Architecture de référence : Citrix Endpoint Management avec Microsoft EMS/Intune et intégration Android Enterprise

Présentation de Citrix Endpoint Management

Citrix Endpoint Management simplifie la gestion des appareils et des applications grâce à une solution complète et unifiée de gestion des terminaux. Elle permet également d’accéder à tout ce dont les utilisateurs ont besoin pour être productifs, y compris les fonctions d’intelligence qui guident et automatisent le travail. Il existe également des options de gestion du cloud pour Citrix Virtual Apps and Desktops. Citrix Endpoint Management est disponible sous la forme d’un service dans Citrix Cloud qui élimine le besoin pour le client de gérer l’infrastructure, ce qui lui permet de se concentrer sur les stratégies de périphérique et la gestion des applications.

Citrix Endpoint Management possède des fonctionnalités de gestion des périphériques mobiles (MDM) et de gestion des applications mobiles (MAM). Les fonctionnalités MDM d’Endpoint Management permettent aux administrateurs de déployer des stratégies et des applications de périphériques, d’extraire des inventaires d’actifs et d’effectuer des actions sur les appareils, par exemple un effacement d’appareil. Les fonctionnalités MAM d’Endpoint Management permettent de sécuriser les applications et les données sur les appareils mobiles Bring Your Own, de fournir des applications mobiles d’entreprise, de verrouiller les applications et d’effacer les données des applications.

Reportez-vous à ladocumentation Citrix, qui illustre les architectures de référence pour le déploiement Endpoint Management, anciennement XenMobile. Les scénarios de déploiement incluent MDM uniquement, MAM uniquement et MDM+MAM comme architectures principales.

Reportez-vous à ladocumentation du produit, qui illustre les composants Endpoint Management et les diagrammes d’architecture de référence complets avec flux de communication. Il couvre également l’architecture de référence principale, l’intégration avec Citrix Virtual Apps and Desktops, le connecteur Endpoint Management pour Exchange ActiveSync et Citrix Gateway Connector pour Exchange ActiveSync.

微软表示de EMS

Microsoft EMS signifie Microsoft Enterprise Mobility + Security. Il comprend les éléments suivants :

• Azure Active Directory Premium: le hub d’identité Microsoft qui permet l’authentification unique pour toutes les ressources de n’importe où, et qui inclut des aspects de sécurité tels que l’accès conditionnel et l’authentification multifacteur.

• Microsoft Intune— est la solution Microsoft de gestion des appareils mobiles et d’applications mobiles qui fournit des contrôles de sécurité pour les utilisateurs, les données et les applications sur les appareils mobiles. Microsoft envisage de regrouper System Center Configuration Manager (SCCM) et le service de gestion mobile Microsoft Intune dans une nouvelle marque appelée « Microsoft Endpoint Manager. »

• Azure Rights Management: offre une sécurité au niveau du document qui gère et applique les droits d’accès aux données protégées.

• Microsoft Advanced Threat Analytics— fournit une surveillance de la sécurité en temps réel à l’aide du Big Data pour identifier les menaces et notifier les risques

Microsoft EMS est concédée sous licence via plusieurs offres Microsoft avec différents ensembles de fonctionnalités qui varient selon les besoins de l’entreprise. EMS inclut des licences Intune ; par conséquent, chaque client EMS peut utiliser les fonctionnalités Intune MDM et/ou Intune App Protection.

Intégration de Citrix Endpoint Management à Microsoft Intune/EMS

L’objectif de l’intégration entre les deux produits est de fournir des applications en toute sécurité à n’importe quel appareil. L’intégration à Microsoft Intune/EMS est une fonctionnalité de Citrix Endpoint Management Service qui ajoute de la valeur à Microsoft EMS + Intune en fournissant un accès sécurisé aux ressources locales pour les applications Intune et EMS, telles qu’Office365 et d’autres applications métier. Il offre également des avantages de sécurité et de productivité aux clients Intune et Citrix Endpoint Management.

Le déploiement d’applications mobiles pour les entreprises contient les éléments suivants :

• Applications Office 365
• Autres applications mobiles natives
• Applications personnalisées hébergées sur site
• Applications Web et SaaS
• Applications virtualisées hébergées sur site et dans le cloud

De nos jours, les organisations déploient les applications Enterprise Mobility Management et Office365 pour les appareils BYOD (Bring Your Own Devices) ou les appareils appartenant à l’entreprise (COD), et inclut Microsoft EMS/Intune. Les applications Office365 les plus populaires sont Word, Excel, Outlook et PowerPoint. Il existe également d’autres applications Office 365, telles que Microsoft SharePoint et Microsoft Dynamics 365. Les utilisateurs finaux ont besoin d’accéder à ces applications de productivité sur leur appareil. Les entreprises doivent surveiller ces applications et la manière dont l’application gère les données sur la machine utilisateur avec la meilleure expérience utilisateur.

Dans le cadre de Citrix Secure Digital Workspace, Endpoint Management permet aux services informatiques de configurer et d’appliquer la connectivité micro-VPN aux applications mobiles. Chaque application mobile gérée sur l’appareil dispose de son propre micro-VPN privé à partir duquel les données d’application peuvent circuler en toute sécurité du point de terminaison vers les emplacements de ressources de l’entreprise derrière le pare-feu. Citrix Endpoint Management offre également des fonctionnalités telles que l’échange de données et de documents entre les applications Office 365 et les applications d’organisation. Avec l’aide de Citrix Gateway, Citrix Endpoint Management peut fournir un micro-VPN par application pour sécuriser les données en mouvement.

这个集成,Managem Citrix端点ent (CEM) peut transférer l’état de conformité des périphériques vers Azure Active Directory Premium via le service de conformité des périphériques Microsoft Intune. CEM garantit que les conditions appropriées sont remplies pour l’accès aux ressources de l’entreprise, via le service de conformité des périphériques Microsoft Intune et l’accès conditionnel Azure Active Directory.

Architecture conceptuelle

Avantages de l’intégration CEM avec EMS/Intune

Citrix Endpoint Management permet aux services informatiques de protéger et d’isoler les données et applications d’entreprise des applications personnelles et des données sur les terminaux. Citrix Endpoint Management est livré avec un magasin d’applications qui est un magasin d’applications sécurisé et privé conçu pour l’entreprise. Dans ce magasin d’applications, les services informatiques peuvent fournir des applications d’entreprise et des applications publiques.

CEM apporte la valeur du micro-VPN Citrix Endpoint aux applications Microsoft Intune, telles que Microsoft Managed Browser. Il permet également aux entreprises d’envelopper leurs applications métier avec Intune et Citrix pour fournir des fonctionnalités micro-VPN dans un conteneur MAM (Mobile App Management) Intune. Citrix Endpoint Micro-VPN permet aux applications mobiles d’accéder aux ressources locales.

Le service informatique peut gérer et fournir des applications Office 365, des applications métier et Citrix Secure Mail dans un seul conteneur pour une sécurité et une productivité utilisateur optimales. Le micro-VPN apporte les fonctionnalités d’accès à distance du leader du marché Citrix Gateway aux appareils mobiles via des applications intégrées au SDK CEM/XenMobile. Il s’agit d’une connexion VPN d’application à la demande initiée par Secure Hub sur les appareils mobiles pour accéder aux sites réseau d’entreprise ou aux ressources.

Exemples de cas d’utilisation pour l’intégration CEM avec Intune

Grâce à la fonctionnalité CEM micro-VPN, un utilisateur peut accéder aux ressources internes à l’aide du navigateur Intune, qui dispose désormais du SDK micro-VPN CEM/XenMobile intégré, sans nécessiter de VPN au niveau de l’appareil ou d’inscrire pleinement MDM.

Grâce à la fonctionnalité CEM Micro-VPN, un administrateur informatique peut permettre l’accès à la gamme de serveurs d’applications métier hébergés sur site sans avoir à configurer un VPN au niveau de l’appareil ou à passer par l’inscription complète de MDM.

Modes de déploiement

Citrix Endpoint Management et Microsoft EMS peuvent travailler ensemble de différentes manières. Nous nous concentrons ici sur l’intégration avec les modèles ou scénarios de déploiement Intune. La section suivante répertorie les scénarios possibles de gestion de la mobilité avec Endpoint Management et Intune. Le choix du bon modèle de déploiement dépend de plusieurs facteurs, tels que les exigences de mobilité ou l’investissement actuel en matière de licences. Chaque modèle de déploiement a ses propres mérites. L’objectif est de mettre en évidence la solution qui fournit le « meilleur » de ce que Citrix et Microsoft ont à offrir ensemble.

Passons en revue les trois scénarios d’intégration clés :

Citrix MDM + Intune MAM +SDK MVPN

Le modèle de déploiement recommandé, qui réunit tous les principaux avantages en une seule solution. Il offre une excellente expérience d’administration grâce à l’accès aux API Microsoft Graph dans la console Citrix. Toutes les applications Citrix sont Intune Enlightened, ce qui permet de partager des données en toute sécurité au sein d’un seul conteneur avec DLP. Il inclut également toutes les ajouts de valeur micro-VPN, et il offre une excellente expérience utilisateur. Ce modèle applique Citrix Unified Endpoint Management complet avec Intune MAM pour applications Office 365 et Secure Mail.

Intune MDM + Intune MAM +SDK MVPN

Ce modèle de déploiement peut être un scénario populaire pour les clients Microsoft EMS existants qui utilisent Intune en tant que MDM (périphériques inscrits). Citrix Endpoint Management avec Micro VPN offre une valeur ajoutée dans plusieurs domaines, notamment ShareFile éclairé, Secure Mail, Microsoft Managed Intune Browser avec XenMobile SDK, Citrix Gateway NAC et l’intégration CEM avec l’assistant Intune EMS pour faciliter la configuration d’Intune. De plus, aucune réinscription n’est requise. Par conséquent, il ajoute de la valeur instantanément.

Intune MAM uniquement +SDK MVPN

Ce模型de deploiement offre联合国rappor极佳t qualité-prix pour les clients Intune qui trouvent l’inscription MDM intrusive et peuvent utiliser des solutions VPN tierces pour accéder aux ressources de l’entreprise derrière le pare-feu. Cependant, l’inconvénient des solutions VPN tierces est qu’elles augmentent la maintenance, peuvent être incohérentes, nécessitent des coûts d’infrastructure, de licences et d’exploitation coûteux. De plus, les solutions VPN de l’appareil, en plus des solutions VPN par application, ne sont généralement pas aussi efficaces pour les appareils mobiles et provoquent la vidange de la batterie. D’autre part, le micro-VPN propriétaire Citrix est sans client, et la configuration Citrix Gateway le dirige bien. Désormais, les clients Intune utilisant les navigateurs Microsoft Managed Intune (avec ou sans Intune MDM) peuvent utiliser Citrix Micro-VPN pour accéder aux ressources Intranet.

Aucun enregistrement de périphérique ou VPN au niveau de l’appareil n’est requis. Citrix est le seul fournisseur à fournir un micro-VPN pour les applications Intune ou les applications encapsulées Intune sans inscription MDM ou utilisation de clients VPN de périphériques hérités.

Ce modèle de déploiement s’adresse aux clients qui souhaitent utiliser deux conteneurs MAM pour les applications enveloppées Intune et Citrix. MDM et MAM avec Micro VPN offrent une valeur ajoutée dans plusieurs domaines, notamment Content Collaboration, Secure Mail, Microsoft Managed Intune Browser avec XenMobile SDK, Citrix Gateway NAC. L’intégration CEM avec les assistants Intune EMS pour faciliter la configuration Intune, et il est important que Secure Mail utilise par défaut le conteneur Citrix MAM.

Prise en main de l’intégration

Reportez-vous à ladocumentation Citrixpour connaître la configuration requise et les prérequis nécessaires à la préparation de l’intégration. Reportez-vous également à ceguide,,你们可以解释配置l 'integrati置评on de Citrix Endpoint Management à Microsoft Intune/EMS afin de pouvoir fournir des applications en toute sécurité depuis Azure vers n’importe quel appareil.

Résumé de Intune Integration

Citrix et Microsoft ont plusieurs innovations conjointes qui fournissent des scénarios flexibles pour fournir des applications et des données en toute sécurité. Choisir le bon scénario est la clé du succès ici, et l’objectif commun de Citrix est de proposer une solution qui répond aux exigences de l’organisation en fournissant le meilleur de ce que Citrix et Microsoft peuvent offrir ensemble.

L’intégration CEM avec EMS offre un niveau de sécurité supérieur avec l’option VPN par application. Il assure également la sécurité des données en mouvement et des données au repos. Il permet une configuration fine des stratégies pour la gestion des appareils mobiles et la gestion des applications mobiles. Intégration transparente de toutes les applications Office 365 avec Citrix Secure Mail. Il s’agit d’un panneau unique pour gérer différents appareils et plates-formes avec une large gamme d’appareils pris en charge et dispose d’un magasin d’applications d’entreprise pour toutes vos applications d’entreprise.

Android Enterprise avec Citrix Endpoint Management

Présentation d’Android Enterprise

Google a annoncé la dépréciation de l’administration de l’appareil avec sa version Android 2019. La gestion des périphériques utilisant les autorisations d’administration des périphériques est considérée comme une approche de gestion héritée pour les appareils Android. Android Enterprise est une plate-forme de gestion moderne.

Android Enterprise est un ensemble d’outils et de services fournis par Google en tant que solution de gestion d’entreprise pour les appareils Android. Le programme propose des API et d’autres outils permettant aux développeurs d’intégrer la prise en charge d’Android dans leurs solutions EMM (Enterprise Mobility Management) telles que Citrix Endpoint Management.

Avec Android Enterprise :

• Les clients peuvent utiliser Endpoint Management pour gérer les appareils Android appartenant à l’entreprise et les appareils Android de Bring Your Own (BYO).
• Les clients peuvent gérer l’ensemble de l’appareil ou un profil professionnel distinct sur l’appareil. Le profil professionnel distinct isole les comptes professionnels, les applications et les données des comptes personnels, des applications et des données.
• Les clients peuvent également gérer des appareils dédiés à un usage unique, tels que la gestion des stocks.

Lorsque Endpoint Management intégré à Google Play géré pour utiliser Android Enterprise dans l’organisation est appelé entreprise. Google définit qu’une entreprise est un lien entre l’organisation et la solution de gestion mobile (EMM). Tous les utilisateurs et appareils gérés par l’organisation via la solution EMM appartiennent à son entreprise. Lorsque Endpoint Management s’intègre à Android Enterprise, la solution complète comporte les composants suivants :

• Citrix Endpoint Management : Citrix Endpoint Management est la gestion unifiée des terminaux pour un espace de travail numérique sécurisé. Endpoint Management fournit aux administrateurs informatiques le moyen de gérer les appareils et les applications de leur organisation.
• Citrix Secure Hub : l’application DPC Citrix. Secure Hub représente la rampe de lancement d’Endpoint Management. Secure Hub applique des stratégies sur l’appareil.
• Google Play géré : une plate-forme d’application d’entreprise Google qui s’intègre à Citrix Endpoint Management et à son API définit les stratégies d’application et distribue les applications.

Avantages d’Android Enterprise avec Citrix Endpoint Management

Qu’ils appartiennent à l’entreprise ou aux employés, Citrix Endpoint Management et Android Enterprise fournissent les contrôles dont les entreprises ont besoin pour protéger leurs informations tout en améliorant la productivité des utilisateurs. Citrix Endpoint Management prend en charge chacun des modes de gestion Android Enterprise, y compris le BYOD (profil professionnel Android) et les profils d’entreprise, y compris les cas d’utilisation COPE (Société/Personnel Activé), COBO (Entreprise Owned/Business Only), COSU (Corporate Owned, Single Use). Pour les utilisateurs de BYOD, Android Enterprise géré par Citrix Endpoint Management bénéficie de la tranquillité d’esprit et de la confidentialité, tandis que l’informatique bénéficie de la sécurité et de la conformité des données.

Lorsqu’il est administré par Citrix Endpoint Management, Android Enterprise offre une flexibilité dans la protection des informations de l’entreprise. Appliquez les multiples couches de la sécurité Android, y compris la sécurité renforcée et la protection Google Play, et étendez les contrôles avancés de gestion des appareils et des applications à partir de Citrix Endpoint Management.

Pour accélérer l’intégration et l’inscription, Citrix Endpoint Management prend en charge les différentes options de provisioning fournies par Android Enterprise, notamment le jeton EMM, l’inscription zéro touche, le NFC et le code QR. Outre Android Enterprise géré par Citrix Endpoint Management, les utilisateurs bénéficient d’un accès transparent à leurs applications professionnelles Android via Google Play géré. Lorsqu’il est combiné avec Citrix Workspace, les utilisateurs ont également accès à toutes les autres applications, y compris virtuelles, SaaS et Web. Les utilisateurs obtiennent également plus de travail avec les applications de productivité mobiles Citrix, notamment Citrix Secure Mail et Citrix Content Collaboration avec des workflows intégrés.

Impact de la fin de prise en charge de l’administration des appareils

Google a annoncé de déprécier les API d’administration des périphériques suivantes. Ces API ne fonctionneront pas sur les appareils exécutant Android Q après la mise à niveau Secure Hub pour cibler le niveau d’API Android Q :

• Désactivation de la caméra : contrôle l’accès aux caméras de l’appareil.
• Fonctionnalités Keyguard : fonctions de contrôle liées au verrouillage de l’appareil, telles que la biométrie et les motifs.
• Expiration du mot de passe : force les utilisateurs à modifier leur mot de passe après une heure configurable.
• Limitation du mot de passe : définit des exigences restrictives en matière de mot de passe
• Les API obsolètes n’ont aucun impact sur les appareils inscrits en mode Citrix MAM exclusif.

Avec le besoin croissant d’appareils Android dans le monde de l’entreprise et ses cas d’utilisation grandissants, Google a introduit Android Enterprise avec des modes de gestion modernes : profil professionnel, entièrement géré et appareil dédié. Reportez-vous à ladocumentation destinée aux développeurs Googlepour plus de détails sur les cas d’utilisation et les profils.

Architecture de référence pour Android Enterprise avec Citrix Endpoint Management

Pour inscrire un nouveau client via la console EMM, vous devez créer une entreprise. Dans un déploiement Android Enterprise, une entreprise conserve le contrôle sur divers aspects des appareils utilisateur, tels que l’isolement des informations professionnelles des données personnelles des utilisateurs, la préconfiguration des applications approuvées pour l’environnement ou la désactivation des capacités de l’appareil (par exemple, l’appareil photo). Reportez-vous à ladocumentation Google.

Sur le serveur CEM, vous liez Citrix en tant que partenaire EMM pour Android Enterprise (processus en 3 étapes). CEM crée un compte de service d’entreprise, qui est utilisé pour gérer les données via les API Google Play. L’infrastructure Google Play offre des services qui incluent un magasin de distribution d’applications d’entreprise privée gérée.

Une fois l’intégration configurée, Citrix Endpoint Management et Google Play géré fonctionnent de manière transparente pour sécuriser, configurer et gérer les appareils Android des entreprises et les applications publiques ou d’entreprise requises.

Un administrateur utilise la console EMM pour effectuer une série de tâches, notamment la configuration des paramètres de l’appareil et des applications. Le DPC Secure Hub crée et gère le profil de travail sur le périphérique sur lequel il est installé. Le profil professionnel crypte les informations liées au travail et les sépare des applications et données personnelles des utilisateurs. Avant de créer le profil professionnel, le DPC peut également provisionner un compte Google Play géré pour une utilisation sur l’appareil.

Dans Android Enterprise pour profil professionnel ou appareils entièrement gérés, les utilisateurs reçoivent leurs applications via le Google Play Store géré. Les administrateurs EMM approuvent l’utilisation des applications publiques et peuvent également ajouter des applications privées sur le Google Play Store géré. La liaison OrgID avec Citrix Endpoint Management contrôle la visibilité des applications privées, qui sont approuvées via le magasin Google Play géré, pour les appareils inscrits à cette organisation.

Secure Hub applique les stratégies d’appareil définies par un administrateur afin de répondre aux exigences et contraintes d’une organisation. Par exemple, la stratégie de sécurité peut exiger le verrouillage de ce périphérique après un certain nombre de tentatives de mot de passe échouées. Le DPC interroge la console EMM pour les stratégies actuelles, puis applique les stratégies

Méthodes de provisioning :

Procédé de provisionnement de périphérique entièrement géré

QR code— Les appareils Android 9 et plus ont un lecteur de code QR intégré. Pour cette méthode, l’utilisateur allume simplement l’appareil, appuie six fois sur l’écran d’accueil et scanne le code QR, qui démarre automatiquement le processus d’inscription en se connectant à Google Play pour accéder au profil de gestion.

Android zéro touch— Grâce à l’inscription zéro touch Android, les administrateurs informatiques peuvent créer, modifier et supprimer des configurations UEM. Ce faisant, les appareils ou groupes d’appareils peuvent être expédiés avec l’inscription déjà terminée. Tout ce que l’utilisateur doit faire est d’allumer l’appareil, de se connecter au Wi-Fi et d’entrer son mot de passe.

Jeton EMM— Avec cette méthode, le service informatique d’un utilisateur leur fournit un jeton. Pour Citrix Endpoint Management, le jeton est afw #xenmobile. Ce jeton doit être entré après que le nouvel appareil s’allume lorsque l’utilisateur est invité à indiquer « E-mail ou téléphone ». La saisie du jeton EMM correct télécharge l’application de contrôleur de stratégie de périphérique Citrix Endpoint Management afin que l’utilisateur puisse simplement entrer des informations d’identification pour être configuré.

Bump NFC— La méthode NFC Bump utilise la « Communication en champ proche » pour provisionner le périphérique. En utilisant NFC Bump, le nouvel appareil doit être proche (4 centimètres) d’un autre. L’inscription en masse d’appareils émis par l’entreprise a toujours été un problème majeur pour l’informatique. Avec l’inscription NFC Bump, le service informatique inscrit un périphérique maître, transporte les détails du serveur MDM et appuie simplement sur le périphérique sur d’autres périphériques non inscrits pour démarrer le processus d’inscription automatique. L’inscription en vrac est facile !

方法·德·provisioning BYOD

Outre les options Work Managed ci-dessus, la méthode BYOD est populaire pour les travailleurs qui utilisent un appareil appartenant à des personnes. Avec cette méthode, l’informatique gère les données métiers (le profil professionnel Android), laissant toutes les données personnelles et applications privées. En d’autres termes, l’informatique n’a que la visibilité et le contrôle des applications de travail et rien d’autre. Avec cette méthode, il n’y a pas de gestion des appareils, seulement la gestion des applications mobiles (MAM).

Migrer de l’administration des appareils vers Android Enterprise

Détails du site	Profil d’inscription par défaut	Commentaires/Recommandation
Nouveau site	Android Enterprise — Profil de travail entièrement managé/professionnel	Tous les nouveaux sites sont par défaut Android Enterprise (AE). Recommandation : Configurer AE s’il n’est pas déjà configuré et inscrit des périphériques dans AE, Device Admin est un mode hérité
Site existant avec configuration Android Enterprise (AE)	Android Enterprise — Profil de travail entièrement managé/professionnel	Tous les sites avec AE configurés par défaut sont Android Enterprise. Recommandation : a) Si le site est AE sans inscription Admin de l’appareil — aucun changement n’est requis b) Si le site est inscrit en mode Admin de périphérique, assurez-vous de mettre à jour le profil d’inscription pour ces appareils pour qu’ils pointent vers hérité (administrateur de périphérique)
Site existant PAS de configuration avec Android Enterprise	Ancien (administrateur d’appareil)	Les sites sans configuration Android Enterprise seront par défaut hérités ( administrateur de périphérique). Recommandation : Configurer Android Enterprise et planifier la migration

Android Enterprise inclut la prise en charge des modes d’appareils entièrement gérés et d’appareils avec profil de travail. La publication Google,Android Enterprise Migration Bluebook, explique en détail comment l’administration des appareils d’ancienne génération et des appareils Android Enterprise diffèrent. Nous vous recommandons de lire l’approche de migration de Google. Reportez-vous également aurépertoire des solutions Android Enterprise pour les entreprises倒obtenir la liste des appareils嘴尖r Android qui répondent aux exigences élevées de l’entreprise. Pour plus d’informations, consultezla page produit Android Enterprise de Citrix.

Sources

L’objectif de cette architecture de référence est de vous aider à planifier votre propre implémentation. Pour faciliter ce travail, nous aimerions vous fournir des diagrammes sources que vous pouvez adapter dans vos propres conceptions détaillées et guides d’implémentation :diagrammes source.

Références

Architecture de référence pour les déploiements sur site

Architectures de référence de base de CEM

Document produit CEM pour l’intégration EMS/Intune

Démarrer avec Intune Intune

Guide Google Android Enterprise

Document Google sur la construction DPC

Android Entreprise Migration Bluebook

Répertoire des solutions Android Enterprise

Document produit Android Enterprise de Citrix