Modes de gestion
Pour chaque instance XenMobile® (un serveur unique ou un cluster de nœuds), vous pouvez choisir de gérer les appareils, les applications ou les deux. XenMobile utilise les termes suivants pour les modes de gestion des appareils et des applications :
- Mode de gestion des appareils mobiles (mode MDM)
- Mode de gestion des applications mobiles (mode MAM)
- Mode MDM+MAM (mode Entreprise)
Gestion des appareils mobiles (mode MDM)
Important :
Si vous configurez le mode MDM et que vous passez ensuite au mode ENT, assurez-vous d’utiliser la même authentification (Active Directory). XenMobile ne prend pas en charge la modification du mode d’authentification après l’inscription de l’utilisateur. Pour plus d’informations, consultez Mise à niveau.
Avec le MDM, vous pouvez configurer, sécuriser et prendre en charge les appareils mobiles. Le MDM vous permet de protéger les appareils et les données sur les appareils au niveau du système. Vous pouvez configurer des stratégies, des actions et des fonctions de sécurité. Par exemple, vous pouvez effacer un appareil de manière sélective si l’appareil est perdu, volé ou non conforme. Bien que la gestion des applications ne soit pas disponible avec le mode MDM, vous pouvez distribuer des applications mobiles, telles que des applications de magasins publics et des applications d’entreprise, dans ce mode. Voici des cas d’utilisation courants pour le mode MDM :
- Le MDM est une considération pour les appareils appartenant à l’entreprise où des stratégies ou des restrictions de gestion au niveau de l’appareil, telles que l’effacement complet, l’effacement sélectif ou la géolocalisation, sont requises.
- Lorsque les clients nécessitent la gestion d’un appareil réel, mais ne nécessitent pas de stratégies MDX, telles que la conteneurisation d’applications, les contrôles sur le partage de données d’applications ou le micro-VPN.
- Lorsque les utilisateurs n’ont besoin que de la livraison de courrier électronique à leurs clients de messagerie natifs sur leurs appareils mobiles, et qu’Exchange ActiveSync ou Client Access Server est déjà accessible de l’extérieur. Dans ce cas d’utilisation, vous pouvez utiliser le MDM pour configurer la livraison de courrier électronique.
- Lorsque vous déployez des applications d’entreprise natives (non-MDX), des applications de magasins publics ou des applications MDX distribuées à partir de magasins publics. Considérez qu’une solution MDM seule pourrait ne pas empêcher la fuite de données confidentielles entre les applications sur l’appareil. Une fuite de données pourrait se produire avec des opérations de copier-coller ou d’enregistrement sous dans les applications Office 365.
Gestion des applications mobiles (mode MAM)
Le MAM protège les données des applications et vous permet de contrôler le partage des données des applications. Le MAM permet également la gestion des données et des ressources d’entreprise, séparément des données personnelles. Avec XenMobile configuré pour le mode MAM, vous pouvez utiliser des applications mobiles compatibles MDX pour fournir une conteneurisation et un contrôle par application. Le terme mode MAM est également appelé mode MAM uniquement. Ce terme distingue ce mode d’un mode MAM hérité.
En utilisant les stratégies MDX, XenMobile fournit un contrôle au niveau de l’application sur l’accès réseau (tel que le micro-VPN), l’interaction entre les applications et les appareils, le chiffrement des données et l’accès aux applications.
Le MAM est souvent adapté aux appareils personnels (BYO) car, bien que l’appareil ne soit pas géré, les données d’entreprise restent protégées. MDX dispose de nombreuses stratégies MAM uniquement qui ne nécessitent pas de contrôle MDM.
Le MAM prend également en charge les applications de productivité mobile. Ce support inclut la livraison sécurisée de courrier électronique à Citrix Secure Mail, le partage de données entre les applications de productivité mobile sécurisées et le stockage sécurisé de données dans Citrix Files. Pour plus de détails, consultez applications de productivité mobile.
Le MAM est souvent adapté aux exemples suivants :
- Vous distribuez des applications mobiles, telles que des applications MDX, gérées au niveau de l’application.
- Vous n’êtes pas tenu de gérer les appareils au niveau du système.
MDM+MAM (mode Entreprise)
Le mode MDM+MAM est un mode hybride, également appelé mode Entreprise, qui active tous les ensembles de fonctionnalités disponibles dans la solution XenMobile Enterprise Mobility Management (EMM). La configuration de XenMobile avec le mode MDM+MAM active les fonctionnalités MDM et MAM.
XenMobile vous permet de spécifier si les utilisateurs peuvent choisir de ne pas gérer les appareils ou si vous exigez la gestion des appareils. Cette flexibilité est utile pour les environnements qui incluent un mélange de cas d’utilisation. Ces environnements peuvent ou non nécessiter la gestion d’un appareil via des stratégies MDM pour accéder à vos ressources MAM.
Le mode MDM+MAM est adapté aux exemples suivants :
- Vous avez un cas d’utilisation unique dans lequel le MDM et le MAM sont requis. Le MDM est requis pour accéder à vos ressources MAM.
- Certains cas d’utilisation nécessitent le MDM tandis que d’autres non.
- Certains cas d’utilisation nécessitent le MAM tandis que d’autres non.
Vous spécifiez le mode de gestion pour le serveur XenMobile via la propriété Mode serveur. Vous configurez le paramètre dans la console XenMobile. Le mode peut être MDM, MAM ou ENT (pour MDM+MAM).
L’édition XenMobile pour laquelle vous disposez d’une licence détermine les modes de gestion et les autres fonctionnalités disponibles, comme indiqué dans le tableau suivant.
| Édition XenMobile MDM | Édition XenMobile Advanced |
| Fonctionnalités MDM | Fonctionnalités MDM |
| - | Fonctionnalités MAM |
| - | SDK MAM |
| Secure Hub | Secure Hub |
| - | Secure Mail |
| - | Secure Web |
Modes de gestion et profils d’inscription
Les modes de gestion et les profils d’inscription fonctionnent ensemble. Vous utilisez un profil d’inscription pour configurer les options d’inscription de la gestion des appareils et de la gestion des applications pour les appareils Android et iOS. Pour Android, les options d’inscription disponibles pour le mode serveur MDM+MAM diffèrent des options pour le mode MDM. Pour plus d’informations, consultez Profils d’inscription.
Gestion des appareils et inscription MDM
Un environnement XenMobile Enterprise peut inclure un mélange de cas d’utilisation, dont certains nécessitent la gestion des appareils via des stratégies MDM pour permettre l’accès aux ressources MAM. Avant de déployer des applications de productivité mobile auprès des utilisateurs, évaluez entièrement vos cas d’utilisation et décidez s’il faut exiger l’inscription MDM. Si vous décidez ultérieurement de modifier l’exigence d’inscription MDM, il est probable que les utilisateurs devront réinscrire leurs appareils.
Remarque :
Pour spécifier si vous exigez que les utilisateurs s’inscrivent au MDM, utilisez la propriété de serveur XenMobile Inscription requise dans la console XenMobile (Paramètres > Propriétés du serveur). Cette propriété de serveur globale s’applique à tous les utilisateurs et appareils pour l’instance XenMobile. La propriété s’applique uniquement lorsque le mode serveur XenMobile est ENT.
Voici un résumé des avantages et des inconvénients (ainsi que des mesures d’atténuation) de l’exigence d’inscription MDM dans un déploiement en mode XenMobile Enterprise.
Lorsque l’inscription MDM est facultative
Avantages :
- Les utilisateurs peuvent accéder aux ressources MAM sans placer leurs appareils sous gestion MDM. Cette option peut augmenter l’adoption par les utilisateurs.
- Capacité à sécuriser l’accès aux ressources MAM pour protéger les données d’entreprise.
- Les stratégies MDX telles que Code d’accès d’application peuvent contrôler l’accès aux applications pour chaque application MDX.
- La configuration de Citrix ADC, de XenMobile Server et des délais d’expiration par application, ainsi que du code PIN Citrix, offre une couche de protection supplémentaire.
- Bien que les actions MDM ne s’appliquent pas à l’appareil, certaines stratégies MDX sont disponibles pour refuser l’accès MAM. Le refus serait basé sur les paramètres système, tels que les appareils jailbreakés ou rootés.
- Les utilisateurs peuvent choisir d’inscrire leur appareil au MDM lors de la première utilisation.
Inconvénients :
- Les ressources MAM sont disponibles pour les appareils non inscrits au MDM.
- Les stratégies et actions MDM ne sont disponibles que pour les appareils inscrits au MDM.
Options d’atténuation :
- Faites en sorte que les utilisateurs acceptent les conditions générales de l’entreprise qui les tiennent responsables s’ils choisissent de ne pas se conformer. Demandez aux administrateurs de surveiller les appareils non gérés.
- Gérez l’accès et la sécurité des applications en utilisant des temporisateurs d’application. Des valeurs de délai d’expiration réduites augmentent la sécurité, mais peuvent affecter l’expérience utilisateur.
- Un deuxième environnement XenMobile avec inscription MDM requise est une option. Lors de l’examen de cette option, gardez à l’esprit la surcharge supplémentaire de la gestion de deux environnements et les ressources supplémentaires requises.
Lorsque l’inscription MDM est requise
Avantages :
- Capacité à restreindre l’accès aux ressources MAM uniquement aux appareils gérés par MDM.
- Les stratégies et actions MDM peuvent s’appliquer à tous les appareils de l’environnement comme souhaité.
- Les utilisateurs ne peuvent pas choisir de ne pas inscrire leur appareil.
Inconvénients :
- Exige que tous les utilisateurs s’inscrivent au MDM.
- Pourrait diminuer l’adoption pour les utilisateurs qui s’opposent à la gestion d’entreprise de leurs appareils personnels.
Options d’atténuation :
- Éduquez les utilisateurs sur ce que XenMobile gère réellement sur leurs appareils et sur les informations auxquelles les administrateurs peuvent accéder.
- Vous pouvez utiliser un deuxième environnement XenMobile, avec un mode serveur MAM (également appelé mode MAM uniquement), pour les appareils qui n’ont pas besoin de gestion MDM. Lors de l’examen de cette option, gardez à l’esprit la surcharge supplémentaire de la gestion de deux environnements et les ressources supplémentaires requises.
À propos des modes MAM et MAM hérités
XenMobile 10.3.5 a introduit un nouveau mode serveur MAM uniquement. Pour distinguer les modes MAM précédents et nouveaux, la documentation utilise ces termes. Le nouveau mode est appelé MAM uniquement ou MA, le mode MAM précédent est appelé mode MAM hérité.
Le mode MAM uniquement est en vigueur lorsque la propriété Mode serveur de XenMobile est MAM. Les appareils s’enregistrent en mode MAM.
La fonctionnalité MAM héritée est en vigueur lorsque la propriété Mode serveur de XenMobile est ENT et que les utilisateurs choisissent de ne pas gérer les appareils. Dans ce cas, les appareils s’enregistrent en mode MAM. Les utilisateurs qui choisissent de ne pas gérer le MDM continuent de recevoir la fonctionnalité MAM héritée.
Remarque :
Auparavant, la définition de la propriété Mode serveur sur MAM avait le même effet que sa définition sur ENT : les utilisateurs qui refusaient la gestion MDM recevaient la fonctionnalité MAM héritée.
Le tableau suivant résume le paramètre Mode serveur à utiliser pour un type de licence et un mode d’appareil souhaité particuliers :
| Vos licences sont pour cette édition | Vous souhaitez que les appareils s’enregistrent dans ce mode | Définissez la propriété Mode serveur sur |
| Enterprise/Advanced/MDM | Mode MDM | MDM |
| Enterprise/Advanced | Mode MAM (également appelé mode MAM uniquement) | MAM |
| Enterprise/Advanced | Mode MDM+MAM | ENT (Les utilisateurs qui refusent la gestion des appareils fonctionnent en mode MAM hérité.) |
Le mode MAM uniquement prend en charge les fonctionnalités suivantes qui n’étaient auparavant disponibles que pour ENT.
- Authentification basée sur les certificats : Le mode MAM uniquement prend en charge l’authentification basée sur les certificats. Les utilisateurs bénéficient d’un accès continu à leurs applications même lorsque leur mot de passe Active Directory expire. Si vous utilisez l’authentification basée sur les certificats pour les appareils MAM, vous devez configurer votre Citrix Gateway. Par défaut, dans Paramètres XenMobile > Citrix Gateway, l’option « Délivrer le certificat utilisateur pour l’authentification » est définie sur Désactivé, ce qui signifie que l’authentification par nom d’utilisateur et mot de passe est utilisée. Modifiez ce paramètre sur Activé pour activer l’authentification par certificat.
- Portail d’auto-assistance : Pour permettre aux utilisateurs de verrouiller et d’effacer leurs applications. Ces actions s’appliquent à toutes les applications de l’appareil. Vous pouvez configurer les actions de verrouillage et d’effacement d’applications dans Configurer > Actions.
- Tous les modes de sécurité d’inscription : Y compris Haute sécurité, URL d’invitation et Double facteur, configurés via Gérer > Invitations d’inscription.
- Limite d’enregistrement d’appareils pour les appareils Android et iOS : La propriété de serveur Nombre d’appareils par utilisateur a été déplacée vers Configurer > Profils d’inscription et s’applique désormais à tous les modes de serveur.
- API MAM uniquement : Pour les appareils MAM uniquement, vous pouvez appeler des services REST en utilisant n’importe quel client REST et l’API REST XenMobile pour appeler les services exposés par la console XenMobile.
- Les API MAM uniquement vous permettent de :
- Envoyer une URL d’invitation et un code PIN à usage unique.
- Émettre un verrouillage et un effacement d’applications sur les appareils.
Le tableau suivant résume les différences entre les fonctionnalités MAM héritées et MAM uniquement.
| Scénarios d’inscription et autres fonctionnalités | MAM hérité (le mode serveur est ENT) | Mode MAM uniquement (le mode serveur est MAM) |
| Authentification par certificat | Non pris en charge. | Pris en charge. Pour l’authentification par certificat, Citrix Gateway est requis. |
| Exigence de déploiement | Le serveur XenMobile n’a pas besoin d’être directement accessible depuis les appareils. | Le serveur XenMobile n’a pas besoin d’être directement accessible depuis les appareils. |
| Option d’inscription | Utilisez le FQDN de Citrix Gateway ou, lors de l’utilisation du FQDN MDM, choisissez de ne pas vous inscrire. | Utilisez le FQDN du serveur XenMobile. |
| Méthodes d’inscription* | Nom d’utilisateur + Mot de passe | Nom d’utilisateur + Mot de passe, Haute sécurité, URL d’invitation, URL d’invitation+PIN, URL d’invitation + Mot de passe, Double facteur, Nom d’utilisateur + PIN |
| Verrouillage et effacement d’applications | Pris en charge. | Pris en charge. |
| Options du portail d’auto-assistance pour le verrouillage et l’effacement d’applications | Non pris en charge. | Pris en charge. |
| Comportement d’effacement d’applications | Les applications restent sur l’appareil mais ne sont pas utilisables. XenMobile supprime uniquement le compte sur le client. | Les applications restent sur l’appareil mais ne sont pas utilisables. XenMobile supprime uniquement le compte sur le client. |
| Actions automatisées pour les utilisateurs MAM uniquement. | Les actions d’événement, de propriété d’appareil, de propriété d’utilisateur sont prises en charge. Ne prend pas en charge les actions automatisées basées sur les applications installées. | Prend en charge les actions d’événement, de propriété d’appareil, de propriété d’utilisateur et certaines actions basées sur les applications, y compris le verrouillage et l’effacement d’applications. |
| Action intégrée lorsqu’un utilisateur Active Directory est supprimé | Prend en charge l’effacement d’applications. | Prend en charge l’effacement d’applications. |
| Limite d’inscription | Pris en charge ; configuré via un profil d’inscription. | Pris en charge ; configuré via un profil d’inscription. |
| Inventaire logiciel | Pris en charge. XenMobile liste les applications installées sur un appareil. | Non pris en charge. |
*Concernant les notifications : SMTP est la seule méthode prise en charge pour l’envoi d’invitations d’inscription.
Important :
Pour le mode MAM uniquement, les utilisateurs précédemment inscrits doivent réinscrire leurs appareils. Assurez-vous de fournir aux utilisateurs le FQDN du serveur XenMobile dont ils ont besoin pour l’inscription. En mode MAM uniquement, comme en mode ENT, les appareils s’inscrivent en utilisant le FQDN du serveur XenMobile. (En mode MAM hérité, les appareils s’inscrivent en utilisant le FQDN de Citrix Gateway.)
Dans cet article
- Gestion des appareils mobiles (mode MDM)
- Gestion des applications mobiles (mode MAM)
- MDM+MAM (mode Entreprise)
- Modes de gestion et profils d’inscription
- Gestion des appareils et inscription MDM
- Lorsque l’inscription MDM est facultative
- Lorsque l’inscription MDM est requise
- À propos des modes MAM et MAM hérités