Citrix Endpoint Management

Sicherheit und Benutzererfahrung

Sicherheit ist für jede Organisation wichtig, Sie müssen jedoch ein Gleichgewicht zwischen Sicherheit und Benutzererfahrung finden. Sie könnten beispielweise eine hochsichere Umgebung haben, die Benutzer mühselig ist. Bei einer sehr benutzerfreundlichen Umgebung ist wiederum die Zugriffssteuerung nicht so streng. In den anderen Abschnitten dieses virtuellen Handbuchs werden Sicherheitsfeatures im Detail behandelt. Dieser Artikel enthält einen Überblick über allgemeine Sicherheitsanliegen und die in Endpoint Management verfügbaren Sicherheitsoptionen.

Wichtige Überlegungen für alle Anwendungsfälle:

  • Möchten Sie bestimmte Apps, das gesamte Gerät oder beides schützen?
  • Wie sollen sich die Benutzer authentifizieren? Möchten Sie LDAP, die zertifikatbasierte Authentifizierung oder beides zusammen verwenden?
  • Nach welcher Zeitdauer soll bei Benutzersitzungen ein Timeout auftreten? Beachten Sie, dass es für Hintergrunddienste, Citrix ADC und für den Offlinezugriff auf Apps unterschiedliche Timeouts gibt.
  • Sollen die Benutzer einen Passcode auf Geräteebene und auf App-Ebene einrichten? Wie viele Anmeldeversuche möchten Sie zulassen? Denken Sie an die zusätzlichen Anforderungen der Authentifizierung pro App, die ggf. mit MAM implementiert werden, und wie dies von den Benutzern wahrgenommen wird.
  • Welche weiteren Einschränkungen möchten Sie den Benutzern auferlegen? Sollen Benutzer Zugriff auf Cloudservices wie Siri erhalten? Was können die Benutzer mit den einzelnen von Ihnen zur Verfügung gestellten Apps tun und was nicht? Möchten Sie unternehmensweite Netzwerkrichtlinien (Wi-Fi) bereitstellen, damit mobile Datenkontingente nicht im Büro verbraucht werden?

Gegenüberstellung: Apps und Gerät

Zunächst sollten Sie überlegen, was Sie schützen möchten:

  • Nur bestimmte Apps (Mobilanwendungsverwaltung oder MAM)
  • Das gesamte Gerät (Mobilgeräteverwaltung oder MDM)
  • MDM+MAM

Wenn Sie keine Steuerung auf Geräteebene benötigen, müssen Sie meist nur die mobilen Apps verwalten, insbesondere wenn Sie BYOD-Geräte (Bring Your Own Device) zulassen.

Benutzer mit nicht von Endpoint Management verwalteten Geräten können Apps über den App-Store installieren. Anstelle einer Steuerung auf Gerätebasis, etwa der selektiven oder vollständigen Löschung der Daten auf einem Gerät, steuern Sie den Zugriff auf Apps über App-Richtlinien. Je nach Einstellung erfordern die Richtlinien, dass Geräte regelmäßig Endpoint Management abfragen, um sicherzustellen, dass Apps weiterhin zugelassen sind.

Mit MDM können Sie ein ganzes Gerät schützen und dabei auch einen Bestand von dessen Software aufstellen. Mit MDM können Sie die Registrierung von Geräten mit Jailbreak, Rooting oder nicht sicherer Software unterbinden. Eine so umfassende Kontrolle macht die Benutzer jedoch misstrauisch und kann dazu führen, dass weniger persönliche Geräte registriert werden.

Authentifizierung

Die Authentifizierung spielt für die Benutzererfahrung eine große Rolle. Wenn in Ihrer Organisation bereits Active Directory in Verwendung ist, bietet es die einfachste Möglichkeit für den Benutzerzugriff auf das System.

Ein wichtiger Aspekt der Benutzererfahrung bei der Authentifizierung sind Timeouts. In hochsicheren Umgebungen müssen sich Benutzer ggf. bei jedem Zugriff auf das System anmelden. Dies ist möglicherweise keine ideale Option für alle Organisationen oder Anwendungsfälle.

Benutzerentropie

Für zusätzliche Sicherheit können Sie ein Feature namens Benutzerentropie aktivieren. Citrix Secure Hub und einige weitere Apps verwenden häufig gemeinsame Daten wie Kennwörter, PINs und Zertifikate, um sicherzustellen, dass alles ordnungsgemäß funktioniert. Diese Informationen werden in einem generischen Tresor in Secure Hub gespeichert. Wenn Sie die Benutzerentropie über die Option Encrypt Secrets aktivieren, erstellt Endpoint Management einen Tresor namens “UserEntropy”. Endpoint Management verschiebt die Informationen aus dem allgemeinen Tresor in diesen neuen Tresor. Damit Secure Hub bzw. andere Apps auf die Informationen zugreifen können, müssen die Benutzer ein Kennwort oder eine PIN eingeben.

Durch Aktivieren der Benutzerentropie wird an mehreren Stellen eine weitere Authentifizierungsebene hinzugefügt. Daher müssen sich die Benutzer immer authentifizieren, wenn eine App Zugriff auf freigegebene Daten im UserEntropy-Tresor (einschließlich Kennwörter, PINs und Zertifikate) benötigt.

Weitere Informationen zur Benutzerentropie finden Sie unter Informationen zum MDX Toolkit. Die Einstellungen zum Aktivieren der Benutzerentropie finden Sie in den Clienteigenschaften.

Richtlinien

MDX- und MDM-Richtlinien bieten große Flexibilität, sie können jedoch auch die Benutzer einschränken. In manchen Situationen mag dies erwünscht sein, Richtlinien können jedoch ein System auch unbrauchbar machen. Beispielsweise können Sie den Zugriff auf Cloudanwendungen wie Siri oder iCloud sperren, von denen aus sensible Daten an externe Ziele gesendet werden könnten. Sie können eine Richtlinie einrichten, um den Zugriff auf diese Dienste zu sperren, eine solche Richtlinie kann aber unbeabsichtigte Konsequenzen haben. Beispielsweise benötigt das iOS-Tastaturmikrofon auf Cloudzugriff.

Apps

Das Enterprise Mobility Management (EMM) besteht aus dem Mobile Device Management (MDM) und dem Mobile Application Management (MAM). Mit MDM können Unternehmen Mobilgeräte schützen und steuern und MAM erleichtert die Bereitstellung und Verwaltung von Apps. Mit der zunehmenden Akzeptanz von BYOD können Sie in der Regel eine MAM-Lösung wie Endpoint Management zur Unterstützung folgender Verfahren implementieren:

  • App-Bereitstellung
  • Softwarelizenzierung
  • Konfiguration
  • App-Lebenszyklusmanagement

Mit Endpoint Management können Sie diese Apps noch sicherer machen, indem Sie bestimmte MAM-Richtlinien und VPN-Einstellungen konfigurieren, um Datenlecks und andere Sicherheitsbedrohungen zu vermeiden. Bei Endpoint Management können MDM- und MAM-Funktionen in derselben Umgebung flexibel eingesetzt werden.

Zusätzlich zur App-Bereitstellung für Mobilgeräte ermöglicht Endpoint Management die App-Containerization per MDX-Technologie. MDX sichert Apps durch Verschlüsselung, separat von der Verschlüsselung auf Geräteebene, die von der Plattform bereitgestellt wird. Sie können Apps löschen und sperren. Apps unterliegen einer detaillierten richtlinienbasierten Steuerung. Unabhängige Softwarehersteller (ISV) können diese Steuerelemente über das Mobile Apps SDK anwenden.

In Unternehmensumgebungen verwenden Benutzer eine Reihe von mobilen Apps für ihre Arbeit. Dabei kann es sich um Apps aus einem öffentlichen App-Store, um unternehmensintern entwickelte Apps oder native Apps handeln. In Endpoint Management werden die Apps wie folgt kategorisiert:

Öffentliche Apps: Kostenlose oder kostenpflichtige Apps in einem öffentlichen App-Store, z. B. Apple App Store oder Google Play. Unternehmensexterne Hersteller bieten ihre Apps häufig in öffentlichen App-Stores an. Die Kunden können solche Apps direkt aus dem Internet herunterladen. Je nach Bedarf werden in einem Unternehmen u. U. zahlreiche öffentliche Apps in verwendet. Beispiele für solche Apps sind GoToMeeting, Salesforce und EpicCare.

Citrix unterstützt das direkte Herunterladen von App-Binärdateien aus öffentlichen App-Stores und das anschließende Umschließen mit dem MDX Toolkit zur Verteilung im Unternehmen nicht. Um Apps von Drittanbietern MDX-fähig zu machen, wenden Sie sich an den App-Anbieter, um die Binärdateien zu erhalten. Sie können die Binärdateien mit dem MDX Toolkit umschließen oder das MAM-SDK in die Binärdateien integrieren.

Intern entwickelte Apps: In vielen Unternehmen gibt es interne Entwickler, die Apps für spezifische Zwecke und zur unabhängigen Verteilung im Unternehmen entwickeln. In manchen Fällen haben Unternehmen auch Apps von ISV. Sie können solche Apps als native Apps bereitstellen oder mithilfe einer MAM-Lösung wie Endpoint Management eine Containerization durchführen. Beispielsweise kann eine Gesundheitsorganisation eine interne App erstellen, mit der Ärzte Patientendaten auf Mobilgeräten anzeigen können. Anschließend wird MAM-SDK in die App integriert oder die App wird mit MDM umschlossen, um die Patientendaten zu schützen und den VPN-Zugriff auf den Backendserver mit der Patientendatenbank zu ermöglichen.

Web- und SaaS-Apps: Apps, auf die über ein internes Netzwerk (Web-Apps) oder ein öffentliches Netzwerk (SaaS-Apps) zugegriffen wird. Mit Endpoint Management können Sie auch benutzerdefinierte Web- und SaaS-Apps unter Einsatz mehrerer App-Connectors erstellen. Die App-Connectors können das Single Sign-On (SSO) für bestehende Web-Apps vereinfachen. Einzelheiten finden Sie unter App-Connectortypen. Sie können beispielsweise Google Apps SAML für das SSO basierend auf SAML (Security Assertion Markup Language) für Google Apps verwenden.

Mobile Produktivitätsapps: Mobile Produktivitätsapps sind von Citrix entwickelte Apps, die in der Endpoint Management-Lizenz enthalten sind. Einzelheiten finden Sie unter Mobile Produktivitätsapps. Citrix bietet auch andere Business-fähige Apps. ISV entwickeln einsatzfertige Apps mit dem Mobile Apps SDK.

HDX-Apps: HDX-Apps sind unter Windows gehostete Apps, die mit StoreFront veröffentlicht werden. In einer Citrix Virtual Apps and Desktops-Umgebung können Sie solche Apps in Endpoint Management integrieren, um sie registrierten Benutzern zur Verfügung zu stellen.

Die zugrunde liegende Konfiguration und Architektur hängt von der Art der Apps ab, die Sie mit Endpoint Management bereitstellen und verwalten möchten. Beispiel: Mehrere Benutzergruppen mit diversen Berechtigungsstufen sollen eine einzige App verwenden. In dem Fall können Sie separate Bereitstellungsgruppen erstellen, um zwei Versionen der App bereitzustellen. Stellen Sie sicher, dass sich die Benutzergruppenmitgliedschaft gegenseitig ausschließt, um Richtlinienkonflikte auf Benutzergeräten zu vermeiden.

Sie sollten ggf. auch die Lizenzierung von iOS-Apps über Apple Volume Purchase verwalten. Diese Option erfordert die Registrierung für das Apple Volume Purchase-Programm. Sie müssen zudem die Volume Purchase-Einstellungen über die Endpoint Management-Konsole konfigurieren. Mit dieser Konfiguration können Sie die Apps mit den Volume Purchase-Lizenzen verteilen. Bei vielen Anwendungsfällen muss die MAM-Strategie vor Implementierung der Endpoint Management-Umgebung bewertet und geplant werden. Die Planung Ihrer MAM-Strategie können Sie durch Aufstellung folgender Elemente beginnen:

App-Arten: Machen Sie eine Liste der verschiedenen App-Arten, die Sie unterstützen möchten. Kategorisieren Sie diese dann, z. B. als öffentliche oder native Apps, mobile Citrix Produktivitäts-Apps, Web-Apps, hausinterne Apps und ISV-Apps. Kategorisieren Sie die Apps auch nach Geräteplattform (z. B. iOS und Android). Diese Kategorisierung hilft beim Koordinieren der Endpoint Management-Einstellungen, die für jeden App-Typ erforderlich sind. Beispielsweise sind bestimmte Apps möglicherweise nicht für das Umschließen geeignet. Oder für einige Apps muss möglicherweise das Mobile Apps SDK verwendet werden, um spezielle APIs für die Interaktion mit anderen Apps zu aktivieren.

Netzwerkanforderungen: Konfigurieren Sie Apps mit bestimmten Netzwerkzugriffsanforderungen mit den entsprechenden Einstellungen. Beispielsweise erfordern bestimmte Apps möglicherweise Zugriff auf das interne Netzwerk über ein VPN. Andere Apps benötigen ggf. das Internet für das Zugriffsrouting über die DMZ. Damit solche Apps eine Verbindung mit dem gewünschten Netzwerk herstellen können, müssen Sie verschiedene Einstellungen entsprechend konfigurieren. Definieren Sie Netzwerkanforderungen für jede App, um die Architektur vorab zu wählen. Durch diese Vorbereitung wird die Implementierung rationalisiert.

Sicherheitsanforderungen: Definieren Sie die Sicherheitsanforderungen, die für einzelne und/oder alle Apps gelten sollen. Manche Einstellungen, z. B. die MDX-Richtlinien, gelten für einzelne Apps Sitzungs- und Authentifizierungseinstellungen gelten für alle Apps. Einige Apps haben möglicherweise besondere Anforderungen an Verschlüsselung, Containerization, Umschließen, Authentifizierung, Geofencing, Passcode oder Datenfreigabe. Stellen Sie im Voraus eine Übersicht über diese Anforderungen zusammen, um Ihre Bereitstellung zu vereinfachen.

Bereitstellungsvoraussetzungen: Über eine richtlinienbasierte Bereitstellung können Sie bei Bedarf dafür sorgen, dass nur berechtigte Benutzer die veröffentlichten Apps herunterladen können. Möglicherweise sollen bestimmte Apps Folgendes erfordern:

  • Geräteplattformbasierte Verschlüsselung ist aktiviert
  • Gerät wird verwaltet
  • Gerät hat eine Mindestversion des Betriebssystems
  • bestimmte Apps nur für Unternehmensbenutzer verfügbar

Stellen Sie solche Anforderungen im Voraus zusammen, damit Sie die entsprechenden Bereitstellungsregeln oder -aktionen konfigurieren können.

Lizenzanforderungen: Machen Sie eine Liste der Lizenzanforderungen für die Apps. Anhand der Liste können Sie die Lizenznutzung effektiv verwalten und entscheiden, ob Sie zur Vereinfachung der Lizenzierung bestimmte Features in Endpoint Management konfigurieren müssen. Wenn Sie beispielsweise eine kostenlose oder kostenpflichtige iOS-App bereitstellen, setzt Apple Lizenzanforderungen durch, indem Benutzer sich bei ihrem Apple Store-Konto anmelden müssen. Sie können sich für das Apple Volume Purchase registrieren, um solche Apps über Endpoint Management zu verteilen und zu verwalten. Über Volume Purchase können Benutzer die Apps ohne Anmeldung bei ihrem Apple Store-Konto herunterladen. Außerdem müssen Tools wie Samsung SAFE und Samsung Knox spezielle Lizenzanforderungen erfüllen, bevor diese Funktionen bereitgestellt werden.

Anforderungen für Positiv- und Sperrlisten: Sie möchten wahrscheinlich das Installieren oder Verwenden mancher Apps unterbinden. Erstellen Sie eine Positivliste der Apps, mit denen ein Gerät seine Richtlinientreue verliert. Richten Sie anschließend Richtlinien ein, die ausgelöst werden, wenn ein Gerät nicht mehr richtlinientreu ist. Auf der anderen Seite kann die Verwendung einer App akzeptabel sein, die App jedoch aus einem bestimmten Grund unter die Sperrliste fallen. In dem Fall können Sie die App auf eine Positivliste setzen und angeben, dass sie akzeptabel ist aber nicht benötigt wird. Bedenken Sie auch, dass auf neuen Geräten einige häufig verwendete Apps vorinstalliert sein können, die nicht Teil des Betriebssystems sind. Solche Apps könnten zu Konflikten mit Ihrer Sperrlistenstrategie führen.

Apps-Anwendungsfall

Eine Gesundheitsorganisation plant die Bereitstellung von Endpoint Management als MAM-Lösung für ihre mobilen Apps. Die Apps werden Benutzern mit Unternehmensgeräten und BYOD-Benutzern zur Verfügung gestellt. Die IT entscheidet sich für die Bereitstellung und Verwaltung der folgenden Apps:

  • Mobile Produktivitätsapps: iOS- und Android-Apps von Citrix.
  • Citrix Files: App für den Zugriff auf geteilte Daten und zum Teilen, Synchronisieren und Bearbeiten von Dateien.

Öffentlicher App-Store

  • Secure Hub: Client, der von allen Mobilgeräten zur Kommunikation mit Endpoint Management verwendet wird. Die IT überträgt über den Secure Hub-Client per Push Sicherheitseinstellungen, Konfigurationen und mobile Apps auf Mobilgeräte. Android- und iOS-Geräte registrieren sich über Secure Hub bei Endpoint Management.
  • Citrix Workspace-App: Mobile App, mit der Benutzer unter Citrix Virtual Apps gehostete Apps auf Mobilgeräten öffnen können.
  • GoToMeeting: Client für Online-Meetings, Desktopfreigabe und Videokonferenzen, mit dem Benutzer Besprechungen mit anderen Computerbenutzern, Kunden oder Kollegen über das Internet in Echtzeit abhalten können.
  • SalesForce1: Mit Salesforce1 können Benutzer von Mobilgeräten aus auf Salesforce zugreifen. Die App vereint für Salesforce-Benutzer alle Chatter-, CRM- und benutzerdefinierten Apps sowie Geschäftsprozesse in einer einheitlichen Umgebung.
  • RSA SecurID: softwarebasiertes Token für die zweistufige Authentifizierung.
  • EpicCare-Apps: Apps für medizinisches Personal, mit denen sicher und mobil auf Patientendaten, Zeitpläne und Nachrichten zugegriffen werden kann.
    • Haiku: mobile App für iPhones und Android-Smartphones.
    • Canto: mobile App für iPads.
    • Rover: mobile Apps für iPhones und iPads.

HDX: HDX-Apps werden über Citrix Virtual Apps in Citrix Workspace bereitgestellt.

  • Epic Hyperspace: Epic-Client zur Verwaltung elektronischer Patientenakten.

ISV

  • Vocera: HIPAA-kompatible Voice-over-IP- und Messaging-App, zur Nutzung der Vocera-Sprachtechnologie auf iPhones und Android-Smartphones.

Interne Apps

  • HCMail: App zur Erstellung verschlüsselter Nachrichten, zum Durchsuchen von Adressbüchern auf internen Mailservern und zum Senden verschlüsselter Nachrichten über einen E-Mail-Client an Kontakte.

Interne Web-Apps

  • PatientRounding: Web-App zur Erfassung von Patientendaten in verschiedenen Abteilungen.
  • Outlook Web Access: ermöglicht den Zugriff auf E-Mails über einen Webbrowser.
  • SharePoint: wird für die unternehmensweite Datei- und Datenfreigabe verwendet.

Die folgende Tabelle enthält die grundlegenden, für die MAM-Konfiguration erforderlichen Informationen.

App-Name App-Typ Mit MDX umschlossen iOS Android
Secure Mail Mobile Produktivitätsapp Ab Version 10.4.1 nein Ja Ja
Secure Web Mobile Produktivitätsapp Ab Version 10.4.1 nein Ja Ja
Citrix Files Mobile Produktivitätsapp Ab Version 10.4.1 nein Ja Ja
Secure Hub Öffentliche App Nicht verfügbar Ja Ja
Citrix Workspace-App Öffentliche App Nicht verfügbar Ja Ja
GoToMeeting Öffentliche App Nicht verfügbar Ja Ja
SalesForce1 Öffentliche App Nicht verfügbar Ja Ja
RSA SecurID Öffentliche App Nicht verfügbar Ja Ja
Epic Haiku Öffentliche App Nicht verfügbar Ja Ja
Epic Canto Öffentliche App Nicht verfügbar Ja Nein
Epic Rover Öffentliche App Nicht verfügbar Ja Nein
Epic Hyperspace HDX-App Nicht verfügbar Ja Ja
Vocera ISV-App Ja Ja Ja
HCMail Interne App Ja Ja Ja
PatientRounding Web-App Nicht verfügbar Ja Ja
Outlook Web Access Web-App Nicht verfügbar Ja Ja
SharePoint Web-App Nicht verfügbar Ja Ja

In den folgenden Tabellen sind spezifische Anforderungen aufgeführt, die Sie bei der Konfiguration von MAM-Richtlinien in Endpoint Management konsultieren können.

App-Name VPN erforderlich Interaktion (mit Container-externen Apps) Interaktion (von Container-externen Apps) Geräteplattformbasierte Verschlüsselung
Secure Mail J Selektiv zugelassen Zugelassen Nicht erforderlich
Secure Web J Zugelassen Zugelassen Nicht erforderlich
Citrix Files J Zugelassen Zugelassen Nicht erforderlich
Secure Hub J Nicht zutreffend Nicht zutreffend Nicht zutreffend
Citrix Workspace-App J Nicht zutreffend Nicht zutreffend Nicht zutreffend
GoToMeeting N Nicht zutreffend Nicht zutreffend Nicht zutreffend
SalesForce1 N Nicht zutreffend Nicht zutreffend Nicht zutreffend
RSA SecurID N Nicht zutreffend Nicht zutreffend Nicht zutreffend
Epic Haiku J Nicht zutreffend Nicht zutreffend Nicht zutreffend
Epic Canto J Nicht zutreffend Nicht zutreffend Nicht zutreffend
Epic Rover J Nicht zutreffend Nicht zutreffend Nicht zutreffend
Epic Hyperspace J Nicht zutreffend Nicht zutreffend Nicht zutreffend
Vocera J Blockiert Blockiert Nicht erforderlich
HCMail J Blockiert Blockiert Erforderlich
PatientRounding J Nicht zutreffend Nicht zutreffend Erforderlich
Outlook Web Access J Nicht zutreffend Nicht zutreffend Nicht erforderlich
SharePoint J Nicht zutreffend Nicht zutreffend Nicht erforderlich
App-Name Proxy-Filter Lizenzierung Geofencing Mobile Apps SDK Mindestversion des Betriebssystems
Secure Mail Erforderlich Nicht zutreffend Selektiv erforderlich Nicht zutreffend Erzwungen
Secure Web Erforderlich Nicht zutreffend Nicht erforderlich Nicht zutreffend Erzwungen
Secure Notes Erforderlich Nicht zutreffend Nicht erforderlich Nicht zutreffend Erzwungen
Citrix Files Erforderlich Nicht zutreffend Nicht erforderlich Nicht zutreffend Erzwungen
Secure Hub Nicht erforderlich Volume Purchase Nicht erforderlich Nicht zutreffend Nicht erzwungen
Citrix Workspace-App Nicht erforderlich Volume Purchase Nicht erforderlich Nicht zutreffend Nicht erzwungen
GoToMeeting Nicht erforderlich Volume Purchase Nicht erforderlich Nicht zutreffend Nicht erzwungen
SalesForce1 Nicht erforderlich Volume Purchase Nicht erforderlich Nicht zutreffend Nicht erzwungen
RSA SecurID Nicht erforderlich Volume Purchase Nicht erforderlich Nicht zutreffend Nicht erzwungen
Epic Haiku Nicht erforderlich Volume Purchase Nicht erforderlich Nicht zutreffend Nicht erzwungen
Epic Canto Nicht erforderlich Volume Purchase Nicht erforderlich Nicht zutreffend Nicht erzwungen
Epic Rover Nicht erforderlich Volume Purchase Nicht erforderlich Nicht zutreffend Nicht erzwungen
Epic Hyperspace Nicht erforderlich Nicht zutreffend Nicht erforderlich Nicht zutreffend Nicht erzwungen
Vocera Erforderlich Nicht zutreffend Erforderlich Erforderlich Erzwungen
HCMail Erforderlich Nicht zutreffend Erforderlich Erforderlich Erzwungen
PatientRounding Erforderlich Nicht zutreffend Nicht erforderlich Nicht zutreffend Nicht erzwungen
Outlook Web Access Erforderlich Nicht zutreffend Nicht erforderlich Nicht zutreffend Nicht erzwungen
SharePoint Erforderlich Nicht zutreffend Nicht erforderlich Nicht zutreffend Nicht erzwungen

Benutzergemeinschaften

Jede Organisation besteht aus mehreren Benutzergemeinschaften, die unterschiedliche funktionelle Rollen besitzen. Diese Benutzergemeinschaften führen unterschiedliche Aufgaben und Bürofunktionen aus und nutzen unterschiedliche Ressourcen, die Sie über Benutzergeräte bereitstellen. Manche Benutzer arbeiten von zu Hause oder an Remotestandorten und verwenden dabei die von Ihnen bereitgestellten Mobilgeräte. Andere Benutzer verwenden eigene Mobilgeräte für den Zugriff auf Tools, für die bestimmte Regeln zur Sicherheitskonformität gelten.

Je mehr Benutzer mit Mobilgeräten arbeiten, desto bedeutender wird das Enterprise Mobility Management (EMM), um Datenlecks zu verhindern. EMM ist auch wichtig, um die Sicherheitsbeschränkungen der Organisation durchzusetzen. Im Interesse einer effizienten und differenzierten Mobilgeräteverwaltung können Sie Benutzergemeinschaften auch in Kategorien unterteilen. Dies vereinfacht die Zuordnung von Benutzern zu Ressourcen und stellt sicher, dass die richtigen Sicherheitsrichtlinien angewandt werden.

Das folgende Beispiel zeigt, wie Benutzergemeinschaften in einer US-Organisation im Gesundheitssektor für EMM klassifiziert werden.

Anwendungsfall Benutzergemeinschaften

Dieses Klinikunternehmen bietet technologische Ressourcen und Zugriffsrechte für verschiedene Benutzer, darunter angestellte, externe und ehrenamtliche Mitarbeiter. Die Organisation plant, die EMM-Lösung nur für Benutzer bereitzustellen, die nicht zur Geschäftsleitung gehören.

Die Benutzerrollen und -funktionen im Unternehmen können in folgende Untergruppen unterteilt werden: Klinik, Verwaltung, Extern. Einige Benutzer erhalten firmeneigene Mobilgeräte, während andere über Privatgeräte eingeschränkt Zugriff auf Unternehmensressourcen haben. Um Sicherheitsbeschränkungen angemessen umzusetzen und Datenlecks zu vermeiden, soll das IT-Team der Organisation jedes registrierte Gerät verwalten. Dabei kann es sich um unternehmenseigene oder private Geräte (BYOD, Bring Your Own Device) handeln. Benutzer können zudem nur jeweils ein Gerät registrieren.

Der folgende Abschnitt bietet einen Überblick über die Rollen und Funktionen der einzelnen Untergruppen:

Klinik

  • Pflegepersonal
  • Mediziner (Ärzte, Chirurgen usw.)
  • Fachärzte (Anästhesisten, Radiologen, Kardiologen, Onkologen usw.)
  • Externe Mediziner (nicht angestellte Ärzte und Büromitarbeiter an Remotestandorten)
  • Hausbesuchsdienste (Büropersonal und mobile Mitarbeiter, die arztbezogene Dienste für Hausbesuche bei Patienten durchführen)
  • Forschungsspezialisten (Wissensarbeiter und Hauptbenutzer in sechs Forschungsinstituten, die in der klinischen Forschung tätig sind und medizinische Studien durchführen)
  • Schulungen, Aus- und Weiterbildung (Pflegepersonal, Mediziner und Pädagogen)

Verwaltung

  • Gemeinsam genutzte Dienste (Büromitarbeiter, die verschiedene Backoffice-Funktionen ausführen, z. B. Personalabteilung, Gehaltsabrechnung, Kreditorenbuchhaltung, Einkauf und Logistik)
  • Arztbezogene Dienste (Büromitarbeiter, die verschiedene Aufgaben im Bereich Gesundheitsmanagement und Administration ausüben und Geschäftsprozesslösungen für Anbieter bereitstellen. Dazu gehören Verwaltung und Geschäftsanalytik, Geschäftssysteme, Serviceangebote für Kunden und Patienten, Finanzwesen, Managed Care, Rentabilitätslösungen usw.)
  • Supportdienste (Büromitarbeiter, die Funktionen in verschiedenen nichtklinischen Bereichen ausüben: Arbeitgeberleistungen, klinische Integration, Kommunikation, Vergütung, Gebäudemanagement, Technologiesysteme für die Personalabteilung, Informationsdienste, internes Audit und Prozessoptimierung usw.)
  • Gemeinnützige Stiftungen (Büromitarbeiter und mobile Mitarbeiter, die verschiedene Funktionen im Rahmen philanthropischer Programme ausüben)

Auftragnehmer

  • Hersteller und Vertriebspartner (Bereitstellung diverser nicht-klinischer Supportfunktionen vor Ort und remote über Site-to-Site-VPN)

Auf der Grundlage dieser Informationen hat die Organisation folgende Entitäten erstellt. Weitere Informationen zu Bereitstellungsgruppen in Endpoint Management finden Sie unter Bereitstellen von Ressourcen.

Active Directory-Organisationseinheiten (OUs) und -Gruppen

Für OU = Endpoint Management-Ressourcen:

  • OU = Klinik; Gruppen =
    • XM - Pflegepersonal
    • XM - Mediziner
    • XM - Fachärzte
    • XM - Externe Mediziner
    • XM - Hausbesuchsdienste
    • XM - Forschungsspezialisten
    • XM - Schulungen, Aus- und Weiterbildung
  • OU = Verwaltung; Gruppen =
    • XM - Gemeinsam genutzte Dienste
    • XM - Arztbezogene Dienste
    • XM - Supportdienste
    • XM - Gemeinnützige Stiftungen

Lokale Benutzer und Gruppen in Endpoint Management

Für Gruppe = Auftragnehmer, Benutzer =

  • Anbieter 1
  • Anbieter 2
  • Anbieter 3
  • … Anbieter 10

Bereitstellungsgruppen in Endpoint Management

  • Klinik - Pflegepersonal
  • Klinik - Mediziner
  • Klinik - Fachärzte
  • Klinik - Externe Mediziner
  • Klinik - Hausbesuchsdienste
  • Klinik - Forschungsspezialisten
  • Klinik - Schulungen, Aus- und Weiterbildung
  • Verwaltung - Gemeinsam genutzte Dienste
  • Verwaltung - Arztbezogene Dienste
  • Verwaltung - Supportdienste
  • Verwaltung - Gemeinnützige Stiftungen

Zuordnung von Bereitstellungsgruppe und Benutzergruppe

Active Directory-Gruppen Bereitstellungsgruppen in Endpoint Management
XM - Pflegepersonal Klinik - Pflegepersonal
XM - Mediziner Klinik - Mediziner
XM - Fachärzte Klinik - Fachärzte
XM - Externe Mediziner Klinik - Externe Mediziner
XM - Hausbesuchsdienste Klinik - Hausbesuchsdienste
XM - Forschungsspezialisten Klinik - Forschungsspezialisten
XM - Schulungen, Aus- und Weiterbildung Klinik - Schulungen, Aus- und Weiterbildung
XM - Gemeinsam genutzte Dienste Verwaltung - Gemeinsam genutzte Dienste
XM - Arztbezogene Dienste Verwaltung - Arztbezogene Dienste
XM - Supportdienste Verwaltung - Supportdienste
XM - Gemeinnützige Stiftungen Verwaltung - Gemeinnützige Stiftungen

Bereitstellungsgruppen und Ressourcenzuordnung

Die folgenden Tabellen zeigen, welche Ressourcen in diesem Anwendungsfall welcher Bereitstellungsgruppe zugeordnet sind. Die erste Tabelle zeigt die Zuweisungen für mobile Apps. Die zweite Tabelle zeigt die Zuweisung öffentlicher Apps, von HDX-Apps und von Geräteverwaltungsressourcen.

Bereitstellungsgruppen in Endpoint Management Mobile Apps von Citrix Öffentliche mobile Apps Mobile HDX-Apps
Klinik - Pflegepersonal X    
Klinik - Mediziner      
Klinik - Fachärzte      
Klinik - Externe Mediziner X    
Klinik - Hausbesuchsdienste X    
Klinik - Forschungsspezialisten X    
Klinik - Schulungen, Aus- und Weiterbildung   X X
Verwaltung - Gemeinsam genutzte Dienste   X X
Verwaltung - Arztbezogene Dienste   X X
Verwaltung - Supportdienste X X X
Verwaltung - Gemeinnützige Stiftungen X X X
Auftragnehmer X X X
Bereitstellungsgruppen in Endpoint Management Öffentliche App: RSA SecurID Öffentliche App: EpicCare Haiku HDX-App: Epic Hyperspace Passcoderichtlinie Geräteeinschränkungen Automatisierte Aktionen Netzwerkrichtlinie
Klinik - Pflegepersonal             X
Klinik - Mediziner         X    
Klinik - Fachärzte              
Klinik - Externe Mediziner              
Klinik - Hausbesuchsdienste              
Klinik - Forschungsspezialisten              
Klinik - Schulungen, Aus- und Weiterbildung   X X        
Verwaltung - Gemeinsam genutzte Dienste   X X        
Verwaltung - Arztbezogene Dienste   X X        
Verwaltung - Supportdienste   X X        

Hinweise und Überlegungen

  • Endpoint Management erstellt bei der Erstkonfiguration die Standardbereitstellungsgruppe “Alle Benutzer”. Wenn Sie diese Bereitstellungsgruppe nicht deaktivieren, sind alle Active Directory-Benutzer berechtigt, sich bei Endpoint Management zu registrieren.
  • Endpoint Management synchronisiert Active Directory-Benutzer und -Gruppen bei Bedarf über eine dynamische Verbindung mit dem LDAP-Server.
  • Wenn ein Benutzer zu einer Gruppe gehört, die nicht in Endpoint Management zugeordnet ist, kann der Benutzer sich nicht registrieren. Wenn ein Benutzer Mitglied in mehreren Gruppen ist, kategorisiert Endpoint Management den Benutzer nur als Mitglied der Gruppen, die Endpoint Management zugeordnet sind.

Sicherheitsanforderungen

Die bei einer Endpoint Management-Umgebung zu beachtenden Sicherheitsaspekte können schnell zu einer Herausforderung werden. Es gibt viele ineinandergreifende Elemente und Einstellungen. Sie sind sich daher vielleicht nicht sicher, wo Sie anfangen und was Sie für ein akzeptables Sicherheitsniveau wählen sollen. Um diese Auswahl zu vereinfachen, gibt Citrix Empfehlungen für hohe, höhere und höchste Sicherheit. Diese sind in der folgenden Tabelle aufgeführt.

Die Auswahl des Verwaltungsmodus für Geräte (MAM, MDM+MAM mit optionalem MDM oder MDM+MAM mit erforderlichem MDM) sollte nicht allein auf der Basis von Sicherheitsüberlegungen erfolgen. Sie müssen auch die Anforderungen des Anwendungsfalls bedenken und überlegen, ob Sie Sicherheitsbedenken ausräumen können.

Hoch: Die Verwendung dieser Einstellungen bietet die optimale Benutzererfahrung bei gleichzeitiger Gewährleistung einer einfachen, für die meisten Organisationen akzeptablen Sicherheitsstufe.

Höher: Diese Einstellungen bewirken ein ausgeglicheneres Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit.

Höchste: Die Einhaltung dieser Empfehlungen bietet ein hohes Maß an Sicherheit auf Kosten von Benutzerfreundlichkeit und Benutzerakzeptanz.

Verwaltungsmodus – Sicherheitsüberlegungen

Die folgende Tabelle enthält die Verwaltungsmodi für jede Sicherheitsstufe.

Hohe Sicherheit Höhere Sicherheit Höchste Sicherheit
MDM+MAM MDM+MAM MDM+MAM

Hinweise:

  • Je nach Anwendungsfall kann eine Nur-MAM-Bereitstellung die Sicherheitsanforderungen erfüllen und eine gute Benutzererfahrung bieten.
  • Für Anwendungsfälle wie BYOD, bei denen alle geschäftlichen und Sicherheitsanforderungen mit bloßer App-Containerization erfüllt werden können, empfiehlt Citrix den Nur-MAM-Modus.
  • Für Umgebungen mit hoher Sicherheit (und vom Unternehmen gestellten Geräten) empfiehlt Citrix MDM+MAM zur Nutzung aller verfügbaren Sicherheitsfunktionen.

Citrix ADC und Citrix Gateway – Sicherheitsüberlegungen

Die folgende Tabelle enthält Empfehlungen für Citrix ADC und Citrix Gateway für jede Sicherheitsstufe.

Hohe Sicherheit Höhere Sicherheit Höchste Sicherheit
Citrix ADC wird empfohlen. Citrix Gateway ist für MAM und MDM+MAM erforderlich Standardkonfiguration des NetScaler für XenMobile-Assistenten mit SSL-Brücke, wenn Endpoint Management in der DMZ ist. SSL-Offload mit End-to-End-Verschlüsselung

Hinweise:

  • Das Öffnen des Endpoint Management-Servers zum Internet über NAT oder Proxys/Loadbalancer von Drittanbietern kann eine Option für MDM darstellen. In diesem Fall endet SSL-Datenverkehr jedoch auf einem Endpoint Management-Server, was ein Sicherheitsrisiko bedeutet.
  • In Umgebungen mit hoher Sicherheit werden die Sicherheitsanforderungen von Citrix Gateway mit der standardmäßigen Endpoint Management-Konfiguration erfüllt oder übertroffen.
  • Bei MDM-Registrierungen mit höchsten Sicherheitsanforderungen können Sie durch die SSL-Terminierung am Citrix Gateway den Datenverkehr am Umkreis untersuchen, wobei eine Ende-zu-Ende-SSL-Verschlüsselung gewährleistet ist.
  • Optionen zum Definieren von SSL-/TLS-Verschlüsselungsverfahren.
  • Weitere Informationen finden Sie unter Integration in Citrix Gateway und Citrix ADC.

Registrierung – Sicherheitsüberlegungen

Die folgende Tabelle enthält Empfehlungen für Citrix ADC und Citrix Gateway für jede Sicherheitsstufe.

Hohe Sicherheit Höhere Sicherheit Höchste Sicherheit
Nur Active Directory-Gruppenmitgliedschaft. Bereitstellungsgruppe “Alle Benutzer” deaktiviert. Sicherheitsmodus mit Registrierung nur auf Einladung. Nur Active Directory-Gruppenmitgliedschaft. Bereitstellungsgruppe “Alle Benutzer” deaktiviert. Registrierungssicherheitsmodus mit Bindung an Geräte-ID. Nur Active Directory-Gruppenmitgliedschaft. Bereitstellungsgruppe “Alle Benutzer” deaktiviert.

Hinweise:

  • Citrix empfiehlt generell, die Registrierung auf Benutzer in vordefinierten Active Directory-Gruppen zu beschränken. Für diese Einschränkung muss die integrierte Bereitstellungsgruppe “Alle Benutzer” deaktiviert werden.
  • Mit Registrierungseinladungen können Sie die Registrierung auf Benutzer beschränken, die eine Einladung erhalten haben. Registrierungseinladungen sind für Windows-Geräte nicht verfügbar.
  • Sie können Registrierungseinladungen mit Einmal-PIN (OTP) als Lösung für die zweistufige Authentifizierung nutzen und vorgeben, wie viele Geräte jeder Benutzer registrieren kann. (OTP-Einladungen sind für Windows-Geräte nicht verfügbar.)

Überlegungen zur Sicherheit von Gerätepasscodes

Die folgende Tabelle enthält Empfehlungen für den Gerätepasscode für jede Sicherheitsstufe.

Hohe Sicherheit Höhere Sicherheit Höchste Sicherheit
Empfohlen. Für die Verschlüsselung auf Geräteebene ist hohe Sicherheit erforderlich. Kann über MDM erzwungen werden. Kann für Nur-MAM-Umgebungen über die MDX-Richtlinie “Verhalten für nicht richtlinientreue Geräte” erzwungen werden. Wird über eine MDM-, MAM- oder MDM+MAM-Richtlinie erzwungen. Wird über eine MDM- und MDX-Richtlinie erzwungen. MDM-Richtlinie “Komplexer Passcode”.

Hinweise:

  • Citrix empfiehlt die Verwendung eines Gerätepasscodes.
  • Sie können die Verwendung von Gerätepasscodes über eine MDM-Richtlinie erzwingen.
  • Sie können über eine MDX-Richtlinie festlegen, dass ein Geräte-Passcode Voraussetzung für die Verwendung verwalteter Apps ist, beispielsweise für Anwendungsfälle mit BYOD.
  • Citrix empfiehlt, die Kombination von MDM- und MDX-Richtlinien zur größeren Sicherheit für MDM+MAM-Registrierungen.
  • In Umgebungen mit höchsten Sicherheitsanforderungen können Sie Richtlinien für komplexe Passcodes konfigurieren und über MDM erzwingen. Sie können automatische Aktionen konfigurieren, um Administratoren zu benachrichtigen oder selektive/vollständige Gerätelöschungen zu veranlassen, wenn ein Gerät einer Passcoderichtlinie nicht entspricht.
Sicherheit und Benutzererfahrung