入职和资源设置
如果您不熟悉Citrix、Citrix云或端点管理,本文将指导您完成入职培训。了解工作流程和入门所需的详细信息。
- 我从哪里开始呢?
- 如果尚未购买端点管理订阅,请参阅针对思杰的新客户.
- 如果您有Endpoint Management订阅,请跳到当“管理”按钮可用时.
- 如果配置了端点管理站点,请跳到配置身份验证.
配置顺序重要吗?本文遵循推荐的配置顺序。你可以按不同的顺序工作。端点管理控制台通过“配置后设置”等消息让您知道是否缺少先决条件。
- 我入职后要做什么?完成本文描述的入站和资源配置后,在Endpoint Management控制台中继续配置。有关下一步步骤的信息,请参见准备注册设备和交付资源.
使用端点管理中的新控制台体验向我们提供您的反馈Citrix端点管理控制台反馈链接
针对思杰的新客户
针对Citrix云终端管理新客户:
如果您已经购买了端点管理订阅,请跳到当Manage按钮是可用的。
如果您还没有建立一个Citrix Cloud帐户,请参见注册Citrix Cloud.
如果您已经建立了Citrix Cloud帐户,但还没有购买Endpoint Management,请申请一个服务演示。
使用您的Citrix Cloud管理员凭证登录您的Citrix Cloud帐户。出现Citrix Cloud主页。
所有Citrix云管理员帐户的创建方式如下:
- 默认情况下,Citrix Cloud管理员是Endpoint Management管理员。
- 通过客户访问创建的Citrix云管理员必须为他们选择端点管理来管理端点管理。
在Citrix Cloud主页上,找到Endpoint Management服务平铺并单击请求演示.
填写并提交演示申请表格。端点管理服务平铺上的按钮更改为演示要求.
如果在处理请求之前单击端点管理服务平铺,将出现一个屏幕,建议您与您的代表或合作伙伴联系。Citrix的销售代表可以提供更多关于服务的信息和细节。
在等待试验期间,请务必通过检查为您的端点管理部署做好准备系统需求.尽管Citrix承载并交付端点管理解决方案,但您必须处理一些通信和端口需求。
继续下一节。
当“管理”按钮可用时
本视频将引导您完成入职培训:
当端点管理服务可用时,端点管理服务平铺上的按钮更改为管理.
开始设置:
- 使用您的Citrix Cloud管理员凭证登录您的Citrix Cloud帐户。
- 点击管理,以访问端点管理控制台。
- 键入站点名称并选择一个区域。然后选择保存和继续.
注意:
要请求允许的ip,请联系Citrix支持代表。
然后端点管理控制台打开,并显示一条消息,说我们正在配置您的套件,并且在配置期间一些端点管理功能被锁定。
- 在欢迎屏幕上,单击开始安装.
- 选择要管理的端点并单击拯救. 您可以随时添加或清除端点,以便在控制台中显示或隐藏它们。显示和隐藏端点不会影响您的配置。
当配置完成时,我们会给您发送电子邮件。
资源中心
单击资源中心图标观看指南视频不离开控制台。
在供应
在我们提供端点管理的同时,您可以开始配置。
配置资源位置
在为端点管理配置轻量级目录访问协议(LDAP)连接之前,您需要资源位置。资源位置包含向订阅者交付云服务所需的资源。每个域需要一个资源位置。要寻求帮助,请参阅Citrix Cloud的文章,资源位置.
在等待试验期间,请务必通过检查为您的端点管理部署做好准备系统需求.尽管Citrix托管并交付端点管理解决方案,但仍需要一些通信和端口需求。该设置将端点管理基础设施连接到企业服务(如活动目录)。您必须提供的信息包含在新员工培训手册在“端点管理试用销售工程师参与”下
在您被授权进入试用后,请按端点管理更改管理.点击管理打开Citrix端点管理控制台。
配置身份验证
准备好站点后,可以继续配置。我们建议您设置云托管身份提供者(IdP)或轻量级目录访问协议(LDAP)来导入组、用户帐户和相关属性。
配置IdP
端点管理支持身份提供程序的身份验证,如Azure Active Directory、Okta和本地Citrix网关。
要在Citrix Cloud中配置IdP并将其设置为端点管理,请执行以下操作:
- 通过Citrix Cloud使用Azure Active Directory进行身份验证
- 通过Citrix云与Okta进行身份验证
- 通过Citrix Cloud使用本地Citrix网关进行身份验证(预览)
您可以通过Citrix Cloud配置Azure AD和Okta身份提供商(IdPs),以管理通过Citrix Secure Hub注册MDM的设备,而无需使用云连接器。端点管理需要一个用于LDAP、PKI服务器、内部DNS查询、Citrix虚拟应用程序、Citrix网关、Citrix工作区和Microsoft端点管理器的云连接器。信息,请参阅不使用云连接器的身份提供者身份验证(预览).
配置LDAP
您可以在端点管理中配置到一个或多个LDAP兼容目录的连接,以进行基于域的身份验证。端点管理支持嵌套在LDAP中的组。嵌套组每天在当地时间上午12点同步。
作为配置LDAP的一部分,您必须至少安装一个云连接器。
想要快速了解,请观看这个视频。
设置LDAP。
- 在设置第页,滚动至LDAP平铺,然后单击设置.
- 按照屏幕上的指导下载和安装云连接器。要启用Citrix Cloud和您的资源之间的通信,需要云连接器。帮忙,看到Citrix云连接器.
如果您有LDAP配置,并添加Azure AD或Okta作为身份提供者,端点管理将在端点管理数据库中同步您的Active Directory组的idp特定信息。此配置不会影响您现有的交付组和用户注册。但是,随后无法在端点管理中添加LDAP设置。有关更多信息,请参见不使用云连接器的身份提供者身份验证(预览).
如果你改变主意域名别名或用户搜索设置注册后,用户必须重新注册。有关LDAP配置的更多信息,请参见域或域加安全令牌身份验证.
设置LDAP之后,您可以继续进行身份验证配置或设置特定的平台。
配置Citrix网关
当与端点管理集成时,Citrix Gateway提供对内部网络和资源的远程设备访问。
终端管理需要Citrix网关用于以下场景:
- 您需要一个微型VPN来访问业务线应用程序的内部网络资源。这些应用程序都采用了Citrix MDX技术。micro VPN需要Citrix Gateway连接内部后端基础设施。
- 您计划使用端点管理来管理应用程序(MAM或MDM+MAM)。仅管理设备(MDM)并不需要Citrix Gateway。
- 您计划将端点管理与Microsoft端点管理器集成。(需要本地的Citrix Gateway。)
Citrix提供基于云计算和本地的Citrix网关解决方案。但是,只有拥有Citrix Gateway服务授权的客户才能配置基于云的服务。
想要快速了解,请观看这个视频。
重要的是:
配置Citrix Gateway解决方案后,切换到另一个解决方案需要重新注册设备。如果您已经在使用本地Citrix Gateway,并希望切换到Citrix Gateway服务,请与您的Citrix销售代表联系。先决条件,请参阅使用Citrix Gateway服务在这篇文章中。
下表总结了基于云计算和现场部署的Citrix Gateway解决方案所支持的特性。
| 支持的功能 | Citrix网关服务 | Citrix网关本地 |
|---|---|---|
| 安全邮件(STA) * | 是的 | 是的 |
| 隧道- Web SSO (Web单点登录) | 是的 | 是的 |
| 完全VPN (Citrix Mobile的iOS应用程序不支持) | 不 | 是的 |
| 每个应用VPN | 不 | 是的 |
| 移动单点登录(访问控制) | 是的 | 不 |
| 高可用性 | 是的 | 是的* * |
| Multi-POP部署 | 是的 | 是的* * * |
| 代理支持 | 是的 | 是的 |
| Split-tunneling | 不 | 是的 |
| 拆分DNS | 不 | 是的 |
*Citrix云安全票务管理局(STA)服务配置
**内部配置
***全局服务器负载均衡配置
Citrix Gateway服务用例
在以下情况下,将基于云的Citrix网关服务与端点管理结合使用:
- 您需要使用Citrix Cloud提供的统一鉴权体验。Citrix Gateway服务使用Citrix身份提供商来管理您的Citrix Cloud帐户中的所有用户的身份信息。
- 您计划使用Citrix移动生产力应用程序,如Citrix Secure Mail或Secure Web。Citrix网关提供按需应用VPN连接,允许移动设备访问公司网络站点或资源。
这种无客户端VPN的变体也称为隧道式Web单点登录(tunniled - Web single sign-on, SSO)。使用tunnel - web单点登录到内部网络的连接,如web流量。对于需要单点登录的连接,我们推荐使用隧道Web SSO。
思杰网关服务是如何运作的
MDM和MAM控制流量直接进入Citrix Endpoint Management,而不需要通过Citrix Gateway服务。发送到Citrix Gateway的所有流量都被定向到内部网关连接器。
在端点管理中注册设备期间不使用Citrix Gateway服务。Citrix移动生产力应用程序:
安全邮件使用Citrix Cloud Secure Ticket Authority (STA)服务。
注意:
Citrix网关服务使用主资源位置。
Citrix网关提供按需应用VPN连接。
在端点管理中注册设备期间不使用Citrix Gateway服务。注册后,MDM控制流量直接进入Citrix Endpoint Management,而不经过Citrix Gateway服务。MAM控制流量通过Citrix Gateway服务。发送到Citrix Gateway的所有流量都被定向到内部网关连接器。
有关更详细的交通流图,请参见支持Citrix端点管理. 有关网关连接器端口要求,请参阅网关连接器.
Citrix Gateway服务与Endpoint Management集成支持以下身份验证类型:
- 基础,消化,NTLM
- Kerberos约束委派(KCD)单点登录
- 基于表单的单点登录
- SAML单点登录
先决条件
启用Citrix工作区体验
- 在Android设备上,用户只能通过Citrix Workspace应用程序注册。
- 对于其他平台,用户注册从工作区应用程序开始。当安全中心检测到工作区授权时,安全中心完成注册。Secure Hub然后打开Citrix Workspace,用户可以在那里访问他们的应用程序和其他资源。有关在Android中使用Citrix工作区的更多信息,请参见Android的工作空间.
Citrix Gateway服务订阅
- 如果您已经在使用本地Citrix Gateway,并希望切换到Citrix Gateway服务,请与您的Citrix销售代表联系。从本地Citrix Gateway切换到Citrix Gateway服务需要重新注册设备。
- 新端点管理客户:在端点管理上线期间选择Citrix Gateway服务。
网关连接器安装在资源位置的本地
- 端点管理仅将网关连接器的资源位置用于Secure Mail的STA票证。Citrix网关将STA通信发送到资源位置的网关连接器。
- 您可以在任何资源位置安装一个或多个网关连接器。端点管理不支持安装在多个资源位置的网关连接器。
- 您可以将网关连接器安装在与Active Directory相同或不同的资源位置。Active Directory的唯一作用是使用Citrix Cloud认证来认证用户到Citrix Gateway服务。Citrix Gateway服务为经过身份验证的用户创建到网关连接器的会话连接。您可以有多个活动目录。
- 如果连接器在Citrix Endpoint Management上线期间不可用,可以在上线后安装。
有关更多信息,请参见Citrix网关连接器和系统需求.
Citrix建议新的端点管理客户配置Citrix网关服务,而不是本地Citrix网关。
建立Citrix Gateway服务
- 在设置第页,滚动至Citrix网关平铺,然后单击设置.
- 选择Citrix网关服务(云)作为类型。只有拥有Citrix Gateway服务授权的客户才能查看此设置。
- 按照屏幕上的指导。信息,请参阅配置本地Citrix网关,用于端点管理.
内部部署Citrix网关用例
在以下情况下使用一个或多个本地Citrix网关设备与端点管理:
- 您需要每个应用的VPN功能。
- 您需要完全隧道、分割隧道、反向分割隧道或分割DNS。对于使用客户端证书或端到端SSL到内部网络资源的连接,建议使用全VPN隧道。
- 您可以使用Citrix端点管理与Microsoft端点管理器集成。
使用本地Citrix网关需要大量配置和维护。在端点管理控制台中配置LDAP和Citrix网关后,从该控制台导出脚本。然后在Citrix网关上运行脚本。
- 在设置第页,滚动至Citrix网关平铺,然后单击开始安装.
- 选择Citrix网关(本地)作为类型。
- 按照屏幕上的指导。信息,请参阅配置本地Citrix网关,用于端点管理.
配置通知服务器
要发送通知,必须配置网关和通知服务器。通知服务器确保终端用户和管理员之间的连通性和通信的可能性。要在端点管理中设置通知服务器,请参见通知.
为Apple设备配置Apple推送通知服务(APNs)证书
端点管理需要来自苹果的苹果推送通知服务(APNs)证书来注册和管理苹果设备。端点管理还需要APNs证书,如果你计划使用苹果的安全邮件推送通知。有关端点管理和apn的信息,请参见针对iOS的Secure Mail推送通知.
要从Apple获得证书,需要Apple ID和开发者帐户。有关详细信息,请参阅苹果开发者计划的网站。
想要快速了解,请观看这个视频。
使用Citrix证书签名请求配置apn:
- 在设置页面,扩大苹果瓷砖。
- 在导引和证书瓷砖,点击设置然后按照屏幕上的指导。
有关更多信息,请参见证书和认证.
配置Android企业版
在创建交付组并通过云库将用户分配给交付组之后,端点管理就完全配置好了。从现在开始,端点管理在Citrix Cloud中进行。组合接口简化了Citrix Cloud和端点管理之间的切换。
你可以通过谷歌Play或谷歌Workspace来设置Android企业终端管理。
如果您的组织没有使用谷歌工作区:您可以使用托管谷歌播放注册Citrix为您的EMM提供商。如果您使用managed谷歌Play,您将为设备和终端用户提供managed谷歌Play帐号。托管谷歌Play帐户提供访问托管谷歌Play的权限,允许用户安装和使用您提供的工作应用程序。如果您的组织使用第三方身份服务,您可以将管理的谷歌Play帐户与您现有的身份帐户连接起来。
因为这种类型的企业没有绑定到某个领域,所以您可以为单个组织创建多个企业。例如,一个组织中的每个部门或地区都可以注册为不同的企业。这种设置使您能够使用不同的企业来管理不同的设备和应用程序集。
如果您的组织已经使用谷歌工作区为用户提供访问谷歌应用程序的权限:您可以使用Google Workspace将Citrix注册为您的EMM。如果您的组织使用Google Workspace,则它具有现有的企业ID和用户的现有Google帐户。要在Google Workspace中使用端点管理,您需要与LDAP目录同步,并使用Google directory API从Google检索Google帐户信息。
这种类型的企业与现有的域绑定在一起。因此,每个域只能创建一个企业。要在端点管理中注册设备,每个用户必须使用现有的谷歌帐户手动登录。该帐户允许用户通过您的谷歌工作区计划访问托管谷歌Play和其他谷歌服务。
想要快速了解,请观看这个视频。
开始:
- 在设置页面,扩大安卓瓷砖。
- 在Android的企业瓷砖,点击设置.
- 选择谷歌玩或G套件,这取决于您如何为用户提供对谷歌应用程序的访问。如果你之前在Android Enterprise平台上配置了谷歌Play, UI会将你带到谷歌Play商店重新注册。点击重新注册,返回CEM控制台,并刷新页面。
- 按照屏幕上的指导。
看到的:
配置Firebase云消息
Citrix建议您使用Firebase云消息(FCM)来控制Android设备连接到端点管理的方式和时间。终端管理发送连接通知到Android设备启用FCM。任何安全操作或部署命令都会触发一个推送通知,以提示用户重新连接到Endpoint Management服务器。看到云重火力点消息.
与Microsoft Endpoint Manager集成
端点管理与Microsoft Endpoint Manager的集成将端点管理micro VPN的价值添加到Microsoft Intune感知应用程序中,如Microsoft Edge browser。
与MEM的端点管理集成还允许企业用Intune和Citrix包装自己的业务应用程序。应用包装在Intune移动应用管理(MAM)容器中提供了微VPN功能。终端管理微VPN使您的应用程序访问本地资源。您可以在一个容器中管理和交付Office 365应用程序、业务应用程序和Citrix Secure Mail。单个容器提供了最终的安全性和生产率。
- 默认情况下,Citrix Cloud管理员是Endpoint Management管理员。
- 通过客户访问创建的Citrix云管理员必须为他们选择端点管理来管理端点管理。
在端点管理控制台中,您只能更改用户的角色和成员关系。要随时更改角色,请从Citrix Cloud仪表板访问Endpoint Management控制台。去管理选项卡并单击用户.选择具体用户,单击编辑改变角色。有关详细信息,请参阅使用RBAC配置角色.
要与MEM集成,请参阅Citrix端点管理与Microsoft端点管理器的集成.
在Citrix Cloud中完成配置后,返回“Endpoint Management”控制台,操作步骤如下:进入Citrix Cloud首页页面,然后点击管理在端点管理瓷砖。然后,您可以验证是否使用Azure Active Directory帐户登录了Endpoint Management。
- 在设置第页,滚动至与Microsoft EMS/Intune集成瓷砖。
- 点击查看更多.UI显示是否成功启用连接。
您还可以在Citrix Cloud控制台中修改用户名和密码,删除或编辑本地用户。看到身份和访问管理.
将现有的Citrix内容协作帐户链接到Citrix Cloud
如果您在注册Citrix Cloud之前有一个Citrix Content Collaboration帐户,则必须将该帐户链接到Citrix Cloud。若要链接您的帐户,您的电子邮件地址必须是Citrix内容协作帐户的管理员。等你准备好了,就去https://onboarding.cloud.com.
登录成功后,出现如下界面。
![云配置屏幕]()
在Citrix内容合作瓷砖,选择链接帐户.
![链接内容协作帐户菜单]()
在我们确认您的Citrix内容合作账户后,会出现以下页面:
![添加内容协作帐户界面]()
单击链接帐户选项卡以完成该过程。您可以立即从Citrix Cloud管理您的Citrix内容协作帐户。
验证您的设置
为了确保一切都正确设置,您可以使用端点管理分析器。在“故障处理与支持”页面中,单击端点管理分析仪访问此工具。有关使用端点管理分析程序的信息,请参见端点管理分析仪.