Product Documentation

管理模式

对于每个 XenMobile 实例(单个服务器或节点的群集),您可以选择管理设备、应用程序还是管理两者。XenMobile 对设备和应用程序管理模式(有时也称为部署模式)使用以下术语:

  • 移动设备管理模式(MDM 模式)
  • 移动应用程序管理模式(MAM 模式)
  • MDM+MAM 模式(企业模式)

移动设备管理(MDM 模式)

重要:

如果配置了 MDM 模式,之后更改为 ENT 模式,请务必使用相同的 (Active Directory) 身份验证。XenMobile 不支持在用户注册后更改身份验证模式。有关详细信息,请参阅升级

在 MDM 模式下,可以配置和支持移动设备以及确保移动设备的安全。MDM 允许您在系统级别保护设备和设备上的数据。可以配置策略、操作和安全功能。例如,如果设备丢失、被盗或不合规,可以选择性擦除设备。虽然应用程序管理功能在 MDM 模式下不可用,但是您可以在此模式下交付移动应用程序,例如公共应用商店应用程序和企业应用程序。下面是 MDM 模式的常见用例:

  • MDM 是需要设备级别的管理策略或限制(例如,完全擦除、选择性擦除或地理位置)的公司拥有的设备的考虑因素。
  • 客户需要管理实际的设备,但不需要 MDX 策略时,例如,应用程序容器化,控制应用程序数据共享或 Micro VPN。
  • 用户仅需要电子邮件传送给其移动设备上的本机电子邮件客户端,并且 Exchange ActiveSync 或客户端访问服务器已可从外部访问时。在此用例中,可以使用 MDM 配置电子邮件传送。
  • 部署本机企业应用程序(非 MDX)、公共应用商店应用程序或从公共应用商店交付的 MDX 应用程序时。请注意,MDM 解决方案本身不能防止设备上的应用程序之间的机密数据的数据泄漏。数据泄漏可能会在 Office 365 应用程序中执行复制和剪贴操作或“另存为”操作时发生。

移动应用程序管理(MAM 模式)

MAM 保护应用程序并且允许您控制应用程序数据共享。MAM 还允许您独立于个人数据来管理公司数据和资源。在 XenMobile 中配置了 MAM 模式的情况下,可以使用启用了 MDX 的移动应用程序提供每应用程序容器化和控制。术语“MAM 模式”又称为“仅 MAM 模式”。此术语将此模式与旧版 MAM 模式区分开来。

通过利用 MDX 策略,XenMobile 提供通过网络访问(例如 Micro VPN)进行的应用程序级别控制、应用程序和设备交互、数据加密和应用程序访问。

MAM 模式通常适用于自带 (BYO) 设备,因为即使设备未托管,公司数据仍受保护。MDX 具有 50 多个不需要 MDM 控制或不依赖设备通行码进行加密即可设置的仅 MAM 策略。

MAM 还支持移动生产力应用程序。此支持包括向 Citrix Secure Mail 安全地传送电子邮件、在受保护的移动生产力应用程序之间共享数据以及在 ShareFile 中安全地存储数据。有关详细信息,请参阅移动生产力应用程序

MAM 通常适用于以下示例:

  • 您提供在应用程序级别管理的移动应用程序,例如 MDX 应用程序。
  • 您不需要在系统级别管理设备。

MDM+MAM(企业模式)

MDM+MAM 属于混合模式,又称为“企业模式”,这将启用 XenMobile 企业移动性管理 (EMM) 解决方案中提供的所有功能集。在 XenMobile 中配置 MDM+MAM 模式将同时启用 MDM 和 MAM 功能。

XenMobile 允许您指定用户是否可以选择退出设备管理或者您是否需要进行设备管理。这种灵活性对包括混合用例的环境非常有用。这些环境可能需要通过 MDM 策略管理设备才能访问您的 MAM 资源。

MDM+MAM 适用于以下示例:

  • 您具有同时需要 MDM 和 MAM 的单个用例。需要 MDM 才能访问您的 MAM 资源。
  • 有些用例需要 MDM,而有些用例不需要。
  • 有些用例需要 MAM,而有些用例不需要。

您通过“服务器模式”属性指定 XenMobile Server 的管理模式。您在 XenMobile 控制台中配置设置。模式可以是 MDM、MAM 或 ENT(适用于 MDM+MAM)。

您具有许可证的 XenMobile 版本决定管理模式和其他可用的功能,如下表中所示。

     
XenMobile MDM Edition XenMobile Advanced Edition XenMobile Enterprise Edition
MDM 功能 MDM 功能 MDM 功能
- MAM 功能 MAM 功能
- MDX Toolkit MDX Toolkit
Secure Hub Secure Hub Secure Hub
- Secure Mail Secure Mail
- Secure Web Secure Web
QuickEdit QuickEdit QuickEdit
- Secure Tasks Secure Tasks
- - ShareConnect
- - Secure Notes
- - ShareFile Enterprise Edition

设备管理和 MDM 注册

XenMobile Enterprise 环境可以包括混合用例,其中某些用例要求通过 MDM 策略进行设备管理以访问 MAM 资源。为用户部署移动生产力应用程序之前,请完全评估您的用例并决定是否要求 MDM 注册。如果以后决定更改 MDM 注册的要求,用户可能必须重新注册其设备。

注意: 要指定是否要求用户在 MDM 中注册,请使用 XenMobile 控制台中的 XenMobile Server 属性需要注册设置 > 服务器属性)。该全局服务器属性适用于 XenMobile 实例的所有用户和设备。该属性仅在 XenMobile Server 模式为 ENT 时适用。

下面概述了 XenMobile 企业模式部署中要求 MDM 注册的优势和劣势(以及缓解操作)。

MDM 注册为可选时

优势:

  • 用户不需要将其设备置于 MDM 管理模式即可访问 MAM 资源。此选项可以增加用户采用率。
  • 能够安全访问 MAM 资源以保护企业数据。
  • 应用程序通行码等 MDX 策略可以控制对每个 MDX 应用程序的应用程序访问。
  • 配置 NetScaler、XenMobile Server 和每应用程序超时以及 Citrix PIN 将提供一层额外的保护。
  • 虽然 MDM 操作不适用于设备,但某些 MDX 策略可用于拒绝 MAM 访问。拒绝将取决于系统设置,例如越狱或获得 root 权限的设备。
  • 用户可以选择是否在首次使用过程中通过 MDM 注册其设备。

劣势:

  • MAM 资源适用于未在 MDM 中注册的设备。
  • MDM 策略和操作仅适用于 MDM 注册的设备。

缓解方案:

  • 使用户同意在其选择不遵从合规性的情况下追究其责任的公司条款和条件。使管理员监视未托管的设备。
  • 使用应用程序计时器管理应用程序访问和安全性。降低的超时值提高了安全性,但可能会影响用户体验。
  • 一种方案是使用第二个要求 MDM 注册的 XenMobile 环境。考虑使用此方案时,请谨记管理两种环境的额外开销以及所需的额外资源。

要求 MDM 注册时

优势:

  • 能够将 MAM 资源的访问仅限制到 MDM 托管的设备。
  • 根据需要,MDM 策略和操作可能适用于环境中的所有设备。
  • 用户无法选择退出注册其设备。

劣势:

  • 要求所有用户通过 MDM 注册。
  • 可能会降低反对公司管理其个人设备的用户的采用率。

缓解方案:

  • 针对 XenMobile 在其设备上实际管理的对象以及信息管理员可以访问的资源向用户提供教育培训。
  • 可以对不需要 MDM 管理的设备使用第二个 XenMobile 环境和服务器模式 MAM(又称为“仅 MAM 模式”)。考虑使用此方案时,请谨记管理两种环境的额外开销以及所需的额外资源。

关于 MAM 和旧版 MAM 模式

XenMobile 10.3.5 引入了新的“仅 MAM”服务器模式。文档使用这些术语来区分以前的 MAM 模式与新的 MAM 模式。新模式称为“仅 MAM”或“MA”,以前的 MAM 模式称为旧版 MAM 模式。

当 XenMobile 的服务器模式属性为 MAM 时“仅 MAM”模式生效。设备在 MAM 模式中注册。

当 XenMobile 的服务器模式属性为 ENT 以及用户选择退出设备管理时,旧 MAM 功能生效。在这种情况下,设备在 MAM 模式下注册。选择退出 MDM 管理的用户将继续接收旧版 MAM 功能。

注意: 以前,将“服务器模式”属性设置为 MAM 与将其设置为 ENT 具有相同的效果:选择退出 MDM 管理的用户收到旧版 MAM 功能。

下表概述了用于特定许可证类型的“服务器模式”设置以及所需的设备模式:

     
您的许可证适用于此版本 您希望设备在此模式下注册 将“服务器模式”属性设置为
Enterprise/Advanced/MDM MDM 模式 MDM
Enterprise/Advanced MAM 模式(又称为“仅 MAM 模式”) MAM
Enterprise/Advanced MDM+MAM 模式 ENT(选择退出设备管理的用户将在旧版 MAM 模式下操作)。

仅 MAM 模式支持以前仅对 ENT 可用的以下功能。这些功能不适用于 Windows Phone。

  • 基于证书的身份验证:仅 MAM 模式支持基于证书的身份验证。即使 Active Directory 密码过期时,用户也会遇到继续访问其应用程序的情况。如果对 MAM 设备使用基于证书的身份验证,则必须配置 NetScaler Gateway。默认情况下,在 XenMobile 设置 > NetScaler Gateway 中,“向用户提供用于身份验证的证书”设置为,表示使用用户名和密码身份验证。将该设置更改为将启用证书身份验证。
  • 自助服务门户:允许用户执行各自的应用程序锁定和应用程序擦除操作。这些操作适用于设备上的所有应用程序。您可以在配置 > 操作中配置应用程序锁定和应用程序擦除操作。
  • 所有注册模式: 包括“高安全性”、“邀请 URL”和“双重身份验证”,通过管理 > 注册邀请进行配置。
  • 面向 Android 和 iOS 设备的设备注册限制: 服务器属性每个用户的设备数已移动到配置 > 注册配置文件,并且现在适用于所有服务器模式。
  • 仅 MAM API: 对于仅 MAM 设备,可以通过使用任何 REST 客户端和 XenMobile REST API 调用 XenMobile 控制台展现的服务来调用 REST 服务。
  • 通过仅 MAM API,可以执行以下操作:
    • 发送邀请 URL 和一次性 PIN。
    • 在设备上发出应用程序锁定和擦除命令。

下表总结了旧版 MAM 和仅 MAM 功能之间的差别。

     
注册场景及其他功能 旧版 MAM(服务器模式为 ENT) 仅 MAM 模式(服务器模式为 MAM)
证书身份验证 不受支持。 支持。对于证书身份验证,需要配置 NetScaler Gateway。
部署要求 XenMobile Server 不需要能够直接从设备访问。 XenMobile Server 不需要能够直接从设备访问。
注册选项 使用 NetScaler Gateway FQDN,或者使用 MDM FQDN 时,选择退出注册。 使用 XenMobile Server FQDN。
注册方法* 用户名 + 密码 用户名 + 密码、高安全性、邀请 URL、邀请 URL+PIN、邀请 URL + 密码、双重身份验证、用户名 + PIN
应用程序锁定和擦除 支持。 支持。
用于应用程序锁定和擦除的自助服务门户选项 不受支持。 支持。
应用程序擦除行为 应用程序保留在设备上,但不可使用。XenMobile 仅删除客户端上的帐户。 应用程序保留在设备上,但不可使用。XenMobile 仅删除客户端上的帐户。
面向仅 MAM 用户的自动化操作。 支持事件、设备属性和用户属性操作。不支持基于已安装的应用程序的自动化操作。 支持事件、设备属性、用户属性和某些基于应用程序的操作,包括应用程序擦除和应用程序锁定。
删除了 Active Directory 用户时的内置操作 支持应用程序擦除。 支持应用程序擦除。
注册限制 支持;通过注册配置文件进行配置。 支持;通过注册配置文件进行配置。
软件清单 支持。XenMobile 列出了设备上安装的应用程序 不受支持。

*关于通知: SMTP 是唯一支持的发送注册邀请的方法。

重要:

对于仅 MAM 模式,以前注册的用户必须重新注册其设备。请务必向用户提供注册所需的 XenMobile Server FQDN。在仅 MAM 模式下,设备使用 XenMobile Server FQDN 进行注册,这一点与 ENT 模式相同。(在旧版 MAM 模式下,设备使用 NetScaler Gateway FQDN 进行注册。)