Communities
Jede Organisation besteht aus mehreren Benutzergemeinschaften, die unterschiedliche funktionelle Rollen besitzen. Diese Benutzergemeinschaften führen unterschiedliche Aufgaben und Bürofunktionen aus und nutzen unterschiedliche Ressourcen, die Sie über mobile Benutzergeräte bereitstellen. Die Benutzer können von zu Hause aus oder in entfernten Büros mit vom Unternehmen bereitgestellten oder eigenen Mobilgeräten arbeiten und auf Tools zugreifen, die bestimmten Sicherheitsregeln unterliegen.
Je mehr Benutzergemeinschaften mit Mobilgeräten arbeiten, desto bedeutender wird das Enterprise Mobility Management (EMM), um Datenverluste zu verhindern und Sicherheitsbeschränkungen der Organisation durchzusetzen. Im Interesse einer effizienten und differenzierten Mobilgeräteverwaltung können Sie Benutzergemeinschaften auch in Kategorien unterteilen. Dies vereinfacht die Zuordnung von Benutzern zu Ressourcen und stellt sicher, dass die richtigen Sicherheitsrichtlinien angewandt werden.
Das Kategorisieren von Benutzergemeinschaften kann folgende Komponenten umfassen:
-
Active Directory-Organisationseinheiten (OUs) und -Gruppen
Benutzer, die bestimmten Active Directory-Sicherheitsgruppen hinzugefügt wurden, können Richtlinien und Ressourcen (z. B. Apps) empfangen. Werden Benutzer aus einer Active Directory-Sicherheitsgruppe entfernt, können sie nicht mehr auf zuvor verfügbare XenMobile-Ressourcen zugreifen.
-
Lokale XenMobile-Benutzer und -Gruppen
Für Benutzer ohne Active Directory-Konto können Sie ein Konto als lokale XenMobile-Benutzer erstellen. Diese lokalen Benutzer können Sie dann zu Bereitstellungsgruppen hinzufügen und ihnen dieselben Ressourcen wie Active Directory-Benutzern bereitstellen.
-
XenMobile-Bereitstellungsgruppen
Wenn mehrere Benutzergruppen mit unterschiedlichen Berechtigungsstufen dieselbe App verwenden, müssen Sie eventuell separate Bereitstellungsgruppen erstellen. Mit separaten Bereitstellungsgruppen können Sie zwei Versionen einer App bereitstellen.
-
Zuordnung von Bereitstellungsgruppe und Benutzergruppe
Die Zuordnung von Bereitstellungsgruppe zu Active Directory-Gruppe kann entweder 1:1 oder 1:n erfolgen. Verwenden Sie eine Bereitstellungsgruppenzuordnung vom Typ 1:n, um grundlegende Richtlinien und Apps zuzuweisen. Verwenden Sie Bereitstellungsgruppenzuordnungen vom Typ 1:1, um funktionsspezifische Richtlinien und Apps zuzuweisen.
-
Bereitstellungsgruppen und die Ressourcenzuordnung von Apps
Weisen Sie jeder Bereitstellungsgruppe bestimmte Apps zu.
-
Bereitstellungsgruppen und die Ressourcenzuordnung von MDM-Ressourcen
Weisen Sie jeder Bereitstellungsgruppe Apps und bestimmte Geräteverwaltungsressourcen zu. Konfigurieren Sie beispielsweise eine Bereitstellungsgruppe mit einer Mischung aus folgenden Komponenten: verschiedene App-Typen (öffentlich, HDX usw.), bestimmte Apps pro App-Typ sowie Ressourcen wie Geräterichtlinien und automatisierte Aktionen.
Das folgende Beispiel zeigt, wie Benutzergemeinschaften in einer US-Organisation im Gesundheitssektor für EMM klassifiziert werden.
Anwendungsfall
Dieses Klinikunternehmen bietet technologische Ressourcen und Zugriffsrechte für verschiedene Benutzer, darunter angestellte, externe und ehrenamtliche Mitarbeiter. Die Organisation plant, die EMM-Lösung nur für Benutzer bereitzustellen, die nicht zur Geschäftsleitung gehören.
Die Benutzerrollen und -funktionen im Unternehmen können in folgende Untergruppen unterteilt werden: Klinik, Verwaltung, Extern. Einige Benutzer erhalten firmeneigene Mobilgeräte, während andere über Privatgeräte (per BYOD) eingeschränkt Zugriff auf Unternehmensressourcen haben. Um Sicherheitsbeschränkungen angemessen umzusetzen und Datenverluste zu vermeiden, soll das IT-Team der Organisation jedes registrierte Gerät verwalten. Benutzer können zudem nur jeweils ein Gerät registrieren.
Nachfolgend finden Sie einen Überblick über die Rollen und Funktionen der einzelnen Untergruppen.
Klinik
- Pflegepersonal
- Mediziner (Ärzte, Chirurgen usw.)
- Fachärzte (Ernährungsberater, Phlebologen, Anästhesisten, Radiologen, Kardiologen, Onkologen usw.)
- Externe Mediziner (nicht angestellte Ärzte und Büromitarbeiter an Remotestandorten)
- Hausbesuchsdienste (Büropersonal und mobile Mitarbeiter, die arztbezogene Dienste für Hausbesuche bei Patienten durchführen)
- Forschungsspezialisten (Wissensarbeiter und Hauptbenutzer in sechs Forschungsinstituten, die in der klinischen Forschung tätig sind und medizinische Studien durchführen)
- Schulungen, Aus- und Weiterbildung (Pflegepersonal, Mediziner und Pädagogen)
Verwaltung
- Gemeinsam genutzte Dienste (Büromitarbeiter, die verschiedene Backoffice-Funktionen ausführen, z. B. Personalabteilung, Gehaltsabrechnung, Kreditorenbuchhaltung, Einkauf und Logistik usw.)
- Arztbezogene Dienste (Büromitarbeiter, die verschiedene Aufgaben im Bereich Gesundheitsmanagement und Administration ausüben und Geschäftsprozesslösungen für Anbieter bereitstellen. Dazu gehören Verwaltung und Geschäftsanalytik, Geschäftssysteme, Serviceangebote für Kunden und Patienten, Finanzwesen, Managed Care, Rentabilitätslösungen usw.)
- Supportdienste (Büromitarbeiter, die Funktionen in verschiedenen nichtklinischen Bereichen ausüben: Arbeitgeberleistungen, klinische Integration, Kommunikation, Vergütung, Gebäudemanagement, Technologiesysteme für die Personalabteilung, Informationsdienste, internes Audit und Prozessoptimierung usw.)
- Gemeinnützige Stiftungen (Büromitarbeiter und mobile Mitarbeiter, die verschiedene Funktionen im Rahmen philanthropischer Programme ausüben)
Auftragnehmer
- Hersteller und Vertriebspartner (Bereitstellung diverser nicht-klinischer Supportfunktionen vor Ort und remote über Site-to-Site-VPN)
Auf der Grundlage dieser Informationen hat die Organisation folgende Entitäten erstellt. Weitere Informationen zu Bereitstellungsgruppen in XenMobile finden Sie in der Produktdokumentation zu XenMobile unter Bereitstellen von Ressourcen.
Active Directory-Organisationseinheiten (OUs) und -Gruppen
Für OU = XenMobile-Ressourcen
- OU = Klinik; Gruppen =
- XM - Pflegepersonal
- XM - Mediziner
- XM - Fachärzte
- XM - Externe Mediziner
- XM - Hausbesuchsdienste
- XM - Forschungsspezialisten
- XM - Schulungen, Aus- und Weiterbildung
- OU = Verwaltung; Gruppen =
- XM - Gemeinsam genutzte Dienste
- XM - Arztbezogene Dienste
- XM - Supportdienste
- XM - Gemeinnützige Stiftungen
Lokale XenMobile-Benutzer und -Gruppen
Für Gruppe = Auftragnehmer, Benutzer =
- Vendor1
- Vendor2
- Anbieter 3
- … Anbieter 10
XenMobile-Bereitstellungsgruppen
- Klinik - Pflegepersonal
- Klinik - Mediziner
- Klinik - Fachärzte
- Klinik - Externe Mediziner
- Klinik - Hausbesuchsdienste
- Klinik - Forschungsspezialisten
- Klinik - Schulungen, Aus- und Weiterbildung
- Verwaltung - Gemeinsam genutzte Dienste
- Verwaltung - Arztbezogene Dienste
- Verwaltung - Supportdienste
- Verwaltung - Gemeinnützige Stiftungen
Zuordnung von Bereitstellungsgruppe und Benutzergruppe
| Active Directory-Gruppen | XenMobile-Bereitstellungsgruppen |
| XM - Pflegepersonal | Klinik - Pflegepersonal |
| XM - Mediziner | Klinik - Mediziner |
| XM - Fachärzte | Klinik - Fachärzte |
| XM - Externe Mediziner | Klinik - Externe Mediziner |
| XM - Hausbesuchsdienste | Klinik - Hausbesuchsdienste |
| XM - Forschungsspezialisten | Klinik - Forschungsspezialisten |
| XM - Schulungen, Aus- und Weiterbildung | Klinik - Schulungen, Aus- und Weiterbildung |
| XM - Gemeinsam genutzte Dienste | Verwaltung - Gemeinsam genutzte Dienste |
| XM - Arztbezogene Dienste | Verwaltung - Arztbezogene Dienste |
| XM - Supportdienste | Verwaltung - Supportdienste |
| XM - Gemeinnützige Stiftungen | Verwaltung - Gemeinnützige Stiftungen |
Bereitstellungsgruppen und die Ressourcenzuordnung von Apps
| Secure Mail | Secure Web | ShareFile | Receiver | SalesForce1 | RSA SecurID | EpicCare Haiku | Epic Hyperspace | |
| Klinik - Pflegepersonal | X | X | X | |||||
| Klinik - Mediziner | ||||||||
| Klinik - Fachärzte | ||||||||
| Klinik - Externe Mediziner | X | X | ||||||
| Klinik - Hausbesuchsdienste | X | X | ||||||
| Klinik - Forschungsspezialisten | X | X | ||||||
| Klinik - Schulungen, Aus- und Weiterbildung | X | X | ||||||
| Verwaltung - Gemeinsam genutzte Dienste | X | X | ||||||
| Verwaltung - Arztbezogene Dienste | X | X | ||||||
| Verwaltung - Supportdienste | X | X | X | X | ||||
| Verwaltung - Gemeinnützige Stiftungen | X | X | X | X | ||||
| Auftragnehmer | X | X | X | X | X | X |
Bereitstellungsgruppen und die Ressourcenzuordnung von MDM-Ressourcen
| MDM: Passcoderichtlinie | MDM: Geräteeinschränkungen | MDM: Automatisierte Aktionen | WiFi-Richtlinie | |
| Klinik - Pflegepersonal | X | |||
| Klinik - Mediziner | X | |||
| Klinik - Fachärzte | ||||
| Klinik - Externe Mediziner | ||||
| Klinik - Hausbesuchsdienste | ||||
| Klinik - Forschungsspezialisten | ||||
| Klinik - Schulungen, Aus- und Weiterbildung | ||||
| Verwaltung - Gemeinsam genutzte Dienste | ||||
| Verwaltung - Arztbezogene Dienste | ||||
| Verwaltung - Supportdienste | ||||
| Verwaltung - Gemeinnützige Stiftungen | ||||
| Auftragnehmer | X |
Hinweise und Überlegungen
- XenMobile erstellt bei der Erstkonfiguration die Standardbereitstellungsgruppe “Alle Benutzer”. Wenn Sie diese Bereitstellungsgruppe nicht deaktivieren, sind alle Active Directory-Benutzer berechtigt, sich in XenMobile zu registrieren.
- XenMobile synchronisiert Active Directory-Benutzer und -Gruppen bei Bedarf über eine dynamische Verbindung mit dem LDAP-Server.
- Wenn ein Benutzer zu einer Gruppe gehört, die nicht in XenMobile zugeordnet ist, kann der Benutzer sich nicht registrieren. Wenn ein Benutzer Mitglieder mehrerer Gruppen ist, kategorisiert XenMobile den Benutzer nur als Mitglied der Gruppen, die in XenMobile zugeordnet sind.
- Für eine verbindliche MDM-Registrierung wählen Sie in der XenMobile-Konsole unter Servereigenschaften für die Option Registrierung erforderlich die Einstellung Wahr. Einzelheiten finden Sie unter Servereigenschaften.
- Zum Löschen einer Benutzergruppe aus einer XenMobile-Bereitstellungsgruppe löschen Sie den Eintrag in der SQL Server-Datenbank unter dbo.userlistgrps.
Achtung:
Erstellen Sie ein Backup von XenMobile und der Datenbank, bevor Sie diese Aktion durchführen.
Geräteeigentümerschaft in XenMobile
Sie können Benutzer auch nach dem Eigentümer eines Benutzergeräts gruppieren. Es gibt unternehmenseigene Geräte und solche, die Benutzern gehören. Letztere werden auch als BYOD-Geräte (von “bring your own device”) bezeichnet. Sie können in zwei Bereichen der XenMobile-Konsole steuern, wie BYOD-Geräte eine Verbindung mit dem Netzwerk herstellen: unter “Bereitstellungsregeln” und über die XenMobile Server-Eigenschaften auf der Seite Einstellungen. Weitere Informationen zu Bereitstellungsregeln finden Sie in der Dokumentation zu XenMobile unter Bereitstellen von Ressourcen. Weitere Informationen über Servereigenschaften finden Sie in diesem Handbuch unter Servereigenschaften.
Beim Definieren der Servereigenschaften können Sie festlegen, dass alle BYOD-Benutzer die Verwaltung ihrer Geräte durch das Unternehmen akzeptieren müssen, bevor sie Zugriff auf Apps erhalten. Alternativ können Sie Benutzern auch ohne Verwaltung ihrer Geräte Zugriff auf Unternehmensapps erteilen.
Wenn Sie die Servereigenschaft wsapi.mdm.required.flag auf true festlegen, werden alle BYOD-Geräte von XenMobile verwaltet und Benutzer, die eine Registrierung ablehnen, erhalten keinen Zugriff auf Apps. Das Festlegen von wsapi.mdm.required.flag auf true sollte in Umgebungen erwogen werden, in denen neben einer hohen Sicherheit eine gute Benutzererfahrung bei der Geräteregistrierung erforderlich ist.
Wenn Sie die Einstellung nicht ändern und die Standardeinstellung false für wsapi.mdm.required.flag übernehmen, können Benutzer die Registrierung ablehnen. Sie können dennoch mit ihren Geräten über den XenMobile Store auf Apps zugreifen. Das Festlegen von wsapi.mdm.required.flag auf false eignet sich für Umgebungen, in denen juristische und datenschutzrechtliche Vorgaben keine Verwaltung von Geräten erfordern, sondern nur die Verwaltung von Unternehmensapps.
Benutzer mit nicht von XenMobile verwalteten Geräten können Apps über den XenMobile Store installieren. Anstelle einer Steuerung auf Gerätebasis, etwa der selektiven oder vollständigen Löschung der Daten auf einem Gerät, steuern Sie den Zugriff auf Apps über App-Richtlinien. Einige Richtlinieneinstellungen erfordern, dass Geräte regelmäßig XenMobile Server abfragen, um sicherzustellen, dass Apps weiterhin zugelassen sind.