关于端点管理
Citrix端点管理是一个统一的端点管理(UEM)解决方案,将每个应用程序和端点纳入一个统一的视图,以提高安全性和生产率。有关UEM的概述,请参阅思杰科技园区技术简介,Citrix端点管理.
终端管理包括MDM (Mobile Device Management)和MAM (Mobile App Management)。
终端管理的MDM特性让您:
- 部署设备策略和应用。
- 检索资产库存。
- 对设备进行操作,例如设备擦除。
Endpoint Management的MAM功能让您:
- 在BYO移动设备上保护应用程序和数据。
- 提供企业移动应用。
- 锁定应用程序并删除它们的数据。
结合MDM和MAM功能,您可以:
- 通过MDM管理企业发布的设备
- 部署设备策略和应用
- 检索资产清单
- 擦拭设备
- 提供企业移动应用程序
- 锁定应用程序并擦除设备上的数据
下表总结了MDM、MAM或MDM+MAM支持的端点管理特性。
| 特性(平台) | MDM (1) | 老妈(2) | MDM +老妈 |
|---|---|---|---|
| Android企业: | |||
| 设备注册支持 | 是的 | 是的 | 是的 |
| 域身份验证的支持 | 是的 | 没有 | 是的 |
| 域加安全令牌身份验证支持 | 没有 | 没有 | 是的 |
| 客户端证书认证支持 | 没有 | 是的 | 是的 |
| 客户端证书加上域身份验证支持 | 没有 | 没有 | 是的 |
| 客户端证书加安全令牌支持 | 没有 | 没有 | 是的 |
| Azure AD标识提供商支持 | 是的 | 没有 | 是的 |
| Okta身份提供者支持 | 是的 | 没有 | 是的 |
| 单点登录到本机SaaS应用程序 | 是的 | 没有 | 是的 |
| Citrix内容交付网络支持企业应用 | 是的 | 是的 | 是的 |
| Citrix内容交付网络支持MDX应用程序 | 是的 | 是的 | 是的 |
| 通过提供专用的Android Enterprise (COSU)设备来共享设备支持 | 是的 | 没有 | 是的 |
| Android(遗留): | |||
| 设备注册支持 | 是的 | 是的 | 是的 |
| 域或域加上安全令牌认证支持 | 没有 | 没有 | 是的 |
| 客户端证书认证支持 | 没有 | 是的 | 是的 |
| 客户端证书加上域身份验证支持 | 没有 | 没有 | 是的 |
| 客户端证书加安全令牌支持 | 没有 | 没有 | 是的 |
| Azure AD和Citrix身份提供者支持 | 是的 | 没有 | 是的 |
| Okta身份提供者支持 | 是的 | 没有 | 是的 |
| 单点登录到本机SaaS应用程序 | 是的 | 没有 | 是的 |
| Citrix内容交付网络支持企业应用 | 是的 | 是的 | 是的 |
| Citrix内容交付网络支持MDX应用程序 | 是的 | 是的 | 是的 |
| 铬: | |||
| 设备注册支持 | 是的 | 没有 | 是的 |
| 用户名和密码身份验证支持 | 是的 | 没有 | 是的 |
| iOS: | |||
| 设备注册支持 | 是的 | 是的 | 是的 |
| 域或域加上安全令牌认证支持 | 没有 | 没有 | 是的 |
| 客户端证书认证支持 | 没有 | 是的 | 是的 |
| 客户端证书加上域身份验证支持 | 没有 | 没有 | 是的 |
| Azure AD和Citrix身份提供者支持 | 是的 | 没有 | 是的 |
| Okta身份提供者支持 | 是的 | 没有 | 是的 |
| 单点登录到本机SaaS应用程序 | 是的 | 没有 | 是的 |
| Citrix内容交付网络支持企业应用 | 是的 | 是的 | 是的 |
| Citrix内容交付网络支持MDX应用程序 | 是的 | 是的 | 是的 |
| 苹果教育一体化 | 是的 | 没有 | 是的 |
| macOS: | |||
| 设备注册支持 | 是的 | 没有 | 没有 |
| 域或域加一次性密码支持 | 是的 | 没有 | 没有 |
| 邀请URL加上一次性密码支持 | 是的 | 没有 | 没有 |
| 窗口: | |||
| 设备注册支持 | 是的 | 没有 | 没有 |
| 通过Citrix Workspace应用程序自动注册Windows 10和Windows 11设备 | 是的 | 没有 | 没有 |
| 域或域加上安全令牌认证支持 | 是的 | 没有 | 没有 |
| 客户端证书认证支持 | 是的 | 没有 | 没有 |
| 客户端证书加上域身份验证支持 | 是的 | 没有 | 没有 |
| 通过Azure AD或Citrix身份提供者进行联邦身份验证 | 是的 | 没有 | 没有 |
| Citrix内容交付网络支持企业应用 | 是的 | 没有 | 没有 |
| 工作空间环境管理集成(3) | 是的 | 没有 | 没有 |
注:
(1)部署顺序只适用于配置了MDM注册配置文件的交付组内的设备。
(2) MAM报名要求Citrix Gateway。
(3)工作空间环境管理(WEM)集成提供了对各种Windows操作系统上的MDM特性的访问。
有关更多信息,请参见管理模式.
体系结构
组织的设备和应用程序管理需求决定端点管理体系结构中的端点管理组件。端点管理的组件是模块化的,并且相互构建。例如,您的部署包括Citrix Gateway:
- Citrix Gateway允许用户远程访问移动应用程序,并跟踪用户设备类型。
- 端点管理是您管理这些应用程序和设备的位置。
下图显示了端点管理云部署及其与数据中心集成的总体架构概览。
以下小节包含了参考架构图:
- 端点管理
- 可选组件,如外部证书颁发机构、用于Exchange ActiveSync的端点管理连接器、端点管理MDM+MAM和Intune MAM流量流。
有关Citrix ADC和Citrix Gateway需求的更多信息,请参阅Citrix产品文档https://docs.citrix.com/.
核心参考体系结构
端口要求请参见系统需求.
带Citrix虚拟应用程序和桌面的参考架构
用于Exchange ActiveSync的端点管理连接器参考体系结构
用于Exchange ActiveSync的Citrix网关连接器参考体系结构
使用端点管理MDM+MAM和Intune MAM的参考体系结构
资源位置
将资源位置放在最佳满足您的业务需求的地方。例如,在公共云中,在分支机构,私有云或数据中心。确定位置选择的因素包括:
- 接近用户
- 接近的数据
- 规模要求
- 安全属性
您可以构建任意数量的资源位置。例如,你可以:
- 根据需要接近数据的订阅者和应用程序,为总部在数据中心构建资源位置。
- 在公共云中为全局用户添加一个单独的资源位置。或者,在分支机构中构建单独的资源位置,以便在靠近分支工作人员的地方提供服务最好的应用程序。
- 在单独的网络上添加一个提供限制应用程序的其他资源位置。此设置为其他资源和订阅者提供了限制的可见性,而无需调整其他资源位置。
云连接器
Cloud Connector对Citrix Cloud和您的资源位置之间的所有通信进行身份验证和加密。需要使用Cloud Connector访问如下服务:LDAP、IdPs、PKI Server、内部DNS查询、Citrix Virtual Apps、Citrix Gateway、Citrix Workspace和Microsoft Endpoint Manager。
下图显示了Cloud Connector的流量流。
Cloud Connector建立到Citrix Cloud的连接。Cloud Connector不接受传入连接。
云连接器仅在设备注册期间处于负载状态。有关更多信息,请参见云连接器的规模和大小注意事项.
一个包含移动应用程序管理(MAM)的解决方案需要一个由本地Citrix网关提供的微型VPN。在这种情况下:
- 以下组件位于您的数据中心:
- 云连接器
- Citrix网关
- Exchange、web应用、Active Directory和PKI的服务器
- 移动设备与端点管理和您的本地Citrix网关通信。
端点管理组件
端点管理控制台。您可以使用端点管理管理员控制台配置端点管理。有关使用端点管理控制台的详细信息,请参阅下面的文章端点管理.当针对新版本更新了什么是端点管理的新文章时,Citrix会通知您。
请注意端点管理服务和本地版本之间的这些区别:
- 端点管理无法使用远程支持客户端。
- Citrix不支持使用本地Syslog服务器的端点管理中的Syslog集成。相反,您可以从中下载日志故障诊断和支持页。这样做时,必须单击全部下载.
老妈SDK。MDX工具包计划于2022年3月抵达EOL。要继续管理企业应用程序,必须合并MAM SDK。
- 移动应用程序管理(MAM) SDK提供了MDX功能,这是iOS和Android平台没有覆盖的。您可以启用mdx和安全的iOS或Android应用程序。你可以在内部应用商店或公共应用商店中使用这些应用程序。看到MDX SDK应用程序.
移动生产力应用程序。citrix开发的移动生产力应用程序在端点管理环境中提供了一套生产力和通信工具。你的公司政策保护这些应用程序。有关更多信息,请参见移动生产力应用程序.
用于Exchange ActiveSync的端点管理连接器。Expect ActiveSync的端点管理连接器为使用本机移动电子邮件应用程序的用户提供安全的电子邮件访问。Exchange ActiveSync的连接器在Exchange服务级别提供ActiveSync过滤。因此,只有在邮件到达Exchange服务后,才会发生过滤,而不是在进入端点管理环境时。连接器不需要使用Citrix Gateway。您可以部署连接器,而无需更改现有ActiveSync流量的路由。有关更多信息,请参见用于Exchange ActiveSync的端点管理连接器.
Citrix用于Exchange ActiveSync的网关连接器。Citrix Gateway Connector for Exchange ActiveSync提供了对使用本机移动电子邮件应用程序的用户的安全电子邮件访问。Exchange ActiveSync的连接器在周边提供ActiveSync滤波。过滤使用Citrix Gateway作为ActiveSync流量的代理。结果,过滤组件位于邮件流量流的路径中,因为它进入或离开环境而拦截邮件。Exchange ActiveSync的连接器通过Citrix网关和端点管理之间的中介。有关更多信息,请参见Citrix用于Exchange ActiveSync的网关连接器.
端点管理技术安全概述
Citrix Cloud管理端点管理环境的控制平面。控制平面包括Endpoint Management服务器、Citrix ADC负载均衡器和一个单租户数据库。云服务使用Citrix cloud Connector与客户数据中心集成。使用云连接器的端点管理客户通常在其数据中心管理Citrix Gateway。
下图说明了服务及其安全边界。
本节中的信息:
- 介绍Citrix Cloud的安全功能。
- 为确保Citrix云部署的安全,定义了Citrix和客户之间的责任划分。
- 不是Citrix Cloud或其任何组件或服务的配置或管理指南。
有关端点管理使用的技术的信息,以提供全面的,端到端安全,请参阅Citrix白皮书,Citrix端点管理安全概述.
数据流
对照平面对用户和组对象具有有限的读访问权限。这些对象驻留在您的目录,DNS和类似服务中。通过安全的HTTPS连接,控制平面通过Citrix云连接器通过Citrix云连接器进行访问。
公司数据,如电子邮件、内网和web-app流量,直接通过Citrix Gateway在设备和应用服务器之间流动。“Citrix Gateway”部署在客户数据中心。
数据隔离
控制面存储管理用户设备及其移动应用程序所需的元数据。服务本身由多租户和单租户组件混合组成。但是,对于服务体系结构,客户元数据总是为每个租户单独存储,并使用惟一凭据进行保护。
凭证处理
该服务处理以下类型的凭据:
- 用户凭据:用户凭据通过HTTPS连接从设备传输到控制平面。控制平面通过安全连接使用客户目录中的目录验证这些凭据。
- 管理员凭证:管理员根据Citrix Cloud进行身份验证,该云使用来自Citrix Online的登录系统。此过程生成一次性签名的JSON Web令牌(JWT),使管理员能够访问服务。
- Active Directory凭证:控制平面需要绑定凭据从Active Directory读取用户元数据。这些凭证使用AES-256加密,并保存在每个承租者的数据库中。
部署注意事项
Citrix建议您参考已发布的最佳实践文档,以便在您的环境中部署Citrix Gateway。
更多的资源
有关更多安全信息,请参阅以下参考资料:
- Citrix安全网站://m.giftsix.com/security
- Citrix云文档:Citrix云平台的安全部署指南
- Citrix ADC安全部署指南
与移动威胁防御软件的集成
MTD (Mobile Threat Defense)软件可以检测、分析针对企业移动设备的高级网络攻击。MTD和统一端点管理(UEM)的结合提高了组织的安全性和可见性。
MTD软件提供终端管理使用的威胁数据:
- 防范恶意软件、网络钓鱼、网络攻击和中间人攻击
- 确定设备合规状态
- 确定风险水平
- 采取基于策略的行动来保护您的应用程序、数据、设备和移动网络
Citrix Endpoint Management与以下MTD供应商集成:
有关更多信息或要求演示,请联系我们的MTD合作伙伴或您的Citrix销售代表。