Modos de gerenciamento

Para cada instância do XenMobile (um único servidor ou um cluster de nós), você pode escolher se deseja gerenciar dispositivos, aplicativos ou ambos. O XenMobile usa os seguintes termos para os modos de gerenciamento de dispositivos e aplicativos, às vezes também chamados de modos de implantação:

  • Modo de gerenciamento de dispositivo móvel (modo MDM)
  • Modo de gerenciamento de aplicativo móvel (modo MAM)
  • Modo MDM+MAM (modo Empresarial)

Gerenciamento de dispositivo móvel (modo MDM)

Importante:

Se você configurar o modo MDM e depois mudar para o modo ENT, certifique-se de usar a mesma autenticação (Active Directory). O XenMobile não dá suporte à alteração para o modo de autenticação após o registro de usuário. Para obter mais informações, consulte Atualização.

Com o MDM, você pode configurar, proteger e dar suporte a dispositivos móveis. O MDM permite proteger dispositivos e dados em dispositivos no nível do sistema. Você pode configurar políticas, ações e funções de segurança. Por exemplo, você pode apagar um dispositivo seletivamente se o dispositivo for perdido, roubado ou estiver fora de conformidade. Embora o gerenciamento de aplicativos não esteja disponível no modo MDM, você pode entregar aplicativos móveis, como da loja de aplicativos pública e aplicativos corporativos, nesse modo. A seguir se encontram casos de uso comuns do modo MDM:

  • O MDM é uma consideração para dispositivos de propriedade corporativa em que são necessárias políticas ou restrições de gerenciamento no nível do dispositivo, como apagamento completo, apagamento seletivo ou localização geográfica.
  • Quando os clientes exigem o gerenciamento de um dispositivo real, mas não exigem políticas MDX, como conteinerização de aplicativos, controles no compartilhamento de dados de aplicativos ou micro VPN.
  • Quando os usuários só precisam de e-mails entregues a seus clientes de email nativos em seus dispositivos móveis, e o Exchange ActiveSync ou o Servidor de Acesso para Cliente já é acessível externamente. Nesse caso de uso, você pode usar o MDM para configurar a entrega de emails.
  • Quando você implanta aplicativos corporativos nativos (não MDX), aplicativos de loja de aplicativos pública ou aplicativos MDX entregues de lojas públicas. Considere que uma solução MDM sozinha não pode impedir o vazamento de dados de informações confidenciais entre aplicativos no dispositivo. O vazamento de dados pode ocorrer com operações de copiar e colar ou Salvar Como nos aplicativos do Office 365.

Gerenciamento de aplicativo móvel (modo MAM)

O MAM protege os dados do aplicativo e permite controlar o compartilhamento de dados de aplicativo. O MAM também permite o gerenciamento de dados e recursos corporativos, separadamente dos dados pessoais. Com o XenMobile configurado para o modo MAM, você pode usar aplicativos móveis habilitados para MDX para fornecer conteinerização e controle por aplicativo. O termo modo MAM também é chamado de modo somente MAM. Este termo distingue este modo de um modo MAM legado.

Aproveitando as políticas MDX, o XenMobile fornece controle em nível de aplicativo sobre o acesso à rede (como micro VPN), interação com aplicativos e dispositivos, criptografia de dados e acesso a aplicativos.

O modo MAM geralmente é adequado para dispositivos BYO (traga o seu próprio) porque, embora o dispositivo não seja gerenciado, os dados corporativos permanecem protegidos. O MDX tem mais de 50 políticas somente para MAM que podem ser definidas sem a necessidade de um controle do MDM ou sem depender de códigos secretos de dispositivos para criptografia.

O MAM também suporta os aplicativos móveis de produtividade. Esse suporte inclui entrega segura de e-mails para o Citrix Secure Mail, compartilhamento de dados entre aplicativos móveis de produtividade protegidos e armazenamento seguro de dados no ShareFile. Para obter detalhes, veja os aplicativos móveis de produtividade.

O MAM é geralmente adequado para os exemplos a seguir:

  • Você entrega aplicativos móveis, como aplicativos MDX, gerenciados no nível do aplicativo.
  • Você não é obrigado a gerenciar dispositivos no nível do sistema.

MDM+MAM (modo Empresarial)

O MDM+MAM é um modo híbrido, também chamado de Modo Empresarial, que habilita todos os conjuntos de recursos disponíveis na solução XenMobile Enterprise Mobility Management (EMM). A configuração do XenMobile com o modo MDM+MAM habilita os recursos do MDM e do MAM.

O XenMobile permite especificar se os usuários podem optar por desativar o gerenciamento de dispositivos ou se você precisa do gerenciamento de dispositivos. Essa flexibilidade é útil para ambientes que incluem uma mistura de casos de uso. Esses ambientes podem ou não exigir o gerenciamento de um dispositivo por meio de políticas do MDM para acessar seus recursos do MAM.

O MDM+MAM é adequado para os exemplos a seguir:

  • Você tem um único caso de uso no qual o MDM e o MAM são necessários. O MDM é necessário para acessar seus recursos do MAM.
  • Alguns casos de uso exigem MDM, enquanto outros não.
  • Alguns casos de uso exigem o MAM, enquanto outros não.

Você especifica o modo de gerenciamento do XenMobile Server por meio da propriedade Modo do Servidor. Você define a configuração no console XenMobile. O modo pode ser MDM, MAM ou ENT (para MDM+MAM).

A edição XenMobile para a qual você possui uma licença determina os modos de gerenciamento e outros recursos disponíveis, conforme mostrado na tabela a seguir.

     
XenMobile MDM Edition XenMobile Advanced Edition XenMobile Enterprise Edition
Recursos do MDM Recursos do MDM Recursos do MDM
- Recursos do MAM Recursos do MAM
- MDX Toolkit MDX Toolkit
Secure Hub Secure Hub Secure Hub
- Secure Mail Secure Mail
- Secure Web Secure Web
QuickEdit QuickEdit QuickEdit
- Secure Tasks Secure Tasks
- - ShareConnect
- - Secure Notes
- - ShareFile Enterprise Edition

Gerenciamento de dispositivos e registro do MDM

Um ambiente XenMobile Enterprise pode incluir uma mistura de casos de uso, alguns dos quais exigem gerenciamento de dispositivos por meio de políticas do MDM para permitir acesso a recursos do MAM. Antes de implantar aplicativos móveis de produtividade para os usuários, avalie completamente os casos de uso e decida se exigem o registro no MDM. Se posteriormente você decidir alterar o requisito de registro no MDM, é provável que os usuários tenham que registrar seus dispositivos novamente.

Nota: para especificar se é preciso ou não que os usuários se registrem no MDM, use a propriedade do XenMobile Server de Registro obrigatório no console XenMobile (Configurações > Propriedades do servidor). Essa propriedade de servidor global se aplica a todos os usuários e dispositivos da instância do XenMobile. A propriedade se aplica somente quando o Modo do XenMobile Server é ENT.

A seguir, você encontra um resumo das vantagens e desvantagens (juntamente com as atenuações) de exigir o registro do MDM em uma implantação do modo XenMobile Enterprise.

Quando o registro no MDM é opcional

Vantagens:

  • Os usuários podem acessar os recursos do MAM sem colocar seus dispositivos sob o gerenciamento do MDM. Esta opção pode aumentar a adoção do usuário.
  • Capacidade acessar os recursos do MAM com segurança para proteger dados corporativos.
  • Políticas de MDX, como Código secreto de aplicativo, podem controlar o acesso a aplicativos para cada aplicativo MDX.
  • Configurar o tempo de espera do NetScaler, do XenMobile Server e por aplicativo, juntamente com o Citrix PIN, fornece uma camada extra de proteção.
  • Embora as ações do MDM não se apliquem ao dispositivo, algumas políticas de MDX estão disponíveis para negar o acesso ao MAM. A negação seria baseada nas configurações do sistema, como dispositivos com jailbreak ou root.
  • Os usuários podem optar por registrar seus dispositivos no MDM durante o primeiro uso.

Desvantagens:

  • Os recursos do MAM estão disponíveis para dispositivos não registrados no MDM.
  • As políticas e ações do MDM estão disponíveis apenas para dispositivos registrados no MDM.

Opções de atenuação:

  • Solicite que os usuários concordem com os termos e condições da empresa e se responsabilizem caso decidam não atender à conformidade. Solicite que os administradores monitorem dispositivos não gerenciados.
  • Gerencie o acesso e a segurança do aplicativo usando timers de aplicativos. Valores de tempo limite reduzidos aumentam a segurança, mas podem afetar a experiência do usuário.
  • Um segundo ambiente XenMobile com registro no MDM é uma opção. Ao considerar essa opção, tenha em mente a sobrecarga de gerenciar dois ambientes e os recursos adicionais necessários.

Quando o registro no MDM é necessário

Vantagens:

  • Capacidade de restringir o acesso a recursos do MAM apenas de dispositivos gerenciados pelo MDM.
  • As políticas e ações do MDM podem ser aplicadas a todos os dispositivos no ambiente, conforme desejado.
  • Os usuários não podem desativar o registro do dispositivo.

Desvantagens:

  • Requer que todos os usuários se registrem no MDM.
  • Pode diminuir a adoção por usuários que se opõem ao gerenciamento corporativo de seus dispositivos pessoais.

Opções de atenuação:

  • Informe os usuários sobre o que o XenMobile realmente gerencia em seus dispositivos e quais informações os administradores podem acessar.
  • Você pode usar um segundo ambiente XenMobile, com um modo de servidor de MAM (também chamado de modo somente MAM), para dispositivos que não precisam de gerenciamento do MDM. Ao considerar essa opção, tenha em mente a sobrecarga de gerenciar dois ambientes e os recursos adicionais necessários.

Sobre os modos MAM e MAM Legado

O XenMobile 10.3.5 introduziu um novo modo de servidor Somente MAM. Para distinguir os modos MAM anterior e novo, a documentação usa estes termos. O novo modo é chamado Somente MAM ou MA, o modo MAM anterior é chamado de modo MAM Legado.

O modo somente MAM estará em vigor quando a propriedade Modo de Servidor do XenMobile for MAM. Os dispositivos se registram no modo MAM.

A funcionalidade do MAM legado estará em vigor quando a propriedade Modo de Servidor do XenMobile for ENT e os usuários recusarem o gerenciamento de dispositivo. Nesse caso, os dispositivos se registram no modo MAM. Os usuários que optam pelo gerenciamento do MDM continuam recebendo a funcionalidade do MAM Legado.

Nota: anteriormente, definir a propriedade Modo de Servidor como MAM tinha o mesmo efeito que defini-la como ENT: os usuários que recusavam o gerenciamento MDM recebiam a funcionalidade do MAM legado.

A seguinte tabela resume a configuração do Modo de Servidor a ser usada para um tipo específico de licença e o modo de dispositivo desejado:

     
Suas licenças são desta edição Você deseja que os dispositivos se registrem neste modo Defina a propriedade Modo de Servidor como
Enterprise/Advanced/MDM Modo MDM MDM
Enterprise/Advanced Modo MAM (também chamado de modo somente MAM) MAM
Enterprise/Advanced Modo MDM+MAM ENT (Os usuários que recusam o gerenciamento de dispositivo operam sob o modo MAM legado.)

O modo somente MAM suporta os seguintes recursos anteriormente disponíveis apenas para ENT. Esses recursos não estão disponíveis para o Windows Phone.

  • Autenticação baseada em certificado: o modo somente MAM oferece suporte à autenticação baseada em certificado. Os usuários terão acesso contínuo aos aplicativos mesmo quando a senha do Active Directory expirar. Se você usa autenticação baseada em certificado para dispositivos MAM, você deve configurar seu NetScaler Gateway. Por padrão, nas Configurações do XenMobile> NetScaler Gateway, Entregar certificado de usuário para autenticação está Desativado, o que significa que a autenticação de nome e senha de usuário é usada. Altere essa configuração para Ativado para ativar a autenticação de certificado.
  • Portal de Autoajuda: para permitir que os usuários executem suas próprias operações de bloqueio de aplicativo e apagamento de aplicativo. Essas ações se aplicam a todos os aplicativos no dispositivo. Você pode configurar as ações Bloqueio de aplicativo e Apagamento de aplicativos em Configurar > Ações.
  • Todos os modos de registro: incluindo Alta Segurança, URL de Convite e Dois Fatores, configurados por meio de Gerenciar > Convites de registro.
  • Limite de registro do dispositivo para dispositivos Android e iOS: a propriedade do servidor Número de dispositivos por usuário foi movida para Configurar > Perfis de registro e agora se aplica a todos os modos do servidor.
  • APIs somente MAM: para dispositivos somente MAM, você pode chamar os serviços REST usando qualquer cliente REST e a API REST do XenMobile para chamar os serviços que o console XenMobile expõe.
  • As APIs somente MAM permitem:
    • Enviar uma URL de convite e um PIN de uso único.
    • Emitir ações de bloqueio e apagamento de aplicativos em dispositivos.

A tabela a seguir resume as diferenças entre a funcionalidade MAM legado e somente MAM.

     
Cenários de registro e outros recursos MAM legado (o modo de servidor é ENT) Modo somente MAM (o modo de servidor é MAM)
Autenticação de certificado Não compatível. Compatível. Para a autenticação de certificado, o NetScaler Gateway é necessário.
Requisito de implantação O Servidor XenMobile não precisa ser diretamente acessível dos dispositivos. O Servidor XenMobile não precisa ser diretamente acessível dos dispositivos.
Opção de registro Use o FQDN do NetScaler Gateway ou, ao usar o FQDN do MDM, opte por não se registrar. Use o FQDN do Servidor XenMobile.
Métodos de registro* Nome de usuário + Senha Nome de usuário + Senha, Alta Segurança, URL de Convite, URL de Convite + PIN, URL de Convite + Senha, Dois Fatores, Nome de usuário + PIN
Bloqueio e apagamento de aplicativos Compatível. Compatível.
Opções do Portal de Autoajuda para bloqueio e apagamento de aplicativos Não compatível. Compatível.
Comportamento do apagamento de aplicativos Os aplicativos permanecem no dispositivo, mas não são utilizáveis. O XenMobile exclui a conta apenas no cliente. Os aplicativos permanecem no dispositivo, mas não são utilizáveis. O XenMobile exclui a conta apenas no cliente.
Ações automatizadas para os usuários somente MAM. As ações de evento, propriedade de dispositivo e propriedade de usuário são compatíveis. Não suporta ações automatizadas baseadas em aplicativos instaladas. Suporta evento, propriedade de dispositivo, propriedade de usuário e algumas ações baseadas em aplicativo, incluindo apagamento de aplicativo e bloqueio de aplicativo.
Ação interna quando um usuário do Active Directory é excluído Suporta apagamento de aplicativos. Suporta apagamento de aplicativos.
Limite de registro Compatível; configurado por meio de um perfil de registro. Compatível; configurado por meio de um perfil de registro.
Inventário de software Compatível. O XenMobile lista aplicativos instalados em um dispositivo Não compatível.

*Em relação às notificações: o SMTP é o único método suportado para enviar convites de registro.

Importante:

Para o modo somente MAM, os usuários registrados anteriormente devem registrar seus dispositivos novamente. Forneça aos usuários o FQDN do XenMobile Server que eles precisam para o registro. No modo somente MAM, como no modo ENT, os dispositivos se registram usando o FQDN do XenMobile Server. (No modo MAM legado, os dispositivos se registram usando o FQDN do NetScaler Gateway.)