管理模式

在 Endpoint Management 中, 可以选择是管理设备、应用程序还是管理两者。

Endpoint Management 对设备和应用程序管理模式(有时也称为部署模式)使用以下术语:

  • 移动设备管理模式(MDM 模式)
  • 移动应用程序管理模式(MAM 模式)
  • MDM+MAM 模式

为支持这些管理模式或部署模式, Endpoint Management 具有两种服务器模式: MAM 和 MDM + MAM。Endpoint Management 服务器模式为 MDM + MAM 模式时, 您可以允许用户选择退出 MDM 注册。有关详细信息,请参阅与 Citrix Gateway 和 Citrix ADC 相集成

移动设备管理(MDM 模式)

在 MDM 模式下,可以配置和支持移动设备以及确保移动设备的安全。MDM 允许您在系统级别保护设备和设备上的数据。可以配置策略、操作和安全功能。例如,如果设备丢失、被盗或不合规,可以选择性擦除设备。虽然应用程序管理功能在 MDM 模式下不可用,但是您可以在此模式下交付移动应用程序,例如公共应用商店应用程序和企业应用程序。下面是 MDM 模式的常见用例:

  • MDM 是需要设备级别的管理策略或限制(例如,完全擦除、选择性擦除或地理位置)的公司拥有的设备的考虑因素。
  • 客户需要管理实际的设备,但不需要 MDX 策略时,例如,应用程序容器化,控制应用程序数据共享或 Micro VPN。
  • 用户仅需要电子邮件传送给其移动设备上的本机电子邮件客户端,并且 Exchange ActiveSync 或客户端访问服务器已可从外部访问时。在此用例中,可以使用 MDM 配置电子邮件传送。
  • 部署本机企业应用程序(非 MDX)、公共应用商店应用程序或从公共应用商店交付的 MDX 应用程序时。请注意,MDM 解决方案本身不能防止设备上的应用程序之间的机密数据的数据泄漏。数据泄漏可能会在 Office 365 应用程序中执行复制和剪贴操作或“另存为”操作时发生。

移动应用程序管理(MAM 模式)

MAM 保护应用程序并且允许您控制应用程序数据共享。MAM 还允许您独立于个人数据来管理公司数据和资源。在 Endpoint Management 中配置了 MAM 模式的情况下,可以使用启用了 MDX 的移动应用程序提供每应用程序容器化和控制。

通过利用 MDX 策略,Endpoint Management 提供通过网络访问(例如 Micro VPN)进行的应用程序级别控制、应用程序和设备交互、数据加密和应用程序访问。

MAM 模式通常适用于自带 (BYO) 设备,因为即使设备未托管,公司数据仍受保护。MDX 具有 50 多个不需要 MDM 控制或不依赖设备通行码进行加密即可设置的仅 MAM 策略。

MAM 还支持 Citrix 移动生产力应用程序。此支持包括向 Citrix Secure Mail 安全地传送电子邮件、在受保护的 Citrix 移动生产力应用程序之间共享数据以及在 Citrix Files 中安全地存储数据。有关详细信息,请参阅 移动生产力应用程序

MAM 通常适用于以下示例:

  • 您提供在应用程序级别管理的移动应用程序,例如 MDX 应用程序。
  • 您不需要在系统级别管理设备。

MDM+MAM 模式

MDM + MAM 模式提供了 Endpoint Management 企业移动性管理 (EMM) 解决方案中提供的所有功能集。

Endpoint Management 允许您指定用户是否可以选择退出设备管理或者您是否需要进行设备管理。这种灵活性对包括混合用例的环境非常有用。这些环境可能需要通过 MDM 策略管理设备才能访问您的 MAM 资源。

MDM+MAM 适用于以下示例:

  • 您具有同时需要 MDM 和 MAM 的单个用例。需要 MDM 才能访问您的 MAM 资源。
  • 有些用例需要 MDM,而有些用例不需要。
  • 有些用例需要 MAM,而有些用例不需要。

设备管理和 MDM 注册

Endpoint Management Enterprise 环境可以包括混合用例,其中某些用例要求通过 MDM 策略进行设备管理以访问 MAM 资源。为用户部署 Citrix 移动生产力应用程序之前,请完全评估您的用例并决定是否要求 MDM 注册。如果以后决定更改 MDM 注册的要求,用户可能必须重新注册其设备。

下面概述了 Endpoint Management Enterprise 模式部署中要求 MDM 注册的优势和劣势(以及缓解操作)。

MDM 注册为可选时

优势

  • 用户不需要将其设备置于 MDM 管理模式即可访问 MAM 资源。此选项可以增加用户采用率。
  • 能够安全访问 MAM 资源以保护企业数据。
  • 应用程序通行码等 MDX 策略可以控制对每个 MDX 应用程序的应用程序访问。
  • 配置 Citrix Gateway、Endpoint Management 和每应用程序超时以及 Citrix PIN 将提供一层额外的保护。
  • 虽然 MDM 操作不适用于设备,但某些 MDX 策略可用于拒绝 MAM 访问。拒绝将取决于系统设置,例如越狱或获得 root 权限的设备。
  • 用户可以选择是否在首次使用过程中通过 MDM 注册其设备。

劣势

  • MAM 资源适用于未在 MDM 中注册的设备。
  • MDM 策略和操作仅适用于 MDM 注册的设备。

缓解方案

  • 使用户同意在其选择不遵从合规性的情况下追究其责任的公司条款和条件。使管理员监视未托管的设备。
  • 使用应用程序计时器管理应用程序访问和安全性。降低的超时值提高了安全性,但可能会影响用户体验。

要求 MDM 注册时

优势

  • 能够将 MAM 资源的访问仅限制到 MDM 托管的设备。
  • 根据需要,MDM 策略和操作可能适用于环境中的所有设备。
  • 用户无法选择退出注册其设备。

劣势

  • 要求所有用户通过 MDM 注册。
  • 可能会降低反对公司管理其个人设备的用户的采用率。

缓解方案

  • 针对 Endpoint Management 在其设备上实际管理的对象以及信息管理员可以访问的资源向用户提供教育培训。