Segurança e Experiência do Usuário
A segurança é importante para qualquer organização, mas é preciso encontrar um equilíbrio entre segurança e experiência do usuário. Por exemplo, você pode ter um ambiente altamente seguro que é difícil para os usuários utilizarem. Ou, seu ambiente pode ser tão fácil de usar que o controle de acesso não é tão rigoroso. As outras seções deste manual virtual cobrem os recursos de segurança em detalhes. O objetivo deste artigo é fornecer uma visão geral das preocupações comuns de segurança e das opções de segurança disponíveis no XenMobile.
Aqui estão algumas considerações importantes a ter em mente para cada caso de uso:
- Você quer proteger apenas alguns aplicativos, o dispositivo inteiro ou ambos?
- Como você quer que seus usuários autentiquem sua identidade? Você planeja usar LDAP, autenticação baseada em certificado ou uma combinação dos dois?
- Como você quer lidar com os tempos limite de sessão do usuário? Lembre-se de que existem diferentes valores de tempo limite para serviços em segundo plano, Citrix ADC e para poder acessar aplicativos offline.
- Você quer que os usuários configurem uma senha no nível do dispositivo, uma senha no nível do aplicativo ou ambos? Quantas tentativas de logon você quer permitir aos usuários? Lembre-se de como os requisitos extras de autenticação por aplicativo implementados com o MAM podem impactar a experiência do usuário.
- Que outras restrições você quer impor aos usuários? Você quer que os usuários acessem serviços de nuvem como a Siri? O que eles podem e não podem fazer com cada aplicativo que você disponibiliza a eles? Você quer implantar políticas de Wi-Fi corporativo para evitar que planos de dados celulares sejam consumidos dentro dos escritórios?
Aplicativo versus Dispositivo
Uma das primeiras coisas a considerar é se você quer proteger apenas alguns aplicativos usando o gerenciamento de aplicativos móveis (MAM). Ou se você também quer gerenciar o dispositivo inteiro usando o gerenciamento de dispositivos móveis (MDM). Mais comumente, se você não exige controle no nível do dispositivo, você gerencia apenas aplicativos móveis, especialmente se sua organização suporta Traga Seu Próprio Dispositivo (BYOD).
Usuários com dispositivos que o XenMobile não gerencia podem instalar aplicativos através da loja de aplicativos. Em vez de controles no nível do dispositivo, como limpeza seletiva ou completa, você controla o acesso aos aplicativos através de políticas de aplicativo. As políticas, dependendo dos valores que você define, exigem que o dispositivo verifique o XenMobile rotineiramente para confirmar que os aplicativos ainda têm permissão para serem executados.
O MDM permite que você proteja um dispositivo inteiro, incluindo a capacidade de fazer um inventário de todo o software em um dispositivo. Você pode impedir o registro se o dispositivo estiver com jailbreak, root ou tiver software inseguro instalado. No entanto, assumir esse nível de controle faz com que os usuários fiquem receosos de permitir tanto poder sobre seus dispositivos pessoais e pode reduzir as taxas de registro.
Autenticação
A autenticação é onde grande parte da experiência do usuário acontece. Se sua organização já está executando o Active Directory, usar o Active Directory é a maneira mais simples de fazer com que seus usuários acessem o sistema.
Outra parte significativa da experiência do usuário de autenticação são os tempos limite. Um ambiente de alta segurança pode fazer com que os usuários façam logon toda vez que acessam o sistema, mas essa opção não é ideal para todas as organizações. Por exemplo, fazer com que os usuários insiram suas credenciais toda vez que querem acessar seu e-mail pode impactar significativamente a experiência do usuário.
Entropia do Usuário
Para segurança adicional, você pode habilitar um recurso chamado entropia do usuário. O Citrix Secure Hub™ e alguns outros aplicativos frequentemente compartilham dados comuns como senhas, PINs e certificados para garantir que tudo funcione corretamente. Essas informações são armazenadas em um cofre genérico dentro do Secure Hub. Se você habilitar a entropia do usuário através da opção “Criptografar Segredos”, o XenMobile cria um novo cofre chamado UserEntropy. O XenMobile move as informações do cofre genérico para o novo cofre. Para que o Secure Hub ou outro aplicativo acesse os dados, os usuários devem inserir uma senha ou PIN.
Habilitar a entropia do usuário adiciona outra camada de autenticação em vários locais. Como resultado, os usuários devem inserir uma senha ou PIN cada vez que um aplicativo exige acesso a dados compartilhados, incluindo certificados, no cofre UserEntropy.
Você pode aprender mais sobre a entropia do usuário lendo Sobre o MDX Toolkit na documentação do XenMobile. Para ativar a entropia do usuário, você pode encontrar as configurações relacionadas nas Propriedades do cliente.
Políticas
Tanto as políticas MDX quanto as MDM oferecem grande flexibilidade às organizações, mas também podem restringir os usuários. Por exemplo, você pode querer bloquear o acesso a aplicativos de nuvem, como Siri ou iCloud, que têm o potencial de enviar dados confidenciais para vários locais. Você pode configurar uma política para bloquear o acesso a esses serviços, mas lembre-se de que tal política pode ter consequências não intencionais. O microfone do teclado do iOS também depende do acesso à nuvem e você pode bloquear o acesso a esse recurso também.
Aplicativos
O Gerenciamento de Mobilidade Empresarial (EMM) se divide em Gerenciamento de Dispositivos Móveis (MDM) e Gerenciamento de Aplicativos Móveis (MAM). Enquanto o MDM permite que as organizações protejam e controlem dispositivos móveis, o MAM facilita a entrega e o gerenciamento de aplicativos. Com a crescente adoção do BYOD, você pode tipicamente implementar uma solução MAM para auxiliar na entrega de aplicativos, licenciamento de software, configuração e gerenciamento do ciclo de vida do aplicativo.
Com o XenMobile, você pode ir um passo além para proteger esses aplicativos configurando políticas MAM específicas e configurações de VPN para evitar vazamentos de dados e outras ameaças de segurança. O XenMobile oferece às organizações a flexibilidade para implantar qualquer uma das seguintes soluções:
- Ambiente somente MAM
- Ambiente somente MDM
- Ambiente unificado XenMobile Enterprise que fornece funcionalidade MDM e MAM na mesma plataforma
Além da capacidade de entregar aplicativos a dispositivos móveis, o XenMobile oferece a conteinerização de aplicativos através da tecnologia MDX. O MDX protege os aplicativos através de criptografia que é separada da criptografia no nível do dispositivo fornecida pela plataforma. Você pode limpar ou bloquear o aplicativo, e os aplicativos estão sujeitos a controles granulares baseados em políticas. Fornecedores independentes de software (ISVs) podem aplicar esses controles usando o Mobile Apps SDK.
Em um ambiente corporativo, os usuários utilizam vários aplicativos móveis para auxiliar em sua função de trabalho. Os aplicativos podem incluir aplicativos da loja de aplicativos pública, aplicativos desenvolvidos internamente e aplicativos nativos. O XenMobile categoriza esses aplicativos da seguinte forma:
Aplicativos públicos: Esses aplicativos incluem aplicativos gratuitos ou pagos disponíveis em uma loja de aplicativos pública, como a Apple App Store ou o Google Play. Fornecedores externos à organização frequentemente disponibilizam seus aplicativos em lojas de aplicativos públicas. Essa opção permite que seus clientes baixem os aplicativos diretamente da Internet. Você pode usar vários aplicativos públicos em sua organização, dependendo das necessidades dos usuários. Exemplos de tais aplicativos incluem GoToMeeting, Salesforce e aplicativos EpicCare.
A Citrix não oferece suporte ao download de binários de aplicativos diretamente de lojas de aplicativos públicas e, em seguida, ao empacotamento deles com o MDX Toolkit para distribuição empresarial. Para habilitar aplicativos de terceiros com MDX, entre em contato com o fornecedor do aplicativo para obter os binários do aplicativo. Você pode empacotar os binários usando o MDX Toolkit ou integrar o MAM SDK com os binários.
Aplicativos internos: Muitas organizações têm desenvolvedores internos que criam aplicativos que fornecem funcionalidades específicas e são desenvolvidos e distribuídos independentemente dentro da organização. Em certos casos, algumas organizações também podem ter aplicativos fornecidos por ISVs. Você pode implantar esses aplicativos como aplicativos nativos ou pode conteinerizá-los usando uma solução MAM, como o XenMobile. Por exemplo, uma organização de saúde pode criar um aplicativo interno que permite aos médicos visualizar informações de pacientes em dispositivos móveis. Uma organização pode então habilitar o MAM SDK ou empacotar o MDM o aplicativo para proteger as informações do paciente e habilitar o acesso VPN ao servidor de banco de dados de pacientes de back-end.
Aplicativos Web e SaaS: Esses aplicativos incluem aplicativos acessados de uma rede interna (aplicativos Web) ou de uma rede pública (SaaS). O XenMobile também permite que você crie aplicativos Web e SaaS personalizados usando uma lista de conectores de aplicativos. Esses conectores de aplicativos podem facilitar o logon único (SSO) para aplicativos Web existentes. Para obter detalhes, consulte Tipos de conectores de aplicativos. Por exemplo, você pode usar o Google Apps SAML para SSO baseado em Security Assertion Markup Language (SAML) para o Google Apps.
Aplicativos de produtividade móvel: Aplicativos desenvolvidos pela Citrix que estão incluídos na licença do XenMobile. Para obter detalhes, consulte Sobre aplicativos de produtividade móvel. A Citrix também oferece outros aplicativos prontos para negócios que os ISVs desenvolvem usando o Mobile Apps SDK.
Aplicativos HDX: Aplicativos hospedados no Windows que você publica com o StoreFront. Se você tiver um ambiente Citrix Virtual Apps and Desktops™, você pode integrar os aplicativos com o XenMobile para disponibilizá-los aos usuários registrados.
Dependendo do tipo de aplicativos móveis que você planeja implantar e gerenciar com o XenMobile, a configuração e a arquitetura subjacentes diferem. Por exemplo, se vários grupos de usuários com diferentes níveis de permissão consomem um único aplicativo, você pode precisar de grupos de entrega separados para implantar duas versões do aplicativo. Além disso, você deve garantir que a associação ao grupo de usuários seja mutuamente exclusiva para evitar incompatibilidades de política nos dispositivos dos usuários.
Você também pode querer gerenciar o licenciamento de aplicativos iOS usando a compra por volume da Apple. Esta opção exige que você se registre para a compra por volume da Apple e configure as configurações de compra por volume do XenMobile no console do XenMobile para distribuir os aplicativos com as licenças de compra por volume. Vários desses casos de uso tornam importante avaliar e planejar sua estratégia MAM antes de implementar o ambiente XenMobile. Você pode começar a planejar sua estratégia MAM definindo o seguinte:
Tipos de aplicativos: Liste os diferentes tipos de aplicativos que você planeja oferecer suporte e, em seguida, categorize-os. Por exemplo: aplicativos públicos, nativos, de produtividade móvel, Web, internos, de ISV e assim por diante. Além disso, categorize os aplicativos para diferentes plataformas de dispositivo, como iOS e Android. Essa categorização ajuda a alinhar as configurações do XenMobile necessárias para cada tipo de aplicativo. Por exemplo, certos aplicativos podem não se qualificar para wrapping ou podem exigir o SDK de Aplicativos Móveis para habilitar APIs especiais para interação com outros aplicativos.
Requisitos de rede: Configure aplicativos com requisitos específicos de acesso à rede com as configurações apropriadas. Por exemplo, certos aplicativos podem precisar de acesso à sua rede interna por meio de uma VPN. Alguns aplicativos podem exigir acesso à Internet para rotear o acesso via DMZ. Para permitir que esses aplicativos se conectem à rede necessária, você deve configurar várias definições de acordo. Definir os requisitos de rede por aplicativo ajuda a finalizar suas decisões arquitetônicas antecipadamente, o que simplifica o processo geral de implementação.
Requisitos de segurança: É fundamental definir os requisitos de segurança que se aplicam a aplicativos individuais ou a todos os aplicativos. Esse planejamento garante que você crie as configurações corretas ao instalar o XenMobile Server. Embora configurações como as políticas MDX se apliquem a aplicativos individuais, as configurações de sessão e autenticação se aplicam a todos os aplicativos. Alguns aplicativos podem ter requisitos específicos de criptografia, containerization, wrapping, autenticação, geofencing, senha ou compartilhamento de dados que você pode descrever antecipadamente para simplificar sua implantação.
Requisitos de implantação: Você pode querer usar uma implantação baseada em política para permitir que apenas usuários compatíveis baixem os aplicativos publicados. Por exemplo, você pode querer que certos aplicativos exijam qualquer um dos seguintes:
- criptografia baseada na plataforma do dispositivo esteja habilitada
- o dispositivo seja gerenciado
- o dispositivo atenda a uma versão mínima do sistema operacional
- certos aplicativos estejam disponíveis apenas para usuários corporativos
Você também pode querer que certos aplicativos estejam disponíveis apenas para usuários corporativos. Descreva esses requisitos antecipadamente para que você possa configurar as regras ou ações de implantação apropriadas.
Requisitos de licenciamento: Mantenha um registro dos requisitos de licenciamento relacionados a aplicativos. Essas anotações ajudam você a gerenciar o uso da licença de forma eficaz e a decidir se deve configurar recursos específicos no XenMobile para facilitar o licenciamento. Por exemplo, se você implantar um aplicativo iOS gratuito ou pago, a Apple impõe requisitos de licenciamento ao aplicativo, exigindo que os usuários façam login em sua conta do iTunes. Você pode se registrar para a compra em volume da Apple para distribuir e gerenciar esses aplicativos via XenMobile. A compra em volume permite que os usuários baixem os aplicativos sem precisar fazer login em sua conta do iTunes. Além disso, ferramentas como Samsung SAFE e Samsung Knox têm requisitos especiais de licenciamento, que você precisa concluir antes de implantar esses recursos.
Requisitos de lista de permissões e lista de bloqueios: Você provavelmente deseja impedir que os usuários instalem ou usem alguns aplicativos. Crie uma lista de permissões de aplicativos que tornam um dispositivo não compatível. Em seguida, configure políticas para serem acionadas quando um dispositivo se tornar não compatível. Por outro lado, um aplicativo pode ser aceitável para uso, mas pode estar na lista de bloqueios por algum motivo. Nesse caso, você pode adicionar o aplicativo a uma lista de permissões e indicar que o aplicativo é aceitável para uso, mas não é obrigatório. Além disso, lembre-se de que os aplicativos pré-instalados em novos dispositivos podem incluir alguns aplicativos comumente usados que não fazem parte do sistema operacional. Esses aplicativos podem entrar em conflito com sua estratégia de lista de bloqueios.
Caso de uso de aplicativos
Uma organização de saúde planeja implantar o XenMobile para servir como uma solução MAM para seus aplicativos móveis. Os aplicativos móveis são entregues a usuários corporativos e BYOD. A TI decide entregar e gerenciar os seguintes aplicativos:
- Aplicativos de produtividade móvel: Aplicativos iOS e Android fornecidos pela Citrix.
- Secure Mail: Aplicativo de e-mail, calendário e contatos.
- Secure Web: Navegador web seguro que fornece acesso à Internet e a sites da intranet.
- Citrix Files: Aplicativo para acessar dados compartilhados e para compartilhar, sincronizar e editar arquivos.
Loja de aplicativos pública
- Secure Hub: Cliente usado por todos os dispositivos móveis para se comunicar com o XenMobile. A TI envia configurações de segurança, configurações e aplicativos móveis para dispositivos móveis via cliente Secure Hub. Dispositivos Android e iOS se registram no XenMobile através do Secure Hub.
- Citrix Receiver™: Aplicativo móvel que permite aos usuários abrir aplicativos hospedados pelo Virtual Apps and Desktops em dispositivos móveis.
- GoToMeeting: Um cliente de reunião online, compartilhamento de desktop e videoconferência que permite aos usuários se reunir com outros usuários de computador, clientes ou colegas via Internet em tempo real.
- Salesforce1: O Salesforce1 permite que os usuários acessem o Salesforce a partir de dispositivos móveis e reúne todos os Chatter, CRM, aplicativos personalizados e processos de negócios em uma experiência unificada para qualquer usuário do Salesforce.
- RSA SecurID: Token baseado em software para autenticação de dois fatores.
-
Aplicativos EpicCare: Esses aplicativos fornecem aos profissionais de saúde acesso seguro e portátil a prontuários de pacientes, listas de pacientes, agendamentos e mensagens.
- Haiku: Aplicativo móvel para iPhone e telefones Android.
- Canto: Aplicativo móvel para iPad.
- Rover: Aplicativos móveis para iPhone e iPad.
HDX: Esses aplicativos são entregues via Citrix Virtual Apps™ e Desktops.
- Epic Hyperspace: Aplicativo cliente Epic para gerenciamento de prontuários eletrônicos.
ISV
- Vocera: Aplicativo móvel de voz sobre IP e mensagens compatível com HIPAA que estende os benefícios da tecnologia de voz Vocera a qualquer hora, em qualquer lugar, via smartphones iPhone e Android.
Aplicativos internos
- HCMail: Aplicativo que ajuda a compor mensagens criptografadas, pesquisar catálogos de endereços em servidores de e-mail internos e enviar as mensagens criptografadas para os contatos usando um cliente de e-mail.
Aplicativos web internos
- PatientRounding: Aplicativo web usado para registrar informações de saúde do paciente por diferentes departamentos.
- Outlook Web Access: Permite o acesso a e-mails via navegador web.
- SharePoint: Usado para compartilhamento de arquivos e dados em toda a organização.
A tabela a seguir lista as informações básicas necessárias para a configuração do MAM.
| Nome do Aplicativo | Tipo de Aplicativo | MDX Wrapping | iOS | Android |
| Secure Mail | Aplicativo XenMobile | Não para a versão 10.4.1 e posteriores | Sim | Sim |
| Secure Web | Aplicativo XenMobile | Não para a versão 10.4.1 e posteriores | Sim | Sim |
| Citrix Files | Aplicativo XenMobile | Não para a versão 10.4.1 e posteriores | Sim | Sim |
| Secure Hub | Aplicativo Público | NA | Sim | Sim |
| Citrix Receiver | Aplicativo Público | NA | Sim | Sim |
| GoToMeeting | Aplicativo Público | NA | Sim | Sim |
| Salesforce1 | Aplicativo Público | NA | Sim | Sim |
| RSA SecurID | Aplicativo Público | NA | Sim | Sim |
| Epic Haiku | Aplicativo Público | NA | Sim | Sim |
| Epic Canto | Aplicativo Público | NA | Sim | Não |
| Epic Rover | Aplicativo Público | NA | Sim | Não |
| Epic Hyperspace | Aplicativo HDX™ | NA | Sim | Sim |
| Vocera | Aplicativo ISV | Sim | Sim | Sim |
| HCMail | Aplicativo Interno | Sim | Sim | Sim |
| PatientRounding | Aplicativo Web | NA | Sim | Sim |
| Outlook Web Access | Aplicativo Web | NA | Sim | Sim |
| SharePoint | Aplicativo Web | NA | Sim | Sim |
As tabelas a seguir listam os requisitos específicos que você pode consultar ao configurar as políticas MAM no XenMobile.
| Nome do Aplicativo | VPN Necessária | Interação | Interação | Criptografia Baseada na Plataforma do Dispositivo |
| (com aplicativos fora do contêiner) | (de aplicativos fora do contêiner) | |||
|---|---|---|---|---|
| Secure Mail | S | Permitido Seletivamente | Permitido | Não necessário |
| Secure Web | S | Permitido | Permitido | Não necessário |
| Citrix Files | S | Permitido | Permitido | Não necessário |
| Secure Hub | S | N/A | N/A | N/A |
| Citrix Receiver | S | N/A | N/A | N/A |
| GoToMeeting | N | N/A | N/A | N/A |
| Salesforce1 | N | N/A | N/A | N/A |
| RSA SecurID | N | N/A | N/A | N/A |
| Epic Haiku | S | N/A | N/A | N/A |
| Epic Canto | S | N/A | N/A | N/A |
| Epic Rover | S | N/A | N/A | N/A |
| Epic Hyperspace | S | N/A | N/A | N/A |
| Vocera | S | Bloqueado | Bloqueado | Não necessário |
| HCMail | S | Bloqueado | Bloqueado | Necessário |
| PatientRounding | S | N/A | N/A | Necessário |
| Outlook Web Access | S | N/A | N/A | Não necessário |
| SharePoint | S | N/A | N/A | Não necessário |
| Nome do Aplicativo | Filtragem de Proxy | Licenciamento | Geo-fencing | SDK de Aplicativos Móveis | Versão Mínima do Sistema Operacional |
|---|---|---|---|---|---|
| Secure Mail | Necessário | N/A | Necessário Seletivamente | N/A | Imposto |
| Secure Web | Necessário | N/A | Não necessário | N/A | Imposto |
| Citrix Files | Necessário | N/A | Não necessário | N/A | Imposto |
| Secure Hub | Não necessário | Compra em volume | Não necessário | N/A | Não imposto |
| Citrix Receiver | Não necessário | Compra em volume | Não necessário | N/A | Não imposto |
| GoToMeeting | Não necessário | Compra em volume | Não necessário | N/A | Não imposto |
| Salesforce1 | Não necessário | Compra em volume | Não necessário | N/A | Não imposto |
| RSA SecurID | Não necessário | Compra em volume | Não necessário | N/A | Não imposto |
| Epic Haiku | Não necessário | Compra em volume | Não necessário | N/A | Não imposto |
| Epic Canto | Não necessário | Compra em volume | Não necessário | N/A | Não imposto |
| Epic Rover | Não necessário | Compra em volume | Não necessário | N/A | Não imposto |
| Epic Hyperspace | Não necessário | N/A | Não necessário | N/A | Não imposto |
| Vocera | Necessário | N/A | Necessário | Necessário | Imposto |
| HCMail | Necessário | N/A | Necessário | Necessário | Imposto |
| PatientRounding | Necessário | N/A | Não necessário | N/A | Não imposto |
| Outlook Web Access | Necessário | N/A | Não necessário | N/A | Não imposto |
| SharePoint | Necessário | N/A | Não necessário | N/A | Não imposto |
Comunidades de Usuários
Toda organização é composta por diversas comunidades de usuários que operam em diferentes funções. Essas comunidades de usuários realizam diferentes tarefas e funções de escritório usando vários recursos que você fornece por meio dos dispositivos móveis dos usuários. Os usuários podem trabalhar em casa ou em escritórios remotos usando dispositivos móveis que você fornece. Ou, os usuários podem usar seus dispositivos móveis pessoais, o que lhes permite acessar ferramentas que estão sujeitas a certas regras de conformidade de segurança.
À medida que mais comunidades de usuários utilizam dispositivos móveis, o Enterprise Mobility Management (EMM) torna-se crítico para evitar vazamentos de dados e para impor restrições de segurança. Para um gerenciamento de dispositivos móveis eficiente e mais sofisticado, você pode categorizar suas comunidades de usuários. Isso simplifica o mapeamento de usuários para recursos e garante que as políticas de segurança corretas se apliquem aos usuários certos.
O exemplo a seguir ilustra como as comunidades de usuários de uma organização de saúde são classificadas para EMM.
Caso de uso de comunidades de usuários
Esta organização de saúde de exemplo fornece recursos de tecnologia e acesso a vários usuários, incluindo funcionários de rede e afiliados e voluntários. A organização optou por implementar a solução EMM apenas para usuários não executivos.
As funções e papéis dos usuários para esta organização podem ser divididos em subgrupos, incluindo: clínicos, não clínicos e contratados. Um conjunto selecionado de usuários recebe dispositivos móveis corporativos, enquanto outros podem acessar recursos limitados da empresa a partir de seus dispositivos pessoais. Para impor o nível certo de restrições de segurança e evitar vazamentos de dados, a organização decidiu que a TI corporativa gerencia cada dispositivo registrado, seja ele emitido pela empresa ou BYOD. Além disso, os usuários podem registrar apenas um único dispositivo.
A seção a seguir fornece uma visão geral das funções e papéis de cada subgrupo:
Clínicos
- Enfermeiros
- Médicos (Clínicos gerais, Cirurgiões e assim por diante)
- Especialistas (Nutricionistas, anestesiologistas, radiologistas, cardiologistas, oncologistas e assim por diante)
- Médicos externos (Médicos não funcionários e trabalhadores de escritório que trabalham em escritórios remotos)
- Serviços de Saúde Domiciliar (Trabalhadores de escritório e móveis que prestam serviços médicos para visitas domiciliares a pacientes)
- Especialista em Pesquisa (Trabalhadores do Conhecimento e Usuários Avançados em seis Institutos de Pesquisa que realizam pesquisa clínica para encontrar respostas para questões na medicina)
- Educação e Treinamento (Enfermeiros, médicos e especialistas em educação e treinamento)
Não Clínicos
- Serviços Compartilhados (Trabalhadores de escritório que executam várias funções de back office, incluindo: RH, Folha de Pagamento, Contas a Pagar, Serviço de Cadeia de Suprimentos e assim por diante)
- Serviços Médicos (Trabalhadores de escritório que executam vários serviços de gerenciamento de saúde, serviços administrativos e soluções de processos de negócios para provedores, incluindo: Serviços Administrativos, Análise e Business Intelligence, Sistemas de Negócios, Serviços ao Cliente, Finanças, Administração de Cuidados Gerenciados, Soluções de Acesso ao Paciente, Soluções de Ciclo de Receita e assim por diante)
- Serviços de Suporte (Trabalhadores de escritório que executam várias funções não clínicas, incluindo: Administração de Benefícios, Integração Clínica, Comunicações, Gestão de Remuneração e Desempenho, Serviços de Instalações e Propriedades, Sistemas de Tecnologia de RH, Serviços de Informação, Auditoria Interna e Melhoria de Processos e assim por diante.)
- Programas Filantrópicos (Trabalhadores de escritório e móveis que executam várias funções em apoio a programas filantrópicos)
Contratados
- Parceiros fabricantes e fornecedores (No local e conectados remotamente via VPN site a site, fornecendo várias funções de suporte não clínicas)
Com base nas informações anteriores, a organização criou as seguintes entidades. Para obter mais informações sobre grupos de entrega no XenMobile, consulte Implantar recursos.
Unidades Organizacionais (OUs) e Grupos do Active Directory
Para OU = Recursos do XenMobile:
- OU = Clinical; Grupos =
- XM-Nurses
- XM-Physicians
- XM-Specialists
- XM-Outside Physicians
- XM-Home Health Services
- XM-Research Specialist
- XM-Education and Training
- OU = Non-Clinical; Grupos =
- XM-Shared Services
- XM-Physician Services
- XM-Support Services
- XM-Philanthropic Programs
Usuários e Grupos Locais do XenMobile
Para Grupo= Contratados, Usuários =
- Vendor1
- Vendor2
- Vendor 3
- … Vendor 10
Grupos de Entrega do XenMobile
- Clinical-Nurses
- Clinical-Physicians
- Clinical-Specialists
- Clinical-Outside Physicians
- Clinical-Home Health Services
- Clinical-Research Specialist
- Clinical-Education and Training
- Non-Clinical-Shared Services
- Non-Clinical-Physician Services
- Non-Clinical-Support Services
- Non-Clinical-Philanthropic Programs
Mapeamento de Grupo de Entrega e Grupo de Usuários
| Grupos do Active Directory | Grupos de Entrega do XenMobile |
| XM-Nurses | Clinical-Nurses |
| XM-Physicians | Clinical-Physicians |
| XM-Specialists | Clinical-Specialists |
| XM-Outside Physicians | Clinical-Outside Physicians |
| XM-Home Health Services | Clinical-Home Health Services |
| XM-Research Specialist | Clinical-Research Specialist |
| XM-Education and Training | Clinical-Education and Training |
| XM-Shared Services | Non-Clinical-Shared Services |
| XM-Physician Services | Non-Clinical-Physician Services |
| XM-Support Services | Non-Clinical-Support Services |
| XM-Philanthropic Programs | Non-Clinical-Philanthropic Programs |
Mapeamento de Grupo de Entrega e Recurso
As tabelas a seguir ilustram os recursos atribuídos a cada grupo de entrega neste caso de uso. A primeira tabela mostra as atribuições de aplicativos móveis. A segunda tabela mostra os aplicativos públicos, aplicativos HDX e recursos de gerenciamento de dispositivos.
| Grupos de Entrega do XenMobile | Aplicativos Móveis Citrix | Aplicativos Móveis Públicos | Aplicativos Móveis HDX |
| Clinical-Nurses | X | ||
| Clinical-Physicians | |||
| Clinical-Specialists | |||
| Clinical-Outside Physicians | X | ||
| Clinical-Home Health Services | X | ||
| Clinical-Research Specialist | X | ||
| Clinical-Education and Training | X | X | |
| Non-Clinical-Shared Services | X | X | |
| Non-Clinical-Physician Services | X | X | |
| Non-Clinical-Support Services | X | X | X |
| Non-Clinical-Philanthropic Programs | X | X | X |
| Contractors | X | X | X |
| Grupos de Entrega do XenMobile | Aplicativo Público: RSA SecurID | Aplicativo Público: EpicCare Haiku | Aplicativo HDX: Epic Hyperspace | Política de Senha | Restrições de Dispositivo | Ações Automatizadas | Política de Wi-Fi |
| Clinical-Nurses | X | ||||||
| Clinical-Physicians | X | ||||||
| Clinical-Specialists | |||||||
| Clinical-Outside Physicians | |||||||
| Clinical-Home Health Services | |||||||
| Clinical-Research Specialist | |||||||
| Clinical-Education and Training | X | X | |||||
| Non-Clinical-Shared Services | X | X | |||||
| Non-Clinical-Physician Services | X | X | |||||
| Non-Clinical-Support Services | X | X |
Observações e considerações
- O XenMobile cria um grupo de entrega padrão chamado Todos os Usuários durante a configuração inicial. Se você não desativar este Grupo de Entrega, todos os usuários do Active Directory terão o direito de se registrar no XenMobile.
- O XenMobile sincroniza usuários e grupos do Active Directory sob demanda usando uma conexão dinâmica com o servidor LDAP.
- Se um usuário fizer parte de um grupo que não está mapeado no XenMobile, esse usuário não poderá se registrar. Da mesma forma, se um usuário for membro de vários grupos, o XenMobile categoriza o usuário como pertencente apenas aos grupos mapeados para o XenMobile.
- Para tornar o registro MDM obrigatório, você deve definir a opção Registro Obrigatório como Verdadeiro nas Propriedades do Servidor no console do XenMobile. Para obter detalhes, consulte Propriedades do Servidor.
- Você pode excluir um grupo de usuários de um grupo de entrega do XenMobile excluindo a entrada no banco de dados SQL Server, em
dbo.userlistgrps. Cuidado: Antes de executar esta ação, crie um backup do XenMobile e do banco de dados.
Sobre a Propriedade do Dispositivo no XenMobile
Você pode agrupar usuários de acordo com o proprietário do dispositivo de um usuário. A propriedade do dispositivo inclui dispositivos de propriedade corporativa e dispositivos de propriedade do usuário, também conhecidos como traga seu próprio dispositivo (BYOD). Você pode controlar como os dispositivos BYOD se conectam à sua rede em dois locais no console do XenMobile: nas regras de implantação para cada tipo de recurso e por meio das propriedades do servidor na página “Configurações”. Para obter detalhes sobre as regras de implantação, consulte Configurando Regras de Implantação na documentação do XenMobile. Para obter detalhes sobre as propriedades do servidor, consulte Propriedades do Servidor.
Você pode exigir que todos os usuários BYOD aceitem o gerenciamento corporativo de seus dispositivos antes que possam acessar os aplicativos. Ou, você pode dar aos usuários acesso a aplicativos corporativos sem também gerenciar seus dispositivos.
Quando você define a configuração do servidor wsapi.mdm.required.flag como true, o XenMobile gerencia todos os dispositivos BYOD, e qualquer usuário que recusar o registro terá o acesso aos aplicativos negado. Considere definir wsapi.mdm.required.flag como true em ambientes onde as equipes de TI corporativas precisam de alta segurança, juntamente com uma experiência de usuário positiva ao registrar dispositivos de usuário no XenMobile.
Se você deixar wsapi.mdm.required.flag como false, que é a configuração padrão, os usuários podem recusar o registro, mas ainda podem acessar aplicativos em seus dispositivos através da XenMobile Store. Considere definir wsapi.mdm.required.flag como false em ambientes onde restrições de privacidade, legais ou regulatórias exigem apenas o gerenciamento de aplicativos corporativos, sem gerenciamento de dispositivos.
Usuários com dispositivos que o XenMobile não gerencia podem instalar aplicativos através da XenMobile Store. Em vez de controles no nível do dispositivo, como limpeza seletiva ou completa, você controla o acesso aos aplicativos por meio de políticas de aplicativo. As políticas, dependendo dos valores que você define, exigem que o dispositivo verifique o XenMobile Server rotineiramente para confirmar que os aplicativos ainda têm permissão para serem executados.
Requisitos de Segurança
O número de considerações de segurança ao implantar um ambiente XenMobile pode rapidamente se tornar esmagador. Existem muitas peças e configurações interligadas. Para ajudar você a começar e escolher um nível aceitável de proteção, a Citrix fornece recomendações para Segurança Alta, Mais Alta e Mais Elevada, conforme descrito na tabela a seguir.
Sua escolha do modo de implantação envolve mais do que apenas preocupações com segurança. É importante também revisar os requisitos do caso de uso e decidir se você pode mitigar as preocupações de segurança antes de escolher seu modo de implantação.
Alta: O uso dessas configurações oferece uma experiência de usuário ideal, mantendo um nível básico de segurança aceitável para a maioria das organizações.
Mais Alta: Essas configurações criam um equilíbrio mais forte entre segurança e usabilidade.
Mais Elevada: Seguir essas recomendações oferece um alto nível de segurança, mas com o custo da usabilidade e da adoção pelo usuário.
Considerações de segurança do modo de implantação
A tabela a seguir especifica os modos de implantação para cada nível de segurança.
| Segurança Alta | Segurança Mais Alta | Segurança Mais Elevada |
| MAM ou MDM | MDM+MAM | MDM+MAM; mais FIPS |
Observações:
- Dependendo do caso de uso, uma implantação somente MDM ou somente MAM pode atender aos requisitos de segurança e proporcionar uma boa experiência ao usuário.
- Se você não precisa de conteinerização de aplicativos, micro VPN ou políticas específicas de aplicativos, o MDM é suficiente para gerenciar e proteger dispositivos.
- Para casos de uso como BYOD, nos quais a conteinerização de aplicativos por si só pode satisfazer todos os requisitos de negócios e segurança, a Citrix recomenda o modo somente MAM.
- Para ambientes de alta segurança (e dispositivos corporativos), a Citrix recomenda MDM+MAM para aproveitar todos os recursos de segurança disponíveis. Certifique-se de impor o registro MDM.
- Opções FIPS para ambientes com as mais altas necessidades de segurança, como o governo federal.
Se você habilitar o modo FIPS, deve configurar o SQL Server para criptografar o tráfego SQL.
Considerações de segurança do Citrix ADC e Citrix Gateway
A tabela a seguir especifica as recomendações do Citrix ADC e Citrix Gateway para cada nível de segurança.
| Segurança Alta | Segurança Mais Alta | Segurança Mais Elevada |
| O Citrix ADC é recomendado. O Citrix Gateway é exigido para MAM e ENT; recomendado para MDM | Citrix ADC padrão para configuração do assistente XenMobile com ponte SSL se o XenMobile estiver na DMZ. Ou descarregamento SSL, se necessário, para atender aos padrões de segurança quando o XenMobile Server estiver na rede interna. | Descarregamento SSL com criptografia de ponta a ponta |
Observações:
- Expor o XenMobile Server à Internet por meio de NAT ou proxies e balanceadores de carga de terceiros existentes pode ser uma opção para MDM. No entanto, essa configuração exige que o tráfego SSL termine no XenMobile Server, o que representa um risco potencial de segurança.
- Para ambientes de alta segurança, o Citrix ADC com a configuração padrão do XenMobile geralmente atende ou excede os requisitos de segurança.
- Para ambientes MDM com as mais altas necessidades de segurança, o encerramento SSL no Citrix ADC permite a inspeção de tráfego no perímetro e mantém a criptografia SSL de ponta a ponta.
- Opções para definir cifras SSL/TLS.
- Hardware Citrix ADC SSL FIPS também está disponível.
- Para obter mais informações, consulte Integração com Citrix Gateway e Citrix ADC.
Considerações de segurança de registro
A tabela a seguir especifica as recomendações do Citrix ADC e Citrix Gateway para cada nível de segurança.
| Segurança Alta | Segurança Mais Alta | Segurança Mais Elevada |
| Somente associação a Grupo do Active Directory. Grupo de Entrega Todos os usuários desabilitado. | Modo de segurança de registro somente por convite. Somente associação a Grupo do Active Directory. Grupo de Entrega Todos os usuários desabilitado. | Modo de segurança de registro vinculado ao ID do Dispositivo. Somente associação a Grupo do Active Directory. Grupo de Entrega Todos os usuários desabilitado. |
Observações:
- A Citrix geralmente recomenda que você restrinja o registro apenas a usuários em grupos predefinidos do Active Directory. Essa configuração exige a desativação do Grupo de Entrega Todos os usuários integrado.
- Você pode usar convites de registro para restringir o registro a usuários com um convite. Os convites de registro não estão disponíveis para dispositivos Windows.
- Você pode usar convites de registro de PIN único (OTP) como uma solução de autenticação de dois fatores e para controlar o número de dispositivos que um usuário pode registrar. Os convites OTP não estão disponíveis para dispositivos Windows.
Considerações de segurança do código de acesso do dispositivo
A tabela a seguir especifica as recomendações de código de acesso do dispositivo para cada nível de segurança.
| Segurança Alta | Segurança Mais Alta | Segurança Mais Elevada |
| Recomendado. A alta segurança é exigida para criptografia no nível do dispositivo. Imposto usando MDM. Você pode definir a alta segurança conforme exigido para somente MAM usando a política MDX, Comportamento de dispositivo não compatível. | Imposto usando MDM, uma política MDX ou ambos. | Imposto usando MDM e política MDX. Política de código de acesso complexo do MDM. |
Observações:
- A Citrix recomenda o uso de um código de acesso do dispositivo.
- Você pode impor um código de acesso do dispositivo por meio de uma política MDM.
- Você pode usar uma política MDX para tornar um código de acesso do dispositivo um requisito para usar aplicativos gerenciados. Por exemplo, para casos de uso de BYOD.
- A Citrix recomenda combinar as opções de política MDM e MDX para aumentar a segurança em ambientes MDM+MAM.
- Para ambientes com os mais altos requisitos de segurança, você pode configurar políticas de código de acesso complexas e impô-las com MDM. Você pode configurar ações automáticas para notificar administradores ou emitir limpezas seletivas/completas do dispositivo quando um dispositivo não estiver em conformidade com uma política de código de acesso.