Modes de gestion

Avec Endpoint Management, vous pouvez choisir de gérer les appareils, les applications ou les deux.

Endpoint Management utilise les termes suivants pour les modes de gestion d’appareils et d’applications, parfois aussi appelés modes de déploiement :

  • Mode de gestion d’appareils mobiles (mode MDM)
  • Mode de gestion d’applications mobiles (mode MAM)
  • Mode MDM+MAM

Pour prendre en charge ces modes de gestion ou de déploiement, Endpoint Management dispose de deux modes de serveur : MAM et MDM+MAM. Lorsque le mode serveur Endpoint Management est défini sur MDM+MAM, vous pouvez autoriser les utilisateurs à refuser l’inscription MDM. Pour plus d’informations, veuillez consulter Intégration avec Citrix Gateway et Citrix ADC.

Gestion d’appareils mobiles (mode MDM)

Grâce au mode MDM, vous pouvez configurer, sécuriser et prendre en charge les appareils mobiles. MDM vous permet de protéger les appareils et les données sur les appareils au niveau du système. Vous pouvez configurer des stratégies, des actions et des fonctions de sécurité. Par exemple, vous pouvez effacer un appareil de manière sélective si l’appareil est perdu, volé ou non conforme. Bien que la gestion des applications ne soit pas disponible en mode MDM, vous pouvez distribuer des applications mobiles, telles que les applications publiques et les applications d’entreprise, dans ce mode. Voici les cas d’utilisation courants pour le mode MDM :

  • MDM est pris en compte pour les appareils appartenant à l’entreprise dans lesquels des stratégies ou des restrictions de gestion au niveau de l’appareil, telles que l’effacement complet, l’effacement sélectif ou la géolocalisation, sont requises.
  • Lorsque les clients nécessitent la gestion d’un appareil réel, mais ne nécessitent pas de stratégies MDX, telles que la conteneurisation d’applications, les contrôles sur le partage de données d’application ou un micro VPN.
  • Lorsque les utilisateurs nécessitent uniquement l’envoi d’e-mails à leurs clients de messagerie natifs sur leurs appareils, et Exchange ActiveSync ou le serveur d’accès au client est déjà accessible de l’extérieur. Dans ce cas, vous pouvez utiliser MDM pour configurer la distribution des e-mails.
  • Lorsque vous déployez des applications d’entreprise natives (non-MDX), des applications de magasin d’applications publiques ou des applications MDX fournies par des magasins publics. Considérez qu’une solution MDM seule peut ne pas empêcher la fuite de données d’informations confidentielles entre les applications sur l’appareil. Des fuites de données peuvent se produire lors des opérations Copier et coller ou Enregistrer sous dans les applications Office 365.

Gestion d’applications mobiles (mode MAM)

Le mode MAM protège les données d’application et vous permet de contrôler le partage de données d’application. MAM permet également la gestion des données et des ressources de l’entreprise, séparément des données personnelles. Lorsque Endpoint Management est configuré avec le mode MAM, vous pouvez utiliser des applications mobiles compatibles MDX pour fournir la conteneurisation et le contrôle par application.

En s’appuyant sur les stratégies MDX, Endpoint Management offre un contrôle au niveau de l’application sur l’accès au réseau (tel que le micro VPN), l’interaction entre l’application et l’appareil, le cryptage des données et l’accès aux applications.

Le mode MAM est souvent adapté à l’environnement BYOD (Apportez votre propre appareil) car, bien que l’appareil ne soit pas géré, les données de l’entreprise restent protégées. MDX possède plus de 50 stratégies de mode MAM exclusif que vous pouvez définir sans contrôle MDM ou code secret d’appareil pour le cryptage.

MAM prend également en charge les applications de productivité mobiles Citrix. Cette prise en charge inclut la distribution de la messagerie sécurisée à Citrix Secure Mail, le partage des données entre les applications de productivité mobiles Citrix sécurisées et le stockage sécurisé des données dans Citrix Files. Pour plus de détails, consultez Applications de productivité mobiles.

Le mode MAM convient souvent aux scénarios suivants :

  • Vous mettez à disposition des applications mobiles, telles que les applications MDX, gérées au niveau de l’application.
  • Vous n’êtes pas obligé de gérer les appareils au niveau du système.

Mode MDM+MAM

Le mode MDM+MAM permet d’activer tous les ensembles de fonctionnalités disponibles dans la solution de gestion de la mobilité d’entreprise (EMM) Endpoint Management.

Endpoint Management vous permet de spécifier si les utilisateurs peuvent choisir de désactiver la gestion des appareils ou si la gestion des appareils est requise. Cette flexibilité est utile pour les environnements qui incluent une combinaison de cas d’utilisation. Ces environnements peuvent ou non nécessiter la gestion d’un appareil via des stratégies MDM pour accéder à vos ressources MAM.

Le mode MDM + MAM convient aux scénarios suivants :

  • Vous disposez d’un cas d’utilisation unique dans lequel le mode MDM et le mode MAM sont requis. MDM est requis pour accéder à vos ressources MAM.
  • Certains cas d’utilisation nécessitent MDM alors que dans d’autres cas MDM n’est pas requis.
  • Certains cas d’utilisation nécessitent MAM alors que dans d’autres cas MAM n’est pas requis.

Gestion des appareils et inscription MDM

Un environnement Endpoint Management Enterprise peut inclure une combinaison de cas d’utilisation, dont certains nécessitent une gestion des appareils via des stratégies MDM pour autoriser l’accès aux ressources MAM. Avant de déployer des applications de productivité mobiles Citrix pour les utilisateurs, évaluez entièrement vos cas d’utilisation et décidez si vous avez besoin d’une inscription MDM. Si vous décidez ultérieurement de modifier la configuration requise pour l’inscription MDM, il est probable que les utilisateurs devront réinscrire leurs appareils.

Voici un résumé des avantages et des inconvénients (ainsi que des options d’atténuation) de la demande d’inscription MDM dans un déploiement Endpoint Management en mode Enterprise.

Lorsque l’inscription MDM est facultative

Avantages

  • Les utilisateurs peuvent accéder aux ressources MAM sans placer leurs appareils sous la gestion MDM. Cette option peut augmenter l’adoption par les utilisateurs.
  • Il est possible de sécuriser l’accès aux ressources MAM pour protéger les données de l’entreprise.
  • Les stratégies MDX telles que Code secret d’application permettent de contrôler l’accès à l’application pour chaque application MDX.
  • La configuration de Citrix Gateway, de Endpoint Management et des délais d’attente par application, associée au code PIN Citrix, offre une couche de protection supplémentaire.
  • Bien que les actions MDM ne s’appliquent pas à l’appareil, certaines stratégies MDX peuvent être utilisées pour refuser l’accès MAM. Le refus doit être basé sur les paramètres système, tels que les appareils jailbreakés ou rootés.
  • Les utilisateurs peuvent choisir d’inscrire leur appareil avec MDM lors de la première utilisation.

Inconvénients

  • Les ressources MAM sont disponibles pour les appareils non inscrits dans MDM.
  • Les stratégies et les actions MDM sont disponibles uniquement pour les appareils inscrits dans MDM.

Options d’atténuation

  • Demandez aux utilisateurs d’accepter les conditions générales d’une entreprise qui les tient responsables en cas de non-conformité. Demandez aux administrateurs de surveiller les appareils non gérés.
  • Gérez l’accès et la sécurité des applications en utilisant des minuteurs d’application. Les valeurs de délai d’attente réduites augmentent la sécurité, mais peuvent affecter l’expérience de l’utilisateur.

Lorsque l’inscription MDM est requise

Avantages

  • Il est possible de restreindre l’accès aux ressources MAM uniquement aux appareils gérés par MDM.
  • Les stratégies et les actions MDM peuvent s’appliquer à tous les appareils de l’environnement, selon vos besoins.
  • Les utilisateurs ne peuvent pas désactiver l’inscription de leur appareil.

Inconvénients

  • Tous les utilisateurs doivent s’inscrire avec MDM.
  • Cette option peut diminuer l’adoption par les utilisateurs qui s’opposent à la gestion d’entreprise de leurs appareils personnels.

Options d’atténuation

  • Informez les utilisateurs de ce que Endpoint Management gère réellement sur leurs appareils et des informations auxquelles les administrateurs peuvent accéder.