Sécurité et expérience utilisateur

La sécurité est importante pour toute organisation, mais vous devez trouver un équilibre entre la sécurité et l’expérience utilisateur. D’une part, vous pouvez avoir un environnement hautement sécurisé qui est difficile à utiliser pour les utilisateurs. D’un autre côté, votre environnement peut être si convivial que le contrôle d’accès n’est pas aussi strict. Les autres sections de ce manuel virtuel couvrent en détail les fonctionnalités de sécurité. Le but de cet article est de donner un aperçu général des problèmes de sécurité courants et des options de sécurité disponibles dans Endpoint Management.

Voici quelques considérations clés à garder à l’esprit pour chaque cas d’utilisation :

  • Voulez-vous sécuriser certaines applications, l’appareil entier ou tout ?
  • Comment voulez-vous que vos utilisateurs authentifient leur identité ? Souhaitez-vous utiliser LDAP, l’authentification basée sur les certificats ou une combinaison des deux ?
  • Combien de temps souhaitez-vous que la session d’un utilisateur dure avant qu’elle expire ? Gardez à l’esprit qu’il existe différentes valeurs de délai d’expiration pour les services d’arrière-plan, Citrix ADC et pour accéder aux applications en mode hors connexion.
  • Souhaitez-vous que les utilisateurs configurent un code d’accès au niveau de l’appareil et un code d’accès au niveau de l’application ? Combien de tentatives d’ouverture de session voulez-vous autoriser ? Gardez à l’esprit les exigences d’authentification supplémentaires par application qui peuvent être implémentées avec MAM et la façon dont les utilisateurs peuvent les percevoir.
  • Quelles autres restrictions voulez-vous appliquer aux utilisateurs ? Souhaitez-vous donner aux utilisateurs l’accès à des services cloud tels que Siri ? Que peuvent-ils faire avec chaque application que vous mettez à leur disposition et que ne peuvent-ils pas faire ? Souhaitez-vous déployer des stratégies Wi-Fi d’entreprise pour empêcher l’utilisation de forfaits de données cellulaires dans les bureaux ?

Application ou Périphérique

Une des premières décisions à prendre est de déterminer si vous souhaitez sécuriser :

  • Certaines applications uniquement (gestion d’applications mobiles ou MAM)
  • L’ensemble de l’appareil (gestion des appareils mobiles ou MDM).
  • MDM+MAM

Le plus souvent, si vous n’avez pas besoin d’un contrôle au niveau de l’appareil, vous n’avez besoin que de gérer les applications mobiles, en particulier si votre organisation prend en charge Bring Your Own Device (BYOD).

Les utilisateurs équipés d’appareils qui ne sont pas gérés peuvent installer des applications via le magasin d’applications. À la place des contrôles au niveau de l’appareil, comme l’effacement partiel ou complet, vous contrôlez l’accès aux applications via des stratégies d’application. Selon les valeurs que vous avez définies, les stratégies requièrent que l’appareil vérifie régulièrement Endpoint Management pour confirmer que les applications sont toujours autorisées à s’exécuter.

MDM vous permet de sécuriser l’ensemble d’un appareil, y compris la possibilité de faire l’inventaire de tous les logiciels d’un appareil. MDM vous permet d’empêcher l’inscription si l’appareil est jailbreaké, rooté ou si un logiciel non sécurisé est installé. Toutefois, les utilisateurs se méfient d’un tel niveau de contrôle sur leurs appareils personnels et cela peut réduire les taux d’inscription.

Authentification

C’est au niveau de l’authentification qu’une grande partie de l’expérience de l’utilisateur a lieu. Si votre organisation exécute déjà Active Directory, l’utilisation d’Active Directory est le moyen le plus simple d’autoriser vos utilisateurs à accéder au système.

Les délais d’expiration représentent aussi une partie importante de l’expérience de l’utilisateur avec l’authentification. Un environnement de haute sécurité peut exiger que les utilisateurs ouvrent une session chaque fois qu’ils accèdent au système. Cette option peut ne pas être idéale pour toutes les organisations ou tous les cas d’utilisation.

Entropie utilisateur

Pour plus de sécurité, vous pouvez activer une fonctionnalité appelée entropie utilisateur. Citrix Secure Hub et d’autres applications partagent souvent des données communes telles que les mots de passe, les codes confidentiels et les certificats pour garantir le bon fonctionnement de tous les éléments. Ces informations sont stockées dans un coffre générique dans Secure Hub. Si vous activez l’entropie utilisateur via l’option Crypter les secrets (Encrypt Secrets), Endpoint Management crée un nouveau coffre appelé UserEntropy. Endpoint Management déplace les informations du coffre-fort générique vers ce nouveau coffre-fort. Pour que Secure Hub ou une autre application accède aux données, les utilisateurs doivent entrer un mot de passe ou un code PIN.

L’activation de l’entropie utilisateur ajoute une couche d’authentification supplémentaire à plusieurs emplacements. Par conséquent, chaque fois qu’une application nécessite l’accès aux données partagées dans le coffre-fort UserEntropy (y compris les mots de passe, les codes confidentiels et les certificats), les utilisateurs doivent s’authentifier.

Pour en savoir plus sur l’entropie utilisateur, consultez la section À propos de MDX Toolkit. Pour activer l’entropie utilisateur, vous pouvez trouver les paramètres associés dans Propriétés du client.

Stratégies

Les stratégies MDX et MDM offrent une grande flexibilité aux organisations, mais elles peuvent également restreindre les utilisateurs. Ces restrictions peuvent être utiles dans certaines situations, mais les stratégies peuvent également rendre un système inutilisable. Par exemple, vous pouvez souhaiter bloquer l’accès à des applications cloud telles que Siri ou iCloud qui sont susceptibles d’envoyer des données sensibles à l’extérieur. Vous pouvez configurer une stratégie pour bloquer l’accès à ces services, mais gardez à l’esprit qu’une telle stratégie peut avoir des conséquences imprévues. Par exemple, le microphone du clavier iOS repose sur l’accès au cloud.

Applications

La gestion de la mobilité d’entreprise (EMM) inclut la gestion d’appareils mobiles (MDM) et gestion d’applications mobiles (MAM). Alors que MDM permet aux entreprises de sécuriser et de contrôler les appareils mobiles, MAM facilite la livraison et la gestion des applications. Avec l’adoption croissante de la stratégie BYOD (Apportez votre propre appareil), vous pouvez généralement implémenter une solution MAM, telle que Endpoint Management, pour les opérations suivantes :

  • mise à disposition des applications
  • attribution de licences logicielles
  • configuration
  • gestion du cycle de vie des applications

Avec Endpoint Management, vous pouvez aller plus loin dans la sécurisation des applications en configurant des stratégies MAM et des paramètres VPN spécifiques pour éviter les fuites de données et autres menaces de sécurité. Endpoint Management offre aux entreprises la flexibilité nécessaire pour inclure à la fois les fonctionnalités MDM et MAM dans le même environnement.

En plus de la possibilité de mettre à disposition des applications sur des appareils mobiles, Endpoint Management propose la conteneurisation d’applications via la technologie MDX. MDX sécurise les applications grâce à un chiffrement distinct du chiffrement au niveau de l’appareil. Vous pouvez effacer ou verrouiller des applications. Les applications sont soumises à des contrôles granulaires basés sur des stratégies. Les éditeurs de logiciels indépendants peuvent appliquer ces contrôles à l’aide du SDK Mobile Apps.

Dans un environnement d’entreprise, les utilisateurs utilisent diverses applications mobiles pour les aider dans leur travail. Les applications peuvent inclure des applications du magasin d’applications public, des applications développées en interne ou des applications natives. Endpoint Management classe ces applications comme suit :

Applications publiques : ces applications peuvent être gratuites ou payantes et sont disponibles dans un magasin d’applications public, tel que l’Apple App Store ou Google Play. Les fournisseurs externes à l’organisation mettent souvent à disposition leurs applications dans des magasins d’applications publics. Cette option permet aux clients de télécharger les applications directement depuis Internet. Vous pouvez utiliser de nombreuses applications publiques dans votre organisation en fonction des besoins des utilisateurs. Des exemples de telles applications incluent les applications GoToMeeting, Salesforce et EpicCare.

Citrix ne prend pas en charge le téléchargement des fichiers binaires des applications directement à partir des magasins d’applications publics ou l’encapsulation avec MDX Toolkit pour la distribution d’entreprise. Si vous souhaitez encapsuler des applications tierces, contactez le fournisseur de votre application pour obtenir les fichiers binaires de l’application que vous pouvez encapsuler à l’aide de l’outil MDX Toolkit.

Applications internes : de nombreuses organisations ont des développeurs internes qui créent des applications fournissant des fonctionnalités spécifiques et étant développées et distribuées indépendamment au sein de l’organisation. Dans certains cas, certaines organisations peuvent également avoir des applications fournies par des éditeurs de logiciels indépendants. Vous pouvez déployer ces applications en tant qu’applications natives ou vous pouvez les conteneuriser en utilisant une solution MAM, telle que Endpoint Management. Par exemple, une organisation de soins de santé peut créer une application interne qui permet aux médecins de consulter les informations sur les patients à partir d’appareils mobiles. L’organisation peut ensuite utiliser MDX Service ou MDX Toolkit pour encapsuler l’application. L’encapsulation sécurise les informations sur les patients et d’activer l’accès VPN au serveur de base de données des patients principal.

Applications Web et Saas : ces applications comprennent les applications accessibles à partir d’un réseau interne (applications web) ou sur un réseau public (SaaS). Endpoint Management vous permet également de créer des applications Web et SaaS personnalisées à l’aide d’une liste de connecteurs d’applications. Ces connecteurs d’application peuvent faciliter l’authentification unique (SSO) aux applications Web existantes. Pour plus de détails, consultez la section Types de connecteur d’application. Par exemple, vous pouvez utiliser Google Apps SAML pour l’authentification unique basée sur le langage SAML (Security Assertion Markup Language) de Google Apps.

Applications de productivité mobiles Citrix : il s’agit d’applications développées par Citrix et incluses avec la licence Endpoint Management. Pour plus de détails, consultez la section À propos des applications de productivité mobiles. Citrix offre également d’autres applications prêtes à l’emploi. Les éditeurs de logiciels indépendants développent des applications prêtes à l’emploi à l’aide du SDK Mobile Apps.

Applications HDX : il s’agit d’applications hébergées par Windows que vous publiez avec StoreFront. Si vous disposez d’un environnement Citrix Virtual Apps and Desktops, vous pouvez intégrer les applications à Endpoint Management pour mettre les applications à la disposition des utilisateurs inscrits.

Selon le type d’applications mobiles que vous prévoyez de déployer et de gérer avec Endpoint Management, la configuration et l’architecture sous-jacentes diffèrent. Supposons que plusieurs groupes d’utilisateurs ayant un niveau d’autorisation différent utilisent une même application, vous pouvez créer des groupes de mise à disposition distincts pour déployer deux versions de la même application. Vous devez vous assurer que l’appartenance au groupe d’utilisateurs est mutuellement exclusive pour éviter les incohérences de stratégie sur les appareils des utilisateurs.

Vous pouvez également gérer les licences d’applications iOS à l’aide de l’achat en volume d’Apple. Cette option nécessite que vous vous inscriviez au programme d’achats en volume Apple. Vous devez également utiliser la console Endpoint Management pour configurer les paramètres d’achats en volume. Cette configuration vous permet de distribuer les applications avec les licences d’achat en volume. Avec une telle variété de cas d’utilisation, il est important d’évaluer et de planifier votre stratégie MAM avant la mise en œuvre de l’environnement Endpoint Management. Vous pouvez commencer à planifier votre stratégie MAM en définissant les éléments suivants :

Types d’applications : répertorie les différents types d’applications que vous envisagez d’utiliser. Ensuite, catégorisez les applications, telles que les applications publiques, natives, de productivité mobiles Citrix, Web, internes et ISV. En outre, catégorisez les applications selon différentes plates-formes d’appareils, telles que iOS et Android. Cette catégorisation permet d’aligner différents paramètres Endpoint Management requis pour chaque type d’application. Par exemple, certaines applications peuvent ne pas être qualifiées pour l’encapsulation. Ou, quelques applications peuvent nécessiter l’utilisation du SDK Applications mobiles pour activer des API spéciales pour l’interaction avec d’autres applications.

Exigences en matière de réseau : configurez les applications avec des paramètres appropriés pour répondre aux exigences d’accès réseau spécifiques. Par exemple, certaines applications peuvent nécessiter l’accès à votre réseau interne via VPN. Certaines applications peuvent nécessiter un accès Internet pour acheminer l’accès via la DMZ. Afin de permettre à ces applications de se connecter au réseau requis, vous devez configurer divers paramètres en conséquence. Définissez les exigences réseau par application pour vous aider à finaliser vos décisions architecturales. Ce travail rationalise le processus global de mise en œuvre.

Exigences en matière de sécurité : définissez les exigences de sécurité qui s’appliquent à des applications individuelles ou à toutes les applications. Certains paramètres, tels que les stratégies MDX, s’appliquent à des applications individuelles Les paramètres de session et d’authentification s’appliquent à toutes les applications Certaines applications peuvent avoir des exigences spécifiques en matière de chiffrement, de conteneurisation, d’encapsulation, de chiffrement, d’authentification, de géofencing, de code d’accès ou de partage de données Définissez ces exigences à l’avance afin de simplifier votre déploiement.

Exigences en matière de déploiement : vous pouvez utiliser un déploiement basé sur des stratégies pour autoriser le téléchargement des applications publiées uniquement par des utilisateurs compatibles. Par exemple, vous pouvez souhaiter que certaines applications requièrent que :

  • le chiffrement de l’appareil soit activé
  • l’appareil soit géré
  • l’appareil réponde à une version minimale du système d’exploitation
  • certaines applications soient disponibles uniquement pour les utilisateurs d’entreprise

Définissez ces exigences à l’avance afin de pouvoir configurer les stratégies ou les actions de déploiement appropriées.

Exigences en matière de licence : enregistrez les exigences en matière de licence liées à l’application. Ces notes vous aideront à gérer efficacement l’utilisation des licences et à décider si vous devez configurer des fonctionnalités spécifiques dans Endpoint Management pour faciliter l’attribution de licences. Par exemple, si vous déployez une application iOS gratuite ou payante, Apple applique les exigences de licence sur l’application en demandant aux utilisateurs de se connecter à leur compte Apple Store. Vous pouvez vous inscrire à l’achat en volume d’Apple pour distribuer et gérer ces applications via Endpoint Management. L’achat en volume permet aux utilisateurs de télécharger les applications sans se connecter à leur compte Apple Store. En outre, des outils tels que Samsung SAFE et Samsung Knox présentent des exigences de licence spéciales qui doivent être satisfaites avant le déploiement de ces fonctionnalités.

Exigences en matière de liste noire/liste blanche : vous souhaitez probablement empêcher les utilisateurs d’installer ou d’utiliser certaines applications. Créez une liste noire d’applications qui rendent un appareil non conforme. Ensuite, configurez des stratégies pour qu’elles se déclenchent lorsqu’un appareil devient non conforme. D’un autre côté, une application peut être acceptable pour une utilisation, mais peut tomber sous la liste noire pour une raison quelconque. Dans ce cas, vous pouvez ajouter l’application à une liste blanche et indiquer que l’utilisation de l’application est acceptable mais n’est pas requise. De plus, gardez à l’esprit que les applications préinstallées sur les nouveaux appareils peuvent inclure certaines applications couramment utilisées qui ne font pas partie du système d’exploitation. Ces applications peuvent entrer en conflit avec votre stratégie de liste noire.

Cas d’utilisation des applications

Une organisation de soins de santé prévoit de déployer Endpoint Management en tant que solution MAM pour leurs applications mobiles. Les applications mobiles sont mises à disposition des utilisateurs professionnels et BYOD. Le département informatique décide de mettre à disposition et de gérer les applications suivantes :

  • Applications de productivité mobiles : applications iOS et Android fournies par Citrix.
  • Citrix Files : application permettant d’accéder aux données partagées et de partager, synchroniser et éditer des fichiers.

Magasin d’applications public

  • Secure Hub : client utilisé par tous les appareils mobiles pour communiquer avec Endpoint Management. Le département informatique envoie les paramètres de sécurité, les configurations et les applications mobiles vers les appareils mobiles via le client Secure Hub. Les appareils Android et iOS s’inscrivent dans Endpoint Management via Secure Hub.
  • Application Citrix Workspace : application mobile qui permet aux utilisateurs d’ouvrir des applications d’appareils mobiles hébergées par Citrix Virtual Apps.
  • GoToMeeting : un client de réunion, de partage de bureau et de visioconférence en ligne qui permet aux utilisateurs de se rencontrer en temps réel avec d’autres utilisateurs, clients ou collègues via Internet.
  • SalesForce1 : Salesforce1 permet aux utilisateurs d’accéder à Salesforce à partir d’appareils mobiles et rassemble toutes les applications Chatter, CRM et applications personnalisées, ainsi que les processus d’entreprise, pour une expérience unifiée pour tout utilisateur Salesforce.
  • RSA SecurID : jeton logiciel pour l’authentification à deux facteurs.
  • Applications EpicCare : ces applications offrent aux professionnels de la santé un accès sécurisé et portable aux dossiers des patients, aux listes de patients, aux calendriers et aux messages.
    • Haiku : application mobile pour les téléphones iPhone et Android.
    • Canto : application mobile pour l’iPad.
    • Rover : applications mobiles pour iPhone et l’iPad.

HDX : les applications HDX sont fournies via Citrix Virtual Apps dans Citrix Workspace.

  • Epic Hyperspace : application Epic client pour la gestion électronique des dossiers de santé.

ISV

  • Vocera : application VoIP et de messagerie compatible HIPAA qui étend les avantages de la technologie vocale Vocera à tout moment, n’importe où, via l’iPhone et les smartphones Android.

Applications internes

  • HCMail : application qui permet de composer des messages cryptés, d’effectuer des recherches dans des carnets d’adresses sur des serveurs de messagerie internes et d’envoyer les messages cryptés aux contacts à l’aide d’un client de messagerie.

Applications web internes

  • PatientRounding : application Web utilisée pour enregistrer les informations sur la santé des patients par différents départements.
  • Outlook Web Access : permet l’accès à la messagerie via un navigateur Web.
  • SharePoint : utilisé pour le partage de fichiers et de données à l’échelle de l’organisation.

Le tableau suivant répertorie les informations de base requises pour la configuration MAM.

Remarque :

Secure Notes et Secure Tasks ont atteint la fin de leur cycle de vie le 31 décembre 2018. Pour plus de détails, consultez la section Applications en fin de vie et obsolètes.

Nom de l’application Type d’application Encapsulation MDX iOS Android
Secure Mail Application de productivité mobile Pas pour la version 10.4.1 et versions ultérieures Oui Oui
Secure Web Application de productivité mobile Pas pour la version 10.4.1 et versions ultérieures Oui Oui
Secure Notes Application de productivité mobile Pas pour la version 10.4.1 et versions ultérieures Oui Oui
Citrix Files Application de productivité mobile Pas pour la version 10.4.1 et versions ultérieures Oui Oui
Secure Hub Application publique SO Oui Oui
Application Citrix Workspace Application publique SO Oui Oui
GoToMeeting Application publique SO Oui Oui
SalesForce1 Application publique SO Oui Oui
RSA SecurID Application publique SO Oui Oui
Epic Haiku Application publique SO Oui Oui
Epic Canto Application publique SO Oui Non
Epic Rover Application publique SO Oui Non
Epic Hyperspace Application HDX SO Oui Oui
Vocera Application d’éditeur de logiciels indépendant Oui Oui Oui
HCMail Application interne Oui Oui Oui
PatientRounding Application Web SO Oui Oui
Outlook Web Access Application Web SO Oui Oui
SharePoint Application Web SO Oui Oui

Les tableaux suivants répertorient les exigences spécifiques que vous pouvez consulter lorsque vous configurez les stratégies MAM dans Endpoint Management.

Nom de l’application VPN requis Interaction (avec des applications en dehors du conteneur) Interaction (à partir d’applications en dehors du conteneur) Chiffrement de l’appareil
Secure Mail O Autorisé de manière sélective Autorisé Non requis
Secure Web O Autorisé Autorisé Non requis
Secure Notes O Autorisé Autorisé Non requis
Citrix Files O Autorisé Autorisé Non requis
Secure Hub O S.O. S.O. S.O.
Application Citrix Workspace O S.O. S.O. S.O.
GoToMeeting N S.O. S.O. S.O.
SalesForce1 N S.O. S.O. S.O.
RSA SecurID N S.O. S.O. S.O.
Epic Haiku O S.O. S.O. S.O.
Epic Canto O S.O. S.O. S.O.
Epic Rover O S.O. S.O. S.O.
Epic Hyperspace O S.O. S.O. S.O.
Vocera O Non autorisé Non autorisé Non requis
HCMail O Non autorisé Non autorisé Requis
PatientRounding O S.O. S.O. Requis
Outlook Web Access O S.O. S.O. Non requis
SharePoint O S.O. S.O. Non requis
Nom de l’application Filtrage par proxy Gestion des licences Géofencing SDK Applications mobiles Version du système d’exploitation minimum
Secure Mail Requis S.O. Requis de manière sélective S.O. Appliqué
Secure Web Requis S.O. Non requis S.O. Appliqué
Secure Notes Requis S.O. Non requis S.O. Appliqué
Citrix Files Requis S.O. Non requis S.O. Appliqué
Secure Hub Non requis Achat en volume Non requis S.O. Non appliqué
Application Citrix Workspace Non requis Achat en volume Non requis S.O. Non appliqué
GoToMeeting Non requis Achat en volume Non requis S.O. Non appliqué
SalesForce1 Non requis Achat en volume Non requis S.O. Non appliqué
RSA SecurID Non requis Achat en volume Non requis S.O. Non appliqué
Epic Haiku Non requis Achat en volume Non requis S.O. Non appliqué
Epic Canto Non requis Achat en volume Non requis S.O. Non appliqué
Epic Rover Non requis Achat en volume Non requis S.O. Non appliqué
Epic Hyperspace Non requis S.O. Non requis S.O. Non appliqué
Vocera Requis S.O. Requis Requis Appliqué
HCMail Requis S.O. Requis Requis Appliqué
PatientRounding Requis S.O. Non requis S.O. Non appliqué
Outlook Web Access Requis S.O. Non requis S.O. Non appliqué
SharePoint Requis S.O. Non requis S.O. Non appliqué

Communautés d’utilisateurs

Chaque organisation est composée de diverses communautés d’utilisateurs qui opèrent dans différents rôles fonctionnels. Ces communautés d’utilisateurs exécutent différentes tâches et fonctions de bureau à l’aide de diverses ressources que vous fournissez via des appareils. Les utilisateurs peuvent travailler à domicile ou dans des bureaux distants à l’aide d’appareils mobiles que vous fournissez. Les utilisateurs peuvent également posséder leurs appareils mobiles, ce qui leur permet d’accéder à des outils soumis à certaines règles de conformité de sécurité.

Avec un plus grand nombre de communautés d’utilisateurs utilisant des appareils mobiles pour leur travail, la gestion de la mobilité d’entreprise devient essentielle pour éviter la fuite de données. La gestion EMM est également essentielle pour appliquer les restrictions de sécurité d’une organisation. Pour une gestion efficace et plus sophistiquée des appareils mobiles, vous pouvez catégoriser vos communautés d’utilisateurs. Cela simplifie le mappage des utilisateurs aux ressources et applique les stratégies de sécurité appropriées pour les utilisateurs.

L’exemple suivant illustre comment les communautés d’utilisateurs d’une organisation de soins de santé sont classées pour EMM.

Cas d’utilisation des communautés d’utilisateurs

Cet exemple d’organisation de soins de santé fournit des ressources technologiques et un accès à plusieurs utilisateurs, y compris des employés et des bénévoles du réseau et de sociétés affiliées. L’organisation a choisi de déployer la solution EMM auprès des utilisateurs non-cadres uniquement.

Vous pouvez répartir les rôles utilisateur et les fonctions de cette organisation en sous-groupes, y compris personnel médical, personnel non-médical et sous-traitants. Certains utilisateurs reçoivent des appareils mobiles d’entreprise tandis que d’autres peuvent accéder aux ressources limitées de l’entreprise à partir de leurs appareils personnels. Pour appliquer le niveau approprié de restrictions de sécurité et empêcher la fuite de données, l’organisation a décidé que l’informatique de l’entreprise gère chaque appareil inscrit. Ces appareils peuvent appartenir à une entreprise ou être de type BYOD. En outre, les utilisateurs ne peuvent inscrire qu’un seul appareil.

La section suivante donne un aperçu des rôles et des fonctions de chaque sous-groupe :

Personnel médical

  • Infirmiers/Infirmières
  • Médecins (docteurs, chirurgiens, etc.)
  • Spécialistes (diététiciens, anesthésistes, radiologues, cardiologues, oncologues, etc.)
  • Médecins externes (médecins non-employés et employés de bureau travaillant dans des bureaux éloignés)
  • Services de santé à domicile (employés de bureau et travailleurs mobiles exécutant des services médicaux lors de visites à domicile auprès de patients)
  • Spécialistes en recherche (travailleurs intellectuels et utilisateurs avancés dans six instituts de recherche médicale)
  • Éducation et formation (infirmiers/infirmières, médecins et spécialistes en phase d’éducation et de formation)

Personnel non-médical

  • Services partagés (employés de bureau effectuant diverses fonctions administratives, y compris RH, gestion des salaires, comptes fournisseurs, service de la chaîne d’approvisionnement, etc.)
  • Services médicaux (employés de bureau effectuant divers services de gestion des soins de santé, services administratifs et solutions de processus commerciaux aux fournisseurs, y compris : services administratifs, analyse commerciale et intelligence économique, systèmes commerciaux, services aux clients, finances, gestion des soins, solutions d’accès patient, solutions de cycle des revenus, etc.)
  • Services de support (employés de bureau remplissant diverses fonctions non-médicales, y compris : administration des avantages sociaux, intégration clinique, communications, rémunération et gestion du rendement, services d’équipement et de site, systèmes de technologie des RH, services d’information, vérification interne et amélioration des processus, etc.)
  • Programmes philanthropiques (employés de bureau et mobiles qui exécutent diverses fonctions pour soutenir les programmes philanthropiques)

Sous-traitants

  • Partenaires fabricants et fournisseurs (connectés sur site et à distance via un VPN site à site fournissant diverses fonctions de support non-médical)

Sur la base des informations précédentes, l’organisation a créé les entités suivantes. Pour plus d’informations sur les groupes de mise à disposition dans Endpoint Management, consultez la section Déployer des ressources.

Unités d’organisation et groupes Active Directory

Unité d’organisation = Ressources Endpoint Management :

  • Unité d’organisation = personnel médical ; Groupes =
    • XM - Infirmiers/Infirmières
    • XM - Médecins
    • XM - Spécialistes
    • XM - Médecins externes
    • XM - Services de santé à domicile
    • XM - Spécialistes en recherche
    • XM - Éducation et formation
  • Unité d’organisation = non-médical ; Groupes =
    • XM - Services partagés
    • XM - Services médicaux
    • XM - Services de support
    • XM - Programmes philanthropiques

Utilisateurs et groupes locaux Endpoint Management

Groupe = sous-traitants ; Utilisateurs =

  • Fournisseur 1
  • Fournisseur 2
  • Fournisseur 3
  • … Fournisseur 10

Groupes de mise à disposition Endpoint Management

  • Personnel médical - Infirmiers/Infirmières
  • Personnel médical - Médecins
  • Personnel médical - Spécialistes
  • Personnel médical - Médecins externes
  • Personnel médical - Services de santé à domicile
  • Personnel médical - Spécialistes en recherche
  • Personnel médical - Éducation et formation
  • Personnel non-médical - Services partagés
  • Personnel non-médical - Services médicaux
  • Personnel non-médical - Services de support
  • Personnel non-médical - Programmes philanthropiques

Groupe de mise à disposition et mappage de groupe d’utilisateurs

Groupes Active Directory Groupes de mise à disposition Endpoint Management
XM - Infirmiers/Infirmières Personnel médical - Infirmiers/Infirmières
XM - Médecins Personnel médical - Médecins
XM - Spécialistes Personnel médical - Spécialistes
XM - Médecins externes Personnel médical - Médecins externes
XM - Services de santé à domicile Personnel médical - Services de santé à domicile
XM - Spécialistes en recherche Personnel médical - Spécialistes en recherche
XM - Éducation et formation Personnel médical - Éducation et formation
XM - Services partagés Personnel non-médical - Services partagés
XM - Services médicaux Personnel non-médical - Services médicaux
XM - Services de support Personnel non-médical - Services de support
XM - Programmes philanthropiques Personnel non-médical - Programmes philanthropiques

Groupe de mise à disposition et mappage des ressources

Les tableaux suivants illustrent les ressources affectées à chaque groupe de mise à disposition dans ce cas d’utilisation. Le premier tableau présente les attributions d’applications mobiles. Le deuxième tableau présente les ressources d’applications publiques, d’applications HDX et de gestion des appareils.

Groupes de mise à disposition Endpoint Management Applications mobiles Citrix Applications mobiles publiques Applications mobiles HDX
Personnel médical - Infirmiers/Infirmières X    
Personnel médical - Médecins      
Personnel médical - Spécialistes      
Personnel médical - Médecins externes X    
Personnel médical - Services de santé à domicile X    
Personnel médical - Spécialistes en recherche X    
Personnel médical - Éducation et formation   X X
Personnel non-médical - Services partagés   X X
Personnel non-médical - Services médicaux   X X
Personnel non-médical - Services de support X X X
Personnel non-médical - Programmes philanthropiques X X X
Sous-traitants X X X
Groupes de mise à disposition Endpoint Management Application publique : RSA SecurID Application publique : EpicCare Haiku Application HDX : Epic Hyperspace Stratégie de code secret Restrictions d’appareil Actions automatisées Stratégie Wi-Fi
Personnel médical - Infirmiers/Infirmières             X
Personnel médical - Médecins         X    
Personnel médical - Spécialistes              
Personnel médical - Médecins externes              
Personnel médical - Services de santé à domicile              
Personnel médical - Spécialistes en recherche              
Personnel médical - Éducation et formation   X X        
Personnel non-médical - Services partagés   X X        
Personnel non-médical - Services médicaux   X X        
Personnel non-médical - Services de support   X X        

Notes et considérations

  • Endpoint Management crée un groupe de mise à disposition par défaut appelé Tous les utilisateurs lors de la configuration initiale. Si vous ne désactivez pas de ce groupe de mise à disposition, tous les utilisateurs Active Directory ont le droit de s’inscrire à Endpoint Management.
  • Endpoint Management synchronise les utilisateurs et les groupes Active Directory à la demande en utilisant une connexion dynamique au serveur LDAP.
  • Si un utilisateur fait partie d’un groupe qui n’est pas mappé dans Endpoint Management, cet utilisateur ne peut pas s’inscrire. De même, si un utilisateur est membre de plusieurs groupes, Endpoint Management catégorise uniquement l’utilisateur comme étant dans les groupes mappés à Endpoint Management.

Exigences en matière de sécurité

La portée des considérations de sécurité liées à un environnement Endpoint Management peut rapidement devenir écrasante. Il existe de nombreux composants et de paramètres imbriqués. Vous ne savez peut-être pas par où commencer ou quoi choisir pour vous assurer qu’un niveau de protection acceptable est disponible. Pour simplifier ces choix, Citrix fournit des recommandations pour une sécurité élevée, une sécurité supérieure et une sécurité maximale, comme indiqué dans le tableau suivant.

Les problèmes de sécurité seuls ne doivent pas à eux seuls dicter le mode d’inscription de vos appareils : MAM, MDM+MAM avec MDM facultatif, ou MDM+MAM avec MDM requis. Il est également important d’examiner les exigences des cas d’utilisation et de décider si vous pouvez atténuer les problèmes de sécurité avant de choisir votre mode de gestion.

Sécurité élevée : l’utilisation de ces paramètres offre une expérience utilisateur optimale tout en maintenant un niveau de sécurité de base acceptable pour la plupart des organisations.

Sécurité supérieure : ces paramètres établissent un meilleur équilibre entre sécurité et facilité d’utilisation.

Sécurité la plus élevée : suivre ces recommandations fournit un haut niveau de sécurité au détriment de la facilité d’utilisation et de l’adoption par les utilisateurs.

Considérations sur la sécurité du mode de gestion

Le tableau suivant spécifie les modes de gestion pour chaque niveau de sécurité.

Haute sécurité Sécurité plus élevée Sécurité la plus élevée
MAM, MDM+MAM MDM+MAM MDM+MAM

Remarques :

  • Selon le cas d’utilisation, un déploiement MAM exclusif peut répondre aux exigences de sécurité et offrir une bonne expérience utilisateur.
  • Pour les cas d’utilisation tels que le BYOD dans lequel toutes les exigences de l’entreprise et de sécurité peuvent être satisfaites uniquement avec la conteneurisation d’applications, Citrix recommande le mode MAM exclusif.
  • Pour les environnements à haute sécurité (et les appareils fournis par les entreprises), Citrix recommande MDM+MAM pour tirer parti de toutes les fonctionnalités de sécurité disponibles.

Considérations relatives à la sécurité de Citrix ADC et Citrix Gateway

Le tableau suivant spécifie les recommandations Citrix ADC et Citrix Gateway pour chaque niveau de sécurité.

Haute sécurité Sécurité plus élevée Sécurité la plus élevée
Citrix ADC est recommandé. Citrix Gateway est requis pour MAM et MDM+MAM. Configuration standard de l’assistant NetScaler pour XenMobile avec pont SSL si Endpoint Management se trouve dans la zone démilitarisée. Déchargement SSL avec cryptage de bout en bout

Remarques :

  • L’exposition du serveur Endpoint Management à Internet via NAT ou des proxies/équilibreurs de charge tiers existants peut être une option pour MDM. Toutefois, dans ce cas, le trafic SSL se termine sur un serveur Endpoint Management, ce qui pose un risque de sécurité potentiel.
  • Pour les environnements hautement sécurisés, Citrix Gateway défini avec la configuration Endpoint Management par défaut doit respecter ou dépasser les exigences de sécurité.
  • Pour les inscriptions MDM ayant les besoins de sécurité les plus élevés, la terminaison SSL sur Citrix Gateway permet d’inspecter le trafic sur le périmètre tout en assurant le cryptage SSL de bout en bout.
  • Options pour définir les chiffrements SSL/TLS.
  • Pour de plus amples informations, consultez Intégration avec Citrix Gateway et Citrix ADC.

Considérations de sécurité d’inscription

Le tableau suivant spécifie les recommandations Citrix ADC et Citrix Gateway pour chaque niveau de sécurité.

Haute sécurité Sécurité plus élevée Sécurité la plus élevée
Appartenance à un groupe Active Directory uniquement. Groupe de mise à disposition Tous les utilisateurs désactivé. Mode d’inscription sur invitation uniquement. Appartenance à un groupe Active Directory uniquement. Groupe de mise à disposition Tous les utilisateurs désactivé Mode d’inscription lié à l’ID d’appareil. Appartenance à un groupe Active Directory uniquement. Groupe de mise à disposition Tous les utilisateurs désactivé

Remarques :

  • Citrix vous recommande généralement de limiter l’inscription aux utilisateurs appartenant à des groupes Active Directory prédéfinis uniquement. Cette restriction nécessite de désactiver le groupe de mise à disposition intégré Tous les utilisateurs.
  • Vous pouvez utiliser des invitations d’inscription pour restreindre l’inscription aux utilisateurs avec une invitation uniquement.
  • Vous pouvez utiliser des invitations à s’inscrire par code PIN unique (OTP) comme solution d’authentification à deux facteurs et contrôler le nombre d’appareils qu’un utilisateur peut inscrire.
  • Pour les environnements avec exigences de sécurité très strictes, vous pouvez intégrer des invitations d’inscription à un appareil par SN/UDID/EMEI. Il est également possible de demander le mot de passe Active Directory et OTP comme solution d’authentification à deux facteurs. (OTP n’est pas pris en charge en tant qu’option pour les appareils Windows.)

Considérations de sécurité pour le code PIN des appareils

Le tableau suivant spécifie les recommandations de code PIN d’appareils pour chaque niveau de sécurité.

Haute sécurité Sécurité plus élevée Sécurité la plus élevée
Recommandée. Une haute sécurité est requise pour le chiffrement au niveau de l’appareil. Peut être appliqué avec MDM. Peut être définie comme requise pour MAM exclusif en utilisant une stratégie MDX. Appliqué à l’aide d’une stratégie MDM, MAM ou MDM+MAM. Appliquée en utilisant une stratégie MDM et MDX. Stratégie de code secret complexe.

Remarques :

  • Citrix recommande l’utilisation d’un code PIN d’appareil.
  • Vous pouvez appliquer un code PIN d’appareil via une stratégie MDM.
  • Vous pouvez utiliser une stratégie MDX pour que le code PIN d’un appareil soit obligatoire pour l’utilisation des applications gérées ; par exemple, pour les cas d’utilisation BYOD.
  • Citrix recommande de combiner les options de stratégie MDM et MDX pour une sécurité accrue dans les inscriptions MDM+MAM.
  • Pour les environnements ayant les exigences de sécurité les plus élevées, vous pouvez configurer des stratégies de code d’accès complexes et les appliquer avec MDM. Vous pouvez configurer des actions automatiques pour informer les administrateurs ou émettre des effacements sélectifs/complets lorsqu’un appareil ne respecte pas une stratégie de code d’accès.