Benutzergemeinschaften
Jede Organisation besteht aus verschiedenen Benutzergemeinschaften, die in unterschiedlichen funktionalen Rollen agieren. Diese Benutzergemeinschaften erledigen verschiedene Aufgaben und Bürofunktionen mithilfe unterschiedlicher Ressourcen, die Sie über mobile Endgeräte bereitstellen. Benutzer können von zu Hause oder in Außenstellen arbeiten und dabei von Ihnen bereitgestellte mobile Endgeräte verwenden, oder sie nutzen persönliche mobile Endgeräte, die ihnen den Zugriff auf Tools ermöglichen, die bestimmten Sicherheits- und Compliance-Regeln unterliegen.
Da immer mehr Benutzergemeinschaften mobile Endgeräte nutzen, wird Enterprise Mobility Management (EMM) entscheidend, um Datenlecks zu verhindern und organisatorische Sicherheitsbeschränkungen durchzusetzen. Für ein effizientes und ausgefeilteres Management mobiler Endgeräte können Sie Ihre Benutzergemeinschaften kategorisieren. Dies vereinfacht die Zuordnung von Benutzern zu Ressourcen und stellt sicher, dass die richtigen Sicherheitsrichtlinien für die richtigen Benutzer gelten.
Die Kategorisierung von Benutzergemeinschaften kann die Verwendung der folgenden Komponenten umfassen:
-
Active Directory Organisationseinheiten (OUs) und Gruppen
Benutzer, die bestimmten Active Directory-Sicherheitsgruppen hinzugefügt werden, können Richtlinien und Ressourcen wie Apps erhalten. Das Entfernen von Benutzern aus den Active Directory-Sicherheitsgruppen entzieht den Zugriff auf zuvor zugelassene XenMobile®-Ressourcen.
-
Lokale XenMobile-Benutzer und -Gruppen
Für Benutzer, die kein Konto in Active Directory haben, können Sie die Benutzer als lokale XenMobile-Benutzer anlegen. Sie können lokale Benutzer zu Bereitstellungsgruppen hinzufügen und ihnen Ressourcen auf die gleiche Weise wie Active Directory-Benutzern bereitstellen.
-
XenMobile-Bereitstellungsgruppen
Wenn mehrere Benutzergruppen mit unterschiedlichen Berechtigungsstufen eine einzelne App nutzen sollen, müssen Sie möglicherweise separate Bereitstellungsgruppen erstellen. Mit separaten Bereitstellungsgruppen können Sie zwei separate Versionen derselben App bereitstellen.
-
Zuordnung von Bereitstellungsgruppe und Benutzergruppe
Zuordnungen von Bereitstellungsgruppen zu Active Directory-Gruppen können entweder Eins-zu-Eins oder Eins-zu-Viele sein. Weisen Sie Basisrichtlinien und Apps einer Eins-zu-Viele-Bereitstellungsgruppenzuordnung zu. Weisen Sie funktionsspezifische Richtlinien und Apps Eins-zu-Eins-Bereitstellungsgruppenzuordnungen zu.
-
Zuordnung von Bereitstellungsgruppe und Ressourcen für Apps
Weisen Sie jeder Bereitstellungsgruppe spezifische Apps zu.
-
Zuordnung von Bereitstellungsgruppe und Ressourcen für MDM-Ressourcen
Weisen Sie jeder Bereitstellungsgruppe Apps und spezifische Geräteverwaltungsressourcen zu. Konfigurieren Sie beispielsweise eine Bereitstellungsgruppe mit einer beliebigen Mischung aus Folgendem: App-Typen (öffentlich, HDX™ usw.), spezifische Apps pro App-Typ und Ressourcen wie Geräterichtlinien und automatisierte Aktionen.
Das folgende Beispiel veranschaulicht, wie die Benutzergemeinschaften einer Gesundheitsorganisation für EMM klassifiziert werden.
Anwendungsfall
Diese beispielhafte Gesundheitsorganisation stellt Technologie-Ressourcen und Zugriff für mehrere Benutzer bereit, darunter Netzwerk- und Partner-Mitarbeiter sowie Freiwillige. Die Organisation hat sich entschieden, die EMM-Lösung nur für nicht-leitende Benutzer einzuführen.
Sie können die Benutzerrollen und -funktionen für diese Organisation in Untergruppen unterteilen, darunter: klinisches Personal, nicht-klinisches Personal und Auftragnehmer. Eine ausgewählte Gruppe von Benutzern erhält firmeneigene mobile Endgeräte, während andere nur eingeschränkten Zugriff auf Unternehmensressourcen von ihren persönlichen Geräten (BYOD) erhalten. Um das angemessene Maß an Sicherheitsbeschränkungen durchzusetzen und Datenlecks zu verhindern, entschied die Organisation, dass die Unternehmens-IT jedes registrierte Gerät verwaltet. Außerdem können Benutzer nur ein einziges Gerät registrieren.
Die folgenden Abschnitte geben einen Überblick über die Rollen und Funktionen jeder Untergruppe.
Klinisches Personal
- Krankenschwestern/Pfleger
- Ärzte (Ärzte, Chirurgen usw.)
- Spezialisten (Ernährungsberater, Phlebotomisten, Anästhesisten, Radiologen, Kardiologen, Onkologen usw.)
- Externe Ärzte (Nicht-angestellte Ärzte und Büroangestellte, die von Außenstellen aus arbeiten)
- Häusliche Pflegedienste (Büro- und mobile Mitarbeiter, die ärztliche Dienste bei Hausbesuchen von Patienten erbringen)
- Forschungsspezialist (Wissensarbeiter und Power-User an sechs Forschungsinstituten, die klinische Forschung betreiben, um Antworten auf medizinische Fragen zu finden)
- Bildung und Ausbildung (Krankenschwestern/Pfleger, Ärzte und Spezialisten in Bildung und Ausbildung)
Nicht-klinisches Personal
- Shared Services (Büroangestellte, die verschiedene Back-Office-Funktionen ausführen, darunter: Personalwesen, Gehaltsabrechnung, Kreditorenbuchhaltung, Lieferkettendienst usw.)
- Ärztliche Dienste (Büroangestellte, die verschiedene Funktionen im Gesundheitsmanagement, administrative Dienste und Geschäftsprozesslösungen für Anbieter ausführen, darunter: Administrative Dienste, Analysen und Business Intelligence, Geschäftssysteme, Kundendienste, Finanzen, Managed Care Administration, Patientenzugangslösungen, Revenue Cycle Solutions usw.)
- Support Services (Büroangestellte, die verschiedene nicht-klinische Funktionen ausführen, darunter: Leistungsverwaltung, klinische Integration, Kommunikation, Vergütungs- und Leistungsmanagement, Gebäude- und Immobiliendienste, HR-Technologiesysteme, Informationsdienste, interne Revision und Prozessverbesserung usw.)
- Philanthropische Programme (Büro- und mobile Mitarbeiter, die verschiedene Funktionen zur Unterstützung philanthropischer Programme ausführen)
Auftragnehmer
- Hersteller- und Anbieterpartner (Vor Ort und remote über Site-to-Site-VPN verbunden, die verschiedene nicht-klinische Supportfunktionen bereitstellen)
Basierend auf den vorstehenden Informationen hat die Organisation die folgenden Entitäten erstellt. Weitere Informationen zu Bereitstellungsgruppen in XenMobile finden Sie unter Ressourcen bereitstellen in der XenMobile-Produktdokumentation.
Active Directory Organisationseinheiten (OUs) und Gruppen
Für OU = XenMobile-Ressourcen
- OU = Klinisch; Gruppen =
- XM-Nurses
- XM-Physicians
- XM-Specialists
- XM-Outside Physicians
- XM-Home Health Services
- XM-Research Specialist
- XM-Education and Training
- OU = Nicht-klinisch; Gruppen =
- XM-Shared Services
- XM-Physician Services
- XM-Support Services
- XM-Philanthropic Programs
Lokale XenMobile-Benutzer und -Gruppen
Für Gruppe = Auftragnehmer, Benutzer =
- Vendor1
- Vendor2
- Vendor 3
- … Vendor 10
XenMobile-Bereitstellungsgruppen
- Clinical-Nurses
- Clinical-Physicians
- Clinical-Specialists
- Clinical-Outside Physicians
- Clinical-Home Health Services
- Clinical-Research Specialist
- Clinical-Education and Training
- Non-Clinical-Shared Services
- Non-Clinical-Physician Services
- Non-Clinical-Support Services
- Non-Clinical-Philanthropic Programs
Zuordnung von Bereitstellungsgruppe und Benutzergruppe
| Active Directory-Gruppen | XenMobile-Bereitstellungsgruppen |
| XM-Nurses | Clinical-Nurses |
| XM-Physicians | Clinical-Physicians |
| XM-Specialists | Clinical-Specialists |
| XM-Outside Physicians | Clinical-Outside Physicians |
| XM-Home Health Services | Clinical-Home Health Services |
| XM-Research Specialist | Clinical-Research Specialist |
| XM-Education and Training | Clinical-Education and Training |
| XM-Shared Services | Non-Clinical-Shared Services |
| XM-Physician Services | Non-Clinical-Physician Services |
| XM-Support Services | Non-Clinical-Support Services |
| XM-Philanthropic Programs | Non-Clinical-Philanthropic Programs |
Zuordnung von Bereitstellungsgruppe und Ressourcen für Apps
| Secure Mail | Secure Web | ShareFile | Receiver | SalesForce1 | RSA SecurID | EpicCare Haiku | Epic Hyperspace | |
| Clinical-Nurses | X | X | X | |||||
| Clinical-Physicians | ||||||||
| Clinical-Specialists | ||||||||
| Clinical-Outside Physicians | X | X | ||||||
| Clinical-Home Health Services | X | X | ||||||
| Clinical-Research Specialist | X | X | ||||||
| Clinical-Education and Training | X | X | ||||||
| Non-Clinical-Shared Services | X | X | ||||||
| Non-Clinical-Physician Services | X | X | ||||||
| Non-Clinical-Support Services | X | X | X | X | ||||
| Non-Clinical-Philanthropic Programs | X | X | X | X | ||||
| Contractors | X | X | X | X | X | X |
Zuordnung von Bereitstellungsgruppe und Ressourcen für MDM
| MDM: Passcode-Richtlinie | MDM: Geräteeinschränkungen | MDM: Automatisierte Aktionen | MDM: WLAN-Richtlinie | |
| Clinical-Nurses | X | |||
| Clinical-Physicians | X | |||
| Clinical-Specialists | ||||
| Clinical-Outside Physicians | ||||
| Clinical-Home Health Services | ||||
| Clinical-Research Specialist | ||||
| Clinical-Education and Training | ||||
| Non-Clinical-Shared Services | ||||
| Non-Clinical-Physician Services | ||||
| Non-Clinical-Support Services | ||||
| Non-Clinical-Philanthropic Programs | ||||
| Contractors | X |
Hinweise und Überlegungen
- XenMobile erstellt während der Erstkonfiguration eine Standard-Bereitstellungsgruppe namens „Alle Benutzer“. Wenn Sie diese Bereitstellungsgruppe nicht deaktivieren, haben alle Active Directory-Benutzer das Recht, sich bei XenMobile zu registrieren.
- XenMobile synchronisiert Active Directory-Benutzer und -Gruppen bei Bedarf über eine dynamische Verbindung zum LDAP-Server.
- Wenn ein Benutzer Teil einer Gruppe ist, die in XenMobile nicht zugeordnet ist, kann sich dieser Benutzer nicht registrieren. Wenn ein Benutzer Mitglied mehrerer Gruppen ist, kategorisiert XenMobile den Benutzer ebenfalls nur als zu den in XenMobile zugeordneten Gruppen gehörend.
- Um die MDM-Registrierung obligatorisch zu machen, setzen Sie die Option Registrierung erforderlich auf True unter Servereigenschaften in der XenMobile-Konsole. Einzelheiten finden Sie unter Servereigenschaften.
- Um eine Benutzergruppe aus einer XenMobile-Bereitstellungsgruppe zu löschen, löschen Sie den Eintrag in der SQL Server-Datenbank unter dbo.userlistgrps.
Vorsicht:
Bevor Sie diese Aktion ausführen, erstellen Sie ein Backup von XenMobile und der Datenbank.
Informationen zum Gerätebesitz in XenMobile
Sie können Benutzer nach dem Besitzer eines Benutzergeräts gruppieren. Der Gerätebesitz umfasst firmeneigene Geräte und benutzerdefinierte Geräte, auch bekannt als Bring Your Own Device (BYOD). Sie können steuern, wie BYOD-Geräte sich mit Ihrem Netzwerk verbinden, an zwei Stellen in der XenMobile-Konsole: in den Bereitstellungsregeln und über die XenMobile-Servereigenschaften auf der Seite Einstellungen. Einzelheiten zu Bereitstellungsregeln finden Sie unter Ressourcen bereitstellen in der XenMobile-Dokumentation. Einzelheiten zu Servereigenschaften finden Sie unter Servereigenschaften in diesem Handbuch.
Durch das Festlegen von Servereigenschaften können Sie von allen BYOD-Benutzern verlangen, die Unternehmensverwaltung ihrer Geräte zu akzeptieren, bevor sie auf Apps zugreifen können. Alternativ können Sie Benutzern den Zugriff auf Unternehmens-Apps ermöglichen, ohne deren Geräte zu verwalten.
Wenn Sie die Option wsapi.mdm.required.flag auf true setzen, verwaltet XenMobile alle BYOD-Geräte, und jedem Benutzer, der die Registrierung ablehnt, wird der Zugriff auf Apps verweigert. Erwägen Sie, wsapi.mdm.required.flag auf true zu setzen in Umgebungen, in denen IT-Teams von Unternehmen hohe Sicherheit sowie eine positive Benutzererfahrung während der Registrierung benötigen.
Wenn Sie wsapi.mdm.required.flag auf false belassen, was die Standardeinstellung ist, können Benutzer die Registrierung ablehnen. Sie können jedoch über den XenMobile Store auf Apps auf ihren Geräten zugreifen. Erwägen Sie, wsapi.mdm.required.flag auf false zu setzen in Umgebungen, in denen Datenschutz-, rechtliche oder regulatorische Einschränkungen keine Geräteverwaltung, sondern nur die Verwaltung von Unternehmens-Apps erfordern.
Benutzer mit Geräten, die XenMobile nicht verwaltet, können Apps über den XenMobile Store installieren. Anstelle von gerätebezogenen Kontrollen, wie selektivem oder vollständigem Löschen, steuern Sie den Zugriff auf die Apps über App-Richtlinien. Einige Richtlinieneinstellungen erfordern, dass das Gerät den XenMobile-Server routinemäßig überprüft, um zu bestätigen, dass die Apps weiterhin ausgeführt werden dürfen.