Product Documentation

Benutzergemeinschaften

21. Februar 2018

Jede Organisation besteht aus mehreren Benutzergemeinschaften, die unterschiedliche funktionelle Rollen besitzen. Diese Benutzergemeinschaften führen unterschiedliche Aufgaben und Bürofunktionen aus und nutzen unterschiedliche Ressourcen, die Sie über mobile Benutzergeräte bereitstellen. Manche Benutzer arbeiten von zu Hause oder an Remotestandorten und verwenden dabei die von Ihnen bereitgestellten Mobilgeräte. Andere Benutzer greifen über private Mobilgeräte auf Tools zu, für die bestimmte Regeln zur Sicherheitskonformität gelten.

Je mehr Benutzergemeinschaften mit Mobilgeräten arbeiten, desto bedeutender wird das Enterprise Mobility Management (EMM), um Datenverluste zu verhindern und Sicherheitsbeschränkungen der Organisation durchzusetzen. Im Interesse einer effizienten und differenzierten Mobilgeräteverwaltung können Sie Benutzergemeinschaften auch in Kategorien unterteilen. Dies vereinfacht die Zuordnung von Benutzern zu Ressourcen und stellt sicher, dass die richtigen Sicherheitsrichtlinien angewandt werden.

Das Kategorisieren von Benutzergemeinschaften kann folgende Komponenten umfassen:

  • Active Directory-Organisationseinheiten (OUs) und -Gruppen

    Benutzer, die bestimmten Active Directory-Sicherheitsgruppen hinzugefügt wurden, können Richtlinien und Ressourcen (z. B. Apps) empfangen. Werden Benutzer aus einer Active Directory-Sicherheitsgruppe entfernt, können sie nicht mehr auf zuvor verfügbare XenMobile-Ressourcen zugreifen.

  • Lokale XenMobile-Benutzer und -Gruppen

    Für Benutzer ohne Active Directory-Konto können Sie ein Konto als lokale XenMobile-Benutzer erstellen. Diese lokalen Benutzer können Sie dann zu Bereitstellungsgruppen hinzufügen und ihnen dieselben Ressourcen wie Active Directory-Benutzern bereitstellen.

  • XenMobile-Bereitstellungsgruppen

    Wenn mehrere Benutzergruppen mit unterschiedlichen Berechtigungsstufen dieselbe App verwenden, müssen Sie eventuell separate Bereitstellungsgruppen erstellen. Mit separaten Bereitstellungsgruppen können Sie zwei Versionen einer App bereitstellen.

  • Zuordnung von Bereitstellungsgruppen und Benutzergruppen

    Die Zuordnung von Bereitstellungsgruppe zu Active Directory-Gruppe kann entweder 1:1 oder 1:n erfolgen. Verwenden Sie eine Bereitstellungsgruppenzuordnung vom Typ 1:n, um grundlegende Richtlinien und Apps zuzuweisen. Verwenden Sie Bereitstellungsgruppenzuordnungen vom Typ 1:1, um funktionsspezifische Richtlinien und Apps zuzuweisen.

  • Bereitstellungsgruppen und die Ressourcenzuordnung von Apps

    Weisen Sie jeder Bereitstellungsgruppe bestimmte Apps zu.

  • Bereitstellungsgruppen und die Ressourcenzuordnung von MDM-Ressourcen

    Weisen Sie jeder Bereitstellungsgruppe Apps und bestimmte Geräteverwaltungsressourcen zu. Konfigurieren Sie beispielsweise eine Bereitstellungsgruppe mit einer Mischung aus folgenden Komponenten: verschiedene App-Typen (öffentlich, HDX usw.), bestimmte Apps pro App-Typ sowie Ressourcen wie Geräterichtlinien und automatisierte Aktionen.

Das folgende Beispiel zeigt, wie Benutzergemeinschaften in einer US-Organisation im Gesundheitssektor für EMM klassifiziert werden.

Anwendungsfall

Dieses Klinikunternehmen bietet technologische Ressourcen und Zugriffsrechte für verschiedene Benutzer, darunter angestellte, externe und ehrenamtliche Mitarbeiter. Die Organisation plant, die EMM-Lösung nur für Benutzer bereitzustellen, die nicht zur Geschäftsleitung gehören.

Die Benutzerrollen und -funktionen im Unternehmen können in folgende Untergruppen unterteilt werden: Klinik, Verwaltung, Extern. Einige Benutzer erhalten firmeneigene Mobilgeräte, während andere über Privatgeräte (per BYOD) eingeschränkt Zugriff auf Unternehmensressourcen haben. Um Sicherheitsbeschränkungen angemessen umzusetzen und Datenverluste zu vermeiden, soll das IT-Team der Organisation jedes registrierte Gerät verwalten. Benutzer können zudem nur jeweils ein Gerät registrieren.

Nachfolgend finden Sie einen Überblick über die Rollen und Funktionen der einzelnen Untergruppen.

Klinik

  • Pflegepersonal
  • Mediziner (Ärzte, Chirurgen usw.)
  • Fachärzte (Ernährungsberater, Phlebologen, Anästhesisten, Radiologen, Kardiologen, Onkologen usw.)
  • Externe Mediziner (nicht angestellte Ärzte und Büromitarbeiter an Remotestandorten)
  • Hausbesuchsdienste (Büropersonal und mobile Mitarbeiter, die arztbezogene Dienste für Hausbesuche bei Patienten durchführen)
  • Forschungsspezialisten (Wissensarbeiter und Hauptbenutzer in sechs Forschungsinstituten, die in der klinischen Forschung tätig sind und medizinische Studien durchführen)
  • Schulungen, Aus- und Weiterbildung (Pflegepersonal, Mediziner und Pädagogen)

Verwaltung

  • Gemeinsam genutzte Dienste (Büromitarbeiter, die verschiedene Backoffice-Funktionen ausführen, z. B. Personalabteilung, Gehaltsabrechnung, Kreditorenbuchhaltung, Einkauf und Logistik usw.)
  • Arztbezogene Dienste (Büromitarbeiter, die verschiedene Aufgaben im Bereich Gesundheitsmanagement und Administration ausüben und Geschäftsprozesslösungen für Anbieter bereitstellen. Dazu gehören Verwaltung und Geschäftsanalytik, Geschäftssysteme, Serviceangebote für Kunden und Patienten, Finanzwesen, Managed Care, Rentabilitätslösungen usw.)
  • Supportdienste (Büromitarbeiter, die Funktionen in verschiedenen nichtklinischen Bereichen ausüben: Arbeitgeberleistungen, klinische Integration, Kommunikation, Vergütung, Gebäudemanagement, Technologiesysteme für die Personalabteilung, Informationsdienste, internes Audit und Prozessoptimierung usw.)
  • Gemeinnützige Stiftungen (Büromitarbeiter und mobile Mitarbeiter, die verschiedene Funktionen im Rahmen philanthropischer Programme ausüben)

Auftragnehmer

  • Hersteller und Vertriebspartner (Bereitstellung diverser nicht-klinischer Supportfunktionen vor Ort und remote über Site-to-Site-VPN)

Auf der Grundlage dieser Informationen hat die Organisation folgende Entitäten erstellt. Weitere Informationen zu Bereitstellungsgruppen in XenMobile finden Sie in der Produktdokumentation zu XenMobile unter Bereitstellen von Ressourcen.

Active Directory-Organisationseinheiten (OUs) und -Gruppen

Für OU = XenMobile-Ressourcen

  • OU = Klinik; Gruppen =
    • XM - Pflegepersonal
    • XM - Mediziner
    • XM - Fachärzte
    • XM - Externe Mediziner
    • XM - Hausbesuchsdienste
    • XM - Forschungsspezialisten
    • XM - Schulungen, Aus- und Weiterbildung
  • OU = Verwaltung; Gruppen =
    • XM - Gemeinsam genutzte Dienste
    • XM - Arztbezogene Dienste
    • XM - Supportdienste
    • XM - Gemeinnützige Stiftungen

Lokale XenMobile-Benutzer und -Gruppen

Für Gruppe = Auftragnehmer, Benutzer =

  • Anbieter 1
  • Anbieter 2
  • Anbieter 3
  • … Anbieter 10

XenMobile-Bereitstellungsgruppen

  • Klinik - Pflegepersonal
  • Klinik - Mediziner
  • Klinik - Fachärzte
  • Klinik - Externe Mediziner
  • Klinik - Hausbesuchsdienste
  • Klinik - Forschungsspezialisten
  • Klinik - Schulungen, Aus- und Weiterbildung
  • Verwaltung - Gemeinsam genutzte Dienste
  • Verwaltung - Arztbezogene Dienste
  • Verwaltung - Supportdienste
  • Verwaltung - Gemeinnützige Stiftungen

Zuordnung von Bereitstellungsgruppe und Benutzergruppe

   
Active Directory-Gruppen XenMobile-Bereitstellungsgruppen
XM - Pflegepersonal Klinik - Pflegepersonal
XM - Mediziner Klinik - Mediziner
XM - Fachärzte Klinik - Fachärzte
XM - Externe Mediziner Klinik - Externe Mediziner
XM - Hausbesuchsdienste Klinik - Hausbesuchsdienste
XM - Forschungsspezialisten Klinik - Forschungsspezialisten
XM - Schulungen, Aus- und Weiterbildung Klinik - Schulungen, Aus- und Weiterbildung
XM - Gemeinsam genutzte Dienste Verwaltung - Gemeinsam genutzte Dienste
XM - Arztbezogene Dienste Verwaltung - Arztbezogene Dienste
XM - Supportdienste Verwaltung - Supportdienste
XM - Gemeinnützige Stiftungen Verwaltung - Gemeinnützige Stiftungen

Bereitstellungsgruppen und die Ressourcenzuordnung von Apps

                   
  Secure Mail Secure Web Secure Notes ShareFile Receiver SalesForce1 RSA SecurID EpicCare Haiku Epic Hyperspace
Klinik - Pflegepersonal X X X X          
Klinik - Mediziner                  
Klinik - Fachärzte                  
Klinik - Externe Mediziner X   X X          
Klinik - Hausbesuchsdienste X   X X          
Klinik - Forschungsspezialisten X   X X          
Klinik - Schulungen, Aus- und Weiterbildung               X X
Verwaltung - Gemeinsam genutzte Dienste               X X
Verwaltung - Arztbezogene Dienste               X X
Verwaltung - Supportdienste X   X X       X X
Verwaltung - Gemeinnützige Stiftungen X   X X       X X
Auftragnehmer X   X X X X   X X

Bereitstellungsgruppen und die Ressourcenzuordnung von MDM-Ressourcen

         
  MDM: Passcoderichtlinie MDM: Geräteeinschränkungen Automatisierte Aktionen WiFi-Richtlinie
Klinik - Pflegepersonal       X
Klinik - Mediziner   X    
Klinik - Fachärzte        
Klinik - Externe Mediziner        
Klinik - Hausbesuchsdienste        
Klinik - Forschungsspezialisten        
Klinik - Schulungen, Aus- und Weiterbildung        
Verwaltung - Gemeinsam genutzte Dienste        
Verwaltung - Arztbezogene Dienste        
Verwaltung - Supportdienste        
Verwaltung - Gemeinnützige Stiftungen        
Auftragnehmer       X

Hinweise und Überlegungen

  • XenMobile erstellt bei der Erstkonfiguration die Standardbereitstellungsgruppe “Alle Benutzer”. Wenn Sie diese Bereitstellungsgruppe nicht deaktivieren, sind alle Active Directory-Benutzer berechtigt, sich in XenMobile zu registrieren.
  • XenMobile synchronisiert Active Directory-Benutzer und -Gruppen bei Bedarf über eine dynamische Verbindung mit dem LDAP-Server.
  • Wenn ein Benutzer zu einer Gruppe gehört, die nicht in XenMobile zugeordnet ist, kann der Benutzer sich nicht registrieren. Wenn ein Benutzer Mitglieder mehrerer Gruppen ist, kategorisiert XenMobile den Benutzer nur als Mitglied der Gruppen, die in XenMobile zugeordnet sind.
  • Für eine verbindliche MDM-Registrierung wählen Sie in der XenMobile-Konsole unter Servereigenschaften für die Option Registrierung erforderlich die Einstellung Wahr. Einzelheiten finden Sie unter Servereigenschaften.
  • Zum Löschen einer Benutzergruppe aus einer XenMobile-Bereitstellungsgruppe löschen Sie den Eintrag in der SQL Server-Datenbank unter dbo.userlistgrps.

    Achtung:

    Erstellen Sie ein Backup von XenMobile und der Datenbank, bevor Sie diese Aktion durchführen.

Geräteeigentümerschaft in XenMobile

Sie können Benutzer auch nach dem Eigentümer eines Benutzergeräts gruppieren. Es gibt unternehmenseigene Geräte und solche, die Benutzern gehören. Letztere werden auch als BYOD-Geräte (von “bring your own device”) bezeichnet. Sie können in zwei Bereichen der XenMobile-Konsole steuern, wie BYOD-Geräte eine Verbindung mit dem Netzwerk herstellen: unter “Bereitstellungsregeln” und über die XenMobile-Eigenschaften auf der Seite Einstellungen. Weitere Informationen zu Bereitstellungsregeln finden Sie unter Bereitstellen von Ressourcen. Weitere Informationen über Servereigenschaften finden Sie unter Servereigenschaften.

Beim Definieren der Servereigenschaften können Sie festlegen, dass alle BYOD-Benutzer die Verwaltung ihrer Geräte durch das Unternehmen akzeptieren müssen, bevor sie Zugriff auf Apps erhalten. Alternativ können Sie Benutzern auch ohne Verwaltung ihrer Geräte Zugriff auf Unternehmensapps erteilen.

Wenn Sie die Servereigenschaft wsapi.mdm.required.flag auf true festlegen, werden alle BYOD-Geräte von XenMobile verwaltet und Benutzer, die eine Registrierung ablehnen, erhalten keinen Zugriff auf Apps. Das Festlegen von wsapi.mdm.required.flag auf true sollte in Umgebungen erwogen werden, in denen neben einer hohen Sicherheit eine gute Benutzererfahrung bei der Geräteregistrierung erforderlich ist.

Wenn Sie die Einstellung nicht ändern und die Standardeinstellung false für wsapi.mdm.required.flag übernehmen, können Benutzer die Registrierung ablehnen. Sie können dennoch mit ihren Geräten über den XenMobile Store auf Apps zugreifen. Das Festlegen von wsapi.mdm.required.flag auf false eignet sich für Umgebungen, in denen juristische und datenschutzrechtliche Vorgaben keine Verwaltung von Geräten erfordern, sondern nur die Verwaltung von Unternehmens-Apps.

Benutzer mit nicht von XenMobile verwalteten Geräten können Apps über den XenMobile Store installieren. Anstelle einer Steuerung auf Gerätebasis, etwa der selektiven oder vollständigen Löschung der Daten auf einem Gerät, steuern Sie den Zugriff auf Apps über App-Richtlinien. Einige Richtlinieneinstellungen erfordern, dass Geräte regelmäßig XenMobile abfragen, um sicherzustellen, dass Apps weiterhin zugelassen sind.

Benutzergemeinschaften