Verwaltungsmodi
Für jede XenMobile®-Instanz (ein einzelner Server oder ein Cluster von Knoten) können Sie wählen, ob Sie Geräte, Apps oder beides verwalten möchten. XenMobile verwendet die folgenden Begriffe für die Geräte- und App-Verwaltungsmodi:
- Modus für die Verwaltung mobiler Geräte (MDM-Modus)
- Modus für die Verwaltung mobiler Apps (MAM-Modus)
- MDM+MAM-Modus (Enterprise-Modus)
Verwaltung mobiler Geräte (MDM-Modus)
Wichtig:
Wenn Sie den MDM-Modus konfigurieren und später in den ENT-Modus wechseln, stellen Sie sicher, dass Sie dieselbe (Active Directory-)Authentifizierung verwenden. XenMobile unterstützt das Ändern des Authentifizierungsmodus nach der Benutzerregistrierung nicht. Weitere Informationen finden Sie unter Upgrade.
Mit MDM können Sie mobile Geräte konfigurieren, sichern und unterstützen. MDM ermöglicht es Ihnen, Geräte und Daten auf Geräten auf Systemebene zu schützen. Sie können Richtlinien, Aktionen und Sicherheitsfunktionen konfigurieren. Sie können beispielsweise ein Gerät selektiv löschen, wenn es verloren geht, gestohlen wird oder nicht konform ist. Obwohl die App-Verwaltung im MDM-Modus nicht verfügbar ist, können Sie in diesem Modus mobile Apps, wie öffentliche App-Store- und Unternehmens-Apps, bereitstellen. Im Folgenden sind gängige Anwendungsfälle für den MDM-Modus aufgeführt:
- MDM ist eine Überlegung für unternehmenseigene Geräte, bei denen gerätebezogene Verwaltungsrichtlinien oder -beschränkungen, wie vollständiges Löschen, selektives Löschen oder Geolokalisierung, erforderlich sind.
- Wenn Kunden die Verwaltung eines tatsächlichen Geräts benötigen, aber keine MDX-Richtlinien, wie App-Containerisierung, Kontrollen zur App-Datenfreigabe oder Micro-VPN, erforderlich sind.
- Wenn Benutzer nur E-Mails an ihre nativen E-Mail-Clients auf ihren mobilen Geräten zugestellt bekommen müssen und Exchange ActiveSync oder der Client Access Server bereits extern zugänglich ist. In diesem Anwendungsfall können Sie MDM verwenden, um die E-Mail-Zustellung zu konfigurieren.
- Wenn Sie native Unternehmens-Apps (nicht-MDX), öffentliche App-Store-Apps oder MDX-Apps bereitstellen, die aus öffentlichen Stores geliefert werden. Beachten Sie, dass eine MDM-Lösung allein möglicherweise keine Datenlecks vertraulicher Informationen zwischen Apps auf dem Gerät verhindert. Datenlecks können bei Kopier- und Einfüge- oder Speichern-unter-Vorgängen in Office 365-Apps auftreten.
Verwaltung mobiler Apps (MAM-Modus)
MAM schützt App-Daten und ermöglicht Ihnen die Kontrolle über die App-Datenfreigabe. MAM ermöglicht auch die Verwaltung von Unternehmensdaten und -ressourcen, getrennt von persönlichen Daten. Wenn XenMobile für den MAM-Modus konfiguriert ist, können Sie MDX-fähige mobile Apps verwenden, um eine App-spezifische Containerisierung und Kontrolle bereitzustellen. Der Begriff MAM-Modus wird auch als reiner MAM-Modus bezeichnet. Dieser Begriff unterscheidet diesen Modus von einem älteren MAM-Modus.
Durch die Verwendung von MDX-Richtlinien bietet XenMobile eine App-Ebene-Kontrolle über den Netzwerkzugriff (wie Micro-VPN), die App- und Geräteinteraktion, die Datenverschlüsselung und den App-Zugriff.
MAM ist oft für Bring-Your-Own (BYO)-Geräte geeignet, da Unternehmensdaten geschützt bleiben, obwohl das Gerät nicht verwaltet wird. MDX verfügt über viele reine MAM-Richtlinien, die keine MDM-Kontrolle erfordern.
MAM unterstützt auch die mobilen Produktivitäts-Apps. Diese Unterstützung umfasst die sichere E-Mail-Zustellung an Citrix Secure Mail, den Datenaustausch zwischen den gesicherten mobilen Produktivitäts-Apps und die sichere Datenspeicherung in Citrix Files. Weitere Informationen finden Sie unter mobile Produktivitäts-Apps.
MAM ist oft für die folgenden Beispiele geeignet:
- Sie stellen mobile Apps, wie MDX-Apps, bereit, die auf App-Ebene verwaltet werden.
- Sie müssen Geräte nicht auf Systemebene verwalten.
MDM+MAM (Enterprise-Modus)
MDM+MAM ist ein Hybridmodus, auch Enterprise-Modus genannt, der alle in der XenMobile Enterprise Mobility Management (EMM)-Lösung verfügbaren Funktionssätze ermöglicht. Die Konfiguration von XenMobile mit dem MDM+MAM-Modus aktiviert sowohl MDM- als auch MAM-Funktionen.
XenMobile ermöglicht es Ihnen festzulegen, ob Benutzer die Geräteverwaltung abwählen können oder ob Sie die Geräteverwaltung vorschreiben. Diese Flexibilität ist nützlich für Umgebungen, die eine Mischung von Anwendungsfällen umfassen. Diese Umgebungen erfordern möglicherweise die Verwaltung eines Geräts durch MDM-Richtlinien, um auf Ihre MAM-Ressourcen zuzugreifen, oder auch nicht.
MDM+MAM ist für die folgenden Beispiele geeignet:
- Sie haben einen einzelnen Anwendungsfall, in dem sowohl MDM als auch MAM erforderlich sind. MDM ist erforderlich, um auf Ihre MAM-Ressourcen zuzugreifen.
- Einige Anwendungsfälle erfordern MDM, während andere dies nicht tun.
- Einige Anwendungsfälle erfordern MAM, während andere dies nicht tun.
Sie legen den Verwaltungsmodus für den XenMobile Server über die Eigenschaft Server Mode fest. Sie konfigurieren die Einstellung in der XenMobile-Konsole. Der Modus kann MDM, MAM oder ENT (für MDM+MAM) sein.
Die XenMobile-Edition, für die Sie eine Lizenz besitzen, bestimmt die verfügbaren Verwaltungsmodi und andere Funktionen, wie in der folgenden Tabelle gezeigt.
| XenMobile MDM Edition | XenMobile Advanced Edition |
| MDM-Funktionen | MDM-Funktionen |
| - | MAM-Funktionen |
| - | MAM SDK |
| Secure Hub | Secure Hub |
| - | Secure Mail |
| - | Secure Web |
Verwaltungsmodi und Registrierungsprofile
Die Verwaltungsmodi und Registrierungsprofile arbeiten zusammen. Sie verwenden ein Registrierungsprofil, um die Registrierungsoptionen für die Geräte- und App-Verwaltung für Android- und iOS-Geräte zu konfigurieren. Für Android unterscheiden sich die Registrierungsoptionen, die für den MDM+MAM-Servermodus verfügbar sind, von den Optionen für den MDM-Modus. Weitere Informationen finden Sie unter Registrierungsprofile.
Geräteverwaltung und MDM-Registrierung
Eine XenMobile Enterprise-Umgebung kann eine Mischung von Anwendungsfällen umfassen, von denen einige die Geräteverwaltung durch MDM-Richtlinien erfordern, um den Zugriff auf MAM-Ressourcen zu ermöglichen. Bevor Sie mobile Produktivitäts-Apps für Benutzer bereitstellen, bewerten Sie Ihre Anwendungsfälle vollständig und entscheiden Sie, ob eine MDM-Registrierung erforderlich ist. Wenn Sie sich später entscheiden, die Anforderung für die MDM-Registrierung zu ändern, ist es wahrscheinlich, dass Benutzer ihre Geräte erneut registrieren müssen.
Hinweis:
Um festzulegen, ob Benutzer sich bei MDM registrieren müssen, verwenden Sie die XenMobile Server-Eigenschaft Enrollment Required in der XenMobile-Konsole (Einstellungen > Servereigenschaften). Diese globale Servereigenschaft gilt für alle Benutzer und Geräte der XenMobile-Instanz. Die Eigenschaft gilt nur, wenn der XenMobile Server-Modus ENT ist.
Im Folgenden finden Sie eine Zusammenfassung der Vor- und Nachteile (sowie der Abhilfemaßnahmen) der Anforderung einer MDM-Registrierung in einer XenMobile Enterprise-Modus-Bereitstellung.
Wenn die MDM-Registrierung optional ist
Vorteile
- Benutzer können auf MAM-Ressourcen zugreifen, ohne ihre Geräte der MDM-Verwaltung zu unterstellen. Diese Option kann die Benutzerakzeptanz erhöhen.
- Möglichkeit, den Zugriff auf MAM-Ressourcen zu sichern, um Unternehmensdaten zu schützen.
- MDX-Richtlinien wie App-Passcode können den App-Zugriff für jede MDX-App steuern.
- Die Konfiguration von Citrix ADC, XenMobile Server und anwendungsspezifischen Timeouts sowie die Citrix PIN bieten eine zusätzliche Schutzschicht.
- Obwohl MDM-Aktionen nicht für das Gerät gelten, sind einige MDX-Richtlinien verfügbar, um den MAM-Zugriff zu verweigern. Die Verweigerung würde auf Systemeinstellungen basieren, wie z. B. Jailbreak- oder Root-Geräten.
- Benutzer können bei der ersten Verwendung wählen, ob sie ihr Gerät bei MDM registrieren möchten.
Nachteile
- MAM-Ressourcen sind für Geräte verfügbar, die nicht bei MDM registriert sind.
- MDM-Richtlinien und -Aktionen sind nur für bei MDM registrierte Geräte verfügbar.
Abhilfemaßnahmen
- Lassen Sie Benutzer den Allgemeinen Geschäftsbedingungen des Unternehmens zustimmen, die sie zur Verantwortung ziehen, wenn sie sich nicht an die Vorschriften halten. Lassen Sie Administratoren nicht verwaltete Geräte überwachen.
- Verwalten Sie den Anwendungszugriff und die Sicherheit mithilfe von Anwendungs-Timern. Verringerte Timeout-Werte erhöhen die Sicherheit, können aber die Benutzererfahrung beeinträchtigen.
- Eine zweite XenMobile-Umgebung mit erforderlicher MDM-Registrierung ist eine Option. Berücksichtigen Sie bei dieser Option den zusätzlichen Aufwand für die Verwaltung von zwei Umgebungen und die zusätzlich benötigten Ressourcen.
Wenn die MDM-Registrierung erforderlich ist
Vorteile
- Möglichkeit, den Zugriff auf MAM-Ressourcen nur auf MDM-verwaltete Geräte zu beschränken.
- MDM-Richtlinien und -Aktionen können nach Wunsch auf alle Geräte in der Umgebung angewendet werden.
- Benutzer können die Registrierung ihres Geräts nicht abwählen.
Nachteile
- Erfordert, dass sich alle Benutzer bei MDM registrieren.
- Könnte die Akzeptanz bei Benutzern verringern, die die Unternehmensverwaltung ihrer persönlichen Geräte ablehnen.
Abhilfemaßnahmen
- Informieren Sie Benutzer darüber, was XenMobile tatsächlich auf ihren Geräten verwaltet und auf welche Informationen Administratoren zugreifen können.
- Sie können eine zweite XenMobile-Umgebung mit dem Servermodus MAM (auch als reiner MAM-Modus bezeichnet) für Geräte verwenden, die keine MDM-Verwaltung benötigen. Berücksichtigen Sie bei dieser Option den zusätzlichen Aufwand für die Verwaltung von zwei Umgebungen und die zusätzlich benötigten Ressourcen.
Über MAM- und Legacy-MAM-Modi
XenMobile 10.3.5 führte einen neuen reinen MAM-Servermodus ein. Um die früheren und neuen MAM-Modi zu unterscheiden, verwendet die Dokumentation diese Begriffe. Der neue Modus wird als reiner MAM-Modus oder MA bezeichnet, der frühere MAM-Modus als Legacy-MAM-Modus.
Der reine MAM-Modus ist aktiv, wenn die Eigenschaft Server Mode von XenMobile auf MAM eingestellt ist. Geräte registrieren sich im MAM-Modus.
Die Legacy-MAM-Funktionalität ist aktiv, wenn die Eigenschaft Server Mode von XenMobile auf ENT eingestellt ist und Benutzer sich entscheiden, die Geräteverwaltung abzuwählen. In diesem Fall registrieren sich Geräte im MAM-Modus. Benutzer, die die MDM-Verwaltung abwählen, erhalten weiterhin die Legacy-MAM-Funktionalität.
Hinweis:
Zuvor hatte das Setzen der Eigenschaft Server Mode auf MAM denselben Effekt wie das Setzen auf ENT: Benutzer, die die MDM-Verwaltung abwählten, erhielten die Legacy-MAM-Funktionalität.
Die folgende Tabelle fasst die Einstellung Server Mode zusammen, die für einen bestimmten Lizenztyp und den gewünschten Gerätemodus zu verwenden ist:
| Ihre Lizenzen gelten für diese Edition | Sie möchten, dass Geräte in diesem Modus registriert werden | Legen Sie die Eigenschaft Server Mode fest auf |
| Enterprise/ Advanced/MDM | MDM-Modus | MDM |
| Enterprise/Advanced | MAM-Modus (auch reiner MAM-Modus genannt) | MAM |
| Enterprise/Advanced | MDM+MAM-Modus | ENT (Benutzer, die die Geräteverwaltung abwählen, arbeiten im Legacy-MAM-Modus.) |
Der reine MAM-Modus unterstützt die folgenden Funktionen, die zuvor nur für ENT verfügbar waren.
- Zertifikatbasierte Authentifizierung: Der reine MAM-Modus unterstützt die zertifikatbasierte Authentifizierung. Benutzer haben weiterhin Zugriff auf ihre Apps, auch wenn ihr Active Directory-Passwort abläuft. Wenn Sie die zertifikatbasierte Authentifizierung für MAM-Geräte verwenden, müssen Sie Ihr Citrix Gateway konfigurieren. Standardmäßig ist unter XenMobile-Einstellungen > Citrix Gateway die Option “Benutzerzertifikat für die Authentifizierung bereitstellen” auf Aus gesetzt, was bedeutet, dass die Benutzername- und Passwort-Authentifizierung verwendet wird. Ändern Sie diese Einstellung auf Ein, um die Zertifikatsauthentifizierung zu aktivieren.
- Self-Help-Portal: Ermöglicht Benutzern, ihre eigenen App-Sperr- und App-Löschvorgänge durchzuführen. Diese Aktionen gelten für alle Apps auf dem Gerät. Sie können die Aktionen “App sperren” und “App löschen” unter Konfigurieren > Aktionen konfigurieren.
- Alle Registrierungssicherheitsmodi: Einschließlich “Hohe Sicherheit”, “Einladungs-URL” und “Zwei-Faktor”, konfiguriert über Verwalten > Registrierungseinladungen.
- Geräteregistrierungslimit für Android- und iOS-Geräte: Die Servereigenschaft Anzahl der Geräte pro Benutzer wurde nach Konfigurieren > Registrierungsprofile verschoben und gilt nun für alle Servermodi.
- Reine MAM-APIs: Für reine MAM-Geräte können Sie REST-Dienste mit jedem REST-Client und der XenMobile REST-API aufrufen, um Dienste aufzurufen, die die XenMobile-Konsole bereitstellt.
- Die reinen MAM-APIs ermöglichen Ihnen:
- Eine Einladungs-URL und eine einmalige PIN zu senden.
- App-Sperren und -Löschen auf Geräten auszuführen.
Die folgende Tabelle fasst die Unterschiede zwischen der Legacy-MAM- und der reinen MAM-Funktionalität zusammen.
| Registrierungsszenarien und andere Funktionen | Legacy-MAM (Servermodus ist ENT) | Reiner MAM-Modus (Servermodus ist MAM) |
| Zertifikatsauthentifizierung | Nicht unterstützt. | Unterstützt. Für die Zertifikatsauthentifizierung ist Citrix Gateway erforderlich. |
| Bereitstellungsanforderung | XenMobile Server muss nicht direkt von Geräten aus zugänglich sein. | XenMobile Server muss nicht direkt von Geräten aus zugänglich sein. |
| Registrierungsoption | Verwenden Sie den FQDN des Citrix Gateways oder, wenn Sie den MDM-FQDN verwenden, wählen Sie die Nicht-Registrierung. | Verwenden Sie den FQDN des XenMobile Servers. |
| Registrierungsmethoden* | Benutzername + Passwort | Benutzername + Passwort, Hohe Sicherheit, Einladungs-URL, Einladungs-URL+PIN, Einladungs-URL + Passwort, Zwei-Faktor, Benutzername + PIN |
| App-Sperre und -Löschen | Unterstützt. | Unterstützt. |
| Self-Help-Portal-Optionen für App-Sperre und -Löschen | Nicht unterstützt. | Unterstützt. |
| Verhalten beim App-Löschen | Apps bleiben auf dem Gerät, sind aber nicht nutzbar. XenMobile löscht nur das Konto auf dem Client. | Apps bleiben auf dem Gerät, sind aber nicht nutzbar. XenMobile löscht nur das Konto auf dem Client. |
| Automatisierte Aktionen für reine MAM-Benutzer. | Aktionen für Ereignisse, Geräteeigenschaften, Benutzereigenschaften werden unterstützt. Unterstützt keine App-basierten automatisierten Aktionen. | Unterstützt Aktionen für Ereignisse, Geräteeigenschaften, Benutzereigenschaften und einige App-basierte Aktionen, einschließlich App-Löschen und App-Sperre. |
| Integrierte Aktion beim Löschen eines Active Directory-Benutzers | Unterstützt App-Löschen. | Unterstützt App-Löschen. |
| Registrierungslimit | Unterstützt; konfiguriert über ein Registrierungsprofil. | Unterstützt; konfiguriert über ein Registrierungsprofil. |
| Software-Inventar | Unterstützt. XenMobile listet auf einem Gerät installierte Apps auf. | Nicht unterstützt. |
*Hinweis zu Benachrichtigungen: SMTP ist die einzige unterstützte Methode zum Senden von Registrierungseinladungen.
Wichtig:
Für den reinen MAM-Modus müssen zuvor registrierte Benutzer ihre Geräte erneut registrieren. Stellen Sie sicher, dass Sie den Benutzern den XenMobile Server-FQDN zur Verfügung stellen, den sie für die Registrierung benötigen. Im reinen MAM-Modus registrieren sich Geräte, wie im ENT-Modus, unter Verwendung des XenMobile Server-FQDN. (Im Legacy-MAM-Modus registrieren sich Geräte unter Verwendung des Citrix Gateway-FQDN.)