Richtlinien für Geräte und Apps

Die Geräte- und App-Richtlinien von Endpoint Management ermöglichen einen optimierten Ausgleich mehrerer Faktoren. Dazu gehören beispielsweise:

  • Unternehmenssicherheit
  • Schutz der Daten und Anlagen von Unternehmen
  • Schutz von Benutzerdaten
  • Produktive und positive Benutzererfahrung

Der optimale Ausgleich dieser Faktoren kann variieren. Stark regulierte Organisationen, beispielsweise im Finanzsektor, benötigen strengere Sicherheitsmechanismen als andere Branchen, z. B. Bildung und Einzelhandel, wo es vor allem auf die Produktivität der Benutzer ankommt.

Durch zentrale Steuerung und Konfiguration von Richtlinien auf der Grundlage von Identität, Geräten, Standort und Verbindungstyp des Benutzers können Sie die missbräuchliche Nutzung von Unternehmensinhalten wirksam einschränken. Falls ein Gerät verloren oder gestohlen wird, können Sie Unternehmensanwendungen und -daten remote deaktivieren, sperren oder löschen. Das Gesamtergebnis ist eine Lösung, mit der die Zufriedenheit und Produktivität der Mitarbeiter erhöht wird, während Sicherheit und administrative Steuerung ebenfalls gewährleistet sind.

Der Hauptschwerpunkt dieses Artikels liegt auf den zahlreichen Geräte- und App-Richtlinien, die in Verbindung mit der Sicherheit konfiguriert werden können.

Richtlinien zur Einschränkung von Sicherheitsrisiken

Die Geräte- und App-Richtlinien von Endpoint Management berücksichtigen zahlreiche Situationen, die ein Sicherheitsrisiko darstellen können. Dazu gehören beispielsweise:

  • Benutzer versuchen, über nicht vertrauenswürdige Geräte oder an unsicheren Standorten auf Apps und Daten zuzugreifen.
  • Benutzer senden Daten von Gerät zu Gerät.
  • Ein nicht autorisierter Benutzer will auf Daten zugreifen.
  • Benutzer, die ihr Privatgerät für die Arbeit verwendet haben (BYOD), verlassen die Firma.
  • Ein Benutzer verlegt ein Gerät.
  • Benutzer müssen immer sicher auf das Netzwerk zugreifen.
  • Benutzer verwenden ein verwaltetes Privatgerät, und Sie müssen Firmendaten von persönlichen Daten trennen.
  • Die Benutzeranmeldeinformationen müssen nach Inaktivität eines Geräts überprüft werden.
  • Benutzer kopieren vertrauliche Inhalte über die Zwischenablage in nicht geschützte E-Mail-Systeme.
  • Benutzer empfangen E-Mail-Anlagen oder Weblinks mit vertraulichen Daten auf einem Gerät, auf dem Privat- und Firmenkonten angelegt sind.

Diese Situationen verweisen auf zwei Hauptbereiche, die beim Schutz von Firmendaten Probleme verursachen können:

  • Datenspeicherung
  • Datenübertragung

Schutz ruhender Daten durch Endpoint Management

Daten, die auf mobilen Geräten gespeichert sind, werden auch ruhende Daten genannt. Die MAM-Funktionen in Endpoint Management ermöglichen die sichere und kontrollierte Verwaltung von mobilen Citrix Produktivitätsapps, MDX-aktivierten Apps und ihrer zugehörigen Daten.

Das SDK für mobile Apps ermöglicht die Bereitstellung von Apps über Endpoint Management mithilfe der Citrix MDX-App-Containertechnologie. Die Containertechnologie trennt auf den Geräten der Benutzer Unternehmens-Apps und -Daten von persönlichen Apps und -Daten. Durch die Trennung der Daten können Sie benutzerdefinierte Apps, Drittanbieter-Apps oder mobile BYO-Apps durch umfassende richtlinienbasierte Steuerelemente sichern.

Zusätzlich zu einer umfangreichen MDX-Richtlinienbibliothek bietet Endpoint Management auch eine Verschlüsselung auf App-Ebene. Endpoint Management verschlüsselt die in einer MDX-aktivierten App gespeicherten Daten separat und ohne erforderlichen PIN-Code des Gerätes. Sie müssen das Gerät auch nicht verwalten, um die Richtlinie umsetzen zu können.

Richtlinien und das Mobile Apps SDK ermöglichen Folgendes:

  • Geschäftliche und private Apps und Daten werden separat in einem sicheren mobilen Container gespeichert.
  • Sichere Apps durch Verschlüsselung und andere Technologien zum Verhindern von Datenverlust bei mobilen Daten.

MDX-Richtlinien bieten viele Steuerelemente, die die nahtlose Integration zwischen mit MDX umschlossenen Apps ermöglichen und gleichzeitig die gesamte Kommunikation steuern. Auf diese Weise können Sie Richtlinien erzwingen und beispielsweise sicherstellen, dass nur MDX-aktivierte Apps auf Daten zugreifen können.

Neben der Steuerung von Geräte- und App-Richtlinien lassen sich ruhende Daten am besten über eine Verschlüsselung schützen.

  • Endpoint Management fügt allen Daten, die in einer MDX-aktivierten App gespeichert sind, eine Verschlüsselungsebene hinzu.
  • Mithilfe von Richtlinien können Sie Features wie Verschlüsselung öffentlicher Dateien, Verschlüsselung privater Dateien und Ausnahmen für Dateiverschlüsselung steuern.
  • Das Mobile Apps SDK verwendet FIPS 140-2-konforme AES-256-Bit-Verschlüsselung mit Schlüsseln, die in einem geschützten Citrix Geheimtresor gespeichert sind.

Schutz von Daten im Übertragungsprozess durch Endpoint Management

Daten, die zwischen Mobilgeräten des Benutzers und dem internen Netzwerk übertragen werden, heißen auch Daten im Übertragungsprozess. MDX-App-Container ermöglichen einen anwendungsspezifischen VPN-Zugriff auf Ihr internes Netzwerk über Citrix Gateway.

Nehmen Sie folgendes Beispiel: Ein Mitarbeiter möchte über ein mobiles Gerät auf folgende Ressourcen im sicheren Unternehmensnetzwerk zugreifen – den E-Mail-Server des Unternehmens, eine SSL-fähige Webanwendung im Intranet des Unternehmens und gespeicherte Dokumente auf einem Dateiserver oder Microsoft SharePoint. MDX ermöglicht den Zugriff auf diese Unternehmensressourcen von mobilen Geräten über ein anwendungsspezifisches Micro-VPN. Jedes Gerät nutzt einen eigenen Micro-VPN-Tunnel.

Für die Micro-VPN-Funktionalität ist kein geräteübergreifendes VPN erforderlich, welches die Sicherheit auf nicht vertrauenswürdigen Mobilgeräten einschränken kann. Das interne Netzwerk ist keiner Schadsoftware und keinen Angriffen ausgesetzt, die das gesamte Unternehmenssystem infizieren können. Geschäftliche und private mobile Apps können nebeneinander auf dem Gerät existieren.

Um eine noch höhere Sicherheitsstufe anzubieten, können Sie für MDX-aktivierte Apps eine Richtlinie mit Alternativem Citrix Gateway konfigurieren. Diese Richtlinie wird für die Authentifizierung und Micro-VPN-Sitzungen einer App verwendet. Sie können ein Alternatives Citrix Gateway mit der Richtlinie “Micro-VPN-Sitzung erforderlich” verwenden, um eine erneute Authentifizierung von Apps bei dem spezifischen Gateway zu erzwingen. Solche Gateways haben normalerweise unterschiedliche (höhere Sicherheit) Authentifizierungsanforderungen und Datenverwaltungsrichtlinien.

Neben Sicherheitsfeatures bietet Micro-VPN Komprimierungsalgorithmen und andere Datenoptimierungstechniken. Komprimierungsalgorithmen stellen sicher, dass:

  • nur die Mindestmenge an Daten übertragen wird
  • die Übertragung in der schnellstmöglichen Zeit erfolgt. Die Geschwindigkeit verbessert die Benutzererfahrung und ist ein wichtiger Erfolgsfaktor bei der Akzeptanz mobiler Geräte.

Überprüfen Sie Ihre Geräterichtlinien in regelmäßigen Abständen, zum Beispiel in folgenden Situationen:

  • Eine neue Version von Endpoint Management umfasst neue oder aktualisierte Richtlinien aufgrund veröffentlichter Gerätebetriebssystemupdates.
  • Sie fügen einen neuen Gerätetyp hinzu. Obwohl viele Richtlinien für alle Geräte gelten, gibt es für jedes Gerät einen betriebssystemspezifischen Richtliniensatz. Daher gibt es möglicherweise Unterschiede zwischen iOS-, Android- und Windows-Geräten und sogar zwischen Android-Geräten verschiedener Hersteller.
  • Sie möchten Endpoint Management mit unternehmens- oder branchenspezifischen Änderungen synchronisieren, beispielsweise mit neuen Konformitätsanforderungen oder Sicherheitsrichtlinien im Unternehmen.
  • Eine neue Version des MDX Service enthält neue oder aktualisierte Richtlinien.
  • Sie möchten eine App hinzufügen oder aktualisieren.
  • Zum Integrieren neuer Workflows für Ihre Benutzer aufgrund neuer Apps oder Anforderungen.

Szenarios für App-Richtlinien und Anwendungsfälle

Sie können zwar auswählen, welche Apps über Secure Hub verfügbar sind, vielleicht möchten Sie aber auch die Interaktion dieser Apps mit Endpoint Management definieren. Verwenden Sie App-Richtlinien:

  • Wenn Sie möchten, dass sich Benutzer nach einem bestimmten Zeitraum authentifizieren.
  • Wenn Sie Benutzern Offlinezugriff auf ihre Daten gewähren möchten.

Die folgenden Abschnitte enthalten einige der Richtlinien und Einsatzbeispiele. Eine Liste aller MDX-Richtlinien pro Plattform finden Sie unter MDX-Richtlinien auf einen Blick.

Authentifizierungsrichtlinien

  • Gerätepasscode

    Verwendungszweck dieser Richtlinie: Aktivieren Sie die Passcoderichtlinie für Geräte, um festzulegen, dass ein Benutzer nur dann auf eine MDX-App zugreifen kann, wenn das Gerät eine aktivierte Geräte-PIN hat. Dieses Feature gewährleistet die Verwendung der iOS-Verschlüsselung auf Geräteebene und für den MDX-Container.

    Benutzerbeispiel: Bei Aktivieren dieser Richtlinie müssen Benutzer einen PIN-Code auf ihrem iOS-Gerät festlegen, bevor sie auf die MDX-App zugreifen können.

  • App-Passcode

    Verwendungszweck dieser Richtlinie: Aktivieren Sie die Richtlinie für App-Passcodes, damit Benutzer in Secure Hub aufgefordert werden, sich bei der verwalteten App zu authentifizieren, bevor sie die App öffnen und auf Daten zugreifen können. Benutzer können sich über ihr Active Directory-Kennwort, die Citrix-PIN oder die iOS Touch ID authentifizieren, je nachdem, was Sie in der Endpoint Management-Konsole unter Einstellungen > Clienteigenschaften konfigurieren. Sie können unter “Clienteigenschaften” einen Inaktivitätstimer festlegen, damit Secure Hub Benutzer erst nach Ablauf des Timers zur erneuten Authentifizierung bei der verwalteten App auffordert.

    Der App-Passcode unterscheidet sich von einem Gerätepasscode. Wenn eine Geräte-Passcoderichtlinie an ein Gerät übertragen wird, fordert Secure Hub den Benutzer auf, einen Passcode oder eine PIN zu konfigurieren. Der Benutzer muss sein Gerät beim Einschalten bzw. nach Ablauf des Inaktivitäts-Timers entsperren. Weitere Informationen finden Sie unter Authentifizierung in Endpoint Management.

    Benutzerbeispiel: Beim Öffnen von Citrix Secure Web auf dem Gerät müssen Benutzer nach Ablauf des Inaktivitätszeitraums ihre Citrix-PIN eingeben, bevor sie Websites durchsuchen können.

  • Micro-VPN-Sitzung erforderlich

    Verwendungszweck dieser Richtlinie: Wenn eine Anwendung zur Ausführung Zugriff auf eine Web-App (Webdienst) benötigt, aktivieren Sie diese Richtlinie. Endpoint Management fordert den Benutzer dann auf, sich mit dem Unternehmensnetzwerk zu verbinden oder eine aktive Sitzung zu erstellen, bevor er die App verwendet.

    Benutzerbeispiel: Wenn Benutzer eine MDX-App öffnen, für die die Richtlinie “Micro-VPN-Sitzung erforderlich” aktiviert ist, können sie die App erst dann verwenden, wenn sie eine Verbindung mit dem Netzwerk herstellen. Die Verbindung muss über einen Mobilfunk- oder Wi-Fi-Dienst erstellt werden.

  • Maximale Offlinezeit

    Verwendungszweck dieser Richtlinie: Verwenden Sie diese Richtlinie als zusätzliche Sicherheitsoption. Die Richtlinie sorgt dafür, dass Benutzer, die eine App eine bestimmte Zeitlang offline ausführen, den App-Anspruch erneut bestätigen und Richtlinien aktualisieren müssen.

    Benutzerbeispiel: Wenn Sie eine MDX-App mit maximaler Offlinezeit konfigurieren, kann der Benutzer die App bis zum Ablauf des Offlinetimers offline verwenden. Anschließend muss der Benutzer sich per Mobilnetz oder Wi-Fi-Dienst mit dem Netzwerk verbinden und sich auf Aufforderung erneut authentifizieren.

Weitere Zugriffsrichtlinien

  • Kulanzzeitraum für App-Update (Stunden)

    Verwendungszweck dieser Richtlinie: Der Kulanzzeitraum für App-Updates ist die Zeitdauer, vor deren Ablauf Benutzer eine App aktualisieren müssen, deren neue Version im App-Store veröffentlicht wurde. Ist die Zeit abgelaufen, müssen Benutzer die App aktualisieren, bevor sie Zugriff auf die Daten in der App erhalten. Berücksichtigen Sie beim Festlegen dieses Werts die Anforderungen Ihrer mobilen Mitarbeiter, insbesondere von Benutzern, die aufgrund von Auslandsreisen längere Zeit offline sind.

    Benutzerbeispiel: Sie laden eine neue Version von Secure Mail in den App-Store und definieren einen Kulanzzeitraum für das App-Update von 6 Stunden. Secure Hub-Benutzer haben dann sechs Stunden Zeit, um Secure Mail zu aktualisieren, bevor sie zum App-Store weitergeleitet werden.

  • Aktives Abfrageintervall (Minuten)

    Verwendungszweck der Richtlinie: Das aktive Abfrageintervall ist der Zeitraum, in dem Endpoint Management prüft, wann für eine App notwendige Sicherheitsaktionen wie App sperren und App löschen durchzuführen sind.

    Benutzerbeispiel: Wenn Sie die Richtlinie für das aktive Abfrageintervall auf 60 Minuten festlegen und dann den Befehl zur App-Sperre senden, erfolgt die Sperre innerhalb von 60 Minuten nach der letzten Abfrage.

Verschlüsselungsrichtlinien

Verwendungszweck dieser Richtlinie: Endpoint Management enthält einen Geheimtresor mit einer starken Verschlüsselungsebene, über die mobile Citrix Produktivitätsapps vertrauliche Daten speichern. Die Daten, beispielsweise Kennwörter und Schlüssel, werden auf dem Gerät ohne Abhängigkeit von den plattformnativen Schlüsselspeichern verschlüsselt. Wenn das Gerät also manipuliert wird, bleiben die Unternehmensdaten im MDX-Container verschlüsselt. Endpoint Management verfremdet die Daten, bevor sie den Container verlassen.

Benutzerbeispiel: Falls der Gerätebesitzer keine Geräte-PIN festgelegt hat oder die Geräte-PIN entschlüsselt wird, bleiben die Unternehmensdaten im Secure Hub-Container sicher.

App-Interaktionsrichtlinien

Verwendungszweck dieser Richtlinien: Verwenden Sie App-Interaktionsrichtlinien, um den Daten- und Dokumentenfluss von MDX-Apps zu anderen Apps auf dem Gerät zu steuern. Beispielsweise können Sie verhindern, dass ein Benutzer:

  • Daten in persönliche Apps außerhalb des Containers verschiebt
  • Daten von außerhalb des Containers in die Apps im Container einfügt

Benutzerbeispiel: Sie wählen für eine App-Interaktionsrichtlinie die Einstellung “Eingeschränkt”. Benutzer können Texte dann von Secure Mail in Secure Web kopieren. Sie können sie aber nicht in ihren persönlichen Safari- oder Chrome-Browser außerhalb des Containers kopieren. Benutzer können außerdem Dokumente im Anhang aus Secure Mail in Citrix Files oder QuickEdit öffnen. Sie können angehängte Dokumente nicht in ihren eigenen Apps zur Dateianzeige außerhalb des Containers öffnen.

App-Einschränkungsrichtlinien

Verwendungszweck dieser Richtlinien: Mit App-Einschränkungsrichtlinien legen Sie fest, auf welche Features Benutzer aus einer geöffneten MDX-App heraus zugreifen können. Diese Einschränkungen sind hilfreich, um schädliche Aktivitäten zu verhindern, während die App ausgeführt wird. Die App-Einschränkungsrichtlinien von iOS und Android unterscheiden sich leicht. In iOS können Sie beispielsweise den Zugriff auf iCloud blockieren, während die MDX-App ausgeführt wird. In Android können Sie NFC blockieren, während die MDX-App ausgeführt wird.

Benutzerbeispiel: Wenn Sie beispielsweise die App-Einschränkungsrichtlinie zum Blockieren des Diktierfunktion auf iOS in einer MDX-App aktivieren, können Benutzer diese Funktion nicht auf der iOS-Tastatur verwenden, während die MDX-App ausgeführt wird. Diktierte Daten können damit nicht an den unsicheren Cloud-Diktierdienst eines Drittanbieters weitergegeben werden. Wenn Benutzer ihre persönliche App außerhalb des Containers öffnen, können sie die Diktierfunktion weiterhin für ihre persönliche Kommunikation nutzen.

Richtlinien für den App-Netzwerkzugriff

Verwendungszweck dieser Richtlinien: Mit den Richtlinien für den App-Netzwerkzugriff ermöglichen Sie den Zugriff aus einer MDX-App im Container auf dem Gerät auf Daten in Ihrem Unternehmensnetzwerk. Verwenden Sie die Option Tunnel zum internen Netzwerk, um ein automatisiertes Micro-VPN von der MDX-App über Citrix Gateway zu einem Backend-Webdienst oder -Datenspeicher einzurichten.

Benutzerbeispiel: Wenn ein Benutzer eine MDX-App mit aktivierter Tunnelfunktion öffnet, öffnet der Browser eine Intranetsite, ohne dass der Benutzer ein VPN starten muss. Die App greift automatisch über das Micro-VPN auf die Intranetsite zu.

Richtlinien für App-Geolocation/-Geofencing

Verwendungszweck dieser Richtlinien: Mit diesen Richtlinien steuern Sie App-Geolocation/-Geofencing und legen Einstellungen wie Längengrad von Mittelpunkt, Breitengrad von Mittelpunkt und Radius fest. Die Richtlinien beschränken den Zugriff auf Daten in MDX-Apps auf einen bestimmten geografischen Bereich. Die Richtlinien definieren einen geografischen Bereich durch einen Radius mit Koordinaten für Längen- und Breitengrad. Wenn ein Benutzer versucht, eine App außerhalb des definierten Radius zu verwenden, bleibt die App gesperrt und der Benutzer hat keinen Zugriff auf die App-Daten.

Benutzerbeispiel: Ein Benutzer kann auf Daten zu Fusionen und Übernahmen zugreifen, während er sich im Büro befindet. Sobald er seinen Bürostandort verlässt, hat er keinen Zugriff auf diese vertraulichen Daten.

Secure Mail-App-Richtlinien

  • Hintergrundnetzwerkdienste

    Verwendungszweck dieser Richtlinie: Hintergrundnetzwerkdienste in Secure Mail verwenden Secure Ticket Authority (STA), eine Art SOCKS5-Proxy, um über Citrix Gateway eine Verbindung herzustellen. STA unterstützt längere Verbindungen und bietet eine bessere Akkulaufzeit im Vergleich zu Micro-VPN. STA ist daher ideal für E-Mail-Programme, die eine ständige Verbindung benötigen. Citrix empfiehlt, dass Sie diese Einstellungen für Secure Mail konfigurieren. Der NetScaler für XenMobile-Assistent richtet STA für Secure Mail automatisch ein.

    Benutzerbeispiel: Wenn STA nicht aktiviert ist, werden Android-Benutzer beim Öffnen von Secure Mail aufgefordert, ein VPN zu öffnen, das dann auf dem Gerät geöffnet bleibt. Wenn STA aktiviert ist, wird beim Öffnen von Secure Mail durch Android-Benutzer sofort eine Verbindung hergestellt und es ist kein VPN erforderlich.

  • Standardsynchronisierungsintervall

    Verwendungszweck dieser Richtlinie: Mit dieser Einstellung wird die Standardanzahl von Tagen festgelegt, für die eine E-Mail-Synchronisierung mit Secure Mail erfolgt, wenn ein Benutzer das erste Mal auf Secure Mail zugreift. Die Synchronisierung von E-Mails aus zwei Wochen dauert länger als die aus drei Tagen. Mehr zu synchronisierende Daten verlängern den Einrichtungsprozess für den Benutzer.

    Benutzerbeispiel: Angenommen, das Standardsynchronisierungsintervall wurde bei der Ersteinrichtung von Secure Mail auf drei Tage festgelegt. Der Benutzer sieht alle E-Mails in seinem Posteingang, die er in den letzten drei Tagen erhalten hat. Wenn ein Benutzer E-Mails anzeigen möchte, die älter als drei Tage sind, kann er eine Suche durchführen. Secure Mail zeigt dann auch ältere E-Mails an, die auf dem Server gespeichert sind. Nach der Installation von Secure Mail kann jeder Benutzer diese Einstellung an seine Anforderungen anpassen.

Geräterichtlinien und Anwendungsverhalten

Geräterichtlinien (gelegentlich auch als MDM-Richtlinien bezeichnet) legen fest, wie Endpoint Management Geräte verwaltet. Obwohl viele Richtlinien für alle Geräte gelten, gibt es für jedes Gerät einen betriebssystemspezifischen Richtliniensatz. Die folgende Liste enthält einige dieser Geräterichtlinien und erläutert, wie sie verwendet werden. Eine Liste aller Geräterichtlinien finden Sie unter Geräterichtlinien.

  • App-Bestandsrichtlinie

    Verwendungszweck dieser Richtlinie: Um sämtliche von einem Benutzer installierten Apps anzuzeigen, stellen Sie die App-Bestandsrichtlinie auf einem Gerät bereit. Wenn Sie die Richtlinie nicht bereitstellen, können Sie nur die vom Benutzer aus dem App-Store installierten Apps anzeigen, nicht jedoch persönlich installierte Apps. Verwenden Sie die App-Bestandsrichtlinie, wenn Sie bestimmte Apps auf Unternehmensgeräten sperren möchten.

    Benutzerbeispiel: Benutzer mit einem MDM-verwalteten Gerät können diese Funktion nicht deaktivieren. Die persönlich installierten Anwendungen des Benutzers sind für Endpoint Management-Administratoren sichtbar.

  • App-Sperre

    Verwendungszweck dieser Richtlinie: Mit der App-Sperre können Sie in Android Sperr- oder Positivlisten für Apps einrichten. Für zulässige Apps können Sie beispielsweise ein Kioskgerät konfigurieren. Normalerweise stellen Sie die Richtlinie mit App-Sperre nur auf Unternehmensgeräten bereit, da sie einschränkt, welche Apps von Benutzern installiert werden können. Sie können ein Kennwort festlegen, mit dem Benutzer die Sperre außer Kraft setzen und auf blockierte Apps zugreifen können.

    Benutzerbeispiel: Sie möchten eine App-Sperr-Richtlinie bereitstellen, um die “Angry Birds”-App zu blockieren. Benutzer können “Angry Birds” dann zwar von Google Play herunterladen und installieren, beim Öffnen der App erhalten sie jedoch eine Nachricht, dass die App vom Administrator blockiert wurde.

  • Verbindungszeitplanrichtlinie

    Verwendungszweck dieser Richtlinie: Die Verbindungszeitplanrichtlinie ermöglicht es Windows Mobile-Geräten, für Funktionen wie MDM-Verwaltung, App-Push und Richtlinienbereitstellung eine Verbindung mit Endpoint Management herzustellen. Verwenden Sie stattdessen Google Firebase Cloud Messaging (FCM) für Android-, Android Enterprise- und Chrome OS-Geräte. FCM steuert Verbindungen mit Endpoint Management. Es gibt folgende Verbindungszeitplanptionen:

    • Nie: Die Verbindung muss manuell hergestellt werden. Die Benutzer müssen die Verbindung mit Endpoint Management auf ihrem Gerät herstellen. Citrix empfiehlt, diese Option nicht für Produktionsumgebungen zu verwenden, da sie die Bereitstellung von Sicherheitsrichtlinien auf Geräten verhindert. Benutzer erhalten dann keine neuen Apps und Richtlinien. Die Option Nie ist standardmäßig aktiviert.

    • Alle: Die Verbindung wird in dem hier ausgewählten Intervall hergestellt. Wenn Sie eine Sicherheitsrichtlinie wie eine Sperrung oder eine Datenlöschung senden, verarbeitet Endpoint Management die Richtlinie auf dem Gerät, wenn das Gerät das nächste Mal eine Verbindung herstellt.

    • Zeitplan festlegen: Endpoint Management versucht nach einer Netzwerkverbindungsunterbrechung eine Wiederherstellung der Verbindung zwischen Benutzergerät und Endpoint Management-Server. Endpoint Management überwacht die Verbindung durch regelmäßige Übertragung von Kontrollpaketen in dem von Ihnen festgelegten Zeitrahmen.

    Benutzerbeispiel: Sie möchten eine Passcoderichtlinie auf registrierten Geräten bereitstellen. Die Zeitplanrichtlinie gewährleistet, dass die Geräte sich in regelmäßigen Abständen erneut mit dem Server verbinden, um die neue Richtlinie abzufragen.

  • Anmeldeinformationen

    Verwendungszweck dieser Richtlinie: Diese Richtlinie wird oft mit einer Wi-Fi-Richtlinie verwendet. Sie ermöglicht es Ihnen, Authentifizierungszertifikate bereitzustellen, die für die Authentifizierung bei internen Ressourcen benötigt werden, die eine Zertifikatauthentifizierung erfordern.

    Benutzerbeispiel: Sie stellen eine Wi-Fi-Richtlinie bereit, um ein Drahtlosnetzwerk auf dem Gerät zu konfigurieren. Das Wi-Fi-Netzwerk erfordert ein Zertifikat für die Authentifizierung. Die Anmeldeinformationsrichtlinie stellt ein Zertifikat bereit, das dann im Schlüsselspeicher des Betriebssystems gespeichert wird. Benutzer können das Zertifikat dann beim Verbindungsaufbau mit der internen Ressource auswählen.

  • Exchange-Richtlinie

    Verwendungszweck dieser Richtlinie: Endpoint Management bietet zwei Optionen zum Bereitstellen von E-Mail mit Microsoft Exchange ActiveSync.

    • Secure Mail-App: Versand von E-Mails mit der Secure Mail-App, die Sie über den öffentlichen App-Store oder den App-Store verteilen.

    • Systemeigene E-Mail-App: Aktiviert ActiveSync-E-Mail für den systemeigenen E-Mail-Client auf dem Gerät. Sie können mit Makros die Benutzerdaten aus den Active Directory-Attributen übernehmen, z. B. ${user.username} für den Benutzernamen und ${user.domain} für die Benutzerdomäne.

    Benutzerbeispiel: Beim Bereitstellen der Exchange-Richtlinie senden Sie Exchange Server-Informationen an das Gerät. Der Benutzer wird dann von Secure Hub zur Authentifizierung aufgefordert, und die E-Mail-Synchronisierung wird gestartet.

  • Standort-/Ortungsrichtlinie

    Verwendungszweck dieser Richtlinie: Mit dieser Richtlinie können Sie den Standort von Geräten auf einer Karte abrufen, vorausgesetzt auf dem Gerät ist GPS für Secure Hub aktiviert. Wenn Sie nach dem Bereitstellen der Richtlinie einen Ortungsbefehl von Endpoint Management senden, antwortet das Gerät mit den Standortkoordinaten.

    Benutzerbeispiel: Wenn Sie die Standort-/Ortungsrichtlinie bereitstellen und GPS auf dem Gerät aktiviert ist, können Benutzer sich bei Verlust ihres Geräts beim Endpoint Management-Selbsthilfeportal anmelden und mit der Option “Orten” den Standort des Geräts auf einer Karte anzeigen. Die Benutzer entscheiden, ob Secure Hub Ortungsdienste verwenden darf. Sie können den Einsatz von Positionsdiensten nicht erzwingen, wenn Benutzer ein Gerät selbst registrieren. Die Auswirkung dieser Richtlinie auf die Akkulaufzeit ist ebenfalls zu berücksichtigen.

  • Passcoderichtlinie

    Verwendungszweck dieser Richtlinie: Mit einer Passcoderichtlinie können Sie einen PIN-Code oder ein Kennwort auf einem verwalteten Gerät durchsetzen. Sie können in der Passcoderichtlinie die Komplexität des Passcodes und Timeouts auf dem Gerät einstellen.

    Benutzerbeispiel: Wenn Sie eine Passcoderichtlinie auf einem verwalteten Gerät bereitstellen, fordert Secure Hub den Benutzer auf, einen Passcode oder eine PIN zu konfigurieren. Mit dem Passcode bzw. der PIN erhält der Benutzer während des Startvorgangs oder nach Ablauf des Inaktivitäts-Timers Zugriff auf sein Gerät.

  • Profilentfernungsrichtlinie

    Verwendungszweck dieser Richtlinie: Sie stellen eine Richtlinie für eine Gruppe von Benutzern bereit und müssen später die Richtlinie aus einer Untergruppe der Benutzer entfernen. Sie können die Richtlinie für ausgewählte Benutzer mithilfe der Profilentfernungsrichtlinie entfernen. Verwenden Sie dann Bereitstellungsregeln, um die Profilentfernungsrichtlinie nur für bestimmte Benutzer bereitzustellen.

    Benutzerbeispiel: Das Bereitstellen einer Profilentfernungsrichtlinie auf Benutzergeräten fällt Benutzern u. U. überhaupt nicht auf. Wird mit der Profilentfernungsrichtlinie beispielsweise die Einschränkung entfernt, die bislang den Einsatz der Gerätekamera verhinderte, bemerkt der Benutzer diese Änderung nicht. Überlegen Sie, ob Sie Benutzer informieren, wenn Änderungen sich auf ihre Benutzererfahrung auswirken.

  • Einschränkungsrichtlinie

    Verwendungszweck dieser Richtlinie: Über die Einschränkungsrichtlinie können Sie Features und Funktionalität auf verwalteten Geräten auf vielfältige Weise sperren und steuern. Sie können hunderte von Einschränkungsoptionen für unterstützte Geräte aktivieren. Einschränkungsoptionen sind beispielsweise das Deaktivieren der Kamera oder des Mikrofons auf einem Gerät, das Durchsetzen von Roamingregeln und ein gesteuerter Zugriff auf Drittanbieterdienste wie App-Stores.

    Benutzerbeispiel: Wenn Sie eine Einschränkung auf einem iOS-Gerät bereitstellen, können Benutzer u. U. nicht auf iCloud oder den Apple App Store zugreifen.

  • AGB-Richtlinie

    Verwendungszweck dieser Richtlinie: Benutzer müssen möglicherweise auf rechtliche Auswirkungen hingewiesen werden, die sich aus der Verwaltung ihres Geräts ergeben. Darüber hinaus sollten Sie Benutzer informieren, welche Sicherheitsrisiken mit dem Bereitstellen von Unternehmensdaten auf dem Gerät verbunden sind. Das Dokument mit den AGB ermöglicht Ihnen die Veröffentlichung von Regeln und Hinweisen, bevor der Benutzer sich registriert.

    Benutzerbeispiel: Ein Benutzer sieht die AGB-Informationen während der Registrierung. Wenn er die Bedingungen nicht akzeptiert, wird die Registrierung beendet und er erhält keinen Zugriff auf Unternehmensdaten. Sie können Berichte für Personal- und Rechtsabteilung oder das Compliance-Team generieren, um anzuzeigen, wer die Nutzungsbedingungen akzeptiert oder abgelehnt hat.

  • VPN-Richtlinie

    Verwendungszweck dieser Richtlinie: Mit der VPN-Richtlinie gewähren Sie Zugriff auf Backend-Systeme mit älterer VPN-Gatewaytechnologie. Die Richtlinie unterstützt diverse VPN-Anbieter, einschließlich Cisco AnyConnect, Juniper und Citrix VPN. Die Richtlinie kann auch mit einer Zertifizierungsstelle verbunden werden und VPN bei Bedarf aktivieren, falls das VPN-Gateway diese Option unterstützt.

    Benutzerbeispiel: Bei aktivierter VPN-Richtlinie öffnet das Gerät eines Benutzers eine VPN-Verbindung, wenn der Benutzer auf eine interne Domäne zugreift.

  • Webclip-Richtlinie

    Verwendungszweck dieser Richtlinie: Mit dieser Richtlinie können Sie auf Geräten ein Symbol bereitstellen, das direkten Zugriff auf eine Website ermöglicht. Ein Webclip enthält einen Link zu einer Website und kann ein benutzerdefiniertes Symbol umfassen. Auf einem Gerät sieht ein Webclip wie ein App-Symbol aus.

    Benutzerbeispiel: Ein Benutzer kann durch Klicken auf ein Webclip-Symbol eine Website öffnen, um Zugriff auf benötigte Services zu erhalten. Der Einsatz eines Weblinks ist benutzerfreundlicher als die Eingabe einer Linkadresse im Browser.

  • Wi-Fi-Richtlinie

    Verwendungszweck dieser Richtlinie: Mit der Wi-Fi-Richtlinie können Sie auf einem verwalteten Gerät Wi-Fi-Netzwerkangaben wie SSID, Authentifizierungs- und Konfigurationsdaten bereitstellen.

    Benutzerbeispiel: Wenn Sie die Wi-Fi-Richtlinie bereitstellen, verbindet sich das Gerät automatisch mit dem Wi-Fi-Netzwerk und authentifiziert den Benutzer, der damit Zugriff auf das Netzwerk erhält.

  • Richtlinie zu Windows Information Protection (WIP)

    Verwendungszweck dieser Richtlinie: Verwenden Sie die Windows Information Protection (WIP)-Richtlinie zum Schutz von Unternehmensdaten vor Verlust. Sie können angeben, welche Apps Windows Information Protection erfordern, und eine Erzwingungsstufe festlegen. Sie können beispielsweise jede unangemessene Datenfreigabe blockieren, vor einer unangemessenen Datenfreigabe warnen und Benutzern ermöglichen, die Richtlinie außer Kraft zu setzen. Sie können WIP im Hintergrund ausführen und unangemessene Datenfreigaben zulassen und protokollieren.

    Benutzerbeispiel: Sie möchten die WIP-Richtlinie so konfigurieren, dass eine unangemessene Datenfreigabe blockiert wird. Wenn ein Benutzer eine geschützte Datei kopiert oder an einem nicht geschützten Speicherort speichert, wird diese oder eine ähnliche Meldung angezeigt: Geschützte Arbeitsinhalte können nicht an diesem Ort abgelegt werden.

  • Endpoint Management Store-Richtlinie

    Verwendungszweck dieser Richtlinie: Der App-Store ist ein einheitlicher App-Store, in dem Administratoren alle Unternehmensressourcen wie Apps und Daten veröffentlichen können, die von Benutzern benötigt werden. Ein Administrator kann Folgendes hinzufügen:

    • Web-Apps, SaaS-Anwendungen, MDX-umschlossene Apps
    • Mobile Produktivitätsapps von Citrix
    • Native mobile Apps wie IPA- oder APK-Dateien
    • Apps aus dem Apple Store und Google Play
    • Weblinks
    • Mit Citrix StoreFront veröffentlichte Citrix Virtual Apps

    Benutzerbeispiel: Nachdem Benutzer ihr Gerät bei Endpoint Management registriert hat, können sie über Citrix Secure Hub oder (bei Verwendung von Citrix Workspace) über den Workspace auf den App-Store zugreifen. Sie können dann alle verfügbaren Unternehmensapps und -dienste anzeigen. Benutzer können Apps per Mausklick installieren, auf Daten zugreifen, Apps bewerten und App-Updates aus dem App-Store herunterladen.