Citrix Endpoint Management

Directiva de configuraciones administradas

La directiva Configuraciones administradas controla varias opciones de configuración y restricciones de aplicaciones. Puede crear esta directiva para cada aplicación de Android Enterprise que quiera controlar.

El desarrollador de aplicaciones define las opciones y los textos de ayuda disponibles para la aplicación. Si en un texto de ayuda se menciona el uso de un “valor de plantilla”, use en su lugar la macro correspondiente de Citrix Endpoint Management. Para obtener más información, consulte Remote configuration overview (en el sitio para desarrolladores de Android) y Macros.

Los parámetros de configuración de una aplicación pueden incluir elementos tales como:

  • Parámetros de la aplicación de correo electrónico
  • Permitir o bloquear direcciones URL para un explorador web
  • Opción para controlar la sincronización del contenido de aplicaciones a través de una conexión móvil o solo mediante una conexión Wi-Fi

Para obtener información sobre la configuración que aparece para las aplicaciones, contacte con el desarrollador de la aplicación.

Nota:

Citrix SSO para Android ahora se llama Citrix Secure Access. Estamos actualizando nuestra documentación para reflejar este cambio de nombre.

Requisitos previos

  • Complete las tareas de configuración de Android Enterprise en Google y conecte Android Enterprise a Google Play administrado. Para obtener más información, consulte Android Enterprise.
  • Agregue aplicaciones de Android Enterprise a Citrix Endpoint Management. Para obtener más información, consulte Agregar aplicaciones a Citrix Endpoint Management.

Para agregar o configurar esta directiva, vaya a Configurar > Directivas de dispositivo. Para obtener más información, consulte Directivas de dispositivo.

Requisitos para las redes VPN por aplicación

Para crear una red VPN por aplicación para AE, debe seguir otros pasos adicionales, además de configurar la directiva de configuraciones administradas. Además, debe comprobar que se cumplen estos requisitos previos:

  • NetScaler Gateway local
  • Estas aplicaciones están instaladas en el dispositivo:
    • Citrix SSO
    • Citrix Secure Hub

He aquí un flujo de trabajo general para configurar una VPN por aplicación para dispositivos AE:

  1. Configure un perfil de VPN tal y como se describe en este artículo.

  2. Configure Citrix ADC para aceptar el tráfico de la VPN por aplicación. Para obtener información detallada, consulte Configuración de VPN completa en NetScaler Gateway.

Limitaciones

Estas limitaciones se aplican a las VPN por aplicación en dispositivos Android 11 o con una versión posterior en el entorno Android Enterprise debido a restricciones de visibilidad de los paquetes incorporadas en Android 11:

  • Si una aplicación que forma parte de la lista de permitidas o denegadas se implementa en un dispositivo después de que se haya iniciado la sesión de VPN, el usuario final deberá reiniciar la sesión de VPN para que la aplicación redirija el tráfico a través de la sesión de VPN.

  • Si se usa una VPN por aplicación a través de una sesión de VPN permanente, después de instalar una nueva aplicación en el dispositivo, el usuario final deberá reiniciar el perfil de trabajo o reiniciar el dispositivo para que el tráfico de la aplicación se enrute a través de la sesión de VPN.

Nota:

Estas limitaciones no se aplican si utiliza Citrix SSO para Android 23.8.1 o una versión posterior. Para obtener más información, consulte Reinicio automático de VPN permanente.

Parámetros de Android Enterprise

Una vez que haya optado por agregar una directiva Configuraciones administradas, aparece un mensaje para seleccionar una aplicación concreta. Si no hay aplicaciones de Android Enterprise agregadas a Citrix Endpoint Management, no podrá continuar.

Después de seleccionar una aplicación, defina las configuraciones de la directiva. Las configuraciones son específicas de cada aplicación.

Pantalla de configuración Directivas de dispositivo

Configurar perfiles de VPN para Android Enterprise

Haga que los perfiles de VPN estén disponibles para los dispositivos Android Enterprise mediante la aplicación Citrix SSO con la directiva Configuraciones administradas.

Comience por agregar Citrix SSO a la consola de Citrix Endpoint Management como una aplicación de la tienda de Google Play. Consulte Agregar una aplicación de la tienda pública de aplicaciones.

Aplicación SSO en la consola

Vea este vídeo para obtener más información:

Cómo configurar la administración avanzada de VPN con dispositivos Android

Crear una configuración administrada por Android Enterprise para Citrix SSO

Configure la directiva Configuraciones administradas para que Citrix SSO pueda crear perfiles VPN. Los dispositivos que tienen instalada la aplicación Citrix SSO y la directiva implementada pueden acceder a los perfiles VPN que cree.

Citrix Endpoint Management utiliza el certificado de usuario en el almacén de claves del dispositivo si:

  • NetScaler Gateway está configurado para la autenticación por certificados.
  • Entregar certificado de usuario para autenticación está habilitado en la página Parámetros > NetScaler Gateway de Citrix Endpoint Management.

Necesita el FQDN y el puerto de NetScaler Gateway.

  1. En la consola de Citrix Endpoint Management, haga clic en Configurar > Directivas de dispositivo. Haga clic en Agregar.

  2. Seleccione Android Enterprise. Haga clic en Configuraciones administradas.

    Seleccione de directivas de Android Enterprise

  3. Cuando aparezca la ventana Seleccionar ID de aplicación, elija Citrix SSO de la lista y haga clic en Aceptar.

    Ventana Seleccionar ID de aplicación

  4. Escriba un nombre y una descripción para la configuración de la VPN de Citrix SSO. Haga clic en Siguiente.

    Asistente de configuración administrada de Android Enterprise

  5. Configure los parámetros del perfil de VPN.

    • Nombre del perfil VPN: Escriba un nombre para el perfil VPN. Si va a crear más de un perfil de VPN, utilice un nombre único para cada perfil. Si no proporciona un nombre, la dirección que puso en el campo Dirección del servidor se utiliza como nombre del perfil de VPN.

    • Dirección del servidor(*): Escriba el FQDN de NetScaler Gateway. Si el puerto de NetScaler Gateway no es 443, escriba también el puerto. Utilice un formato de URL. Por ejemplo, https://gateway.mycompany.com:8443.

    • Nombre de usuario (opcional): Indique el nombre de usuario que utilizan los usuarios finales para autenticarse en NetScaler Gateway. Puede utilizar la macro {user.username} de Citrix Endpoint Management para este campo (consulte Macros). Si usted no proporciona un nombre de usuario, se pedirá a los usuarios que proporcionen uno cuando se conecten a NetScaler Gateway.

    • Contraseña (opcional): Indique la contraseña que utilizan los usuarios finales para autenticarse en NetScaler Gateway. Si usted no proporciona una contraseña, se pedirá a los usuarios que proporcionen una contraseña cuando se conecten a NetScaler Gateway.

    • Alias de certificado (opcional): Escriba un alias de certificado. El alias de certificado facilita a la aplicación el acceso al certificado. Cuando se utiliza el mismo alias de certificado con la directiva Credenciales, la aplicación obtiene el certificado y autentica la VPN sin ninguna acción por parte de los usuarios.

    • Asignaciones de certificados de Gateway (opcional): Objeto JSON que describe las asignaciones de certificado usadas con NetScaler Gateway. Valor de ejemplo: {"hash-alg" : "sha256", "pinset" : ["AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=", "BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB="]}. Para obtener más información, consulte Fijación de certificados de NetScaler Gateway con Android Citrix SSO.

    • Tipo de VPN por aplicación (opcional): Si utiliza VPN por aplicación para restringir las aplicaciones que usan esta VPN, puede configurar este parámetro. Si selecciona Permitir, el tráfico de red de los nombres de paquetes de aplicaciones indicados en la lista de aplicaciones de Per App VPN se redirige a través de la VPN. El tráfico de red de todas las demás aplicaciones se redirige fuera de la VPN. Si selecciona No permitir, el tráfico de red de los nombres de paquetes de aplicaciones indicados en la lista de aplicaciones de Per App VPN se redirige fuera de la VPN. El tráfico de red de todas las demás aplicaciones se redirige a través de la VPN. El valor predeterminado es Permitir.

    • Lista de aplicaciones de Per App VPN: Una lista de aplicaciones cuyo tráfico está permitido o bloqueado en la VPN, en función del valor de Tipo de VPN por aplicación. Indique los nombres de los paquetes de aplicaciones separados por comas o puntos y comas. Los nombres de los paquetes de aplicaciones distinguen entre mayúsculas y minúsculas y deben estar escritos en esta lista tal y como lo están en la tienda de Google Play. Esta lista es opcional. Mantenga esta lista vacía para aprovisionar la VPN en todo el dispositivo.

    • Perfil VPN predeterminado: Escriba el nombre del perfil VPN que quiere utilizar cuando los usuarios toquen el botón de conexión de la aplicación Citrix SSO en lugar de un perfil específico. Si este campo se deja vacío, se utiliza el perfil principal para la conexión. Si solo se configura un perfil, este se marca como perfil predeterminado. Para la VPN permanente, este campo debe establecerse en el nombre del perfil de VPN que se utilizará para establecer la VPN permanente.

    • Always On VPN (opcional): este atributo indica si el perfil VPN está configurado como un perfil Always On VPN. Cuando se establece en verdadero, significa que el perfil de VPN es un perfil de VPN siempre activo. El valor predeterminado es false. Esta propiedad solo se puede asignar al perfil VPN principal. Habilitar esta propiedad es esencial para garantizar el funcionamiento fiable de Always On VPN.

    • Inhabilitar perfiles de usuario: Si este parámetro está activado, los usuarios no pueden crear sus propias VPN en sus dispositivos. Si este parámetro está desactivado, los usuarios pueden crear sus propias VPN en sus dispositivos. El valor predeterminado es desactivado.

    • Bloquear servidores que no son de confianza: Está desactivado en cualquiera de los siguientes casos:

      • Al utilizar un certificado autofirmado para NetScaler Gateway.
      • Cuando el certificado raíz de la entidad de certificación que emite el certificado de NetScaler Gateway no está en la lista de entidades de certificación del sistema.

      Si este parámetro está activado, el sistema operativo Android valida el certificado de NetScaler Gateway. Si se produce un error en la validación, no se permite la conexión. Está activada de forma predeterminada.

    Asistente de configuración administrada de Android Enterprise

  6. También puede crear parámetros personalizados. Se admiten los parámetros personalizados XenMobileDeviceId y UserAgent. Seleccione la configuración de VPN actual y haga clic en Agregar.

    Asistente de configuración administrada de Android Enterprise

    Nombre del parámetro Descripción Valor
    XenMobileDeviceId Este campo es el ID de dispositivo que se utilizará para la comprobación de acceso de red basada en la inscripción de dispositivos en Citrix Endpoint Management. Si Citrix Endpoint Management se inscribe y administra el dispositivo, se permite la conexión VPN. De lo contrario, la autenticación queda denegada al establecer la VPN. Para que Citrix Endpoint Management determine el estado de inscripción y administración de los dispositivos, el valor de XenMobileDeviceID debe establecerse en DeviceID_${device.id}.
    UserAgent Este texto se agrega al encabezado HTTP User-Agent para realizar una comprobación adicional en NetScaler Gateway. La aplicación Citrix SSO agrega el valor de este texto al encabezado HTTP User-Agent durante la comunicación con NetScaler Gateway. Escriba el texto que quiere agregar al encabezado HTTP User-Agent. Este texto debe ajustarse a las especificaciones HTTP de User-Agent.
    EnableDebugLogging Habilite los registros de depuración en la aplicación Citrix SSO para ayudar a solucionar los problemas de conectividad de VPN con VPN permanentes. Puede habilitarlos en cualquiera de las configuraciones de VPN administradas. Los registros de depuración surten efecto cuando se procesan las configuraciones administradas. True: Habilita los registros de depuración. Valor predeterminado: False

    Asistente de configuración administrada de Android Enterprise

    Para crear otro parámetro personalizado, haga clic de nuevo en Agregar.

  7. También puede crear más configuraciones de perfil de VPN. Haga clic en Agregar en la lista de configuraciones. Aparecerá una nueva configuración en la lista. Seleccione la nueva configuración y repita el paso 5 y, si quiere, el paso 6.

    Asistente de configuración administrada de Android Enterprise

  8. Cuando haya creado todos los perfiles de VPN que quiera, haga clic en Siguiente.

  9. Configure las reglas de implementación de esta configuración administrada para Citrix SSO.

  10. Haga clic en Guardar.

Esta configuración administrada para Citrix SSO aparece ahora en la lista de directivas de dispositivo configuradas.

Para habilitar la permanencia de los perfiles de VPN configurados, establezca la directiva de opciones de Citrix Endpoint Management.

Nota:

Se necesita Citrix Secure Hub 19.5.5 o una versión posterior para la VPN permanente en Android Enterprise.

Acceder a perfiles de VPN desde el dispositivo

Para acceder a los perfiles de VPN creados, los usuarios de Android Enterprise instalan Citrix SSO desde la tienda de Google Play administrada.

Los perfiles de VPN configurados aparecen en el área Conexiones administradas de la aplicación. Los usuarios tocan en el perfil de VPN para conectarse a través de ese perfil de VPN.

Área de conexión administrada de la aplicación SSO en el dispositivo

Después de que los usuarios se hayan autenticado y conectado, aparece una marca de verificación junto al perfil de VPN. El icono con forma de llave indica que la VPN está conectada.

Administrar dispositivos Zebra Android con Zebra OEMConfig

Administre dispositivos Zebra Android con la herramienta administrativa OEMConfig de Zebra Technologies. Para obtener información sobre la aplicación Zebra OEMConfig, consulte el sitio web de Zebra Technologies.

Citrix Endpoint Management es compatible con la versión 9.2 de Zebra OEMConfig y versiones posteriores. Para obtener información sobre los requisitos del sistema para instalar Zebra OEMConfig en dispositivos, consulte OEMConfig Setup en el sitio web de Zebra Technologies.

Por ahora se admiten estos dispositivos Zebra:

  • EC50, EC55, ET56

  • TC52x, TC52x-HC

  • TC52ax, TC52ax-HC

  • TC57x

Para empezar: En la consola de Citrix Endpoint Management, agregue la aplicación Zebra OEMConfig como una aplicación de la tienda de Google Play Store. Consulte Agregar una aplicación de la tienda pública de aplicaciones.

Crear una configuración administrada por Android Enterprise para la aplicación Zebra OEMConfig

Configure la directiva Configuraciones administradas para la aplicación Zebra OEMConfig. Esta directiva se aplica a los dispositivos Zebra que tienen instalada la aplicación Zebra OEMConfig y la directiva implementada.

  1. En la consola de Citrix Endpoint Management, haga clic en Configurar > Directivas de dispositivo. Haga clic en Agregar.

  2. Seleccione Android Enterprise. Haga clic en Configuraciones administradas.

    Seleccione de directivas de Android Enterprise

  3. Cuando aparezca la ventana Seleccionar ID de aplicación, elija Zebra OEMConfig powered by MX de la lista y haga clic en Aceptar.

  4. Escriba un nombre y una descripción para la configuración de Zebra OEMConfig. Haga clic en Siguiente.

  5. Escriba un nombre para la configuración de Zebra OEMConfig.

  6. Configure los parámetros disponibles. Por ejemplo:

    • Para desactivar la cámara frontal del dispositivo, seleccione Camera Configuration y establezca Use of Front Camera en Off.
    • Para cambiar el formato de la hora de los dispositivos, seleccione Clock Configuration y establezca Time Format en 12 (12 horas) o en 24 (24 horas).

Para obtener una lista y descripciones de toda la configuración disponible, consulte Zebra Managed Configurations en el sitio web de Zebra Technologies.

  1. Si quiere, también puede crear más configuraciones de Zebra OEMConfig. Haga clic en Agregar en la lista de configuraciones. Aparecerá una nueva configuración en la lista. Seleccione la nueva configuración y configure los parámetros.

  2. Cuando haya creado todas las configuraciones de Zebra OEMConfig correspondientes, haga clic en Siguiente.

  3. Configure las reglas de implementación de esta configuración administrada para Zebra OEMConfig.

  4. Haga clic en Guardar.

Función de comentarios sobre configuraciones administradas (Technical Preview)

Para obtener más información sobre la función de compatibilidad con comentarios sobre configuraciones administradas, consulte Función de comentarios sobre configuraciones administradas.

Directiva de configuraciones administradas