XenMobile Server: Aktuelles Release

Richtlinien für Geräte und Apps

XenMobile Geräte- und App-Richtlinien ermöglichen einen optimierten Ausgleich mehrerer Faktoren. Dazu gehören beispielsweise:

  • Unternehmenssicherheit
  • Schutz der Daten und Anlagen von Unternehmen
  • Schutz von Benutzerdaten
  • Produktive und positive Benutzererfahrung

Der optimale Ausgleich dieser Faktoren kann variieren. Stark regulierte Organisationen, beispielsweise im Finanzsektor, benötigen strengere Sicherheitsmechanismen als andere Branchen, z. B. Bildung und Einzelhandel, wo es vor allem auf die Produktivität der Benutzer ankommt.

Durch zentrale Steuerung und Konfiguration von Richtlinien auf der Grundlage von Identität, Geräten, Standort und Verbindungstyp des Benutzers können Sie die missbräuchliche Nutzung von Unternehmensinhalten wirksam einschränken. Falls ein Gerät verloren oder gestohlen wird, können Sie Unternehmensanwendungen und -daten remote deaktivieren, sperren oder löschen. Das Gesamtergebnis ist eine Lösung, mit der die Zufriedenheit und Produktivität der Mitarbeiter erhöht wird, während Sicherheit und administrative Steuerung ebenfalls gewährleistet sind.

Der Hauptschwerpunkt dieses Artikels liegt auf den zahlreichen Geräte- und App-Richtlinien, die in Verbindung mit der Sicherheit konfiguriert werden können.

Richtlinien zur Einschränkung von Sicherheitsrisiken

XenMobile Geräte- und App-Richtlinien berücksichtigen zahlreiche Situationen, die ein Sicherheitsrisiko darstellen können. Dazu gehören beispielsweise:

  • Benutzer versuchen, über nicht vertrauenswürdige Geräte oder an unsicheren Standorten auf Apps und Daten zuzugreifen.
  • Benutzer senden Daten von Gerät zu Gerät.
  • Ein nicht autorisierter Benutzer will auf Daten zugreifen.
  • Benutzer, die ihr Privatgerät für die Arbeit verwendet haben (BYOD), verlassen die Firma.
  • Ein Benutzer verliert ein Gerät.
  • Benutzer müssen immer sicher auf das Netzwerk zugreifen.
  • Benutzer verwenden ein verwaltetes Privatgerät, und Sie müssen Firmendaten von persönlichen Daten trennen.
  • Die Benutzeranmeldeinformationen müssen nach Inaktivität eines Geräts überprüft werden.
  • Benutzer kopieren vertrauliche Inhalte über die Zwischenablage in nicht geschützte E-Mail-Systeme.
  • Benutzer empfangen E-Mail-Anlagen oder Weblinks mit vertraulichen Daten auf einem Gerät, auf dem Privat- und Firmenkonten angelegt sind.

Diese Situationen verweisen auf zwei Hauptbereiche, die beim Schutz von Firmendaten Probleme verursachen können:

  • Datenspeicherung
  • Datenübertragung

Schutz ruhender Daten durch XenMobile

Daten, die auf mobilen Geräten gespeichert sind, werden auch ruhende Daten genannt. XenMobile verwendet die von den iOS- und Android-Plattformen bereitgestellte Geräteverschlüsselung. XenMobile ergänzt die plattformbasierte Verschlüsselung um Features, wie z. B. die Complianceprüfung, die über das Citrix MAM SDK verfügbar sind.

Die MAM-Funktionen in XenMobile bieten Sicherheit und Verwaltungsfunktionen für alle mobilen Produktivitätsapps, MDX-aktivierten Apps und zugehörige Daten.

Das SDK für mobile Apps ermöglicht die Bereitstellung von Apps über XenMobile mit der Citrix MDX-App-Containertechnologie. Die Containertechnologie trennt auf den Geräten der Benutzer Unternehmens-Apps und -Daten von persönlichen Apps und -Daten. Durch die Trennung der Daten können Sie benutzerdefinierte Apps, Drittanbieter-Apps oder mobile BYO-Apps durch umfassende richtlinienbasierte Steuerelemente sichern.

XenMobile enthält auch Verschlüsselung auf App-Ebene. XenMobile verschlüsselt die in einer MDX-aktivierten App gespeicherten Daten separat und ohne erforderlichen Passcode des Gerätes. Sie müssen das Gerät auch nicht verwalten, um die Richtlinie umsetzen zu können.

Richtlinien und das Mobile Apps SDK ermöglichen Folgendes:

  • Geschäftliche und private Apps und Daten werden separat in einem sicheren mobilen Container gespeichert.
  • Sichere Apps durch Verschlüsselung und andere Technologien zum Verhindern von Datenverlust bei mobilen Daten.

MDX-Richtlinien bieten zahlreiche Steuerungsmöglichkeiten. Sie können die nahtlose Integration zwischen Apps aktivieren, die MAM-SDK-fähig oder MDX-umschlossen sind und gleichzeitig die gesamte Kommunikation steuern. Auf diese Weise können Sie Richtlinien erzwingen und beispielsweise sicherstellen, dass nur MAM-SDK-fähige Apps oder Apps, die mit MDX umschlossen wurden, auf Daten zugreifen können.

Neben der Steuerung von Geräte- und App-Richtlinien lassen sich ruhende Daten am besten über eine Verschlüsselung schützen. XenMobile fügt eine Verschlüsselungsebene für alle Daten ein, die in einer MDX-aktivierten App gespeichert sind. Dadurch erhalten Sie die Kontrolle über Richtlinien zur Verschlüsselung öffentlicher oder privater Dateien und zu Ausnahmen für die Verschlüsselung. Das Mobile Apps SDK verwendet FIPS 140-2-konforme AES-256-Bit-Verschlüsselung mit Schlüsseln, die in einem geschützten Citrix Geheimtresor gespeichert sind.

Schutz von Daten im Übertragungsprozess durch XenMobile

Daten, die zwischen Mobilgeräten des Benutzers und dem internen Netzwerk übertragen werden, heißen auch Daten im Übertragungsprozess. MDX-App-Container ermöglichen einen anwendungsspezifischen VPN-Zugriff auf Ihr internes Netzwerk über Citrix Gateway.

Betrachten Sie die Situation, in der Mitarbeiter von einem Mobilgerät aus auf die folgenden Ressourcen im sicheren Unternehmensnetzwerk zugreifen möchten:

  • Der Unternehmens-E-Mail-Server
  • Eine SSL-fähige Webanwendung, die im Unternehmensintranet gehostet wird
  • Auf einem Dateiserver oder Microsoft SharePoint gespeicherte Dokumente

MDX ermöglicht den Zugriff auf diese Unternehmensressourcen von mobilen Geräten über ein anwendungsspezifisches Micro-VPN. Jedes Gerät nutzt einen eigenen Micro-VPN-Tunnel.

Für die Micro-VPN-Funktionalität ist kein geräteübergreifendes VPN erforderlich, welches die Sicherheit auf nicht vertrauenswürdigen Mobilgeräten einschränken kann. Das interne Netzwerk ist keiner Schadsoftware und keinen Angriffen ausgesetzt, die das gesamte Unternehmenssystem infizieren können. Geschäftliche und private mobile Apps können nebeneinander auf dem Gerät existieren.

Um eine noch höhere Sicherheitsstufe anzubieten, können Sie für MDX-aktivierte Apps eine Richtlinie mit Alternativem Citrix Gateway konfigurieren. Diese legt die Authentifizierung und Micro-VPN-Sitzungen für eine App fest. Sie können ein Alternatives Citrix Gateway mit der Richtlinie “Onlinesitzung erforderlich” verwenden, um eine erneute Authentifizierung von Apps bei dem spezifischen Gateway zu erzwingen. Solche Gateways haben normalerweise unterschiedliche (höhere Sicherheit) Authentifizierungsanforderungen und Datenverwaltungsrichtlinien.

Neben Sicherheitsfeatures bietet das Micro-VPN-Feature Komprimierungsalgorithmen und andere Techniken zur Datenoptimierung. Komprimierungsalgorithmen stellen sicher, dass:

  • nur die Mindestmenge an Daten übertragen wird
  • die Übertragung in der schnellstmöglichen Zeit erfolgt. Die Geschwindigkeit verbessert die Benutzererfahrung und ist ein wichtiger Erfolgsfaktor bei der Akzeptanz mobiler Geräte.

Überprüfen Sie Ihre Geräterichtlinien in regelmäßigen Abständen, zum Beispiel in folgenden Situationen:

  • Wenn eine neue Version von XenMobile neue oder aktualisierte Richtlinien aufgrund veröffentlichter Gerätebetriebssystemupdates enthält
  • Beim Hinzufügen eines Gerätetyps:

    Obwohl viele Richtlinien für alle Geräte gelten, gibt es für jedes Gerät einen betriebssystemspezifischen Richtliniensatz. Daher gibt es möglicherweise Unterschiede zwischen iOS-, Android- und Windows-Geräten und sogar zwischen Android-Geräten verschiedener Hersteller.

  • Sie möchten XenMobile mit unternehmens- oder branchenspezifischen Änderungen synchronisieren, beispielsweise mit neuen Konformitätsanforderungen oder Sicherheitsrichtlinien im Unternehmen.
  • Eine neue Version des MAM-SDKs enthält neue oder aktualisierte Richtlinien.
  • Sie möchten eine App hinzufügen oder aktualisieren.
  • Zum Integrieren neuer Workflows für Ihre Benutzer aufgrund neuer Apps oder Anforderungen.

Szenarios für App-Richtlinien und Anwendungsfälle

Sie können zwar auswählen, welche Apps über Secure Hub verfügbar sind, vielleicht möchten Sie aber auch die Interaktion dieser Apps mit XenMobile definieren. Verwenden Sie App-Richtlinien:

  • Wenn Sie möchten, dass sich Benutzer nach einem bestimmten Zeitraum authentifizieren.
  • Wenn Sie Benutzern Offlinezugriff auf ihre Daten gewähren möchten.

Die folgenden Abschnitte enthalten einige der Richtlinien und Einsatzbeispiele.

  • Eine Liste aller Drittanbieterrichtlinien, die Sie mit dem MAM-SDK in Ihre iOS- und Android-App integrieren können, finden Sie unter Überblick über das MAM-SDK.
  • Eine Liste aller MDX-Richtlinien pro Plattform finden Sie unter MDX-Richtlinien.

Authentifizierungsrichtlinien

  • Gerätepasscode

    Verwendungszweck dieser Richtlinie: Aktivieren Sie die Passcoderichtlinie für Geräte, um festzulegen, dass ein Benutzer nur dann auf eine MDX-App zugreifen kann, wenn das Gerät einen aktivierten Passcode hat. Dieses Feature gewährleistet die Verwendung der iOS-Verschlüsselung auf Geräteebene.

    Benutzerbeispiel: Bei Aktivieren dieser Richtlinie müssen Benutzer einen Passcode auf ihrem iOS-Gerät festlegen, bevor sie auf die MDX-App zugreifen können.

  • App-Passcode

    Verwendungszweck dieser Richtlinie: Aktivieren Sie die Richtlinie für App-Passcodes, damit Benutzer in Secure Hub aufgefordert werden, sich bei der verwalteten App zu authentifizieren, bevor sie die App öffnen und auf Daten zugreifen können. Benutzer können sich über ihr Active Directory-Kennwort, die Citrix PIN oder die iOS Touch ID authentifizieren, je nachdem, was Sie in den XenMobile Server-Einstellungen unter “Clienteigenschaften” konfigurieren. Sie können unter “Clienteigenschaften” einen Inaktivitätstimer festlegen, damit Secure Hub bei andauernder Nutzung Benutzer erst nach Ablauf des Timers zur erneuten Authentifizierung bei der verwalteten App auffordert.

    Der App-Passcode unterscheidet sich vom Gerätepasscode, da beim Übertragen einer Gerätepasscode-Richtlinie an ein Gerät der Benutzer von Secure Hub aufgefordert wird, einen Passcode oder eine PIN zu konfigurieren. Diese müssen sie dann entsperren, bevor sie Zugriff auf ihr Gerät erhalten, entweder beim Einschalten des Geräts oder bei Ablauf des Inaktivitätstimers. Weitere Informationen finden Sie unter Authentifizierung in XenMobile.

    Benutzerbeispiel: Beim Öffnen von Citrix Secure Web auf dem Gerät müssen Benutzer nach Ablauf des Inaktivitätszeitraums ihre Citrix-PIN eingeben, bevor sie Websites durchsuchen können.

  • Onlinesitzung erforderlich

    Verwendungszweck dieser Richtlinie: Wenn eine Anwendung Zugriff auf eine Web-App (einen Webdienst) benötigt, aktivieren Sie diese Richtlinie. Benutzer werden dann in XenMobile aufgefordert, eine Verbindung mit dem Unternehmensnetzwerk herzustellen oder eine Sitzung zu aktivieren, bevor sie die App verwenden.

    Benutzerbeispiel: Wenn Benutzer eine MDX-App öffnen, für die die Richtlinie mit erforderlicher Onlinesitzung aktiviert ist, können sie die App erst dann verwenden, wenn sie über Wi-Fi oder ein Mobilnetz mit dem Netzwerk verbunden sind.

  • Maximale Offlinezeit

    Verwendungszweck dieser Richtlinie: Verwenden Sie diese Richtlinie, um sicherzustellen, dass Benutzer eine Anwendung nicht für längere Zeit offline ausführen können, ohne den App-Anspruch zu bestätigen und die Richtlinien von XenMobile zu aktualisieren.

    Benutzerbeispiel: Wenn Sie eine MDX-App mit maximaler Offlinezeit konfigurieren, kann der Benutzer die App bis zum Ablauf des Offlinetimers offline verwenden. Anschließend muss der Benutzer sich per Mobilnetz oder Wi-Fi-Dienst mit dem Netzwerk verbinden und sich auf Aufforderung erneut authentifizieren.

Weitere Zugriffsrichtlinien

  • Kulanzzeitraum für App-Update (Stunden)

    Verwendungszweck dieser Richtlinie: Der Kulanzzeitraum für App-Updates ist die Zeitdauer, vor deren Ablauf Benutzer eine App aktualisieren müssen, deren neue Version im XenMobile Store veröffentlicht wurde. Ist die Zeit abgelaufen, müssen Benutzer die App aktualisieren, bevor sie Zugriff auf die Daten in der App erhalten. Berücksichtigen Sie beim Festlegen dieses Werts die Anforderungen Ihrer mobilen Mitarbeiter, insbesondere von Benutzern, die aufgrund von Auslandsreisen längere Zeit offline sind.

    Benutzerbeispiel: Sie laden eine neue Version von Secure Mail in den XenMobile Store und definieren einen Kulanzzeitraum für das App-Update von 6 Stunden. Alle Benutzer von Secure Mail werden in einer Meldung aufgefordert, ihre Secure Mail-App innerhalb von 6 Stunden zu aktualisieren. Nach Ablauf der 6 Stunden werden Benutzer von Secure Hub zum XenMobile Store weitergeleitet.

  • Aktives Abfrageintervall (Minuten)

    Verwendungszweck der Richtlinie: Das aktive Abfrageintervall ist der Zeitraum, in dem XenMobile prüft, wann für eine App notwendige Sicherheitsaktionen wie App sperren und App löschen durchzuführen sind.

    Benutzerbeispiel: Wenn Sie die Richtlinie für das aktive Abfrageintervall auf 60 Minuten festlegen und dann den Befehl zur App-Sperre von XenMobile an das Gerät senden, erfolgt die Sperre innerhalb von 60 Minuten nach der letzten Abfrage.

Richtlinien für nicht richtlinientreue Geräte

Wenn ein Gerät unter die Mindestanforderungen für die Compliance fällt, können Sie mit der Richtlinie “Verhalten für nicht richtlinientreue Geräte” wählen, welche Aktion ausgeführt wird. Informationen hierzu finden Sie unter Verhalten für nicht richtlinientreue Geräte.

App-Interaktionsrichtlinien

Verwendungszweck dieser Richtlinien: Verwenden Sie App-Interaktionsrichtlinien, um den Daten- und Dokumentenfluss von MDX-Apps zu anderen Apps auf dem Gerät zu steuern. Beispielsweise können Sie verhindern, dass Benutzer Daten in ihre persönlichen Apps außerhalb des Container verschieben oder externe Daten in die Apps im Container einfügen.

Benutzerbeispiel: Sie wählen für eine App-Interaktionsrichtlinie die Einstellung “Eingeschränkt”, sodass Benutzer Texte zwar von Secure Mail in Secure Web, nicht jedoch in ihren persönlichen Safari- oder Chrome-Browser außerhalb des Containers kopieren können. Darüber hinaus können Benutzer Dokumentanlagen aus Secure Mail zwar in Citrix Files oder Quick Edit öffnen, jedoch nicht in ihren persönlichen Dateianzeige-Apps, die außerhalb des Containers sind.

App-Einschränkungsrichtlinien

Verwendungszweck dieser Richtlinien: Mit App-Einschränkungsrichtlinien legen Sie fest, auf welche Features Benutzer aus einer geöffneten MDX-App heraus zugreifen können. Dies ist hilfreich, um schädliche Aktivitäten zu verhindern, während die App ausgeführt wird. Die App-Einschränkungsrichtlinien von iOS und Android unterscheiden sich leicht. In iOS können Sie beispielsweise den Zugriff auf iCloud blockieren, während die MDX-App ausgeführt wird. In Android können Sie NFC blockieren, während die MDX-App ausgeführt wird.

Benutzerbeispiel: Wenn Sie die App-Einschränkungsrichtlinie zum Blockieren des Diktierfunktion auf iOS in einer MDX-App aktivieren, können Benutzer diese Funktion nicht auf der iOS-Tastatur verwenden, während die MDX-App ausgeführt wird. Diktierte Daten können damit nicht an den unsicheren Cloud-Diktierdienst eines Drittanbieters weitergegeben werden. Wenn Benutzer ihre persönliche App außerhalb des Containers öffnen, können sie die Diktierfunktion weiterhin für ihre persönliche Kommunikation nutzen.

Richtlinien für den App-Netzwerkzugriff

Verwendungszweck dieser Richtlinien: Mit den Richtlinien für den App-Netzwerkzugriff ermöglichen Sie den Zugriff aus einer MDX-App im Container auf dem Gerät auf Daten in Ihrem Unternehmensnetzwerk. Verwenden Sie für die Netzwerkzugriffsrichtlinie die Option Tunnel zum internen Netzwerk, um ein automatisiertes Micro-VPN von der MDX-App über Citrix ADC zu einem Backend-Webdienst oder -Datenspeicher einzurichten.

Benutzerbeispiel: Wenn ein Benutzer eine MDX-App mit aktivierter Tunnelfunktion öffnet (z. B. Secure Web), wird der Browser geöffnet und eine Intranetsite gestartet, ohne dass der Benutzer ein VPN starten muss. Die Secure Web-App greift automatisch über das Micro-VPN auf die Intranetsite zu.

Richtlinien für App-Geolocation/-Geofencing

Verwendungszweck dieser Richtlinien: Mit diesen Richtlinien steuern Sie App-Geolocation/-Geofencing und legen Einstellungen wie Längengrad von Mittelpunkt, Breitengrad von Mittelpunkt und Radius fest. Die Richtlinien beschränken den Zugriff auf Daten in MDX-Apps auf einen bestimmten geografischen Bereich. Die Richtlinien definieren einen geografischen Bereich durch einen Radius mit Koordinaten für Längen- und Breitengrad. Wenn ein Benutzer versucht, eine App außerhalb des definierten Radius zu verwenden, bleibt die App gesperrt und der Benutzer hat keinen Zugriff auf die App-Daten.

Benutzerbeispiel: Ein Benutzer kann auf Daten zu Fusionen und Übernahmen zugreifen, während er sich im Büro befindet. Sobald er seinen Bürostandort verlässt, hat er keinen Zugriff auf diese vertraulichen Daten.

Secure Mail-App-Richtlinien

  • Hintergrundnetzwerkdienste

    Verwendungszweck dieser Richtlinie: Hintergrundnetzwerkdienste in Secure Mail verwenden Secure Ticket Authority (STA), eine Art SOCKS5-Proxy, um über Citrix Gateway eine Verbindung herzustellen. STA unterstützt längere Verbindungen und bietet eine bessere Akkulaufzeit im Vergleich zu Micro-VPN. STA ist daher ideal für E-Mail-Programme, die eine ständige Verbindung benötigen. Citrix empfiehlt, dass Sie diese Einstellungen für Secure Mail konfigurieren. Der Citrix ADC für XenMobile-Assistent richtet STA für Secure Mail automatisch ein.

    Benutzerbeispiel: Wenn STA nicht aktiviert ist, werden Android-Benutzer beim Öffnen von Secure Mail aufgefordert, ein VPN zu öffnen, das dann auf dem Gerät geöffnet bleibt. Wenn STA aktiviert ist, wird beim Öffnen von Secure Mail durch Android-Benutzer sofort eine Verbindung hergestellt und es ist kein VPN erforderlich.

  • Standardsynchronisierungsintervall

    Verwendungszweck dieser Richtlinie: Mit dieser Einstellung wird die Standardanzahl von Tagen festgelegt, für die eine E-Mail-Synchronisierung mit Secure Mail erfolgt, wenn ein Benutzer das erste Mal auf Secure Mail zugreift. Die Synchronisierung aller E-Mails der vergangenen 2 Wochen dauert länger als nur für 3 Tage und führt zu einem längeren Setup für den Benutzer.

    Benutzerbeispiel: Bei einem Standardsynchronisierungsintervall von 3 Tagen findet ein Benutzer nach dem ersten Einrichten von Secure Mail alle E-Mails im Posteingang, die er in den vergangenen 3 Tagen erhalten hat. Wenn ein Benutzer E-Mails anzeigen möchte, die älter als 3 Tage sind, kann er eine Suche durchführen. Secure Mail zeigt dann auch ältere E-Mails an, die auf dem Server gespeichert sind. Nach der Installation von Secure Mail kann jeder Benutzer diese Einstellung an seine Anforderungen anpassen.

Geräterichtlinien und Anwendungsverhalten

Geräterichtlinien (gelegentlich auch als MDM-Richtlinien bezeichnet) legen fest, wie XenMobile mit Geräten interagiert. Obwohl viele Richtlinien für alle Geräte gelten, gibt es für jedes Gerät einen betriebssystemspezifischen Richtliniensatz. Die folgende Liste enthält einige dieser Geräterichtlinien und erläutert, wie sie verwendet werden. Eine Liste aller Geräterichtlinien finden Sie unter Geräterichtlinien.

  • App-Bestandsrichtlinie

    Verwendungszweck dieser Richtlinie: Stellen Sie die App-Bestandsrichtlinie auf einem Gerät bereit, um sämtliche vom Benutzer installierten Apps anzuzeigen. Wenn Sie die App-Bestandsrichtlinie nicht bereitstellen, können Sie nur die vom Benutzer aus dem XenMobile Store installierten Apps anzeigen, nicht jedoch persönlich installierte Apps. Sie müssen diese Richtlinie verwenden, wenn Sie bestimmte Apps auf Unternehmensgeräten blockieren möchten.

    Benutzerbeispiel: Benutzer mit einem MDM-verwalteten Gerät können diese Funktion nicht deaktivieren. Die persönlich installierten Anwendungen des Benutzers sind für XenMobile-Administratoren sichtbar.

  • App-Sperre

    Verwendungszweck dieser Richtlinie: Mit der App-Sperre können Sie Apps in Android sperren oder zulassen. Durch Zulassen von Apps können Sie beispielsweise ein Kioskgerät konfigurieren. Normalerweise stellen Sie die Richtlinie mit App-Sperre nur auf Unternehmensgeräten bereit, da sie einschränkt, welche Apps von Benutzern installiert werden können. Sie können ein Kennwort festlegen, mit dem Benutzer die Sperre außer Kraft setzen und auf blockierte Apps zugreifen können.

    Benutzerbeispiel: Sie möchten eine App-Sperr-Richtlinie bereitstellen, um die “Angry Birds”-App zu blockieren. Benutzer können “Angry Birds” dann zwar von Google Play herunterladen und installieren, beim Öffnen der App erhalten sie jedoch eine Nachricht, dass die App vom Administrator blockiert wurde.

  • Verbindungszeitplanrichtlinie

    Verwendungszweck dieser Richtlinie: Sie müssen die Verbindungszeitplanrichtlinie verwenden, damit Windows Mobile-Geräte für Funktionen wie MDM-Verwaltung, App-Push und Richtlinienbereitstellung eine Verbindung mit XenMobile Server herstellen können. Für Android-, Android Enterprise- und Chrome OS-Geräte verwenden Sie stattdessen Google Firebase Cloud Messaging (FCM), um eine Verbindung zu XenMobile Server herzustellen. Es gibt folgende Verbindungszeitplanoptionen:

    • Immer: Die Verbindung bleibt jederzeit bestehen. Citrix empfiehlt diese Option zur Gewährleistung der optimalen Sicherheit. Wenn Sie Immer wählen, sollten Sie auch die Richtlinie für Verbindungstimer verwenden, um sicherzustellen, dass durch die Verbindung nicht der Akku entladen wird. Wenn Sie die Verbindung aufrechterhalten, können Sie Sicherheitsbefehle, wie Löschen und Sperren, bei Bedarf per Push auf dem Gerät bereitstellen. Aktivieren Sie unter “Bereitstellungszeitplan” auch die Option Bereitstellen für immer aktive Verbindungen für jede Richtlinie, die Sie auf dem Gerät bereitstellen.

    • Nie: Die Verbindung muss manuell hergestellt werden. Citrix empfiehlt, diese Option nicht für Produktionsumgebungen zu verwenden, da sie die Bereitstellung von Sicherheitsrichtlinien auf Geräten verhindert, sodass Benutzer nie neue Apps und Richtlinien erhalten.

    • Alle: Die Verbindung wird in dem hier ausgewählten Intervall hergestellt. Wenn diese Option aktiviert ist und Sie eine Sicherheitsrichtlinie wie eine Sperrung oder eine Datenlöschung senden, verarbeitet XenMobile die Richtlinie auf dem Gerät, wenn das Gerät das nächste Mal eine Verbindung herstellt.

    • Zeitplan festlegen: Wird diese Option aktiviert, versucht XenMobile auf dem Benutzergerät nach einer Netzwerkverbindungsunterbrechung eine Wiederherstellung der Verbindung mit XenMobile Server und überwacht die Verbindung durch regelmäßige Übertragung von Steuerpaketen innerhalb des von Ihnen definierten Zeitrahmens.

    Benutzerbeispiel: Sie möchten eine Passcoderichtlinie auf registrierten Geräten bereitstellen. Die Zeitplanrichtlinie gewährleistet, dass die Geräte sich in regelmäßigen Abständen erneut mit dem Server verbinden, um die neue Richtlinie abzufragen.

  • Anmeldeinformationen

    Verwendungszweck dieser Richtlinie: Diese Richtlinie wird oft mit einer Wi-Fi-Richtlinie verwendet. Sie ermöglicht es Ihnen, Authentifizierungszertifikate bereitzustellen, die für die Authentifizierung bei internen Ressourcen benötigt werden, die eine Zertifikatauthentifizierung erfordern.

    Benutzerbeispiel: Sie stellen eine Wi-Fi-Richtlinie bereit, um ein Drahtlosnetzwerk auf dem Gerät zu konfigurieren. Das Wi-Fi-Netzwerk erfordert ein Zertifikat für die Authentifizierung. Die Anmeldeinformationsrichtlinie stellt ein Zertifikat bereit, das dann im Schlüsselspeicher des Betriebssystems gespeichert wird. Benutzer können das Zertifikat dann beim Verbindungsaufbau mit der internen Ressource auswählen.

  • Exchange-Richtlinie

    Verwendungszweck dieser Richtlinie: XenMobile bietet zwei Optionen zum Bereitstellen von E-Mail mit Microsoft Exchange ActiveSync.

    • Secure Mail-App: Versand von E-Mails mit der Secure Mail-App, die Sie über den öffentlichen App-Store oder XenMobile Store verteilen.

    • Systemeigene E-Mail-App: Mit der Exchange-Richtlinie können Sie ActiveSync-E-Mail für den systemeigenen E-Mail-Client auf dem Gerät aktivieren. Mit der Exchange-Richtlinie für systemeigene E-Mail können Sie mit Makros die Benutzerdaten aus den Active Directory-Attributen übernehmen, z. B. ${user.username} für den Benutzernamen und ${user.domain} für die Benutzerdomäne.

    Benutzerbeispiel: Beim Bereitstellen der Exchange-Richtlinie senden Sie Exchange Server-Informationen an das Gerät. Der Benutzer wird dann von Secure Hub zur Authentifizierung aufgefordert, und die E-Mail-Synchronisierung wird gestartet.

  • Standort-/Ortungsrichtlinie

    Verwendungszweck dieser Richtlinie: Mit dieser Richtlinie können Sie den Standort von Geräten auf einer Karte abrufen, vorausgesetzt auf dem Gerät ist GPS für Secure Hub aktiviert. Wenn Sie nach dem Bereitstellen der Richtlinie einen Ortungsbefehl vom XenMobile-Server senden, antwortet das Gerät mit den Standortkoordinaten.

    Benutzerbeispiel: Wenn Sie die Standort-/Ortungsrichtlinie bereitstellen und GPS auf dem Gerät aktiviert ist, können Benutzer sich bei Verlust ihres Geräts beim XenMobile-Selbsthilfeportal anmelden und mit der Option “Orten” den Standort des Geräts auf einer Karte anzeigen. Der Benutzer legt fest, ob er die Verwendung von Positionsdiensten in Secure Hub zulässt. Sie können den Einsatz von Positionsdiensten nicht erzwingen, wenn Benutzer ein Gerät selbst registrieren. Die Auswirkung dieser Richtlinie auf die Akkulaufzeit ist ebenfalls zu berücksichtigen.

  • Passcoderichtlinie

    Verwendungszweck dieser Richtlinie: Mit einer Passcoderichtlinie können Sie einen PIN-Code oder ein Kennwort auf einem verwalteten Gerät durchsetzen. Sie können in der Passcoderichtlinie die Komplexität des Passcodes und Timeouts auf dem Gerät einstellen.

    Benutzerbeispiel: Beim Bereitstellen einer Passcoderichtlinie auf einem verwalteten Gerät wird der Benutzer von Secure Hub aufgefordert, einen Passcode oder eine PIN zu konfigurieren. Diese müssen sie dann entsperren, bevor sie Zugriff auf ihr Gerät erhalten, entweder beim Einschalten des Geräts oder nach Ablauf des Inaktivitätstimers.

  • Profilentfernungsrichtlinie

    Verwendungszweck dieser Richtlinie: Sie stellen eine Richtlinie für eine Gruppe von Benutzern bereit und müssen später die Richtlinie aus einer Untergruppe der Benutzer entfernen. Sie können die Richtlinie für ausgewählte Benutzer entfernen, indem Sie eine Profilentfernungsrichtlinie erstellen und über die Bereitstellungsregeln die Profilentfernungsrichtlinie nur für bestimmte Benutzernamen anwenden.

    Benutzerbeispiel: Das Bereitstellen einer Profilentfernungsrichtlinie auf Benutzergeräten fällt Benutzern u. U. überhaupt nicht auf. Wird mit der Profilentfernungsrichtlinie beispielsweise die Einschränkung entfernt, die bislang den Einsatz der Gerätekamera verhinderte, merkt der Benutzer nicht, dass die Kamera jetzt verwendet werden kann. Überlegen Sie, ob Sie Benutzer informieren, wenn Änderungen sich auf ihre Benutzererfahrung auswirken.

  • Einschränkungsrichtlinie

    Verwendungszweck dieser Richtlinie: Über die Einschränkungsrichtlinie können Sie Features und Funktionalität auf verwalteten Geräten auf vielfältige Weise sperren und steuern. Sie können hunderte von Einschränkungsoptionen für unterstützte Geräte aktivieren, vom Deaktivieren der Kamera oder des Mikrofons auf einem Gerät bis zum Durchsetzen von Roamingregeln und dem Steuern des Zugriffs auf Drittanbieterdienste, wie App-Stores.

    Benutzerbeispiel: Wenn Sie eine Einschränkung auf einem iOS-Gerät bereitstellen, können Benutzer u. U. nicht auf iCloud oder den Apple App Store zugreifen.

  • AGB-Richtlinie

    Verwendungszweck dieser Richtlinie: Sie müssen möglicherweise Benutzer auf rechtliche Auswirkungen hinweisen, die sich aus der Verwaltung ihres Geräts ergeben. Darüber hinaus sollten Sie Benutzer informieren, welche Sicherheitsrisiken mit dem Bereitstellen von Unternehmensdaten auf dem Gerät verbunden sind. Das benutzerdefinierte Dokument mit den AGB ermöglicht Ihnen die Veröffentlichung von Regeln und Hinweisen, bevor der Benutzer sich registriert.

    Benutzerbeispiel: Ein Benutzer sieht die AGB-Informationen während der Registrierung. Wenn er die Bedingungen nicht akzeptiert, wird die Registrierung beendet und er erhält keinen Zugriff auf Unternehmensdaten. Sie können Berichte für Personal- und Rechtsabteilung oder das Compliance-Team generieren, um anzuzeigen, wer die Nutzungsbedingungen akzeptiert oder abgelehnt hat.

  • VPN-Richtlinie

    Verwendungszweck dieser Richtlinie: Mit der VPN-Richtlinie gewähren Sie Zugriff auf Backend-Systeme mit älterer VPN-Gatewaytechnologie. Die Richtlinie unterstützt diverse VPN-Anbieter, einschließlich Cisco AnyConnect, Juniper und Citrix VPN. Die Richtlinie kann auch mit einer Zertifizierungsstelle verbunden werden und VPN bei Bedarf aktivieren, falls das VPN-Gateway diese Option unterstützt.

    Benutzerbeispiel: Bei aktivierter VPN-Richtlinie öffnet das Gerät eines Benutzers eine VPN-Verbindung, wenn der Benutzer auf eine interne Domäne zugreift.

  • Webclip-Richtlinie

    Verwendungszweck dieser Richtlinie: Mit dieser Richtlinie können Sie auf Geräten ein Symbol bereitstellen, das direkten Zugriff auf eine Website ermöglicht. Ein Webclip enthält einen Link zu einer Website und kann ein benutzerdefiniertes Symbol umfassen. Auf einem Gerät sieht ein Webclip wie ein App-Symbol aus.

    Benutzerbeispiel: Ein Benutzer kann durch Klicken auf ein Webclip-Symbol eine Website mit Diensten öffnen, auf die er zugreifen muss. Der Einsatz eines Weblinks ist benutzerfreundlicher, als eine Browserapp zu öffnen und eine Linkadresse einzugeben.

  • Wi-Fi-Richtlinie

    Verwendungszweck dieser Richtlinie: Mit der Wi-Fi-Richtlinie können Sie auf einem verwalteten Gerät Wi-Fi-Netzwerkangaben wie SSID, Authentifizierungs- und Konfigurationsdaten bereitstellen.

    Benutzerbeispiel: Wenn Sie die Wi-Fi-Richtlinie bereitstellen, verbindet sich das Gerät automatisch mit dem Wi-Fi-Netzwerk und authentifiziert den Benutzer, der damit Zugriff auf das Netzwerk erhält.

  • Windows Information Protection - Richtlinie

    Verwendungszweck dieser Richtlinie: Verwenden Sie die Windows Information Protection (WIP)-Richtlinie zum Schutz von Unternehmensdaten vor Verlust. Sie können angeben, welche Apps Windows Information Protection erfordern, und eine Erzwingungsstufe festlegen. Sie können beispielsweise jede unangemessene Datenfreigabe blockieren, vor einer unangemessenen Datenfreigabe warnen und Benutzern ermöglichen, die Richtlinie außer Kraft zu setzen. Sie können WIP im Hintergrund ausführen und unangemessene Datenfreigaben zulassen und protokollieren.

    Benutzerbeispiel: Sie möchten die WIP-Richtlinie so konfigurieren, dass eine unangemessene Datenfreigabe blockiert wird. Wenn ein Benutzer eine geschützte Datei kopiert oder an einem nicht geschützten Speicherort speichert, wird diese oder eine ähnliche Meldung angezeigt: Geschützte Arbeitsinhalte können nicht an diesem Ort abgelegt werden.

  • XenMobile Store-Richtlinie

    Verwendungszweck dieser Richtlinie: Der XenMobile-Store ist ein einheitlicher App-Store, in dem Administratoren alle Unternehmensressourcen wie Apps und Daten veröffentlichen können, die von Benutzern benötigt werden. Ein Administrator kann Folgendes hinzufügen:

    • Web-Apps, SaaS-Apps, MAM-SDK-fähige Apps, oder mit MDX umschlossene Apps
    • Mobile Produktivitätsapps von Citrix
    • Native mobile Apps wie IPA- oder APK-Dateien
    • Apps aus dem Apple App Store und von Google Play
    • Weblinks
    • Mit Citrix StoreFront veröffentlichte Citrix Virtual Apps

    Benutzerbeispiel: Nachdem ein Benutzer seine Geräte bei XenMobile registriert hat, kann er über Citrix Secure Hub auf den XenMobile Store zugreifen und alle für ihn verfügbaren Unternehmens-Apps und -Dienste anzeigen. Benutzer können Apps per Mausklick installieren, auf Daten zugreifen, Apps bewerten und App-Updates aus dem XenMobile Store herunterladen.

Richtlinien für Geräte und Apps