Product Documentation

Segurança e experiência do usuário

A segurança é importante para qualquer organização, mas você precisa encontrar um equilíbrio entre segurança e experiência do usuário. Por um lado, você pode ter um ambiente bastante seguro, mas que é muito difícil para os usuários usarem. Mas por outro lado, seu ambiente pode ser tão fácil de usar que o seu controle de acesso não se mostra tão rigoroso. As outras seções deste manual virtual abordam os recursos de segurança em detalhes, mas o objetivo deste artigo é oferecer uma visão geral das opções de segurança disponíveis para você e lhe expor as considerações comuns de segurança no XenMobile.

Aqui estão algumas considerações importantes a serem analisadas para cada caso de uso:

  • Você quer proteger determinados aplicativos, o dispositivo inteiro ou ambos?
  • Como você deseja que seus usuários autentiquem a identidade deles? Você usará LDAP, autenticação baseada em certificado ou uma combinação dos dois?
  • Quanto tempo deve passar antes que a sessão de um usuário expire? Tenha em mente que existem diferentes valores de tempo limite para serviços em segundo plano, NetScaler e para poder acessar aplicativos enquanto estiver off-line.
  • Deseja que os usuários definam um código secreto no nível do dispositivo e/ou um código secreto no nível do aplicativo? Quantas tentativas de login você deseja conceder aos usuários? Tenha em mente os requisitos adicionais de autenticação por aplicativo que podem ser implementados com o MAM e como os usuários podem interpretá-los.
  • Quais outras restrições você deseja impor aos usuários? Eles devem poder acessar serviços em nuvem, como a Siri? O que eles podem fazer com cada aplicativo disponibilizado para eles e o que eles não podem fazer? Você deve implantar políticas de Wi-Fi corporativas para impedir que os dados de planos de celular sejam consumidos enquanto estiver dentro da área do escritório?

Aplicativo versus Dispositivo

Uma das primeiras coisas que você deve considerar é se você deve proteger apenas determinados aplicativos (gerenciamento de aplicativos móveis ou MAM) ou se deseja gerenciar todo o dispositivo (gerenciamento de dispositivos móveis ou MDM). Normalmente, se você não precisar de controle no nível do dispositivo, só precisará gerenciar aplicativos para dispositivos móveis, especialmente se a sua organização trabalhar com dispositivos BYOD (Traga seu próprio dispositivo).

Em um ambiente somente MAM, os usuários podem acessar os recursos disponibilizados para eles. As políticas do MAM protegem e gerenciam os aplicativos em si.

O MDM permite proteger um dispositivo inteiro, incluindo a capacidade de fazer um inventário de todos os softwares em um dispositivo e impedir o registro se o dispositivo estiver com jailbroken ou com root, ou se contiver um software não seguro instalado. No entanto, esse nível de controle deixa os usuários desconfiados de dar tanto poder sobre seus dispositivos pessoais e pode reduzir as taxas de registro.

É possível exigir o MDM para alguns dispositivos e não para outros, mas tenha em mente que essa escolha pode envolver a configuração de dois ambientes dedicados, o que requer recursos e manutenção adicionais.

Autenticação

Autenticação é onde ocorre grande parte da experiência do usuário. Se sua organização já estiver executando o Active Directory, o uso do Active Directory é a maneira mais simples de fazer com que seus usuários acessem o sistema.

Outra grande parte da experiência do usuário em relação à autenticação é o tempo limite. Um ambiente de alta segurança pode exigir que os usuários façam login toda vez que acessarem o sistema, mas essa opção pode não ser ideal para todas as organizações. Por exemplo, fazer com que os usuários insiram suas credenciais cada vez que desejam acessar seus e-mails pode ser muito laborioso e não justificar o esforço.

Entropia de usuário

Para maior segurança, você pode ativar um recurso chamado entropia de usuário. O Citrix Secure Hub e alguns outros aplicativos geralmente compartilham dados comuns, como senhas, PINs e certificados, para garantir que tudo funcione corretamente. Essas informações são armazenadas em um cofre genérico no Secure Hub. Se você habilitar a entropia de usuário através da opção Criptografar segredos, o XenMobile cria um novo cofre chamado UserEntropy e move as informações do cofre genérico para este novo cofre. Para que o Secure Hub ou outro aplicativo acesse os dados, os usuários devem inserir uma senha ou PIN.

A ativação da entropia de usuário adiciona outra camada de autenticação a vários lugares. Isso significa que sempre que um aplicativo exigir acesso a dados compartilhados no cofre UserEntropy, que inclui senhas, PINs e certificados, os usuários precisarão digitar uma senha ou PIN.

Você pode saber mais sobre a entropia de usuário lendo Sobre o MDX Toolkit na documentação do XenMobile. Para ativar a entropia de usuário, você pode encontrar as configurações relacionadas nas Propriedades do cliente.

Políticas

As políticas MDX e MDM oferecem bastante flexibilidade às organizações, mas também podem restringir os usuários. Você pode precisar disso em algumas situações, mas as políticas também podem tornar um sistema inutilizável. Por exemplo, você pode querer bloquear o acesso a aplicativos em nuvem, como a Siri ou o iCloud, que têm o potencial de enviar dados confidenciais para onde você não quer. Você pode configurar uma política para bloquear o acesso a esses serviços, mas lembre-se de que tal política pode ter consequências indesejadas. O microfone para teclado do iOS também depende do acesso à nuvem, e você irá bloquear o acesso a esse recurso também.

Aplicativos

Gerenciamento de Mobilidade Empresarial (EMM) em Gerenciamento de Dispositivos Móveis (MDM) e Gerenciamento de Aplicativos Móveis (MAM). Enquanto o MDM permite que as organizações protejam e controlem dispositivos móveis, o MAM facilita a entrega e o gerenciamento de aplicativos. Com a crescente adoção do BYOD, você pode implementar uma solução MAM, como o XenMobile, para ajudar na entrega de aplicativos, no licenciamento de software, na configuração e no gerenciamento do ciclo de vida do aplicativo.

Com o XenMobile, você pode proteger esses aplicativos ainda mais, configurando políticas específicas de MAM e configurações de VPN para evitar o vazamento de dados e outras ameaças de segurança. O XenMobile fornece às organizações a flexibilidade de implantar sua solução como um ambiente somente MAM ou somente MDM, ou implementar o XenMobile como um ambiente XenMobile Enterprise unificado que fornece a funcionalidade MDM e MAM na mesma plataforma.

Além da capacidade de fornecer aplicativos para dispositivos móveis, o XenMobile oferece contêiner de aplicativos por meio da tecnologia MDX. O MDX protege os aplicativos por meio de criptografia separada da criptografia no nível do dispositivo; você pode apagar ou bloquear o aplicativo, e os aplicativos estão sujeitos a controles baseados em políticas granulares. Os fornecedores independentes de software (ISVs) podem aplicar esses controles usando o SDK do aplicativo Worx.

Em um ambiente corporativo, os usuários usam uma variedade de aplicativos móveis para ajudar em suas funções. Os aplicativos podem incluir aplicativos da loja de aplicativos pública, aplicativos desenvolvidos internamente ou aplicativos nativos, em alguns casos. O XenMobile categoriza esses aplicativos da seguinte maneira:

Aplicativos públicos: estes aplicativos incluem os aplicativos gratuitos ou pagos em uma loja de aplicativos pública, como iTunes ou o Google Play. Fornecedores fora da organização geralmente disponibilizam seus aplicativos em lojas de aplicativos públicas. Esta opção permite que seus clientes baixem os aplicativos diretamente da Internet. Você pode usar vários aplicativos públicos em sua organização, dependendo das necessidades dos usuários. Exemplos de tais aplicativos incluem os aplicativos GoToMeeting, Salesforce e EpicCare.

A Citrix não suporta o download de binários de aplicativos diretamente de lojas de aplicativos públicas para posterior preparação o MDX Toolkit para distribuição corporativa. Se você precisar preparar aplicativos de terceiros, fale com o fornecedor do aplicativo para obter os binários do aplicativo, que você pode preparar usando o MDX Toolkit.

Aplicativos internos: muitas organizações possuem desenvolvedores internos que criam aplicativos que fornecem funcionalidade específica e são desenvolvidos e distribuídos de maneira independente dentro da organização. Em certos casos, algumas organizações também podem ter aplicativos que os ISVs fornecem. Você pode implantar esses aplicativos como aplicativos nativos ou pode agrupar os aplicativos em contêineres usando uma solução MAM, como o XenMobile. Por exemplo, uma organização de medicina e saúde pode criar um aplicativo interno que permita que os médicos visualizem informações do paciente em dispositivos móveis. A organização pode então usar o MDX Toolkit para preparar o aplicativo, a fim de proteger as informações do paciente e permitir o acesso VPN ao servidor de banco de dados de pacientes de back-end.

Aplicativos Web e SaaS: esses aplicativos incluem os aplicativos acessados em uma rede interna (aplicativos Web) ou em uma rede pública (SaaS). O XenMobile também permite que você crie aplicativos da Web e SaaS personalizados usando uma lista de conectores de aplicativos. Esses conectores de aplicativos podem facilitar o logon único (SSO) em aplicativos da Web existentes. Para obter detalhes, consulte Tipos de conectores de aplicativos. Por exemplo, você pode usar o SAML do Google Apps para SSO com base no SAML (Security Assertion Markup Language) para o Google Apps.

Aplicativos móveis de produtividade: aplicativos desenvolvidos pela Citrix e incluídos na licença do XenMobile. Para obter detalhes, consulte Sobre aplicativos móveis de produtividade. A Citrix também oferece outros aplicativos prontos para os negócios que os ISVs desenvolvem usando o Worx App SDK.

Aplicativos HDX: esses são aplicativos hospedados no Windows que você publica com o StoreFront. Se você tiver um ambiente Citrix XenApp e XenDesktop, poderá integrar os aplicativos ao XenMobile para disponibilizar os aplicativos para os usuários registrados.

Dependendo do tipo de aplicativos móveis que você planeja implantar e gerenciar com o XenMobile, a configuração e a arquitetura subjacentes serão diferentes. Por exemplo, se vários grupos de usuários com diferentes níveis de permissões consumirem um único aplicativo, talvez seja necessário criar grupos de entrega separados para implantar duas versões separadas do mesmo aplicativo. Além disso, você deve garantir que a associação do grupo de usuários seja mutuamente exclusiva para evitar incompatibilidades de política nos dispositivos dos usuários.

Você também pode querer gerenciar o licenciamento de aplicativos iOS usando o Volume Purchase Program (VPP) da Apple. Essa opção exigirá que você se registre no programa VPP e defina as configurações do XenMobile VPP no console XenMobile para distribuir os aplicativos com as licenças do VPP. Uma variedade de tais casos de uso torna importante avaliar e planejar sua estratégia MAM antes de implementar o ambiente XenMobile. Você pode começar a planejar sua estratégia MAM definindo o seguinte:

Tipos de aplicativos: liste os diferentes tipos de aplicativos aos quais você planeja oferecer suporte e categorizar, como públicos, nativos, aplicativos móveis de produtividade, da Web, internos, de ISV e assim por diante. Além disso, categorize os aplicativos para diferentes plataformas de dispositivos, como iOS e Android. Essa categorização ajudará no alinhamento de diferentes configurações do XenMobile necessárias para cada tipo de aplicativo. Por exemplo, determinados aplicativos podem não se qualificar para o agrupamento ou alguns aplicativos podem exigir o uso do SDK do aplicativo Worx para ativar APIs especiais para interação com outros aplicativos.

Requisitos de rede: você precisa configurar aplicativos com requisitos específicos de acesso à rede com as configurações apropriadas. Por exemplo, certos aplicativos podem precisar de acesso à sua rede interna por meio de VPN; alguns aplicativos podem exigir acesso à Internet para rotear o acesso por meio da DMZ. Para permitir que esses aplicativos se conectem à rede necessária, você precisa definir várias configurações de acordo. A definição de requisitos de rede por aplicativo ajuda a finalizar suas decisões de arquitetura desde o início, o que simplificará o processo geral de implementação.

Requisitos de segurança: a definição dos requisitos de segurança que se aplicam a aplicativos individuais ou a todos os aplicativos é fundamental para garantir que você crie as configurações corretas ao instalar o XenMobile Server. Embora as configurações, como as políticas MDX, se apliquem a aplicativos individuais, as configurações de sessão e autenticação se aplicam a todos os aplicativos e alguns aplicativos podem ter requisitos específicos de criptografia, contêiner, preparação, criptografia, autenticação, geocerca, senha ou compartilhamento de dados precisa delinear com antecedência para simplificar sua implantação.

Requisitos de implantação: convém usar uma implantação baseada em políticas para permitir que apenas usuários em conformidade baixem os aplicativos publicados. Por exemplo, você pode querer que determinados aplicativos exijam que a criptografia do dispositivo esteja ativada ou que o dispositivo seja gerenciado ou que o dispositivo atenda a uma versão mínima do sistema operacional. Você também pode querer que determinados aplicativos estejam disponíveis apenas para usuários corporativos. Você precisa descrever esses requisitos com antecedência para poder configurar as regras ou ações de implantação apropriadas.

Requisitos de licenciamento: você deve registrar os requisitos de licenciamento relacionados ao aplicativo. Essas notas ajudarão você a gerenciar o uso da licença com eficiência e a decidir se você precisa configurar recursos específicos no XenMobile para facilitar o licenciamento. Por exemplo, se você implantar um aplicativo para iOS, independentemente de ser um aplicativo gratuito ou pago, a Apple aplicará os requisitos de licenciamento ao aplicativo, fazendo com que os usuários entrem em sua conta do iTunes. Você pode se registrar no Apple VPP para distribuir e gerenciar esses aplicativos via XenMobile. O VPP permite que os usuários baixem os aplicativos sem precisar entrar em suas contas do iTunes. Além disso, ferramentas como o Samsung SAFE e o Samsung KNOX têm requisitos especiais de licenciamento, que você precisa concluir antes de implantar esses recursos.

Requisitos da lista negra/lista branca: haverá aplicativos que você não deseja que os usuários instalem ou usem. A criação de uma lista negra definirá um evento fora de conformidade. Você pode configurar políticas para acionar no caso de tal coisa acontecer. Por outro lado, um aplicativo pode ser aceitável para uso, mas pode se enquadrar na lista negra por um motivo ou outro. Se esse for o caso, você pode adicionar o aplicativo a uma lista de permissões e indicar que o aplicativo é aceitável para uso, mas não é obrigatório. Além disso, lembre-se de que os aplicativos pré-instalados em novos dispositivos podem incluir alguns aplicativos comumente usados que não fazem parte do sistema operacional. Isso pode entrar em conflito com sua estratégia de lista negra.

Caso de uso de aplicativos

Uma organização de saúde planeja implantar o XenMobile para servir como uma solução MAM para seus aplicativos móveis. Aplicativos móveis são entregues a usuários corporativos e BYOD. A TI decide entregar e gerenciar os seguintes aplicativos:

  • Aplicativos móveis de produtividade: Aplicativos para iOS e Android fornecidos pela Citrix.
  • Secure Mail: email, calendário e aplicativo de contato.
  • Secure Web: navegador seguro que fornece acesso aos sites da Internet e da intranet.
  • Secure Notes: aplicativo de anotações seguro com integração de email e calendário.
  • ShareFile: aplicativo para acessar dados compartilhados e para compartilhar, sincronizar e editar arquivos.

Loja de aplicativos pública

  • Secure Hub: cliente usado por todos os dispositivos móveis para se comunicar com o XenMobile. A TI envia parâmetros de segurança, configurações e aplicativos móveis para dispositivos móveis via cliente do Secure Hub. Dispositivos Android e iOS se registram no XenMobile através do Secure Hub.
  • Citrix Receiver: aplicativo móvel que permite aos usuários abrir aplicativos host do XenApp em dispositivos móveis.
  • GoToMeeting: um cliente de reunião on-line, compartilhamento de área de trabalho e videoconferência que permite que os usuários se encontrem com outros usuários de computador, clientes, consumidores ou colegas pela Internet em tempo real.
  • SalesForce1: o Salesforce1 permite que os usuários acessem o Salesforce a partir de dispositivos móveis e reúnam todos os aplicativos Chatter, CRM, personalizados e de negócios em uma experiência unificada para qualquer usuário do Salesforce.
  • RSA SecurID: token baseado em software para autenticação de dois fatores.
  • Aplicativos EpicCare: esses aplicativos fornecem aos profissionais de saúde acesso seguro e portátil a prontuários, listas de pacientes, agendamentos e mensagens.
    • Haiku: aplicativo móvel para telefones iPhone e Android.
    • Canto: aplicativo móvel para o iPad
    • Rover: aplicativos móveis para iPhone e iPad.

HDX: esses aplicativos são entregues via Citrix XenApp.

  • Epic Hyperspace: aplicativo cliente Epic para gerenciamento eletrônico de prontuários médicos.

ISV

  • Vocera: aplicativo móvel de mensagens e IP de voz compatível com HIPAA que amplia os benefícios da tecnologia de voz Vocera a qualquer hora, em qualquer lugar, através de smartphones iPhone e Android.

Aplicativos internos

  • HCMail: aplicativo que ajuda a compor mensagens criptografadas, pesquisar catálogos de endereços em servidores de e-mail internos e enviar as mensagens criptografadas para os contatos usando um cliente de e-mail.

Aplicativos da web internos

  • PatientRounding: aplicativo da Web usado para registrar informações médicas do paciente por diferentes departamentos.
  • Outlook Web Access: permite o acesso de email por meio de um navegador da web.
  • SharePoint: usado para compartilhamento de arquivos e dados em toda a organização.

A tabela a seguir lista as informações básicas necessárias para a configuração do MAM.

         
Nome do aplicativo Tipo de aplicativo Preparação de MDX iOS Android
Secure Mail XenMobile App Não para a versão 10.4.1 e posterior Sim Sim
Secure Web XenMobile App Não para a versão 10.4.1 e posterior Sim Sim
Secure Notes XenMobile App Não para a versão 10.4.1 e posterior Sim Sim
ShareFile XenMobile App Não para a versão 10.4.1 e posterior Sim Sim
Secure Hub Aplicativo público N/D Sim Sim
Citrix Receiver Aplicativo público N/D Sim Sim
GoToMeeting Aplicativo público N/D Sim Sim
SalesForce1 Aplicativo público N/D Sim Sim
RSA SecurID Aplicativo público N/D Sim Sim
Epic Haiku Aplicativo público N/D Sim Sim
Epic Canto Aplicativo público N/D Sim Não
Epic Rover Aplicativo público N/D Sim Não
Epic Hyperspace Aplicativo HDX N/D Sim Sim
Vocera Aplicativo ISV Sim Sim Sim
HCMail Aplicativo interno Sim Sim Sim
PatientRounding Aplicativo Web N/D Sim Sim
Outlook Web Access Aplicativo Web N/D Sim Sim
SharePoint Aplicativo Web N/D Sim Sim

As tabelas a seguir listam os requisitos específicos que você pode consultar ao configurar as políticas do MAM no XenMobile.

Nome do aplicativo VPN necessária Interação Interação Criptografia de dispositivo
    (com aplicativos fora do contêiner) (de aplicativos fora do contêiner)  
Secure Mail S Permitido seletivamente Permitido Desnecessário
Secure Web S Permitido Permitido Desnecessário
Secure Notes S Permitido Permitido Desnecessário
ShareFile S Permitido Permitido Desnecessário
Secure Hub S N/D N/D N/D
Citrix Receiver S N/D N/D N/D
GoToMeeting N N/D N/D N/D
SalesForce1 N N/D N/D N/D
RSA SecurID N N/D N/D N/D
Epic Haiku S N/D N/D N/D
Epic Canto S N/D N/D N/D
Epic Rover S N/D N/D N/D
Epic Hyperspace S N/D N/D N/D
Vocera S Não permitido Não permitido Desnecessário
HCMail S Não permitido Não permitido Obrigatório
PatientRounding S N/D N/D Obrigatório
Outlook Web Access S N/D N/D Desnecessário
SharePoint S N/D N/D Desnecessário
Nome do aplicativo Filtragem Proxy Licenciamento Cerca geográfica Worx App SDK Versão mínima do sistema operacional
Secure Mail Obrigatório N/D Seletivamente Obrigatório N/D Imposto
Secure Web Obrigatório N/D Desnecessário N/D Imposto
Secure Notes Obrigatório N/D Desnecessário N/D Imposto
ShareFile Obrigatório N/D Desnecessário N/D Imposto
Secure Hub Desnecessário VPP Desnecessário N/D Não aplicado
Citrix Receiver Desnecessário VPP Desnecessário N/D Não aplicado
GoToMeeting Desnecessário VPP Desnecessário N/D Não aplicado
SalesForce1 Desnecessário VPP Desnecessário N/D Não aplicado
RSA SecurID Desnecessário VPP Desnecessário N/D Não aplicado
Epic Haiku Desnecessário VPP Desnecessário N/D Não aplicado
Epic Canto Desnecessário VPP Desnecessário N/D Não aplicado
Epic Rover Desnecessário VPP Desnecessário N/D Não aplicado
Epic Hyperspace Desnecessário N/D Desnecessário N/D Não aplicado
Vocera Obrigatório N/D Obrigatório Obrigatório Imposto
HCMail Obrigatório N/D Obrigatório Obrigatório Imposto
PatientRound-ing Obrigatório N/D Desnecessário N/D Não aplicado
Outlook Web Access Obrigatório N/D Desnecessário N/D Não aplicado
SharePoint Obrigatório N/D Desnecessário N/D Não aplicado

Comunidades do usuário

Cada organização consiste em diversas comunidades de usuários que operam em diferentes funções. Essas comunidades de usuários executam tarefas e funções de escritório diferentes usando vários recursos fornecidos por meio dos dispositivos móveis dos usuários. Os usuários podem trabalhar em casa ou em escritórios remotos usando dispositivos móveis fornecidos por você ou usando dispositivos móveis deles próprios, o que permite que acessem ferramentas que estão sujeitas a determinadas regras de conformidade de segurança.

À medida que mais e mais comunidades de usuários começam a usar dispositivos móveis para simplificar ou ajudar em suas funções, o gerenciamento de mobilidade empresarial (EMM) se torna crítico para evitar o vazamento de dados e impor restrições de segurança de uma organização. Para um gerenciamento eficiente e sofisticado de dispositivos móveis, você pode categorizar suas comunidades de usuários. Isso simplifica o mapeamento de usuários para recursos e garante que as políticas de segurança corretas sejam aplicadas aos usuários certos.

O exemplo a seguir ilustra como as comunidades de usuários de uma organização de assistência médica são classificadas para o EMM.

Cado de uso de comunidades de usuários

Neste exemplo, esta organização de assistência médica fornece recursos de tecnologia e acesso a vários usuários, incluindo funcionários e voluntários da rede e afiliados. A organização optou por implantar a solução EMM apenas para usuários não executivos.

Os cargos e funções dos usuários dessa organização podem ser divididos em subgrupos, incluindo: clínico, não clínico e contratados. Um grupo selecionado de usuários recebe dispositivos móveis corporativos, enquanto outros podem acessar recursos limitados da empresa a partir de seus dispositivos pessoais. Para impor o nível correto de restrições de segurança e impedir o vazamento de dados, a organização decidiu que a TI corporativa gerencia cada dispositivo registrado, corporativo e BYOD (traga seu próprio dispositivo). Além disso, os usuários só podem registrar um único dispositivo.

A seção a seguir fornece uma visão geral dos cargos e funções de cada subgrupo:

Clínico

  • Enfermeiros
  • Médicos (doutores, cirurgiões e outros)
  • Especialistas (nutricionistas, flebotomistas, anestesistas, radiologistas, cardiologistas, oncologistas e outros)
  • Médicos externos (médicos não empregados e trabalhadores de escritório que trabalham em escritórios remotos)
  • Serviços de Saúde Domiciliar (trabalhadores de escritório e móveis realizando serviços médicos em visitas domiciliares ao paciente)
  • Especialista em pesquisa (trabalhadores do conhecimento e usuários avançados em seis institutos de pesquisa que realizam pesquisas clínicas para encontrar respostas para problemas clínicos)
  • Educação e Formação (enfermeiros, médicos e especialistas em educação e formação)

Não clínico

  • Serviços compartilhados (funcionários de escritório executando várias funções de back-office, incluindo: RH, folha de pagamento, contas a pagar, serviço de cadeia de fornecimento e outros)
  • Serviços Médicos (funcionários do escritório realizando uma variedade de soluções de gestão de saúde, serviços administrativos e processos de negócios para fornecedores, incluindo: Serviços Administrativos, Analytics e Business Intelligence, Sistemas de Negócios, Serviços ao Cliente, Finanças, Administração de Cuidados Gerenciados, Soluções de Acesso ao Paciente, Soluções de Ciclo de Receita e outros)
  • Serviços de Suporte (trabalhadores de escritório realizando uma variedade de funções não clínicas, incluindo Administração de Benefícios, Integração Clínica, Comunicações, Gerenciamento de Compensação e Desempenho, Serviços de Instalações e Propriedade, Sistemas de Tecnologia de RH, Serviços de Informação, Auditoria Interna e Melhoria de Processos e outros)
  • Programas filantrópicos (funcionários de escritório e móveis que realizam várias funções de apoio a programas filantrópicos)

Contratados

  • Parceiros fabricantes e fornecedores (conectados no local e remotamente via VPN site-to-site, fornecendo várias funções de suporte não clínicas)

Com base nas informações anteriores, a organização criou as seguintes entidades. Para obter mais informações sobre grupos de entrega no XenMobile, consulte Implantar recursos.

Grupos e Unidades Organizacionais (OUs) do Active Directory

Para OU = Recursos do XenMobile:

  • OU = Clínico; Grupos =
    • XM-Enfermeiros
    • XM-Médicos
    • XM-Especialistas
    • XM-Médicos Externos
    • XM-Serviços de Saúde Domiciliar
    • XM-Especialista em Pesquisa
    • XM-Educação e Formação
  • OU = Não clínico; Grupos =
    • XM-Serviços Compartilhados
    • XM-Serviços Médicos
    • XM-Serviços de Suporte
    • XM-Programas Filantrópicos

Usuários locais e grupos do XenMobile

ForGroup= Contratados, Usuários =

  • Vendor1
  • Vendor2
  • Vendor3
  • … Vendor10

Grupos de entrega do XenMobile

  • Clínico-Enfermeiros
  • Clínico-Médicos
  • Clínico-Especialistas
  • Clínico-Médicos Externos
  • Clínico-Serviços de Saúde Domiciliar
  • Clínico-Especialista em Pesquisa
  • Clínico-Educação e Formação
  • Não clínicos-Serviços Compartilhados
  • Não clínicos-Serviços Médicos
  • Não clínicos-Serviços de Suporte
  • Não clínicos-Programas Filantrópicos

Mapeamento de Grupo de entrega e Grupo de usuários

   
Grupos do Active Directory Grupos de entrega do XenMobile
XM-Enfermeiros Clínico-Enfermeiros
XM-Médicos Clínico-Médicos
XM-Especialistas Clínico-Especialistas
XM-Médicos Externos Clínico-Médicos Externos
XM-Serviços de Saúde Domiciliar Clínico-Serviços de Saúde Domiciliar
XM-Especialista em Pesquisa Clínico-Especialista em Pesquisa
XM-Educação e Formação Clínico-Educação e Formação
XM-Serviços Compartilhados Não clínicos-Serviços Compartilhados
XM-Serviços Médicos Não clínicos-Serviços Médicos
XM-Serviços de Suporte Não clínicos-Serviços de Suporte
XM-Programas Filantrópicos Não clínicos-Programas Filantrópicos

Mapeamento de Grupo de entrega e Recursos

As tabelas a seguir ilustram os recursos atribuídos a cada grupo de entrega neste caso de uso. A primeira tabela mostra as atribuições de aplicativos móveis; a segunda tabela mostra o aplicativo público, os aplicativos HDX e os recursos de gerenciamento de dispositivos.

       
Grupos de entrega do XenMobile Aplicativos móveis Citrix Aplicativos móveis públicos Aplicativos móveis HDX
Clínico-Enfermeiros X    
Clínico-Médicos      
Clínico-Especialistas      
Clínico-Médicos Externos X    
Clínico-Serviços de Saúde Domiciliar X    
Clínico-Especialista em Pesquisa X    
Clínico-Educação e Formação   X X
Não clínicos-Serviços Compartilhados   X X
Não clínicos-Serviços Médicos   X X
Não clínicos-Serviços de Suporte X X X
Não clínicos-Programas Filantrópicos X X X
Contratados X X X
               
Grupos de entrega do XenMobile Aplicativo público: RSA SecurID Aplicativo público: EpicCare Haiku Aplicativo HDX: Epic Hyperspace Política de código secreto Restrições de dispositivos Ações automatizadas Política de WiFi
Clínico-Enfermeiros             X
Clínico-Médicos         X    
Clínico-Especialistas              
Clínico-Médicos Externos              
Clínico-Serviços de Saúde Domiciliar              
Clínico-Especialista em Pesquisa              
Clínico-Educação e Formação   X X        
Não clínicos-Serviços Compartilhados   X X        
Não clínicos-Serviços Médicos   X X        
Não clínicos-Serviços de Suporte   X X        

Notas e considerações

  • O XenMobile cria um grupo de entrega padrão chamado Todos os Usuários durante a configuração inicial. Se você não desabilitar esse grupo de entrega, todos os usuários do Active Directory terão direitos para se registrar no XenMobile.
  • O XenMobile sincroniza usuários e grupos do Active Directory sob demanda usando uma conexão dinâmica com o servidor LDAP.
  • Se um usuário fizer parte de um grupo que não esteja mapeado no XenMobile, esse usuário não poderá se registrar. Da mesma forma, se um usuário for membro de vários grupos, o XenMobile categorizará o usuário apenas como estando nos grupos mapeados para o XenMobile.
  • Para tornar o registro no MDM obrigatório, você deve definir a opção de Registro Obrigatório como True em Propriedades do Servidor no console XenMobile. Para obter detalhes, consulte Propriedades do servidor.
  • Você pode excluir um grupo de usuários de um grupo de entrega do XenMobile excluindo a entrada no banco de dados do SQL Server, em dbo.userlistgrps. Cuidado: antes de executar esta ação, crie um backup do XenMobile e do banco de dados.

Sobre a Propriedade de dispositivo no XenMobile

Você pode agrupar usuários de acordo com o proprietário do dispositivo de um usuário. A propriedade do dispositivo inclui dispositivos de propriedade da empresa e dispositivos de propriedade do usuário, também conhecidos como BYOD (traga o seu próprio dispositivo). Você pode controlar como os dispositivos BYOD se conectam à sua rede em dois locais no console XenMobile: nas Regras de implantação e nas propriedades do XenMobile Server na página Configurações. Para obter detalhes sobre regras de implantação, consulte Configuração de regras de implantação na documentação do XenMobile. Para obter detalhes sobre as propriedades do servidor, consulte Propriedades do servidor.

Ao definir as propriedades do servidor, você pode exigir que todos os usuários de BYOD aceitem o gerenciamento corporativo de seus dispositivos antes que eles possam acessar os aplicativos, ou você pode conceder aos usuários acesso a aplicativos corporativos sem precisar gerenciar seus dispositivos.

Quando você define a configuração do servidor wsapi.mdm.required.flag como true, o XenMobile gerencia todos os dispositivos BYOD, e qualquer usuário que recusar o registro não terá acesso aos aplicativos. Sugerimos configurar wsapi.mdm.required.flag como true em ambientes nos quais as equipes de TI corporativas precisam de alta segurança em conjunto com uma experiência de usuário positiva, o que tem muito a ver com o registro do dispositivo dos usuários no XenMobile.

Se você deixar o wsapi.mdm.required.flag como false, que é a configuração padrão, os usuários poderão recusar o registro, mas ainda poderão acessar os aplicativos em seus dispositivos através da XenMobile Store. Você pode considerar a configuração de wsapi.mdm.required.flag como false em ambientes nos quais as restrições de privacidade, legais ou regulamentares não exigem gerenciamento de dispositivos, apenas gerenciamento de aplicativos corporativos.

Usuários com dispositivos que o XenMobile não gerencia podem instalar aplicativos através da XenMobile Store. Em vez de controles no nível do dispositivo, como apagamento seletivo ou completo, você controla o acesso aos aplicativos por meio de políticas de aplicativos. As políticas, dependendo dos valores definidos, exigem que o dispositivo verifique o XenMobile Server rotineiramente para confirmar que os aplicativos ainda têm permissão para serem executados.

Requisitos de segurança

A quantidade de considerações de segurança ao implantar um ambiente XenMobile pode se acumular rapidamente. Há muitas definições e configurações interligadas, que você pode acabar por não saber por onde começar ou o que escolher para garantir que um nível aceitável de proteção esteja disponível. Para tornar essas escolhas mais simples, a Citrix fornece recomendações para Alta, Maior e Altíssima Segurança, conforme descrito na tabela a seguir.

Observe que as preocupações de segurança sozinhas não devem ditar sua opção de modo de implementação. É importante também revisar os requisitos do caso de uso e decidir se você pode atenuar as considerações com a segurança antes de escolher seu modo de implantação.

Alta: o uso dessas configurações proporciona uma experiência de usuário ideal, mantendo um nível básico de segurança aceitável para a maioria das organizações.

Maior: essas configurações atingem um equilíbrio mais acirrado entre segurança e usabilidade.

Altíssima: seguir essas recomendações fornecerá um nível bastante alto de segurança em troca de usabilidade e adoção do usuário.

Considerações sobre segurança no modo de implantação

A tabela a seguir especifica os modos de implantação para cada nível de segurança.

     
Alta Segurança Maior segurança Altíssima segurança
MAM e/ou MDM MDM+MAM MDM+MAM; mais FIPS

Notas:

  • Dependendo do caso de uso, uma implantação somente MDM ou somente MAM pode atender aos requisitos de segurança e fornecer uma boa experiência ao usuário.
  • Se não houver necessidade de conteinerização de aplicativo, micro VPN ou políticas específicas de aplicativo, o MDM deve ser suficiente para gerenciar e proteger dispositivos.
  • Para casos de uso como BYOD e nos quais todos os requisitos comerciais e de segurança podem ser satisfeitos apenas com conteinerização de aplicativos, a Citrix recomenda o modo somente MAM.
  • Para ambientes de alta segurança (e dispositivos corporativos), a Citrix recomenda o MDM+MAM para aproveitar todos os recursos de segurança disponíveis. Você deve impor o registro MDM por meio de uma propriedade do servidor no console XenMobile.
  • Opções FIPS para ambientes com as mais altas necessidades de segurança, como o governo federal.

Se você habilitar o modo FIPS, deverá configurar o SQL Server para criptografar o tráfego do SQL.

Considerações de segurança do NetScaler e do NetScaler Gateway

A tabela a seguir especifica as recomendações do NetScaler e do NetScaler Gateway para cada nível de segurança.

     
Alta Segurança Maior segurança Altíssima segurança
O NetScaler é recomendado. O NetScaler Gateway é necessário para MAM e ENT; recomendado para MDM Configuração do assistente para Standard NestScale for XenMobile com ponte SSL se o XenMobile estiver na DMZ; ou descarga de SSL se necessário para atender aos padrões de segurança quando o XenMobile Server estiver na rede interna. Descarga de SSL com criptografia de ponta a ponta

Notas:

  • Expor o XenMobile Server à Internet via NAT ou proxies/balanceadores de carga existentes de terceiros pode ser uma opção para o MDM, desde que o tráfego SSL termine no XenMobile Server, mas essa escolha representa um risco potencial à segurança.
  • Para ambientes de alta segurança, o NetScaler com a configuração padrão do XenMobile deve atender ou exceder os requisitos de segurança.
  • Para ambientes de MDM com as mais altas necessidades de segurança, a terminação SSL no NetScaler fornece a capacidade de inspecionar o tráfego no perímetro, enquanto mantém a criptografia SSL de ponta a ponta.
  • Opções para definir criptografias SSL/TLS.
  • O hardware SSL FIPS NetScaler também está disponível.
  • Para obter mais informações, consulte Integração com o NetScaler Gateway e NetScaler.

Considerações sobre segurança de registro

A tabela a seguir especifica as recomendações do NetScaler e do NetScaler Gateway para cada nível de segurança.

     
Alta Segurança Maior segurança Altíssima segurança
Somente membros do Grupo Active Directory. Grupo de entrega Todos os Usuários desativado. Modo de registro apenas por convite. Somente membros do Grupo Active Directory. Grupo de entrega Todos os Usuários desativado Modo de registro vinculado ao ID do dispositivo. Somente membros do Grupo Active Directory. Grupo de entrega Todos os Usuários desativado

Notas:

  • A Citrix geralmente recomenda que você restrinja o registro somente aos usuários em grupos predefinidos do Active Directory. Isso requer a desativação do grupo de entrega interno Todos os Usuários.
  • Você pode usar convites de registro para restringir o registro para os usuários com apenas um convite.
  • Você pode usar os convites de registro de PIN de uso único (OTP) como uma solução de dois fatores e controlar o número de dispositivos que um usuário pode registrar.
  • Para ambientes com requisitos de segurança, você pode associar convites de registro a um dispositivo por UDID/SN/EMEI. Uma opção de dois fatores também está disponível para exigir senha do Active Directory e OTP. (No momento, o OTP não é uma opção disponível para dispositivos Windows.)

Considerações sobre segurança do PIN do dispositivo

A tabela a seguir especifica as recomendações de PIN do dispositivo para cada nível de segurança.

     
Alta Segurança Maior segurança Altíssima segurança
Recomendado Alta segurança é necessária para criptografia no nível do dispositivo. Pode ser aplicado com o MDM. Pode ser definido conforme necessário para somente MAM usando uma política MDX. Aplicado usando a política do MDM e/ou MDX. Aplicado usando a política MDM e MDX. Política de código secreto Complexo do MDM.

Notas:

  • A Citrix recomenda o uso de um PIN de dispositivo.
  • Você pode impor um PIN de dispositivo por meio de uma política de MDM.
  • Você pode usar uma política de MDX para tornar um PIN de dispositivo um requisito para o uso de aplicativos gerenciados como, por exemplo, para casos de uso de BYOD.
  • A Citrix recomenda combinar as opções de política MDM e MDX para aumentar a segurança em ambientes MDM+MAM.
  • Para ambientes com os mais altos requisitos de segurança, você pode configurar políticas complexas de código secreto e aplicá-las com o MDM. Você pode configurar ações automáticas para notificar os administradores ou iniciar o apagamento seletivo/completo de dispositivos quando um dispositivo não obedecer a uma política de código secreto.