Citrix Endpoint Management

Requisitos del sistema

Mientras espera a que Citrix aprovisione Citrix Endpoint Management, puede prepararse para la implementación de Citrix Endpoint Management instalando Cloud Connector. Aunque Citrix aloja y entrega su solución de Citrix Endpoint Management, se requiere que configure determinados puertos y vías de comunicación. Esa configuración conecta la infraestructura de Citrix Endpoint Management a los servicios de empresa, tales como Active Directory.

Requisitos de Cloud Connector

Citrix usa Cloud Connector para integrar la arquitectura de Citrix Endpoint Management en la infraestructura que usted tenga. Cloud Connector integra de forma segura las siguientes ubicaciones de recursos en Citrix Endpoint Management a través del puerto 443: LDAP, servidor PKI, consultas DNS internas y enumeración de Citrix Workspace.

  • Al menos dos máquinas Windows Server dedicadas que estén unidas a su dominio de Active Directory. Pueden ser máquinas físicas o virtuales. Para una instalación y un funcionamiento óptimos, la máquina donde se va a instalar Cloud Connector debe estar sincronizada con la hora UTC. Para obtener una lista completa de los requisitos más recientes, consulte el material de implementación que le facilite su equipo de cuentas de Citrix.

    El asistente de incorporación le guiará a través de la instalación de Cloud Connector en esas máquinas.

  • Para obtener más requisitos del sistema para la plataforma, consulte Citrix Cloud Connector.

Niveles funcionales admitidos de Active Directory

Para el uso con Citrix Endpoint Management, Citrix Cloud Connector admite los siguientes niveles funcionales de bosque y dominio de Active Directory.

Nivel funcional de bosque Nivel funcional de dominio Controladores de dominio admitidos
Windows Server 2016 Windows Server 2016 Windows Server 2016, Windows Server 2019
Windows Server 2016 Windows Server 2019 Windows Server 2019
Windows Server 2019 Windows Server 2019 Windows Server 2019

Nota:

Los Windows Servers 2012 R2, 2012 y 2008 R2 ya no reciben asistencia porque han llegado a su fin de vida. Para obtener más información, consulte la documentación sobre el ciclo de vida de los productos de Microsoft.

Requisitos de NetScaler Gateway

En estos casos, Citrix Endpoint Management requiere un NetScaler Gateway instalado en su ubicación de recursos:

  • Necesita una micro VPN para que las aplicaciones de línea de negocio puedan acceder a los recursos de la red interna. Esas aplicaciones están empaquetadas con la tecnología MDX de Citrix. La micro VPN necesita NetScaler Gateway para conectarse a las infraestructuras back-end internas.
  • Quiere usar aplicaciones de productividad móvil de Citrix, como Citrix Secure Mail.
  • Tiene previsto integrar Citrix Endpoint Management en Microsoft Endpoint Manager.

Los requisitos:

  • Autenticación de dominio (LDAP)
  • NetScaler Gateway 12.1 o una versión posterior, con una licencia universal o de plataforma

Para obtener información detallada, consulte Licencias.

  • Certificado SSL público.

Para obtener información detallada, consulte Crear y utilizar certificados SSL en un dispositivo Citrix ADC.

Para obtener información acerca de los requisitos de NetScaler Gateway, consulte el material de implementación que le facilite su equipo de cuentas de Citrix.

Para obtener información sobre los requisitos de Android Enterprise, consulte la sección Android Enterprise.

Requisitos de Citrix Files

Los servicios de intercambio y sincronización de archivos que ofrece Citrix Files están disponibles en la oferta Premium de Citrix Endpoint Management Service. El controlador de zonas de almacenamiento amplía el almacenamiento en la nube de software como servicio (SaaS) de Citrix Files al ofrecer almacenamiento privado de datos a su cuenta de Citrix Files.

Requisitos del controlador de zonas de almacenamiento:

  • Una máquina física o virtual dedicada
  • Windows Server 2012 R2 (Datacenter, Standard o Essentials), Windows Server 2016, Windows Server 2019 o Windows Server 2022
  • 2 CPU virtuales
  • 4 GB de RAM
  • 50 GB de espacio en disco
  • Roles del servidor para el servidor web (IIS):

    • Desarrollo de aplicaciones: ASP. NET 4.5.2
    • Seguridad: Autenticación básica
    • Seguridad: Autenticación de Windows

Requisitos de plataforma para Citrix Files:

  • El instalador de Citrix Files requiere privilegios de administrador en el servidor Windows
  • Nombre de usuario del administrador de Citrix Files

Requisitos de puertos

Para que dispositivos y aplicaciones puedan comunicarse con Citrix Endpoint Management, debe abrir puertos específicos en los firewalls. El siguiente diagrama muestra el flujo del tráfico de Citrix Endpoint Management.

Flujo de tráfico de Citrix Endpoint Management

En los siguientes apartados se ofrece una lista de los puertos que se deben abrir. Para obtener información sobre las direcciones URL que utilizan las aplicaciones móviles de productividad, consulte Administrar marcas de función.

Requisitos de puertos para NetScaler Gateway

Abra puertos para permitir las conexiones de usuario desde Citrix Secure Hub y Citrix Workspace a través de NetScaler Gateway a:

  • Citrix Endpoint Management
  • StoreFront
  • Otros recursos de red interna, como los sitios web de intranet

Para obtener más información sobre NetScaler Gateway, consulte Configuración de parámetros para el entorno de Citrix Endpoint Management en la documentación de NetScaler Gateway. Para obtener información sobre las direcciones IP, consulte Cómo utiliza NetScaler Gateway las direcciones IP en la documentación de NetScaler Gateway.

Puerto TCP Descripción Origen Destino
53 (TCP y UDP) Se utiliza para las conexiones DNS. SNIP de NetScaler Gateway Servidor DNS
80/443 NetScaler Gateway transfiere la conexión micro VPN al recurso de la red interna a través del segundo firewall. SNIP de NetScaler Gateway Sitios web de la intranet
123 (TCP y UDP) Se usa para los servicios del protocolo de tiempo de red (NTP). SNIP de NetScaler Gateway Servidor NTP
389 Se usa para conexiones de protocolo LDAP no seguras. IP de NetScaler Gateway (o, si usa un equilibrador de carga, SNIP) Servidor de autenticación LDAP o Microsoft Active Directory
443 Se usa para conexiones a StoreFront desde Citrix Workspace a Citrix Virtual Apps and Desktops. Internet NetScaler Gateway
443 Se utiliza para las conexiones a Citrix Endpoint Management con el objetivo de entregar aplicaciones web, aplicaciones para móvil y aplicaciones SaaS. Internet NetScaler Gateway
443 Se utiliza para la comunicación de Cloud Connector: enumeración de LDAP, DNS, PKI y Citrix Workspace Servidores de Cloud Connectors https://*.citrixworkspacesapi.net, https://*.cloud.com (commercial), https://*.blob.core.windows.net/, https://*.servicebus.windows.net
443 Se utiliza para acceder al portal Self-Help Portal de Citrix Endpoint Management, si está habilitado, a través del explorador. Punto de acceso (explorador) Citrix Endpoint Management (https://<sitename>/zdm/shp)
636 Se usa para conexiones seguras de protocolo LDAP. IP de NetScaler Gateway (o, si usa un equilibrador de carga, SNIP) Servidor de autenticación LDAP o Active Directory
1494 Se usa para las conexiones ICA a aplicaciones Windows en la red interna. Citrix recomienda mantener este puerto abierto. SNIP de NetScaler Gateway Citrix Virtual Apps and Desktops
1812 Se utiliza para las conexiones RADIUS. IP de NetScaler Gateway Servidor de autenticación RADIUS
2598 Se utiliza para las conexiones a aplicaciones Windows en la red interna mediante la función de fiabilidad de la sesión. Citrix recomienda mantener este puerto abierto. SNIP de NetScaler Gateway Citrix Virtual Apps and Desktops
3269 Se usa para conexiones seguras LDAP del catálogo global de Microsoft. IP de NetScaler Gateway (o, si usa un equilibrador de carga, SNIP) Servidor de autenticación LDAP o Active Directory
4443 Se utiliza para que un administrador acceda a la consola de Citrix Endpoint Management a través del explorador. Punto de acceso (explorador) Citrix Endpoint Management
8443 Se utiliza para la inscripción, la administración de aplicaciones para móvil (MAM) y el almacén de aplicaciones. SNIP de NetScaler Gateway Citrix Endpoint Management
8443 El puerto Secure Ticket Authority (STA) se utiliza para el token de autenticación de Citrix Secure Mail. SNIP de NetScaler Gateway Citrix Endpoint Management

Requisitos de red y firewall

Para que dispositivos y aplicaciones puedan comunicarse con Citrix Endpoint Management, debe abrir puertos específicos en los firewalls. En las siguientes tablas, se ofrece una lista de esos puertos.

Abra puertos desde la red interna a Citrix Cloud:

Puerto TCP IP de origen Descripción Destino IP de destino
443   Cloud Connector https://*.citrixworkspacesapi.net, https://*.cloud.com (commercial), https://*.sharefile.com, https://cwsproduction.blob.core.wind ows.net/downloads, https://*.servicebus.windows.net  
443   Consola de administración https://*.citrixworkspacesapi.net, https://*.cloud.com (commercial), https://*.citrix.com, https://cwsproduction.blob.core.windows.net/downloads  
443   Acceso al portal Self-Help Portal de Citrix Endpoint Management a través de un explorador (si el portal está habilitado) Citrix Endpoint Management  
4443   Acceso a consola de Citrix Endpoint Management a través de un explorador Citrix Endpoint Management  

Abra puertos desde Internet a la zona DMZ:

Puerto TCP Descripción IP de origen Destino IP de destino
443 Dispositivo cliente Citrix Endpoint Management   IP de NetScaler Gateway  
443 Dispositivo cliente Citrix Endpoint Management   VIP de NetScaler Gateway  
443 Dirección IP pública de Citrix Files CTX208318 VIP de NetScaler Gateway  

Abra puertos desde la zona DMZ a la red interna:

Puerto TCP Descripción IP de origen Destino IP de destino
389 o 636 IP de NetScaler Gateway   IP de Active Directory  
53 (UDP) IP de NetScaler Gateway   IP del servidor DNS  
443 SNIP de NetScaler Gateway   IP del servidor Exchange (EAS)  
443 SNIP de NetScaler Gateway   Aplicaciones/Servicios web internos  
443 SNIP de NetScaler Gateway   IP del controlador de zonas de almacenamiento  

Abra puertos desde la red interna a la zona DMZ:

Puerto TCP Descripción IP de origen Destino IP de destino
443 Cliente de administración   IP de NetScaler Gateway  

Abra puertos desde la red interna a Internet:

Puerto TCP Descripción IP de origen Destino IP de destino
443 IP del servidor Exchange (EAS)   Agentes de escucha para notificaciones push de Citrix Endpoint Management (1)  
443 IP del controlador de zonas de almacenamiento   Plano de control de Citrix Files CTX208318

(1) us-east-1.mailboxlistener.xm.citrix.com, eu-west-1.mailboxlistener.xm.citrix.com, ap-southeast-1.mailboxlistener.xm.citrix.com

Abra puertos desde la red Wi-Fi corporativa a Internet:

Puerto TCP Descripción IP de origen Destino IP de destino
8443 / 443 Dispositivo cliente Citrix Endpoint Management   Citrix Endpoint Management  
5223 Dispositivo cliente Citrix Endpoint Management   Servidores Apple APNS 17.0.0.0/8
5228 Dispositivo cliente Citrix Endpoint Management   Firebase Cloud Messaging android.apis.google.com, fcm.googleapis.com
5229 Dispositivo cliente Citrix Endpoint Management   Firebase Cloud Messaging android.apis.google.com, fcm.googleapis.com
5230 Dispositivo cliente Citrix Endpoint Management   Firebase Cloud Messaging android.apis.google.com, fcm.googleapis.com
443 Dispositivo cliente Citrix Endpoint Management   Firebase Cloud Messaging fcm.googleapis.com
443 Dispositivo cliente Citrix Endpoint Management   Servicio de notificaciones push de Windows *.notify.windows.com
443 / 80 Dispositivo cliente Citrix Endpoint Management   Tienda de aplicaciones iTunes de Apple ax.apps.apple.com, *.mzstatic.com, vpp.itunes.apple.com
443 / 80 Dispositivo cliente Citrix Endpoint Management   Google Play play.google.com, android.clients.google.com, android.l.google.com, android.com, google-analytics.com
443 / 80 Dispositivo cliente Citrix Endpoint Management   Tienda de aplicaciones de Microsoft login.live.com, *.notify.windows.com
443 Dispositivo cliente Citrix Endpoint Management   Servicio de detección automática de Citrix Endpoint Management para iOS y Android discovery.cem.cloud.us
443 Dispositivo cliente Citrix Endpoint Management   Servicio de detección automática de Citrix Endpoint Management para Windows enterpriseenrollment.mycompany.com, discovery.cem.cloud.us
443 IP del controlador de zonas de almacenamiento   Plano de control de Citrix Files CTX208318
443 Dispositivo cliente Citrix Endpoint Management   Administración de Google Mobile, API de Google, API de Google Play Store *.googleapis.com
443 Dispositivo cliente Citrix Endpoint Management   Durante la comprobación de conectividad, se buscan versiones de CloudDPC anteriores a 470. Las comprobaciones de conectividad de Android a partir de N MR1 requieren que https://www.google.com/generate_204 sea accesible, o que la red Wi-Fi en cuestión apunte a un archivo PAC accesible. connectivitycheck.android.com, www.google.com

Requisito de puerto para la conectividad con AutoDiscovery Service

Esta configuración de puerto garantiza que los dispositivos Android que se conectan desde Citrix Secure Hub para Android puedan acceder al servicio de detección automática (AutoDiscovery Service/ADS) de Citrix Endpoint Management desde dentro de la red interna. La capacidad de acceder a ADS es importante en el momento de descargar las actualizaciones de seguridad que están disponibles a través del servicio ADS.

Nota:

Puede que las conexiones ADS no admitan su servidor proxy. En este caso, permita que la conexión ADS circunvale el servidor proxy.

Si quiere habilitar la fijación de certificados, debe cumplir los siguientes requisitos previos:

  • Obtenga certificados para el servidor de Citrix Endpoint Management y NetScaler Gateway: Los certificados deben estar en formato PEM y deben ser certificados públicos y no las claves privadas.
  • Contacte con la asistencia de Citrix y solicite que se habilite la fijación de certificados: Durante este proceso, se le solicitarán los certificados.

La fijación de certificados requiere que los dispositivos se conecten al servicio ADS antes de que el dispositivo se inscriba. Ese requisito garantiza que Citrix Secure Hub disponga de la información de seguridad más actualizada. Para que Citrix Secure Hub inscriba un dispositivo, éste debe contactar con el servicio ADS. Por lo tanto, es vital abrir el acceso al servicio ADS dentro de la red interna para permitir la inscripción de dispositivos.

Para que Citrix Secure Hub para Android/iOS acceda al servicio ADS, abra el puerto 443 para este nombre de dominio completo (FQDN):

FQDN Puerto Uso de IP y puerto
discovery.cem.cloud.us 443 Citrix Secure Hub: Comunicación ADS a través de CloudFront

Para obtener información sobre las direcciones IP admitidas, consulte Cloud-based storage centers from AWS.

Requisitos de red de Android Enterprise

Para obtener información sobre las conexiones salientes que se deben tener en cuenta al configurar entornos de red para Android Enterprise, consulte el artículo Android Enterprise Network Requirements de la asistencia técnica de Google.

Requisitos de aplicación

Citrix Endpoint Management permite agregar y mantener hasta 300 aplicaciones. Si supera este límite, el sistema se volverá inestable.

Requisitos del sistema