ユーザーコミュニティ
すべての組織は、異なる機能的役割を持つ多様なユーザーコミュニティで構成されています。これらのユーザーコミュニティは、ユーザーのモバイルデバイスを通して提供されるさまざまなリソースを使用して、さまざまなタスクを実行しオフィス機能を果たします。ユーザーは、提供されたモバイルデバイスを使用して、自宅やリモートオフィスで作業する場合もあります。また、特定のセキュリティコンプライアンスルールの対象となるツールへのアクセスが許可された個人のモバイルデバイスを使用する場合もあります。
モバイルデバイスを使用するユーザーコミュニティが増えるにつれ、データ漏洩を防止し、組織のセキュリティ制限を実施するために、エンタープライズモビリティ管理(EMM)が非常に重要になります。効率的で高度なモバイルデバイス管理を実現するために、ユーザーコミュニティを分類することができます。そうすることにより、ユーザーとリソースのマッピングが簡素化され、適切なセキュリティポリシーを適切なユーザーに適用できます。
ユーザーコミュニティを分類するには、次のコンポーネントを使用できます。
-
Active Directory組織単位(OU)とグループ
特定のActive Directoryセキュリティグループに追加されたユーザーは、ポリシーと、アプリなどのリソースを受け取ることができます。Active Directoryセキュリティグループからユーザーを削除すると、以前に許可されたXenMobileリソースへのアクセスが削除されます。
-
XenMobileのローカルユーザーとグループ
Active Directoryにアカウントを持たないユーザーの場合は、ローカルのXenMobileユーザーとしてユーザーを作成できます。ローカルユーザーをデリバリーグループに追加し、Active Directoryユーザーと同じ方法でリソースをプロビジョニングできます。
-
XenMobileデリバリーグループ
権限レベルの異なるユーザーからなる複数のグループが1つのアプリを使用する場合は、個別のデリバリーグループの作成が必要になる場合があります。個別のデリバリーグループを使用すると、同じアプリの2つの異なるバージョンを展開できます。
-
デリバリーグループとユーザーグループのマッピング
デリバリーグループとActive Directoryグループのマッピングは、1対1または1対多のいずれでもかまいません。基本のポリシーとアプリを1対多のデリバリーグループマッピングに割り当てます。機能に固有のポリシーとアプリを1対1のデリバリーグループマッピングに割り当てます。
-
アプリのデリバリーグループとリソースのマッピング
特定のアプリを各デリバリーグループに割り当てます。
-
MDMリソースのデリバリーグループとリソースのマッピング
アプリと特定のデバイス管理リソースを各デリバリーグループに割り当てます。たとえば、アプリの種類(パブリック、HDXなど)、アプリの種類別の特定のアプリ、リソース(デバイスポリシーや自動アクションなど)を任意に組み合わせてデリバリーグループを設定します。
次の例は、医療機関のユーザーコミュニティにおけるEMM向けの分類方法を示したものです。
使用例
この医療機関の例では、ネットワークやアフィリエイトの従業員、ボランティアなどの複数のユーザーに技術リソースやアクセスを提供します。この組織はEMMソリューションを非幹部ユーザーのみに展開することを選択しました。
この医療機関のユーザー役割と機能は、医療、医療以外、契約社員などのサブグループに分けられます。指定されたグループのユーザーが企業のモバイルデバイスを受け取ります。その他のユーザーは個人のデバイス(BYOD)から限られた企業リソースにアクセスできます。適切なレベルのセキュリティ制限を実施し、データ漏洩を防止するために、この組織では、登録された各デバイスを企業のIT部門が管理することに決定しました。また、ユーザーが登録できるデバイスは1台のみです。
以下のセクションでは、各サブグループの役割と機能の概要について説明します。
医療
- 看護師
- 医師(医師、外科医など)
- スペシャリスト(栄養士、採血師、麻酔医、放射線科医、心臓病専門医、がん専門医など)
- 外部の医師(外来の医師とリモートオフィスで作業するオフィスワーカー)
- 在宅医療サービス(患者の往診で医療サービスを行うオフィスワーカーとモバイルワーカー)
- 研究スペシャリスト(医薬における問題解決のための臨床研究を行う6つの研究機関のナレッジワーカーとパワーユーザー)
- 教育と訓練(教育と訓練に従事する看護師、医師、スペシャリスト)
医療以外
- 共通サービス(人事、給与、財務、サプライチェーンサービスなどのさまざまなバックオフィス機能を果たすオフィスワーカー)
- 医療サービス(管理サービス、分析およびビジネスインテリジェンス、ビジネスシステム、クライアントサービス、財務、総合的健康管理、患者アクセスソリューション、収益サイクルソリューションなどの、さまざまな医療管理、管理サービス、ビジネスプロセスソリューションをプロバイダーに提供するオフィスワーカー)
- サポートサービス(福利厚生管理、医療の統合、コミュニケーション、報酬および業績管理、施設および土地サービス、ヒューマンリソーステックシステム、情報サービス、内部監査およびプロセス改善など、医療以外のさまざまな機能を果たすオフィスワーカー)
- 慈善プログラム(慈善プログラムを支援するさまざまな機能を果たすオフィスワーカーとモバイルワーカー)
契約社員
- メーカーやベンダーのパートナー(オンサイト、またはサイト間VPN経由でリモート接続された、医療以外のさまざまなサポート機能を提供する人々)
上記の情報に基づいて、この医療機関では以下のエンティティを作成しました。XenMobileのデリバリーグループの詳細については、XenMobile製品ドキュメントの「リソースの展開」を参照してください。
Active Directory組織単位(OU)とグループ
OU = XenMobileリソース
- OU =医療; グループ=
- XM-看護師
- XM-医師
- XM-スペシャリスト
- XM-外部の医師
- XM-在宅医療サービス
- XM-研究スペシャリスト
- XM-教育と訓練
- OU =医療以外; グループ=
- XM-共通サービス
- XM-医療サービス
- XM-サポートサービス
- XM-慈善プログラム
XenMobileのローカルユーザーとグループ
グループ=契約社員、ユーザー=
- ベンダー1
- ベンダー2
- ベンダー3
- …ベンダー10
XenMobileデリバリーグループ
- 医療-看護師
- 医療-医師
- 医療-スペシャリスト
- 医療-外部の医師
- 医療-在宅医療サービス
- 医療-研究スペシャリスト
- 医療-教育と訓練
- 医療以外-共通サービス
- 医療以外-医療サービス
- 医療以外-サポートサービス
- 医療以外-慈善プログラム
デリバリーグループとユーザーグループのマッピング
| Active Directoryグループ | XenMobileデリバリーグループ |
| XM-看護師 | 医療-看護師 |
| XM-医師 | 医療-医師 |
| XM-スペシャリスト | 医療-スペシャリスト |
| XM-外部の医師 | 医療-外部の医師 |
| XM-在宅医療サービス | 医療-在宅医療サービス |
| XM-研究スペシャリスト | 医療-研究スペシャリスト |
| XM-教育と訓練 | 医療-教育と訓練 |
| XM-共通サービス | 医療以外-共通サービス |
| XM-医療サービス | 医療以外-医療サービス |
| XM-サポートサービス | 医療以外-サポートサービス |
| XM-慈善プログラム | 医療以外-慈善プログラム |
アプリのデリバリーグループとリソースのマッピング
| Secure Mail | Secure Web | ShareFile | Receiver | SalesForce1 | RSA SecurID | EpicCare Haiku | Epic Hyperspace | |
| 医療-看護師 | X | X | X | |||||
| 医療-医師 | ||||||||
| 医療-スペシャリスト | ||||||||
| 医療-外部の医師 | X | X | ||||||
| 医療-在宅医療サービス | X | X | ||||||
| 医療-研究スペシャリスト | X | X | ||||||
| 医療-教育と訓練 | X | X | ||||||
| 医療以外-共通サービス | X | X | ||||||
| 医療以外-医療サービス | X | X | ||||||
| 医療以外-サポートサービス | X | X | X | X | ||||
| 医療以外-慈善プログラム | X | X | X | X | ||||
| 契約社員 | X | X | X | X | X | X |
MDMリソースのデリバリーグループとリソースのマッピング
| MDM:パスコードポリシー | MDM:デバイスの制限事項 | MDM:自動化された操作 | MDM:Wi-Fiポリシー | |
| 医療-看護師 | X | |||
| 医療-医師 | X | |||
| 医療-スペシャリスト | ||||
| 医療-外部の医師 | ||||
| 医療-在宅医療サービス | ||||
| 医療-研究スペシャリスト | ||||
| 医療-教育と訓練 | ||||
| 医療以外-共通サービス | ||||
| 医療以外-医療サービス | ||||
| 医療以外-サポートサービス | ||||
| 医療以外-慈善プログラム | ||||
| 契約社員 | X |
注意事項と考慮事項
- XenMobileは初期構成時に「すべてのユーザー」というデフォルトのデリバリーグループを作成します。このデリバリーグループを無効にしないと、すべてのActive DirectoryユーザーにXenMobileへの登録権限が付与されます。
- XenMobileは、LDAPサーバーとの動的接続によりActive Directoryのユーザーとグループをオンデマンドで同期します。
- ユーザーがXenMobileにマップされていないグループに属している場合、そのユーザーは登録できません。同様に、ユーザーが複数のグループのメンバーである場合、XenMobileはユーザーをXenMobileにマップされているグループにのみ分類します。
- MDMの登録を必須にするには、XenMobileコンソールで [サーバープロパティ] の [登録が必要] オプションを [はい] に設定します。詳しくは、「サーバープロパティ」を参照してください。
- XenMobileデリバリーグループからユーザーグループを削除するには、dbo.userlistgrps内にあるSQL Serverデータベースのエントリを削除します。
注意:
この操作を実行する前に、XenMobileとデータベースのバックアップを作成してください。
XenMobileのデバイスの所有権について
ユーザーデバイスの所有者に応じてユーザーをグループ化できます。デバイスの所有権には、企業所有のデバイスと、BYOD(Bring Your Own Device)とも呼ばれるユーザー所有のデバイスがあります。XenMobileコンソールの2つの場所:[設定] ページの[展開規則]とXenMobile Serverプロパティで、BYODデバイスをネットワークに接続する方法を制御できます。展開規則の詳細については、XenMobileのドキュメントの「リソースの展開」を参照してください。サーバープロパティの詳細については、このハンドブックの「サーバープロパティ」を参照してください。
サーバープロパティを設定することで、すべてのBYODユーザーに対して企業によるデバイス管理を受け入れてからアプリにアクセスするように要求できます。または、ユーザーのデバイスを管理せずに、ユーザーに企業アプリへのアクセス権を付与することもできます。
サーバープロパティ wsapi.mdm.required.flag をtrueに設定すると、XenMobileがすべてのBYODデバイスを管理し、登録を拒否したユーザーはアプリへのアクセスが拒否されます。企業のITチームが登録中に高いセキュリティと優れたユーザーエクスペリエンスを必要とする環境では、wsapi.mdm.required.flagをtrueに設定することを検討してください。
wsapi.mdm.required.flag をデフォルト設定のfalseにしておくと、ユーザーは登録を拒否できます。ただし、ユーザーはXenMobile Storeからデバイス上のアプリにアクセスできます。プライバシー、法律、または規制上の制約によりデバイスの管理が不要で、エンタープライズアプリの管理のみが必要な環境では、wsapi.mdm.required.flagをfalseに設定することを検討してください。
XenMobileが管理しないデバイスを持つユーザーは、XenMobile Storeからアプリをインストールできます。選択的ワイプや完全なワイプなどのデバイスレベルの制御ではなく、アプリポリシーに従ってアプリへのアクセスを制御します。一部のポリシー設定では、デバイスがXenMobile Serverを定期的にチェックして、アプリの実行が引き続き許可されていることを確認する必要があります。