Produktdokumentation
Secure Hub
PDF anzeigen

Szenarien für Authentifizierungsaufforderungen

May 6, 2026
Beitrag von: 
C C

Verschiedene Szenarien fordern Benutzer auf, sich bei Secure Hub zu authentifizieren, indem sie ihre Anmeldeinformationen auf ihren Geräten eingeben.

  • Die Szenarien ändern sich abhängig von diesen Faktoren:

  • Ihre MDX-App-Richtlinie und die Client-Eigenschaftskonfiguration in den Einstellungen der Endpoint Management-Konsole.
  • Ob die Authentifizierung offline oder online erfolgt (das Gerät benötigt eine Netzwerkverbindung zu Endpoint Management).

Darüber hinaus ändern sich die Art der Anmeldeinformationen, die Benutzer eingeben, wie z. B. das Active Directory-Passwort, die Citrix PIN oder der Passcode, das Einmalpasswort, die Fingerabdruckauthentifizierung (bekannt als Touch ID unter iOS), ebenfalls basierend auf der Art der Authentifizierung und der Häufigkeit der Authentifizierung.

  • Beginnen wir mit den Szenarien, die zu einer Authentifizierungsaufforderung führen.

  • Geräte-Neustart: Wenn Benutzer ihr Gerät neu starten, müssen sie sich erneut bei Secure Hub authentifizieren.

  • Offline-Inaktivität (Zeitüberschreitung): Wenn die MDX-Richtlinie für den App-Passcode aktiviert ist (standardmäßig), kommt die Client-Eigenschaft von Endpoint Management namens Inaktivitäts-Timer ins Spiel. Der Inaktivitäts-Timer begrenzt die Zeitspanne, die ohne Benutzeraktivität in einer der Apps, die den sicheren Container verwenden, vergehen darf.

Wenn der Inaktivitäts-Timer abläuft, müssen sich Benutzer erneut beim sicheren Container auf dem Gerät authentifizieren. Wenn Benutzer beispielsweise ihre Geräte ablegen und weggehen und der Inaktivitäts-Timer abgelaufen ist, kann niemand anderes das Gerät aufnehmen und auf sensible Daten im Container zugreifen. Sie legen die Client-Eigenschaft Inaktivitäts-Timer in der Endpoint Management-Konsole fest. Der Standardwert ist 15 Minuten. Die Kombination aus dem auf EIN gesetzten App-Passcode und der Client-Eigenschaft Inaktivitäts-Timer ist wahrscheinlich für die häufigsten Szenarien der Authentifizierungsaufforderung verantwortlich.

  • Abmelden von Secure Hub:. Wenn Benutzer sich von Secure Hub abmelden, müssen sie sich beim nächsten Zugriff auf Secure Hub oder eine MDX-App erneut authentifizieren, wenn die App einen Passcode gemäß der MDX-Richtlinie für den App-Passcode und dem Status des Inaktivitäts-Timers erfordert.

  • Maximale Offline-Periode:. Dieses Szenario ist spezifisch für einzelne Apps, da es durch eine pro-App-MDX-Richtlinie gesteuert wird. Die MDX-Richtlinie für die maximale Offline-Periode hat eine Standardeinstellung von 3 Tagen. Wenn der Zeitraum abläuft, in dem eine App ohne Online-Authentifizierung mit Secure Hub ausgeführt werden kann, ist ein Check-in bei Endpoint Management erforderlich, um die App-Berechtigung zu bestätigen und Richtlinien zu aktualisieren. Wenn dieser Check-in erfolgt, löst die App Secure Hub für eine Online-Authentifizierung aus. Benutzer müssen sich erneut authentifizieren, bevor sie auf die MDX-App zugreifen können.

Beachten Sie die Beziehung zwischen der maximalen Offline-Periode und der MDX-Richtlinie für die aktive Abfrageperiode:

  • Die aktive Abfrageperiode ist das Intervall, in dem Apps bei Endpoint Management einchecken, um Sicherheitsaktionen wie App-Sperre und App-Löschung durchzuführen. Darüber hinaus prüft die App auch auf aktualisierte App-Richtlinien.

    • Nach einer erfolgreichen Überprüfung der Richtlinien über die Richtlinie für die aktive Abfrageperiode wird der Timer für die maximale Offline-Periode zurückgesetzt und beginnt erneut herunterzuzählen.

    • Beide Check-ins bei Endpoint Management, sowohl für die aktive Abfrageperiode als auch für das Ablaufen der maximalen Offline-Periode, erfordern ein gültiges Citrix Gateway-Token auf dem Gerät. Wenn das Gerät ein gültiges Citrix Gateway-Token besitzt, ruft die App neue Richtlinien von Endpoint Management ab, ohne dass es zu Unterbrechungen für die Benutzer kommt. Wenn die App ein Citrix Gateway-Token benötigt, erfolgt ein Wechsel zu Secure Hub, und Benutzer sehen eine Authentifizierungsaufforderung in Secure Hub.

    • Auf Android-Geräten öffnen sich die Secure Hub-Aktivitätsbildschirme direkt über dem aktuellen App-Bildschirm. Auf iOS-Geräten muss Secure Hub jedoch in den Vordergrund treten, wodurch die aktuelle App vorübergehend verdrängt wird.

    • Nachdem Benutzer ihre Anmeldeinformationen eingegeben haben, wechselt Secure Hub zurück zur ursprünglichen App. Wenn Sie in diesem Fall zwischengespeicherte Active Directory-Anmeldeinformationen zulassen oder ein Client-Zertifikat konfiguriert haben, können Benutzer eine PIN, ein Passwort oder eine Fingerabdruckauthentifizierung eingeben. Andernfalls müssen Benutzer ihre vollständigen Active Directory-Anmeldeinformationen eingeben.

    • Das Citrix ADC-Token kann aufgrund von Inaktivität der Citrix Gateway-Sitzung oder einer erzwungenen Sitzungs-Timeout-Richtlinie ungültig werden, wie in der folgenden Liste der Citrix Gateway-Richtlinien erläutert. Wenn Benutzer sich erneut bei Secure Hub anmelden, können sie die App weiter ausführen.

    • Citrix Gateway-Sitzungsrichtlinien: Zwei Citrix Gateway-Richtlinien beeinflussen ebenfalls, wann Benutzer zur Authentifizierung aufgefordert werden. In diesen Fällen authentifizieren sie sich, um eine Online-Sitzung mit Citrix ADC für die Verbindung zu Endpoint Management herzustellen.

    • Sitzungs-Timeout: Die Citrix ADC-Sitzung für Endpoint Management wird getrennt, wenn für den festgelegten Zeitraum keine Netzwerkaktivität stattfindet. Der Standardwert ist 30 Minuten. Wenn Sie den Citrix Gateway-Assistenten zur Konfiguration der Richtlinie verwenden, beträgt der Standardwert jedoch 1440 Minuten. Benutzer sehen eine Authentifizierungsaufforderung, um sich mit ihrem Unternehmensnetzwerk zu verbinden.
    • Erzwungenes Timeout: Wenn Ein, wird die Citrix ADC-Sitzung für Endpoint Management nach Ablauf der erzwungenen Timeout-Periode getrennt. Das erzwungene Timeout macht eine erneute Authentifizierung nach einem festgelegten Zeitraum obligatorisch. Benutzer sehen dann bei der nächsten Verwendung eine Authentifizierungsaufforderung, um sich mit ihrem Unternehmensnetzwerk zu verbinden. Der Standardwert ist Aus. Wenn Sie den Citrix Gateway-Assistenten zur Konfiguration der Richtlinie verwenden, beträgt der Standardwert jedoch 1440 Minuten.

Anmeldeinformationstypen

Im vorhergehenden Abschnitt wurde erläutert, wann Benutzer zur Authentifizierung aufgefordert werden. Dieser Abschnitt behandelt die Arten von Anmeldeinformationen, die sie eingeben müssen. Die Authentifizierung ist über verschiedene Authentifizierungsmethoden erforderlich, um Zugriff auf verschlüsselte Daten auf dem Gerät zu erhalten. Um das Gerät erstmalig zu entsperren, entsperren Sie den primären Container. Nachdem dies geschehen ist und der Container wieder gesichert wurde, entsperren Sie einen sekundären Container, um erneut Zugriff zu erhalten.

Hinweis:

Der Begriff verwaltete App bezieht sich auf eine App, die mit dem MDX Toolkit umschlossen wurde, bei der Sie die MDX-Richtlinie für den App-Passcode standardmäßig aktiviert gelassen haben und die Client-Eigenschaft „Inaktivitätstimer“ verwenden.

-  Die Umstände, die die Anmeldeinformationstypen bestimmen, sind wie folgt:

-  **Entsperren des primären Containers:** Ein Active Directory-Kennwort, eine Citrix PIN oder ein Passcode, ein Einmalkennwort, Touch ID oder eine Fingerabdruck-ID sind erforderlich, um den primären Container zu entsperren.
-  Unter iOS, wenn Benutzer Secure Hub oder eine verwaltete App zum ersten Mal öffnen, nachdem die App auf dem Gerät installiert wurde.
-  Unter iOS, wenn Benutzer ein Gerät neu starten und dann Secure Hub öffnen.
-  Unter Android, wenn Benutzer eine verwaltete App öffnen, falls Secure Hub nicht ausgeführt wird.
-  Unter Android, wenn Benutzer Secure Hub aus irgendeinem Grund neu starten, einschließlich eines Geräteneustarts.
  • Entsperren des sekundären Containers: Fingerabdruckauthentifizierung (falls konfiguriert), eine Citrix PIN oder ein Passcode oder Active Directory-Anmeldeinformationen, um den sekundären Container zu entsperren.
    • Wenn Benutzer eine verwaltete App öffnen, nachdem der Inaktivitätstimer abgelaufen ist.

    • Wenn Benutzer sich von Secure Hub abmelden und dann eine verwaltete App öffnen.

      • Active Directory-Anmeldeinformationen sind für beide Container-Entsperrungsfälle erforderlich, wenn die folgenden Bedingungen zutreffen:

      • Wenn Benutzer den Passcode ändern, der ihrem Unternehmenskonto zugeordnet ist.

    • Wenn Sie die Client-Eigenschaften in der Endpoint Management-Konsole nicht so eingestellt haben, dass die Citrix PIN aktiviert wird: ENABLE_PASSCODE_AUTH und ENABLE_PASSWORD_CACHING.
      • Wenn die NetScaler® Gateway-Sitzung endet, was unter den folgenden Umständen eintritt: wenn der Sitzungs-Timeout oder der Timer für erzwungenes Timeout der Richtlinie abläuft, wenn das Gerät die Anmeldeinformationen nicht zwischenspeichert oder kein Clientzertifikat besitzt.

Wenn die Fingerabdruckauthentifizierung aktiviert ist, können Benutzer sich mit einem Fingerabdruck anmelden, wenn aufgrund von App-Inaktivität eine Offlineauthentifizierung erforderlich ist. Benutzer müssen weiterhin eine PIN eingeben, wenn sie sich zum ersten Mal bei Secure Hub anmelden und wenn sie das Gerät neu starten. Informationen zum Aktivieren der Fingerabdruckauthentifizierung finden Sie unter Fingerabdruck- oder Touch ID-Authentifizierung.

Das folgende Flussdiagramm fasst den Entscheidungsfluss zusammen, der bestimmt, welche Anmeldeinformationen ein Benutzer eingeben muss, wenn er zur Authentifizierung aufgefordert wird.

Image of user credentials flowchart

Informationen zu Secure Hub-Bildschirmwechseln

Eine weitere zu beachtende Situation ist, wenn ein Wechsel von einer App zu Secure Hub und dann zurück zu einer App erforderlich ist. Der Wechsel zeigt eine Benachrichtigung an, die Benutzer bestätigen müssen. Eine Authentifizierung ist in diesem Fall nicht erforderlich. Die Situation tritt auf, nachdem ein Check-in bei Endpoint Management stattgefunden hat, wie durch die MDX-Richtlinien „Maximale Offline-Dauer“ und „Aktive Abfrageperiode“ festgelegt, und Endpoint Management aktualisierte Richtlinien erkennt, die über Secure Hub an das Gerät übertragen werden müssen.

Passcode-Komplexität für Geräte-Passcode (Android 12+)

Die Passcode-Komplexität wird einer benutzerdefinierten Kennwortanforderung vorgezogen. Die Passcode-Komplexitätsstufe ist eine der vordefinierten Stufen. Somit kann der Endbenutzer kein Kennwort mit einer niedrigeren Komplexitätsstufe festlegen.

Die Passcode-Komplexität für Geräte unter Android 12+ ist wie folgt:

    -  **Passcode-Komplexität anwenden:** Erfordert ein Kennwort mit einer vom System definierten Komplexitätsstufe anstelle einer benutzerdefinierten Kennwortanforderung. Nur für Geräte unter Android 12+ und mit Secure Hub 22.9 oder höher.
    -  **Komplexitätsstufe:** Vordefinierte Stufen der Kennwortkomplexität.
-  **Keine:** Kein Kennwort erforderlich.
    -  **Niedrig:** Kennwörter können sein:
    -  Ein Muster
    -  Eine PIN mit mindestens vier Ziffern
-  **Mittel:** Kennwörter können sein:
    -  Eine PIN ohne sich wiederholende Sequenzen (4444) oder geordnete Sequenzen (1234) und mit mindestens vier Ziffern
    -  Alphabetisch mit mindestens vier Zeichen
    -  Alphanumerisch mit mindestens vier Zeichen
-  **Hoch:** Kennwörter können sein:
    -  Eine PIN ohne sich wiederholende Sequenzen (4444) oder geordnete Sequenzen (1234) und mit mindestens acht Ziffern
    -  Alphabetisch mit mindestens sechs Zeichen
    -  Alphanumerisch mit mindestens sechs Zeichen

Hinweise:

  • Für BYOD-Geräte sind Passcode-Einstellungen wie Mindestlänge, Erforderliche Zeichen, Biometrische Erkennung und Erweiterte Regeln unter Android 12+ nicht anwendbar. Verwenden Sie stattdessen die Passcode-Komplexität.
  • Wenn die Passcode-Komplexität für das Arbeitsprofil aktiviert ist, muss auch die Passcode-Komplexität für die Geräteseite aktiviert sein.

Weitere Informationen finden Sie unter Android Enterprise-Einstellungen in der Citrix Endpoint Management-Dokumentation.

Szenarien für Authentifizierungsaufforderungen
May 6, 2026
Beitrag von: 
C C
May 6, 2026
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.