Citrix Endpoint Management

关于 Citrix Endpoint Management

Citrix Endpoint Management 是一种统一端点管理 (UEM) 解决方案,可将每个应用和端点整合到一个统一视图中,以提高安全性并提高工作效率。有关 UEM 的概述,请参阅 Citrix Tech Zone 技术简要概述 Citrix Endpoint Management

Citrix Endpoint Management 提供移动设备管理 (MDM) 和移动应用程序管理 (MAM)。

Citrix Endpoint Management 的 MDM 功能允许您:

  • 部署设备策略和应用程序。
  • 检索资产清单。
  • 在设备上执行操作,例如设备擦除。

Citrix Endpoint Management 的 MAM 功能允许您:

  • 保护 BYO 移动设备上应用程序和数据的安全。
  • 交付企业移动应用程序。
  • 锁定应用程序并擦除其数据。

结合使用 MDM 和 MAM 功能,您可以:

  • 通过使用 MDM 来管理公司发放的设备
  • 部署设备策略和应用程序
  • 检索资产清单
  • 擦除设备
  • 交付企业移动应用程序
  • 锁定应用程序并擦除设备上的数据

下表汇总了 MDM、MAM 或 MDM+MAM 支持的 Citrix Endpoint Management 功能。

功能(按平台) MDM (1) MAM (2) MDM+MAM
Android Enterprise:      
设备注册支持
域身份验证支持
域加安全令牌身份验证支持
客户端证书身份验证支持
客户端证书加域身份验证支持
客户端证书加安全令牌支持
Azure AD 身份提供程序支持
Okta 身份提供商支持
单点登录到本机 SaaS 应用程序
面向企业应用程序的 Citrix 内容交付网络支持
Citrix 内容分发网络对 MDX 应用程序的支持
通过预配专用 Android Enterprise (COSU) 设备来支持共享设备
Android(旧版):      
设备注册支持
域或域加安全令牌身份验证支持
客户端证书身份验证支持
客户端证书加域身份验证支持
客户端证书加安全令牌支持
Azure AD 和 Citrix 身份提供程序支持
Okta 身份提供商支持
单点登录到本机 SaaS 应用程序
面向企业应用程序的 Citrix 内容交付网络支持
Citrix 内容分发网络对 MDX 应用程序的支持
Chrome:      
设备注册支持
用户名和密码身份验证支持
iOS:      
设备注册支持
域或域加安全令牌身份验证支持
客户端证书身份验证支持
客户端证书加域身份验证支持
Azure AD 和 Citrix 身份提供程序支持
Okta 身份提供商支持
单点登录到本机 SaaS 应用程序
面向企业应用程序的 Citrix 内容交付网络支持
Citrix 内容分发网络对 MDX 应用程序的支持
Apple 教育集成
macOS:      
设备注册支持
域或域加一次性密码支持
邀请 URL 加一次性密码支持
Windows:      
设备注册支持
通过 Citrix Workspace 应用程序自动注册 Windows 10 和 Windows 11 设备
域或域加安全令牌身份验证支持
客户端证书身份验证支持
客户端证书加域身份验证支持
通过 Azure AD 或 Citrix 身份提供程序进行联合身份验证
面向企业应用程序的 Citrix 内容交付网络支持
Workspace Environment Management 集成 (3)

注意:

(1) 部署排序仅适用于交付组中具有为 MDM 配置的注册配置文件的设备。

(2) MAM 注册需要 NetScaler Gateway。

(3) Workspace Environment Management (WEM) 集成提供对各种 Windows 操作系统上的 MDM 功能的访问。

有关详细信息,请参阅管理模式.

体系结构

贵组织的设备和应用程序管理要求决定了 Citrix Endpoint Management 架构中的 Citrix Endpoint Management 组件。Citrix Endpoint Management 的组件是模块化的,相互构建。例如,您的部署包括 NetScaler Gateway:

  • NetScaler Gateway 允许用户远程访问移动应用程序并跟踪用户设备类型。
  • Citrix Endpoint Management 是您管理这些应用程序和设备的地方。

下图显示了 Citrix Endpoint Management 云部署及其与数据中心集成的总体架构概述。

常规体系结构

以下小节提供了以下参考架构图:

  • Citrix Endpoint Management
  • 可选组件,例如外部证书颁发机构、适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器以及 Citrix Endpoint Management MDM+MAM 和 Intune MAM 流量流。

有关 Citrix ADC 和 NetScaler Gateway 要求的更多信息,请参阅 Citrix 产品文档,网址为 https://docs.citrix.com/

核心参考体系结构

有关端口要求的详细信息,请参阅系统要求

核心体系结构

面向 Citrix Virtual Apps and Desktops 的参考体系结构

Citrix Virtual Apps and Desktops 体系结构

带有 Citrix Endpoint Management 连接器的适用于 Exchange ActiveSync 的参考架构

适用于 Exchange ActiveSync 架构的 Citrix Endpoint Management 连接器

使用适用于 Exchange ActiveSync 的 NetScaler Gateway 连接器的参考架构

适用于 Exchange ActiveSync 架构的 NetScaler Gateway 连接器

采用 Citrix Endpoint Management、MDM+MAM 和 Intune MAM 的参考架构

Citrix Endpoint Management MDM+MAM 和 Intune MAM 流量

资源位置

请将资源位置放置在最能满足您的业务需求的位置。例如,公有云、分支机构、私有云或数据中心中。决定位置选择的因素包括:

  • 与订阅者的临近程度
  • 与数据的临近程度
  • 规模要求
  • 安全属性

可以构建任意数量的资源位置。例如,您可以:

  • 在您的数据中心中根据需要靠近数据的订阅者和应用程序为总部构建一个资源位置。
  • 在公有云中为您的全局用户添加一个单独的资源位置。或者,在分支机构中建立单独的资源位置,以便在分支机构工作人员附近提供最佳的应用程序。
  • 在单独的网络中添加另一个提供受限制的应用程序的资源位置。此设置将提供对其他资源和订阅者的受限可见性,而不需要调整其他资源位置。

Cloud Connector

Cloud Connector 进行身份验证并加密 Citrix Cloud 与您的资源位置之间的所有通信。需要使用 Cloud Connector 才能访问以下服务:LDAP、IdP、PKI 服务器、内部 DNS 查询、Citrix Virtual Apps、NetScaler Gateway、Citrix Workspace 和 Microsoft Endpoint Manager。

下图显示了 Cloud Connector 的流量图。

Cloud Connector 通信流

Cloud Connector 建立与 Citrix Cloud 的连接。Cloud Connector 不接受传入连接。

Cloud Connector 仅在设备注册期间低于负载。有关详细信息,请参阅 Cloud Connector 的扩展和大小注意事项

包括移动应用程序管理 (MAM) 的解决方案需要本地 NetScaler Gateway 提供的 Micro VPN。在此情景中:

  • 您的数据中心中有以下组件:
    • Cloud Connector
    • NetScaler Gateway
    • 适用于 Exchange、Web 应用程序、Active Directory 和 PKI 的服务器
  • 移动设备与 Citrix Endpoint Management 和您的本地 NetScaler Gateway 通信。

Citrix Endpoint Management 组件

Citrix Endpoint Management 控制台。您可以使用 Citrix Endpoint Management 管理员控制台来配置 Citrix Endpoint Management。有关使用 Citrix Endpoint Management 控制台的详细信息,请参阅 Citrix Endpoint Management 下的文章。当 Citrix Endpoint Management 的新增内容更新为新版本时,Citrix 会通知您。

请注意 Citrix Endpoint Management 服务与本地版本之间的以下区别:

  • 远程支持客户端不适用于 Citrix Endpoint Management。
  • Citrix 不支持将 Citrix Endpoint Management 中的系统日志与本地系统日志服务器集成。相反,您可以从 Citrix Endpoint Management 控制台的“故障排除和支持”页面下载日志。执行此操作时,必须单击全部下载

MAM SDK。MDX Toolkit 计划于 2023 年 7 月达到生命周期已结束状态。要继续管理您的企业应用程序,必须合并 MAM SDK。

  • 移动应用程序管理 (MAM) SDK 提供了 iOS 和 Android 平台不涵盖的 MDX 功能。可以启用 MDX 并保护 iOS 或 Android 应用程序。您可以在内部应用商店或公共应用商店中提供这些应用程序。请参阅 MDX 应用程序 SDK

移动生产力应用程序。Citrix 开发的移动生产力应用程序在 Citrix Endpoint Management 环境中提供了一套生产力和通信工具。贵公司的政策保护这些应用程序的安全。有关详细信息,请参阅移动生产力应用程序

适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器。适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器为使用本地移动电子邮件应用程序的用户提供安全的电子邮件访问权限。适用于 Exchange ActiveSync 的连接器在 Exchange 服务级别提供 ActiveSync 过滤功能。因此,只有在邮件到达 Exchange 服务后才会进行过滤,而不是在邮件进入 Citrix Endpoint Management 环境时发生。该连接器不需要使用 NetScaler Gateway。可以部署连接器而不更改现有 ActiveSync 流量的路由。有关详细信息,请参阅适用于 Exchange ActiveSync 的 Citrix Endpoint Management 连接器

适用于 Exchange ActiveSync 的 NetScaler Gateway 连接器。适用于 Exchange ActiveSync 的 NetScaler Gateway Connector 为使用本机移动邮件应用程序的用户提供安全的电子邮件访问权限。适用于 Exchange ActiveSync 的连接器在外围提供 ActiveSync 过滤功能。过滤使用 NetScaler Gateway 作为 ActiveSync 流量的代理。因此,过滤组件位于邮件通信流的路径中,在邮件进入或离开环境时截获邮件。适用于 Exchange ActiveSync 的连接器充当 NetScaler Gateway 和 Citrix Endpoint Management 之间的中介。有关详细信息,请参阅适用于 Exchange ActiveSync 的 NetScaler Gateway 连接器

Citrix Endpoint Management 技术安全概述

Citrix Cloud 管理 Citrix Endpoint Management 环境的控制平面。控制平面包括 Citrix Endpoint Management 服务器、Citrix ADC 负载平衡器和单租户数据库。云服务使用 Citrix Cloud Connector 与客户数据中心相集成。使用 Cloud Connector 的 Citrix Endpoint Management 客户通常在其数据中心管理 NetScaler Gateway。

下图说明了服务及其安全边界。

安全范围

本部分包含以下信息:

  • 提供 Citrix Cloud 的安全功能的简介。
  • 定义在确保 Citrix Cloud 部署安全方面 Citrix 与客户之间的职责划分。
  • 不是 Citrix Cloud 或其任何组件或服务的配置或管理指南。

有关 Citrix Endpoint Management 使用何种技术来提供全面的端到端安全的信息, 请参阅移动企业的安全和生产力

数据流

控制平面对用户和组对象具有有限的读取访问权限。这些对象位于您的目录、DNS 和类似服务中。控制平面通过安全 HTTPS 连接借助 Citrix Cloud Connector 访问这些服务。

公司数据(例如电子邮件、Intranet 和 Web 应用程序流量)通过 NetScaler Gateway 直接在设备与应用程序服务器之间流动。NetScaler Gateway 在客户数据中心中部署。

数据隔离

控制平面存储管理用户设备及其移动应用程序所需的元数据。服务本身包含多租户组件和单租户组件的混合。但是,根据服务体系结构,客户元数据将始终为每个租户单独存储,并使用唯一的凭据来确保安全。

凭据处理

此服务处理以下四种类型的凭据:

  • 用户凭据: 用户凭据通过 HTTPS 连接从设备传输到控制平面。控制平面通过安全连接在客户目录中的某个目录中验证这些凭据。
  • 管理员凭据: 管理员针对 Citrix Cloud 进行身份验证,而 Citrix Cloud 使用 Citrix Online 开发的登录系统。此过程将生成一个一次性签名的 JSON Web 令牌 (JWT),管理员通过该令牌访问服务。
  • Active Directory 凭据: 控制平面需要绑定凭据才能从 Active Directory 中读取用户元数据。这些凭据使用 AES-256 加密方法进行加密,并保存在每租户数据库中。

部署注意事项

Citrix 建议您查阅已发布的最佳做法文档,了解在您的环境中部署 NetScaler Gateway 的相关信息。

更多资源

建议客户查看与其 Citrix 产品相关的安全公告。有关新的和更新的安全公告的信息,请参阅 Citrix 安全公告。另外,请考虑在警报设置下注册以接收警报。

有关更多安全信息,请参阅以下资源:

与 Mobile Threat Defense 软件集成

移动威胁防护 (MTD) 软件可检测、分析和帮助防止针对企业移动设备的高级网络攻击。MTD 和统一 Citrix Endpoint Management (UEM) 相结合,可提高组织的安全性和可见性。

MTD 软件提供威胁数据,Citrix Endpoint Management 使用这些数据来:

  • 防止恶意软件、网络钓鱼、网络攻击和中间人攻击
  • 确定设备合规性状态
  • 确定风险水平
  • 采取基于策略的操作来保护您的应用程序、数据、设备和移动网络

Citrix Endpoint Management 与以下 MTD 供应商集成:

有关更多信息或请求演示,请联系我们的 MTD 合作伙伴或 Citrix 销售代表。

关于 Citrix Endpoint Management