Citrix Endpoint Management

Verwaltungsmodi

Der Begriff “Verwaltungsmodus” bezieht sich auf Mobile Device Management (MDM) und Mobile App Management (MAM). Sie können Folgendes konfigurieren:

  • Registrierungsprofile zur Registrierung von Android- und iOS-Geräte bei MDM, MAM oder beidem (MDM+MAM). Wenn Sie MDM+MAM wählen, können Sie den Benutzern die Möglichkeit geben, MDM abzuwählen.
  • Registrierungsprofile zum Registrieren von Windows 10- und Windows 11-Geräten bei MDM.

Sie geben Registrierungsoptionen in Registrierungsprofilen an, die Sie Bereitstellungsgruppen anfügen. Weitere Informationen über Registrierungsoptionen finden Sie unter Registrierungsprofile. In den folgenden Abschnitten geht es um Überlegungen zur Verwaltung von Geräten und Apps.

Mobilgeräteverwaltung (MDM)

Mit MDM können Sie Mobileräte konfigurieren, schützen und betreuen. Mit MDM können Sie Geräte und Daten auf Geräten auf Systemebene schützen. Sie können Richtlinien, Aktionen und Sicherheitsfunktionen konfigurieren. Sie können beispielsweise ein Gerät selektiv löschen, wenn es verloren oder gestohlen wurde oder nicht mehr richtlinientreu ist.

Auch wenn Sie sich gegen eine Verwaltung von Apps auf Geräten entscheiden, können Sie Apps bereitstellen, z. B. aus einem öffentlichen App-Store oder Unternehmensapps.

MDM empfiehlt sich generell für folgende Szenarien:

  • MDM ist eine Überlegung für unternehmenseigene Geräte, bei denen Verwaltungsrichtlinien auf Geräteebene oder bestimmte Einschränkungen erforderlich sind. Zu solchen Einschränkungen gehören vollständiges oder selektives Löschen und Geolocation.
  • Wenn Kunden die Verwaltung eines Geräts, jedoch keine MDX-Richtlinien benötigen.
  • E-Mail muss nur an die nativen E-Mail-Clients auf den Mobilgeräten übermittelt werden und Exchange ActiveSync oder Clientzugriffsserver steht bereits extern zur Verfügung. In diesem Fall können Sie mit MDM die E-Mail-Zustellung konfigurieren.
  • Es werden native Enterprise-Apps (nicht-MDX), Apps aus öffentlichen App-Stores oder MDX-Apps aus öffentlichen Stores bereitgestellt. Es ist zu beachten, dass eine MDM-Lösung allein nicht unbedingt Datenlecks zwischen Apps auf Geräten verhindert. Datenlecks können beim Kopieren und Einfügen oder der Verwendung der Option “Speichern unter” in Office 365-Apps auftreten.

Mobilanwendungsverwaltung (MAM)

Im MAM-Modus werden App-Daten geschützt und Sie können die App-Datenfreigabe steuern. Außerdem können Sie im MAM-Modus Unternehmensdaten und -ressourcen getrennt von personenbezogenen Daten verwalten. Wenn Citrix Endpoint Management für MAM konfiguriert ist, können Sie MDX-aktivierte mobile Apps für die Containerization und Steuerung auf App-Basis verwenden.

Durch die Nutzung von MDX-Richtlinien können Netzwerkzugriff (z. B. Micro-VPN), App- und Geräteinteraktion und App-Zugriff in Citrix Endpoint Management auf App-Ebene gesteuert werden.

Die Mobilanwendungsverwaltung eignet sich häufig für BYOD-Geräte, da Unternehmensdaten geschützt werden, obwohl die Geräte nicht verwaltet werden. MDX hat viele Nur-MAM-Richtlinien, die kein MDM-Steuerelement erfordern.

MAM unterstützt auch die mobilen Citrix Produktivitätsapps. Die Unterstützung umfasst Folgendes:

  • Sichere E-Mail-Zustellung an Citrix Secure Mail
  • Datenaustausch zwischen den geschützten mobilen Citrix Produktivitätsapps
  • Sichere Datenspeicherung in Citrix Files.

Weitere Informationen finden Sie unter Mobile Produktivitätsapps.

Der MAM-Modus ist in folgenden Situationen häufig geeignet:

  • Es werden mobile Apps (z. B. MDX-Apps) bereitgestellt, die auf App-Ebene verwaltet werden.
  • Eine Geräteverwaltung auf Systemebene ist nicht erforderlich.

MDM+MAM

Sie können in Citrix Endpoint Management angeben, ob Benutzer die Geräteverwaltung abwählen können. Diese Flexibilität ist für Umgebungen mit unterschiedlichen Anwendungsfällen nützlich. In einer solchen Umgebung kann die Verwaltung eines Geräts über MDM-Richtlinien für den Zugriff auf MAM-Ressourcen erforderlich sein.

Der MDM + MAM-Modus eignet sich für folgende Situationen:

  • Es werden sowohl MDM als auch MAM benötigt. MDM ist für den Zugriff auf die MAM-Ressourcen erforderlich.
  • In einigen Anwendungsfällen wird MDM benötigt, in anderen nicht.
  • In einigen Anwendungsfällen wird MAM benötigt, in anderen nicht.

Geräteverwaltung und MDM-Registrierung

Eine Citrix Endpoint Management Enterprise-Umgebung kann unterschiedliche Anwendungsfälle enthalten, von denen einige eine Geräteverwaltung über MDM-Richtlinien für den Zugriff auf MAM-Ressourcen erfordern.

Bevor Sie mobile Citrix Produktivitätsapps bereitstellen, sollten Sie Ihre Anwendungsfälle detailliert beurteilen und entscheiden, ob eine MDM-Registrierung erforderlich ist. Wenn Sie sich später für andere Anforderungen bei der MDM-Registrierung entscheiden, müssen die Benutzer ihre Geräte möglicherweise neu registrieren. Weitere Informationen finden Sie unter Registrierungsprofile.

Weitere Informationen zur Registrierung und zu NetScaler Gateway finden Sie unter Integration in NetScaler Gateway und Citrix ADC.

Nachfolgend sind die Vor- und Nachteile (einschließlich Abhilfemöglichkeiten) des Erzwingens einer MDM-Registrierung aufgeführt.

MDM-Registrierung optional

Vorteile

  • Die Benutzer können auf MAM-Ressourcen zugreifen, ohne ihre Geräte der MDM-Verwaltung zu unterstellen. Dies kann die Benutzerakzeptanz erhöhen.
  • Möglichkeit, den Zugriff auf MAM-Ressourcen zu sichern, um Unternehmensdaten zu schützen.
  • MDX-Richtlinien wie App-Passode können den App-Zugriff für jede MDX-App steuern.
  • Die Konfiguration von NetScaler Gateway, Citrix Endpoint Management und App-basierten Timeouts sowie der Citrix-PIN bietet eine zusätzliche Sicherheitsebene.
  • MDM-Aktionen gelten zwar nicht für ein Gerät, es gibt jedoch MDX-Richtlinien zum Verweigern des MAM-Zugriffs. Die Verweigerung basiert auf Systemeinstellungen, etwa im Fall einer Erkennung von Jailbreak oder Rooting.
  • Die Benutzer können bei der erstmaligen Verwendung wählen, ob sie ihr Gerät bei MDM registrieren möchten.

Nachteile

  • MAM-Ressourcen stehen für Geräte zur Verfügung, die nicht bei MDM registriert sind.
  • MDM-Richtlinien und -Aktionen stehen nur für bei MDM registrierte Geräte zur Verfügung.

Abhilfemöglichkeiten

  • Die Benutzer müssen Unternehmensbestimmungen zustimmen, die sie bei fehlender Richtlinientreue haftbar machen. Administratoren überwachen nicht verwaltete Geräte.
  • Anwendungszugriff und Sicherheit werden über App-Timer verwaltet. Kürzere Timeouts erhöhen die Sicherheit, können sich jedoch auf die Benutzererfahrung auswirken.

MDM-Registrierung erforderlich

Vorteile

  • Der Zugriff auf MAM-Ressourcen kann auf MDM-verwaltete Geräte beschränkt werden.
  • MDM-Richtlinien und -Aktionen können nach Bedarf auf alle Geräte in der Umgebung angewendet werden.
  • Die Benutzer können die Geräteregistrierung nicht umgehen.

Nachteile

  • Alle Benutzer müssen sich bei MDM registrieren.
  • Dies kann die Akzeptanz bei Benutzern mindern, die eine Verwaltung ihrer eigenen Geräte durch das Unternehmen ablehnen.

Abhilfemöglichkeiten

  • Informieren Sie die Benutzer darüber, was genau durch Citrix Endpoint Management auf ihren Geräten verwaltet wird und auf welche Informationen die Administratoren zugreifen können.
Verwaltungsmodi