Modos de administración

Con Endpoint Management, puede elegir entre administrar dispositivos, aplicaciones o ambos.

Endpoint Management utiliza los siguientes términos para los modos de administración de dispositivos y aplicaciones, a veces también denominados “modos de implementación”:

  • Modo de administración de dispositivos móviles (modo MDM)
  • Modo de administración de aplicaciones móviles (modo MAM)
  • Modo MDM + MAM

Para admitir estos modos de administración o implementación, Endpoint Management tiene dos modos de servidor: MAM y MDM + MAM. Cuando el modo de servidor Endpoint Management es MDM + MAM, puede permitir que los usuarios opten por no inscribirse en MDM. Para obtener más información, consulte Integrar en Citrix Gateway y Citrix ADC.

Modo de administración de dispositivos móviles (modo MDM)

Con MDM, puede configurar, proteger y ofrecer soporte a dispositivos móviles. MDM permite proteger los dispositivos y los datos contenidos en esos dispositivos a nivel de sistema. Puede configurar directivas, acciones y funciones de seguridad. Por ejemplo, puede borrar un dispositivo de forma selectiva si el dispositivo se pierde, deja de cumplir la normativa o se lo roban. Aunque la administración de aplicaciones no está disponible con el modo MDM, puede entregar aplicaciones móviles (por ejemplo, aplicaciones de almacén público y aplicaciones de empresa) en este modo. A continuación, se presentan los casos de uso más frecuentes para el modo MDM:

  • Vale la pena tener el modo MDM en cuenta cuando se trata de dispositivos propiedad de la empresa donde se requieren restricciones o directivas de administración a nivel de dispositivo (como un borrado completo, un borrado selectivo o una localización geográfica).
  • Cuando los clientes requieren la administración de un dispositivo real, pero no necesitan directivas MDX (por ejemplo, para la contenedorización de aplicaciones, para controlar el uso compartido de datos de las aplicaciones o la red micro VPN).
  • Cuando los usuarios solo necesitan que se entregue el correo electrónico a los clientes de correo nativos presentes en sus dispositivos móviles, y ya se puede acceder externamente a Exchange ActiveSync o al servidor de acceso de cliente. En este caso, se puede usar la administración MDM para configurar la entrega de correo electrónico.
  • Cuando implementa aplicaciones de empresa nativas (no MDX), aplicaciones de almacén público o aplicaciones MDX entregadas desde almacenes públicos. Tenga en cuenta que una solución MDM por sí sola no evita la filtración de información confidencial entre las aplicaciones presentes en el dispositivo. La filtración de datos puede ocurrir con las operaciones “Copiar”, “Pegar” o “Guardar como” en las aplicaciones Office 365.

Modo de administración de aplicaciones móviles (modo MAM)

La administración MAM protege los datos de la aplicación y permite controlar el uso compartido de esos datos. MAM también permite administrar los datos y los recursos corporativos de manera separada de los datos personales. Con Endpoint Management configurado para el modo MAM, puede usar aplicaciones móviles habilitadas para MDX para proporcionar el control y la contenedorización para cada aplicación.

Al utilizar las directivas MDX, Endpoint Management ofrece el control a nivel de aplicación sobre: el acceso a la red (por ejemplo, con una red micro VPN), la interacción de dispositivos y aplicaciones, el cifrado de datos y el acceso a aplicaciones.

El modo MAM suele ser idóneo para dispositivos BYOD porque, aunque el dispositivo no esté administrado, los datos corporativos permanecen protegidos. MDX tiene más de 50 directivas de solo MAM. Esas directivas se pueden establecer sin necesidad de un control MDM o sin depender de las contraseñas de los dispositivos para el cifrado.

MAM también admite las aplicaciones móviles de productividad Citrix. Esta compatibilidad implica la entrega segura de correo electrónico a Citrix Secure Mail, el intercambio de datos entre las aplicaciones móviles de productividad Citrix seguras y el almacenamiento seguro de datos en Citrix Files. Para obtener información detallada, consulte Aplicaciones móviles de productividad.

A menudo, MAM conviene cuando:

  • Entrega aplicaciones móviles, tales como aplicaciones MDX, administradas a nivel de aplicación.
  • No necesita administrar dispositivos a nivel de sistema.

Modo MDM + MAM

El modo MDM + MAM ofrece todos los conjuntos de funciones disponibles en la solución Enterprise Mobility Management (EMM o administración de la movilidad empresarial) de Endpoint Management.

Endpoint Management permite especificar si los usuarios pueden optar por no administrar el dispositivo o si, en cambio, esa administración es obligatoria. Esta flexibilidad es útil para entornos que incluyen una mezcla de casos de uso. Estos entornos pueden requerir o no la administración de un dispositivo a través de directivas MDM para acceder a los recursos MAM.

MDM + MAM conviene cuando:

  • Dispone de un solo caso de uso donde se requieren MDM y MAM. Se necesita MDM para acceder a los recursos MAM.
  • Algunos casos de uso requieren MDM, mientras que otros no.
  • Algunos casos de uso requieren MAM, mientras que otros no.

Administración de dispositivos e inscripción MDM

Un entorno de Endpoint Management Enterprise puede incluir una mezcla de casos de uso, donde algunos de ellos requieren la administración de dispositivos a través de directivas MDM para permitir el acceso a los recursos MAM. Antes de implementar las aplicaciones móviles de productividad Citrix a los usuarios, debe evaluar de manera exhaustiva los casos de uso y decidir si requiere la inscripción MDM. Si más adelante decide cambiar el requisito de la inscripción MDM, es probable que los usuarios deban volver a inscribir sus dispositivos.

A continuación, dispone de un resumen de las ventajas y las desventajas (junto con las maneras de mitigarlas) de requerir la inscripción MDM en una implementación de Endpoint Management en modo Enterprise.

Cuando la inscripción MDM es opcional

Ventajas

  • Los usuarios pueden acceder a los recursos MAM sin que sus dispositivos se administren por MDM. Esta opción puede aumentar la cantidad de usuarios.
  • Posibilidad de proteger el acceso a los recursos MAM para, a su vez, proteger los datos de empresa.
  • Las directivas MDX, como Código de acceso de aplicación, pueden controlar el acceso a cada aplicación MDX.
  • Si configura Citrix Gateway, Endpoint Management y tiempos de espera para cada aplicación, junto con el PIN de Citrix, tendrá una capa extra de protección.
  • Si bien las acciones de MDM no se aplican al dispositivo, dispone de determinadas directivas MDX para denegar el acceso a los recursos MAM. La denegación del acceso se basaría en la configuración del sistema, como dispositivos liberados por jailbreak o rooting.
  • Los usuarios pueden elegir si inscribir sus dispositivos con MDM al primer uso.

Desventajas

  • Los recursos MAM están disponibles para los dispositivos que no están inscritos con MDM.
  • Las acciones y las directivas MDM solo están disponibles en los dispositivos inscritos con MDM.

Opciones de mitigación

  • Haga que los usuarios acepten los términos y las condiciones de la empresa. Serán responsables frente a esta empresa si eligen dejar de cumplir las normas. Haga que los administradores supervisen los dispositivos no administrados.
  • Administre la seguridad y el acceso a las aplicaciones a través de temporizadores de aplicación. Unos valores inferiores de tiempo de espera aumentan la seguridad, pero pueden afectar a la experiencia de usuario.

Cuando la inscripción MDM es obligatoria

Ventajas

  • Posibilidad de restringir el acceso a los recursos MAM solo a los dispositivos administrados por MDM.
  • Las acciones y las directivas MDM pueden aplicarse a todos los dispositivos del entorno como sea pertinente.
  • Los usuarios no pueden optar por no inscribir su dispositivo.

Desventajas

  • Requiere que todos los usuarios se inscriban con MDM.
  • Puede reducir la cantidad de usuarios, ya que los usuarios que no estén de acuerdo con que la empresa administre sus dispositivos personales pueden no inscribirse.

Opciones de mitigación

  • Informe a los usuarios sobre lo que Endpoint Management administra realmente en sus dispositivos e indíqueles a qué información pueden acceder los administradores.