Citrix Endpoint Management

Integrar Citrix Endpoint Management

En este artículo se describen los elementos a tener en cuenta al planificar cómo se integra Citrix Endpoint Management en su red y sus soluciones existentes. Por ejemplo, si ya está utilizando NetScaler Gateway para Citrix Virtual Apps and Desktops:

  • ¿Quiere utilizar la instancia existente de NetScaler Gateway o una nueva instancia dedicada?
  • ¿Quiere integrar en Citrix Endpoint Management las aplicaciones HDX que se han publicado mediante StoreFront?
  • ¿Va a usar Citrix Files con Citrix Endpoint Management?
  • ¿Tiene una solución de control de acceso a la red que quiera integrar en Citrix Endpoint Management?

NetScaler Gateway

Se necesita NetScaler Gateway para Citrix Endpoint Management. NetScaler Gateway proporciona una ruta de red micro VPN para acceder a todos los recursos de empresa. Asimismo, ofrece un respaldo sólido a la autenticación de varios factores.

Puede usar instancias existentes de NetScaler Gateway o configurar nuevas para Citrix Endpoint Management. En las secciones siguientes se indican las ventajas y las desventajas de utilizar las instancias de NetScaler Gateway existentes o unas instancias nuevas dedicadas.

NetScaler Gateway MPX compartido con una dirección IP virtual de NetScaler Gateway creada para Citrix Endpoint Management

Ventajas:

  • Utiliza una instancia común de NetScaler Gateway para todas las conexiones remotas de Citrix: Citrix Virtual Apps, VPN completa y VPN sin cliente.
  • Utiliza las configuraciones existentes de NetScaler Gateway; por ejemplo, para la autenticación con certificados y para acceder a servicios como DNS, LDAP y NTP.
  • Utiliza una sola licencia de plataforma NetScaler Gateway.

Desventajas:

  • Es más difícil planificar la escalabilidad cuando se enfrenta a dos casos de uso diferentes en el mismo NetScaler Gateway.
  • A veces necesita una versión concreta de NetScaler Gateway para un caso de uso de Citrix Virtual Apps. Sin embargo, esa misma versión podría presentar problemas conocidos en Citrix Endpoint Management. O Citrix Endpoint Management podría presentar problemas conocidos para la versión de NetScaler Gateway.
  • Si ya existe un NetScaler Gateway, no puede ejecutar el asistente de NetScaler para XenMobile por segunda vez para crear la configuración de NetScaler Gateway para Citrix Endpoint Management.
  • Excepto cuando se usan licencias Platinum para NetScaler Gateway 11.1 o posterior, se agrupan las licencias de acceso de usuario instaladas en NetScaler Gateway, necesarias para la conectividad VPN. Puesto que esas licencias están disponibles para todos los servidores virtuales de NetScaler Gateway, unos servicios que no sean de Citrix Endpoint Management pueden potencialmente consumirlas.

Instancia dedicada de NetScaler Gateway VPX o MPX

Ventajas:

Citrix recomienda usar una instancia dedicada de NetScaler Gateway.

  • Es más fácil planear la escalabilidad en ella. Además, así el tráfico de Citrix Endpoint Management se separa de una instancia de NetScaler Gateway que podría ya tener restricciones de recursos.
  • Evita los problemas que pueden surgir cuando Citrix Endpoint Management y Citrix Virtual Apps necesitan diferentes versiones de software de NetScaler Gateway. Por lo general, es mejor utilizar la versión y la compilación más recientes de NetScaler Gateway compatibles con Citrix Endpoint Management.
  • Permite configurar NetScaler Gateway para Citrix Endpoint Management gracias al asistente integrado de NetScaler para XenMobile.
  • Separación virtual y física de servicios.

Desventajas:

  • Requiere la instalación y la configuración de servicios adicionales en NetScaler Gateway para admitir la configuración de Citrix Endpoint Management.
  • Requiere otra licencia de plataforma de NetScaler Gateway. Cada instancia de NetScaler Gateway deberá disponer de una licencia para NetScaler Gateway.

Para obtener información sobre qué tener en cuenta a la hora de integrar NetScaler Gateway y Citrix ADC para los modos de administración de Citrix Endpoint Management, consulte Integración en NetScaler Gateway y Citrix ADC.

StoreFront

Si tiene un entorno de Citrix Virtual Apps and Desktops, puede usar StoreFront para integrar aplicaciones HDX en Citrix Endpoint Management. Cuando integra aplicaciones HDX en Citrix Endpoint Management:

  • Las aplicaciones están disponibles para los usuarios que están inscritos en Citrix Endpoint Management.
  • Las aplicaciones se muestran en el almacén de aplicaciones junto con otras aplicaciones móviles.
  • Citrix Endpoint Management utiliza Citrix Receiver en StoreFront.
  • Si la aplicación Citrix Workspace está instalada en un dispositivo, las aplicaciones HDX comienzan a usarla.

StoreFront presenta una limitación de un sitio de servicio por instancia de StoreFront. Supongamos que tiene varios almacenes y quiere separarlos de otro uso de producción. En ese caso, Citrix recomienda generalmente que se plantee un nuevo sitio de servicios y una nueva instancia de StoreFront para Citrix Endpoint Management.

Plantéese lo siguiente:

  • ¿Hay algún requisito de autenticación diferente para StoreFront? El sitio de servicios de StoreFront requiere credenciales de Active Directory para el inicio de sesión. Los clientes que solo usan la autenticación basada en certificados no pueden enumerar las aplicaciones a través de Citrix Endpoint Management mediante el mismo NetScaler Gateway.
  • ¿Usar el mismo almacén o crear otro?
  • ¿Usar el mismo servidor de StoreFront o no?

En las siguientes secciones se indican las ventajas y las desventajas de utilizar almacenes de StoreFront separados o combinados para Citrix Workspace y las aplicaciones móviles de productividad Citrix.

Integrar la instancia existente de StoreFront en Citrix Endpoint Management

Ventajas:

  • Mismo almacén: No se requiere configuración adicional de StoreFront para Citrix Endpoint Management, suponiendo que utilice la misma dirección IP virtual de NetScaler Gateway para el acceso HDX. Supongamos que elige usar el mismo almacén y quiere dirigir el acceso de Citrix Workspace a una nueva dirección IP virtual de NetScaler Gateway. En ese caso, agregue la configuración apropiada de NetScaler Gateway a StoreFront.
  • Mismo servidor de StoreFront: Utiliza la instalación y la configuración del StoreFront existente.

Desventajas:

  • Mismo almacén: Cualquier cambio en la configuración de StoreFront para admitir las cargas de trabajo de Citrix Virtual Apps and Desktops puede afectar negativamente a Citrix Endpoint Management.
  • Mismo servidor de StoreFront: En entornos grandes, tenga en cuenta la carga adicional que provocará el uso de Citrix Receiver por parte de Citrix Endpoint Management para la enumeración y el inicio de las aplicaciones.

Usar una instancia nueva y dedicada de StoreFront para la integración en Citrix Endpoint Management

Ventajas:

  • Nuevo almacén: Ningún cambio en la configuración del almacén de StoreFront para Citrix Endpoint Management afecta a las cargas de trabajo existentes de Citrix Virtual Apps and Desktops.
  • Nuevo servidor de StoreFront: Los cambios en la configuración del servidor no afectan a los flujos de trabajo de Citrix Virtual Apps and Desktops. Además, la carga no derivada del uso de Citrix Receiver por parte de Citrix Endpoint Management para la enumeración y el inicio de aplicaciones no afecta a la escalabilidad.

Desventajas:

  • Nuevo almacén: Configuración del almacén StoreFront.
  • Nuevo servidor de StoreFront: Requiere una nueva instalación y configuración de StoreFront.

Para obtener más información, consulte Citrix Virtual Apps and Desktops a través de la tienda de aplicaciones.

ShareFile y Citrix Files

ShareFile permite intercambiar documentos de forma fácil y segura, enviar documentos grandes por correo electrónico y manejar de forma segura transferencias de documentos a terceros. La aplicación Citrix Files permite a los usuarios acceder y sincronizar todos sus datos desde cualquier dispositivo. Con Citrix Files, los usuarios pueden compartir datos de forma segura con personas tanto dentro como fuera de la organización.

Citrix Endpoint Management proporciona a Citrix Files lo siguiente:

  • Autenticación Single Sign-On para los usuarios de las aplicaciones móviles de productividad.
  • Aprovisionamiento de cuentas de usuario basado en Active Directory.
  • Directivas integrales para controlar el acceso.

Los usuarios móviles pueden aprovechar el conjunto completo de funciones de la cuenta Enterprise.

De forma alternativa, puede configurar Citrix Endpoint Management para que se integre solamente en conectores de zonas de almacenamiento. A través de conectores de zonas de almacenamiento, Citrix Files proporciona acceso a:

  • Documentos y carpetas
  • Recursos compartidos de red
  • En sitios de SharePoint: Colecciones de sitios y bibliotecas de documentos.

Los recursos compartidos conectados pueden incluir las mismas unidades “home” de red utilizadas en entornos de Citrix Virtual Apps and Desktops. Puede utilizar la consola de Citrix Endpoint Management para configurar la integración en cuentas Enterprise o conectores de zonas de almacenamiento. Para obtener más información, consulte Citrix Files para Citrix Endpoint Management.

En las siguientes secciones se indican las preguntas a contestar cuando se decide el diseño de Citrix Files.

Integrar en Citrix Files o solo en conectores de zonas de almacenamiento

Preguntas que debe hacer:

  • ¿Necesita almacenar datos en las zonas de almacenamiento que administra Citrix?
  • ¿Quiere ofrecer a los usuarios funciones de intercambio y sincronización de archivos?
  • ¿Quiere que los usuarios puedan acceder a los archivos que se encuentran en el sitio web de Citrix Files? ¿O que puedan acceder al contenido de Office 365 y los conectores de nube personal desde dispositivos móviles?

Decisión de diseño:

  • Si la respuesta a alguna de esas preguntas es «sí», integre en una cuenta Enterprise.
  • Una integración en solo conectores de zonas de almacenamiento permite a los usuarios iOS un acceso móvil seguro a repositorios de almacenamiento locales existentes, como sitios de SharePoint y recursos compartidos de archivos de red. En esta configuración no se requiere configurar ningún subdominio de Citrix Files, aprovisionar usuarios a Citrix Files ni alojar datos de Citrix Files. El uso de conectores de zonas de almacenamiento con Citrix Endpoint Management cumple las restricciones de seguridad contra la filtración de datos del usuario fuera de la red corporativa.

Ubicación de los servidores de controladores de zonas de almacenamiento

Preguntas que debe hacer:

  • ¿Necesita almacenamiento local o funciones como conectores de zonas de almacenamiento?
  • Si usa las funciones locales de Citrix Files, ¿dónde se ubicarán los controladores de zonas de almacenamiento en la red?

Decisión de diseño:

  • Determine si ubicar los servidores de los controladores de las zonas de almacenamiento en la nube de Citrix Files, en su sistema local de almacenamiento de arrendatarios individuales o en un almacenamiento en la nube de terceros compatible.
  • Los controladores de zonas de almacenamiento requieren acceso a Internet para comunicarse con el plano de control de Citrix Files. Puede conectarse de varias formas, incluido el acceso directo o las configuraciones NAT/PAT.

Conectores de zonas de almacenamiento

Preguntas que debe hacer:

  • ¿Cuáles son las rutas a recursos CIFS?
  • ¿Cuáles son las URL de SharePoint?

Decisión de diseño:

  • Determine si son necesarios unos controladores de zonas de almacenamiento locales para acceder a esas ubicaciones.
  • Debido a la comunicación del controlador de zonas de almacenamiento con recursos internos (como repositorios de archivos, recursos CIFS y SharePoint), Citrix recomienda que esos controladores residan en la red interna, detrás de los firewalls DMZ y de NetScaler Gateway.

Integrar SAML en Citrix Endpoint Management

Preguntas que debe hacer:

  • ¿Se requiere la autenticación de Active Directory para Citrix Files?
  • ¿Usar la aplicación Citrix Files por primera vez para Citrix Endpoint Management requiere SSO?
  • ¿Hay un proveedor de identidades estándar en el entorno actual?
  • ¿Cuántos dominios se requieren para usar SAML?
  • ¿Hay varios alias de correo electrónico para los usuarios de Active Directory?
  • ¿Hay alguna migración de dominio de Active Directory en curso o programada próximamente?

Decisión de diseño:

Puede elegir utilizar SAML como mecanismo de autenticación para Citrix Files. Las opciones de autenticación son:

  • Utilizar el servidor Citrix Endpoint Management como el proveedor de identidades (IdP) para SAML

    Esta opción puede proporcionar una excelente experiencia de usuario, automatizar la creación de cuentas de Citrix Files y habilitar las funciones de Single Sign-On para las aplicaciones móviles.

    El servidor Citrix Endpoint Management se ha mejorado para este proceso, ya que no requiere la sincronización con Active Directory.

    Usar la herramienta Citrix Files User Management Tool para el aprovisionamiento de usuarios.

  • Usar un proveedor de terceros compatible en calidad de IdP para SAML

    Si tiene un IdP existente compatible y no requiere capacidades SSO para aplicaciones móviles, esta puede ser la opción más adecuada. Esta opción también requiere la herramienta Citrix Files User Management Tool para el aprovisionamiento de cuentas.

    Usar soluciones IdP de terceros, como ADFS, también puede proporcionar SSO en el lado del cliente Windows. Debe valorar los casos de uso antes de elegir su IdP SAML para Citrix Files.

  • O bien, para satisfacer ambos casos de uso, consulte la ShareFile single sign-on configuration guide for dual identity providers.

Aplicaciones móviles

Preguntas que debe hacer:

  • ¿Qué aplicación móvil de Citrix Files va a usar (pública, MDM, MDX)?

Decisión de diseño:

  • Puede distribuir las aplicaciones móviles de productividad Citrix desde Apple App Store y la tienda de Google Play. Con esa distribución desde el tienda pública de aplicaciones, se obtienen aplicaciones empaquetadas desde la página Descargas de Citrix.
  • Si sus requisitos de seguridad son bajos y no necesita utilizar contenedores, puede que la aplicación pública Citrix Files no sea la adecuada.
  • Para obtener más información, consulte Aplicaciones y Citrix Files para Citrix Endpoint Management.

Seguridad, directivas y control de acceso

Preguntas que debe hacer:

  • ¿Qué restricciones necesita para usuarios móviles, Web y de escritorio?
  • ¿Qué configuración estándar quiere para controlar el acceso de los usuarios?
  • ¿Qué directiva de retención de archivos va a usar?

Decisión de diseño:

  • Citrix Files le permite administrar los permisos de los empleados. Para obtener más información, consulte Employee Permissions.
  • Determinadas directivas MDX y configuraciones de Citrix Files para la seguridad del dispositivo controlan las mismas funciones. En esos casos, tienen prioridad las directivas de Citrix Endpoint Management, seguidas de las configuraciones de Citrix Files para la seguridad de los dispositivos. Ejemplos: Si inhabilita aplicaciones externas en Citrix Files, pero las habilita en Citrix Endpoint Management, las aplicaciones externas se inhabilitan en Citrix Files. Puede configurar las aplicaciones para que Citrix Endpoint Management no requiera PIN o código de acceso, pero la aplicación Citrix Files los requiere.

Zonas de almacenamiento estándar o restringidas

Preguntas que debe hacer:

  • ¿Necesita zonas de almacenamiento restringidas?

Decisión de diseño:

  • Una zona de almacenamiento estándar está diseñada para almacenar datos no confidenciales, y permite a los empleados compartir datos con otras personas ajenas a la empresa. En esta opción se admiten flujos de trabajo que implican compartir datos fuera del dominio.
  • Una zona de almacenamiento restringida protege datos confidenciales, por lo que solo los usuarios de dominio autenticados pueden acceder a los datos almacenados en estas zonas.

Control de acceso

Las empresas pueden administrar dispositivos móviles dentro y fuera de las redes. Las soluciones de administración de la movilidad empresarial (como Citrix Endpoint Management) son excelentes para proporcionar la seguridad de los dispositivos móviles y control sobre ellos, independientemente de dónde estén ubicados. Sin embargo, cuando esas soluciones se combinan con una solución de control de acceso a la red (NAC), puede agregar QoS y un control más preciso a los dispositivos internos de su red. Esa combinación permite extender la evaluación de la seguridad de los dispositivos Citrix Endpoint Management a través de la solución NAC. La solución NAC puede usar la evaluación de seguridad de Citrix Endpoint Management para facilitar y gestionar las decisiones de autenticación.

Puede utilizar cualquiera de estas soluciones para aplicar directivas de NAC:

  • NetScaler Gateway
  • ForeScout

Citrix no garantiza la integración de otras soluciones NAC.

Ventajas de integrar una solución NAC en Citrix Endpoint Management:

  • Una seguridad, conformidad y control mejores para todos los dispositivos de punto final en una red empresarial.
  • Una solución NAC puede:
    • Detectar dispositivos en el instante en que intentan conectarse a la red.
    • Enviar consultas a Citrix Endpoint Management sobre los atributos de los dispositivos.
    • Luego, usar esa información para determinar si permitir, bloquear, limitar o redirigir esos dispositivos. Esas decisiones dependen de las directivas de seguridad que elija aplicar.
  • Una solución NAC ofrece a los administradores de TI una visión que engloba dispositivos no administrados y no conformes.

Para obtener una descripción de los filtros de conformidad de NAC que admite Citrix Endpoint Management y una introducción a la configuración, consulte Control de acceso de red.

Integrar Citrix Endpoint Management