Verwaltungsmodi
Für jede XenMobile-Instanz (Einzelserver oder Cluster) können Sie auswählen, ob Geräte, Apps oder beides verwaltet werden sollen. In XenMobile gibt es folgende Verwaltungsmodi für Apps und Geräte:
- Mobilgeräteverwaltungsmodus (MDM-Modus)
- Mobilanwendungsverwaltungsmodus (MAM-Modus)
- MDM + MAM-Modus (Enterprise-Modus)
Mobilgeräteverwaltung (MDM-Modus)
Wichtig:
Wenn Sie den ursprünglich konfigurierten MDM-Modus in den ENT-Modus ändern, müssen Sie darauf achten, dass Sie die gleiche (Active Directory)-Authentifizierung verwenden. Die Änderung des Authentifizierungsmodus nach der Benutzerregistrierung wird in XenMobile nicht unterstützt. Weitere Informationen finden Sie unter Upgrade.
Mit MDM können Sie Mobileräte konfigurieren, schützen und betreuen. Mit MDM können Sie Geräte und Daten auf Geräten auf Systemebene schützen. Sie können Richtlinien, Aktionen und Sicherheitsfunktionen konfigurieren. Sie können beispielsweise ein Gerät selektiv löschen, wenn es verloren oder gestohlen wurde oder nicht mehr richtlinientreu ist. Die App-Verwaltung ist im MDM-Modus zwar nicht verfügbar, Sie können jedoch mobile Apps (z. B. aus öffentlichen App-Stores und Unternehmensapps) bereitstellen. Der MDM-Modus empfiehlt sich generell für folgende Szenarien:
- MDM ist eine Überlegung für unternehmenseigene Geräte, bei denen Verwaltungsrichtlinien auf Geräteebene oder Einschränkungen wie vollständiges oder selektives Löschen oder Geolocation erforderlich sind.
- Geräte müssen verwaltet werden, es sind jedoch keine MDX-Richtlinien (App-Containerization; Steuerung der App-Datenfreigabe, Micro-VPN usw.) erforderlich.
- E-Mail muss nur an die nativen E-Mail-Clients auf den Mobilgeräten übermittelt werden und Exchange ActiveSync oder Clientzugriffsserver steht bereits extern zur Verfügung. In diesem Fall können Sie mit MDM die E-Mail-Zustellung konfigurieren.
- Es werden native Enterprise-Apps (nicht-MDX), Apps aus öffentlichen App-Stores oder MDX-Apps aus öffentlichen Stores bereitgestellt. Es ist zu beachten, dass eine MDM-Lösung allein nicht unbedingt Datenlecks zwischen Apps auf Geräten verhindert. Datenlecks können beim Kopieren und Einfügen oder der Verwendung der Option “Speichern unter” in Office 365-Apps auftreten.
Mobilanwendungsverwaltung (MAM-Modus)
Im MAM-Modus werden App-Daten geschützt und Sie können die App-Datenfreigabe steuern. Außerdem können Sie im MAM-Modus Unternehmensdaten und -ressourcen getrennt von personenbezogenen Daten verwalten. Wenn XenMobile für den MAM-Modus konfiguriert ist, können Sie MDX-aktivierte mobile Apps für die Containerization und Steuerung auf App-Basis verwenden. Der MAM-Modus wird auch als “Nur-MAM-Modus” bezeichnet. Dieser Begriff unterscheidet diesen Modus vom Legacy-MAM-Modus.
Durch die Nutzung von MDX-Richtlinien können in XenMobile Netzwerkzugriff (z. B. Micro-VPN), App- und Geräteinteraktion, Datenverschlüsselung und App-Zugriff auf App-Ebene gesteuert werden.
Die Mobilanwendungsverwaltung eignet sich häufig für BYOD-Geräte, da Unternehmensdaten geschützt werden, obwohl die Geräte nicht verwaltet werden. MDX hat viele Nur-MAM-Richtlinien, die kein MDM-Steuerelement erfordern.
MAM unterstützt auch die mobilen Produktivitätsapps. Dies umfasst die sichere E-Mail-Zustellung an Citrix Secure Mail, die Datenfreigabe zwischen den geschützten mobilen Produktivitätsapps und die sichere Datenspeicherung in Citrix Files. Weitere Informationen finden Sie unter Mobile Produktivitätsapps.
Der MAM-Modus ist in folgenden Situationen häufig geeignet:
- Es werden mobile Apps (z. B. MDX-Apps) bereitgestellt, die auf App-Ebene verwaltet werden.
- Eine Geräteverwaltung auf Systemebene ist nicht erforderlich.
MDM + MAM (Enterprise-Modus)
MDM + MAM (“Enterprise-Modus”) ist ein Hybridmodus, in dem alle Features der XenMobile Enterprise Mobility Management-Lösung zur Verfügung stehen. Im MDM + MAM-Modus von XenMobile können Sie die MDM- und die MAM-Features verwenden.
Sie können in XenMobile angeben, ob Benutzer die Geräteverwaltung abwählen können oder ob sie erzwungen wird. Diese Flexibilität ist für Umgebungen mit unterschiedlichen Anwendungsfällen nützlich. In einer solchen Umgebung kann die Verwaltung eines Geräts über MDM-Richtlinien für den Zugriff auf MAM-Ressourcen erforderlich sein.
Der MDM + MAM-Modus eignet sich für folgende Situationen:
- Es werden sowohl MDM als auch MAM benötigt. MDM ist für den Zugriff auf die MAM-Ressourcen erforderlich.
- In einigen Anwendungsfällen wird MDM benötigt, in anderen nicht.
- In einigen Anwendungsfällen wird MAM benötigt, in anderen nicht.
Den Verwaltungsmodus für XenMobile Server geben Sie über die Eigenschaft Servermodus an. Diese Einstellung wird in der XenMobile-Konsole konfiguriert. Es gibt die Modi MDM, MAM oder ENT (MDM + MAM).
Welche Verwaltungsmodi und Features zur Verfügung stehen, hängt von der lizenzierten XenMobile-Edition ab (siehe Tabelle unten).
| XenMobile MDM Edition | XenMobile Advanced Edition |
| MDM-Features | MDM-Features |
| - | MAM-Features |
| - | MAM SDK |
| Secure Hub | Secure Hub |
| - | Secure Mail |
| - | Secure Web |
Verwaltungsmodi und Registrierungsprofile
Verwaltungsmodi und Registrierungsprofile arbeiten zusammen. Mit Registrierungsprofilen konfigurieren Sie Registrierungsoptionen zur Geräte- und App-Verwaltung für Android und iOS. Bei Android unterscheiden sich die für den MDM+MAM-Servermodus verfügbaren Registrierungsoptionen von denjenigen für den MDM-Modus. Weitere Informationen finden Sie unter Registrierungsprofile.
Geräteverwaltung und MDM-Registrierung
Eine XenMobile Enterprise-Umgebung kann unterschiedliche Anwendungsfälle enthalten, von denen einige eine Geräteverwaltung über MDM-Richtlinien für den Zugriff auf MAM-Ressourcen erfordern. Bevor Sie mobile Produktivitätsapps bereitstellen, sollten Sie Ihre Anwendungsfälle detailliert beurteilen und entscheiden, ob eine MDM-Registrierung erforderlich ist. Wenn Sie sich später für andere Anforderungen bei der MDM-Registrierung entscheiden, müssen die Benutzer in aller Regel ihre Geräte neu registrieren.
Hinweis:
Um anzugeben, ob die Benutzer eine MDM-Registrierung durchführen müssen, verwenden Sie die XenMobile Server-Eigenschaft Registrierung erforderlich in der XenMobile-Konsole (Einstellungen > Servereigenschaften). Diese globale Servereigenschaft gilt für alle Benutzer und Geräte der XenMobile-Instanz. Die Eigenschaft gilt nur im ENT-Modus von XenMobile Server.
Nachfolgend sind die Vor- und Nachteile (einschließlich Abhilfemöglichkeiten) des Erzwingens einer MDM-Registrierung in einer XenMobile-Bereitstellung im Enterprisemodus aufgeführt.
MDM-Registrierung optional
Vorteile:
- Die Benutzer können auf MAM-Ressourcen zugreifen, ohne ihre Geräte der MDM-Verwaltung zu unterstellen. Dies kann die Benutzerakzeptanz erhöhen.
- Möglichkeit, den Zugriff auf MAM-Ressourcen zu sichern, um Unternehmensdaten zu schützen.
- MDX-Richtlinien wie App-Passode können den App-Zugriff für jede MDX-App steuern.
- Die Konfiguration von Citrix ADC, XenMobile Server und App-basierten Timeouts sowie der Citrix PIN bieten eine zusätzliche Sicherheitsebene.
- MDM-Aktionen gelten zwar nicht für ein Gerät, es gibt jedoch MDX-Richtlinien zum Verweigern des MAM-Zugriffs. Die Verweigerung basierte auf Systemeinstellungen, etwa im Fall einer Erkennung von Jailbreak oder Rooting.
- Die Benutzer können bei der erstmaligen Verwendung wählen, ob sie ihr Gerät bei MDM registrieren möchten.
Nachteile:
- MAM-Ressourcen stehen für Geräte zur Verfügung, die nicht bei MDM registriert sind.
- MDM-Richtlinien und -Aktionen stehen nur für bei MDM registrierte Geräte zur Verfügung.
Abhilfemöglichkeiten:
- Die Benutzer müssen Unternehmensbestimmungen zustimmen, die sie bei fehlender Richtlinientreue haftbar machen. Administratoren überwachen nicht verwaltete Geräte.
- Anwendungszugriff und Sicherheit werden über App-Timer verwaltet. Kürzere Timeouts erhöhen die Sicherheit, können sich jedoch auf die Benutzererfahrung auswirken.
- Eine zweite XenMobile-Umgebung mit erzwungener MDM-Registrierung kann eingerichtet werden. Bedenken Sie hierbei den zusätzlichen Verwaltungs- und Ressourcenaufwand.
MDM-Registrierung erforderlich
Vorteile:
- Der Zugriff auf MAM-Ressourcen kann auf MDM-verwaltete Geräte beschränkt werden.
- MDM-Richtlinien und -Aktionen können nach Bedarf auf alle Geräte in der Umgebung angewendet werden.
- Die Benutzer können die Geräteregistrierung nicht umgehen.
Nachteile:
- Alle Benutzer müssen sich bei MDM registrieren.
- Dies kann die Akzeptanz bei Benutzern mindern, die eine Verwaltung ihrer eigenen Geräte durch das Unternehmen ablehnen.
Abhilfemöglichkeiten:
- Informieren Sie die Benutzer darüber, was genau durch XenMobile auf ihren Geräten verwaltet wird und auf welche Informationen die Administratoren zugreifen können.
- Sie können eine zweite XenMobile-Umgebung im MAM-Servermodus (“Nur-MAM-Modus”) für Geräte einrichten, für die keine MDM-Verwaltung benötigt wird. Bedenken Sie hierbei den zusätzlichen Verwaltungs- und Ressourcenaufwand.
MAM und Legacy-MAM-Modus
Mit XenMobile 10.3.5 wurde der Nur-MAM-Servermodus eingeführt. Zur Unterscheidung des älteren und des neuen MAM-Modus werden in der Dokumentation folgende Begriffe verwendet: Der neue Modus heißt “Nur-MAM-Modus” oder “MA”, der ältere MAM-Modus heißt “Legacy-MAM-Modus”.
Der ausschließliche MAM-Modus wird verwendet, wenn in XenMobile für die Eigenschaft Servermodus MAM eingestellt ist. Geräte werden im MAM-Modus registriert.
Die Legacy-MAM-Funktionalität gilt, wenn für die Servermoduseigenschaft in XenMobile ENT eingestellt ist, und Benutzer sich gegen die Geräteverwaltung entscheiden. In diesem Fall werden die Geräte im MAM-Modus registriert. Für Benutzer, die sich gegen die MDM-Verwaltung entscheiden, bleibt die Legacy-MAM-Funktionalität erhalten.
Hinweis:
In früheren Versionen hatte das Einstellen der Servermoduseigenschaft auf MAM den gleichen Effekt wie die Einstellung ENT: Benutzer, die die MDM-Verwaltung ablehnen, erhalten die Legacy-MAM-Funktionalität.
In der folgenden Tabelle ist aufgeführt, welcher Servermodus für einen bestimmten Lizenztyp und gewünschten Gerätemodus verwenden werden sollte:
| Ihre Lizenzen sind für Edition | Geräte in diesem Modus registrieren | Servermodus festlegen auf |
| Enterprise/Advanced/MDM | MDM-Modus | MDM |
| Enterprise/Advanced | MAM-Modus (“Nur-MAM-Modus”) | MAM |
| Enterprise/Advanced | MDM+MAM-Modus | ENT (Benutzer, die die Geräteverwaltung ablehnen, verwenden den Legacy-MAM-Modus). |
Der Nur-MAM-Modus unterstützt die folgenden Features, die bisher nur im ENT-Modus verfügbar waren.
- Zertifikatauthentifizierung: Der Nur-MAM-Modus unterstützt die zertifikatbasierte Authentifizierung. Die Benutzer haben weiterhin Zugriff auf ihre Apps, selbst wenn ihr Active Directory-Kennwort abläuft. Wenn Sie die Zertifikatauthentifizierung für MAM-Geräte verwenden, müssen Sie das Citrix Gateway konfigurieren. In XenMobile ist unter Einstellungen > Citrix Gateway die Option “Benutzerzertifikat für Authentifizierung bereitstellen” standardmäßig auf Aus festgelegt, sodass die Authentifizierung durch Benutzernamen und Kennwort erfolgt. Ändern Sie diese Einstellung in Ein, um die Zertifikatauthentifizierung zu aktivieren.
- Selbsthilfeportal: ermöglicht den Benutzern das Sperren und Löschen von Apps. Diese Aktionen können für alle Apps auf dem Gerät durchgeführt werden. Sie können unter Konfigurieren > Aktionen die Aktionen “App-Sperre” und “App löschen” konfigurieren.
- Alle Registrierungssicherheitsmodi: zum Beispiel “Hohe Sicherheit”, “Einladungs-URL” und “Zweistufig”; die Konfiguration erfolgt unter Verwalten > Registrierungseinladungen.
- Geräteregistrierungslimit für iOS- und Android-Geräte: Die Servereigenschaft Anzahl der Geräte pro Benutzer wurde in den Bereich Konfigurieren > Registrierungsprofile verschoben und gilt jetzt für alle Servermodi.
- Nur-MAM-APIs: Für Geräte im Nur-MAM-Modus können Sie REST-Dienste mit einem beliebigen REST-Client und Dienste, die über die XenMobile-Konsole verfügbar gemacht werden, mit der XenMobile-REST-API aufrufen.
- Nur-MAM-APIs ermöglichen Folgendes:
- Senden einer Einladungs-URL und Einmal-PIN
- App-Sperr-/-Löschaktionen auf Geräten
In der Tabelle unten werden die Unterschiede zwischen Legacy-MAM- und Nur-MAM-Funktionalität aufgeführt.
| Registrierungsszenarios und andere Features | Legacy-MAM (Servermodus ist ENT) | Ausschließlicher MAM-Modus (Servermodus ist MAM) |
| Zertifikatauthentifizierung | Nicht unterstützt | Unterstützt Für die Zertifikatauthentifizierung ist Citrix Gateway erforderlich. |
| Bereitstellungsanforderungen | XenMobile Server muss nicht direkt von Geräten aus zugänglich sein. | XenMobile Server muss nicht direkt von Geräten aus zugänglich sein. |
| Registrierungsoption | Verwenden des Citrix Gateway-FQDN oder, bei Verwendung des MDM-FQDN, Ablehnen der Registrierung | Verwenden des XenMobile Server-FQDN |
| Registrierungsmethoden* | Benutzername + Kennwort | Benutzername + Kennwort, Hohe Sicherheit, Einladungs-URL, Einladungs-URL + PIN, Einladungs-URL + Kennwort, Zweistufig, Benutzername + PIN |
| Apps sperren und löschen | Unterstützt | Unterstützt |
| Selbsthilfeportaloptionen zum Sperren und Löschen von Apps | Nicht unterstützt | Unterstützt |
| App-Löschen - Verhalten | Apps bleiben auf dem Gerät, sind aber nicht verwendbar. XenMobile löscht das Konto nur auf dem Client. | Apps bleiben auf dem Gerät, sind aber nicht verwendbar. XenMobile löscht das Konto nur auf dem Client. |
| Automatisierte Aktionen für ausschließliche MAM-Benutzer. | Mit Ereignissen, Geräteeigenschaften und Benutzereigenschaften verbundene Aktionen werden unterstützt. Automatisierte Aktionen für installierte Apps werden nicht unterstützt. | Unterstützt Aktionen auf der Basis von Ereignissen, Geräteeigenschaften, Benutzereigenschaften und Apps, einschließlich App-Löschung und App-Sperre. |
| Integrierte Aktion beim Löschen eines Active Directory-Benutzers | App-Löschen wird unterstützt. | App-Löschen wird unterstützt. |
| Registrierungslimit | Unterstützt, Konfiguration über ein Registrierungsprofil. | Unterstützt, Konfiguration über ein Registrierungsprofil. |
| Softwarebestand | Unterstützt XenMobile listet auf dem Gerät installierte Apps auf. | Nicht unterstützt |
*Benachrichtigungen: SMTP ist die einzige unterstützte Methode zum Senden von Registrierungseinladungen.
Wichtig:
Im Nur-MAM-Modus müssen zuvor registrierte Benutzer ihre Geräte erneut registrieren. Geben Sie Benutzern den vollqualifizierten Domänennamen (FQDN) für XenMobile Server, den sie für die Registrierung benötigen. Im Nur-MAM-Modus werden Geräte wie im ENT-Modus mit dem FQDN von XenMobile Server registriert. (Im Legacy-MAM-Modus werden Geräte unter Verwendung des Citrix Gateway-FQDN registriert.)