Appareils partagés

XenMobile vous permet de configurer des appareils que de multiples utilisateurs peuvent partager. Cette fonctionnalité permet, par exemple, aux médecins hospitaliers d’utiliser tout appareil à portée pour accéder à des applications et des données plutôt que d’avoir à transporter un appareil spécifique. Il peut aussi être utile pour les employés travaillant en équipe dans des domaines tels que la force publique, le commerce et le secteur industriel de partager des appareils pour réduire le coût du matériel.

Points clés à propos des appareils partagés

Vous pouvez utiliser n’importe quel appareil iOS et Android pris en charge en tant qu’appareil partagé. Pour obtenir une liste des appareils pris en charge, consultez la section Systèmes d’exploitation d’appareils pris en charge.

Mode MDM

  • Disponible sur tablettes et smartphones iOS et Android. L’inscription au programme Device Enrollment Program (DEP) de base n’est pas prise en charge pour un appareil partagé XenMobile Enterprise. Vous devez utiliser une DEP autorisée pour inscrire un appareil partagé dans ce mode.
  • L’authentification de certificat client, le code PIN Citrix, Touch ID, l’entropie utilisateur et l’authentification à deux facteurs ne sont pas pris en charge.

Mode MDM+MAM

  • Disponible uniquement sur tablettes iOS et Android.
  • Seule l’authentification par nom d’utilisateur et mot de passe Active Directory est prise en charge.
  • L’authentification de certificat client, le code PIN Worx, Touch ID, l’entropie utilisateur et l’authentification à deux facteurs ne sont pas pris en charge.
  • Le mode MAM exclusif n’est pas pris en charge. Les appareils doivent s’inscrire en mode MDM.
  • Seuls Secure Mail, Secure Web et l’application mobile ShareFile sont pris en charge. Les applications HDX ne sont pas prises en charge.
  • Seuls les utilisateurs Active Directory sont pris en charge, contrairement aux utilisateurs et aux groupes locaux.
  • Une réinscription est requise pour les appareils partagés en mode MDM exclusif afin de mettre à jour vers le mode MDM+MAM.
  • Les utilisateurs peuvent uniquement partager des applications de productivité mobiles et des applications MDX encapsulées ; ils ne peuvent pas partager d’applications natives sur les appareils.
  • Une fois les applications de productivité mobiles téléchargées lors de la première inscription, il est inutile de les télécharger à nouveau à chaque fois qu’un utilisateur se connecte sur l’appareil. Le nouvel utilisateur peut récupérer l’appareil, ouvrir une session, et se lancer.
  • Sur Android, afin d’isoler les données de chaque utilisateur pour des raisons de sécurité, la stratégie Disallow rooted devices de la console XenMobile doit être définie sur Activé.

Configuration requise pour l’inscription d’appareils partagés

Avant d’inscrire les appareils partagés, vous devez effectuer les opérations suivantes :

Conditions préalables pour le mode MDM+MAM

  1. Créez un groupe Active Directory nommé, par exemple, Shared Device Enrollers.
  2. Ajoutez à ce groupe les utilisateurs Active Directory qui vont inscrire des appareils partagés. Si vous souhaitez utiliser un nouveau compte à cette fin, créez un utilisateur Active Directory (par exemple sdenroll) et ajoutez cet utilisateur au groupe Active Directory.

Configuration d’un appareil partagé

Suivez les étapes ci-dessous pour configurer un appareil partagé.

  1. Dans la console XenMobile, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.
  2. Cliquez sur Contrôle d’accès basé sur rôle, puis cliquez sur Ajouter. La page Ajouter un rôle s’affiche.
  3. Créez un rôle utilisateur destiné à l’inscription d’appareils partagés, nommé Utilisateur pour inscription d’appareils partagés, disposant des autorisations Assistant d’inscription d’appareils partagés sous Accès autorisé. Veillez à développer Appareils dans Fonctionnalités de la console, puis sélectionnez Effacer les données d’entreprise d’un appareil. Ce paramètre garantit que les applications et les stratégies configurées à l’aide du compte de l’assistant d’inscription d’appareils partagés sont supprimées via Secure Hub lors de la désinscription de l’appareil.

    Pour Appliquer les autorisations, conservez le paramètre par défaut, qui est À tous les groupes d’utilisateurs, ou attribuez des autorisations à des groupes d’utilisateurs Active Directory spécifiques avec le paramètre À des groupes d’utilisateurs spécifiques.

    Options Appliquer les autorisations

    Cliquez sur Suivant pour passer à l’écran Attribution. Attribuez le rôle d’inscription d’appareil partagé que vous venez de créer au groupe Active Directory que vous avez créé pour les utilisateurs destinés à l’inscription d’appareils partagés à l’étape 1 sous Conditions préalables. Dans l’image ci-dessous, citrix.lab est le domaine Active Directory et Shared Device Enrollers est le groupe Active Directory.

    Écran Attribution

  4. Créez un groupe de mise à disposition contenant les stratégies de base, les applications et les actions que vous voulez appliquer à l’appareil lorsqu’un utilisateur n’est pas connecté. Associez ensuite ce groupe de mise à disposition au groupe Active Directory de l’utilisateur d’inscription d’appareil partagé.

    Écran des paramètres des groupes de mise à disposition

  5. Installez Secure Hub sur l’appareil partagé et inscrivez-le sur XenMobile à l’aide du compte utilisateur d’inscription sur appareil partagé. Vous pouvez maintenant voir et gérer l’appareil dans la console XenMobile. Pour de plus amples informations, consultez la section Inscription d’appareils.

  6. Pour appliquer différentes stratégies ou pour fournir des applications supplémentaires aux utilisateurs authentifiés, vous devez créer un groupe de mise à disposition associé à ces utilisateurs et déployé uniquement sur des appareils partagés. Lors de la création de groupes, configurez des règles de déploiement pour vous assurer que les packages sont déployés sur des appareils partagés. Pour de plus amples informations, consultez la section Déployer des ressources.

  7. Pour arrêter le partage de l’appareil, effacez les données d’entreprise afin de supprimer le compte utilisateur d’inscription sur appareil partagé de l’appareil, ainsi que toute application ou stratégie ayant été déployée sur cet appareil.

Expérience utilisateur relative à l’utilisation d’un appareil partagé

Mode MDM

Les utilisateurs voient uniquement les ressources qui leur sont disponibles, et leur expérience est la même sur chaque appareil partagé. Les stratégies et applications de l’inscription d’appareil partagé restent toujours sur l’appareil. Lorsqu’un utilisateur non inscrit sur les appareils partagés ouvre une session sur Secure Hub, les stratégies et applications de cette personne sont déployées sur l’appareil. Lorsque cet utilisateur se déconnecte, les stratégies et les applications qui diffèrent de celles de l’inscription d’appareil partagé sont supprimées, tandis que les ressources de l’inscription d’appareil partagé restent intactes.

Mode MDM+MAM

Secure Mail et Secure Web sont déployés sur l’appareil lorsqu’ils sont inscrits par l’utilisateur d’inscription d’appareil partagé. Les données utilisateur sont conservées de manière sécurisée sur l’appareil. Les données ne sont pas affichées pour d’autres utilisateurs lorsqu’ils se connectent à Secure Mail ou Secure Web.

Un seul utilisateur à la fois peut se connecter à Secure Hub. L’utilisateur précédent doit se déconnecter pour que le prochain utilisateur puisse se connecter. Pour des raisons de sécurité, Secure Hub ne stocke pas les informations d’identification de l’utilisateur sur les appareils partagés, si bien que les utilisateurs doivent entrer leurs informations d’identification chaque fois qu’ils se connectent. Pour vous assurer qu’un nouvel utilisateur ne puisse pas accéder aux ressources destinées à l’utilisateur précédent, Secure Hub n’autorise pas les nouveaux utilisateurs à se connecter alors que des stratégies, applications et données associées à l’utilisateur précédent sont en cours de suppression.

L’inscription d’appareil partagé ne modifie pas le processus de mise à niveau des applications. Vous pouvez distribuer des mises à niveau aux utilisateurs d’appareils partagés comme vous le faites habituellement. Ces derniers peuvent alors mettre à niveau les applications directement sur leurs appareils.

Stratégies Secure Mail recommandées

  • Pour obtenir des performances Secure Mail optimales, définissez la Période de synchronisation maximale en fonction du nombre d’utilisateurs qui partagent l’appareil. Il n’est pas recommandé d’autoriser un nombre illimité de synchronisation.
Nombre d’utilisateurs partageant l’appareil Période de synchronisation maximale recommandée
21 à 25 1 semaine ou moins
6 à 20 2 semaines ou moins
5 ou moins 1 mois ou moins
  • Bloquez Activer l’exportation des contacts afin de ne pas divulguer les contacts d’un utilisateur aux autres utilisateurs qui partagent l’appareil.

  • Sur iOS, seuls les paramètres suivants peuvent être définis par utilisateur. Tous les autres paramètres seront communs à tous les utilisateurs qui partagent l’appareil :

    • Notifications
    • Signature
    • Absent(e) du bureau
    • Période de synchronisation des messages
    • S/MIME
    • Vérifier l’orthographe