Sicherheit und Benutzererfahrung
Sicherheit ist für jede Organisation wichtig, aber Sie müssen ein Gleichgewicht zwischen Sicherheit und Benutzererfahrung finden. Beispielsweise könnten Sie eine hochsichere Umgebung haben, die für Benutzer schwierig zu bedienen ist. Oder Ihre Umgebung könnte so benutzerfreundlich sein, dass die Zugriffskontrolle nicht so streng ist. Die anderen Abschnitte in diesem virtuellen Handbuch behandeln Sicherheitsfunktionen im Detail. Der Zweck dieses Artikels ist es, einen allgemeinen Überblick über gängige Sicherheitsbedenken und die in XenMobile verfügbaren Sicherheitsoptionen zu geben.
Hier sind einige wichtige Überlegungen, die Sie für jeden Anwendungsfall beachten sollten:
- Möchten Sie bestimmte Apps, das gesamte Gerät oder beides sichern?
- Wie sollen sich Ihre Benutzer authentifizieren? Planen Sie die Verwendung von LDAP, zertifikatbasierter Authentifizierung oder einer Kombination aus beidem?
- Wie möchten Sie mit Benutzer-Session-Timeouts umgehen? Beachten Sie, dass es unterschiedliche Timeout-Werte für Hintergrunddienste, Citrix ADC und für den Zugriff auf Apps im Offline-Modus gibt.
- Sollen Benutzer einen Passcode auf Geräteebene, einen Passcode auf App-Ebene oder beides einrichten? Wie viele Anmeldeversuche möchten Sie den Benutzern zugestehen? Berücksichtigen Sie, wie die zusätzlichen Authentifizierungsanforderungen pro App, die mit MAM implementiert werden, die Benutzererfahrung beeinträchtigen könnten.
- Welche weiteren Einschränkungen möchten Sie den Benutzern auferlegen? Sollen Benutzer auf Cloud-Dienste wie Siri zugreifen können? Was dürfen sie mit jeder App, die Sie ihnen zur Verfügung stellen, tun und was nicht? Möchten Sie Unternehmens-WLAN-Richtlinien bereitstellen, um zu verhindern, dass Mobilfunkdatenpläne in Büroräumen verbraucht werden?
App versus Gerät
Eine der ersten Überlegungen ist, ob nur bestimmte Apps mithilfe von Mobile Application Management (MAM) gesichert werden sollen. Oder ob Sie auch das gesamte Gerät mithilfe von Mobile Device Management (MDM) verwalten möchten. Am häufigsten verwalten Sie, wenn Sie keine Kontrolle auf Geräteebene benötigen, nur mobile Apps, insbesondere wenn Ihre Organisation Bring Your Own Device (BYOD) unterstützt.
Benutzer mit Geräten, die XenMobile nicht verwaltet, können Apps über den App Store installieren. Anstelle von Kontrollen auf Geräteebene, wie selektives oder vollständiges Löschen, steuern Sie den Zugriff auf die Apps über App-Richtlinien. Die Richtlinien erfordern, abhängig von den von Ihnen festgelegten Werten, dass das Gerät XenMobile routinemäßig überprüft, um zu bestätigen, dass die Apps weiterhin ausgeführt werden dürfen.
MDM ermöglicht es Ihnen, ein gesamtes Gerät zu sichern, einschließlich der Möglichkeit, eine Bestandsaufnahme der gesamten Software auf einem Gerät zu erstellen. Sie können die Registrierung verhindern, wenn das Gerät gejailbreakt, gerootet ist oder unsichere Software installiert hat. Ein solches Maß an Kontrolle macht Benutzer jedoch misstrauisch, so viel Macht über ihre persönlichen Geräte zuzulassen, und könnte die Registrierungsraten senken.
Authentifizierung
Die Authentifizierung ist der Bereich, in dem ein Großteil der Benutzererfahrung stattfindet. Wenn Ihre Organisation bereits Active Directory verwendet, ist die Nutzung von Active Directory der einfachste Weg, Ihren Benutzern den Zugriff auf das System zu ermöglichen.
Ein weiterer wichtiger Bestandteil der Authentifizierungs-Benutzererfahrung sind Timeouts. Eine hochsichere Umgebung kann Benutzer dazu zwingen, sich jedes Mal anzumelden, wenn sie auf das System zugreifen, aber diese Option ist nicht für alle Organisationen ideal. Wenn Benutzer beispielsweise jedes Mal ihre Anmeldeinformationen eingeben müssen, wenn sie auf ihre E-Mails zugreifen möchten, kann dies die Benutzererfahrung erheblich beeinträchtigen.
Benutzer-Entropie
Für zusätzliche Sicherheit können Sie eine Funktion namens Benutzer-Entropie aktivieren. Citrix Secure Hub™ und einige andere Apps teilen oft gemeinsame Daten wie Passwörter, PINs und Zertifikate, um sicherzustellen, dass alles ordnungsgemäß funktioniert. Diese Informationen werden in einem generischen Tresor innerhalb des Secure Hub gespeichert. Wenn Sie die Benutzer-Entropie über die Option Geheimnisse verschlüsseln aktivieren, erstellt XenMobile einen neuen Tresor namens UserEntropy. XenMobile verschiebt die Informationen aus dem generischen Tresor in den neuen Tresor. Damit Secure Hub oder eine andere App auf die Daten zugreifen kann, müssen Benutzer ein Passwort oder eine PIN eingeben.
Das Aktivieren der Benutzer-Entropie fügt an mehreren Stellen eine weitere Authentifizierungsebene hinzu. Infolgedessen müssen Benutzer jedes Mal ein Passwort oder eine PIN eingeben, wenn eine App Zugriff auf freigegebene Daten, einschließlich Zertifikate, im UserEntropy-Tresor benötigt.
Weitere Informationen zur Benutzer-Entropie finden Sie in der XenMobile-Dokumentation unter Über das MDX Toolkit. Um die Benutzer-Entropie zu aktivieren, finden Sie die entsprechenden Einstellungen in den Client-Eigenschaften.
Richtlinien
Sowohl MDX- als auch MDM-Richtlinien bieten Organisationen ein hohes Maß an Flexibilität, können aber auch Benutzer einschränken. Beispielsweise möchten Sie möglicherweise den Zugriff auf Cloud-Anwendungen wie Siri oder iCloud blockieren, die potenziell sensible Daten an verschiedene Standorte senden können. Sie können eine Richtlinie einrichten, um den Zugriff auf diese Dienste zu blockieren, aber bedenken Sie, dass eine solche Richtlinie unbeabsichtigte Folgen haben kann. Das iOS-Tastaturmikrofon ist ebenfalls auf Cloud-Zugriff angewiesen, und Sie könnten auch den Zugriff auf diese Funktion blockieren.
Apps
Enterprise Mobility Management (EMM) gliedert sich in Mobile Device Management (MDM) und Mobile Application Management (MAM). Während MDM Organisationen die Sicherung und Kontrolle mobiler Geräte ermöglicht, erleichtert MAM die Bereitstellung und Verwaltung von Anwendungen. Mit der zunehmenden Verbreitung von BYOD können Sie typischerweise eine MAM-Lösung implementieren, um die Anwendungsbereitstellung, Softwarelizenzierung, Konfiguration und das Anwendungslebenszyklusmanagement zu unterstützen.
Mit XenMobile können Sie einen Schritt weiter gehen, um diese Apps zu sichern, indem Sie spezifische MAM-Richtlinien und VPN-Einstellungen konfigurieren, um Datenlecks und andere Sicherheitsbedrohungen zu verhindern. XenMobile bietet Organisationen die Flexibilität, eine der folgenden Lösungen bereitzustellen:
- MAM-only-Umgebung
- MDM-only-Umgebung
- Vereinheitlichte XenMobile Enterprise-Umgebung, die sowohl MDM- als auch MAM-Funktionalität auf derselben Plattform bietet
Zusätzlich zur Möglichkeit, Apps auf mobile Geräte bereitzustellen, bietet XenMobile die App-Containerisierung durch MDX-Technologie. MDX sichert Apps durch Verschlüsselung, die von der geräteinternen Verschlüsselung der Plattform getrennt ist. Sie können die App löschen oder sperren, und die Apps unterliegen granularen, richtlinienbasierten Kontrollen. Unabhängige Softwareanbieter (ISVs) können diese Kontrollen mithilfe des Mobile Apps SDK anwenden.
In einer Unternehmensumgebung verwenden Benutzer verschiedene mobile Apps, um ihre Aufgaben zu erfüllen. Die Apps können Apps aus dem öffentlichen App Store, intern entwickelte Apps und native Apps umfassen. XenMobile kategorisiert diese Apps wie folgt:
Öffentliche Apps: Diese Apps umfassen kostenlose oder kostenpflichtige Apps, die in einem öffentlichen App Store, wie dem Apple App Store oder Google Play, verfügbar sind. Anbieter außerhalb der Organisation stellen ihre Apps oft in öffentlichen App Stores zur Verfügung. Diese Option ermöglicht es ihren Kunden, die Apps direkt aus dem Internet herunterzuladen. Je nach den Bedürfnissen der Benutzer können Sie in Ihrer Organisation zahlreiche öffentliche Apps verwenden. Beispiele für solche Apps sind GoToMeeting, Salesforce und EpicCare-Apps.
Citrix unterstützt das direkte Herunterladen von App-Binärdateien aus öffentlichen App Stores und deren anschließendes Wrapping mit dem MDX Toolkit für die Unternehmensverteilung nicht. Um Drittanbieteranwendungen MDX-fähig zu machen, wenden Sie sich an Ihren App-Anbieter, um die App-Binärdateien zu erhalten. Sie können die Binärdateien mit dem MDX Toolkit wrappen oder das MAM SDK in die Binärdateien integrieren.
Inhouse-Apps: Viele Organisationen verfügen über interne Entwickler, die Apps erstellen, die spezifische Funktionen bereitstellen und unabhängig innerhalb der Organisation entwickelt und vertrieben werden. In bestimmten Fällen können einige Organisationen auch Apps von ISVs erhalten. Sie können solche Apps als native Apps bereitstellen oder die Apps mithilfe einer MAM-Lösung wie XenMobile containerisieren. Beispielsweise kann eine Gesundheitsorganisation eine Inhouse-App erstellen, die es Ärzten ermöglicht, Patienteninformationen auf mobilen Geräten anzuzeigen. Eine Organisation kann die App dann MAM SDK-fähig machen oder MDM-wrappen, um Patienteninformationen zu sichern und VPN-Zugriff auf den Backend-Patientendatenbankserver zu ermöglichen.
Web- und SaaS-Apps: Diese Apps umfassen Apps, auf die über ein internes Netzwerk (Web-Apps) oder über ein öffentliches Netzwerk (SaaS) zugegriffen wird. XenMobile ermöglicht Ihnen auch die Erstellung benutzerdefinierter Web- und SaaS-Apps mithilfe einer Liste von App-Konnektoren. Diese App-Konnektoren können Single Sign-On (SSO) zu bestehenden Web-Apps erleichtern. Details finden Sie unter App-Konnektortypen. Beispielsweise können Sie Google Apps SAML für SSO basierend auf Security Assertion Markup Language (SAML) für Google Apps verwenden.
Mobile Produktivitäts-Apps: Von Citrix entwickelte Apps, die in der XenMobile-Lizenz enthalten sind. Details finden Sie unter Über mobile Produktivitäts-Apps. Citrix bietet auch andere geschäftsfähige Apps an, die ISVs mithilfe des Mobile Apps SDK entwickeln.
HDX-Apps: Windows-gehostete Apps, die Sie mit StoreFront veröffentlichen. Wenn Sie eine Citrix Virtual Apps and Desktops™-Umgebung haben, können Sie die Apps mit XenMobile integrieren, um sie den registrierten Benutzern zur Verfügung zu stellen.
Je nach Art der mobilen Apps, die Sie mit XenMobile bereitstellen und verwalten möchten, unterscheiden sich die zugrunde liegende Konfiguration und Architektur. Wenn beispielsweise mehrere Benutzergruppen mit unterschiedlichen Berechtigungsstufen eine einzige App nutzen, benötigen Sie möglicherweise separate Bereitstellungsgruppen, um zwei Versionen der App bereitzustellen. Darüber hinaus müssen Sie sicherstellen, dass die Benutzergruppenmitgliedschaft sich gegenseitig ausschließt, um Richtlinienkonflikte auf Benutzergeräten zu vermeiden.
Möglicherweise möchten Sie auch die iOS-Anwendungslizenzierung mithilfe des Apple Volumenkaufs verwalten. Diese Option erfordert, dass Sie sich für den Apple Volumenkauf registrieren und die XenMobile Volumenkauf-Einstellungen in der XenMobile-Konsole konfigurieren, um die Apps mit den Volumenkauf-Lizenzen zu verteilen. Verschiedene solcher Anwendungsfälle machen es wichtig, Ihre MAM-Strategie zu bewerten und zu planen, bevor Sie die XenMobile-Umgebung implementieren. Sie können mit der Planung Ihrer MAM-Strategie beginnen, indem Sie Folgendes definieren:
App-Typen: Listen Sie die verschiedenen App-Typen auf, die Sie unterstützen möchten, und kategorisieren Sie diese anschließend. Zum Beispiel: öffentliche, native, mobile Produktivitäts-Apps, Web-Apps, Inhouse-Apps, ISV-Apps usw. Kategorisieren Sie die Apps auch nach verschiedenen Geräteplattformen, wie iOS und Android. Diese Kategorisierung hilft Ihnen, die für jeden App-Typ erforderlichen XenMobile-Einstellungen aufeinander abzustimmen. Bestimmte Apps sind beispielsweise möglicherweise nicht für das Wrapping geeignet oder erfordern das Mobile Apps SDK, um spezielle APIs für die Interaktion mit anderen Apps zu aktivieren.
Netzwerkanforderungen: Konfigurieren Sie Apps mit spezifischen Netzwerkanforderungen mit den entsprechenden Einstellungen. Bestimmte Apps benötigen beispielsweise möglicherweise Zugriff auf Ihr internes Netzwerk über ein VPN. Einige Apps erfordern möglicherweise Internetzugang, um den Zugriff über die DMZ zu leiten. Um solchen Apps die Verbindung zum erforderlichen Netzwerk zu ermöglichen, müssen Sie verschiedene Einstellungen entsprechend konfigurieren. Die Definition von Netzwerkanforderungen pro App hilft Ihnen, architektonische Entscheidungen frühzeitig zu treffen, was den gesamten Implementierungsprozess optimiert.
Sicherheitsanforderungen: Es ist entscheidend, die Sicherheitsanforderungen zu definieren, die entweder für einzelne Apps oder für alle Apps gelten. Diese Planung stellt sicher, dass Sie die richtigen Konfigurationen erstellen, wenn Sie den XenMobile Server installieren. Obwohl Einstellungen wie die MDX-Richtlinien für einzelne Apps gelten, gelten die Sitzungs- und Authentifizierungseinstellungen für alle Apps. Einige Apps haben möglicherweise spezifische Anforderungen an Verschlüsselung, Containerisierung, Wrapping, Authentifizierung, Geofencing, Passcode oder Datenfreigabe, die Sie im Voraus festlegen können, um Ihre Bereitstellung zu vereinfachen.
Bereitstellungsanforderungen: Möglicherweise möchten Sie eine richtlinienbasierte Bereitstellung verwenden, um nur konformen Benutzern das Herunterladen der veröffentlichten Apps zu ermöglichen. Beispielsweise möchten Sie möglicherweise, dass bestimmte Apps eine der folgenden Anforderungen erfüllen:
- Geräteplattform-basierte Verschlüsselung ist aktiviert
- das Gerät wird verwaltet
- das Gerät erfüllt eine Mindestversion des Betriebssystems
- bestimmte Apps sind nur für Unternehmensbenutzer verfügbar
Möglicherweise möchten Sie auch, dass bestimmte Apps nur für Unternehmensbenutzer verfügbar sind. Skizzieren Sie solche Anforderungen im Voraus, damit Sie die entsprechenden Bereitstellungsregeln oder -aktionen konfigurieren können.
Lizenzierungsanforderungen: Führen Sie Aufzeichnungen über App-bezogene Lizenzierungsanforderungen. Diese Notizen helfen Ihnen, die Lizenznutzung effektiv zu verwalten und zu entscheiden, ob bestimmte Funktionen in XenMobile zur Erleichterung der Lizenzierung konfiguriert werden sollen. Wenn Sie beispielsweise eine kostenlose oder kostenpflichtige iOS-App bereitstellen, erzwingt Apple Lizenzierungsanforderungen für die App, indem Benutzer aufgefordert werden, sich bei ihrem iTunes-Konto anzumelden. Sie können sich für den Apple Volumenkauf registrieren, um diese Apps über XenMobile zu verteilen und zu verwalten. Der Volumenkauf ermöglicht es Benutzern, die Apps herunterzuladen, ohne sich bei ihrem iTunes-Konto anmelden zu müssen. Auch Tools wie Samsung SAFE und Samsung Knox haben spezielle Lizenzierungsanforderungen, die Sie vor der Bereitstellung dieser Funktionen erfüllen müssen.
Zulassungs- und Sperrlistenanforderungen: Sie möchten wahrscheinlich verhindern, dass Benutzer bestimmte Apps installieren oder verwenden. Erstellen Sie eine Zulassungsliste von Apps, die ein Gerät als nicht konform einstufen. Richten Sie dann Richtlinien ein, die ausgelöst werden, wenn ein Gerät nicht konform wird. Andererseits kann eine App akzeptabel sein, aber aus irgendeinem Grund auf der Sperrliste stehen. In diesem Fall können Sie die App einer Zulassungsliste hinzufügen und angeben, dass die App zwar verwendet werden darf, aber nicht erforderlich ist. Beachten Sie auch, dass die auf neuen Geräten vorinstallierten Apps einige häufig verwendete Apps enthalten können, die nicht Teil des Betriebssystems sind. Diese Apps könnten mit Ihrer Sperrlistenstrategie in Konflikt geraten.
Anwendungsfall für Apps
Eine Gesundheitsorganisation plant die Bereitstellung von XenMobile als MAM-Lösung für ihre mobilen Apps. Mobile Apps werden an Unternehmens- und BYOD-Benutzer geliefert. Die IT entscheidet sich, die folgenden Apps bereitzustellen und zu verwalten:
- Mobile Produktivitäts-Apps: Von Citrix bereitgestellte iOS- und Android-Apps.
- Secure Mail: E-Mail-, Kalender- und Kontakt-App.
- Secure Web: Sicherer Webbrowser, der Zugriff auf Internet- und Intranetseiten bietet.
- Citrix Files: App für den Zugriff auf freigegebene Daten sowie zum Freigeben, Synchronisieren und Bearbeiten von Dateien.
Öffentlicher App Store
- Secure Hub: Client, der von allen mobilen Geräten zur Kommunikation mit XenMobile verwendet wird. Die IT überträgt Sicherheitseinstellungen, Konfigurationen und mobile Apps über den Secure Hub-Client an mobile Geräte. Android- und iOS-Geräte werden über Secure Hub bei XenMobile registriert.
- Citrix Receiver™: Mobile App, die Benutzern das Öffnen von Anwendungen ermöglicht, die von Virtual Apps and Desktops auf mobilen Geräten gehostet werden.
- GoToMeeting: Ein Online-Meeting-, Desktop-Sharing- und Videokonferenz-Client, der es Benutzern ermöglicht, sich in Echtzeit über das Internet mit anderen Computerbenutzern, Kunden, Klienten oder Kollegen zu treffen.
- Salesforce1: Salesforce1 ermöglicht Benutzern den Zugriff auf Salesforce von mobilen Geräten und vereint alle Chatter-, CRM-, benutzerdefinierten Apps und Geschäftsprozesse in einer einheitlichen Erfahrung für jeden Salesforce-Benutzer.
- RSA SecurID: Softwarebasierter Token für die Zwei-Faktor-Authentifizierung.
-
EpicCare-Apps: Diese Apps bieten medizinischem Fachpersonal sicheren und portablen Zugriff auf Patientenakten, Patientenlisten, Zeitpläne und Nachrichten.
- Haiku: Mobile App für iPhone- und Android-Telefone.
- Canto: Mobile App für das iPad.
- Rover: Mobile Apps für iPhone und iPad.
HDX: Diese Apps werden über Citrix Virtual Apps™ und Desktops bereitgestellt.
- Epic Hyperspace: Epic-Clientanwendung für das Management elektronischer Gesundheitsakten.
ISV
- Vocera: HIPAA-konforme Voice-over-IP- und Messaging-Mobil-App, die die Vorteile der Vocera-Sprachtechnologie jederzeit und überall über iPhone- und Android-Smartphones erweitert.
Inhouse-Apps
- HCMail: App, die beim Verfassen verschlüsselter Nachrichten, beim Durchsuchen von Adressbüchern auf internen Mailservern und beim Senden der verschlüsselten Nachrichten an Kontakte über einen E-Mail-Client hilft.
Inhouse-Web-Apps
- PatientRounding: Webanwendung zur Erfassung von Patientengesundheitsinformationen durch verschiedene Abteilungen.
- Outlook Web Access: Ermöglicht den Zugriff auf E-Mails über einen Webbrowser.
- SharePoint: Wird für die organisationsweite Datei- und Datenfreigabe verwendet.
Die folgende Tabelle listet die grundlegenden Informationen auf, die für die MAM-Konfiguration erforderlich sind.
| App-Name | App-Typ | MDX-Wrapping | iOS | Android |
| Secure Mail | XenMobile App | Nein für Version 10.4.1 und höher | Ja | Ja |
| Secure Web | XenMobile App | Nein für Version 10.4.1 und höher | Ja | Ja |
| Citrix Files | XenMobile App | Nein für Version 10.4.1 und höher | Ja | Ja |
| Secure Hub | Öffentliche App | N/A | Ja | Ja |
| Citrix Receiver | Öffentliche App | N/A | Ja | Ja |
| GoToMeeting | Öffentliche App | N/A | Ja | Ja |
| Salesforce1 | Öffentliche App | N/A | Ja | Ja |
| RSA SecurID | Öffentliche App | N/A | Ja | Ja |
| Epic Haiku | Öffentliche App | N/A | Ja | Ja |
| Epic Canto | Öffentliche App | N/A | Ja | Nein |
| Epic Rover | Öffentliche App | N/A | Ja | Nein |
| Epic Hyperspace | HDX™ App | N/A | Ja | Ja |
| Vocera | ISV-App | Ja | Ja | Ja |
| HCMail | Inhouse-App | Ja | Ja | Ja |
| PatientRounding | Web-App | N/A | Ja | Ja |
| Outlook Web Access | Web-App | N/A | Ja | Ja |
| SharePoint | Web-App | N/A | Ja | Ja |
Die folgenden Tabellen listen spezifische Anforderungen auf, die Sie bei der Konfiguration von MAM-Richtlinien in XenMobile konsultieren können.
| App-Name | VPN erforderlich | Interaktion | Interaktion | Geräteplattform-basierte Verschlüsselung |
| (mit Apps außerhalb des Containers) | (von Apps außerhalb des Containers) | |||
|---|---|---|---|---|
| Secure Mail | J | Selektiv erlaubt | Erlaubt | Nicht erforderlich |
| Secure Web | J | Erlaubt | Erlaubt | Nicht erforderlich |
| Citrix Files | J | Erlaubt | Erlaubt | Nicht erforderlich |
| Secure Hub | J | N/A | N/A | N/A |
| Citrix Receiver | J | N/A | N/A | N/A |
| GoToMeeting | N | N/A | N/A | N/A |
| Salesforce1 | N | N/A | N/A | N/A |
| RSA SecurID | N | N/A | N/A | N/A |
| Epic Haiku | J | N/A | N/A | N/A |
| Epic Canto | J | N/A | N/A | N/A |
| Epic Rover | J | N/A | N/A | N/A |
| Epic Hyperspace | J | N/A | N/A | N/A |
| Vocera | J | Blockiert | Blockiert | Nicht erforderlich |
| HCMail | J | Blockiert | Blockiert | Erforderlich |
| PatientRounding | J | N/A | N/A | Erforderlich |
| Outlook Web Access | J | N/A | N/A | Nicht erforderlich |
| SharePoint | J | N/A | N/A | Nicht erforderlich |
| App-Name | Proxy-Filterung | Lizenzierung | Geofencing | Mobile Apps SDK | Mindestversion des Betriebssystems |
|---|---|---|---|---|---|
| Secure Mail | Erforderlich | N/A | Selektiv erforderlich | N/A | Erzwingen |
| Secure Web | Erforderlich | N/A | Nicht erforderlich | N/A | Erzwingen |
| Citrix Files | Erforderlich | N/A | Nicht erforderlich | N/A | Erzwingen |
| Secure Hub | Nicht erforderlich | Volumenkauf | Nicht erforderlich | N/A | Nicht erzwingen |
| Citrix Receiver | Nicht erforderlich | Volumenkauf | Nicht erforderlich | N/A | Nicht erzwingen |
| GoToMeeting | Nicht erforderlich | Volumenkauf | Nicht erforderlich | N/A | Nicht erzwingen |
| Salesforce1 | Nicht erforderlich | Volumenkauf | Nicht erforderlich | N/A | Nicht erzwingen |
| RSA SecurID | Nicht erforderlich | Volumenkauf | Nicht erforderlich | N/A | Nicht erzwingen |
| Epic Haiku | Nicht erforderlich | Volumenkauf | Nicht erforderlich | N/A | Nicht erzwingen |
| Epic Canto | Nicht erforderlich | Volumenkauf | Nicht erforderlich | N/A | Nicht erzwingen |
| Epic Rover | Nicht erforderlich | Volumenkauf | Nicht erforderlich | N/A | Nicht erzwingen |
| Epic Hyperspace | Nicht erforderlich | N/A | Nicht erforderlich | N/A | Nicht erzwingen |
| Vocera | Erforderlich | N/A | Erforderlich | Erforderlich | Erzwingen |
| HCMail | Erforderlich | N/A | Erforderlich | Erforderlich | Erzwingen |
| PatientRound-ing | Erforderlich | N/A | Nicht erforderlich | N/A | Nicht erzwingen |
| Outlook Web Access | Erforderlich | N/A | Nicht erforderlich | N/A | Nicht erzwingen |
| SharePoint | Erforderlich | N/A | Nicht erforderlich | N/A | Nicht erzwingen |
Benutzergemeinschaften
Jede Organisation besteht aus verschiedenen Benutzergemeinschaften, die in unterschiedlichen funktionalen Rollen agieren. Diese Benutzergemeinschaften führen verschiedene Aufgaben und Bürofunktionen unter Verwendung unterschiedlicher Ressourcen aus, die Sie über die mobilen Geräte der Benutzer bereitstellen. Benutzer können von zu Hause oder in entfernten Büros arbeiten und dabei von Ihnen bereitgestellte mobile Geräte verwenden. Oder Benutzer verwenden ihre persönlichen mobilen Geräte, was ihnen den Zugriff auf Tools ermöglicht, die bestimmten Sicherheits- und Compliance-Regeln unterliegen.
Da immer mehr Benutzergemeinschaften mobile Geräte verwenden, wird Enterprise Mobility Management (EMM) entscheidend, um Datenlecks zu verhindern und Sicherheitsbeschränkungen durchzusetzen. Für ein effizientes und ausgefeilteres Mobile Device Management können Sie Ihre Benutzergemeinschaften kategorisieren. Dies vereinfacht die Zuordnung von Benutzern zu Ressourcen und stellt sicher, dass die richtigen Sicherheitsrichtlinien für die richtigen Benutzer gelten.
Das folgende Beispiel veranschaulicht, wie die Benutzergemeinschaften einer Gesundheitsorganisation für EMM klassifiziert werden.
Anwendungsfall für Benutzergemeinschaften
Diese beispielhafte Gesundheitseinrichtung stellt Technologieressourcen und Zugang für mehrere Benutzer bereit, darunter Netzwerk- und Partnerangestellte sowie Freiwillige. Die Organisation hat sich entschieden, die EMM-Lösung nur für nicht-leitende Benutzer einzuführen.
Benutzerrollen und -funktionen für diese Organisation können in Untergruppen unterteilt werden, darunter: klinisches Personal, nicht-klinisches Personal und Auftragnehmer. Eine ausgewählte Gruppe von Benutzern erhält firmeneigene Mobilgeräte, während andere nur eingeschränkten Zugriff auf Unternehmensressourcen von ihren privaten Geräten aus haben. Um das richtige Maß an Sicherheitsbeschränkungen durchzusetzen und Datenlecks zu verhindern, entschied die Organisation, dass die Unternehmens-IT jedes registrierte Gerät verwaltet, sei es firmeneigen oder BYOD. Außerdem können Benutzer nur ein einziges Gerät registrieren.
Der folgende Abschnitt bietet eine Übersicht über die Rollen und Funktionen jeder Untergruppe:
Klinisches Personal
- Krankenpfleger/innen
- Ärzte (Ärzte, Chirurgen usw.)
- Spezialisten (Ernährungsberater, Anästhesisten, Radiologen, Kardiologen, Onkologen usw.)
- Externe Ärzte (Nicht angestellte Ärzte und Büroangestellte, die von externen Büros aus arbeiten)
- Häusliche Pflegedienste (Büro- und mobile Mitarbeiter, die ärztliche Leistungen bei Hausbesuchen erbringen)
- Forschungsspezialisten (Wissensarbeiter und Power-User an sechs Forschungsinstituten, die klinische Forschung betreiben, um Antworten auf medizinische Fragen zu finden)
- Aus- und Weiterbildung (Krankenpfleger, Ärzte und Spezialisten in Aus- und Weiterbildung)
Nicht-klinisches Personal
- Shared Services (Büroangestellte, die verschiedene Backoffice-Funktionen ausführen, darunter: Personalwesen, Gehaltsabrechnung, Kreditorenbuchhaltung, Lieferkettendienst usw.)
- Ärztliche Dienste (Büroangestellte, die verschiedene Gesundheitsmanagement-, Verwaltungsdienstleistungen und Geschäftsprozesslösungen für Anbieter erbringen, darunter: Verwaltungsdienste, Analysen und Business Intelligence, Geschäftssysteme, Kundendienste, Finanzen, Managed Care Administration, Patientenzugangslösungen, Revenue Cycle Solutions usw.)
- Support-Dienste (Büroangestellte, die verschiedene nicht-klinische Funktionen ausführen, darunter: Leistungsverwaltung, klinische Integration, Kommunikation, Vergütungs- und Leistungsmanagement, Gebäude- und Immobiliendienste, HR-Technologiesysteme, Informationsdienste, interne Revision und Prozessverbesserung usw.)
- Philanthropische Programme (Büro- und mobile Mitarbeiter, die verschiedene Funktionen zur Unterstützung philanthropischer Programme ausführen)
Auftragnehmer
- Hersteller- und Anbieterpartner (Vor Ort und remote über Site-to-Site-VPN verbunden, die verschiedene nicht-klinische Supportfunktionen bereitstellen)
Basierend auf den vorstehenden Informationen hat die Organisation die folgenden Entitäten erstellt. Weitere Informationen zu Bereitstellungsgruppen in XenMobile finden Sie unter Ressourcen bereitstellen.
Active Directory Organisationseinheiten (OUs) und Gruppen
Für OU = XenMobile-Ressourcen:
- OU = Klinisch; Gruppen =
- XM-Nurses
- XM-Physicians
- XM-Specialists
- XM-Outside Physicians
- XM-Home Health Services
- XM-Research Specialist
- XM-Education and Training
- OU = Nicht-klinisch; Gruppen =
- XM-Shared Services
- XM-Physician Services
- XM-Support Services
- XM-Philanthropic Programs
XenMobile Lokale Benutzer und Gruppen
Für Gruppe= Auftragnehmer, Benutzer =
- Vendor1
- Vendor2
- Vendor 3
- … Vendor 10
XenMobile Bereitstellungsgruppen
- Clinical-Nurses
- Clinical-Physicians
- Clinical-Specialists
- Clinical-Outside Physicians
- Clinical-Home Health Services
- Clinical-Research Specialist
- Clinical-Education and Training
- Non-Clinical-Shared Services
- Non-Clinical-Physician Services
- Non-Clinical-Support Services
- Non-Clinical-Philanthropic Programs
Bereitstellungsgruppen- und Benutzergruppen-Zuordnung
| Active Directory-Gruppen | XenMobile-Bereitstellungsgruppen |
| XM-Nurses | Clinical-Nurses |
| XM-Physicians | Clinical-Physicians |
| XM-Specialists | Clinical-Specialists |
| XM-Outside Physicians | Clinical-Outside Physicians |
| XM-Home Health Services | Clinical-Home Health Services |
| XM-Research Specialist | Clinical-Research Specialist |
| XM-Education and Training | Clinical-Education and Training |
| XM-Shared Services | Non-Clinical-Shared Services |
| XM-Physician Services | Non-Clinical-Physician Services |
| XM-Support Services | Non-Clinical-Support Services |
| XM-Philanthropic Programs | Non-Clinical-Philanthropic Programs |
Bereitstellungsgruppen- und Ressourcen-Zuordnung
Die folgenden Tabellen veranschaulichen die Ressourcen, die jeder Bereitstellungsgruppe in diesem Anwendungsfall zugewiesen sind. Die erste Tabelle zeigt die Zuweisungen mobiler Apps. Die zweite Tabelle zeigt die öffentlichen Apps, HDX-Apps und Ressourcen für die Geräteverwaltung.
| XenMobile-Bereitstellungsgruppen | Citrix Mobile-Apps | Öffentliche Mobile-Apps | HDX Mobile-Apps |
| Clinical-Nurses | X | ||
| Clinical-Physicians | |||
| Clinical-Specialists | |||
| Clinical-Outside Physicians | X | ||
| Clinical-Home Health Services | X | ||
| Clinical-Research Specialist | X | ||
| Clinical-Education and Training | X | X | |
| Non-Clinical-Shared Services | X | X | |
| Non-Clinical-Physician Services | X | X | |
| Non-Clinical-Support Services | X | X | X |
| Non-Clinical-Philanthropic Programs | X | X | X |
| Contractors | X | X | X |
| XenMobile-Bereitstellungsgruppen | Öffentliche App: RSA SecurID | Öffentliche App: EpicCare Haiku | HDX-App: Epic Hyperspace | Passcode-Richtlinie | Geräteeinschränkungen | Automatisierte Aktionen | WLAN-Richtlinie |
| Clinical-Nurses | X | ||||||
| Clinical-Physicians | X | ||||||
| Clinical-Specialists | |||||||
| Clinical-Outside Physicians | |||||||
| Clinical-Home Health Services | |||||||
| Clinical-Research Specialist | |||||||
| Clinical-Education and Training | X | X | |||||
| Non-Clinical-Shared Services | X | X | |||||
| Non-Clinical-Physician Services | X | X | |||||
| Non-Clinical-Support Services | X | X |
Hinweise und Überlegungen
- XenMobile erstellt während der Erstkonfiguration eine Standard-Bereitstellungsgruppe namens „Alle Benutzer“. Wenn Sie diese Bereitstellungsgruppe nicht deaktivieren, haben alle Active Directory-Benutzer das Recht, sich bei XenMobile zu registrieren.
- XenMobile synchronisiert Active Directory-Benutzer und -Gruppen bei Bedarf über eine dynamische Verbindung zum LDAP-Server.
- Wenn ein Benutzer Teil einer Gruppe ist, die in XenMobile nicht zugeordnet ist, kann dieser Benutzer sich nicht registrieren. Wenn ein Benutzer Mitglied mehrerer Gruppen ist, kategorisiert XenMobile den Benutzer ebenfalls nur in den Gruppen, die XenMobile zugeordnet sind.
- Um die MDM-Registrierung obligatorisch zu machen, müssen Sie die Option „Registrierung erforderlich“ in den Servereigenschaften in der XenMobile-Konsole auf „True“ setzen. Weitere Informationen finden Sie unter Servereigenschaften.
- Sie können eine Benutzergruppe aus einer XenMobile-Bereitstellungsgruppe löschen, indem Sie den Eintrag in der SQL Server-Datenbank unter dbo.userlistgrps löschen. Vorsicht: Bevor Sie diese Aktion ausführen, erstellen Sie ein Backup von XenMobile und der Datenbank.
Informationen zum Gerätebesitz in XenMobile
Sie können Benutzer nach dem Besitzer des Geräts eines Benutzers gruppieren. Der Gerätebesitz umfasst firmeneigene Geräte und benutzerdefinierte Geräte, auch bekannt als Bring Your Own Device (BYOD). Sie können steuern, wie BYOD-Geräte sich mit Ihrem Netzwerk verbinden, und zwar an zwei Stellen in der XenMobile-Konsole: in den Bereitstellungsregeln für jeden Ressourcentyp und über die Servereigenschaften auf der Seite Einstellungen. Details zu Bereitstellungsregeln finden Sie unter Bereitstellungsregeln konfigurieren in der XenMobile-Dokumentation. Details zu Servereigenschaften finden Sie unter Servereigenschaften.
Sie können von allen BYOD-Benutzern verlangen, die Unternehmensverwaltung ihrer Geräte zu akzeptieren, bevor sie auf Apps zugreifen können. Alternativ können Sie Benutzern den Zugriff auf Unternehmens-Apps ermöglichen, ohne deren Geräte zu verwalten.
Wenn Sie die Servereinstellung wsapi.mdm.required.flag auf true setzen, verwaltet XenMobile alle BYOD-Geräte, und jedem Benutzer, der die Registrierung ablehnt, wird der Zugriff auf Apps verweigert. Erwägen Sie, wsapi.mdm.required.flag auf true zu setzen in Umgebungen, in denen IT-Teams von Unternehmen hohe Sicherheit zusammen mit einer positiven Benutzererfahrung bei der Registrierung von Benutzergeräten in XenMobile benötigen.
Wenn Sie wsapi.mdm.required.flag auf false belassen, was die Standardeinstellung ist, können Benutzer die Registrierung ablehnen, aber möglicherweise weiterhin über den XenMobile Store auf Apps auf ihren Geräten zugreifen. Erwägen Sie, wsapi.mdm.required.flag auf false zu setzen in Umgebungen, in denen Datenschutz-, rechtliche oder regulatorische Einschränkungen keine Geräteverwaltung, sondern nur die Verwaltung von Unternehmens-Apps erfordern.
Benutzer mit Geräten, die nicht von XenMobile verwaltet werden, können Apps über den XenMobile Store installieren. Anstatt gerätebasierter Kontrollen, wie selektiver oder vollständiger Löschung, steuern Sie den Zugriff auf die Apps über App-Richtlinien. Die Richtlinien erfordern, abhängig von den von Ihnen festgelegten Werten, dass das Gerät den XenMobile Server routinemäßig überprüft, um zu bestätigen, dass die Apps weiterhin ausgeführt werden dürfen.
Sicherheitsanforderungen
Die Anzahl der Sicherheitsaspekte bei der Bereitstellung einer XenMobile-Umgebung kann schnell überwältigend sein. Es gibt viele ineinandergreifende Komponenten und Einstellungen. Um Ihnen den Einstieg zu erleichtern und ein akzeptables Schutzniveau zu wählen, bietet Citrix Empfehlungen für hohe, höhere und höchste Sicherheit, die in der folgenden Tabelle aufgeführt sind.
Ihre Wahl des Bereitstellungsmodus umfasst mehr als nur Sicherheitsbedenken. Es ist wichtig, auch die Anforderungen des Anwendungsfalls zu überprüfen und zu entscheiden, ob Sie Sicherheitsbedenken mindern können, bevor Sie Ihren Bereitstellungsmodus wählen.
Hoch: Die Verwendung dieser Einstellungen bietet ein optimales Benutzererlebnis bei gleichzeitig grundlegendem Sicherheitsniveau, das für die meisten Organisationen akzeptabel ist.
Höher: Diese Einstellungen schaffen ein stärkeres Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit.
Höchste: Die Befolgung dieser Empfehlungen bietet ein hohes Maß an Sicherheit auf Kosten der Benutzerfreundlichkeit und Benutzerakzeptanz.
Sicherheitsaspekte des Bereitstellungsmodus
Die folgende Tabelle gibt die Bereitstellungsmodi für jede Sicherheitsstufe an.
| Hohe Sicherheit | Höhere Sicherheit | Höchste Sicherheit |
| MAM oder MDM | MDM+MAM | MDM+MAM; plus FIPS |
Hinweise:
- Abhängig vom Anwendungsfall kann eine MDM-only- oder MAM-only-Bereitstellung die Sicherheitsanforderungen erfüllen und ein gutes Benutzererlebnis bieten.
- Wenn Sie keine App-Containerisierung, Micro-VPN oder appspezifische Richtlinien benötigen, ist MDM ausreichend, um Geräte zu verwalten und zu sichern.
- Für Anwendungsfälle wie BYOD, bei denen die App-Containerisierung allein alle Geschäfts- und Sicherheitsanforderungen erfüllen kann, empfiehlt Citrix den MAM-only-Modus.
- Für Umgebungen mit hoher Sicherheit (und unternehmenseigenen Geräten) empfiehlt Citrix MDM+MAM, um alle verfügbaren Sicherheitsfunktionen zu nutzen. Stellen Sie sicher, dass die MDM-Registrierung erzwungen wird.
- FIPS-Optionen für Umgebungen mit den höchsten Sicherheitsanforderungen, wie z. B. die Bundesregierung.
Wenn Sie den FIPS-Modus aktivieren, müssen Sie SQL Server so konfigurieren, dass der SQL-Datenverkehr verschlüsselt wird.
Sicherheitsaspekte von Citrix ADC und Citrix Gateway
Die folgende Tabelle gibt die Empfehlungen für Citrix ADC und Citrix Gateway für jede Sicherheitsstufe an.
| Hohe Sicherheit | Höhere Sicherheit | Höchste Sicherheit |
| Citrix ADC wird empfohlen. Citrix Gateway ist für MAM und ENT erforderlich; für MDM empfohlen | Standard-Citrix ADC für die XenMobile-Assistentenkonfiguration mit SSL-Bridge, wenn XenMobile in der DMZ ist. Oder SSL-Offload, falls erforderlich, um Sicherheitsstandards zu erfüllen, wenn der XenMobile Server im internen Netzwerk ist. | SSL-Offload mit End-to-End-Verschlüsselung |
Hinweise:
- Das Offenlegen des XenMobile Servers über NAT oder bestehende Drittanbieter-Proxys und Load-Balancer kann eine Option für MDM sein. Dieses Setup erfordert jedoch, dass der SSL-Datenverkehr auf dem XenMobile Server terminiert wird, was ein potenzielles Sicherheitsrisiko darstellt.
- Für Umgebungen mit hoher Sicherheit erfüllt oder übertrifft Citrix ADC mit der Standard-XenMobile-Konfiguration typischerweise die Sicherheitsanforderungen.
- Für MDM-Umgebungen mit den höchsten Sicherheitsanforderungen ermöglicht die SSL-Terminierung am Citrix ADC die Überprüfung des Datenverkehrs am Perimeter und die Aufrechterhaltung der End-to-End-SSL-Verschlüsselung.
- Optionen zur Definition von SSL/TLS-Chiffren.
- SSL FIPS Citrix ADC Hardware ist ebenfalls verfügbar.
- Weitere Informationen finden Sie unter Integration mit Citrix Gateway und Citrix ADC.
Sicherheitsaspekte der Registrierung
Die folgende Tabelle gibt die Empfehlungen für Citrix ADC und Citrix Gateway für jede Sicherheitsstufe an.
| Hohe Sicherheit | Höhere Sicherheit | Höchste Sicherheit |
| Nur Active Directory-Gruppenmitgliedschaft. Bereitstellungsgruppe „Alle Benutzer“ deaktiviert. | Registrierungs-Sicherheitsmodus nur per Einladung. Nur Active Directory-Gruppenmitgliedschaft. Bereitstellungsgruppe „Alle Benutzer“ deaktiviert | Registrierungs-Sicherheitsmodus an Geräte-ID gebunden. Nur Active Directory-Gruppenmitgliedschaft. Bereitstellungsgruppe „Alle Benutzer“ deaktiviert |
Hinweise:
- Citrix empfiehlt generell, die Registrierung auf Benutzer in vordefinierten Active Directory-Gruppen zu beschränken. Dieses Setup erfordert die Deaktivierung der integrierten Bereitstellungsgruppe „Alle Benutzer“.
- Sie können Registrierungseinladungen verwenden, um die Registrierung auf Benutzer mit einer Einladung zu beschränken. Registrierungseinladungen sind für Windows-Geräte nicht verfügbar.
- Sie können Einladungen zur Registrierung mit einem Einmalpasswort (OTP) als Zwei-Faktor-Authentifizierungslösung verwenden und die Anzahl der Geräte steuern, die ein Benutzer registrieren kann. OTP-Einladungen sind für Windows-Geräte nicht verfügbar.
Sicherheitsaspekte des Gerätepasscodes
Die folgende Tabelle gibt die Empfehlungen für den Gerätepasscode für jede Sicherheitsstufe an.
| Hohe Sicherheit | Höhere Sicherheit | Höchste Sicherheit |
| Empfohlen. Hohe Sicherheit ist für die gerätebasierte Verschlüsselung erforderlich. Erzwingung durch MDM. Sie können hohe Sicherheit für MAM-only als erforderlich festlegen, indem Sie die MDX-Richtlinie „Verhalten nicht konformer Geräte“ verwenden. | Erzwingung durch MDM, eine MDX-Richtlinie oder beides. | Erzwingung durch MDM und MDX-Richtlinie. MDM-Richtlinie für komplexe Passcodes. |
Hinweise:
- Citrix empfiehlt die Verwendung eines Gerätepasscodes.
- Sie können einen Gerätepasscode über eine MDM-Richtlinie erzwingen.
- Sie können eine MDX-Richtlinie verwenden, um einen Gerätepasscode zur Voraussetzung für die Nutzung verwalteter Apps zu machen. Zum Beispiel für BYOD-Anwendungsfälle.
- Citrix empfiehlt die Kombination der MDM- und MDX-Richtlinienoptionen für erhöhte Sicherheit in MDM+MAM-Umgebungen.
- Für Umgebungen mit den höchsten Sicherheitsanforderungen können Sie komplexe Passcode-Richtlinien konfigurieren und diese mit MDM erzwingen. Sie können automatische Aktionen konfigurieren, um Administratoren zu benachrichtigen oder selektive/vollständige Gerätelöschungen auszulösen, wenn ein Gerät einer Passcode-Richtlinie nicht entspricht.