管理模式

管理模式是包括移动设备管理 (MDM) 和移动应用程序管理 (MAM) 的术语。您可以配置:

  • 注册配置文件将 Android 和 iOS 设备注册到 MDM、MAM 或两者 (MDM+MAM)。如果您选择 MDM+MAM,则可以让用户选择退出 MDM。
  • 将 Windows 10 设备注册到 MDM 时使用的注册配置文件。

可以在注册配置文件中指定注册选项,您会将这些选项附加到交付组。有关注册选项的信息,请参阅注册配置文件。以下各部分内容重点介绍了管理设备和应用程序的注意事项。

移动设备管理 (MDM)

在 MDM 模式下,可以配置和支持移动设备以及确保移动设备的安全。MDM 允许您在系统级别保护设备和设备上的数据。可以配置策略、操作和安全功能。例如,如果设备丢失、被盗或不合规,可以选择性擦除设备。

即使您不选择在设备上管理应用程序,也可以交付移动应用程序,例如公共应用商店和企业应用程序。

下面是 MDM 的常见用例:

  • MDM 是需要设备级别的管理策略或某些限制的公司拥有的设备的考虑因素。这些限制包括完全擦除、选择性擦除或地理位置。
  • 当客户需要管理实际设备,但不需要 MDX 策略时。
  • 用户仅需要电子邮件传送给其移动设备上的本机电子邮件客户端,并且 Exchange ActiveSync 或客户端访问服务器已可从外部访问时。在此用例中,可以使用 MDM 配置电子邮件传送。
  • 部署本机企业应用程序(非 MDX)、公共应用商店应用程序或从公共应用商店交付的 MDX 应用程序时。请注意,MDM 解决方案本身不能防止设备上的应用程序之间的机密数据的数据泄漏。数据泄漏可能会在 Office 365 应用程序中执行复制和剪贴操作或“另存为”操作时发生。

移动应用程序管理 (MAM)

MAM 保护应用程序并且允许您控制应用程序数据共享。MAM 还允许您独立于个人数据来管理公司数据和资源。为 MAM 配置了 Endpoint Management 的情况下,可以使用启用了 MDX 的移动应用程序提供每应用程序容器化和控制。

通过使用 MDX 策略,Endpoint Management 提供通过网络访问(例如 Micro VPN)进行的应用程序级别控制、应用程序和设备交互、数据加密和应用程序访问。

MAM 通常适用于自带 (BYO) 设备,因为即使设备未托管,公司数据仍受保护。MDX 拥有50 多个您可以设置的仅 MAM 策略。这些策略不需要 MDM 控件或设备通行码即可加密。

MAM 还支持 Citrix 移动生产力应用程序。此功能包括:

  • 将电子邮件安全传递到 Citrix Secure Mail
  • 安全的 Citrix 移动生产力应用程序之间的数据共享
  • Citrix Files 中的安全数据存储。

有关详细信息,请参阅 移动生产力应用程序

MAM 通常适用于以下示例:

  • 您提供在应用程序级别管理的移动应用程序,例如 MDX 应用程序。
  • 您不需要在系统级别管理设备。

MDM+MAM

通过 Endpoint Management,您可以指定用户是否可以选择退出设备管理。这种灵活性对包括混合用例的环境非常有用。这些环境可能需要通过 MDM 策略管理设备才能访问您的 MAM 资源。

MDM+MAM 适用于以下示例:

  • 您具有同时需要 MDM 和 MAM 的单个用例。需要 MDM 才能访问您的 MAM 资源。
  • 有些用例需要 MDM,而有些用例不需要。
  • 有些用例需要 MAM,而有些用例不需要。

设备管理和 MDM 注册

Endpoint Management Enterprise 环境可以包括混合用例,其中某些用例要求通过 MDM 策略进行设备管理以访问 MAM 资源。

为用户部署 Citrix 移动生产力应用程序之前,请完全评估您的用例并决定是否要求 MDM 注册。如果以后决定更改 MDM 注册的要求,用户可能需要重新注册其设备。有关详细信息,请参阅注册配置文件

有关注册模式和 Citrix Gateway 的信息,请参阅将 Citrix Gateway 与 Citrix ADC 相集成

下面概述了要求 MDM 注册的优势和劣势(以及缓解操作)。

MDM 注册为可选时

优势

  • 用户不需要将其设备置于 MDM 管理模式即可访问 MAM 资源。此选项可以增加用户采用率。
  • 能够安全访问 MAM 资源以保护企业数据。
  • 应用程序通行码等 MDX 策略可以控制对每个 MDX 应用程序的应用程序访问。
  • 配置 Citrix Gateway、Endpoint Management 和每应用程序超时以及 Citrix PIN 将提供一层额外的保护。
  • 虽然 MDM 操作不适用于设备,但某些 MDX 策略可用于拒绝 MAM 访问。拒绝将取决于系统设置,例如越狱或获得 root 权限的设备。
  • 用户可以选择是否在首次使用过程中通过 MDM 注册其设备。

劣势

  • MAM 资源适用于未在 MDM 中注册的设备。
  • MDM 策略和操作仅适用于 MDM 注册的设备。

缓解方案

  • 使用户同意在其选择不遵从合规性的情况下追究其责任的公司条款和条件。使管理员监视未托管的设备。
  • 使用应用程序计时器管理应用程序访问和安全性。降低的超时值提高了安全性,但会影响用户体验。

要求 MDM 注册时

优势

  • 能够将 MAM 资源的访问仅限制到 MDM 托管的设备。
  • 根据需要,MDM 策略和操作可能适用于环境中的所有设备。
  • 用户无法选择退出注册其设备。

劣势

  • 要求所有用户通过 MDM 注册。
  • 可能会降低反对公司管理其个人设备的用户的采用率。

缓解方案

  • 针对 Endpoint Management 在其设备上实际管理的对象以及信息管理员可以访问的资源向用户提供教育培训。