Product Documentation

À propos de XenMobile Service

Mar 05, 2018

Vous choisissez une offre de service XenMobile selon que vous avez besoin de la gestion des appareils mobiles (MDM) uniquement ou de la possibilité d'utiliser MDM et la gestion des applications mobiles (MAM).

Par exemple, si vous utilisez uniquement les fonctionnalités MDM de XenMobile, vous pouvez :

  • Déployer des applications et des stratégies d’appareil.
  • Récupérer des inventaires logiciels.
  • Effectuer des actions sur les appareils, telles que l’effacement.

Si vous utilisez uniquement les fonctionnalités MAM de XenMobile, vous pouvez :

  • Sécuriser les applications et données sur les appareils mobiles BYO.
  • Mettre à disposition des applications mobiles d’entreprise.
  • Verrouiller les applications et effacer leurs données.

Si vous utilisez à la fois les fonctionnalités MDM et MAM, vous pouvez :

  • Gérer un appareil fourni par l’entreprise via MDM
  • Déployer des applications et des stratégies d’appareil
  • Récupérer un inventaire logiciel
  • Effacer des appareils
  • Mettre à disposition des applications mobiles d’entreprise
  • Verrouiller des applications et effacer les données sur les appareils

Le tableau suivant fournit une vue d'ensemble des services disponibles.

XenMobile Standard Service

XenMobile Advanced Service

XenMobile Premium Service

Technologie

Technologie

Technologie

MDM

MDM

MDM

-

MAM

MAM

-

-

EFSS (synchronisation et partage de fichiers d'entreprise via ShareFile Enterprise)

-

Micro VPN

Micro VPN

-

MDX (Mobile Device Experience)

MDX (Mobile Device Experience)

Applications XenMobile Apps

XenMobile Apps*

XenMobile Apps*

-

-

ShareFile Enterprise

-

-

Secure Notes + **

Fonctionnalités

Fonctionnalités

Fonctionnalités

Enterprise App Store

Unified App Store ***

Unified App Store ***

Conformité aux normes de sécurité de bout en bout

Conformité aux normes de sécurité de bout en bout

Conformité aux normes de sécurité de bout en bout

-

Connexion unique multi-facteurs aux applications et aux données

Connexion unique multi-facteurs aux applications et aux données

Intégration avec LDAP, Microsoft Exchange, PKI, NAC, VPN, WiFi et services de certificats

Intégration avec LDAP, Microsoft Exchange, PKI, NAC, VPN, WiFi et services de certificats

Intégration avec LDAP, Microsoft Exchange, PKI, NAC, VPN, WiFi et services de certificats

Accès et vues basés sur un rôle

Accès et vues basés sur un rôle

Accès et vues basés sur un rôle

Configuration des stratégies de point de terminaison et d'application

Configuration des stratégies de point de terminaison et d'application

Configuration des stratégies de point de terminaison et d'application

Données perdues et fuites de données pour les applications (système d'exploitation)

Données perdues et fuites de données pour les applications XenMobile Apps (MDX)

Données perdues et fuites de données pour les applications (système d'exploitation)

Provisionnement de point de terminaison et inscription en libre-service OTA

Provisionnement de point de terminaison et inscription en libre-service OTA

Provisionnement de point de terminaison et inscription en libre-service OTA

* Les applications XenMobile Apps incluent les éléments suivants :

  • Secure Hub
  • Secure Mail
  • Secure Web
  • Secure Tasks (date de fin de cycle de vie (EOL) : 31 décembre 2018.)
  • ShareConnect
  • QuickEdit (date de fin de cycle de vie (EOL) : 1 septembre 2018.)
  • ScanDirect

** Secure Notes + requiert ShareFile Enterprise Edition. (date de fin de cycle de vie (EOL) pour Secure Notes : 31 décembre 2018.)

*** Unified App Store peut inclure les éléments suivants :

  • Applications de magasin public (y compris les applications de productivité XenMobile)
  • Applications d'entreprise
  • Applications Web et SaaS
  • Liens Web
  • Applications publiées XenApp et XenDesktop

Architecture

Les besoins en matière de gestion des applications ou appareils de votre organisation déterminent les composants XenMobile de votre architecture XenMobile. Les composants XenMobile sont modulaires et complémentaires. Par exemple, pour accorder aux utilisateurs de votre organisation un accès à distance à des applications mobiles et pour connaître les types d'appareils des utilisateurs, votre déploiement inclut XenMobile avec NetScaler Gateway. XenMobile est l'emplacement à partir duquel vous gérez les applications et les appareils, et NetScaler Gateway permet aux utilisateurs de se connecter à votre réseau.

Le schéma suivant illustre une architecture générale d’un déploiement de XenMobile Cloud Service et son intégration avec votre data center :

localized image

Les sous-sections suivantes contiennent des diagrammes d'architecture de référence pour l'instance de XenMobile Service principale et pour les composants facultatifs tels qu'une autorité de certification externe et XenMobile Mail Manager.

Pour plus d'informations sur la configuration requise pour NetScaler et NetScaler Gateway, reportez-vous à la documentation du produit Citrix à l'adresse docs.citrix.com.

Architecture de référence principale

Pour les exigences en matière de port, consultez la section Configuration système requise.

localized image

Architecture de référence avec une autorité de certification externe

localized image

Architecture de référence avec XenApp et XenDesktop

localized image

Architecture de référence avec XenMobile Mail Manager

localized image

Architecture de référence avec XenMobile NetScaler Connector

localized image

Emplacements des ressources

Placez les emplacements de ressources là où ils répondent le mieux aux besoins de votre entreprise, dans un cloud public, dans une succursale, un cloud privé ou un centre de données. Facteurs qui peuvent déterminer le choix de l'emplacement :

  • Proximité des abonnés
  • Proximité des données
  • Exigences en matière de montée en charge
  • Attributs de sécurité

Vous pouvez créer n'importe quel nombre d'emplacements de ressources. Par exemple, vous pouvez :

  • Créer un emplacement de ressources dans votre centre de données pour le siège social en fonction des applications et des abonnés qui doivent être proches des données.
  • Ajouter un emplacement de ressources distinct pour vos utilisateurs internationaux dans un cloud public. Ou créer des emplacements de ressources distincts dans les succursales pour fournir les applications les plus utilisées à proximité des employés de la succursale.
  • Ajouter un autre emplacement de ressources sur un réseau distinct qui fournit des applications restreintes. Cette configuration offre une visibilité limitée aux autres ressources et abonnés sans avoir à ajuster les autres emplacements de ressources.

Cloud Connector

Citrix utilise Cloud Connector pour intégrer l'architecture XenMobile Service dans votre infrastructure existante. Cloud Connector authentifie et crypte toutes les communications entre Citrix Cloud et vos emplacements de ressources. Cloud Connector prend en charge tous les types d’authentification XenMobile.

Le schéma suivant illustre le flux du trafic pour Cloud Connector.

localized image

Cloud Connector établit les connexions avec Citrix Cloud. Cloud Connector n'accepte pas les connexions entrantes.

Une solution qui inclut la gestion des applications mobiles (MAM) nécessite un micro-VPN fourni par une passerelle NetScaler Gateway locale. Cloud Connector, NetScaler Gateway et vos serveurs pour Exchange, applications Web, Active Directory et PKI résident dans votre datacenter. Les appareils mobiles communiquent avec XenMobile Service et votre NetScaler Gateway sur site.

Composants Citrix Cloud XenMobile Service

Console XenMobile. Vous utilisez la console d'administration de XenMobile Server pour configurer XenMobile Service. Pour de plus amples informations sur l’utilisation de la console XenMobile, consultez les articles sous XenMobile Server. Citrix vous avertit lorsque les articles Nouveautés de XenMobile Service sont mis à jour pour une nouvelle version.

Tenez compte de ces différences entre XenMobile Service et les versions locales de XenMobile Server :

  • Le client d'assistance à distance n’est pas disponible dans XenMobile Service.
  • Les composants côté serveur de XenMobile Service ne sont pas conformes à la norme FIPS 140-2.
  • Citrix ne prend pas en charge l'intégration de syslog dans XenMobile Service avec un serveur syslog sur site. Au lieu de cela, vous pouvez télécharger les journaux à partir de la page de support dans la console XenMobile. Ce faisant, vous devez cliquer sur Tout télécharger pour obtenir les journaux système. Pour de plus amples informations, consultez la section Visualisation et analyse des fichiers journaux dans XenMobile.

Service MDX. Le service MDX XenMobile peut encapsuler de manière sécurisée des applications qui ont été créées au sein de votre organisation ou hors de l'entreprise. Pour plus d’informations, consultez la section XenMobile MDX Service.

XenMobile Secure Apps. Les applications XenMobile Apps développées par Citrix offrent une suite d'outils de productivité et de communication au sein de l'environnement XenMobile qui sont sécurisés par les stratégies de votre entreprise. Pour de plus amples informations, consultez la section XenMobile Apps.

XenMobile Mail Manager. XenMobile Mail Manager fournit un accès sécurisé à la messagerie aux utilisateurs qui utilisent des applications de messagerie mobile natives. XenMobile Mail Manager fournit un filtrage ActiveSync au niveau du service Exchange. Cela signifie que le filtrage ne se produit qu'une fois que le courrier parvient au service Exchange, et non dès qu'il entre dans l'environnement XenMobile. XenMobile Mail Manager ne nécessite pas l'utilisation de NetScaler. Vous pouvez déployer XenMobile Mail Manager sans apporter de modifications en termes de routage pour le trafic ActiveSync existant. Pour plus d'informations, consultez la section XenMobile Mail Manager.

XenMobile NetScaler Connector. XenMobile NetScaler Connector fournit un accès sécurisé à la messagerie aux utilisateurs qui utilisent des applications de messagerie mobile natives. XenMobile NetScaler Connector fournit un filtrage ActiveSync sur le périmètre, en utilisant NetScaler comme proxy pour le trafic ActiveSync. Cela signifie que le composant de filtrage se trouve dans le chemin du flux du trafic de messagerie, interceptant le courrier lorsqu'il entre dans l'environnement ou en sort. XenMobile NetScaler Connector agit comme un intermédiaire entre NetScaler et XenMobile Server. Pour plus d'informations, consultez XenMobile NetScaler Connector.

Vue d'ensemble de la sécurité technique de XenMobile Service

Citrix Cloud gère le plan de contrôle pour les environnements XenMobile, y compris XenMobile Server, l'équilibrage de charge NetScaler et une base de données mono-locataire. Le service cloud s'intègre à un datacenter client à l'aide de Citrix Cloud Connector. Les clients de XenMobile Service qui utilisent Cloud Connector gèrent généralement NetScaler Gateway dans leurs datacenters.

La figure suivante illustre le service et ses limites de sécurité.

localized image

Les informations de cette section :

  • sont destinées à fournir une introduction et une vue d'ensemble des fonctionnalités de sécurité de Citrix Cloud ;
  • définissent la répartition des responsabilités entre Citrix et les clients pour la sécurisation du déploiement de Citrix Cloud ;
  • n'ont pas vocation à servir de guide de configuration et d'administration pour Citrix Cloud ou l'un de ses composants ou services.

Flux de données

Le plan de contrôle a un accès en lecture limité aux objets utilisateur et groupe à partir d'un répertoire client et d'autres services tels que DNS. Le plan de contrôle accède à ces services via Citrix Cloud Connector, qui utilise des connexions HTTPS sécurisées.

Les données de l'entreprise, telles que les e-mails, l'intranet et le trafic d'applications Web, circulent directement entre un appareil et les serveurs d'applications via NetScaler Gateway. NetScaler Gateway est déployé dans le datacenter du client.

Isolation des données

Le plan de contrôle stocke les métadonnées nécessaires à la gestion des appareils utilisateurs et de leurs applications mobiles. Le service lui-même consiste en une combinaison de composants multi-locataires et mono-locataires. Cependant, par l'architecture de service, les métadonnées client sont toujours stockées séparément pour chaque locataire et sécurisées à l'aide d'informations d'identification uniques.

Gestion des informations d’identification

Le service gère les types d'informations d'identification suivants :

  • Informations d'identification de l'utilisateur : les informations d'identification de l'utilisateur sont transmises de l'appareil au plan de contrôle via une connexion HTTPS. Le plan de contrôle valide ces informations d’identification avec un répertoire dans le répertoire du client sur une connexion sécurisée.
  • Informations d'identification de l'administrateur : les administrateurs s'authentifient auprès de Citrix Cloud, qui utilise le système d'ouverture de session de Citrix Online. Ce processus génère un jeton JWT (JSON Web Token) à usage unique, qui permet à l'administrateur d'accéder au service.
  • Informations d'identification Active Directory : le plan de contrôle requiert des informations d'identification de liaison pour lire les métadonnées d'utilisateur provenant d'Active Directory. Ces informations d'identification sont chiffrées à l'aide du chiffrement AES-256 et enregistrées dans une base de données par locataire.

Considérations de déploiement

Citrix vous recommande de consulter la documentation sur les meilleures pratiques publiées pour le déploiement de NetScaler Gateway dans vos environnements.

Plus de ressources

Consultez les ressources suivantes pour de plus amples informations sur la sécurité :