Tarefas e considerações do administrador

Este artigo discute as tarefas e considerações relevantes para administradores de aplicativos móveis de produtividade.

Gerenciamento de sinalização de recurso

Se ocorrer um problema com o aplicativo móvel de produtividade na produção, podemos desabilitar um recurso afetado dentro do código do aplicativo. Podemos desabilitar o recurso no Secure Hub, Secure Mail e Secure Web para iOS e Android. Para fazer isso, usamos sinalizadores de recurso e um serviço de terceiros chamado LaunchDarkly. Você não precisa fazer as configurações para ativar o tráfego para LaunchDarkly, exceto quando você tiver um firewall ou proxy que bloqueie o tráfego de saída. Nesse caso, você ativa o tráfego para LaunchDarkly via URLs específicos ou endereços IP, dependendo dos requisitos de sua política. Para obter detalhes sobre suporte para a exclusão de domínios de encapsulamento, consulte a Documentação do MAM SDX.

Você pode ativar o tráfego e a comunicação com o LaunchDarkly das seguintes maneiras:

Habilitar o tráfego para as seguintes URLs

  • events.launchdarkly.com
  • stream.launchdarkly.com
  • clientstream.launchdarkly.com
  • firehose.launchdarkly.com

Criar uma lista de permissão por domínio

Anteriormente, oferecíamos uma lista de endereços IP para usar quando suas políticas internas exigissem que apenas endereços IP fossem listados. Agora, como a Citrix fez melhorias de infraestrutura, estamos eliminando os endereços IP públicos a partir de 16 de julho de 2018. Recomendamos que você crie uma lista de permissão por domínio, se possível.

Listar endereços IP em uma lista de permissão

Se você precisar acrescentar os endereços IP à lista de permissão, consulte a Lista de IPs públicos do LaunchDarkly para obter uma lista de todos os intervalos de endereços IP atuais. Você pode usar essa lista para garantir que suas configurações de firewall sejam atualizadas automaticamente, de acordo com as atualizações da infraestrutura. Para obter detalhes sobre o status atual das alterações de infraestrutura, consulte LaunchDarkly Statuspage.

Nota:

Os aplicativos da loja pública requerem uma instalação nova na primeira vez que você os implanta. Não é possível atualizar a partir da versão empresarial atual preparada do aplicativo para a versão da loja pública.

Com distribuição em loja de aplicativos pública, você não precisa assinar e preparar aplicativos desenvolvidos pela Citrix com o MDX Toolkit. No entanto, você pode usar o MDX Toolkit para preparar os aplicativos de terceiros ou empresariais.

Requisitos do sistema LaunchDarkly

  • Endpoint Management 10.7 ou posterior.
  • Verifique se os aplicativos podem se comunicar com os seguintes serviços se o túnel dividido do Citrix ADC estiver definido como Desativado:
    • Serviço LaunchDarkly
    • Serviço de ouvinte APNs

Lojas de aplicativos com suporte

Os aplicativos móveis de produtividade estão disponíveis na loja de aplicativos da Apple e no Google Play.

Na China, onde o Google Play não está disponível, o Secure Hub para Android está disponível nas seguintes lojas de aplicativos:

Ativar a distribuição em loja de aplicativos pública

  1. Baixe os arquivos .mdx da loja pública para iOS e Android na página de downloads do Endpoint Management.
  2. Carregue os arquivos .mdx para o console Endpoint Management. As versões da loja pública dos aplicativos móveis de produtividade ainda são carregadas como aplicativos MDX. Não carregue os aplicativos como aplicativos de armazenamento público no servidor. Para informações sobre as etapas, consulte Adicionar aplicativos.
  3. Altere as políticas de seus padrões com base nas suas políticas de segurança (opcional).
  4. Envie os aplicativos como aplicativos necessários (opcional). Esta etapa requer que seu ambiente seja habilitado para gerenciamento de dispositivos móveis.
  5. Instale aplicativos no dispositivo da App Store, do Google Play ou da loja de aplicativos do Endpoint Management.
    • No Android, o usuário é direcionado à Play Store para instalar o aplicativo. No iOS, em implantações com o MDM, o aplicativo é instalado sem que o usuário vá até a loja de aplicativos.
    • Quando o aplicativo é instalado a partir da App Store ou Play Store, ocorre a seguinte ação. O aplicativo muda para um aplicativo gerenciado desde que o arquivo .mdx correspondente tenha sido carregado para o servidor. Ao fazer a transição para um aplicativo gerenciado, o aplicativo pede um PIN da Citrix. Quando os usuários inserem o PIN da Citrix, o Secure Mail exibe a tela de configuração de conta.
  6. Os aplicativos estão acessíveis somente se você estiver registrado no Secure Hub e o arquivo .mdx correspondente estiver no servidor. Se alguma das condições não for atendida, os usuários podem instalar o aplicativo, mas o uso do aplicativo é bloqueado.

Se você atualmente usa aplicativos do Citrix Ready Marketplace que estão em lojas de aplicativos públicas, você já está familiarizado com o processo de implantação. Os aplicativos móveis de produtividade adotam a mesma abordagem que muitos ISVs utilizam atualmente. Incorpore o SDK do MDX no aplicativo para tornar o aplicativo apto para loja de aplicativos pública.

Nota:

As versões de loja pública do aplicativo Citrix Files para iOS e Android agora são universais. O aplicativo Citrix Files é o mesmo para telefones e tablets.

Notificação por push da Apple

Para obter informações sobre a configuração de notificações por push, consulte Configuração de Secure Mail para notificações por push.

Perguntas frequentes da loja de aplicativos pública

  • Posso implantar várias cópias do aplicativo de loja pública em diferentes grupos de usuários? Por exemplo, eu queiro implantar políticas diferentes para diferentes grupos de usuários.

    Carregue um arquivo .mdx diferente para cada grupo de usuários. No entanto, nesse caso, um único usuário não pode pertencer a mais de um grupo. Se os usuários pertencerem a mais de um grupo, várias cópias do mesmo aplicativo são atribuídas àquele usuário. Mais de uma cópia de um aplicativo de loja pública não pode ser implantada no mesmo dispositivo porque a ID de aplicativo não pode ser alterado.

  • Posso enviar por push aplicativos de loja pública conforme seja necessário?

    Sim. O envio de aplicativos por push requer MDM; não tem suporte com implantações de apenas MAM.

  • Atualizo as políticas de tráfego ou regras do Exchange Server que são baseadas em agente de usuário?

    Cadeias de caracteres para as políticas baseadas em agentes e regras por plataforma como apresentado a seguir.

    Importante:

    O Secure Notes e o Secure Tasks atingiram o status de Fim da Vida Útil (EOL) em 31 de dezembro de 2018. Para obter detalhes, consulte EOL e aplicativos obsoletos.

Android

Aplicativo Servidor Cadeia de agente do usuário
Citrix Secure Mail Exchange WorxMail
  Lotus Notes Traveler Apple - iPhone WorxMail
Citrix Secure Web   WorxMail
Citrix Secure Tasks Exchange WorxMail
Citrix Secure Notes Exchange WorxMail
  Citrix Files Secure Notes

iOS

Aplicativo Servidor Cadeia de agente do usuário
Citrix Secure Mail Exchange WorxMail
  Lotus Notes Traveler Apple - iPhone WorxMail
Citrix Secure Web   com.citrix.browser
Citrix Secure Tasks Exchange WorxTasks
Citrix Secure Notes Exchange WorxNotes
  Citrix Files Secure Notes
  • Posso impedir atualizações do aplicativo?

    Não. Quando uma atualização é colocada na loja de aplicativos pública, todos os usuários que têm atualizações automáticas ativadas recebem a atualização.

  • Posso impor atualizações de aplicativo?

    Sim, as atualizações são impostas por meio da política de período de cortesia de atualização. Essa política é definida quando o novo arquivo .mdx correspondente à versão atualizada do aplicativo é carregado no Endpoint Management.

  • Como faço para testar aplicativos antes da atualização atingir os usuários se eu não puder controlar os prazos da atualização?

    Semelhante ao processo para o Secure Hub, os aplicativos estão disponíveis para teste no TestFlight para iOS durante o período EAR. No Android, os aplicativos estão disponíveis por meio do programa beta Google Play durante o período EAR. Você pode testar as atualizações de aplicativos durante esse período.

  • O que acontece se eu não atualizar o novo arquivo .mdx antes de a atualização automática atingir os dispositivos de usuário?

    O aplicativo atualizado permanece compatível com o antigo arquivo .mdx. Os novos recursos que dependem de uma nova política não são ativados.

  • O aplicativo fará a transição para gerenciado se o Secure Hub estiver instalado ou o aplicativo precisa ser registrado?

    Os usuários devem estar registrados no Secure Hub para que a loja de aplicativos pública o ative como um aplicativo gerenciado pelo (com segurança pelo MDX) e ele seja utilizável. Se o Secure Hub estiver instalado, mas não registrado, o usuário não pode usar o aplicativo de loja pública.

  • Preciso de uma conta de desenvolvedor Apple Enterprise para os aplicativos de loja pública?

    Não. Como a Citrix agora manterá os certificados e perfis de provisionamento para os aplicativos móveis de produtividade, não é necessário ter uma conta de desenvolvedor Apple Enterprise para implantar esses aplicativos aos usuários.

  • O fim de distribuição empresarial se aplica a qualquer aplicativo preparado que eu tiver implantado?

    Não, aplica-se somente aos aplicativos móveis de produtividade: Secure Mail, Secure Web e Citrix Content Collaboration para Endpoint Management, QuickEdit e ShareConnect. Os aplicativos empresariais preparados que você implantou que foram desenvolvidos internamente ou por terceiros podem continuar a usar preparação empresarial. O MDX Toolkit continuará a oferecer suporte à preparação empresarial para desenvolvedores de aplicativos.

  • Quando eu instalo um aplicativo do Google Play, recebo um erro do Android com código de erro 505.

    Nota:

    O suporte para Android 5.x terminou em 31 de dezembro de 2018.

    Este é um problema conhecido com o Google Play e Android das versões 5.x. Se o erro ocorrer, há alguns procedimentos que você pode executar para limpar dados obsoletos no dispositivo que estão impedindo a instalação do aplicativo:

  1. Reinicie o dispositivo.

  2. Limpe o cache e os dados do Google Play por meio das configurações do dispositivo.

  3. Como último recurso, remova e adicione de volta a conta do Google ao seu dispositivo.

Para obter mais informações, pesquise neste site usando as seguintes palavras-chave: “Fix Google Play Store Error 505 in Android: Unknown Error Code”

  • Embora o aplicativo no Google Play tenha sido liberado para produção e não haja uma nova versão beta disponível, por que aparece Beta após o nome do aplicativo no Google Play?

    Se você faz parte do nosso programa de versão de acesso antecipado, você sempre verá Beta ao lado do nome do aplicativo. Esse nome simplesmente notifica os usuários sobre o seu nível de acesso para um aplicativo específico. O nome Beta indica que os usuários têm a versão mais recente do aplicativo disponível. A versão mais recente pode ser a última publicada para produção ou como beta.

  • Após instalar e abrir o aplicativo, os usuários veem a mensagem Aplicativo não autorizado, ainda que o arquivo .mdx esteja no console Endpoint Management.

    Esse problema pode acontecer se os usuários instalarem o aplicativo diretamente da App Store ou do Google Play e se o Secure Hub não tiver sido atualizado. O Secure Hub deve ser atualizado quando o temporizador de inatividade expirar. As políticas são atualizadas quando os usuários abrem o Secure Hub e autenticam novamente. O aplicativo será autorizado na próxima vez em que os usuários abrirem o aplicativo.

  • É necessário um código de acesso para usar o aplicativo? Eu vejo uma tela que me pede para inserir um código de acesso quando instalo o aplicativo da App Store ou Play Store.

    Se for exibida uma tela que solicita o código de acesso, isso indica que você não está registrado no Endpoint Management através do Secure Hub. Registre com o Secure Hub e verifique se o arquivo .mdx foi implantado no servidor. Também verifique se é possível usar o aplicativo. O código de acesso está limitado ao uso interno da Citrix. Os aplicativos exigem uma implantação de Endpoint Management para que sejam ativados.

  • Posso implantar aplicativos de loja pública do iOS via VPP ou DEP?

    O Endpoint Management é otimizado para distribuição por VPP de aplicativos de loja pública que não são habilitados para MDX. Embora você possa distribuir os aplicativos da loja pública do Endpoint Management com VPP, a implantação não é ideal, até que façamos aprimoramentos adicionais ao Endpoint Management e à loja do Secure Hub para resolver as limitações. Para obter uma lista de problemas conhecidos com a implantação de aplicativos da loja pública do Endpoint Management por meio de VPP, além de possíveis soluções alternativas, consulte este artigo do Citrix Knowledge Center.

Políticas de MDX para aplicativos móveis de produtividade

As políticas de MDX permitem que você ajuste as configurações que o Endpoint Management impõe. As políticas abrangem autenticação, segurança de dispositivo, requisitos de rede e de acesso, criptografia, interação de aplicativos, restrições de aplicativos e muito mais. Muitas políticas de MDX se aplicam a todos os aplicativos móveis de produtividade. Algumas políticas são específicas do aplicativo.

Os arquivos de política são fornecidos como arquivos .mdx para as versões de loja pública dos aplicativos móveis de produtividade. Você também pode configurar as políticas no console Endpoint Management ao adicionar um aplicativo.

Para obter descrições completas das políticas de MDX, consulte os seguintes artigos nesta seção:

As seções a seguir descrevem as políticas de MDX relacionadas a conexões de usuário.

Modo duplo no Secure Mail para Android

Um SDK de gerenciamento de aplicativo móvel (MAM) está disponível para substituir áreas de funcionalidade MDX que não são cobertas pelas plataformas iOS e Android. A tecnologia de preparação MDX está programada para atingir o fim da vida útil (EOL) em setembro de 2021. Para continuar gerenciando seus aplicativos empresariais, você deve incorporar o SDK MAM.

A partir da versão 20.8.0, os aplicativos Android são lançados com o MDX e o MAM SDK para se preparar para a estratégia MDX EOL mencionada anteriormente. O modo duplo MDX destina-se a fornecer uma maneira de fazer a transição para novos SDKs MAM a partir do MDX Toolkit atual. O uso do modo duplo permite que você:

  • Continue gerenciando aplicativos usando o MDX Toolkit (agora chamado MDX Legado no console Endpoint Management)
  • Gerencie aplicativos que incorporam o novo MAM SDK.

    Nota:

    Quando você usa o MAM SDK, não é necessário preparar aplicativos.

Não há etapas adicionais necessárias depois que você alternar para o MAM SDK.

Para obter mais detalhes sobre o SDK MAM, consulte os seguintes artigos:

Pré-requisitos

Para uma implantação bem-sucedida do recurso de modo duplo, assegure o seguinte:

  • Atualize o Citrix Endpoint Management para as versões 10.12 RP2 e posteriores ou 10.11 RP5 e posteriores.
  • Atualize seus aplicativos móveis para a versão 20.8.0 ou posterior.
  • Atualize o arquivo de políticas para a versão 20.8.0 ou posterior.
  • Se a sua organização usa aplicativos de terceiros, certifique-se de incorporar o SDK MAM em seus aplicativos de terceiros antes de mudar para a opção SDK MAM em seus aplicativos móveis de produtividade Citrix. Todos os seus aplicativos gerenciados devem ser movidos para o SDK MAM de uma só vez.

Nota:

O SDK MAM é compatível com todos os clientes baseados em nuvem.

Limitações

  • O SDK MAM suporta apenas aplicativos publicados na plataforma Android Enterprise em sua implantação do Citrix Endpoint Management. Para os aplicativos recém-publicados, a criptografia padrão é a criptografia baseada em plataforma.
  • O SDK MAM suporta apenas criptografia baseada em plataforma, não criptografia MDX.
  • Se você não atualizar o Citrix Endpoint Management e os arquivos da política estiverem sendo executados na versão 20.8.0 e posterior nos aplicativos móveis, serão criadas entradas duplicadas da política de Rede no Secure Mail.

Quando você configura o Secure Mail no Citrix Endpoint Management, o recurso de modo duplo permite que você continue gerenciando aplicativos usando o MDX Toolkit (agora MDX herdado) ou alterne para o novo MAM SDK para gerenciamento de aplicativos. A Citrix recomenda que você alterne para o MAM SDK, pois os SDKs MAM são mais modulares e têm o objetivo de permitir que você use apenas um subconjunto da funcionalidade de MDX que a sua organização usa.

Você tem as seguintes opções de configurações de política no Contêiner de política MDX ou MAM SDK:

  • MAM SDK
  • MDX herdado

MAM SDK

Na política de Contêiner de política MDX ou MAM SDK, você só pode alterar sua opção de MDX herdado para MAM SDK. A opção de alternar do MAM SDK para o MDX herdado não é permitida, e você precisa republicar o aplicativo. O valor padrão é MDX herdado. Certifique-se de definir o mesmo modo de política para o Secure Mail e o Secure Web em execução no mesmo dispositivo. Não é possível ter dois modos diferentes em execução no mesmo dispositivo.

Conexões de usuário à rede interna

As conexões que fazem túnel para a rede interna podem usar um Túnel de VPN completo ou uma variação de uma VPN sem cliente, conhecida como Com túnel — SSO de Web. A Política de modo VPN preferencial controla esse comportamento. Por padrão, as conexões usam Com túnel — SSO de Web, que é recomendado para conexões que exigem SSO. A configuração do túnel VPN completo é recomendada para conexões que usam certificados de cliente ou SSL de ponta a ponta a um recurso na rede interna. A configuração manipula qualquer protocolo por TCP e pode ser usada com computadores Windows e Mac e com dispositivos iOS e Android.

A política Permitir comutação de modo VPN permite a comutação automática entre os modos Túnel VPN completo e Com túnel – SSO de Web, conforme necessário. Como padrão, esta política está Desativada. Quando esta política está ativada, uma solicitação de rede que falhar devido a uma solicitação de autenticação que não possa ser processado no modo VPN preferida é repetida no modo alternativo. Por exemplo, desafios do servidor para certificados de cliente podem ser acomodados pelo modo túnel VPN completo, mas não pelo modo Com túnel — SSO de Web. Da mesma forma, os desafios de autenticação HTTP têm maior probabilidade de serem atendidos pelo SSO ao usar o modo Com túnel — SSO de Web.

Restrições de acesso à rede

A política de Acesso à rede especifica se são colocadas restrições no acesso à rede. Como padrão, o acesso ao Secure Mail é irrestrito, o que significa que não há restrições colocadas no acesso à rede. Os aplicativos têm acesso irrestrito a redes a que o dispositivo está conectado. Como padrão, o acesso ao Secure Web é com túnel para a rede interna, o que significa que é usado um túnel de VPN por aplicativo para rede interna para todo o acesso à rede e são utilizadas configurações de túnel dividido do Citrix ADC. Você também pode especificar acesso bloqueado para que o aplicativo funcione como se o dispositivo não tivesse conexão de rede.

Não bloqueie a política de acesso à rede se você quiser permitir recursos como AirPrint e iCloud, além de APIs do Facebook e Twitter.

A política Acesso à rede interage com a política Serviços de rede em segundo plano. Para obter detalhes, consulte Integração do Exchange Server ou servidor IBM Notes Traveler.

Propriedades do cliente Endpoint Management

As propriedades do cliente contêm informações que são fornecidas diretamente para o Secure Hub em dispositivos de usuários. As propriedades do cliente estão localizadas no console Endpoint Management em Configurações > Cliente > Propriedades do cliente.

As propriedades do cliente são usadas para configurar configurações como as seguintes:

Armazenamento em cache de senha do usuário

O armazenamento de senha do usuário em cache permite aos usuários que a senha do Active Directory seja armazenada em cache localmente no dispositivo móvel. Se você ativar o armazenamento em cache da senha do usuário, os usuários são solicitados a criar um PIN da Citrix ou código secreto.

Timer de inatividade

O timer de inatividade define o tempo, em minutos, durante o qual os usuários podem deixar o dispositivo inativo e, em seguida, podem acessar um aplicativo sem que lhes seja solicitado um PIN da Citrix ou código secreto. Para ativar esta configuração em um aplicativo de MDX, você deve definir a Política de código secreto de aplicativo como Ativada. Se a Política de código secreto de aplicativo estiver Desativada, os usuários são redirecionados para o Secure Hub para executar uma autenticação completa. Quando você altera essa configuração, o valor entra em vigor na próxima vez em que houver solicitação para que os usuários se autentiquem.

Autenticação do PIN da Citrix

O PIN da Citrix simplifica o processo de autenticação do usuário. O PIN é usado para proteger um certificado de cliente ou salvar credenciais do Active Directory localmente no dispositivo. Se você definir as configurações do PIN, o logon do usuário acontece da seguinte maneira:

  1. Quando os usuários iniciam o Secure Hub pela primeira vez, eles recebem um aviso para inserir um PIN, que armazena em cache as credenciais do Active Directory.

  2. Na próxima vez que os usuários iniciam um aplicativo móvel de produtividade, como o Secure Mail, eles inserem o PIN e se conectam.

Você deve usar as propriedades de cliente para ativar a autenticação por PIN, especificar o tipo de PIN e especificar a força, comprimento do PIN e alterar os requisitos.

Autenticação por impressão digital ou por Touch ID

A autenticação por impressão digital, também conhecida como autenticação por Touch ID, para dispositivos iOS é uma alternativa ao PIN Citrix. O recurso é útil quando aplicativos preparados, exceto o Secure Hub, precisam de autenticação offline, como quando o timer de inatividade expira. Você pode ativar o recurso nos seguintes cenários de autenticação:

  • PIN da Citrix + configuração de certificado de cliente
  • PIN da Citrix + senha de AD armazenada em cache
  • PIN da Citrix + configuração de certificado do e configuração da senha de AD armazenada em cache
  • PIN da Citrix está desativado

Se a autenticação por impressão digital falhar ou se um usuário cancelar o aviso de autenticação por impressão digital, os aplicativos preparados voltam para autenticação de PIN da Citrix ou de senha do AD.

Requisitos de autenticação por impressão digital

  • Dispositivos iOS (mínimo de versão 8.1) que dão suporte a autenticação por impressão digital, devendo ter pelo menos uma impressão digital configurada.

  • A entropia de usuário deve estar desativada.

Autenticação de impressão digital

Importante:

Se a entropia de usuário estiver ativada, a propriedade Ativar Autenticação de Touch ID é ignorada. O recurso de entropia de usuário é ativado por meio da chave Criptografar segredos usando o código secreto.

  1. No console Endpoint Management vá até Configurações > Cliente > Propriedades do cliente.

  2. Clique em Add.

    Imagem da tela Adicionar nova propriedade do cliente

  3. Adicione a chave ENABLE_TOUCH_ID_AUTH, defina o Valor como True e defina o nome da política como Ativar Autenticação por impressão digital.

Depois de configurar a autenticação por impressão digital, os usuários não precisam registrar seus dispositivos de novo.

Para obter mais informações sobre a criptografia de segredos usando uma chave de código secreto e as propriedades do cliente em geral, consulte o artigo do Endpoint Management sobre Propriedades do cliente.

Google Analytics

O Citrix Secure Mail usa o Google Analytics para coletar estatísticas do aplicativo e dados analíticos sobre informações de uso para melhorar a qualidade do produto. A Citrix não coleta nem armazena nenhuma outra informação pessoal do usuário.

Desativar o Google Analytics

Os administradores podem desativar o Google Analytics configurando a propriedade personalizada do cliente DISABLE_GA. Para desativar o Google Analytics, faça o seguinte:

  1. Faça logon no console Citrix Endpoint Management e navegue para Configurações > Propriedades do cliente > Adicionar nova propriedade de cliente.
  2. Adicione o valor DISABLE_GA ao campo Chave.
  3. Defina o valor da propriedade do cliente como true.

Nota:

Se você não configurar o valor DISABLE_GA no console Citrix Endpoint Management, os dados do Google Analytics ficam ativos.