XenMobile-Integration

In diesem Artikel werden die Punkte beschrieben, die bei der Planung der Integration von XenMobile in ein Netzwerk und bestehende Lösungen berücksichtigt werden müssen. Falls Sie beispielsweise Citrix ADC bereits für Virtual Apps and Desktops verwenden:

• Sollten Sie die vorhandene Citrix ADC-Instanz oder eine neue, dedizierte Instanz verwenden?
• Möchten Sie die mit StoreFront veröffentlichten HDX-Apps in XenMobile integrieren?
• Planen Sie die Verwendung von Citrix Files mit XenMobile?
• Haben Sie eine Network Access Control-Lösung, die Sie in XenMobile integrieren möchten?
• Stellen Sie Webproxys für den gesamten von Ihrem Netzwerk ausgehenden Datenverkehr bereit?

Citrix ADC und Citrix Gateway

Citrix网关是毛皮XenMobile im ENT——和MAM-Modus obligatorisch. Citrix Gateway bietet einen Micro-VPN-Pfad für den Zugriff auf alle Unternehmensressourcen und unterstützt eine starke Multifaktorauthentifizierung. Der Citrix ADC-Lastausgleich ist für alle XenMobile Server-Gerätemodi in folgenden Fällen erforderlich:

• Sie haben mehrere XenMobile-Server.
• XenMobile Server ist in der DMZ oder dem internen Netzwerk (d. h. der Datenverkehr fließt von den Geräten an Citrix ADC und dann an XenMobile).

Sie können vorhandene Citrix ADC-Instanzen verwenden oder neue für XenMobile einrichten. In den folgenden Abschnitten werden die Vor- und Nachteile der Verwendung vorhandener und neuer Citrix ADC-Instanzen aufgeführt.

Gemeinsames Citrix ADC MPX mit einer virtuellen für XenMobile erstellten Citrix Gateway-IP

Vorteile:

• Verwendung einer Citrix ADC-Instanz für alle Citrix Remoteverbindungen: Citrix Virtual Apps and Desktops, vollständiges/clientloses VPN.
• Verwendung der bestehenden Citrix ADC-Konfigurationen, z. B. für die Zertifikatauthentifizierung und den Zugriff auf Dienste wie DNS, LDAP und NTP.
• Verwendung einer einzelnen Citrix ADC-Plattformlizenz.

Nachteile:

• Die Skalierungsplanung ist schwieriger, wenn zwei unterschiedliche Anwendungsfälle auf demselben Citrix ADC bewältigt werden.
• In Einzelfällen wird eine bestimmte Citrix ADC-Version für einen Citrix Virtual Apps and Desktops-Anwendungsfall benötigt. Bei der benötigten Version können Probleme im Zusammenhang mit XenMobile vorliegen. Umgekehrt können bei XenMobile Probleme im Zusammenhang mit der Citrix ADC-Version vorliegen.
• Ist ein Citrix Gateway vorhanden, können Sie den Citrix ADC für XenMobile-Assistenten kein zweites Mal ausführen, um die Citrix ADC-Konfiguration für XenMobile zu erstellen.
• Auf Citrix ADC installierte Benutzerzugriffslizenzen, die für die VPN-Konnektivität erforderlich sind, werden gepoolt (außer bei Verwendung von Platinum-Lizenzen für Citrix Gateway 11.1 oder höher). Da diese Lizenzen für alle virtuellen Citrix ADC-Server verfügbar sind, können andere Dienste als XenMobile sie verbrauchen.

Dedizierte Citrix ADC VPX-/MPX-Instanz

Vorteile:

Citrix empfiehlt死Verwendung静脉dediziertenCitrix ADC-Instanz.

• Einfachere Skalierungsplanung und Trennung des XenMobile-Datenverkehrs von einer möglicherweise bereits mit eingeschränkten Ressourcen laufenden Citrix ADC-Instanz.
• Keine Probleme, wenn XenMobile und Citrix Virtual Apps and Desktops unterschiedliche Citrix ADC-Softwareversionen erfordern. Normalerweise empfiehlt sich die Verwendung der neuesten kompatiblen Citrix ADC-Version für XenMobile.
• Konfiguration von Citrix ADC für XenMobile über den integrierten Citrix ADC für XenMobile-Assistenten möglich.
• Virtuelle und physische Trennung von Diensten.
• 死皮XenMobile erforderlichen Benutzerzugriffslizenzen sind nur für XenMobile-Dienste auf dem Citrix ADC verfügbar (außer bei Nutzung einer Platinum-Lizenz für Citrix Gateway 11.1 oder höher).

Nachteile:

• Erfordert die Einrichtung zusätzlicher Dienste auf Citrix ADC für die XenMobile-Konfiguration.
• Erfordert eine zusätzliche Citrix ADC-Plattformlizenz. Lizenzierung jeder Citrix ADC-Instanz für Citrix Gateway.

Informationen darüber, was bei der Integration von Citrix Gateway und Citrix ADC in den einzelnen XenMobile-Servermodi zu beachten ist, finden Sie unterIntegration mit Citrix ADC und Citrix Gateway.

StoreFront

In Citrix Virtual Apps and Desktops-Umgebungen können HDX-Anwendungen mithilfe von StoreFront in XenMobile integriert werden. Für die Integration von HDX-Apps in XenMobile gilt Folgendes:

• Die Apps stehen Benutzern zur Verfügung, die bei XenMobile registriert sind.
• Die Apps werden zusammen mit anderen Apps im XenMobile-Store angezeigt.
• XenMobile verwendet die ältere PNAgent-Site (Dienste) in StoreFront.
• Ist Citrix Receiver auf einem Gerät installiert, wird es von HDX-Apps verwendet.

Bei StoreFront gilt die Beschränkung auf eine Services-Site pro StoreFront-Instanz. Angenommen, Sie haben mehrere Stores und möchten sie von anderen Produktionsverwendungen trennen. In diesem Fall empfiehlt Citrix, die Verwendung einer neuen StoreFront-Instanz und -Services-Site für XenMobile in Betracht zu ziehen.

Es sind u. a. folgende Punkte zu berücksichtigen:

• Gibt es für StoreFront andere Authentifizierungsanforderungen? Die StoreFront Services-Site erfordert Active Directory-Anmeldeinformationen für die Anmeldung. Bei ausschließlicher Verwendung der zertifikatbasierten Authentifizierung können Anwendungen nicht über XenMobile unter Verwendung desselben Citrix Gateways aufgelistet werden.
• Sollten Sie den gleichen Store verwenden oder einen neuen erstellen?
• Sollten Sie den gleichen oder einen anderen StoreFront-Server verwenden?

In den folgenden Abschnitten werden die Vor- und Nachteile der Verwendung eigener oder gemeinsamer StoreFront-Instanzen für Receiver und mobile Produktivitätsapps aufgeführt.

Integration der bestehenden StoreFront-Instanz in XenMobile Server

Vorteile:

• Gleicher Store: XenMobile erfordert keine zusätzliche Konfiguration von StoreFront, vorausgesetzt es wird dieselbe Citrix ADC-VIP für den HDX-Zugriff verwendet. Angenommen, Sie entscheiden sich für die Verwendung desselben Stores und möchten den Citrix Receiver-Zugriff auf eine neue Citrix ADC-VIP umleiten. Fügen Sie in diesem Fall StoreFront die entsprechende Citrix Gateway-Konfiguration hinzu.
• Gleicher StoreFront-Server: Verwendung der bestehenden StoreFront-Installation und -Konfiguration.

Nachteile:

• Gleicher Store: Jede Änderung der StoreFront-Konfiguration zur Bewältigung von Citrix Virtual Apps and Desktops-Workloads kann sich negativ auf XenMobile auswirken.
• Gleicher StoreFront-Server: In großen Umgebungen müssen Sie die zusätzliche Belastung des PNAgent durch XenMobile für die App-Auflistung und den Start berücksichtigen.

Verwenden einer neuen, dedizierten StoreFront-Instanz zur Integration in XenMobile Server

Vorteile:

• Neuer Store: Konfigurationsänderungen am StoreFront-Store für XenMobile dürften keine Auswirkungen auf Citrix Virtual Apps and Desktops-Workloads haben.
• Neuer StoreFront-Server: Änderungen an der Serverkonfiguration sollten sich nicht auf den Virtual Apps and Desktops-Workflow auswirken. Darüber hinaus sollte die XenMobile-externe Belastung des PNAgent für App-Auflistung und Start die Skalierbarkeit nicht beeinträchtigen.

Nachteile:

• Neuer Store: StoreFront-Store-Konfiguration.
• Neuer StoreFront-Server: erfordert eine neue StoreFront-Installation und -Konfiguration.

Weitere Informationen finden Sie unterVirtual Apps and Desktops über Citrix Secure Hubin der Dokumentation zu XenMobile.

Citrix Content Collaboration und Citrix Files

Citrix Files ermöglicht Benutzern von jedem Gerät aus den Zugriff auf all ihre Daten und deren Synchronisierung. Über Citrix Files können die Benutzer Daten mit Personen innerhalb und außerhalb der Organisation sicher teilen. Bei Integration von Citrix Content Collaboration in XenMobile Advanced Edition oder XenMobile Enterprise Edition ermöglicht XenMobile für Citrix Files Folgendes:

• Single-Sign-On-Authentifizierung für XenMobile App-Benutzer.
• Active Directory-basierte Benutzerkontobereitstellung.
• Umfassende Richtlinien zur Zugriffssteuerung.

Mobile Benutzer können alle Funktionen des Enterprise-Kontos verwenden.

Alternativ können Sie XenMobile für die ausschließliche Integration in Speicherzonenconnectors konfigurieren. Über Speicherzonenconnectors bietet Citrix Files Zugriff auf folgende Inhalte:

• Dokumente und Ordner
• Netzwerkdateifreigaben
• In SharePoint-Sites: Sitesammlungen und Dokumentbibliotheken.

Verbundene Dateifreigaben können die gleichen Basisnetzlaufwerke enthalten wie Citrix Virtual Apps and Desktops-Umgebungen. Die Konfiguration der Integration in Citrix Files oder Speicherzonenconnectors erfolgt über die XenMobile-Konsole. Weitere Informationen finden Sie unterCitrix Files mit XenMobile.

In den folgenden Abschnitten werden die Fragen aufgeführt, die Sie sich im Hinblick auf den Einsatz von Citrix Files stellen sollten.

Integration mit Citrix Files oder nur mit Speicherzonenconnectors

Relevanten Fragen:

• Müssen Daten in von Citrix verwalteten Speicherzonen gespeichert werden?
• Sollen die Benutzer Dateien freigeben und synchronisieren können?
• Sollen die Benutzer Zugriff auf Dateien auf der Citrix Files-Website erhalten? Sollen die Benutzer mit Mobilgeräten auf Office 365-Inhalte und Connectors für die persönliche Cloud zugreifen können?

Designentscheidung:

• Wenn die Antwort auf eine dieser Fragen “Ja” lautet, wählen Sie die Integration in Citrix Files.
• Eine ausschließliche Integration mit Speicherzonenconnectors bietet iOS-Benutzern sicheren mobilen Zugriff auf bestehende lokale Speicherrepositorys, wie z. B. SharePoint-Sites und Netzwerkdateifreigaben. In dieser Konfiguration müssen Sie keine Content Collaboration-Unterdomäne einrichten, Benutzer für Citrix Files bereitstellen oder Citrix Files-Daten hosten. Die Verwendung von Speicherzonenconnectors mit XenMobile entspricht den Sicherheitsbeschränkungen, die verhindern, dass Benutzerdaten außerhalb des Unternehmensnetzwerks gelangen.

Standort des Speicherzonencontroller-Servers

Relevanten Fragen:

• Benötigen Sie on-premises Speicher oder Features wie Speicherzonenconnectors?
• 我们befinden西奇贝Verwendung冯本地Citrix Files-Features die Speicherzonencontroller im Netzwerk?

Designentscheidung:

• Entscheiden Sie, wo Sie die Speicherzonencontroller ansiedeln: in der Citrix Files-Cloud, on-premises in einem Einmandanten-Speichersystem oder im unterstützten Cloudspeicher eines Drittanbieters.
• Speicherzonencontroller benötigen Internetzugriff für die Kommunikation mit der Citrix Files-Steuerungsebene. Es gibt verschiedene Verbindungsmöglichkeiten, einschließlich direktem Zugriff, NAT/PAT- und Proxykonfigurationen.

Speicherzonenconnectors

Relevanten Fragen:

• Welches sind die CIFS-Freigabepfade?
• Welches sind die SharePoint-URLs?

Designentscheidung:

• Ermitteln Sie, ob on-premises Speicherzonencontroller für den Zugriff auf diese Orte erforderlich sind.
• Aufgrund der Kommunikation zwischen Speicherzonenconnectors und internen Ressourcen wie Repositorys, CIFS-Freigaben und SharePoint empfiehlt Citrix, Speicherzonencontroller im internen Netzwerk hinter DMZ-Firewalls und mit vorgeschaltetem Citrix ADC anzusiedeln.

SAML-Integration in XenMobile Enterprise

Relevanten Fragen:

• Ist eine Active Directory-Authentifizierung für Citrix Files erforderlich?
• Erfordert die erstmalige Verwendung der Citrix Files-App für XenMobile Single Sign-on?
• Gibt es in der aktuellen Umgebung einen Standard-IdP?
• Wie viele Domänen werden für SAML benötigt?
• Gibt es mehrere E-Mail-Aliasse für Active Directory-Benutzer?
• Sind Active Directory-Domänenmigrationen im Gang oder in Kürze geplant?

Designentscheidung:

In XenMobile Enterprise-Umgebungen kann SAML als Authentifizierungsmechanismus für Citrix Files verwendet werden. Authentifizierungsoptionen:

• Verwendung von XenMobile Server als Identitätsanbieter (IdP) für SAML

Diese Option kann eine hervorragende Benutzererfahrung bieten, sie automatisiert die Erstellung von Citrix Files-Konten und sie ermöglicht die Nutzung von Singe Sign-On-Features für mobile Apps.

• XenMobile Server ist für diesen Prozess optimiert: Es ist keine Active Directory-Synchronisierung erforderlich.
• Verwenden des Citrix Files-Benutzerverwaltungstools für die Benutzerbereitstellung
• Verwenden eines unterstützten Drittanbieter-IdPs für SAML

Wenn Sie einen unterstützten IdP haben und keine Single Sign-On-Features für mobile Apps benötigen, ist diese Option möglicherweise am besten geeignet. Auch sie erfordert die Verwendung des Citrix Files-Benutzerverwaltungstools für die Kontobereitstellung.

IdP-Lösungen von Drittanbietern wie ADFS bieten möglicherweise auf dem Windows-Client Single Sign-On-Features. Bewerten Sie die Anwendungsfälle vor Auswahl des SAML-Identitätsanbieters für Citrix Files.

Um beiden Anwendungsfällen zu genügen, können SieADFS und XenMobile als dualen IdP konfigurieren.

Mobile Apps

Relevanten Fragen:

• Welche mobile Citrix Files-App (öffentlich, MDM, MDX) möchten Sie verwenden?

Designentscheidung:

• Sie verteilen mobile Produktivitätsapps über den App-Store von Apple und Google Play. Mit der öffentlichen App Store-Verteilung erhalten Sie umschlossene Apps von der Citrix Downloadseite.
• Bei niedriger Sicherheitsstufe (ohne erforderliche Containerization) ist die öffentliche Citrix Files-App möglicherweise ungeeignet. In einer Nur-MDM-Umgebung können Sie die MDM-Version der Citrix Files-App über XenMobile im MDM-Modus bereitstellen.
• Weitere Informationen finden Sie unterAppsundCitrix Files für XenMobile.

Sicherheit, Richtlinien und Zugriffssteuerung

Relevanten Fragen:

• Welche Einschränkungen benötigen Sie für Desktop-, Internet- und mobile Benutzer?
• Welche Standardeinstellungen für die Zugriffssteuerung sollen für Benutzer gelten?
• Welche Dateispeicherrichtlinie möchten Sie verwenden?

Designentscheidung:

• Mit Citrix Files können Sie die Berechtigungen von Mitarbeitern und die Gerätesicherheit verwalten. Weitere Informationen finden Sie unterMitarbeiterberechtigungenundVerwalten von Geräten und Apps.
• Einige Citrix Files-Einstellungen zur Gerätesicherheit steuern dieselben Features wie MDX-Richtlinien. In diesen Fällen haben die XenMobile-Richtlinien Vorrang gefolgt von der Citrix Files-Einstellung. Beispiel: Wenn Sie externe Apps in Citrix Files deaktivieren, in XenMobile jedoch aktivieren, werden die externen Apps in Citrix Files deaktiviert. Sie können die Apps so konfigurieren, dass XenMobile keine(n) PIN/Passcode anfordert, die Citrix Files-App jedoch schon.

Standard-Speicherzonen oder eingeschränkte Speicherzonen

Relevanten Fragen:

• Benötigen Sie eingeschränkte Speicherzonen?

Designentscheidung:

• Eine Standard-Speicherzone ist für nicht-vertrauliche Daten gedacht und ermöglicht Mitarbeitern das Freigeben von Daten für Personen, die keine Mitarbeiter sind. Diese Option unterstützt Workflows, bei denen Daten außerhalb Ihrer Domäne freigegeben werden.
• Eine eingeschränkte Speicherzone schützt vertrauliche Daten: Nur authentifizierte Domänenbenutzer haben Zugriff auf die in dieser Zone gespeicherten Daten.

Webproxys

Wahrscheinlichstes Szenario für die Leitung des XenMobile-Datenverkehrs über einen HTTP(S)-/SOCKS-Proxy: Wenn das Subnetz mit dem XenMobile-Server keinen ausgehenden Internetzugriff auf die erforderlichen Apple-, Google- oder Microsoft-IP-Adressen hat. Sie können in XenMobile Proxyservereinstellungen angeben, um den gesamten Internetdatenverkehr an den Proxyserver zu leiten. Weitere Informationen finden Sie unterAktivieren von Proxyservern.

Die folgende Tabelle enthält die Vor- und Nachteile der gebräuchlichsten Proxykonfigurationen für XenMobile.

Option	Vorteile	Nachteile
HTTP(S)-/SOCKS-Proxy mit XenMobile-Server	Wenn Richtlinien keine ausgehenden Internetverbindungen vom Subnetz mit dem XenMobile-Server zulassen, können Sie einen HTTP(S)- oder SOCKS-Proxy für die Internetverbindung konfigurieren.	Fällt der Proxyserver aus, wird die Verbindung mit APNs (iOS) bzw. Firebase Cloud Messaging (Android) getrennt. Es sind dann keine Gerätebenachrichtigungen für iOS- und Android-Geräte möglich.
HTTP(S)-Proxy mit Secure Web	Sie können den HTTP-/HTTPS-Datenverkehr überwachen, um sicherzustellen, dass die Internetaktivität Ihren Standards entspricht.	Bei dieser Konfiguration muss der gesamte Internetdatenverkehr von Secure Web per Tunnel zurück ins Unternehmensnetzwerk geleitet werden, bevor die Daten wieder ins Internet übertragen werden. Wenn das Surfen durch die Internetverbindung einschränkt ist, kann diese Konfiguration die Surfleistung beeinträchtigen.

Die Konfiguration des Citrix ADC-Sitzungsprofils für Split-Tunneling wirkt sich wie folgt auf den Datenverkehr aus.

Wenn Citrix ADC-Split-Tunnelingdeaktiviertist:

• Wenn die MDX-NetzwerkzugriffsrichtlinieaufTunnel zum internen Netzwerkfestgelegt ist, muss der gesamte Datenverkehr den Micro VPN- oder Clientless VPN (cVPN)-Tunnel zurück zum Citrix Gateway verwenden.
• Konfigurieren Sie die Citrix ADC-Datenverkehrsrichtlinien/-profile für den Proxyserver und binden Sie sie an die virtuelle IP-Adresse von Citrix Gateway.

Wichtig:

Schließen Sie auf jeden Fall cVPN-Datenverkehr von Secure Hub von dem Proxy aus.

• Weitere Informationen finden Sie unterXenMobile Secure Hub Traffic Through Proxy Server in Secure Browse Mode.

WennCitrix ADC-Split-Tunnelingaktiviertist:

• Wenn für Apps die MDX-NetzwerkzugriffsrichtlinieaufTunnel zum internen Netzwerkfestgelegt ist, versuchen die Apps zunächst, die Webressource direkt zu beziehen. Ist die Webressource nicht öffentlich verfügbar, verwenden die Apps Citrix Gateway.
• Konfigurieren Sie die Citrix ADC-Datenverkehrsrichtlinien/-profile für den Proxyserver. Binden Sie sie dann an die virtuelle IP-Adresse von Citrix Gateway.

Wichtig:

Schließen Sie auf jeden Fall cVPN-Datenverkehr von Secure Hub von dem Proxy aus.

Die Citrix ADC-Sitzungsprofilkonfiguration fürSplit DNS(unterClient experience) funktioniert ähnlich wie Split-Tunneling.

WennSplit DNSaktiviert und aufBothfestgelegt ist, gilt Folgendes:

• Der Client versucht, den FQDN lokal aufzulösen, und greift bei einem Fehler auf Citrix ADC zur DNS-Auflösung zurück.

WennSplit DNSaufRemotefestgelegt ist, gilt Folgendes:

• Es findet ausschließlich eine DNS-Auflösung durch Citrix ADC statt.

WennSplit DNSaufLocalfestgelegt ist, gilt Folgendes:

• Der Client versucht, den FQDN lokal aufzulösen. Citrix ADC wird nicht für die DNS-Auflösung verwendet.

Zugriffssteuerung

Unternehmen können mobile Geräte innerhalb und außerhalb von Netzwerken verwalten. Enterprise Mobility Management-Lösungen wie XenMobile eignen sich hervorragend zur Bereitstellung von Sicherheit und zur Steuerung von mobilen Geräten unabhängig vom Standort. In Kombination mit einer NAC-Lösung (Network Access Control) erhalten Sie jedoch QoS und eine gezieltere Steuerung für Geräte innerhalb Ihres Netzwerks. Mit dieser Kombination reicht die Bewertung der Gerätesicherheit durch XenMobile in Ihre NAC-Lösung hinein. Die NAC-Lösung kann dann anhand der XenMobile-Sicherheitsbewertung Authentifizierungsentscheidungen vereinfachen und bewältigen.

Sie können NAC-Richtlinien mit jeder der folgenden Lösungen durchsetzen:

• Citrix Gateway
• Cisco Identity Services Engine (ISE)
• ForeScout

Citrix übernimmt keine Gewährleistung für die Integration anderer NAC-Lösungen.

Vorteile einer NAC-Integration in XenMobile:

• Mehr Sicherheit, Compliance und Steuerung für alle Endpunkte im Unternehmensnetzwerk.
• Eine NAC-Lösung ermöglicht Folgendes:
  • Erkennen von Geräten in dem Moment, in dem diese versuchen, eine Verbindung mit dem Netzwerk herzustellen.
  • Abfragen der Geräteattribute von XenMobile.
  • Entscheidung über Zulassen, Blockieren, Einschränken oder Umleiten der Geräte auf der Basis der abgefragten Geräteinformationen. Die Entscheidung hängt von den von Ihnen festgelegten Sicherheitsrichtlinien.
• Eine NAC-Lösung bietet IT-Administratoren eine Übersicht über nicht verwaltete und nicht richtlinientreue Geräte.

Eine Beschreibung der von XenMobile unterstützten NAC-Richtlinientreuefilter und eine Konfigurationsübersicht finden Sie unterNetzwerkzugriffssteuerung (NAC).