Intégration de Citrix Endpoint Management
Cet article décrit les éléments à prendre en compte lors de la planification de l’intégration de Citrix Endpoint Management à votre réseau et à vos solutions. Par exemple, si vous utilisez déjà NetScaler Gateway pour Citrix Virtual Apps and Desktops :
- Souhaitez-vous utiliser l’instance existante de NetScaler Gateway ou une nouvelle instance dédiée ?
- Voulez-vous intégrer à Citrix Endpoint Management les applications HDX publiées avec StoreFront ?
- Avez-vous l’intention d’utiliser Citrix Files avec Citrix Endpoint Management ?
- Avez-vous une solution de contrôle d’accès réseau que vous souhaitez intégrer à Citrix Endpoint Management ?
NetScaler Gateway
NetScaler Gateway est requis pour Citrix Endpoint Management. NetScaler Gateway fournit un chemin micro VPN pour l’accès à toutes les ressources de l’entreprise et fournit une prise en charge de l’authentification forte à multi-facteurs.
Vous pouvez utiliser des instances de NetScaler Gateway existantes ou en configurer de nouvelles pour Citrix Endpoint Management. Les sections suivantes expliquent les avantages et les inconvénients de l’utilisation d’instances NetScaler Gateway dédiées existantes ou nouvelles.
NetScaler Gateway MPX partagé avec une VIP NetScaler Gateway créée pour Citrix Endpoint Management
Avantages :
- Utilise une instance NetScaler Gateway commune pour toutes les connexions distantes Citrix : Citrix Virtual Apps, VPN complet et VPN sans client.
- Utilise les configurations NetScaler Gateway existantes, telles que l’authentification par certificat et l’accès à des services tels que DNS, LDAP et NTP.
- Utilise une seule licence de plate-forme NetScaler Gateway.
Inconvénients :
- Il est plus difficile de planifier l’échelle du déploiement lorsque vous gérez deux cas d’utilisation différents sur le même NetScaler Gateway.
- Parfois, vous avez besoin d’une version spécifique de NetScaler Gateway pour une utilisation spécifique de Citrix Virtual Apps. Cette même version peut présenter des problèmes connus pour Citrix Endpoint Management. Ou Citrix Endpoint Management peut présenter des problèmes connus pour la version NetScaler Gateway.
- Si une instance de NetScaler Gateway existe, vous ne pouvez pas exécuter l’assistant NetScaler for XenMobile une deuxième fois pour créer la configuration NetScaler Gateway pour Citrix Endpoint Management.
- Sauf lorsque des licences Platinum sont utilisées pour NetScaler Gateway 11.1 ou version ultérieure : les licences d’accès utilisateur installées sur NetScaler Gateway et requises pour la connectivité VPN sont regroupées. Comme ces licences sont disponibles pour tous les serveurs virtuels NetScaler Gateway, des services autres que Citrix Endpoint Management peuvent potentiellement les consommer.
Instance NetScaler Gateway VPX/MPX dédiée
Avantages :
Citrix vous recommande d’utiliser une instance dédiée de NetScaler Gateway.
- Plus facile à planifier en termes d’échelle et sépare le trafic Endpoint Management d’une instance NetScaler Gateway qui pourrait déjà être limitée en ressources.
- Évite les problèmes lorsque Citrix Endpoint Management et Citrix Virtual Apps nécessitent différentes versions du logiciel NetScaler Gateway. Il est généralement préférable d’utiliser la dernière version/build de NetScaler Gateway compatible pour Citrix Endpoint Management.
- Permet la configuration Citrix Endpoint Management de NetScaler Gateway via l’assistant NetScaler pour XenMobile intégré.
- Séparation virtuelle et physique des services.
Inconvénients :
- Nécessite l’installation de services supplémentaires sur NetScaler Gateway pour prendre en charge la configuration Citrix Endpoint Management.
- Nécessite une autre licence de plate-forme NetScaler Gateway. Licence pour chaque instance NetScaler Gateway pour NetScaler Gateway.
Pour plus d’informations sur les éléments à prendre en compte lors de l’intégration de NetScaler Gateway et Citrix ADC pour les modes de gestion Citrix Endpoint Management, consultez Intégration avec NetScaler Gateway et Citrix ADC.
StoreFront
Si vous disposez d’un environnement Citrix Virtual Apps and Desktops, vous pouvez intégrer des applications HDX avec Citrix Endpoint Management à l’aide de StoreFront. Lorsque vous intégrez des applications HDX avec Citrix Endpoint Management :
- Les applications sont disponibles pour les utilisateurs inscrits avec Citrix Endpoint Management.
- Les applications s’affichent dans le magasin d’applications avec d’autres applications mobiles.
- Citrix Endpoint Management utilise Citrix Receiver sur StoreFront.
- Lorsque l’application Citrix Workspace est installée sur un appareil, les applications HDX commencent à utiliser cette application.
StoreFront est limité à un site de services par instance. Supposons que vous ayez plusieurs magasins et que vous souhaitiez le séparer d’autres utilisations de production. Dans ce cas, Citrix vous recommande généralement d’envisager une nouvelle instance de StoreFront avec un nouveau site de services pour Citrix Endpoint Management.
Les points à prendre en compte sont les suivants :
- Existe-t-il des exigences d’authentification différentes pour StoreFront ? Le site de services StoreFront nécessite des informations d’identification Active Directory pour la connexion. Les clients utilisant uniquement l’authentification par certificat ne peuvent pas énumérer les applications via Citrix Endpoint Management en utilisant la même instance de NetScaler Gateway.
- Utiliser le même magasin ou en créer un nouveau ?
- Utiliser le même serveur StoreFront ou un serveur différent ?
Les sections suivantes indiquent les avantages et les inconvénients de l’utilisation d’instances StoreFront séparées ou combinées pour Citrix Workspace et pour les applications de productivité mobiles Citrix.
Intégrer votre instance StoreFront existante avec Citrix Endpoint Management
Avantages :
- Même magasin : aucune configuration supplémentaire de StoreFront n’est requise pour Citrix Endpoint Management, à condition que vous utilisiez le même accès par VIP NetScaler Gateway pour HDX. Supposons que vous choisissiez d’utiliser le même magasin et que vous souhaitiez diriger l’accès de Citrix Workspace vers une nouvelle VIP NetScaler Gateway. Dans ce cas, ajoutez la configuration NetScaler Gateway appropriée à StoreFront.
- Même serveur StoreFront : utilise l’installation et la configuration de StoreFront existantes.
Inconvénients :
- Même magasin : toute reconfiguration de StoreFront pour gérer les charges de travail Citrix Virtual Apps and Desktops peut avoir un effet négatif sur Citrix Endpoint Management.
- Même serveur StoreFront : dans les environnements de grande taille, considérez la charge supplémentaire que représente l’utilisation de Citrix Receiver par Citrix Endpoint Management pour l’énumération et le démarrage des applications.
Utiliser une nouvelle instance StoreFront dédiée pour l’intégration à Citrix Endpoint Management
Avantages :
- Nouveau magasin : les modifications de configuration du magasin StoreFront pour Citrix Endpoint Management n’affectent pas les charges de travail Citrix Virtual Apps and Desktops existantes.
- Nouveau serveur StoreFront : les modifications de configuration du serveur n’affectent pas le flux de travail Citrix Virtual Apps and Desktops. De plus, la charge hors de l’utilisation de Citrix Receiver par Citrix Endpoint Management pour l’énumération et le lancement des applications n’affectent pas la capacité à monter en charge.
Inconvénients :
- Nouveau magasin : configuration du magasin StoreFront.
- Nouveau serveur StoreFront : requiert une nouvelle installation et une nouvelle configuration de StoreFront.
Pour plus d’informations, voir Citrix Virtual Apps and Desktops via le magasin d’applications.
ShareFile et Citrix Files
ShareFile vous permet d’échanger des documents facilement et en toute sécurité, d’envoyer des documents volumineux par courrier électronique et de gérer en toute sécurité les transferts de documents à des tiers. L’application Citrix Files permet aux utilisateurs d’accéder à toutes leurs données et de les synchroniser à partir de n’importe quel appareil. Avec Citrix Files, les utilisateurs peuvent partager des données en toute sécurité avec des personnes à l’intérieur et à l’extérieur de l’organisation.
Citrix Endpoint Management permet à Citrix Files de bénéficier des fonctionnalités suivantes :
- Authentification à connexion unique pour les utilisateurs de l’application Endpoint Management.
- Provisionnement de compte d’utilisateur basé sur Active Directory.
- Stratégies de contrôle d’accès complètes
Les utilisateurs mobiles peuvent bénéficier de l’ensemble des fonctionnalités de compte Enterprise.
Vous pouvez également configurer Citrix Endpoint Management pour une intégration aux StorageZone Connector uniquement. Grâce aux connecteurs StorageZone, Citrix Files donne accès aux éléments suivants :
- Documents et dossiers
- Partages de fichiers réseau
- Dans les sites SharePoint : collections de sites et bibliothèques de documents.
Les partages de fichiers connectés peuvent inclure les mêmes lecteurs de base réseau que ceux utilisés dans les environnements Citrix Virtual Apps and Desktops. La console Citrix Endpoint Management permet de configurer l’intégration aux comptes Enterprise ou aux StorageZone Connector. Pour plus d’informations, consultez la section Citrix Files pour Citrix Endpoint Management.
Les sections suivantes indiquent les questions à poser lors de la prise de décision concernant la conception pour Citrix Files.
Intégration à Citrix Files ou uniquement aux connecteurs StorageZone
Questions à poser :
- Souhaitez-vous stocker des données dans des zones de stockage gérées par Citrix ?
- Voulez-vous fournir aux utilisateurs des fonctions de partage de fichiers et de synchronisation ?
- Voulez-vous permettre aux utilisateurs d’accéder aux fichiers sur le site Web Citrix Files ? Ou d’accéder à du contenu Office 365 et à des connecteurs Personal Cloud depuis des appareils mobiles ?
Décision de conception :
- Si la réponse à l’une de ces questions est « oui », intégrez un compte Enterprise.
- Une intégration aux connecteurs StorageZone uniquement offre aux utilisateurs iOS un accès mobile sécurisé aux référentiels de stockage locaux existants, tels que des sites SharePoint et des partages de fichiers réseau. Dans cette configuration, la configuration d’un sous-domaine Citrix Files, le provisioning d’utilisateurs pour Citrix Files ou l’hébergement de données Citrix Files ne sont pas nécessaires. L’utilisation de StorageZone Connector avec Citrix Endpoint Management est conforme aux restrictions de sécurité contre la fuite d’informations utilisateur en dehors du réseau d’entreprise.
Emplacement des serveurs StorageZones Controller
Questions à poser :
- Avez-vous besoin d’un stockage sur site ou de fonctionnalités telles que des connecteurs StorageZone ?
- Si vous utilisez les fonctionnalités locales de Citrix Files, où se trouveront les StorageZones Controller sur le réseau ?
Décision de conception :
- Déterminez si vous souhaitez placer les serveurs StorageZones Controller dans le cloud Citrix Files, dans votre système de stockage local à locataire unique ou dans un stockage cloud tiers pris en charge.
- Les StorageZones Controller doivent disposer d’un accès à Internet pour communiquer avec le plan de contrôle Citrix Files. Vous pouvez vous connecter de plusieurs manières, y compris par accès direct ou par configurations NAT/PAT.
Connecteurs StorageZone
Questions à poser :
- Quels sont les chemins de partage CIFS ?
- Quelles sont les URL SharePoint ?
Décision de conception :
- Déterminez si les StorageZones Controller locaux doivent accéder à ces emplacements.
- En raison de la communication des StorageZone Connector avec des ressources internes telles que des référentiels de fichiers, des partages CIFS et SharePoint : Citrix recommande que les StorageZones Controller résident dans le réseau interne derrière les pare-feu DMZ et devant NetScaler Gateway.
Intégration de SAML à Citrix Endpoint Management
Questions à poser :
- L’authentification avec Active Directory est-elle requise pour Citrix Files ?
- La première utilisation de l’application Citrix Files pour Citrix Endpoint Management nécessite-t-elle une authentification unique ?
- Existe-t-il un fournisseur d’identité standard dans votre environnement actuel ?
- Combien de domaines sont requis pour utiliser SAML ?
- Existe-t-il plusieurs alias d’adresse e-mail pour les utilisateurs d’Active Directory ?
- Des migrations de domaine Active Directory sont-elles en cours ou prévues pour bientôt ?
Décision de conception :
Vous pouvez choisir d’utiliser SAML comme mécanisme d’authentification pour Citrix Files. Les options d’authentification sont les suivantes :
-
Utiliser le serveur Citrix Endpoint Management en tant que fournisseur d’identité (IdP) pour SAML
Cette option peut fournir une excellente expérience utilisateur et automatiser la création de compte Citrix Files, ainsi qu’activer les fonctionnalités SSO de l’application mobile.
Le serveur Citrix Endpoint Management est adapté à ce processus : il ne nécessite pas la synchronisation d’Active Directory.
Utilisez l’outil de gestion des utilisateurs Citrix Files pour provisionner des utilisateurs.
-
Utiliser un fournisseur tiers pris en charge en tant que fournisseur d’identité pour SAML
Si vous disposez déjà d’un fournisseur d’identité et pris en charge et que vous n’avez pas besoin de fonctionnalités d’authentification unique pour les applications mobiles, cette option peut vous convenir. Cette option nécessite également l’utilisation de l’outil de gestion des utilisateurs Citrix Files pour le provisionnement des comptes.
L’utilisation de solutions d’identité tierces telles qu’ADFS peut également fournir des fonctionnalités d’authentification unique du côté client Windows. Veillez à évaluer les cas d’utilisation avant de choisir votre fournisseur d’identité SAML Citrix Files.
-
Ou, pour répondre aux deux cas d’utilisation, consultez le guide de configuration de l’authentification unique ShareFile pour les fournisseurs d’identités doubles.
Applications mobiles
Questions à poser :
- Quelle application mobile Citrix Files envisagez-vous d’utiliser (public, MDM, MDX) ?
Décision de conception :
- Vous pouvez distribuer les applications de productivité mobiles Citrix à partir de l’App Store d’Apple et de Google Play Store. Avec cette distribution depuis des magasins publics, vous obtenez des applications encapsulées à partir de la page de téléchargements Citrix.
- Si vos exigences de sécurité sont faibles et que vous n’avez pas besoin de conteneurisation, l’application publique Citrix Files peut ne pas convenir.
- Pour plus d’informations, consultez les sections Applications et Citrix Files pour Citrix Endpoint Management.
Sécurité, stratégies et contrôle d’accès
Questions à poser :
- Quelles restrictions sont requises pour les utilisateurs de bureau, Web et mobiles ?
- Quels paramètres de contrôle d’accès standard souhaitez-vous pour les utilisateurs ?
- Quelle stratégie de rétention des fichiers comptez-vous utiliser ?
Décision de conception :
- Citrix Files vous permet de gérer les autorisations des employés. Pour plus d’informations, voir Autorisations des employés.
- Certains paramètres de sécurité des appareils Citrix Files et certaines stratégies MDX contrôlent les mêmes fonctionnalités. Dans ce cas, les stratégies Citrix Endpoint Management sont prioritaires, suivies des paramètres de sécurité des appareils Citrix Files. Exemples : si vous désactivez des applications externes dans Citrix Files, mais les activez dans Citrix Endpoint Management, les applications externes sont désactivées dans Citrix Files. Vous pouvez configurer les applications pour que Citrix Endpoint Management n’exige pas de code PIN/code secret, mais que l’application Citrix Files requière un code PIN/code secret.
Zones de stockage standard ou restreintes
Questions à poser :
- Avez-vous besoin de zones de stockage restreintes ?
Décision de conception :
- Une zone de stockage standard est conçue pour stocker les données non sensibles et permet aux employés de partager des données avec des personnes autres que des employés. Cette option prend en charge les workflows qui impliquent le partage de données en dehors de votre domaine.
- Une zone de stockage restreinte protège les données sensibles : seuls les utilisateurs de domaine authentifiés peuvent accéder aux données stockées dans la zone.
Contrôle d’accès
Les entreprises peuvent gérer les appareils mobiles à l’intérieur et à l’extérieur des réseaux. Les solutions de gestion de la mobilité d’entreprise telles que Citrix Endpoint Management sont excellentes pour fournir sécurité et contrôle pour les appareils mobiles, indépendamment de leur emplacement. Toutefois, en utilisant également une solution de contrôle d’accès réseau (NAC), vous pouvez ajouter une qualité de service et un contrôle plus précis aux appareils internes de votre réseau. Cette combinaison vous permet d’étendre l’évaluation de la sécurité des appareils Citrix Endpoint Management via votre solution NAC. Votre solution NAC peut ensuite utiliser l’évaluation de sécurité Citrix Endpoint Management pour faciliter et gérer les décisions d’authentification.
Vous pouvez utiliser l’une de ces solutions pour appliquer les stratégies NAC :
- NetScaler Gateway
- ForeScout
Citrix ne garantit pas l’intégration à d’autres solutions NAC.
Les avantages d’une intégration de solution NAC avec Citrix Endpoint Management sont les suivants :
- Sécurité, conformité et contrôle améliorés pour tous les points de terminaison sur un réseau d’entreprise.
- Une solution NAC peut :
- Détecter les appareils au moment où ils tentent de se connecter à votre réseau.
- Interroger Citrix Endpoint Management sur les attributs de l’appareil.
- Utiliser ces informations pour déterminer si ces appareils doivent être autorisés, bloqués, limités ou redirigés. Ces décisions dépendent des stratégies de sécurité que vous choisissez d’appliquer.
- Une solution NAC fournit aux administrateurs informatiques une vue des appareils non gérés et non conformes.
Vous trouverez une description des filtres de conformité NAC pris en charge par Citrix Endpoint Management et une vue d’ensemble de la configuration dans la section Contrôle d’accès réseau.