Authentifizierung
-
Bei einer Citrix Endpoint Management-Bereitstellung spielen mehrere Überlegungen eine Rolle, wenn entschieden wird, wie die Authentifizierung konfiguriert werden soll. Dieser Abschnitt beschreibt die verschiedenen Faktoren, die die Authentifizierung beeinflussen:
- Die wichtigsten MDX-Richtlinien, Citrix Endpoint Management-Client-Eigenschaften und NetScaler Gateway-Einstellungen, die mit der Authentifizierung verbunden sind.
- Die Art und Weise, wie diese Richtlinien, Client-Eigenschaften und Einstellungen interagieren.
- Die Kompromisse jeder Wahl.
Dieser Artikel enthält auch drei Beispiele für empfohlene Konfigurationen für zunehmende Sicherheitsstufen.
Im Allgemeinen führt stärkere Sicherheit zu einer weniger optimalen Benutzererfahrung, da sich Benutzer häufiger authentifizieren müssen. Wie Sie diese Bedenken abwägen, hängt von den Anforderungen und Prioritäten Ihrer Organisation ab. Überprüfen Sie die drei empfohlenen Konfigurationen, um das Zusammenspiel der verschiedenen Authentifizierungsoptionen zu verstehen.
Authentifizierungsmodi
Online-Authentifizierung: Ermöglicht Benutzern den Zugriff auf das Citrix Endpoint Management-Netzwerk. Erfordert eine Internetverbindung.
Offline-Authentifizierung: Erfolgt auf dem Gerät. Benutzer entsperren den sicheren Tresor und haben Offline-Zugriff auf Elemente wie heruntergeladene E-Mails, zwischengespeicherte Websites und Notizen.
Authentifizierungsmethoden
LDAP: Sie können in Citrix Endpoint Management eine Verbindung zu einem oder mehreren Verzeichnissen konfigurieren, die mit dem Lightweight Directory Access Protocol (LDAP) kompatibel sind. Diese Methode wird häufig verwendet, um Single Sign-On (SSO) für Unternehmensumgebungen bereitzustellen. Sie könnten sich für Citrix PIN mit Active Directory-Passwort-Caching entscheiden, um die Benutzererfahrung mit LDAP zu verbessern. Gleichzeitig können Sie die Sicherheit komplexer Passwörter bei der Registrierung, dem Passwortablauf und der Kontosperrung gewährleisten.
Weitere Informationen finden Sie unter Authentifizierung mit Domäne oder Domäne plus Sicherheitstoken.
Clientzertifikat: Citrix Endpoint Management kann mit branchenüblichen Zertifizierungsstellen integriert werden, um Zertifikate als einzige Methode der Online-Authentifizierung zu verwenden. Citrix Endpoint Management stellt dieses Zertifikat nach der Benutzerregistrierung bereit, die entweder ein Einmalpasswort, eine Einladungs-URL oder LDAP-Anmeldeinformationen erfordert. Bei Verwendung eines Clientzertifikats als primäre Authentifizierungsmethode ist in Umgebungen, die nur Clientzertifikate verwenden, eine Citrix PIN erforderlich, um das Zertifikat auf dem Gerät zu sichern.
Citrix Endpoint Management unterstützt die Zertifikatsperrliste (CRL) nur für eine Drittanbieter-Zertifizierungsstelle. Wenn Sie eine Microsoft CA konfiguriert haben, verwendet Citrix Endpoint Management NetScaler Gateway zur Verwaltung der Sperrung. Wenn Sie die clientzertifikatbasierte Authentifizierung konfigurieren, sollten Sie überlegen, ob Sie die NetScaler Gateway-Einstellung für die Zertifikatsperrliste (CRL), „CRL Auto Refresh aktivieren“, konfigurieren müssen. Dieser Schritt stellt sicher, dass ein Gerät, das nur in MAM registriert ist, sich nicht mit einem vorhandenen Zertifikat auf dem Gerät authentifizieren kann. Citrix Endpoint Management stellt ein neues Zertifikat aus, da es einen Benutzer nicht daran hindert, ein Benutzerzertifikat zu generieren, wenn eines widerrufen wird. Diese Einstellung erhöht die Sicherheit von PKI-Entitäten, wenn die CRL auf abgelaufene PKI-Entitäten prüft.
Für ein Diagramm, das die für die zertifikatbasierte Authentifizierung oder die Verwendung Ihrer Unternehmens-Zertifizierungsstelle (CA) zur Ausstellung von Gerätezertifikaten erforderliche Bereitstellung zeigt, siehe Architektur.
LDAP + Clientzertifikat: Diese Konfiguration ist die beste Kombination aus Sicherheit und Benutzerfreundlichkeit für Citrix Endpoint Management. Die Verwendung von LDAP- und Clientzertifikat-Authentifizierung:
- Bietet die besten SSO-Möglichkeiten in Verbindung mit der Sicherheit, die durch die Zwei-Faktor-Authentifizierung am NetScaler Gateway bereitgestellt wird.
- Bietet Sicherheit mit etwas, das Benutzer wissen (ihre Active Directory-Passwörter), und etwas, das sie haben (Clientzertifikate auf ihren Geräten).
Citrix Secure Mail kann eine nahtlose Erstanwendererfahrung mit Clientzertifikat-Authentifizierung automatisch konfigurieren und bereitstellen. Diese Funktion erfordert eine ordnungsgemäß konfigurierte Exchange Client Access Server-Umgebung.
- Für optimale Benutzerfreundlichkeit können Sie die LDAP- und Clientzertifikat-Authentifizierung mit Citrix PIN und Active Directory-Passwort-Caching kombinieren.
LDAP + Token: Diese Konfiguration ermöglicht die klassische Konfiguration von LDAP-Anmeldeinformationen plus ein Einmalpasswort unter Verwendung des RADIUS-Protokolls. Für optimale Benutzerfreundlichkeit können Sie diese Option mit Citrix PIN und Active Directory-Passwort-Caching kombinieren.
Wichtige Richtlinien, Einstellungen und Clienteigenschaften für die Authentifizierung
Die folgenden Richtlinien, Einstellungen und Clienteigenschaften kommen bei den folgenden drei empfohlenen Konfigurationen zum Tragen:
MDX-Richtlinien
App-Passcode: Wenn Ein, ist eine Citrix PIN oder ein Passcode erforderlich, um die App zu entsperren, wenn sie nach einer Inaktivitätsperiode gestartet oder fortgesetzt wird. Standard ist Ein.
Um den Inaktivitäts-Timer für alle Apps zu konfigurieren, legen Sie den Wert INACTIVITY_TIMER in Minuten in der Citrix Endpoint Management-Konsole unter Clienteigenschaften auf der Registerkarte Einstellungen fest. Der Standardwert ist 15 Minuten. Um den Inaktivitäts-Timer zu deaktivieren, sodass eine PIN- oder Passcode-Eingabeaufforderung nur beim Starten der App angezeigt wird, setzen Sie den Wert auf Null.
micro VPN-Sitzung erforderlich: Wenn Ein, muss der Benutzer eine Verbindung zum Unternehmensnetzwerk und eine aktive Sitzung haben, um auf die App auf dem Gerät zugreifen zu können. Wenn Aus, ist keine aktive Sitzung erforderlich, um auf die App auf dem Gerät zuzugreifen. Standard ist Aus.
Maximale Offline-Periode (Stunden): Definiert die maximale Periode, in der eine App ausgeführt werden kann, ohne die App-Berechtigung erneut zu bestätigen und Richtlinien von Citrix Endpoint Management zu aktualisieren. Eine iOS-App ruft neue Richtlinien für MDX-Apps von Citrix Endpoint Management ohne Unterbrechung für Benutzer ab, nachdem die folgenden Bedingungen erfüllt sind:
- Sie legen die maximale Offline-Periode fest und
- Citrix Secure Hub für iOS über ein gültiges NetScaler Gateway-Token verfügt.
Wenn Citrix Secure Hub kein gültiges NetScaler Gateway-Token besitzt, müssen sich Benutzer über Citrix Secure Hub authentifizieren, bevor App-Richtlinien aktualisiert werden können. Das NetScaler Gateway-Token kann aufgrund von Inaktivität der NetScaler Gateway-Sitzung oder einer erzwungenen Sitzungs-Timeout-Richtlinie ungültig werden. Wenn sich Benutzer erneut bei Citrix Secure Hub anmelden, können sie die App weiterhin ausführen.
Benutzer werden 30, 15 und 5 Minuten vor Ablauf der Periode zur Anmeldung aufgefordert. Nach Ablauf ist die App gesperrt, bis sich Benutzer anmelden. Der Standardwert ist 72 Stunden (3 Tage). Die Mindestdauer beträgt 1 Stunde.
Hinweis:
Beachten Sie, dass in einem Szenario, in dem Benutzer häufig reisen und internationales Roaming nutzen, der Standardwert von 72 Stunden (3 Tage) möglicherweise zu kurz ist.
Ablauf des Tickets für Hintergrunddienste: Der Zeitraum, für den ein Ticket für einen Hintergrundnetzwerkdienst gültig bleibt. Wenn Citrix Secure Mail über NetScaler Gateway eine Verbindung zu einem Exchange Server herstellt, der ActiveSync ausführt, stellt Citrix Endpoint Management ein Token aus. Citrix Secure Mail verwendet dieses Token, um eine Verbindung zum internen Exchange Server herzustellen. Diese Eigenschaftseinstellung bestimmt die Dauer, für die Citrix Secure Mail das Token verwenden kann, ohne ein neues Token für die Authentifizierung und die Verbindung zum Exchange Server zu benötigen. Wenn das Zeitlimit abläuft, müssen sich Benutzer erneut anmelden, um ein neues Token zu generieren. Der Standardwert ist 168 Stunden (7 Tage). Wenn dieses Zeitlimit abläuft, werden E-Mail-Benachrichtigungen beendet.
Erforderliche Kulanzzeit für Micro-VPN-Sitzung: Legt fest, wie viele Minuten ein Benutzer die App offline verwenden kann, bis die Online-Sitzung validiert wird. Der Standardwert ist 0 (keine Kulanzzeit).
Informationen zu Authentifizierungsrichtlinien finden Sie unter:
- Wenn Sie das MAM SDK verwenden: MAM SDK – Übersicht
- Wenn Sie das MDX Toolkit verwenden: Citrix Endpoint Management MDX-Richtlinien für iOS und Citrix Endpoint Management MDX-Richtlinien für Android
Citrix Endpoint Management-Client-Eigenschaften
Hinweis:
Client-Eigenschaften sind globale Einstellungen, die für alle Geräte gelten, die eine Verbindung zu Citrix Endpoint Management herstellen.
Citrix PIN: Für eine einfache Anmeldung können Sie die Citrix PIN aktivieren. Mit der PIN müssen Benutzer nicht wiederholt andere Anmeldeinformationen wie ihre Active Directory-Benutzernamen und -Kennwörter eingeben. Sie können die Citrix PIN nur als eigenständige Offline-Authentifizierung konfigurieren oder die PIN mit der Active Directory-Kennwortzwischenspeicherung kombinieren, um die Authentifizierung für optimale Benutzerfreundlichkeit zu optimieren. Sie konfigurieren die Citrix PIN unter Einstellungen > Client > Client-Eigenschaften in der Citrix Endpoint Management-Konsole.
Im Folgenden finden Sie eine Zusammenfassung einiger wichtiger Eigenschaften. Weitere Informationen finden Sie unter Client-Eigenschaften.
ENABLE_PASSCODE_AUTH
Anzeigename: Citrix PIN-Authentifizierung aktivieren
Dieser Schlüssel ermöglicht es Ihnen, die Citrix PIN-Funktionalität zu aktivieren. Mit der Citrix PIN oder dem Passcode werden Benutzer aufgefordert, eine PIN zu definieren, die sie anstelle ihres Active Directory-Passworts verwenden können. Aktivieren Sie diese Einstellung, wenn ENABLE_PASSWORD_CACHING aktiviert ist oder wenn Citrix Endpoint Management die Zertifikatsauthentifizierung verwendet.
Mögliche Werte: true oder false
Standardwert: false
ENABLE_PASSWORD_CACHING
Anzeigename: Benutzerpasswort-Caching aktivieren
Dieser Schlüssel ermöglicht es Ihnen, das Active Directory-Passwort der Benutzer lokal auf dem mobilen Gerät zwischenzuspeichern. Wenn Sie diesen Schlüssel auf true setzen, werden Benutzer aufgefordert, eine Citrix PIN oder einen Passcode festzulegen. Der Schlüssel ENABLE_PASSCODE_AUTH muss auf true gesetzt werden, wenn Sie diesen Schlüssel auf true setzen.
Mögliche Werte: true oder false
Standardwert: false
PASSCODE_STRENGTH
Anzeigename: Anforderung an die PIN-Stärke
Dieser Schlüssel definiert die Stärke der Citrix PIN oder des Passcodes. Wenn Sie diese Einstellung ändern, werden Benutzer beim nächsten Mal, wenn sie zur Authentifizierung aufgefordert werden, aufgefordert, eine neue Citrix PIN oder einen neuen Passcode festzulegen.
Mögliche Werte: Niedrig, Mittel oder Stark
Standardwert: Mittel
INACTIVITY_TIMER
Anzeigename: Inaktivitäts-Timer
Dieser Schlüssel definiert die Zeit in Minuten, die Benutzer ihre Geräte inaktiv lassen können und dann auf eine App zugreifen können, ohne zur Eingabe einer Citrix PIN oder eines Passcodes aufgefordert zu werden. Um diese Einstellung für eine MDX-App zu aktivieren, müssen Sie die Einstellung App-Passcode auf Ein setzen. Wenn die Einstellung App-Passcode auf Aus gesetzt ist, werden Benutzer zur vollständigen Authentifizierung zu Citrix Secure Hub umgeleitet. Wenn Sie diese Einstellung ändern, wird der Wert wirksam, sobald Benutzer das nächste Mal zur Authentifizierung aufgefordert werden. Der Standardwert ist 15 Minuten.
ENABLE_TOUCH_ID_AUTH
Anzeigename: Touch ID-Authentifizierung aktivieren
Ermöglicht die Verwendung des Fingerabdrucklesers (nur unter iOS) für die Offline-Authentifizierung. Die Online-Authentifizierung erfordert weiterhin die primäre Authentifizierungsmethode.
ENCRYPT_SECRETS_USING_PASSCODE
Anzeigename: Geheimnisse mit Passcode verschlüsseln
Dieser Schlüssel ermöglicht die Speicherung sensibler Daten auf dem Mobilgerät in einem geheimen Tresor anstelle eines plattformbasierten nativen Speichers, wie z. B. der iOS-Schlüsselbund. Dieser Konfigurationsschlüssel ermöglicht eine starke Verschlüsselung von Schlüsselartefakten, fügt aber auch Benutzerentropie hinzu (ein vom Benutzer generierter zufälliger PIN-Code, den nur der Benutzer kennt).
Mögliche Werte: true oder false
Standardwert: false
NetScaler Gateway-Einstellungen
Sitzungs-Timeout: Wenn Sie diese Einstellung aktivieren, trennt NetScaler Gateway die Sitzung, wenn NetScaler Gateway für das angegebene Intervall keine Netzwerkaktivität feststellt. Diese Einstellung wird für Benutzer erzwungen, die sich mit dem NetScaler Gateway Plug-in, Citrix Secure Hub oder über einen Webbrowser verbinden. Der Standardwert ist 1440 Minuten. Wenn Sie diesen Wert auf Null setzen, ist die Einstellung deaktiviert.
Erzwungenes Timeout: Wenn Sie diese Einstellung aktivieren, trennt NetScaler Gateway die Sitzung, nachdem das Timeout-Intervall abgelaufen ist, unabhängig davon, was der Benutzer tut. Wenn das Timeout-Intervall abläuft, kann der Benutzer keine Maßnahmen ergreifen, um die Trennung zu verhindern. Diese Einstellung wird für Benutzer erzwungen, die sich mit dem NetScaler Gateway Plug-in, Citrix Secure Hub oder über einen Webbrowser verbinden. Wenn Citrix Secure Mail STA verwendet, einen speziellen NetScaler Gateway-Modus, gilt diese Einstellung nicht für Citrix Secure Mail-Sitzungen. Der Standardwert ist kein Wert, was bedeutet, dass Sitzungen bei jeder Aktivität verlängert werden.
Weitere Informationen zu den Timeout-Einstellungen für NetScaler Gateway finden Sie in der NetScaler Gateway-Dokumentation.
Weitere Informationen zu den Szenarien, die Benutzer zur Authentifizierung mit Citrix Endpoint Management durch Eingabe von Anmeldeinformationen auf ihren Geräten auffordern, finden Sie unter Szenarien für Authentifizierungsaufforderungen.
Standardkonfigurationseinstellungen
Diese Einstellungen sind die Standardwerte, die bereitgestellt werden von:
- NetScaler® für XenMobile-Assistent
- MAM SDK oder MDX Toolkit
- Citrix Endpoint Management-Konsole
| Einstellung | Wo die Einstellung zu finden ist | Standardeinstellung |
|---|---|---|
| Sitzungs-Timeout | NetScaler Gateway | 1440 Minuten |
| Erzwungenes Timeout | NetScaler Gateway | Kein Wert (aus) |
| Maximale Offline-Periode | MDX Policies | 72 Stunden |
| Ablauf des Tickets für Hintergrunddienste | MDX Policies | 168 Stunden (7 Tage) |
| Micro-VPN-Sitzung erforderlich | MDX Policies | Aus |
| Gnadenfrist für erforderliche Micro-VPN-Sitzung | MDX Policies | 0 |
| App-Passcode | MDX Policies | Ein |
| Geheimnisse mit Passcode verschlüsseln | Citrix Endpoint Management client properties | false |
| Citrix PIN-Authentifizierung aktivieren | Citrix Endpoint Management client properties | false |
| Anforderung an die PIN-Stärke | Citrix Endpoint Management client properties | Mittel |
| PIN-Typ | Citrix Endpoint Management client properties | Numerisch |
| Benutzerpasswort-Caching aktivieren | Citrix Endpoint Management client properties | false |
| Inaktivitäts-Timer | Citrix Endpoint Management client properties | 15 |
| Touch ID-Authentifizierung aktivieren | Citrix Endpoint Management client properties | false |
Empfohlene Konfigurationen
Dieser Abschnitt enthält Beispiele für drei Citrix Endpoint Management-Konfigurationen, die von der niedrigsten Sicherheit und optimalen Benutzererfahrung bis zur höchsten Sicherheit und einer invasiveren Benutzererfahrung reichen. Diese Beispiele bieten Ihnen hilfreiche Anhaltspunkte, um zu bestimmen, wo auf dieser Skala Sie Ihre eigene Konfiguration platzieren möchten. Das Ändern dieser Einstellungen kann erfordern, dass Sie andere Einstellungen anpassen. Beispielsweise darf die maximale Offline-Periode das Sitzungs-Timeout nicht überschreiten.
Höchste Sicherheit
Diese Konfiguration bietet das höchste Sicherheitsniveau, bringt jedoch erhebliche Kompromisse bei der Benutzerfreundlichkeit mit sich.
| Einstellung | Wo die Einstellung zu finden ist | Empfohlene Einstellung | Auswirkung auf das Verhalten |
| Sitzungs-Timeout | NetScaler Gateway | 1440 | Benutzer geben ihre Citrix Secure Hub-Anmeldeinformationen nur ein, wenn eine Online-Authentifizierung erforderlich ist – alle 24 Stunden. |
| Erzwungenes Timeout | NetScaler Gateway | Kein Wert | Sitzungen werden bei Aktivität verlängert. |
| Maximale Offline-Periode | MDX Policies | 23 | Erfordert eine tägliche Richtlinienaktualisierung. |
| Ablauf des Tickets für Hintergrunddienste | MDX Policies | 72 Stunden | Timeout für STA, das langlebige Sitzungen ohne NetScaler Gateway-Sitzungstoken ermöglicht. Bei Citrix Secure Mail verhindert ein längeres STA-Timeout als das Sitzungs-Timeout, dass E-Mail-Benachrichtigungen unterbrochen werden. In diesem Fall fordert Citrix Secure Mail den Benutzer nicht auf, wenn er die App nicht vor Ablauf der Sitzung öffnet. |
| Micro-VPN-Sitzung erforderlich | MDX Policies | Aus | Stellt eine gültige Netzwerkverbindung und NetScaler Gateway-Sitzung zur Nutzung der Apps bereit. |
| Gnadenfrist für erforderliche Micro-VPN-Sitzung | MDX Policies | 0 | Keine Gnadenfrist (wenn Sie die Micro-VPN-Sitzung aktiviert haben). |
| App-Passcode | MDX Policies | Ein | Erfordert einen Passcode für eine Anwendung. |
| Geheimnisse mit Passcode verschlüsseln | Citrix Endpoint Management client properties | true | Ein von der Benutzerentität abgeleiteter Schlüssel schützt den Tresor. |
| Citrix PIN-Authentifizierung aktivieren | Citrix Endpoint Management client properties | true | Citrix PIN für eine vereinfachte Authentifizierung aktivieren. |
| Anforderung an die PIN-Stärke | Citrix Endpoint Management client properties | Stark | Hohe Anforderungen an die Passwortkomplexität. |
| PIN-Typ | Citrix Endpoint Management client properties | Alphanumerisch | PIN ist eine alphanumerische Sequenz. |
| Kennwort-Caching aktivieren | Citrix Endpoint Management-Client-Eigenschaften | false | Das Active Directory-Kennwort wird nicht zwischengespeichert, und für Offline-Authentifizierungen wird eine Citrix PIN verwendet. |
| Inaktivitäts-Timer | Citrix Endpoint Management-Client-Eigenschaften | 15 | Wenn ein Benutzer MDX-Apps oder Citrix Secure Hub in diesem Zeitraum nicht verwendet, wird er zur Offline-Authentifizierung aufgefordert. |
| Touch ID-Authentifizierung aktivieren | Citrix Endpoint Management-Client-Eigenschaften | false | Deaktiviert Touch ID für Offline-Authentifizierungsfälle in iOS. |
Höhere Sicherheit
Dieser Ansatz ist ein Mittelweg und erfordert, dass sich Benutzer häufiger authentifizieren – höchstens alle 3 Tage statt 7 – und bietet eine stärkere Sicherheit. Die erhöhte Anzahl von Authentifizierungen sperrt den Container häufiger und bietet Datensicherheit, wenn Geräte nicht verwendet werden.
| Einstellung | Wo die Einstellung zu finden ist | Empfohlene Einstellung | Auswirkung auf das Verhalten |
| Sitzungs-Timeout | NetScaler Gateway | 4320 | Benutzer geben ihre Citrix Secure Hub-Anmeldeinformationen nur ein, wenn eine Online-Authentifizierung erforderlich ist – alle 3 Tage. |
| Erzwingen des Timeouts | NetScaler Gateway | Kein Wert | Sitzungen werden bei Aktivität verlängert. |
| Maximaler Offline-Zeitraum | MDX-Richtlinien | 71 | Erfordert eine Richtlinienaktualisierung alle 3 Tage. Die Stundendifferenz dient dazu, eine Aktualisierung vor dem Sitzungs-Timeout zu ermöglichen. |
| Ablauf des Tickets für Hintergrunddienste | MDX-Richtlinien | 168 Stunden | Timeout für STA, das langlebige Sitzungen ohne NetScaler Gateway-Sitzungstoken ermöglicht. Bei Citrix Secure Mail wird durch eine längere STA-Timeout-Dauer als die Sitzungs-Timeout-Dauer vermieden, dass E-Mail-Benachrichtigungen ohne Benutzeraufforderung beendet werden. |
| micro VPN-Sitzung erforderlich | MDX-Richtlinien | Aus | Bietet eine gültige Netzwerkverbindung und NetScaler Gateway-Sitzung zur Nutzung der Apps. |
| micro VPN-Sitzung erforderlich – Kulanzzeitraum | MDX-Richtlinien | 0 | Kein Kulanzzeitraum (wenn Sie „micro VPN-Sitzung erforderlich“ aktiviert haben). |
| App-Passcode | MDX-Richtlinien | Ein | Erfordert einen Passcode für eine Anwendung. |
| Geheimnisse mit Passcode verschlüsseln | Citrix Endpoint Management-Client-Eigenschaften | false | Erfordert keine Benutzer-Entropie zur Verschlüsselung des Tresors. |
| Citrix PIN-Authentifizierung aktivieren | Citrix Endpoint Management-Client-Eigenschaften | true | Aktiviert die Citrix PIN für eine vereinfachte Authentifizierung. |
| PIN-Stärkeanforderung | Citrix Endpoint Management-Client-Eigenschaften | Mittel | Erzwingt Regeln für mittlere Kennwortkomplexität. |
| PIN-Typ | Citrix Endpoint Management-Client-Eigenschaften | Numerisch | Eine PIN ist eine numerische Sequenz. |
| Kennwort-Caching aktivieren | Citrix Endpoint Management-Client-Eigenschaften | true | Die Benutzer-PIN speichert und schützt das Active Directory-Kennwort. |
| Inaktivitäts-Timer | Citrix Endpoint Management-Client-Eigenschaften | 30 | Wenn ein Benutzer MDX-Apps oder Citrix Secure Hub in diesem Zeitraum nicht verwendet, wird er zur Offline-Authentifizierung aufgefordert. |
| Touch ID-Authentifizierung aktivieren | Citrix Endpoint Management Client-Eigenschaften | true | Ermöglicht Touch ID für Offline-Authentifizierungsanwendungsfälle unter iOS. |
Hohe Sicherheit
Diese Konfiguration, die für Benutzer am bequemsten ist, bietet ein grundlegendes Sicherheitsniveau.
| Einstellung | Wo die Einstellung zu finden ist | Empfohlene Einstellung | Auswirkung auf das Verhalten |
| Sitzungs-Timeout | NetScaler Gateway | 10080 | Benutzer geben ihre Citrix Secure Hub-Anmeldeinformationen nur ein, wenn eine Online-Authentifizierung erforderlich ist – alle 7 Tage. |
| Erzwungenes Timeout | NetScaler Gateway | Kein Wert | Sitzungen werden bei jeder Aktivität verlängert. |
| Maximale Offline-Periode | MDX-Richtlinien | 167 | Erfordert eine Richtlinienaktualisierung jede Woche (alle 7 Tage). Die Stundendifferenz dient dazu, eine Aktualisierung vor dem Sitzungs-Timeout zu ermöglichen. |
| Ablauf des Tickets für Hintergrunddienste | MDX-Richtlinien | 240 | Timeout für STA, das langlebige Sitzungen ohne NetScaler Gateway-Sitzungstoken ermöglicht. Für Citrix Secure Mail vermeidet eine längere STA-Timeout-Dauer als das Sitzungs-Timeout, dass E-Mail-Benachrichtigungen stoppen. In diesem Fall fordert Citrix Secure Mail den Benutzer nicht auf, wenn er die App nicht vor Ablauf der Sitzung öffnet. |
| Micro-VPN-Sitzung erforderlich | MDX-Richtlinien | Aus | Bietet eine gültige Netzwerkverbindung und NetScaler Gateway-Sitzung zur Nutzung der Apps. |
| Kulanzzeitraum für erforderliche Micro-VPN-Sitzung | MDX-Richtlinien | 0 | Kein Kulanzzeitraum (wenn Sie die erforderliche Micro-VPN-Sitzung aktiviert haben). |
| App-Passcode | MDX-Richtlinien | Ein | Erfordert einen Passcode für eine Anwendung. |
| Geheimnisse mit Passcode verschlüsseln | Citrix Endpoint Management-Client-Eigenschaften | false | Erfordert keine Benutzer-Entropie zur Verschlüsselung des Tresors. |
| Citrix PIN-Authentifizierung aktivieren | Citrix Endpoint Management-Client-Eigenschaften | true | Aktiviert die Citrix PIN für eine vereinfachte Authentifizierungserfahrung. |
| Anforderung an die PIN-Stärke | Citrix Endpoint Management-Client-Eigenschaften | Niedrig | Keine Anforderungen an die Passwortkomplexität. |
| PIN-Typ | Citrix Endpoint Management-Client-Eigenschaften | Numerisch | Eine PIN ist eine numerische Sequenz. |
| Passwort-Caching aktivieren | Citrix Endpoint Management-Client-Eigenschaften | true | Die Benutzer-PIN speichert und schützt das Active Directory-Passwort. |
| Inaktivitäts-Timer | Citrix Endpoint Management-Client-Eigenschaften | 90 | Wenn ein Benutzer MDX-Apps oder Citrix Secure Hub für diesen Zeitraum nicht verwendet, wird eine Offline-Authentifizierung angefordert. |
| Touch ID-Authentifizierung aktivieren | Citrix Endpoint Management-Client-Eigenschaften | true | Aktiviert Touch ID für Offline-Authentifizierungs-Anwendungsfälle unter iOS. |
Verwendung der Step-Up-Authentifizierung
Einige Apps erfordern möglicherweise eine erweiterte Authentifizierung. Zum Beispiel einen sekundären Authentifizierungsfaktor, wie ein Token oder aggressive Sitzungs-Timeouts. Sie steuern diese Authentifizierungsmethode über eine MDX-Richtlinie. Die Methode erfordert auch einen separaten virtuellen Server zur Steuerung der Authentifizierungsmethoden (entweder auf demselben oder auf separaten NetScaler Gateway-Appliances).
| Einstellung | Wo die Einstellung zu finden ist | Empfohlene Einstellung | Auswirkung auf das Verhalten |
|---|---|---|---|
| Alternativer NetScaler Gateway | MDX-Richtlinien | Erfordert den FQDN und den Port der sekundären NetScaler Gateway-Appliance. | Ermöglicht eine erweiterte Authentifizierung, die durch die Authentifizierungs- und Sitzungsrichtlinien der sekundären NetScaler Gateway-Appliance gesteuert wird. |
Wenn ein Benutzer eine App öffnet, die das alternative NetScaler Gateway verwendet, verwenden alle anderen Apps diese NetScaler Gateway-Instanz, um mit dem internen Netzwerk zu kommunizieren. Die Sitzung wechselt erst dann zur NetScaler Gateway-Instanz mit geringerer Sicherheit zurück, wenn die Sitzung von der NetScaler Gateway-Instanz mit erhöhter Sicherheit abläuft.
Micro-VPN-Sitzung erforderlich
Für bestimmte Anwendungen, wie z. B. Citrix Secure Web, können Sie sicherstellen, dass Benutzer eine App nur ausführen, wenn sie eine authentifizierte Sitzung haben. Diese Richtlinie erzwingt diese Option und ermöglicht eine Nachfrist, damit Benutzer ihre Arbeit beenden können.
| Einstellung | Wo die Einstellung zu finden ist | Empfohlene Einstellung | Auswirkung auf das Verhalten |
|---|---|---|---|
| Micro-VPN-Sitzung erforderlich | MDX-Richtlinien | Ein | Stellt sicher, dass ein Gerät online ist und über ein gültiges Authentifizierungstoken verfügt. |
| Nachfrist für erforderliche Micro-VPN-Sitzung | MDX-Richtlinien | 15 | Ermöglicht eine Nachfrist von 15 Minuten, bevor der Benutzer die Apps nicht mehr verwenden kann |