端点管理集成
本文介绍了在规划如何将端点管理与现有网络和解决方案集成时需要考虑的问题。例如,如果您已经在为Citrix虚拟应用程序和桌面使用Citrix网关:
- 您想使用现有的Citrix Gateway实例还是一个新的专用实例?
- 您是否想将使用StoreFront发布的HDX应用程序与端点管理集成?
- 您是否计划将Citrix Files与端点管理一起使用?
- 您是否有想要集成到端点管理中的网络访问控制解决方案?
Citrix网关
端点管理需要Citrix网关。Citrix Gateway为访问所有公司资源提供了一个微型VPN路径,并提供强大的多因素身份验证支持。
您可以使用现有的Citrix Gateway实例,也可以为Endpoint Management设置新的实例。下面几节将介绍使用现有或新的专用Citrix Gateway实例的优缺点。
共享Citrix Gateway MPX,并为端点管理创建Citrix Gateway VIP
优点:
- 为所有Citrix远程连接使用一个通用的Citrix网关实例:Citrix Virtual Apps、完整VPN和无客户端VPN。
- 使用现有的Citrix Gateway配置,例如用于证书验证和访问DNS、LDAP和NTP等服务。
- 使用单个Citrix Gateway平台许可证。
缺点:
- 当您在同一个Citrix Gateway上处理两个不同的用例时,将更难规划规模。
- 有时,对于Citrix Virtual Apps用例,您需要特定的Citrix Gateway版本。相同的版本可能存在端点管理的已知问题。或者端点管理可能知道Citrix Gateway版本的问题。
- 如果存在Citrix Gateway,则不能再次运行NetScaler for XenMobile向导为Endpoint Management创建Citrix Gateway配置。
- Citrix Gateway 11.1及以上版本使用Platinum license的情况除外:将安装在Citrix Gateway上且VPN连接所需的用户接入license进行了合并。由于这些许可证可用于所有Citrix Gateway虚拟服务器,因此端点管理以外的服务可能会使用它们。
专用Citrix Gateway VPX/MPX实例
优点:
Citrix建议使用Citrix Gateway的专用实例。
- 更容易规划规模,并将端点管理流量与可能已经受到资源限制的Citrix Gateway实例分离。
- 避免当端点管理和Citrix虚拟应用程序需要不同的Citrix网关软件版本时出现问题。通常建议使用最新兼容的Citrix Gateway版本,并为端点管理构建。
- 允许通过内置NetScaler for XenMobile向导配置Citrix网关的端点管理。
- 服务的虚拟和物理分离。
缺点:
- 需要在Citrix Gateway上设置额外服务以支持端点管理配置。
- 需要另一个Citrix Gateway平台许可证。为每个Citrix Gateway实例授权。
有关在为端点管理管理模式集成Citrix Gateway和Citrix ADC时应考虑的问题,请参见集成Citrix Gateway和Citrix ADC.
店面
如果您拥有Citrix虚拟应用程序和桌面环境,则可以使用StoreFront将HDX应用程序与端点管理集成在一起。当您将HDX应用程序与端点管理集成时:
- 端点管理注册用户可以使用这些应用程序。
- 这些应用程序与其他移动应用程序一起显示在应用程序商店中。
- 端点管理在StoreFront上使用Citrix Receiver。
- 当Citrix Workspace应用程序安装在设备上时,HDX应用程序将开始使用该应用程序。
StoreFront限制每个StoreFront实例只能有一个服务站点。假设您有多个存储区,并希望将其从其他生产使用中分割出来。在这种情况下,Citrix通常建议您为端点管理考虑一个新的StoreFront实例和服务站点。
注意事项包括:
- StoreFront有什么不同的身份验证要求吗?StoreFront服务站点需要活动目录凭据才能登录。仅使用基于证书的身份验证的客户不能使用相同的Citrix Gateway通过Endpoint Management枚举应用程序。
- 使用同一个商店还是创建一个商店?
- 使用相同或不同的StoreFront服务器?
以下部分将说明为Citrix Workspace和Citrix移动生产力应用程序使用单独或合并的店面的优点和缺点。
将现有StoreFront实例与Endpoint Management集成
优点:
- 相同的商店:端点管理不需要额外的StoreFront配置,假设您使用相同的Citrix Gateway VIP进行HDX访问。假设您选择使用相同的存储,并希望将Citrix Workspace访问指向一个新的Citrix Gateway VIP。在这种情况下,将适当的Citrix Gateway配置添加到StoreFront。
- 相同的StoreFront服务器:使用现有的StoreFront安装和配置。
缺点:
- 同一商店:任何重新配置StoreFront以支持Citrix虚拟应用程序和桌面工作负载都可能对端点管理产生不利影响。
- 相同的StoreFront服务器:在大型环境中,考虑端点管理使用Citrix Receiver进行应用程序枚举和启动所带来的额外负载。
使用一个新的、专用的StoreFront实例与Endpoint Management集成
优点:
- 新商店:端点管理的StoreFront商店的任何配置更改都不会影响现有的虚拟应用程序和桌面工作负载。
- 新的StoreFront服务器:服务器配置更改不会影响虚拟应用程序和桌面工作流程。此外,在端点管理之外使用Citrix Receiver进行应用程序枚举和启动也不会影响可伸缩性。
缺点:
- 新商店:StoreFront商店配置。
- 新的StoreFront服务器:需要新的StoreFront安装和配置。
有关更多信息,请参见通过应用程序商店提供Citrix虚拟应用程序和桌面.
Citrix内容协作和Citrix文件
思杰内容协作使您能够轻松安全地交换文档、通过电子邮件发送大型文档,并安全地处理向第三方传输的文档。Citrix Files应用程序允许用户从任何设备访问和同步他们的所有数据。使用Citrix Files,用户可以安全地与组织内外的人员共享数据。
思杰内容协作与端点管理的集成根据站点是否启用工作区而有所不同。
如果端点管理是工作区启用的
使用Citrix Workspace和Citrix Workspace应用程序以及Citrix内容协作服务时,您可以:
- 从Citrix Workspace中的files选项卡访问所有文件。
- 查看所有收藏夹、个人文件夹和共享文件夹,并访问您的云连接器。
- 提交文件以供反馈和批准、查看文件盒、管理回收站和编辑文件。
- 有关工作区中不支持的Citrix Collaboration特性的信息,请参见部署而且创建内容协作(ShareFile)帐户或将其链接到Citrix Cloud.
如果端点管理未启用工作区
如果端点管理未启用工作区,则需要将内容协作与端点管理集成在一起。端点管理提供Citrix文件:
- 用于移动生产力应用程序用户的单点登录认证。
- 基于Active directory的用户帐户发放。
- 全面的访问控制策略。
移动用户可以受益于完整的企业帐户功能集。
或者,您也可以将Endpoint Management配置为仅与存储区域连接器集成。通过存储区域连接器,Citrix Files提供了以下访问:
- 文件和文件夹
- 网络文件共享
- 在SharePoint站点中:站点集合和文档库。
连接的文件共享可以包括在Citrix虚拟应用程序和桌面环境中使用的相同的网络主驱动器。您可以使用Endpoint Management控制台配置与Enterprise帐户或存储区域连接器的集成。有关更多信息,请参见用于端点管理的Citrix文件.
以下部分介绍了在为Citrix Files做出设计决策时要问的问题。
与Citrix Files或仅存储区域连接器集成
提问:
- 是否希望将数据存储在citrix管理的存储区域中?
- 您是否希望为用户提供文件共享和同步功能?
- 是否允许用户访问Citrix files网站上的文件?或者从移动设备访问Office 365内容和个人云连接器?
设计决策:
- 如果其中任何一个问题的答案是“是”,请与企业帐户集成。
- 仅与存储区域连接器的集成使iOS用户能够安全地移动访问现有的本地存储存储库,例如SharePoint站点和网络文件共享。在此配置中,不需要设置Citrix Files子域、向Citrix Files提供用户或托管Citrix Files数据。与端点管理一起使用存储区域连接器符合防止将用户信息泄露到公司网络之外的安全限制。
存储区域控制器服务器位置
提问:
- 您是否需要本地存储或存储区域连接器之类的特性?
- 如果使用Citrix Files的本地特性,存储区域控制器将位于网络中的哪个位置?
设计决策:
- 确定是在Citrix Files云、本地单租户存储系统中,还是在受支持的第三方云存储中定位存储区域控制服务器。
- 存储区域控制器需要一些internet访问来与Citrix文件控制平面通信。您可以通过多种方式进行连接,包括直接访问或NAT/PAT配置。
存储区连接器
提问:
- CIFS共享路径有哪些?
- SharePoint的url是什么?
设计决策:
- 确定内部存储区域控制器是否需要访问这些位置。
- 由于存储区域连接器与内部资源(如文件存储库、CIFS共享和SharePoint)进行通信:Citrix建议存储区域控制器位于DMZ防火墙后的内部网络中,并在Citrix Gateway的前端。
SAML与端点管理集成
提问:
- Citrix Files是否需要Active Directory身份验证?
- 第一次使用Citrix文件应用程序端点管理需要单点登录吗?
- 在您当前的环境中是否存在标准IdP ?
- 使用SAML需要多少个域?
- Active Directory用户是否有多个电子邮件别名?
- 是否有正在进行或计划进行的Active Directory域迁移?
设计决策:
您可以选择使用SAML作为Citrix Files的身份验证机制。认证选项包括:
使用端点管理服务器作为SAML的标识提供程序(IdP)
此选项可以提供出色的用户体验,自动化Citrix Files帐户创建,并启用移动应用程序SSO功能。
端点管理服务器为此过程进行了增强:它不需要Active Directory的同步。
使用Citrix Files用户管理工具进行用户配置。
使用受支持的第三方供应商作为SAML的IdP
如果您有一个现有的和受支持的IdP,并且不需要移动应用程序SSO功能,那么这个选项可能最适合您。该选项还要求使用Citrix Files User Management Tool进行帐户配置。
使用第三方IdP解决方案(如ADFS)还可能在Windows客户端提供SSO功能。在选择Citrix Files SAML IdP之前,一定要评估用例。
或者,要同时满足这两个用例,请参见针对双重身份提供者的Citrix Content Collaboration单点登录配置指南.
移动应用程序
提问:
- 您计划使用哪个Citrix Files移动应用程序(公共、MDM、MDX)?
设计决策:
- 您从Apple App Store和谷歌Play Store分发Citrix移动生产力应用程序。通过公共应用商店分发,您可以从Citrix下载页面获得包装好的应用程序。
- 如果安全性要求较低且不需要容器化,那么公共Citrix Files应用程序可能不适合。
- 有关更多信息,请参见应用程序而且用于端点管理的Citrix文件.
安全性、策略和访问控制
提问:
- 对桌面、网页和移动用户有什么限制要求?
- 您希望为用户设置什么样的标准访问控制设置?
- 您计划使用什么文件保留策略?
设计决策:
- Citrix Files允许您管理员工权限。有关信息,请参见员工权限.
- 一些Citrix Files设备安全设置和MDX策略控制相同的特性。在这些情况下,端点管理策略优先,其次是Citrix Files设备安全设置。示例:如果您在Citrix文件中禁用了外部应用程序,但在端点管理中启用了它们,则外部应用程序将在Citrix文件中禁用。您可以配置应用程序,使端点管理不需要PIN/密码,但Citrix Files应用程序需要PIN/密码。
标准存储区与限制存储区
提问:
- 您需要限制存储区域吗?
设计决策:
- 标准存储区域用于存储非敏感数据,供员工与非员工共享数据。此选项支持涉及在域外共享数据的工作流。
- 限制存储区域保护敏感数据:只有通过认证的域用户才能访问存储在该存储区域内的数据。
访问控制
企业可以管理网络内外的移动设备。企业移动性管理解决方案,如端点管理,在为移动设备提供安全和控制方面非常出色,与位置无关。但是,当您将它们与网络访问控制(NAC)解决方案结合使用时,您可以向网络内部的设备添加QoS和更细粒度的控制。这种组合使您能够通过NAC解决方案扩展端点管理设备安全评估。然后,您的NAC解决方案可以使用端点管理安全评估来促进和处理身份验证决策。
您可以使用以下任何解决方案来执行NAC策略:
- Citrix网关
- 思科身份识别服务引擎(ISE)
- ForeScout
思杰不保证与其他NAC解决方案的集成。
NAC解决方案与端点管理集成的优势包括:
- 为企业网络上的所有端点提供更好的安全性、遵从性和控制。
- NAC解决方案可以:
- 在设备试图连接到您的网络时立即检测它们。
- 查询终端管理设备属性。
- 使用该设备信息来确定是否允许、阻止、限制或重定向这些设备。这些决定取决于您选择执行的安全策略。
- NAC解决方案为IT管理员提供了非托管和不兼容设备的视图。
有关端点管理支持的NAC遵从性过滤器的描述和配置概述,请参见网络访问控制.