinformationen: Administratoren authentifizieren sich bei Citrix Cloud mit dem Anmeldesystem von Citrix Online. Dabei wird ein signiertes JSON Web Token (JWT) zur einmaligen Benutzung generiert, das dem Administrator Zugriff auf den Service gewährt.
- Active Directory-Anmeldeinformationen: Die Steuerungsebene erfordert Binde-Anmeldeinformationen, um Benutzermetadaten aus Active Directory zu lesen. Die Anmeldeinformationen werden mit AES-256 verschlüsselt und in einer Mandantendatenbank gespeichert.
Überlegungen zur Bereitstellung
Beachten Sie die in der Dokumentation beschriebenen bewährten Methoden für die Bereitstellung von NetScaler Gateway in Ihren Umgebungen.
Weitere Ressourcen
Kunden wird empfohlen, Sicherheitsbulletins zu lesen, die sich auf ihre Citrix Produkte beziehen. Informationen zu neuen und aktualisierten Sicherheitsbulletins finden Sie in den Sicherheitsbulletins von Citrix. Überlegen Sie auch, in Ihren Warnungseinstellungen anzugeben, dass Sie Benachrichtigungen erhalten möchten.
Weitere Informationen zur Sicherheit finden Sie in den folgenden Ressourcen:
- Citrix-Sicherheitssite: https://www.citrix.com/security
- Citrix Cloud-Dokumentation: Leitfaden zur sicheren Bereitstellung für die Citrix Cloud-Plattform
- Leitfaden zur sicheren Bereitstellung von Citrix ADC
Integration mit Mobile Threat Defense-Software
Mit Mobile Threat Defense (MTD)-Software können Sie weitreichende Cyberangriffe gegen mobile Geräte des Unternehmens erkennen, analysieren und leichter abwehren. Durch eine Kombination aus MTD und UEM (Unified Citrix Endpoint Management) erhöhen Sie Sicherheit und Transparenz in Ihrem Unternehmen.
Citrix Endpoint Management nutzt die Bedrohungsdaten der MTD-Software für Folgendes:
- Schutz vor Malware, Phishing, Netzwerkangriffen und Man-in-the-Middle-Angriffen
- Überprüfen der Richtlinientreue von Geräten
- Bestimmen von Risikostufen
- Schutz Ihrer Apps, Daten, Geräte und des mobilen Netzwerks durch richtlinienbasierte Aktionen
Citrix Endpoint Management kann mit folgenden MTD-Anbietern integriert werden:
Weitere Informationen oder eine Demoversion erhalten Sie von unseren MTD-Partnern oder Ihrem Citrix-Vertriebsmitarbeiter.