Sicherheit und Benutzererfahrung

Sicherheit ist für jede Organisation wichtig, aber Sie müssen ein Gleichgewicht zwischen Sicherheit und Benutzererfahrung herstellen. Beispielsweise könnten Sie eine hochsichere Umgebung haben, die für Benutzer schwierig zu bedienen ist. Oder Ihre Umgebung könnte so benutzerfreundlich sein, dass die Zugriffskontrolle nicht so streng ist. Die anderen Abschnitte in diesem virtuellen Handbuch behandeln Sicherheitsfunktionen im Detail. Der Zweck dieses Artikels ist es, einen allgemeinen Überblick über gängige Sicherheitsbedenken und die in Citrix Endpoint Management verfügbaren Sicherheitsoptionen zu geben.

• Hier sind einige wichtige Überlegungen, die Sie für jeden Anwendungsfall beachten sollten:

• Möchten Sie bestimmte Apps, das gesamte Gerät oder beides sichern?
• Wie sollen sich Ihre Benutzer authentifizieren? Möchten Sie LDAP, zertifikatbasierte Authentifizierung oder eine Kombination aus beidem verwenden?
• Wie lange soll die Sitzung eines Benutzers dauern, bevor sie abläuft? Beachten Sie, dass es unterschiedliche Timeout-Werte für Hintergrunddienste, Citrix ADC und für den Zugriff auf Apps im Offline-Modus gibt.
• Sollen Benutzer einen Passcode auf Geräteebene und einen Passcode auf App-Ebene einrichten? Wie viele Anmeldeversuche möchten Sie zulassen? Berücksichtigen Sie die zusätzlichen Authentifizierungsanforderungen pro App, die mit MAM implementiert werden könnten, und wie Benutzer diese wahrnehmen könnten.

• Welche weiteren Einschränkungen möchten Sie für Benutzer festlegen? Möchten Sie Benutzern den Zugriff auf Cloud-Dienste wie Siri ermöglichen? Was können sie mit jeder App, die Sie ihnen zur Verfügung stellen, tun und was nicht? Möchten Sie Unternehmensnetzwerkrichtlinien (Wi-Fi) bereitstellen, um die Nutzung von Mobilfunkdatentarifen innerhalb des Büros zu verhindern?

• App versus Gerät

Eine der ersten Überlegungen ist, ob Sie Folgendes sichern möchten:

• Nur bestimmte Apps (Mobile App Management, oder MAM)
• Das gesamte Gerät (Mobile Device Management, oder MDM).
• MDM+MAM

Am häufigsten müssen Sie, wenn Sie keine Kontrolle auf Geräteebene benötigen, nur mobile Apps verwalten, insbesondere wenn Ihre Organisation Bring Your Own Device (BYOD) unterstützt.

Benutzer mit Geräten, die Citrix Endpoint Management nicht verwaltet, können Apps über den App Store installieren. Anstelle von Kontrollen auf Geräteebene, wie selektives oder vollständiges Löschen, steuern Sie den Zugriff auf die Apps über App-Richtlinien. Abhängig von den von Ihnen festgelegten Werten erfordern die Richtlinien, dass das Gerät Citrix Endpoint Management regelmäßig überprüft, um zu bestätigen, dass die Apps weiterhin ausgeführt werden dürfen.

MDM ermöglicht es Ihnen, ein gesamtes Gerät zu sichern, einschließlich der Möglichkeit, eine Bestandsaufnahme der gesamten Software auf einem Gerät zu erstellen. MDM ermöglicht es Ihnen, die Registrierung zu verhindern, wenn das Gerät jailbroken oder gerootet ist oder unsichere Software installiert hat. Ein solches Maß an Kontrolle macht Benutzer jedoch misstrauisch, so viel Macht über ihre persönlichen Geräte zuzulassen, und kann die Registrierungsraten senken.

Authentifizierung

• Die Authentifizierung ist der Bereich, in dem ein Großteil der Benutzererfahrung stattfindet. Wenn Ihre Organisation bereits Active Directory verwendet, ist die Nutzung von Active Directory der einfachste Weg, Ihren Benutzern den Zugriff auf das System zu ermöglichen.

• Ein weiterer wichtiger Bestandteil der Authentifizierungs-Benutzererfahrung sind Timeouts. Eine Umgebung mit hoher Sicherheit könnte Benutzer dazu zwingen, sich jedes Mal anzumelden, wenn sie auf das System zugreifen. Diese Option ist möglicherweise nicht ideal für alle Organisationen oder Anwendungsfälle.

Benutzer-Entropie

Für zusätzliche Sicherheit können Sie eine Funktion namens Benutzer-Entropie aktivieren. Citrix Secure Hub und einige andere Apps teilen oft gemeinsame Daten wie Passwörter, PINs und Zertifikate, um sicherzustellen, dass alles ordnungsgemäß funktioniert. Diese Informationen werden in einem generischen Tresor innerhalb von Citrix Secure Hub gespeichert. Wenn Sie die Benutzer-Entropie über die Option Geheimnisse verschlüsseln aktivieren, erstellt Citrix Endpoint Management einen Tresor namens UserEntropy. Citrix Endpoint Management verschiebt die Informationen aus dem generischen Tresor in diesen neuen Tresor. Damit Citrix Secure Hub oder eine andere App auf die Daten zugreifen kann, müssen Benutzer ein Passwort oder eine PIN eingeben.

Das Aktivieren der Benutzerentropie fügt an mehreren Stellen eine weitere Authentifizierungsebene hinzu. Daher müssen sich Benutzer immer dann authentifizieren, wenn eine App Zugriff auf freigegebene Daten im UserEntropy-Tresor (einschließlich Kennwörtern, PINs und Zertifikaten) benötigt.

Weitere Informationen zur Benutzerentropie erhalten Sie im Artikel Über das MDX Toolkit. Um die Benutzerentropie zu aktivieren, finden Sie die entsprechenden Einstellungen in den Client-Eigenschaften.

Richtlinien

Sowohl MDX- als auch MDM-Richtlinien bieten Unternehmen ein hohes Maß an Flexibilität, können aber auch Benutzer einschränken. Diese Einschränkung kann in bestimmten Situationen erwünscht sein, aber Richtlinien können ein System auch unbrauchbar machen. Beispielsweise möchten Sie möglicherweise den Zugriff auf Cloud-Anwendungen wie Siri oder iCloud blockieren, die potenziell sensible Daten an externe Speicherorte senden können. Sie können eine Richtlinie einrichten, um den Zugriff auf diese Dienste zu blockieren, beachten Sie jedoch, dass eine solche Richtlinie unbeabsichtigte Folgen haben kann. Beispielsweise ist das Mikrofon der iOS-Tastatur auf Cloud-Zugriff angewiesen.

Apps

• Enterprise Mobility Management (EMM) gliedert sich in Mobile Device Management (MDM) und Mobile Application Management (MAM). Während MDM Unternehmen die Sicherung und Kontrolle mobiler Geräte ermöglicht, erleichtert MAM die Bereitstellung und Verwaltung von Anwendungen. Mit der zunehmenden Verbreitung von BYOD (Bring Your Own Device) können Sie in der Regel eine MAM-Lösung wie Citrix Endpoint Management implementieren, um bei Folgendem zu unterstützen:

• App-Bereitstellung
• Softwarelizenzierung
• Konfiguration
• App-Lebenszyklusmanagement

Mit Citrix Endpoint Management können Sie diesen Apps mehr Sicherheit hinzufügen, indem Sie spezifische MAM-Richtlinien und VPN-Einstellungen konfigurieren, um Datenlecks und andere Sicherheitsbedrohungen zu verhindern. Citrix Endpoint Management bietet Unternehmen die Flexibilität, sowohl MDM- als auch MAM-Funktionalität in derselben Umgebung zu integrieren.

• Zusätzlich zur Möglichkeit, Apps auf mobile Geräte bereitzustellen, bietet Citrix Endpoint Management App-Containerisierung durch MDX-Technologie. MDX sichert Apps durch Verschlüsselung, die von der geräteebenen Verschlüsselung der Plattform getrennt ist. Sie können Apps löschen oder sperren. Apps unterliegen granularen richtlinienbasierten Kontrollen. Unabhängige Softwareanbieter (ISVs) können diese Kontrollen mithilfe des Mobile Apps SDK anwenden.

In einer Unternehmensumgebung verwenden Benutzer verschiedene mobile Apps, um ihre Aufgaben zu erfüllen. Die Apps können Anwendungen aus dem öffentlichen App Store, intern entwickelte Apps oder native Apps umfassen. Citrix Endpoint Management kategorisiert diese Apps wie folgt:

• Öffentliche Apps: Diese Apps umfassen kostenlose oder kostenpflichtige Apps, die in einem öffentlichen App Store wie dem Apple App Store oder Google Play verfügbar sind. Anbieter außerhalb des Unternehmens stellen ihre Apps oft in öffentlichen App Stores zur Verfügung. Diese Option ermöglicht es ihren Kunden, die Apps direkt aus dem Internet herunterzuladen. Je nach den Bedürfnissen der Benutzer können Sie in Ihrem Unternehmen viele öffentliche Apps verwenden. Beispiele für solche Apps sind GoToMeeting, Salesforce und EpicCare-Apps.

• Citrix® unterstützt das Herunterladen von App-Binärdateien direkt aus öffentlichen App Stores und deren anschließendes Wrapping mit dem MDX Toolkit für die Unternehmensverteilung nicht. Um Drittanbieteranwendungen MDX-fähig zu machen, wenden Sie sich an Ihren App-Anbieter, um die App-Binärdateien zu erhalten. Sie können die Binärdateien mit dem MDX Toolkit wrappen oder das MAM SDK in die Binärdateien integrieren.

• Inhouse-Apps: Viele Unternehmen verfügen über interne Entwickler, die Apps erstellen, die spezifische Funktionen bereitstellen und unabhängig innerhalb des Unternehmens entwickelt und verteilt werden. In bestimmten Fällen verfügen einige Unternehmen möglicherweise auch über Apps, die von ISVs bereitgestellt werden. Sie können solche Apps als native Apps bereitstellen oder die Apps mithilfe einer MAM-Lösung wie Citrix Endpoint Management containerisieren. Beispielsweise kann eine Organisation im Gesundheitswesen eine Inhouse-App erstellen, die es Ärzten ermöglicht, Patienteninformationen auf mobilen Geräten anzuzeigen. Eine Organisation kann die App dann MAM SDK-fähig machen oder MDM-wrappen, um Patienteninformationen zu sichern und den VPN-Zugriff auf den Backend-Patientendatenbankserver zu ermöglichen.

  • Web- und SaaS-Apps: Diese Apps umfassen Anwendungen, auf die über ein internes Netzwerk (Web-Apps) oder über ein öffentliches Netzwerk (SaaS) zugegriffen wird. Citrix Endpoint Management ermöglicht Ihnen auch die Erstellung benutzerdefinierter Web- und SaaS-Apps mithilfe einer Liste von App-Konnektoren. Diese App-Konnektoren können Single Sign-On (SSO) für bestehende Web-Apps erleichtern. Weitere Informationen finden Sie unter App-Konnektortypen. Beispielsweise können Sie Google Apps SAML für SSO basierend auf Security Assertion Markup Language (SAML) für Google Apps verwenden.

Mobile Produktivitäts-Apps: Mobile Produktivitäts-Apps sind von Citrix entwickelte Apps, die in der Citrix Endpoint Management-Lizenz enthalten sind. Weitere Informationen finden Sie unter Über mobile Produktivitäts-Apps. Citrix bietet auch andere geschäftsfähige Apps an. ISVs entwickeln geschäftsfähige Apps mithilfe des Mobile Apps SDK.

HDX-Apps: HDX-Apps sind Windows-gehostete Apps, die Sie mit StoreFront veröffentlichen. Wenn Sie eine Citrix Virtual Apps and Desktops-Umgebung haben, können Sie die Apps in Citrix Endpoint Management integrieren, um sie den registrierten Benutzern zur Verfügung zu stellen.

Je nach Art der mobilen Apps, die Sie mit Citrix Endpoint Management bereitstellen und verwalten möchten, unterscheiden sich die zugrunde liegende Konfiguration und Architektur. Angenommen, viele Benutzergruppen mit unterschiedlichen Berechtigungsstufen nutzen eine einzige App. In diesem Fall können Sie separate Bereitstellungsgruppen erstellen, um zwei Versionen der App bereitzustellen. Stellen Sie sicher, dass die Benutzergruppenmitgliedschaften sich gegenseitig ausschließen, um Richtlinienkonflikte auf Benutzergeräten zu vermeiden.

Möglicherweise möchten Sie auch die Lizenzierung von iOS-Anwendungen über Apple Volume Purchase verwalten. Diese Option erfordert, dass Sie sich für das Apple Volume Purchase-Programm registrieren. Und Sie müssen die Citrix Endpoint Management-Konsole verwenden, um die Volume Purchase-Einstellungen zu konfigurieren. Diese Konfiguration ermöglicht es Ihnen, die Apps mit den Volume Purchase-Lizenzen zu verteilen. Verschiedene solcher Anwendungsfälle machen es wichtig, Ihre MAM-Strategie zu bewerten und zu planen, bevor Sie die Citrix Endpoint Management-Umgebung implementieren. Sie können mit der Planung Ihrer MAM-Strategie beginnen, indem Sie Folgendes definieren:

• App-Typen: Listen Sie die verschiedenen App-Typen auf, die Sie unterstützen möchten. Kategorisieren Sie dann die Apps, z. B. öffentliche, native, mobile Citrix Produktivitäts-Apps, Web-, Inhouse- und ISV-Apps. Kategorisieren Sie die Apps auch für verschiedene Geräteplattformen, wie iOS und Android. Diese Kategorisierung hilft Ihnen, die Citrix Endpoint Management-Einstellungen, die für jeden App-Typ erforderlich sind, aufeinander abzustimmen. Zum Beispiel: Bestimmte Apps sind möglicherweise nicht für das Wrapping geeignet. Oder einige Apps erfordern möglicherweise die Verwendung des Mobile Apps SDK, um spezielle APIs für die Interaktion mit anderen Apps zu aktivieren.

Netzwerkanforderungen: Konfigurieren Sie Apps mit spezifischen Netzwerkanforderungen mit den entsprechenden Einstellungen. Zum Beispiel benötigen bestimmte Apps möglicherweise Zugriff auf Ihr internes Netzwerk über ein VPN. Einige Apps erfordern möglicherweise Internetzugriff, um den Zugriff über die DMZ zu routen. Um solchen Apps die Verbindung zum erforderlichen Netzwerk zu ermöglichen, müssen Sie verschiedene Einstellungen entsprechend konfigurieren. Definieren Sie die Netzwerkanforderungen pro App, um Ihre Architektur-Entscheidungen im Voraus zu treffen. Diese Arbeit optimiert den gesamten Implementierungsprozess.

Sicherheitsanforderungen: Definieren Sie die Sicherheitsanforderungen, die entweder für einzelne Apps oder für alle Apps gelten. Einige Einstellungen, wie z. B. die MDX-Richtlinien, gelten für einzelne Apps. Sitzungs- und Authentifizierungseinstellungen gelten für alle Apps. Einige Apps haben möglicherweise spezifische Anforderungen an Verschlüsselung, Containerisierung, Wrapping, Authentifizierung, Geofencing, Passcode oder Datenfreigabe. Skizzieren Sie diese Anforderungen im Voraus, um Ihre Bereitstellung zu vereinfachen.

Bereitstellungsanforderungen: Möglicherweise möchten Sie eine richtlinienbasierte Bereitstellung verwenden, um nur konformen Benutzern das Herunterladen der veröffentlichten Apps zu ermöglichen. Zum Beispiel möchten Sie möglicherweise, dass bestimmte Apps Folgendes erfordern:

• geräteplattformbasierte Verschlüsselung aktiviert ist
  • das Gerät verwaltet wird
  • das Gerät eine Mindestversion des Betriebssystems erfüllt
  • bestimmte Apps nur für Unternehmensbenutzer verfügbar sind

Skizzieren Sie solche Anforderungen im Voraus, damit Sie die entsprechenden Bereitstellungsregeln oder -aktionen konfigurieren können.

Lizenzierungsanforderungen: Erfassen Sie app-bezogene Lizenzierungsanforderungen. Solche Notizen helfen Ihnen, die Lizenznutzung effektiv zu verwalten und zu entscheiden, ob Sie bestimmte Funktionen in Citrix Endpoint Management konfigurieren müssen, um die Lizenzierung zu erleichtern. Wenn Sie beispielsweise eine kostenlose oder kostenpflichtige iOS-App bereitstellen, erzwingt Apple Lizenzierungsanforderungen für die App, indem Benutzer sich bei ihrem Apple Store-Konto anmelden müssen. Sie können sich für Apple Volume Purchase registrieren, um diese Apps über Citrix Endpoint Management zu verteilen und zu verwalten. Volume Purchase ermöglicht Benutzern das Herunterladen der Apps, ohne sich bei ihrem Apple Store-Konto anmelden zu müssen. Auch Tools wie Samsung Knox haben spezielle Lizenzierungsanforderungen, die Sie vor der Bereitstellung dieser Funktionen erfüllen müssen. | | | | | | | Zulassungs- und Sperrlistenanforderungen: Sie möchten wahrscheinlich verhindern, dass Benutzer bestimmte Apps installieren oder verwenden. Erstellen Sie eine Zulassungsliste von Apps, die ein Gerät als nicht konform einstufen. Richten Sie dann Richtlinien ein, die ausgelöst werden, wenn ein Gerät nicht konform wird. Andererseits könnte eine App akzeptabel sein, aber aus irgendeinem Grund auf der Sperrliste stehen. In diesem Fall können Sie die App einer Zulassungsliste hinzufügen und angeben, dass die App zwar akzeptabel ist, aber nicht erforderlich. Beachten Sie auch, dass die auf neuen Geräten vorinstallierten Apps einige häufig verwendete Apps enthalten können, die nicht Teil des Betriebssystems sind. Diese Apps könnten mit Ihrer Sperrlistenstrategie in Konflikt geraten.

Anwendungsfall für Apps

Eine Organisation im Gesundheitswesen plant, Citrix Endpoint Management als MAM-Lösung für ihre mobilen Apps bereitzustellen. Mobile Apps werden an Unternehmens- und BYOD-Benutzer geliefert. Die IT entscheidet sich, die folgenden Apps bereitzustellen und zu verwalten:

• Mobile Produktivitäts-Apps: Von Citrix bereitgestellte iOS- und Android-Apps.
• Citrix Files: App für den Zugriff auf freigegebene Daten sowie zum Freigeben, Synchronisieren und Bearbeiten von Dateien.

Öffentlicher App Store

• Citrix Secure Hub: Client, der von allen mobilen Geräten verwendet wird, um mit Citrix Endpoint Management zu kommunizieren. Die IT überträgt Sicherheitseinstellungen, Konfigurationen und mobile Apps über den Citrix Secure Hub-Client an mobile Geräte. Android- und iOS-Geräte registrieren sich über Citrix Secure Hub bei Citrix Endpoint Management.
• Citrix Workspace-App: Mobile App, die Benutzern das Öffnen von Apps auf mobilen Geräten ermöglicht, die von Citrix Virtual Apps gehostet werden.
• GoToMeeting: Ein Online-Meeting-, Desktop-Sharing- und Videokonferenz-Client, der es Benutzern ermöglicht, sich in Echtzeit über das Internet mit anderen Computerbenutzern, Kunden oder Kollegen zu treffen.
• SalesForce1: Salesforce1 ermöglicht Benutzern den Zugriff auf Salesforce von mobilen Geräten und führt alle Chatter-, CRM-, benutzerdefinierten Apps und Geschäftsprozesse in einer einheitlichen Erfahrung für jeden Salesforce-Benutzer zusammen.
• RSA SecurID: Software-basierter Token für die Zwei-Faktor-Authentifizierung.
• EpicCare-Apps: Diese Apps bieten medizinischem Fachpersonal sicheren und portablen Zugriff auf Patientenakten, Patientenlisten, Zeitpläne und Nachrichten.
  • Haiku: Mobile App für iPhone- und Android-Telefone.
  • Canto: Mobile App für das iPad.
  • Rover: Mobile Apps für iPhone und iPad. |Name|Type|Description|Default| HDX: Citrix Virtual Apps stellt HDX-Apps für Citrix Workspace bereit.
• Epic Hyperspace: Epic-Client-Anwendung für die Verwaltung elektronischer Gesundheitsakten.

| #### ISV | | | | 1 | 2 | 3 | 4 |

• Vocera: HIPAA-konforme Voice-over-IP- und Messaging-Mobile-App, die die Vorteile der Vocera-Sprachtechnologie jederzeit und überall über iPhone- und Android-Smartphones erweitert. | Name | Type | Description | Default | | | | |

Hauseigene Apps

Hauseigene Web-Apps

• PatientRounding: Webanwendung, die von verschiedenen Abteilungen zur Erfassung von Patientengesundheitsinformationen verwendet wird.
• Outlook Web Access: Ermöglicht den Zugriff auf E-Mails über einen Webbrowser.
• SharePoint: Wird für die unternehmensweite Datei- und Datenfreigabe verwendet.

Die folgende Tabelle listet die grundlegenden Informationen auf, die für die MAM-Konfiguration erforderlich sind.

• Epic Hyperspace

  HDX™-App

  N/A

  Ja

  Ja

• Vocera

  ISV-App

  Ja

  Ja

  Ja

  • HCMail

    Hauseigene App

    Ja

    Ja

    Ja

  • PatientRounding

    Web-App

    N/A

    Ja

    Ja

  • Outlook Web Access

    Web-App

    N/A

    Ja

    Ja

  • SharePoint

    Web-App

    N/A

    Ja

    Ja

Die folgenden Tabellen listen spezifische Anforderungen auf, die Sie bei der Konfiguration von MAM-Richtlinien in Citrix Endpoint Management berücksichtigen können.

-  | App-Name             | VPN erforderlich | Interaktion \(mit Apps außerhalb des Containers) | Interaktion \(von Apps außerhalb des Containers) | Geräteplattform-basierte Verschlüsselung |
-  | --------------- | --------------- | -------------------- | --------------- | -------------------------------- |
-  | Citrix Secure Mail          | J                | Selektiv erlaubt                          | Erlaubt                                      | Nicht erforderlich      | | Citrix Secure Web           | J                | Erlaubt                                      | Erlaubt                                      | Nicht erforderlich      |

• Citrix Files	J	Erlaubt	Erlaubt	Nicht erforderlich
  Citrix Secure Hub	J	N/A	N/A	N/A
  Citrix Workspace-App	J	N/A	N/A	N/A
  GoToMeeting	N	N/A	N/A	N/A

  • SalesForce1

    N

    N/A

    N/A

    N/A

  • RSA SecurID

    N

    N/A

    N/A

    N/A

  • Epic Haiku

    J

    N/A

    N/A

    N/A

  • Epic Canto

    J

    N/A

    N/A

    N/A

  • Epic Rover

    J

    N/A

    N/A

    N/A

  • Epic Hyperspace

    J

    N/A

    N/A

    N/A

  • Vocera

    J

    Blockiert

    Blockiert

    Nicht erforderlich

  • HCMail

    J

    Blockiert

    Blockiert

    Erforderlich

• PatientRounding

  J

  N/A

  N/A

  Erforderlich

  • Outlook Web Access

    J

    N/A

    N/A

    Nicht erforderlich

  • SharePoint

    J

    N/A

    N/A

    Nicht erforderlich

  • App-Name

    Proxy-Filterung

    Lizenzierung

    Geofencing

    Mobile Apps SDK

    Mindestversion des Betriebssystems

  • Citrix Secure Mail	Erforderlich	N/A	Selektiv erforderlich	N/A	Erzwungen
    Citrix Secure Web	Erforderlich	N/A	Nicht erforderlich	N/A	Erzwungen

• Secure Notes

  Erforderlich

  N/A

  Nicht erforderlich

  N/A

  Erzwungen

• Citrix Files

  Erforderlich

  N/A

  Nicht erforderlich

  N/A

  Erzwungen

• Citrix Secure Hub

  Nicht erforderlich

  Volumenlizenz

  Nicht erforderlich

  N/A

  Nicht erzwungen

• Citrix Workspace App	Nicht erforderlich	Volumenlizenz	Nicht erforderlich	N/Z	Nicht erzwungen
  GoToMeeting	Nicht erforderlich	Volumenlizenz	Nicht erforderlich	N/Z	Nicht erzwungen

• SalesForce1

  Nicht erforderlich

  Volumenlizenz

  Nicht erforderlich

  N/Z

  Nicht erzwungen

• RSA SecurID

  Nicht erforderlich

  Volumenlizenz

  Nicht erforderlich

  N/Z

  Nicht erzwungen

• Epic Haiku

  Nicht erforderlich

  Volumenlizenz

  Nicht erforderlich

  N/Z

  Nicht erzwungen

• Epic Canto

  Nicht erforderlich

  Volumenlizenz

  Nicht erforderlich

  N/Z

  Nicht erzwungen

• Epic Rover

  Nicht erforderlich

  Volumenlizenz

  Nicht erforderlich

  N/Z

  Nicht erzwungen

• Epic Hyperspace

  Nicht erforderlich

  N/Z

  Nicht erforderlich

  N/Z

  Nicht erzwungen

• Vocera

  Erforderlich

  N/Z

  Erforderlich

  Erforderlich

  Erzwungen

• HCMail

  Erforderlich

  N/Z

  Erforderlich

  Erforderlich

  Erzwungen

• Patientenvisite

  Erforderlich

  N/Z

  Nicht erforderlich

  N/Z

  Nicht erzwungen

• Outlook Web Access

  Erforderlich

  N/Z

  Nicht erforderlich

  N/Z

  Nicht erzwungen

• SharePoint

  Erforderlich

  N/Z

  Nicht erforderlich

  N/Z

  Nicht erzwungen

Benutzergemeinschaften

Jede Organisation besteht aus verschiedenen Benutzergemeinschaften, die in unterschiedlichen funktionalen Rollen agieren. Diese Benutzergemeinschaften erledigen verschiedene Aufgaben und Bürofunktionen unter Verwendung unterschiedlicher Ressourcen, die Sie über Benutzergeräte bereitstellen. Benutzer können von zu Hause oder in Außenstellen arbeiten und dabei von Ihnen bereitgestellte mobile Geräte nutzen. Oder Benutzer besitzen möglicherweise ihre eigenen mobilen Geräte, die ihnen den Zugriff auf Tools ermöglichen, die bestimmten Sicherheits- und Compliance-Regeln unterliegen.

Da immer mehr Benutzergemeinschaften mobile Geräte in ihren Arbeitsrollen verwenden, wird Enterprise Mobility Management (EMM) entscheidend, um Datenlecks zu verhindern. EMM ist auch entscheidend, um die Sicherheitsbeschränkungen einer Organisation durchzusetzen. Für ein effizientes und ausgefeilteres Mobile Device Management können Sie Ihre Benutzergemeinschaften kategorisieren. Dies vereinfacht die Zuordnung von Benutzern zu Ressourcen und stimmt die entsprechenden Sicherheitsrichtlinien auf die Benutzer ab.

Das folgende Beispiel veranschaulicht, wie die Benutzergemeinschaften einer Gesundheitsorganisation für EMM klassifiziert werden.

Anwendungsfall für Benutzergemeinschaften

Diese beispielhafte Gesundheitsorganisation stellt vielen Benutzern Technologieressourcen und Zugriff bereit, darunter Netzwerk- und Partner-Mitarbeitern sowie Freiwilligen. Die Organisation hat sich entschieden, die EMM-Lösung nur für nicht-leitende Benutzer einzuführen.

Benutzerrollen und -funktionen für diese Organisation können in Untergruppen unterteilt werden, darunter: klinisches Personal, nicht-klinisches Personal und Auftragnehmer. Ausgewählte Benutzer erhalten firmeneigene mobile Geräte, während andere nur eingeschränkten Zugriff auf Unternehmensressourcen von ihren persönlichen Geräten aus haben. Um das richtige Maß an Sicherheitsbeschränkungen durchzusetzen und Datenlecks zu verhindern, entschied die Organisation, dass die Unternehmens-IT jedes registrierte Gerät verwaltet. Diese Geräte können firmeneigen sein oder als Bring Your Own Device (BYOD) genutzt werden. Außerdem können Benutzer nur ein einziges Gerät registrieren.

Der folgende Abschnitt bietet einen Überblick über die Rollen und Funktionen jeder Untergruppe:

Klinisches Personal

• Krankenpfleger
• Ärzte (Ärzte, Chirurgen usw.)
• Spezialisten (Ernährungsberater, Anästhesisten, Radiologen, Kardiologen, Onkologen usw.)
• Externe Ärzte (Nicht angestellte Ärzte und Büroangestellte, die von Außenstellen aus arbeiten)
• Häusliche Pflegedienste (Büro- und mobile Mitarbeiter, die ärztliche Dienste bei Hausbesuchen von Patienten erbringen)
• Forschungsspezialisten (Wissensarbeiter und Power-User an sechs Forschungsinstituten, die klinische Forschung betreiben, um Antworten auf medizinische Fragen zu finden)
• Aus- und Weiterbildung (Krankenpfleger, Ärzte und Spezialisten in Aus- und Weiterbildung)

Nicht-klinisches Personal

• Shared Services (Büroangestellte, die verschiedene Back-Office-Funktionen ausführen, darunter Personalwesen, Gehaltsabrechnung, Kreditorenbuchhaltung und Lieferkettendienst)
• Ärztliche Dienste (Büroangestellte, die verschiedene Funktionen im Gesundheitsmanagement, administrative Dienste und Geschäftsprozesslösungen für Anbieter erbringen, darunter: Administrative Dienste, Analysen und Business Intelligence, Geschäftssysteme, Kundendienste, Finanzen, Managed Care Administration, Patientenzugangslösungen, Umsatzzykluslösungen usw.)
• Support Services (Büroangestellte, die verschiedene nicht-klinische Funktionen ausführen, darunter: Leistungsverwaltung, klinische Integration, Kommunikation, Vergütungs- und Leistungsmanagement, Gebäude- und Immobiliendienste, HR-Technologiesysteme, Informationsdienste, interne Revision und Prozessverbesserung usw.)
• Philanthropische Programme (Büro- und mobile Mitarbeiter, die verschiedene Funktionen zur Unterstützung philanthropischer Programme ausführen)

Auftragnehmer

• Hersteller- und Anbieterpartner (Vor Ort und remote über Site-to-Site-VPN verbunden, die verschiedene nicht-klinische Supportfunktionen bereitstellen)

Basierend auf den vorstehenden Informationen hat die Organisation die folgenden Entitäten erstellt. Weitere Informationen zu Bereitstellungsgruppen in Citrix Endpoint Management finden Sie unter Ressourcen bereitstellen.

Active Directory Organisationseinheiten (OUs) und Gruppen

Für OE = Citrix Endpoint Management Ressourcen:

• OE = Klinisch; Gruppen =
  • XM-Pflegepersonal
  • XM-Ärzte
  • XM-Spezialisten
  • XM-Externe Ärzte
  • XM-Häusliche Pflegedienste
  • XM-Forschungsspezialisten
  • XM-Ausbildung und Schulung
• OE = Nicht-klinisch; Gruppen =
  • XM-Gemeinsame Dienste
  • XM-Ärztliche Dienste
  • XM-Supportdienste
  • XM-Philanthropische Programme

• Citrix Endpoint Management Lokale Benutzer und Gruppen

• Für Gruppe= Auftragnehmer, Benutzer =

• Anbieter1
• Anbieter2
• Anbieter 3

• … Anbieter 10

• Citrix Endpoint Management Bereitstellungsgruppen

• Klinisch-Pflegepersonal
• Klinisch-Ärzte
• Klinisch-Spezialisten
• Klinisch-Externe Ärzte
• Klinisch-Häusliche Pflegedienste
• Klinisch-Forschungsspezialisten
• Klinisch-Ausbildung und Schulung
• Nicht-klinisch-Gemeinsame Dienste
• Nicht-klinisch-Ärztliche Dienste
• Nicht-klinisch-Supportdienste
• Nicht-klinisch-Philanthropische Programme

Zuordnung von Bereitstellungsgruppen und Benutzergruppen

Zuordnung von Bereitstellungsgruppen und Ressourcen

Die folgenden Tabellen veranschaulichen die Ressourcen, die jeder Bereitstellungsgruppe in diesem Anwendungsfall zugewiesen sind. Die erste Tabelle zeigt die Zuweisungen mobiler Apps. Die zweite Tabelle zeigt die öffentliche App, HDX-Apps und Ressourcen für die Geräteverwaltung.

Hinweise und Überlegungen

• Citrix Endpoint Management erstellt während der Erstkonfiguration eine Standard-Bereitstellungsgruppe namens Alle Benutzer. Wenn Sie diese Bereitstellungsgruppe nicht deaktivieren, haben alle Active Directory-Benutzer das Recht, sich bei Citrix Endpoint Management zu registrieren.
• Citrix Endpoint Management synchronisiert Active Directory-Benutzer und -Gruppen bei Bedarf mithilfe einer dynamischen Verbindung zum LDAP-Server.
• Wenn ein Benutzer Teil einer Gruppe ist, die nicht in Citrix Endpoint Management zugeordnet ist, kann dieser Benutzer sich nicht registrieren. Ebenso, wenn ein Benutzer Mitglied vieler Gruppen ist, kategorisiert Citrix Endpoint Management den Benutzer nur als Teil der Gruppen, die Citrix Endpoint Management zugeordnet sind.

Sicherheitsanforderungen

Der Umfang der Sicherheitsüberlegungen im Zusammenhang mit einer Citrix Endpoint Management-Umgebung kann schnell überwältigend werden. Es gibt viele ineinandergreifende Komponenten und Einstellungen. Möglicherweise wissen Sie nicht, wo Sie anfangen oder was Sie wählen sollen, um ein akzeptables Schutzniveau zu gewährleisten. Um diese Entscheidungen zu vereinfachen, bietet Citrix Empfehlungen für hohe, höhere und höchste Sicherheit, wie in der folgenden Tabelle beschrieben.

Sicherheitsbedenken sind nicht die einzige Überlegung für den Modus, in dem Ihre Geräte registriert werden: MAM, MDM+MAM mit optionalem MDM oder MDM+MAM mit erforderlichem MDM. Es ist wichtig, auch die Anforderungen des Anwendungsfalls zu überprüfen und zu entscheiden, ob Sie Sicherheitsbedenken mindern können, bevor Sie Ihren Verwaltungsmodus wählen.

Hoch: Die Verwendung dieser Einstellungen bietet eine optimale Benutzererfahrung bei gleichzeitiger Aufrechterhaltung eines grundlegenden Sicherheitsniveaus, das für die meisten Organisationen akzeptabel ist.

Höher: Diese Einstellungen schaffen ein besseres Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit.

Höchste: Die Befolgung dieser Empfehlungen bietet ein hohes Maß an Sicherheit auf Kosten der Benutzerfreundlichkeit und Akzeptanz durch die Benutzer.

Sicherheitsüberlegungen zum Verwaltungsmodus

Die folgende Tabelle gibt die Verwaltungsmodi für jede Sicherheitsstufe an.

Hinweise:

• Je nach Anwendungsfall kann eine reine MAM-Bereitstellung die Sicherheitsanforderungen erfüllen und eine gute Benutzererfahrung bieten.
• Für Anwendungsfälle wie BYOD, bei denen alle Geschäfts- und Sicherheitsanforderungen allein durch App-Containerisierung erfüllt werden können, empfiehlt Citrix den reinen MAM-Modus.
• Für Umgebungen mit hoher Sicherheit (und von Unternehmen ausgegebene Geräte) empfiehlt Citrix MDM+MAM, um alle verfügbaren Sicherheitsfunktionen zu nutzen.

Sicherheitsüberlegungen zu Citrix ADC und NetScaler Gateway

Die folgende Tabelle gibt die Empfehlungen für Citrix ADC und NetScaler Gateway für jede Sicherheitsstufe an.

Hinweise:

• Das Verfügbarmachen des Citrix Endpoint Management-Servers über NAT oder bestehende Drittanbieter-Proxys/Load Balancer im Internet könnte eine Option für MDM sein. In diesem Fall wird der SSL-Datenverkehr jedoch auf einem Citrix Endpoint Management-Server terminiert, was ein potenzielles Sicherheitsrisiko darstellt.
• Für Umgebungen mit hoher Sicherheit erfüllt oder übertrifft NetScaler Gateway mit der Standardkonfiguration von Citrix Endpoint Management in der Regel die Sicherheitsanforderungen.
• Für MDM-Registrierungen mit den höchsten Sicherheitsanforderungen ermöglicht die SSL-Terminierung am NetScaler Gateway die Überprüfung des Datenverkehrs am Perimeter, während die End-to-End-SSL-Verschlüsselung aufrechterhalten wird.
• Optionen zur Definition von SSL/TLS-Chiffren.
• Weitere Informationen finden Sie unter Integration mit NetScaler Gateway und Citrix ADC.

Sicherheitsaspekte bei der Registrierung

Die folgende Tabelle enthält die Empfehlungen für Citrix ADC und NetScaler Gateway für jede Sicherheitsstufe.

Hinweise:

• Citrix empfiehlt generell, die Registrierung auf Benutzer in vordefinierten Active Directory-Gruppen zu beschränken. Diese Einschränkung erfordert die Deaktivierung der integrierten Bereitstellungsgruppe „Alle Benutzer“.
• Sie können Registrierungseinladungen verwenden, um die Registrierung auf Benutzer mit einer Einladung zu beschränken. Registrierungseinladungen sind für Windows-Geräte nicht verfügbar.
• Sie können Einmal-PIN (OTP)-Registrierungseinladungen als Zwei-Faktor-Authentifizierungslösung verwenden und die Anzahl der Geräte steuern, die ein Benutzer registrieren kann. (OTP-Einladungen sind für Windows-Geräte nicht verfügbar.)

Sicherheitsaspekte des Gerätepasscodes

Die folgende Tabelle enthält die Empfehlungen für den Gerätepasscode für jede Sicherheitsstufe.

Hinweise:

• Citrix empfiehlt die Verwendung eines Gerätepasscodes.
• Sie können einen Gerätepasscode über eine MDM-Richtlinie erzwingen.
• Sie können eine MDX-Richtlinie verwenden, um einen Gerätepasscode für die Nutzung verwalteter Apps zur Voraussetzung zu machen; zum Beispiel für BYOD-Anwendungsfälle.
• Citrix empfiehlt die Kombination der MDM- und MDX-Richtlinienoptionen für erhöhte Sicherheit bei MDM+MAM-Registrierungen.
• Für Umgebungen mit den höchsten Sicherheitsanforderungen können Sie komplexe Passcode-Richtlinien konfigurieren und diese mit MDM erzwingen. Sie können automatische Aktionen konfigurieren, um Administratoren zu benachrichtigen oder selektive/vollständige Gerätesperrungen auszulösen, wenn ein Gerät einer Passcode-Richtlinie nicht folgt.