应用程序
企业移动管理 (EMM) 分为移动设备管理 (MDM) 和移动应用程序管理 (MAM)。虽然 MDM 使组织能够保护和控制移动设备,但 MAM 有助于应用程序的交付和管理。随着自带设备采用率的提高,您通常可以实施 MAM 解决方案,例如 Citrix Endpoint Management。Citrix Endpoint Management 协助进行应用交付、软件许可、配置和应用生命周期管理。可以要求或允许用户同时选择进行 MDM 管理。
使用 Citrix Endpoint Management,您可以通过配置 MAM 策略和 VPN 设置来保护应用程序,以防止数据泄露和其他安全威胁。Citrix Endpoint Management 使组织可以灵活地将设备注册为仅限 MAM 或 MDM+MAM。
除了能够向移动设备交付应用程序外,Citrix Endpoint Management 还通过 MDX 技术提供应用程序容器化。这些应用程序受基于策略的精细控制。独立软件供应商 (ISV) 可以使用移动应用程序 SDK 应用这些控制。
在企业环境中,用户使用各种各样的移动应用程序来协助完成自己的工作职责。这些应用程序可能包括公共应用商店中的应用程序、内部开发的应用程序或本机应用程序。Citrix Endpoint Management 将这些应用程序分类如下:
-
公共应用商店: 这些应用程序包括公共应用商店(例如 Apple App Store 或 Google Play)中提供的免费或付费应用程序。组织外的供应商通常在公共应用商店中提供其应用程序。这种方式让其客户可以直接从 Internet 下载应用程序。根据用户的需求,您可能会在组织中使用许多公共应用程序。例如,GoToMeeting、Salesforce 和 EpicCare 应用程序属于此类应用程序。
-
如果使用 MAM SDK: 请从应用程序供应商处获取应用程序二进制文件。然后,将 MAM SDK 集成到应用程序中。
-
如果您使用 MDX Toolkit: Citrix 不支持直接从公共应用商店下载应用程序二进制文件,然后使用 MDX Toolkit 将其打包以进行企业分发。要打包第三方应用程序,请与您的应用程序供应商合作获取应用程序二进制文件。然后,您可以使用 MDX Toolkit 打包二进制文件。
-
-
内部应用程序: 许多组织都有内部开发人员,他们创建提供特定功能并在组织内独立开发和分发的应用程序。在某些情况下,一些组织可能还有 ISV 提供的应用程序。您可以将此类应用程序部署为本机应用程序,也可以使用 MAM 解决方案(例如 Citrix Endpoint Management)对应用程序进行容器化。
例如,某医疗机构可能会创建一个内部应用程序,以允许医师在移动设备上查看患者信息。然后,组织可以使用以下方法之一来保护患者信息的安全并启用对患者数据库的 VPN 访问:
- MAM SDK
- MDX Toolkit
- Web 和 SaaS 应用程序: 这些应用程序包括通过内部网络访问的应用程序(Web 应用程序)或通过公用网络访问的应用程序 (SaaS)。Citrix Endpoint Management 还允许您使用应用程序连接器列表创建定制网络和 SaaS 应用程序。这些应用程序连接器便于对现有 Web 应用程序进行单点登录 (SSO)。有关详细信息,请参阅应用程序连接器类型。例如,您可以使用基于安全声明标记语言 (SAML) 的 Google Apps SAML for SSO 登录 Google Apps。
- 移动办公应用程序: 移动办公应用程序是 Citrix 开发的应用程序,包含在 Citrix Endpoint Management 许可中。有关详细信息,请参阅关于移动生产力应用程序。Citrix 还提供 ISV 使用移动应用程序 SDK 开发的其他业务就绪型应用程序。
- HDX 应用程序: HDX 应用程序是您通过 StoreFront 发布且由 Windows 托管的应用程序。如果使用 Citrix Virtual Apps and Desktops 以及 Citrix Workspace,HDX 应用程序可供已注册的用户使用。
根据您计划使用 Citrix Endpoint Management 部署和管理的移动应用程序的类型,底层配置可能会有所不同。例如,许多具有不同权限级别的用户组可能会使用单个应用程序。在这种情况下,您可以创建单独的交付组来部署同一应用程序的两个不同版本。此外,您必须确保用户组成员资格是相互排斥的,以避免用户设备上的政策不匹配。
您还可以使用 Apple 批量购买来管理 iOS 应用程序许可。此选项要求您注册批量购买计划并在 Citrix Endpoint Management 控制台中配置批量购买设置。该配置允许您使用批量购买许可证分发应用程序。各种用例使得在实施 Citrix Endpoint Management 环境之前评估和规划您的 MAM 策略非常重要。规划您的 MAM 策略时,您可以先明确以下各项:
- 应用程序类型:列出您计划支持的不同应用程序类型,并对其进行分类,例如,公共、本机、Web、内部或 ISV 应用程序。此外,还按不同的设备平台(例如 iOS 和 Android)对应用程序进行分类。这种分类有助于调整每种类型应用程序所需的各种 Citrix Endpoint Management 设置。例如,一些应用程序可能需要使用移动应用程序 SDK 来启用特殊 API 以与其他应用程序进行交互。
- 网络要求: 配置具有特定网络访问要求的应用程序的设置。例如,某些应用程序可能需要通过 VPN 访问您的内部网络。某些应用程序可能需要 Internet 访问权限才能通过 DMZ 对访问进行路由。为了允许此类应用程序连接到所需网络,必须相应地配置各种设置。定义每个应用程序的网络要求有助于尽早完成架构决策,从而简化整体实施流程。
-
安全要求: 可以定义应用到单个应用程序或所有应用程序的安全要求。
- MDX 策略等设置适用于单个应用程序
- 会话和身份验证设置适用于所有应用程序
- 某些应用程序可能具有特定的容器化、MDX、身份验证、地理围栏、通行码或数据共享要求。
请提前概述这些要求,以简化部署。有关 Citrix Endpoint Management 中安全的详细信息, 请参阅安全和用户体验。
- 部署要求: 您可能希望使用基于策略的部署以仅允许合规用户下载已发布的应用程序。例如,某些应用程序会要求设备处于托管状态,或者设备满足最低操作系统版本要求。您可能还希望某些应用程序仅提供给企业用户。请提前列出此类要求,以便您可以配置适当的部署规则或操作。
-
许可要求: 保留应用程序相关的许可要求的记录。您的笔记可以帮助您有效管理许可证使用情况,并决定是否在 Citrix Endpoint Management 中配置特定功能以促进许可。例如,如果部署免费或付费 iOS 应用程序,Apple 会强制执行应用程序的许可要求。因此,用户必须登录其 Apple App Store 帐户。
但是,您可以注册 Apple 批量购买,使用 Citrix Endpoint Management 来分发和管理这些应用程序。批量购买允许用户下载应用程序,而无需登录他们的 Apple App Store 帐户。
有些平台需要在部署这些功能之前完成特殊的许可要求。
- 允许列表和阻止列表要求: 您可以确定不希望用户安装或使用的应用程序。创建阻止列表将定义不合规事件。然后,您可以设置策略,以便在事件发生时触发。另一方面,某个应用程序可能可以使用,但会出于某个原因而被列入阻止列表。在这种情况,可以将该应用程序添加到允许列表中,并指出该应用程序是可以使用的但不是必需的。此外,请谨记,预先安装在新设备上的应用程序可能包括一些不属于操作系统的常用应用程序。此类应用程序可能会与您的阻止列表策略发生冲突。
用例
一家医疗机构计划部署 Citrix Endpoint Management 作为其移动应用程序的 MAM 解决方案。移动应用程序将交付给公司和自带设备用户。IT 决定交付和管理以下应用程序:
移动生产力应用程序: 由 Citrix 提供的 iOS 和 Android 应用程序。有关详细信息,请参阅移动生产力应用程序。
Citrix Secure Hub :对于在 Citrix Endpoint Management 10.18.14 之前登录的客户:您可以使用 Citrix Secure Hub 将安全设置、配置和移动应用程序推送到移动设备。Android 和 iOS 设备通过 Citrix Secure Hub 注册到 Citrix Endpoint Management。
对于来自 Citrix Endpoint Management 10.18.14 的新客户:Citrix Secure Hub 支持使用 Workspace 应用商店。打开 Citrix Secure Hub 时,用户将无法再看到 Citrix Secure Hub 商店。现在,用户单击“添加应用程序”按钮后将转到 Workspace 应用商店。
以下是显示一台 iOS 设备使用 Citrix Workspace 应用程序注册到 Citrix Endpoint Management 的视频。
Citrix Workspace 应用程序: Citrix Workspace 应用程序整合了现有的 Citrix Receiver 技术、Citrix Secure Hub 和其他 Citrix Workspace 客户端技术。Citrix Workspace 应用程序为最终用户提供统一的情境式体验。
GoToMeeting: 在线会议、桌面共享和视频会议客户端,让用户可以通过 Internet 实时与其他计算机用户、客户、客户端或同事联系。
SalesForce1: SalesForce1 允许用户从移动设备访问 Salesforce,并将所有Chatter、CRM、自定义应用程序和业务流程集中在一起,以使 Salesforce 任何用户拥有统一的体验。
RSA SecurID: 用于双重身份验证的基于软件的令牌。
EpicCare 应用程序: 这些应用程序让医疗工作人员可以安全便携地访问患者图表、患者列表、计划和消息。
Haiku: 适用于 iPhone 和 Android 手机的移动应用程序。
Canto: 适用于 iPad 的移动应用程序
Rover: 适用于 iPhone 和 iPad 的移动应用程序。
HDX: 这些应用程序通过 Citrix Workspace 在 Citrix Virtual Apps 中交付。
- Epic Hyperspace: 用于电子病历管理的 Epic 客户端应用程序。
ISV:
- Vocera: HIPAA 合规 VoIP 和消息传送移动应用程序,通过 iPhone 和 Android 智能手机随时随地扩展 Vocera 语音技术的优势。
内部应用程序:
- HCMail: 该应用程序用于撰写加密邮件、在内部邮件服务器上搜索通讯簿以及使用电子邮件客户端将加密邮件发送给联系人。
内部 Web 应用程序:
- PatientRounding: 该 Web 应用程序用于按不同的部门记录患者健康信息。
- Outlook Web Access: 允许通过 Web 浏览器访问电子邮件。
- SharePoint: 用于组织范围的文件和数据共享。
下表列出了 MAM 配置所需的基本信息。
应用程序名称 | 应用程序类型 | 启用了 MDX | iOS | Android |
---|---|---|---|---|
Citrix Secure Mail | 移动生产力应用程序 | 否 | 是 | 是 |
Citrix Secure Web | 移动生产力应用程序 | 否 | 是 | 是 |
Citrix Files | 移动生产力应用程序 | 否 | 是 | 是 |
Citrix Secure Hub | 公共应用程序 | 不适用 | 是 | 是 |
Citrix Workspace 应用程序 | 公共应用程序 | 不适用 | 是 | 是 |
GoToMeeting | 公共应用程序 | 不适用 | 是 | 是 |
SalesForce1 | 公共应用程序 | 不适用 | 是 | 是 |
RSA SecurID | 公共应用程序 | 不适用 | 是 | 是 |
Epic Haiku | 公共应用程序 | 不适用 | 是 | 是 |
Epic Canto | 公共应用程序 | 不适用 | 是 | 否 |
Epic Rover | 公共应用程序 | 不适用 | 是 | 否 |
Epic Hyperspace | HDX 应用程序 | 不适用 | 是 | 是 |
Vocera | ISV 应用程序 | 是 | 是 | 是 |
HCMail | 内部应用程序 | 是 | 是 | 是 |
PatientRounding | Web 应用程序 | 不适用 | 是 | 是 |
Outlook Web Access | Web 应用程序 | 不适用 | 是 | 是 |
SharePoint | Web 应用程序 | 不适用 | 是 | 是 |
下表列出了在 Citrix Endpoint Management 中配置 MAM 策略时可以参考的具体要求。
应用程序名称 | 需要 VPN | (与容器外部的应用程序)交互 | (从容器外部的应用程序)交互 | 代理过滤 | 许可 | 地理围栏 | 移动应用程序 SDK | 最低操作系统版本 |
---|---|---|---|---|---|---|---|---|
Citrix Secure Mail | Y | 选择性允许 | 允许 | 必需 | 不适用 | 选择性必需 | 不适用 | 强制执行 |
Citrix Secure Web | Y | 允许 | 允许 | 必需 | 不适用 | 不需要 | 不适用 | 强制执行 |
Citrix Files | Y | 允许 | 允许 | 必需 | 不适用 | 不需要 | 不适用 | 强制执行 |
Citrix Secure Hub | Y | 不适用 | 不适用 | 不需要 | 批量购买 | 不需要 | 不适用 | 不强制执行 |
Citrix Workspace 应用程序 | Y | 不适用 | 不适用 | 不需要 | 批量购买 | 不需要 | 不适用 | 不强制执行 |
GoToMeeting | N | 不适用 | 不适用 | 不需要 | 批量购买 | 不需要 | 不适用 | 不强制执行 |
SalesForce1 | N | 不适用 | 不适用 | 不需要 | 批量购买 | 不需要 | 不适用 | 不强制执行 |
RSA SecurID | N | 不适用 | 不适用 | 不需要 | 批量购买 | 不需要 | 不适用 | 不强制执行 |
Epic Haiku | Y | 不适用 | 不适用 | 不需要 | 批量购买 | 不需要 | 不适用 | 不强制执行 |
Epic Canto | Y | 不适用 | 不适用 | 不需要 | 批量购买 | 不需要 | 不适用 | 不强制执行 |
Epic Rover | Y | 不适用 | 不适用 | 不需要 | 批量购买 | 不需要 | 不适用 | 不强制执行 |
Epic Hyperspace | Y | 不适用 | 不适用 | 不需要 | 不适用 | 不需要 | 不适用 | 不强制执行 |
Vocera | Y | 已阻止 | 已阻止 | 必需 | 不适用 | 必需 | 必需 | 强制执行 |
HCMail | Y | 已阻止 | 已阻止 | 必需 | 不适用 | 必需 | 必需 | 强制执行 |
PatientRound-ing | Y | 不适用 | 不适用 | 必需 | 不适用 | 不需要 | 不适用 | 不强制执行 |
Outlook Web Access | Y | 不适用 | 不适用 | 必需 | 不适用 | 不需要 | 不适用 | 不强制执行 |
SharePoint | Y | 不适用 | 不适用 | 必需 | 不适用 | 不需要 | 不适用 | 不强制执行 |