应用程序
企业移动性管理 (EMM) 分为移动设备管理 (MDM) 和移动应用程序管理 (MAM)。MDM 让组织能够保护和控制移动设备,而 MAM 有助于应用程序交付和管理。为支持 BYOD 采用,您通常可以实施 MAM 解决方案(例如 XenMobile),以帮助执行以下操作:
- 应用程序交付
- 软件授权
- configuration
- 应用程序生命周期管理
可以要求或允许用户同时选择进行 MDM 管理。
通过 XenMobile,您可以配置特定的 MAM 策略和 VPN 设置以防止数据泄漏和其他安全威胁,进一步保护这些应用程序的安全。XenMobile 为组织提供了部署其解决方案的灵活性,作为:
- 仅 MAM 环境
- 仅 MDM 环境
- 同时提供 MDM 和 MAM 功能的统一 XenMobile Enterprise 环境
除了能够将应用程序交付到移动设备外,XenMobile 还通过 MDX 技术提供应用程序容器化。这些应用程序受基于策略的精细控制。独立软件供应商 (ISV) 可以使用移动应用程序 SDK 应用这些控制。
在企业环境中,用户使用各种各样的移动应用程序来协助完成自己的工作职责。这些应用程序可能包括公共应用商店中的应用程序、内部开发的应用程序或本机应用程序。XenMobile 按如下所示对这些应用程序进行分类:
-
公共应用商店: 这些应用程序包括公共应用商店(例如 Apple App Store 或 Google Play)中提供的免费或付费应用程序。组织外的供应商通常在公共应用商店中提供其应用程序。这种方式让其客户可以直接从 Internet 下载应用程序。根据用户的需求,您可以在组织中使用很多公共应用程序。例如,GoToMeeting、Salesforce 和 EpicCare 应用程序属于此类应用程序。
-
如果使用 MAM SDK: 请从应用程序供应商处获取应用程序二进制文件。然后,将 MAM SDK 集成到应用程序中。
-
如果您使用 MDX Toolkit: Citrix 不支持直接从公共应用商店下载应用程序二进制文件,然后使用 MDX Toolkit 将其打包以进行企业分发。要打包第三方应用程序,请与您的应用程序供应商合作以获取应用程序二进制文件。然后,您可以使用 MDX Toolkit 打包二进制文件。
-
-
内部应用程序: 许多组织都有内部开发人员,他们创建提供特定功能并在组织内独立开发和分发的应用程序。在某些情况下,一些组织可能还有 ISV 提供的应用程序。您可以将此类应用程序作为本机应用程序进行部署,也可以通过使用 MAM 解决方案(例如 XenMobile)容器化这些应用程序。
例如,某医疗机构可能会创建一个内部应用程序,以允许医师在移动设备上查看患者信息。然后,组织可以使用以下方法之一来保护患者信息的安全并启用对患者数据库的 VPN 访问:
- MAM SDK
- MDX Toolkit
- Web 和 SaaS 应用程序: 这些应用程序包括通过内部网络访问的应用程序(Web 应用程序)或通过公用网络访问的应用程序 (SaaS)。XenMobile 还允许您使用一组应用程序连接器创建自定义 Web 和 SaaS 应用程序。这些应用程序连接器便于对现有 Web 应用程序进行单点登录 (SSO)。有关详细信息,请参阅应用程序连接器类型。例如,您可以使用基于安全声明标记语言 (SAML) 的 Google Apps SAML for SSO 登录 Google Apps。
- 移动生产力应用程序: 移动生产力应用程序是 Citrix 开发且在 XenMobile 许可证中附带的应用程序。有关详细信息,请参阅关于移动生产力应用程序。Citrix 还提供 ISV 使用移动应用程序 SDK 开发的其他业务就绪型应用程序。
- HDX 应用程序: HDX 应用程序是您通过 StoreFront 发布且由 Windows 托管的应用程序。如果使用 Citrix Virtual Apps and Desktops 以及 Citrix Workspace,HDX 应用程序可供已注册的用户使用。
根据您计划通过 XenMobile 部署和管理的移动应用程序的类型,基础配置可能会有所差别。例如,具有不同权限级别的多组用户可能会使用某一个应用程序。在这种情况下,您可以创建独单独的交付组以部署同一应用程序的两个不同版本。此外,您还必须确保用户组成员身份相互排斥,以避免在用户设备上发生策略不匹配。
还可以使用 Apple 批量购买管理 iOS 应用程序许可。此选项要求您注册批量购买计划并在 XenMobile 控制台中配置批量购买设置。该配置允许您使用批量购买许可证分发应用程序。鉴于各种用例,在实施 XenMobile 环境之前请务必评估和规划您的 MAM 策略。规划您的 MAM 策略时,您可以先明确以下各项:
- 应用程序类型:列出您计划支持的不同应用程序类型,并对其进行分类,例如,公共、本机、Web、内部或 ISV 应用程序。此外,还按不同的设备平台(例如 iOS 和 Android)对应用程序进行分类。此分类将有助于调整每种类型的应用程序所需的各种 XenMobile 设置。例如,一些应用程序可能需要使用移动应用程序 SDK 来启用特殊 API 才能与其他应用程序交互。
- 网络要求: 配置具有特定网络访问要求的应用程序的设置。例如,某些应用程序可能需要通过 VPN 访问您的内部网络。某些应用程序可能需要 Internet 访问权限才能通过 DMZ 对访问进行路由。为了允许此类应用程序连接到所需网络,必须相应地配置各种设置。明确每个应用程序网络要求有助于在早期做出您的体系结构决策,这将简化整体实施流程。
-
安全要求: 可以定义应用到单个应用程序或所有应用程序的安全要求。
- MDX 策略等设置适用于单个应用程序
- 会话和身份验证设置适用于所有应用程序
- 某些应用程序可能具有特定的容器化、MDX、身份验证、地理围栏、通行码或数据共享要求。
请提前概述这些要求,以简化部署。有关 Endpoint Management 中的安全性的详细信息,请参阅安全性和用户体验。
- 部署要求 - 您可能希望使用基于策略的部署以仅允许合规用户下载已发布的应用程序。例如,某些应用程序可能会要求设备处于托管状态,或者设备满足最低操作系统版本要求。您可能还希望某些应用程序仅提供给企业用户。请提前列出此类要求,以便您可以配置适当的部署规则或操作。
-
许可要求: 保留应用程序相关的许可要求的记录。您的笔记可以帮助您有效地管理许可证使用情况,以及决定是否在 XenMobile 中配置特定功能以便于进行许可。例如,如果部署免费或付费 iOS 应用程序,Apple 会强制执行应用程序的许可要求。因此,用户必须登录其 Apple App Store 帐户。
但是,您可以注册加入 Apple 批量购买计划,以通过 XenMobile 分发和管理这些应用程序。批量购买允许用户无需登录其 Apple App Store 帐户即可下载应用程序。
某些平台(例如 Samsung SAFE 和 Samsung Knox)有需要在部署这些功能之前完成的特殊许可要求。
- 允许列表和阻止列表要求: 您可以确定不希望用户安装或使用的应用程序。创建阻止列表将定义不合规事件。然后,您可以设置策略,以便在事件发生时触发。另一方面,某个应用程序可能可以使用,但会出于某个原因而被列入阻止列表。在这种情况,可以将该应用程序添加到允许列表中,并指出该应用程序是可以使用的但不是必需的。此外,请谨记,预先安装在新设备上的应用程序可能包括一些不属于操作系统的常用应用程序。此类应用程序可能会与您的阻止列表策略发生冲突。
用例
某医疗机构计划部署 XenMobile 以用作其移动应用程序的 MAM 解决方案。移动应用程序将交付给公司和自带设备用户。IT 决定交付和管理以下应用程序:
移动生产力应用程序: 由 Citrix 提供的 iOS 和 Android 应用程序。有关详细信息,请参阅移动生产力应用程序。
Citrix Secure Hub: 所有移动设备用来与 XenMobile 通信的客户端。可以使用 Secure Hub 将安全设置、配置和移动应用程序推送到移动设备。Android 和 iOS 设备通过 Secure Hub 在 XenMobile 中注册。
Citrix Receiver: 允许移动设备用户打开 Citrix Virtual Apps 托管的应用程序的移动应用程序。
GoToMeeting: 在线会议、桌面共享和视频会议客户端,让用户可以通过 Internet 实时与其他计算机用户、客户、客户端或同事联系。
Salesforce1: Salesforce1 允许用户从移动设备访问 Salesforce,并将所有Chatter、CRM、自定义应用程序和业务流程集中在一起,以使 Salesforce 任何用户拥有统一的体验。
RSA SecurID: 用于双重身份验证的基于软件的令牌。
EpicCare 应用程序: 这些应用程序让医疗从业者可以安全便携地访问患者病情数据图表、患者名单、计划和消息。
Haiku: 适用于 iPhone 和 Android 手机的移动应用程序。
Canto: 适用于 iPad 的移动应用程序
Rover: 适用于 iPhone 和 iPad 的移动应用程序。
HDX: Citrix Virtual Apps 提供 HDX 应用程序。
- Epic Hyperspace: 用于电子病历管理的 Epic 客户端应用程序。
ISV:
- Vocera: HIPAA 合规 VoIP 和消息传送移动应用程序,通过 iPhone 和 Android 智能手机随时随地扩展 Vocera 语音技术的优势。
内部应用程序:
- HCMail: 该应用程序用于撰写加密邮件、在内部邮件服务器上搜索通讯簿以及使用电子邮件客户端将加密邮件发送给联系人。
内部 Web 应用程序:
- PatientRounding: 该 Web 应用程序用于按不同的部门记录患者健康信息。
- Outlook Web Access: 允许通过 Web 浏览器访问电子邮件。
- SharePoint: 用于组织范围的文件和数据共享。
下表列出了 MAM 配置所需的基本信息。
| 应用程序名称 | 应用程序类型 | MAM SDK 集成或 MDX 封装 | iOS | Android |
| Secure Mail | XenMobile App | 版本 10.4.1 及更高版本不使用 | 是 | 是 |
| Secure Web- | XenMobile App | 版本 10.4.1 及更高版本不使用 | 是 | 是 |
| Citrix Files | XenMobile App | 版本 10.4.1 及更高版本不使用 | 是 | 是 |
| Secure Hub | 公共应用程序 | 不适用 | 是 | 是 |
| Citrix Receiver | 公共应用程序 | 不适用 | 是 | 是 |
| GoToMeeting | 公共应用程序 | 不适用 | 是 | 是 |
| SalesForce1 | 公共应用程序 | 不适用 | 是 | 是 |
| RSA SecurID | 公共应用程序 | 不适用 | 是 | 是 |
| Epic Haiku | 公共应用程序 | 不适用 | 是 | 是 |
| Epic Canto | 公共应用程序 | 不适用 | 是 | 否 |
| Epic Rover | 公共应用程序 | 不适用 | 是 | 否 |
| Epic Hyperspace | HDX 应用程序 | 不适用 | 是 | 是 |
| Vocera | ISV 应用程序 | 是 | 是 | 是 |
| HCMail | 内部应用程序 | 是 | 是 | 是 |
| PatientRounding | Web 应用程序 | 不适用 | 是 | 是 |
| Outlook Web Access | Web 应用程序 | 不适用 | 是 | 是 |
| SharePoint | Web 应用程序 | 不适用 | 是 | 是 |
下表列出了您在 XenMobile 中配置 MAM 策略时可以参考的具体要求。
| 应用程序名称 | 需要 VPN | (与容器外部的应用程序)交互 | (从容器外部的应用程序)交互 | 代理过滤 | 许可 | 地理围栏 | 移动应用程序 SDK | 最低操作系统版本 |
|---|---|---|---|---|---|---|---|---|
| Secure Mail | Y | 选择性允许 | 允许 | 必需 | 不适用 | 选择性必需 | 不适用 | 强制执行 |
| Secure Web- | Y | 允许 | 允许 | 必需 | 不适用 | 不需要 | 不适用 | 强制执行 |
| Citrix Files | Y | 允许 | 允许 | 必需 | 不适用 | 不需要 | 不适用 | 强制执行 |
| Secure Hub | Y | 不适用 | 不适用 | 不需要 | 批量购买 | 不需要 | 不适用 | 不强制执行 |
| Citrix Receiver | Y | 不适用 | 不适用 | 不需要 | 批量购买 | 不需要 | 不适用 | 不强制执行 |
| GoToMeeting | N | 不适用 | 不适用 | 不需要 | 批量购买 | 不需要 | 不适用 | 不强制执行 |
| SalesForce1 | N | 不适用 | 不适用 | 不需要 | 批量购买 | 不需要 | 不适用 | 不强制执行 |
| RSA SecurID | N | 不适用 | 不适用 | 不需要 | 批量购买 | 不需要 | 不适用 | 不强制执行 |
| Epic Haiku | Y | 不适用 | 不适用 | 不需要 | 批量购买 | 不需要 | 不适用 | 不强制执行 |
| Epic Canto | Y | 不适用 | 不适用 | 不需要 | 批量购买 | 不需要 | 不适用 | 不强制执行 |
| Epic Rover | Y | 不适用 | 不适用 | 不需要 | 批量购买 | 不需要 | 不适用 | 不强制执行 |
| Epic Hyperspace | Y | 不适用 | 不适用 | 不需要 | 不适用 | 不需要 | 不适用 | 不强制执行 |
| Vocera | Y | 已阻止 | 已阻止 | 必需 | 不适用 | 必需 | 必需 | 强制执行 |
| HCMail | Y | 已阻止 | 已阻止 | 必需 | 不适用 | 必需 | 必需 | 强制执行 |
| PatientRound-ing | Y | 不适用 | 不适用 | 必需 | 不适用 | 不需要 | 不适用 | 不强制执行 |
| Outlook Web Access | Y | 不适用 | 不适用 | 必需 | 不适用 | 不需要 | 不适用 | 不强制执行 |
| SharePoint | Y | 不适用 | 不适用 | 必需 | 不适用 | 不需要 | 不适用 | 不强制执行 |