Product Documentation

Sécurité et expérience utilisateur

La sécurité est importante pour toute organisation, mais vous devez trouver un équilibre entre la sécurité et l’expérience utilisateur. D’une part, vous pouvez avoir un environnement très sécurisé qui est très difficile à utiliser pour les utilisateurs. D’un autre côté, votre environnement peut être si convivial que le contrôle d’accès n’est pas aussi strict. Les autres sections de ce manuel virtuel traitent en détail des fonctions de sécurité, mais le but de cet article est de donner un aperçu général des options de sécurité qui s’offrent à vous et de vous faire réfléchir aux problèmes de sécurité courants dans XenMobile.

Voici quelques considérations clés à garder à l’esprit pour chaque cas d’utilisation :

  • Voulez-vous sécuriser certaines applications, l’appareil entier ou tout ?
  • Comment voulez-vous que vos utilisateurs authentifient leur identité ? Utiliserez-vous LDAP, l’authentification par certificat ou une combinaison des deux ?
  • Combien de temps doit s’écouler avant que la session d’un utilisateur expire ? Gardez à l’esprit qu’il existe différentes valeurs de délai d’expiration pour les services d’arrière-plan, NetScaler et pour accéder aux applications en mode hors connexion.
  • Voulez-vous que les utilisateurs configurent un code d’accès au niveau de l’appareil et/ou un code d’accès au niveau de l’application ? Combien de tentatives de connexion souhaitez-vous offrir aux utilisateurs ? Gardez à l’esprit les exigences d’authentification supplémentaires par application qui peuvent être implémentées avec MAM et la façon dont les utilisateurs peuvent les percevoir.
  • Quelles autres restrictions voulez-vous appliquer aux utilisateurs ? Devraient-ils être en mesure d’accéder à des services cloud tels que Siri ? Que peuvent-ils faire avec chaque application que vous mettez à leur disposition et que ne peuvent-ils pas faire ? Devriez-vous déployer des politiques de WiFi d’entreprise pour empêcher les forfaits de données cellulaires d’être consommés rapidement dans les bureaux ?

Application ou Appareil

L’une des premières choses à prendre en compte est de savoir si vous ne devez sécuriser que certaines applications (gestion des applications mobiles ou MAM) ou si vous souhaitez gérer l’ensemble de l’appareil (gestion des appareils mobiles ou MDM). Le plus souvent, si vous n’avez pas besoin d’un contrôle au niveau de l’appareil, vous n’aurez besoin que de gérer les applications mobiles, en particulier si votre organisation prend en charge Bring Your Own Device (BYOD).

Avec un environnement MAM exclusif, les utilisateurs peuvent accéder aux ressources mises à leur disposition. Les stratégies MAM sécurisent et gèrent les applications elles-mêmes.

MDM vous permet de sécuriser un appareil entier, y compris de faire l’inventaire de tous les logiciels sur un appareil et d’empêcher l’inscription si l’appareil est jailbreaké, rooté ou si un logiciel non sécurisé est installé. Toutefois, les utilisateurs se méfient d’un tel niveau de contrôle sur leurs appareils personnels et cela peut réduire les taux d’inscription.

Il est possible d’exiger MDM pour certains appareils et pas pour d’autres, mais gardez à l’esprit que ce choix peut impliquer la mise en place de deux environnements dédiés, ce qui nécessite des ressources et une gestion supplémentaires.

Authentification

C’est au niveau de l’authentification qu’une grande partie de l’expérience de l’utilisateur a lieu. Si votre organisation exécute déjà Active Directory, l’utilisation d’Active Directory est le moyen le plus simple d’autoriser vos utilisateurs à accéder au système.

Les délais d’expiration représentent aussi une partie importante de l’expérience de l’utilisateur avec l’authentification. Un environnement de haute sécurité peut obliger les utilisateurs à se connecter à chaque fois qu’ils accèdent au système, mais cette option n’est peut-être pas idéale pour toutes les organisations. Par exemple, demander aux utilisateurs d’entrer leurs informations d’identification chaque fois qu’ils veulent accéder à leur messagerie peut être très frustrant et peut ne pas être nécessaire.

Entropie utilisateur

Pour plus de sécurité, vous pouvez activer une fonctionnalité appelée entropie utilisateur. Citrix Secure Hub et d’autres applications partagent souvent des données communes telles que les mots de passe, les codes confidentiels et les certificats pour garantir le bon fonctionnement de tous les éléments. Ces informations sont stockées dans un coffre générique dans Secure Hub. Si vous activez l’entropie utilisateur via l’option Crypter les secrets (Encrypt Secrets), XenMobile crée un nouveau coffre appelé UserEntropy et déplace les informations du coffre générique dans ce nouveau coffre-fort. Pour que Secure Hub ou une autre application accède aux données, les utilisateurs doivent entrer un mot de passe ou un code PIN.

L’activation de l’entropie utilisateur ajoute une couche d’authentification supplémentaire à plusieurs emplacements. Cela signifie toutefois que lorsqu’une application nécessite l’accès à des données partagées dans le coffre UserEntropy, qui inclut des mots de passe, des codes PIN et des certificats, les utilisateurs doivent saisir un mot de passe ou un code PIN.

Pour en savoir plus sur l’entropie utilisateur, consultez la section À propos de MDX Toolkit dans la documentation XenMobile. Pour activer l’entropie utilisateur, vous pouvez trouver les paramètres associés dans les propriétés du client.

Stratégies

Les stratégies MDX et MDM offrent une grande flexibilité aux organisations, mais elles peuvent également restreindre les utilisateurs. Ces restrictions peuvent être utiles dans certaines situations, mais les stratégies peuvent également rendre un système inutilisable. Par exemple, vous pouvez souhaiter bloquer l’accès à des applications cloud telles que Siri ou iCloud qui sont susceptibles d’envoyer des données sensibles là où vous ne voulez pas qu’elles aillent. Vous pouvez configurer une stratégie pour bloquer l’accès à ces services, mais gardez à l’esprit qu’une telle stratégie peut avoir des conséquences imprévues. Le micro du clavier iOS dépend également de l’accès au cloud et vous pouvez également bloquer l’accès à cette fonctionnalité.

Applications

La gestion de la mobilité d’entreprise (EMM) inclut la gestion d’appareils mobiles (MDM) et gestion d’applications mobiles (MAM). Alors que MDM permet aux entreprises de sécuriser et de contrôler les appareils mobiles, MAM facilite la livraison et la gestion des applications. Avec l’adoption croissante de la stratégie BYOD (Apportez votre propre appareil), vous pouvez généralement implémenter une solution MAM, telle que XenMobile, pour vous aider à prendre en charge la mise à disposition des applications, l’attribution des licences logicielles, la configuration et la gestion du cycle de vie des applications.

Avec XenMobile, vous pouvez aller plus loin dans la sécurisation des applications en configurant des stratégies MAM et des paramètres VPN spécifiques pour éviter les fuites de données et autres menaces de sécurité. XenMobile offre aux entreprises la flexibilité de déployer leur solution en tant qu’environnement MAM exclusif ou MDM exclusif, ou d’implémenter XenMobile en tant qu’environnement XenMobile Enterprise unifié qui fournit des fonctionnalités MDM et MAM au sein de la même plate-forme.

En plus de la possibilité de mettre à disposition des applications sur des appareils mobiles, XenMobile propose la conteneurisation d’applications via la technologie MDX. MDX sécurise les applications via un cryptage distinct du cryptage au niveau de l’appareil. Vous pouvez effacer ou verrouiller l’application ; les applications sont également soumises à des contrôles granulaires basés sur des stratégies. Les éditeurs de logiciels indépendants peuvent appliquer ces contrôles à l’aide du SDK Worx App.

Dans un environnement d’entreprise, les utilisateurs utilisent diverses applications mobiles pour les aider dans leur travail. Les applications peuvent inclure des applications du magasin d’applications public, des applications développées en interne ou des applications natives, dans certains cas. XenMobile classe ces applications comme suit :

Applications publiques : ces applications peuvent être gratuites ou payantes et sont disponibles dans un magasin d’applications public, tel que iTunes ou Google Play. Les fournisseurs externes à l’organisation mettent souvent à disposition leurs applications dans des magasins d’applications publics. Cette option permet aux clients de télécharger les applications directement depuis Internet. Vous pouvez utiliser de nombreuses applications publiques dans votre organisation en fonction des besoins des utilisateurs. Des exemples de telles applications incluent les applications GoToMeeting, Salesforce et EpicCare.

Citrix ne prend pas en charge le téléchargement des fichiers binaires des applications directement à partir des magasins d’applications publics ou l’encapsulation avec MDX Toolkit pour la distribution d’entreprise. Si vous souhaitez encapsuler des applications tierces, collaborez avec le fournisseur de votre application pour obtenir les fichiers binaires de l’application que vous pouvez encapsuler à l’aide de l’outil MDX Toolkit.

Applications internes : de nombreuses organisations ont des développeurs internes qui créent des applications fournissant des fonctionnalités spécifiques et étant développées et distribuées indépendamment au sein de l’organisation. Dans certains cas, certaines organisations peuvent également avoir des applications fournies par des éditeurs de logiciels indépendants. Vous pouvez déployer ces applications en tant qu’applications natives ou vous pouvez les conteneuriser en utilisant une solution MAM, telle que XenMobile. Par exemple, une organisation de soins de santé peut créer une application interne qui permet aux médecins de consulter les informations sur les patients à partir d’appareils mobiles. L’organisation peut ensuite utiliser MDX Toolkit pour encapsuler l’application afin de sécuriser les informations sur les patients et d’activer l’accès VPN au serveur de base de données des patients principal.

Applications Web et Saas : ces applications comprennent les applications accessibles à partir d’un réseau interne (applications web) ou sur un réseau public (SaaS). XenMobile vous permet également de créer des applications Web et SaaS personnalisées à l’aide d’une liste de connecteurs d’applications. Ces connecteurs d’application peuvent faciliter l’authentification unique (SSO) aux applications Web existantes. Pour de plus amples informations, consultez la section Types de connecteur d’application. Par exemple, vous pouvez utiliser Google Apps SAML pour l’authentification unique basée sur le langage SAML (Security Assertion Markup Language) de Google Apps.

Applications de productivité mobiles Citrix : il s’agit d’applications développées par Citrix et incluses avec la licence XenMobile. Pour plus de détails, consultez la section À propos des applications de productivité mobiles. Citrix propose également d’autres applications prêtes à l’emploi que les éditeurs de logiciels indépendants peuvent développer à l’aide du SDK Worx App.

Applications HDX : il s’agit d’applications hébergées par Windows que vous publiez avec StoreFront. Si vous disposez d’un environnement Citrix XenApp et XenDesktop, vous pouvez intégrer les applications à XenMobile pour mettre les applications à la disposition des utilisateurs inscrits.

Selon le type d’applications mobiles que vous prévoyez de déployer et de gérer avec XenMobile, la configuration et l’architecture sous-jacentes diffèrent. Par exemple, si plusieurs groupes d’utilisateurs ayant un niveau d’autorisation différent utilisent une même application, vous devrez peut-être créer des groupes de mise à disposition distincts pour déployer deux versions distinctes de la même application. En outre, vous devez vous assurer que l’appartenance au groupe d’utilisateurs est mutuellement exclusive pour éviter les incohérences de stratégie sur les appareils des utilisateurs.

Vous pouvez également choisir de gérer les licences d’application iOS à l’aide du programme d’achat en volume (VPP) d’Apple. Cette option vous demandera de vous inscrire au programme VPP et de configurer les paramètres VPP XenMobile dans la console XenMobile pour distribuer les applications avec les licences VPP. Avec une telle variété de cas d’utilisation, il est important d’évaluer et de planifier votre stratégie MAM avant la mise en œuvre de l’environnement XenMobile. Vous pouvez commencer à planifier votre stratégie MAM en définissant les éléments suivants :

Types d’applications : répertoriez les différents types d’applications que vous souhaitez prendre en charge et catégorisez-les, tels que public, natif, applications de productivité mobiles, Web, interne, applications d’éditeurs de logiciels indépendants, etc. En outre, catégorisez les applications selon différentes plates-formes d’appareils, telles que iOS et Android. Cette catégorisation vous aidera à aligner les différents paramètres XenMobile requis pour chaque type d’application. Par exemple, certaines applications peuvent ne pas fonctionner avec l’encapsulation, ou certaines applications peuvent nécessiter l’utilisation du SDK Worx App pour activer des API spéciales pour l’interaction avec d’autres applications.

Exigences en matière de réseau : vous devez configurer les applications avec des paramètres appropriés pour répondre aux exigences d’accès réseau spécifiques. Par exemple, certaines applications peuvent avoir besoin d’accéder à votre réseau interne via VPN ; certaines applications peuvent nécessiter un accès Internet pour acheminer l’accès via la DMZ. Afin de permettre à ces applications de se connecter au réseau requis, vous devez configurer divers paramètres en conséquence. La définition des exigences réseau par application vous aide à finaliser vos décisions architecturales dès le début, ce qui simplifiera le processus de mise en œuvre global.

Exigences en matière de sécurité : la définition des exigences de sécurité qui s’appliquent à des applications individuelles ou à toutes les applications est essentielle pour garantir la création de configurations appropriées lors de l’installation de XenMobile Server. Bien que les paramètres, tels que les stratégies MDX, s’appliquent aux applications individuelles, les paramètres de session et d’authentification s’appliquent à toutes les applications. Certaines applications peuvent avoir des exigences de cryptage, de conteneurisation, d’encapsulation, d’authentification, de géofencing ou de partage de données que vous aurez besoin de définir à l’avance pour simplifier votre déploiement.

Exigences en matière de déploiement : vous pouvez utiliser un déploiement basé sur des stratégies pour autoriser le téléchargement des applications publiées uniquement par des utilisateurs compatibles. Par exemple, vous pouvez demander à certaines applications d’exiger que le cryptage de l’appareil soit activé, que l’appareil soit géré ou que l’appareil corresponde à une version minimale du système d’exploitation. Vous pouvez également exiger que certaines applications soient uniquement disponibles pour les utilisateurs d’entreprise. Vous devez définir ces exigences à l’avance afin de pouvoir configurer les stratégies ou les actions de déploiement appropriées.

Exigences en matière de licence : vous devez enregistrer les exigences en matière de licence liées à l’application. Ces notes vous aideront à gérer efficacement l’utilisation des licences et à décider si vous devez configurer des fonctionnalités spécifiques dans XenMobile pour faciliter l’attribution de licences. Par exemple, si vous déployez une application iOS, qu’il s’agisse d’une application gratuite ou payante, Apple applique les exigences de licence sur l’application en demandant aux utilisateurs de se connecter à leur compte iTunes. Vous pouvez vous inscrire à Apple VPP pour distribuer et gérer ces applications via XenMobile. VPP permet aux utilisateurs de télécharger les applications sans avoir à se connecter à leur compte iTunes. En outre, des outils tels que Samsung SAFE et Samsung KNOX ont des exigences de licence spéciales que vous devez remplir avant de déployer ces fonctionnalités.

Exigences en matière de liste noire/liste blanche : vous souhaitez peut-être que certaines applications ne soient pas installées ou utilisées par les utilisateurs. La création d’une liste noire définira un événement hors conformité. Vous pouvez ensuite définir des stratégies à déclencher au cas où une telle chose se produirait. D’autre part, l’utilisation d’une application peut être acceptable, mais cette application peut faire partie de la liste noire pour une raison ou une autre. Si c’est le cas, vous pouvez ajouter l’application à une liste blanche et indiquer que l’utilisation de l’application est acceptable mais n’est pas requise. De plus, gardez à l’esprit que les applications préinstallées sur les nouveaux appareils peuvent inclure certaines applications couramment utilisées qui ne font pas partie du système d’exploitation. Cela peut entrer en conflit avec votre stratégie de liste noire.

Cas d’utilisation des applications

Une organisation de soins de santé prévoit de déployer XenMobile en tant que solution MAM pour leurs applications mobiles. Les applications mobiles sont mises à disposition des utilisateurs professionnels et BYOD. Le département informatique décide de mettre à disposition et de gérer les applications suivantes :

  • Applications de productivité mobiles : applications iOS et Android fournies par Citrix.
  • Secure Mail : application messagerie, calendrier et contact.
  • Secure Web : navigateur Web sécurisé qui permet d’accéder aux sites Internet et intranet.
  • Secure Notes : application de prise de notes sécurisée avec intégration de messagerie et de calendrier.
  • ShareFile : application permettant d’accéder aux données partagées et de partager, synchroniser et éditer des fichiers.

Magasin d’applications public

  • Secure Hub : client utilisé par tous les appareils mobiles pour communiquer avec XenMobile. Le département informatique envoie les paramètres de sécurité, les configurations et les applications mobiles vers les appareils mobiles via le client Secure Hub. Les appareils Android et iOS s’inscrivent dans XenMobile via Secure Hub.
  • Citrix Receiver : application mobile permettant aux utilisateurs d’ouvrir des applications hébergées sur XenApp sur des appareils mobiles.
  • GoToMeeting : un client de réunion, de partage de bureau et de visioconférence en ligne qui permet aux utilisateurs de se rencontrer en temps réel avec d’autres utilisateurs, clients ou collègues via Internet.
  • SalesForce1 : Salesforce1 permet aux utilisateurs d’accéder à Salesforce à partir d’appareils mobiles et rassemble toutes les applications Chatter, CRM et applications personnalisées, ainsi que les processus d’entreprise, pour une expérience unifiée pour tout utilisateur Salesforce.
  • RSA SecurID : jeton logiciel pour l’authentification à deux facteurs.
  • Applications EpicCare : ces applications offrent aux professionnels de la santé un accès sécurisé et portable aux dossiers des patients, aux listes de patients, aux calendriers et aux messages.
    • Haiku : application mobile pour les téléphones iPhone et Android.
    • Canto : application mobile pour l’iPad.
    • Rover : applications mobiles pour iPhone et l’iPad.

HDX : ces applications sont mises à disposition via Citrix XenApp.

  • Epic Hyperspace : application Epic client pour la gestion électronique des dossiers de santé.

ISV

  • Vocera : application VoIP et de messagerie compatible HIPAA qui étend les avantages de la technologie vocale Vocera à tout moment, n’importe où, via l’iPhone et les smartphones Android.

Applications internes

  • HCMail : application qui permet de composer des messages cryptés, d’effectuer des recherches dans des carnets d’adresses sur des serveurs de messagerie internes et d’envoyer les messages cryptés aux contacts à l’aide d’un client de messagerie.

Applications web internes

  • PatientRounding : application Web utilisée pour enregistrer les informations sur la santé des patients par différents départements.
  • Outlook Web Access : permet l’accès à la messagerie via un navigateur Web.
  • SharePoint : utilisé pour le partage de fichiers et de données à l’échelle de l’organisation.

Le tableau suivant répertorie les informations de base requises pour la configuration MAM.

         
Nom de l’application Type d’application Encapsulation MDX iOS Android
Secure Mail Applications XenMobile Pas pour la version 10.4.1 et versions ultérieures Oui Oui
Secure Web Applications XenMobile Pas pour la version 10.4.1 et versions ultérieures Oui Oui
Secure Notes Applications XenMobile Pas pour la version 10.4.1 et versions ultérieures Oui Oui
ShareFile Applications XenMobile Pas pour la version 10.4.1 et versions ultérieures Oui Oui
Secure Hub Application publique SO Oui Oui
Citrix Receiver Application publique SO Oui Oui
GoToMeeting Application publique SO Oui Oui
SalesForce1 Application publique SO Oui Oui
RSA SecurID Application publique SO Oui Oui
Epic Haiku Application publique SO Oui Oui
Epic Canto Application publique SO Oui Non
Epic Rover Application publique SO Oui Non
Epic Hyperspace Application HDX SO Oui Oui
Vocera Application d’éditeur de logiciels indépendant Oui Oui Oui
HCMail Application interne Oui Oui Oui
PatientRounding Application Web SO Oui Oui
Outlook Web Access Application Web SO Oui Oui
SharePoint Application Web SO Oui Oui

Les tableaux suivants répertorient les exigences spécifiques que vous pouvez consulter lorsque vous configurez les stratégies MAM dans XenMobile.

Nom de l’application VPN requis lnteraction lnteraction Cryptage de l’appareil
    (avec applis hors du conteneur) (depuis applis hors du conteneur)  
Secure Mail O Autorisé de manière sélective Autorisé Non requis
Secure Web O Autorisé Autorisé Non requis
Secure Notes O Autorisé Autorisé Non requis
ShareFile O Autorisé Autorisé Non requis
Secure Hub O S.O. S.O. S.O.
Citrix Receiver O S.O. S.O. S.O.
GoToMeeting N S.O. S.O. S.O.
SalesForce1 N S.O. S.O. S.O.
RSA SecurID N S.O. S.O. S.O.
Epic Haiku O S.O. S.O. S.O.
Epic Canto O S.O. S.O. S.O.
Epic Rover O S.O. S.O. S.O.
Epic Hyperspace O S.O. S.O. S.O.
Vocera O Non autorisé Non autorisé Non requis
HCMail O Non autorisé Non autorisé Requis
PatientRounding O S.O. S.O. Requis
Outlook Web Access O S.O. S.O. Non requis
SharePoint O S.O. S.O. Non requis
Nom de l’application Filtrage par proxy Licences Géofencing SDK Worx App Version du système d’exploitation minimum
Secure Mail Requis S.O. Requis de manière sélective S.O. Appliqué
Secure Web Requis S.O. Non requis S.O. Appliqué
Secure Notes Requis S.O. Non requis S.O. Appliqué
ShareFile Requis S.O. Non requis S.O. Appliqué
Secure Hub Non requis VPP Non requis S.O. Non appliqué
Citrix Receiver Non requis VPP Non requis S.O. Non appliqué
GoToMeeting Non requis VPP Non requis S.O. Non appliqué
SalesForce1 Non requis VPP Non requis S.O. Non appliqué
RSA SecurID Non requis VPP Non requis S.O. Non appliqué
Epic Haiku Non requis VPP Non requis S.O. Non appliqué
Epic Canto Non requis VPP Non requis S.O. Non appliqué
Epic Rover Non requis VPP Non requis S.O. Non appliqué
Epic Hyperspace Non requis S.O. Non requis S.O. Non appliqué
Vocera Requis S.O. Requis Requis Appliqué
HCMail Requis S.O. Requis Requis Appliqué
PatientRounding Requis S.O. Non requis S.O. Non appliqué
Outlook Web Access Requis S.O. Non requis S.O. Non appliqué
SharePoint Requis S.O. Non requis S.O. Non appliqué

Communautés d’utilisateurs

Chaque organisation est composée de diverses communautés d’utilisateurs qui opèrent dans différents rôles fonctionnels. Ces communautés d’utilisateurs exécutent différentes tâches et fonctions de bureau à l’aide de diverses ressources que vous fournissez via des appareils mobiles. Les utilisateurs peuvent travailler à domicile ou dans des bureaux distants à l’aide d’appareils mobiles que vous fournissez, ou à l’aide de leurs appareils mobiles personnels, ce qui leur permet d’accéder à des outils soumis à certaines règles de sécurité.

Avec un plus grand nombre de communautés d’utilisateurs utilisant des appareils mobiles pour faciliter leur travail, la gestion de la mobilité d’entreprise devient essentielle pour éviter la fuite de données et pour appliquer les restrictions de sécurité de l’organisation. Pour une gestion efficace et plus sophistiquée des appareils mobiles, vous pouvez catégoriser vos communautés d’utilisateurs. Cela simplifie le mappage des utilisateurs aux ressources et garantit que les bonnes stratégies de sécurité s’appliquent aux utilisateurs appropriés.

L’exemple suivant illustre comment les communautés d’utilisateurs d’une organisation de soins de santé sont classées pour EMM.

Cas d’utilisation des communautés d’utilisateurs

Cet exemple d’organisation de soins de santé fournit des ressources technologiques et un accès à plusieurs utilisateurs, y compris des employés et des bénévoles du réseau et de sociétés affiliées. L’organisation a choisi de déployer la solution EMM auprès des utilisateurs non-cadres uniquement.

Vous pouvez répartir les rôles utilisateur et les fonctions de cette organisation en sous-groupes, y compris personnel médical, personnel non-médical et sous-traitants. Un ensemble sélectionné d’utilisateurs reçoit des appareils mobiles d’entreprise tandis que d’autres peuvent accéder aux ressources limitées de l’entreprise à partir de leurs appareils personnels (BYOD). Pour appliquer le niveau approprié de restrictions de sécurité et empêcher la fuite de données, l’organisation a décidé que l’informatique de l’entreprise gère chaque appareil inscrit, qu’il appartienne à l’entreprise ou qu’il soit personnel. En outre, les utilisateurs ne peuvent inscrire qu’un seul appareil.

La section suivante donne un aperçu des rôles et des fonctions de chaque sous-groupe :

Personnel médical

  • Infirmiers/Infirmières
  • Médecins (docteurs, chirurgiens, etc.)
  • Spécialistes (diététiciens, phlébotomistes, anesthésistes, radiologues, cardiologues, oncologues, etc.)
  • Médecins externes (médecins non-employés et employés de bureau travaillant dans des bureaux éloignés)
  • Services de santé à domicile (employés de bureau et travailleurs mobiles exécutant des services médicaux lors de visites à domicile auprès de patients)
  • Spécialistes en recherche (travailleurs intellectuels et utilisateurs avancés dans six instituts de recherche médicale)
  • Éducation et formation (infirmiers/infirmières, médecins et spécialistes en phase d’éducation et de formation)

Personnel non-médical

  • Services partagés (employés de bureau effectuant diverses fonctions administratives, y compris RH, gestion des salaires, comptes fournisseurs, service de la chaîne d’approvisionnement, etc.)
  • Services médicaux (employés de bureau effectuant divers services de gestion des soins de santé, services administratifs et solutions de processus commerciaux aux fournisseurs, y compris : services administratifs, analyse commerciale et intelligence économique, systèmes commerciaux, services aux clients, finances, gestion des soins, solutions d’accès patient, solutions de cycle des revenus, etc.)
  • Services de support (employés de bureau remplissant diverses fonctions non-médicales, y compris : administration des avantages sociaux, intégration clinique, communications, rémunération et gestion du rendement, services d’équipement et de site, systèmes de technologie des RH, services d’information, vérification interne et amélioration des processus, etc.)
  • Programmes philanthropiques (employés de bureau et mobiles qui exécutent diverses fonctions pour soutenir les programmes philanthropiques)

Sous-traitants

  • Partenaires fabricants et fournisseurs (connectés sur site et à distance via un VPN site à site fournissant diverses fonctions de support non-médical)

Sur la base des informations précédentes, l’organisation a créé les entités suivantes. Pour plus d’informations sur les groupes de mise à disposition dans XenMobile, consultez la section Déployer des ressources.

Unités d’organisation et groupes Active Directory

Unité d’organisation = Ressources XenMobile :

  • Unité d’organisation = personnel médical ; Groupes =
    • XM - Infirmiers/Infirmières
    • XM - Médecins
    • XM - Spécialistes
    • XM - Médecins externes
    • XM - Services de santé à domicile
    • XM - Spécialistes en recherche
    • XM - Éducation et formation
  • Unité d’organisation = non-médical ; Groupes =
    • XM - Services partagés
    • XM - Services médicaux
    • XM - Services de support
    • XM - Programmes philanthropiques

Utilisateurs et groupes locaux XenMobile

Groupe = sous-traitants ; Utilisateurs =

  • Fournisseur 1
  • Fournisseur 2
  • Fournisseur 3
  • … Fournisseur 10

Groupes de mise à disposition XenMobile

  • Personnel médical - Infirmiers/Infirmières
  • Personnel médical - Médecins
  • Personnel médical - Spécialistes
  • Personnel médical - Médecins externes
  • Personnel médical - Services de santé à domicile
  • Personnel médical - Spécialistes en recherche
  • Personnel médical - Éducation et formation
  • Personnel non-médical - Services partagés
  • Personnel non-médical - Services médicaux
  • Personnel non-médical - Services de support
  • Personnel non-médical - Programmes philanthropiques

Groupe de mise à disposition et mappage de groupe d’utilisateurs

   
Groupes Active Directory Groupes de mise à disposition XenMobile
XM - Infirmiers/Infirmières Personnel médical - Infirmiers/Infirmières
XM - Médecins Personnel médical - Médecins
XM - Spécialistes Personnel médical - Spécialistes
XM - Médecins externes Personnel médical - Médecins externes
XM - Services de santé à domicile Personnel médical - Services de santé à domicile
XM - Spécialistes en recherche Personnel médical - Spécialistes en recherche
XM - Éducation et formation Personnel médical - Éducation et formation
XM - Services partagés Personnel non-médical - Services partagés
XM - Services médicaux Personnel non-médical - Services médicaux
XM - Services de support Personnel non-médical - Services de support
XM - Programmes philanthropiques Personnel non-médical - Programmes philanthropiques

Groupe de mise à disposition et mappage des ressources

Les tableaux suivants illustrent les ressources affectées à chaque groupe de mise à disposition dans ce cas d’utilisation. Le premier tableau montre les affectations d’applications mobiles ; le deuxième tableau présente l’application publique, les applications HDX et les ressources de gestion des appareils.

       
Groupes de mise à disposition XenMobile Applications mobiles Citrix Applications mobiles publiques Applications mobiles HDX
Personnel médical - Infirmiers/Infirmières X    
Personnel médical - Médecins      
Personnel médical - Spécialistes      
Personnel médical - Médecins externes X    
Personnel médical - Services de santé à domicile X    
Personnel médical - Spécialistes en recherche X    
Personnel médical - Éducation et formation   X X
Personnel non-médical - Services partagés   X X
Personnel non-médical - Services médicaux   X X
Personnel non-médical - Services de support X X X
Personnel non-médical - Programmes philanthropiques X X X
Sous-traitants X X X
               
Groupes de mise à disposition XenMobile Application publique : RSA SecurID Application publique : EpicCare Haiku Application HDX : Epic Hyperspace Stratégie de code secret Restrictions d’appareil Actions automatisées Stratégie Wi-Fi
Personnel médical - Infirmiers/Infirmières             X
Personnel médical - Médecins         X    
Personnel médical - Spécialistes              
Personnel médical - Médecins externes              
Personnel médical - Services de santé à domicile              
Personnel médical - Spécialistes en recherche              
Personnel médical - Éducation et formation   X X        
Personnel non-médical - Services partagés   X X        
Personnel non-médical - Services médicaux   X X        
Personnel non-médical - Services de support   X X        

Notes et considérations

  • XenMobile crée un groupe de mise à disposition par défaut appelé Tous les utilisateurs lors de la configuration initiale. Si vous ne désactivez pas de ce groupe de mise à disposition, tous les utilisateurs Active Directory auront le droit de s’inscrire à XenMobile.
  • XenMobile synchronise les utilisateurs et les groupes Active Directory à la demande en utilisant une connexion dynamique au serveur LDAP.
  • Si un utilisateur fait partie d’un groupe qui n’est pas mappé dans XenMobile, cet utilisateur ne peut pas s’inscrire. De même, si un utilisateur est membre de plusieurs groupes, XenMobile catégorisera uniquement l’utilisateur comme étant dans les groupes mappés à XenMobile.
  • Pour rendre l’inscription MDM obligatoire, vous devez définir l’option Inscription requise sur Vrai dans Propriétés du serveur dans la console XenMobile. Pour de plus amples informations, consultez la section Propriétés du serveur.
  • Vous pouvez supprimer un groupe d’utilisateurs d’un groupe de mise à disposition XenMobile, en supprimant l’entrée dans la base de données SQL Server, sous dbo.userlistgrps. Avertissement : avant d’effectuer cette action, créez une copie de sauvegarde de XenMobile et de la base de données.

À propos de l’appartenance des appareils dans XenMobile Device

Vous pouvez regrouper les utilisateurs en fonction du propriétaire d’un appareil utilisateur. L’appartenance des appareils comprend les appareils appartenant à l’entreprise et les appareils appartenant aux utilisateurs, un programme plus communément appelé Apportez votre propre appareil (BYOD). Vous pouvez contrôler la façon dont les appareils BYOD se connectent à votre réseau à deux endroits dans la console XenMobile : sur la page Règles de déploiement et via les propriétés du serveur XenMobile sur la page Paramètres. Pour de plus amples informations sur les règles de déploiement, consultez la section Configuration des règles de déploiement dans la documentation XenMobile. Pour de plus amples informations sur les propriétés de serveur, consultez la section Propriétés du serveur.

En définissant les propriétés du serveur, vous pouvez demander à tous les utilisateurs BYOD d’accepter que leurs appareils soient gérés par l’entreprise avant qu’ils puissent accéder à des applications ou vous pouvez également les autoriser à accéder aux applications d’entreprise sans gérer leurs appareils.

Lorsque vous définissez la propriété de serveur wsapi.mdm.required.flag sur Vrai, tous les appareils BYOD sont gérés par XenMobile et tout utilisateur refusant l’inscription se voit refuser l’accès aux applications. Le paramétrage de wsapi.mdm.required.flag sur Vrai doit être envisagé dans les environnements dans lesquels les équipes informatiques ont besoin d’un haut niveau de sécurité avec une expérience utilisateur positive, ce qui est possible en inscrivant des appareils utilisateur dans XenMobile.

Si vous laissez la valeur wsapi.mdm.required.flag sur Faux, qui est le paramètre par défaut, les utilisateurs pourront refuser l’inscription, mais ne pourront toujours accéder aux applications sur leurs appareils via le XenMobile Store. Le paramétrage de wsapi.mdm.required.flag sur Faux doit être envisagé dans les environnements dans lesquels les contraintes juridiques, de confidentialité et imposées par la législation ne requièrent pas la gestion des appareils mais uniquement la gestion des applications d’entreprise.

Les utilisateurs équipés d’appareils qui ne sont pas gérés peuvent installer des applications via XenMobile Store. À la place des contrôles au niveau de l’appareil, comme l’effacement partiel ou complet, vous contrôlez l’accès aux applications via des stratégies d’application. Les stratégies, selon les valeurs que vous avez définies, requièrent que l’appareil vérifie XenMobile Server pour confirmer que les applications sont toujours autorisées à s’exécuter.

Exigences en matière de sécurité

La quantité de considérations de sécurité à prendre en compte lors du déploiement d’un environnement XenMobile peut rapidement devenir écrasante. Il existe tellement de composants et de paramètres imbriqués que vous ne savez peut-être pas par où commencer ou quoi choisir pour assurer un niveau de protection acceptable. Pour simplifier ces choix, Citrix fournit des recommandations pour une sécurité élevée, une sécurité supérieure et une sécurité maximale, comme indiqué dans le tableau suivant.

Notez que les problèmes de sécurité seuls ne doivent pas dicter votre choix de mode de déploiement. Il est également important d’examiner les exigences des cas d’utilisation et de décider si vous pouvez atténuer les problèmes de sécurité avant de choisir votre mode de déploiement.

Sécurité élevée : l’utilisation de ces paramètres offre une expérience utilisateur optimale tout en maintenant un niveau de sécurité de base acceptable pour la plupart des organisations.

Sécurité supérieure : ces paramètres établissent un meilleur équilibre entre sécurité et facilité d’utilisation.

Sécurité la plus élevée : suivre ces recommandations fournira un très haut niveau de sécurité au détriment de la facilité d’utilisation et de l’adoption par les utilisateurs.

Considérations sur la sécurité du mode de déploiement

Le tableau suivant spécifie les modes de déploiement pour chaque niveau de sécurité.

     
Haute sécurité Sécurité plus élevée Sécurité la plus élevée
MAM et/ou MDM MDM+MAM MDM+MAM ; plus FIPS

Remarques :

  • Selon le cas d’utilisation, un déploiement MDM exclusif ou MAM exclusif pourrait répondre aux exigences de sécurité et offrir une bonne expérience utilisateur.
  • S’il n’y a pas besoin de conteneurisation d’applications, de micro-VPN ou de stratégies spécifiques aux applications, MDM devrait être suffisant pour gérer et sécuriser les appareils.
  • Pour les cas d’utilisation tels que le BYOD dans lequel toutes les exigences de l’entreprise et de sécurité peuvent être satisfaites uniquement avec la conteneurisation d’applications, Citrix recommande le mode MAM exclusif.
  • Pour les environnements à haute sécurité (et les appareils fournis par les entreprises), Citrix recommande MDM+MAM pour tirer parti de toutes les fonctionnalités de sécurité disponibles. Nous vous conseillons d’appliquer l’inscription MDM via une propriété de serveur dans la console XenMobile.
  • Options FIPS pour les environnements ayant les besoins de sécurité les plus élevés, tels que le gouvernement fédéral.

Si vous activez le mode FIPS, vous devez configurer SQL Server pour chiffrer le trafic SQL.

Considérations de sécurité pour NetScaler et NetScaler Gateway

Le tableau suivant spécifie les recommandations NetScaler et NetScaler Gateway pour chaque niveau de sécurité.

     
Haute sécurité Sécurité plus élevée Sécurité la plus élevée
NetScaler est recommandé. NetScaler Gateway est requis pour MAM et ENT ; recommandé pour MDM Configuration standard de l’assistant NetScaler pour XenMobile avec pont SSL si XenMobile est dans la zone démilitarisée ; ou déchargement SSL si nécessaire pour répondre aux normes de sécurité lorsque XenMobile Server se trouve sur le réseau interne. Déchargement SSL avec cryptage de bout en bout

Remarques :

  • L’exposition de XenMobile Server sur Internet via NAT ou des proxies/équilibreurs de charge tiers existants peut être une option pour MDM tant que le trafic SSL se termine sur XenMobile Server, mais ce choix présente un risque de sécurité potentiel.
  • Pour les environnements hautement sécurisé, NetScaler défini avec la configuration XenMobile par défaut doit respecter ou dépasser les exigences de sécurité.
  • Pour les environnements MDM ayant les besoins de sécurité les plus élevés, la terminaison SSL sur NetScaler permet d’inspecter le trafic sur le périmètre tout en assurant le cryptage SSL de bout en bout.
  • Options pour définir les chiffrements SSL/TLS.
  • Un matériel SSL FIPS NetScaler est également disponible.
  • Pour plus d’informations, consultez la section Intégration avec NetScaler Gateway et NetScaler.

Considérations de sécurité d’inscription

Le tableau suivant spécifie les recommandations NetScaler et NetScaler Gateway pour chaque niveau de sécurité.

     
Haute sécurité Sécurité plus élevée Sécurité la plus élevée
Appartenance à un groupe Active Directory uniquement. Groupe de mise à disposition Tous les utilisateurs désactivé. Mode d’inscription sur invitation uniquement. Appartenance à un groupe Active Directory uniquement. Groupe de mise à disposition Tous les utilisateurs désactivé Mode d’inscription lié à l’ID d’appareil. Appartenance à un groupe Active Directory uniquement. Groupe de mise à disposition Tous les utilisateurs désactivé

Remarques :

  • Citrix vous recommande généralement de limiter l’inscription aux utilisateurs appartenant à des groupes Active Directory prédéfinis uniquement. Cela nécessite de désactiver le groupe de mise à disposition intégré Tous les utilisateurs.
  • Vous pouvez utiliser des invitations d’inscription pour restreindre l’inscription aux utilisateurs avec une invitation uniquement.
  • Vous pouvez utiliser des invitations à s’inscrire par code PIN unique (OTP) comme solution à deux facteurs et contrôler le nombre d’appareils qu’un utilisateur peut inscrire.
  • Pour les environnements avec exigences de sécurité très strictes, vous pouvez intégrer des invitations d’inscription à un appareil par SN/UDID/EMEI. Il est également possible de demander le mot de passe Active Directory et OTP comme solution à deux facteurs. (Notez que OTP n’est actuellement pas une option pour les appareils Windows.)

Considérations de sécurité pour le code PIN des appareils

Le tableau suivant spécifie les recommandations de code PIN d’appareils pour chaque niveau de sécurité.

     
Haute sécurité Sécurité plus élevée Sécurité la plus élevée
Recommandée. Une haute sécurité est requise pour le chiffrement au niveau de l’appareil. Peut être appliquée avec MDM. Peut être définie comme requise pour MAM exclusif en utilisant une stratégie MDX. Appliquée en utilisant une stratégie MDM et/ou MDX. Appliquée en utilisant une stratégie MDM et MDX. Stratégie de code secret complexe.

Remarques :

  • Citrix recommande l’utilisation d’un code PIN d’appareil.
  • Vous pouvez appliquer un code PIN d’appareil via une stratégie MDM.
  • Vous pouvez utiliser une stratégie MDX pour que le code PIN d’un appareil soit obligatoire pour l’utilisation des applications gérées ; par exemple, pour les cas d’utilisation BYOD.
  • Citrix recommande de combiner les options de stratégie MDM et MDX pour une sécurité accrue dans les environnements MDM+MAM.
  • Pour les environnements ayant les exigences de sécurité les plus élevées, vous pouvez configurer des stratégies de code d’accès complexes et les appliquer avec MDM. Vous pouvez configurer des actions automatiques pour informer les administrateurs ou émettre des effacements sélectifs/complets lorsqu’un appareil ne respecte pas une stratégie de code d’accès.