Acerca de Citrix Endpoint Management
Citrix Endpoint Management es una solución unificada de administración de dispositivos de punto final que incorpora todas las aplicaciones y dispositivos de punto final en una sola vista unificada para mejorar la seguridad y aumentar la productividad. Para ver una introducción general sobre la solución unificada de administración de dispositivos, consulte el resumen técnico de Citrix Tech Zone, Citrix Endpoint Management.
Citrix Endpoint Management ofrece la administración de dispositivos móviles (MDM) y la administración de aplicaciones móviles (MAM).
Con las funciones de MDM que ofrece Citrix Endpoint Management, puede:
- Implementar aplicaciones y directivas de dispositivo.
- Obtener inventarios de activos.
- Llevar a cabo acciones en los dispositivos, como borrados.
Con las funciones de MAM que ofrece Citrix Endpoint Management, puede:
- Proteger las aplicaciones y los datos en los dispositivos móviles BYOD.
- Entregar aplicaciones móviles de empresa.
- Bloquear aplicaciones y borrar los datos que contengan.
Con una combinación de funciones de MDM y MAM, puede:
- Administrar dispositivos de empresa a través de MDM
- Implementar aplicaciones y directivas de dispositivo
- Obtener un inventario de activos
- Borrar dispositivos
- Entregar aplicaciones móviles de empresa
- Bloquear aplicaciones y borrar los datos en los dispositivos
En la siguiente tabla, se resumen las funciones de Citrix Endpoint Management disponibles para MDM, MAM o MDM+MAM.
Funciones (por plataforma) | MDM (1) | MAM (2) | MDM+MAM |
---|---|---|---|
Android Enterprise: | |||
Disponibilidad de la inscripción de dispositivos | Sí | Sí | Sí |
Disponibilidad de la autenticación de dominios | Sí | No | Sí |
Disponibilidad de la autenticación con dominio y token de seguridad | No | No | Sí |
Disponibilidad de la autenticación con certificados de cliente | No | Sí | Sí |
Compatibilidad con la autenticación con certificado de cliente y dominio | No | No | Sí |
Compatibilidad con el certificado de cliente y token de seguridad | No | No | Sí |
Compatibilidad con proveedores de identidades de Azure AD | Sí | No | Sí |
Compatibilidad con proveedores de identidades de Okta | Sí | No | Sí |
Single Sign-On en aplicaciones SaaS nativas | Sí | No | Sí |
Compatibilidad con Citrix Content Delivery Network para aplicaciones empresariales | Sí | Sí | Sí |
Compatibilidad con Citrix Content Delivery Network para aplicaciones MDX | Sí | Sí | Sí |
Compatibilidad con dispositivos compartidos mediante el aprovisionamiento de dispositivos Android Enterprise (COSU) dedicados | Sí | No | Sí |
Android (heredado): | |||
Disponibilidad de la inscripción de dispositivos | Sí | Sí | Sí |
Disponibilidad de la autenticación con dominio o dominio y token de seguridad | No | No | Sí |
Disponibilidad de la autenticación con certificados de cliente | No | Sí | Sí |
Compatibilidad con la autenticación con certificado de cliente y dominio | No | No | Sí |
Compatibilidad con el certificado de cliente y token de seguridad | No | No | Sí |
Compatibilidad con proveedores de identidades de Azure AD y Citrix | Sí | No | Sí |
Compatibilidad con proveedores de identidades de Okta | Sí | No | Sí |
Single Sign-On en aplicaciones SaaS nativas | Sí | No | Sí |
Compatibilidad con Citrix Content Delivery Network para aplicaciones empresariales | Sí | Sí | Sí |
Compatibilidad con Citrix Content Delivery Network para aplicaciones MDX | Sí | Sí | Sí |
Chrome: | |||
Disponibilidad de la inscripción de dispositivos | Sí | No | Sí |
Compatibilidad con autenticación de nombre de usuario y contraseña | Sí | No | Sí |
iOS: | |||
Disponibilidad de la inscripción de dispositivos | Sí | Sí | Sí |
Disponibilidad de la autenticación con dominio o dominio y token de seguridad | No | No | Sí |
Disponibilidad de la autenticación con certificados de cliente | No | Sí | Sí |
Compatibilidad con la autenticación con certificado de cliente y dominio | No | No | Sí |
Compatibilidad con proveedores de identidades de Azure AD y Citrix | Sí | No | Sí |
Compatibilidad con proveedores de identidades de Okta | Sí | No | Sí |
Single Sign-On en aplicaciones SaaS nativas | Sí | No | Sí |
Compatibilidad con Citrix Content Delivery Network para aplicaciones empresariales | Sí | Sí | Sí |
Compatibilidad con Citrix Content Delivery Network para aplicaciones MDX | Sí | Sí | Sí |
Integración en Apple Education | Sí | No | Sí |
macOS: | |||
Disponibilidad de la inscripción de dispositivos | Sí | No | No |
Compatibilidad con dominio o dominio y contraseña de un solo uso | Sí | No | No |
Compatibilidad con URL de invitación y contraseña de un solo uso | Sí | No | No |
Windows: | |||
Disponibilidad de la inscripción de dispositivos | Sí | No | No |
Inscripción automática de dispositivos con Windows 10 o Windows 11 a través de la aplicación Citrix Workspace | Sí | No | No |
Disponibilidad de la autenticación con dominio o dominio y token de seguridad | Sí | No | No |
Disponibilidad de la autenticación con certificados de cliente | Sí | No | No |
Compatibilidad con la autenticación con certificado de cliente y dominio | Sí | No | No |
Autenticación federada a través del proveedor de identidades de Azure AD o Citrix | Sí | No | No |
Compatibilidad con Citrix Content Delivery Network para aplicaciones empresariales | Sí | No | No |
Integración en Workspace Environment Management (3) | Sí | No | No |
Notas:
(1) El orden de implementación solo se aplica a los dispositivos de un grupo de entrega que tenga un perfil de inscripción configurado para MDM (administración de dispositivos).
(2) La inscripción en MAM requiere NetScaler Gateway.
(3) La integración en Workspace Environment Management (WEM) ofrece acceso a las funciones de MDM en una amplia gama de sistemas operativos Windows.
Para obtener más información, consulte Modos de administración.
Arquitectura
Los requisitos de administración de dispositivos o de aplicaciones que tenga la organización son los que determinan los componentes de Citrix Endpoint Management que incluirá su arquitectura de Citrix Endpoint Management. Los componentes de Citrix Endpoint Management son módulos y se construyen unos sobre otros. Por ejemplo, su implementación incluye NetScaler Gateway:
- NetScaler Gateway proporciona a los usuarios acceso remoto a las aplicaciones móviles y realiza un seguimiento de los tipos de dispositivos de los usuarios.
- Citrix Endpoint Management es donde administra esas aplicaciones y dispositivos.
El diagrama siguiente ofrece una vista general de la arquitectura que tendría una implementación de Citrix Endpoint Management en la nube; también se ilustra la integración en su centro de datos.
Las siguientes subsecciones contienen diagramas de arquitectura de referencia para:
- Citrix Endpoint Management
- Componentes opcionales como entidades de certificación externas, el conector de Citrix Endpoint Management para Exchange ActiveSync y el flujo de tráfico de MAM de Intune y MDM+MAM de Citrix Endpoint Management.
Para obtener más información acerca de los requisitos de Citrix ADC y NetScaler Gateway, consulte la documentación de productos Citrix en https://docs.citrix.com/.
Arquitectura de referencia para componentes principales
Para obtener información detallada acerca de los requisitos de puertos, consulte Requisitos del sistema.
Arquitectura de referencia con Citrix Virtual Apps and Desktops
Arquitectura de referencia con el conector de Citrix Endpoint Management para Exchange ActiveSync
Arquitectura de referencia con el conector de NetScaler Gateway para Exchange ActiveSync
Arquitectura de referencia con MDM+MAM de Citrix Endpoint Management y MAM de Intune
Ubicaciones de recursos
Coloque las ubicaciones de recursos donde mejor se adapten a las necesidades de su negocio. Por ejemplo, en una nube pública, una sucursal, una nube privada o un centro de datos. A continuación, se presentan los factores que determinan la selección de la ubicación:
- Proximidad a los suscriptores
- Proximidad a los datos
- Requisitos de escala
- Atributos de seguridad
Puede crear cuantas ubicaciones de recursos quiera. Por ejemplo, puede:
- Crear una ubicación de recursos en el centro de datos para la oficina principal, en función de los suscriptores y las aplicaciones que necesitan situarse cerca de los datos.
- Agregar una ubicación de recursos separada para usuarios globales en una nube pública. O crear ubicaciones de recursos independientes en cada una de las sucursales para entregar aplicaciones que funcionan mejor cuando se sitúan cerca de los trabajadores de las sucursales.
- Agregar una ubicación de recursos adicional en otra red, que proporcione aplicaciones de carácter restringido. Esta estructura ofrece la ventaja de una visibilidad restringida para otros recursos y suscriptores, sin la necesidad de ajustar las demás ubicaciones de recursos.
Cloud Connector
Cloud Connector autentica y cifra toda la comunicación entre Citrix Cloud y las ubicaciones de recursos. Cloud Connector es necesario para acceder a los siguientes servicios: LDAP, IDP, servidor de PKI, consultas DNS internas, Citrix Virtual Apps, NetScaler Gateway, Citrix Workspace y Microsoft Endpoint Manager.
El siguiente diagrama muestra el flujo del tráfico de Cloud Connector.
Cloud Connector establece conexiones con Citrix Cloud. Cloud Connector no acepta conexiones entrantes.
Cloud Connector recibe la carga solo durante la inscripción de dispositivos. Para obtener más información, consulte Consideraciones de escala y tamaño para los Cloud Connectors.
Una solución que ofrezca la administración de aplicaciones móviles (MAM) requiere una red micro VPN proporcionada por un NetScaler Gateway local. En este caso:
- Los siguientes componentes residen en el centro de datos:
- Cloud Connector
- NetScaler Gateway
- Sus servidores para Exchange, aplicaciones web, Active Directory y PKI
- Los dispositivos móviles se comunican con Citrix Endpoint Management y su NetScaler Gateway local (“on premises”).
Componentes Citrix Endpoint Management
Consola de Citrix Endpoint Management. Utilice la consola de administrador de Citrix Endpoint Management para configurar Citrix Endpoint Management. Para obtener más información sobre cómo usar la consola de Citrix Endpoint Management, consulte los artículos de Citrix Endpoint Management. Citrix le notificará cuando los artículos “Novedades” de Citrix Endpoint Management se actualicen para una nueva versión.
Tenga en cuenta estas diferencias entre Citrix Endpoint Management Service y las versiones locales:
- En Citrix Endpoint Management, el cliente de asistencia remota, llamado Citrix Endpoint Management Remote Support, no está disponible.
- Citrix no ofrece soporte a la integración de syslog en Citrix Endpoint Management con un servidor syslog local. En su lugar, puede descargar los registros desde la página Solución de problemas y asistencia en la consola de Citrix Endpoint Management. Al hacerlo, debe hacer clic en Descargar todo.
SDK de MAM. MDX Toolkit está programado para alcanzar su fin de vida (EOL) en julio de 2023. Para seguir administrando sus aplicaciones empresariales, debe incorporar el SDK de MAM.
- El SDK de administración de aplicaciones móviles (MAM) proporciona funcionalidad MDX que no cubren las plataformas iOS y Android. Puede habilitar MDX y proteger las aplicaciones iOS o Android. Puede hacer que esas aplicaciones estén disponibles en un almacén interno o en tiendas públicas de aplicaciones. Consulte SDK de aplicaciones MDX.
Aplicaciones móviles de productividad. Las aplicaciones móviles de productividad desarrolladas por Citrix ofrecen un conjunto de herramientas de productividad y comunicación dentro del entorno de Citrix Endpoint Management. Las directivas de la empresa protegen esas aplicaciones. Para obtener más información, consulte Aplicaciones móviles de productividad.
Conector de Citrix Endpoint Management para Exchange ActiveSync. El conector de Citrix Endpoint Management para Exchange ActiveSync ofrece acceso seguro al correo electrónico para los usuarios que usan aplicaciones móviles nativas de correo electrónico. El conector para Exchange ActiveSync ofrece el filtrado de ActiveSync en el nivel de servicio de Exchange. Así, el filtrado solo se produce una vez que el correo haya llegado al servicio de intercambio, en lugar de en cuanto entre en el entorno de Citrix Endpoint Management. El conector no requiere el uso de NetScaler Gateway. Puede implementar el conector sin cambiar la redirección del tráfico existente de ActiveSync. Para obtener más información, consulte Conector de Citrix Endpoint Management para Exchange ActiveSync.
Conector de NetScaler Gateway para Exchange ActiveSync El conector de NetScaler Gateway para Exchange ActiveSync ofrece acceso seguro al correo electrónico para los usuarios que usan aplicaciones móviles nativas de correo electrónico. El conector para Exchange ActiveSync ofrece el filtrado de ActiveSync en el perímetro. El filtrado utiliza NetScaler Gateway como proxy para el tráfico de ActiveSync. Así, el componente de filtrado se encuentra en la ruta de tráfico del correo: lo intercepta a medida que entra o sale del entorno. El conector para Exchange ActiveSync actúa como intermediario entre NetScaler Gateway y Citrix Endpoint Management. Para obtener más información, consulte Conector de NetScaler Gateway para Exchange ActiveSync.
Información técnica general sobre la seguridad de Citrix Endpoint Management
Citrix Cloud administra el plano de control para entornos de Citrix Endpoint Management. El plano de control incluye el servidor de Citrix Endpoint Management, el equilibrador de carga de Citrix ADC y una base de datos de un solo arrendatario. El servicio de nube se integra en el centro de datos del cliente a través de Citrix Cloud Connector. Los clientes de Citrix Endpoint Management que usan Cloud Connector suelen administrar NetScaler Gateway en sus centros de datos.
En la siguiente imagen se ilustra el servicio y sus límites de seguridad.
La información de esta sección:
- Ofrece una introducción a la funcionalidad de seguridad en Citrix Cloud.
- Define la división de responsabilidades entre los clientes y Citrix para proteger la implementación de Citrix Cloud.
- No está pensada para ser una guía de configuración o administración de Citrix Cloud ni de ninguno de sus componentes o servicios.
Para obtener información acerca de la tecnología utilizada por Citrix Endpoint Management para ofrecer una seguridad integral, de extremo a extremo, consulte Security and Productivity for the Mobile Enterprise.
Flujo de datos
El plano de control tiene acceso de lectura limitado a los objetos de usuario y grupo. Esos objetos residen en su directorio, DNS y servicios similares. El plano de control accede a esos servicios a través de Citrix Cloud Connector mediante conexiones HTTPS seguras.
Los datos de empresa (como el correo electrónico, la intranet y el tráfico de las aplicaciones Web) se transfieren directamente entre un dispositivo y los servidores de aplicaciones a través de NetScaler Gateway. NetScaler Gateway se implementa en el centro de datos del cliente.
Aislamiento de datos
El plano de control almacena los metadatos necesarios para administrar los dispositivos de usuario y sus aplicaciones móviles. El servicio en sí se compone de una combinación de componentes de arrendatario único y multiarrendatario. Sin embargo, según la arquitectura del servicio, los metadatos de clientes de cada arrendatario siempre se almacenan por separado y se protegen con credenciales únicas.
Gestión de credenciales
El servicio gestiona los siguientes tipos de credenciales:
- Credenciales de usuario: Las credenciales de usuario se transmiten desde el dispositivo al plano de control a través de una conexión HTTPS. El plano de control coteja esas credenciales con un directorio en el directorio del cliente a través de una conexión segura y las valida.
- Credenciales de administrador: Los administradores se autentican en Citrix Cloud, que utiliza el sistema de inicio de sesión de Citrix Online. Ese proceso genera un token web JSON (JWT) firmado y de un solo uso, lo que permite que el administrador acceda al servicio.
- Credenciales de Active Directory: El plano de control requiere credenciales vinculadas para leer los metadatos de usuario en Active Directory. Esas credenciales se cifran con el cifrado AES-256 y se guardan en una base de datos por arrendatario.
Consideraciones sobre la implementación
Citrix recomienda consultar la documentación publicada sobre las prácticas recomendadas para implementar NetScaler Gateway en sus entornos.
Más recursos
Se recomienda a los clientes que consulten los boletines de seguridad relacionados con sus productos Citrix. Para obtener información sobre boletines de seguridad nuevos y actualizados, consulte Citrix Security Bulletins. Igualmente, considere la posibilidad de suscribirse para recibir alertas en Alert Settings.
Consulte los siguientes recursos para obtener más información acerca de la seguridad:
- Sitio de seguridad de Citrix: https://www.citrix.com/security
- Documentación de Citrix Cloud: Guía de implementación segura para la plataforma Citrix Cloud
- Guía de implementación segura para Citrix ADC
Integración en el software Mobile Threat Defense
El software Mobile Threat Defense (MTD) detecta, analiza y ayuda a prevenir ataques cibernéticos avanzados contra dispositivos móviles empresariales. La combinación de MTD y Unified Citrix Endpoint Management (UEM) aumenta la seguridad y la visibilidad para su organización.
El software MTD proporciona datos de amenazas que Citrix Endpoint Management utiliza para:
- Proteger contra malware, phishing, ataques a redes y ataques de tipo “Man in the middle”
- Determinar el estado de conformidad del dispositivo
- Determinar los niveles de riesgo
- Realizar acciones basadas en directivas para proteger aplicaciones, datos, dispositivos y redes móviles
Citrix Endpoint Management se integra en los siguientes proveedores de MTD:
Para obtener más información o solicitar una demostración, póngase en contacto con nuestros socios de MTD o con un representante de ventas de Citrix.