Product Documentation

安全性和用户体验

对于任何组织而言,安全性都至关重要,但在提高安全性和改善用户体验方面,您必须在两者之间进行权衡。一种情况是,您的环境可能非常安全,但用户使用起来非常困难。另一种情况是,您的环境可能具有良好的用户体验,但访问控制却不那么严格。此虚拟手册中的其他章节详细介绍了安全功能,但本文的目的是简要概括您可以使用的安全选项,并引发您思考 XenMobile 中的常见安全问题。

下面是针对每种用例需要谨记的一些主要注意事项:

  • 您要保护某些应用程序的安全还是整个设备的安全?或者还是同时保护这两者的安全?
  • 您希望您的用户如何进行身份验证?您要使用 LDAP 还是基于证书的身份验证?或者还是组合使用这两者?
  • 用户会话应在多长时间之后发生超时?请谨记,后台服务、NetScaler 以及能够在脱机时访问应用程序的超时值不同。
  • 是否希望用户设置设备级别通行码和/或应用程序级别通行码?您希望允许用户可以尝试登录多少次?请谨记 MAM 针对每个应用程序实施的其他身份验证要求,以及用户对这些要求的看法。
  • 您还希望对用户实施其他哪些限制?用户是否应能够访问云服务(例如 Siri)?他们可以在每个应用程序中使用您为其提供的哪些功能,以及不能使用哪些功能?是否应部署企业 WiFi 策略,以防止在办公地点用尽手机网络流量套餐?

应用程序与设备

首先应考虑的其中一点是您应只保护某些应用程序(移动应用程序管理或 MAM)的安全,还是要管理整个设备(移动设备管理或 MDM)。通常情况下,如果您不需要设备级别控制,则只需要管理移动应用程序,尤其是当贵组织支持自带设备 (BYOD) 时。

在仅 MAM 环境中,用户可以访问为其提供的资源。MAM 策略可自行保护和管理应用程序。

您可以通过 MDM 保护整个设备,包括能够获取设备上所有软件的清单,以及能够在设备被越狱、被获得 Root 权限或安装了不安全的软件时阻止注册。但是,采用此级别的控制会使用户极不愿意允许对其私人设备拥有太多控制权限,因此可能会降低注册率。

可以对某些设备要求 MDM,而对其他设备不要求,但请谨记,如果选择此方式,可能要设置两种专用环境,这需要额外的资源和维护工作。

身份验证

身份验证对用户体验有很大的影响。如果贵组织已在运行 Active Directory,则使用 Active Directory 是您的用户访问系统的最简单方法。

身份验证用户体验的另一个重要方面是超时。在高安全性环境中,可能会要求用户每次访问系统时进行登录,但这种方式可能对所有组织都不适合。例如,要求用户每次访问其电子邮件时输入其凭据可能会让人非常烦恼,并且可能没有必要。

用户熵

要提高安全性,可以启用一项名为用户熵的功能。Citrix Secure Hub 与其他一些应用程序通常共享通用数据(例如,密码、PIN 和证书)以确保一切正常运行。此信息存储在 Secure Hub 中的一个通用保管库中。如果您通过加密机密选项启用用户熵,XenMobile 将创建一个名为 UserEntropy 的新保管库,并将通用保管库中的信息移到此新保管库中。为了让 Secure Hub 或其他应用程序访问这些数据,用户必须输入密码或 PIN。

启用用户熵将会在多个位置添加另一层身份验证。但是,这意味着,每当应用程序需要访问 UserEntropy 保管库中的共享数据(包括密码、PIN 和证书)时,用户都需要输入密码或 PIN。

您可以阅读 XenMobile 文档中的关于 MDX Toolkit,了解有关用户熵的详细信息。要启用用户熵,您可以在客户端属性中找到相关设置。

策略

MDX 和 MDM 策略都为组织提供了很大的灵活性,但也可以限制用户。在某些情况下,您可能希望这样,但这些策略也可能会导致系统无法使用。例如,您可能希望阻止对云应用程序(例如 Siri 或 iCloud)进行访问,因为可能会发送敏感数据,而您不希望发生这种情况。您可以设置一个策略来阻止访问这些服务,但请谨记,此类策略可能会导致发生意外结果。iOS 键盘麦克风也依赖于云访问,因此,您可能也会阻止访问该功能。

应用程序

企业移动性管理 (EMM) 分为移动设备管理 (MDM) 和移动应用程序管理 (MAM)。MDM 让组织能够保护和控制移动设备,而 MAM 有助于应用程序交付和管理。随着越来越多的人采用自带设备,通常可以实施 MAM 解决方案(例如 XenMobile),以帮助进行应用程序交付、软件许可、配置和应用程序生命周期管理。

通过 XenMobile,您可以配置特定的 MAM 策略和 VPN 设置以防止数据泄漏和其他安全威胁,进一步保护这些应用程序的安全。XenMobile 为组织提供了灵活性,组织既可以按仅 MAM 环境或仅 MDM 环境方式部署其解决方案,也可以将 XenMobile 实施为在同一平台中同时提供 MDM 和 MAM 功能的统一 XenMobile Enterprise 环境。

除了能够将应用程序交付到移动设备外,XenMobile 还通过 MDX 技术提供应用程序容器化。MDX 通过不同于设备级别加密的加密来保护应用程序的安全;您可以擦除或锁定应用程序,并且应用程序受基于策略的粒度级控制。独立软件供应商 (ISV) 可以使用 Worx App SDK 应用这些控制。

在企业环境中,用户使用多种移动应用程序来协助完成自己的工作职责。在某些情况下,这些应用程序可能也包括公共应用商店中的应用程序、内部开发的应用程序或本机应用程序。XenMobile 按如下所示对这些应用程序进行分类:

公共应用程序: 这些应用程序包括公共应用商店(例如 iTunes 或 Google Play)中提供的免费或付费应用程序。组织外的供应商通常在公共应用商店中提供其应用程序。这种方式让其客户可以直接从 Internet 下载应用程序。根据用户的需求,您可以在组织中使用很多公共应用程序。例如,GoToMeeting、Salesforce 和 EpicCare 应用程序属于此类应用程序。

Citrix 不支持直接从公共应用商店下载应用程序二进制文件,然后使用 MDX Toolkit 将其打包以进行企业分发。如果您需要打包第三方应用程序,请联系您的应用程序供应商以获取您可以使用 MDX Toolkit 打包的应用程序二进制文件。

内部应用程序: 许多组织都有内部开发人员,他们创建提供特定功能并在组织内独立开发和分发的应用程序。在某些情况下,一些组织可能还有 ISV 提供的应用程序。您可以将此类应用程序作为本机应用程序进行部署,也可以通过使用 MAM 解决方案(例如 XenMobile)容器化这些应用程序。例如,某医疗机构可能会创建一个内部应用程序,以允许医师在移动设备上查看患者信息。然后,组织可以使用 MDX Toolkit 打包该应用程序,以便保护患者信息的安全并支持对后端患者数据库服务器进行 VPN 访问。

Web 和 SaaS 应用程序: 这些应用程序包括通过内部网络访问的应用程序(Web 应用程序)或通过公用网络访问的应用程序 (SaaS)。XenMobile 还允许您使用一组应用程序连接器创建自定义 Web 和 SaaS 应用程序。这些应用程序连接器便于对现有 Web 应用程序进行单点登录 (SSO)。有关详细信息,请参阅应用程序连接器类型。例如,您可以使用基于安全声明标记语言 (SAML) 的 Google Apps SAML for SSO 登录 Google Apps。

移动生产力应用程序: 这些是 Citrix 开发且在 XenMobile 许可证中附带的应用程序。有关详细信息,请参阅关于移动生产力应用程序。Citrix 还提供 ISV 使用 Worx App SDK 开发的其他可用于业务的应用程序

HDX 应用程序: 这些是您通过 StoreFront 发布且由 Windows 托管的应用程序。如果您具有 Citrix XenApp 和 XenDesktop 环境,您可以将这些应用程序与 XenMobile 集成以向注册用户提供这些应用程序。

根据您计划通过 XenMobile 部署和管理的移动应用程序的类型,基础配置和体系结构会有所不同。例如,如果具有不同权限级别的多组用户将使用某一个应用程序,您可能必须创建独立的交付组以部署同一应用程序的两个独立版本。此外,您还必须确保用户组成员身份相互排斥,以避免在用户设备上发生策略不匹配。

您可能还希望使用 Apple 批量购买计划 (VPP) 来管理 iOS 应用程序许可。此方式要求您注册加入 VPP 计划,并在 XenMobile 控制台中配置 XenMobile VPP 设置以使用 VPP 许可证分发应用程序。鉴于各种此类用例,在实施 XenMobile 环境之前务必要评估和规划您的 MAM 策略。规划您的 MAM 策略时,您可以先明确以下各项:

应用程序类型: 列出您计划支持的不同应用程序类型,并对其进行分类,例如,公共、本机、移动生产力应用程序、Web、内部、ISV 应用程序等。此外,还按不同的设备平台(例如 iOS 和 Android)对应用程序进行分类。此分类将有助于调整每种类型的应用程序所需的不同 XenMobile 设置。例如,某些应用程序可能不符合打包条件,或者一些应用程序可能需要使用 Worx App SDK 来启用特殊 API 才能与其他应用程序交互。

网络要求: 您需要通过适当的设置为应用程序配置特定的网络访问要求。例如,某些应用程序可能需要通过 VPN 访问您的内部网络;某些应用程序可能需要访问 Internet 以通过 DMZ 路由访问。为了允许此类应用程序连接到所需网络,您必须相应地配置各种设置。明确每个应用程序网络要求有助于在早期做出您的体系结构决策,这将简化整体实施流程。

安全要求: 明确应用于各个应用程序或所有应用程序的安全要求对于确保在安装 XenMobile Server 时创建正确的配置至关重要。虽然 MDX 策略等设置应用于各个应用程序,会话和身份验证设置应用于所有应用程序,某些应用程序仍可能会有特定的加密、容器化、打包、加密、身份验证、地理围栏、通行码或数据共享要求,您将需要提前列出这些要求以简化部署。

部署要求: 您可能希望使用基于策略的部署以仅允许合规用户下载已发布的应用程序。例如,您可能希望某些应用程序要求设备加密处于启用状态或设备处于托管状态,或者设备满足最低操作系统版本要求。您可能还希望某些应用程序仅提供给企业用户。您需要提前列出此类要求,以便您可以配置适当的部署规则或操作。

许可要求: 您应记下应用程序相关的许可要求。这些记录内容将帮助您有效地管理许可证使用情况,以及决定是否需要在 XenMobile 中配置特定功能以便于进行许可。例如,如果部署 iOS 应用程序,无论是免费还是付费应用程序,Apple 都使用户登录其 iTunes 帐户以对应用程序强制实施许可要求。您可以注册加入 Apple VPP 以通过 XenMobile 分发和管理这些应用程序。VPP 允许用户无需登录其 iTunes 帐户即可下载应用程序。此外,Samsung SAFE 和 Samsung KNOX 等工具有特殊的许可要求,您需要在部署这些功能之前先完成这些要求。

黑名单/白名单要求: 可能有一些您根本不希望用户安装或使用的应用程序。创建黑名单将定义不合规事件。然后您可以设置在发生此类事件时要触发的策略。另一方面,某个应用程序可能可以使用,但可能出于某种原因而被列入黑名单。如果发生这种情况,可以将该应用程序添加到白名单中,并指出该应用程序是可以使用的但不是必需的。此外,请谨记,预先安装在新设备上的应用程序可能包括一些不属于操作系统的常用应用程序。这可能会与您黑名单策略相冲突。

应用程序用例

某医疗机构计划部署 XenMobile 以用作其移动应用程序的 MAM 解决方案。移动应用程序将交付给公司和自带设备用户。IT 决定交付和管理以下应用程序:

  • 移动生产力应用程序: 由 Citrix 提供的 iOS 和 Android 应用程序。
  • Secure Mail: 电子邮件、日历和联系人应用程序。
  • Secure Web: 用于访问 Internet 和 Intranet 站点的 Secure Web 浏览器。
  • Secure Notes: 与电子邮件和日历集成在一起的 Secure 笔记记录应用程序。
  • ShareFile: 用于访问共享数据以及共享、同步和编辑文件的应用程序。

公共应用商店

  • Secure Hub: 所有移动设备用来与 XenMobile 通信的客户端。IT 通过 Secure Hub 客户端向移动设备推送安全设置、配置和移动应用程序。Android 和 iOS 设备通过 Secure Hub 在 XenMobile 中注册。
  • Citrix Receiver: 允许用户在移动设备上打开 XenApp 托管应用程序的移动应用程序。
  • GoToMeeting: 在线会议、桌面共享和视频会议客户端,让用户可以通过 Internet 实时与其他计算机用户、客户、客户端或同事联系。
  • SalesForce1: SalesForce1 允许用户从移动设备访问 Salesforce,并将所有Chatter、CRM、自定义应用程序和业务流程集中在一起,以使 Salesforce 任何用户拥有统一的体验。
  • RSA SecurID: 用于双重身份验证的基于软件的令牌。
  • EpicCare 应用程序: 这些应用程序让医疗工作人员可以安全便携地访问患者图表、患者列表、计划和消息。
    • Haiku: 适用于 iPhone 和 Android 手机的移动应用程序。
    • Canto: 适用于 iPad 的移动应用程序
    • Rover: 适用于 iPhone 和 iPad 的移动应用程序。

HDX: 这些应用程序通过 Citrix XenApp 交付。

  • Epic Hyperspace: 用于电子病历管理的 Epic 客户端应用程序。

ISV

  • Vocera: HIPAA 合规 VoIP 和消息传送移动应用程序,通过 iPhone 和 Android 智能手机随时随地扩展 Vocera 语音技术的优势。

内部应用程序

  • HCMail: 该应用程序用于撰写加密邮件、在内部邮件服务器上搜索通讯簿以及使用电子邮件客户端将加密邮件发送给联系人。

内部 Web 应用程序

  • PatientRounding: 该 Web 应用程序用于按不同的部门记录患者健康信息。
  • Outlook Web Access: 允许通过 Web 浏览器访问电子邮件。
  • SharePoint: 用于组织范围的文件和数据共享。

下表列出了 MAM 配置所需的基本信息。

         
应用程序名称 应用程序类型 MDX 打包 iOS Android
Secure Mail XenMobile App 版本 10.4.1 及更高版本不使用
Secure Web XenMobile App 版本 10.4.1 及更高版本不使用
Secure Notes XenMobile App 版本 10.4.1 及更高版本不使用
ShareFile XenMobile App 版本 10.4.1 及更高版本不使用
Secure Hub 公共应用程序 不适用
Citrix Receiver 公共应用程序 不适用
GoToMeeting 公共应用程序 不适用
SalesForce1 公共应用程序 不适用
RSA SecurID 公共应用程序 不适用
Epic Haiku 公共应用程序 不适用
Epic Canto 公共应用程序 不适用
Epic Rover 公共应用程序 不适用
Epic Hyperspace HDX 应用程序 不适用
Vocera ISV 应用程序
HCMail 内部应用程序
PatientRounding Web 应用程序 不适用
Outlook Web Access Web 应用程序 不适用
SharePoint Web 应用程序 不适用

以下各表列出了您在 XenMobile 中配置 MAM 策略时可以查询的特定要求。

应用程序名称 需要 VPN 交互 交互 设备加密
    (与容器外部的应用程序) (从容器外部的应用程序)  
Secure Mail 选择性允许 允许 不需要
Secure Web 允许 允许 不需要
Secure Notes 允许 允许 不需要
ShareFile 允许 允许 不需要
Secure Hub 不适用 不适用 不适用
Citrix Receiver 不适用 不适用 不适用
GoToMeeting 不适用 不适用 不适用
SalesForce1 不适用 不适用 不适用
RSA SecurID 不适用 不适用 不适用
Epic Haiku 不适用 不适用 不适用
Epic Canto 不适用 不适用 不适用
Epic Rover 不适用 不适用 不适用
Epic Hyperspace 不适用 不适用 不适用
Vocera 不允许 不允许 不需要
HCMail 不允许 不允许 必需
PatientRounding 不适用 不适用 必需
Outlook Web Access 不适用 不适用 不需要
SharePoint 不适用 不适用 不需要
应用程序名称 代理过滤 许可 地理围栏 Worx App SDK 最低操作系统版本
Secure Mail 必需 不适用 选择性必需 不适用 强制执行
Secure Web 必需 不适用 不需要 不适用 强制执行
Secure Notes 必需 不适用 不需要 不适用 强制执行
ShareFile 必需 不适用 不需要 不适用 强制执行
Secure Hub 不需要 VPP 不需要 不适用 不强制执行
Citrix Receiver 不需要 VPP 不需要 不适用 不强制执行
GoToMeeting 不需要 VPP 不需要 不适用 不强制执行
SalesForce1 不需要 VPP 不需要 不适用 不强制执行
RSA SecurID 不需要 VPP 不需要 不适用 不强制执行
Epic Haiku 不需要 VPP 不需要 不适用 不强制执行
Epic Canto 不需要 VPP 不需要 不适用 不强制执行
Epic Rover 不需要 VPP 不需要 不适用 不强制执行
Epic Hyperspace 不需要 不适用 不需要 不适用 不强制执行
Vocera 必需 不适用 必需 必需 强制执行
HCMail 必需 不适用 必需 必需 强制执行
PatientRound-ing 必需 不适用 不需要 不适用 不强制执行
Outlook Web Access 必需 不适用 不需要 不适用 不强制执行
SharePoint 必需 不适用 不需要 不适用 不强制执行

用户社区

每个组织都由多个以不同的功能角色运作的用户社区组成。这些用户社区使用您通过用户移动设备提供的各种资源执行不同的任务和办公功能。用户可能会使用您提供的移动设备或使用自己的私人移动设备(这样,他们可以访问遵从某些安全合规规则的工具)在家中或远程办公室工作。

随着越来越多的用户社区开始使用移动设备来简化或协助完成自己的工作职责,企业移动性管理 (EMM) 将对防止数据泄漏以及强制遵守组织层面的安全限制至关重要。为了实现高效率以及更加复杂的移动设备管理,您可以对用户社区进行分类。这样可以简化将用户映射到资源的过程,并确保正确的安全策略应用到正确的用户。

以下示例说明了如何对医疗机构的用户社区进行分类以实现 EMM。

用户社区用例

本示例医疗机构提供技术资源以及向多个用户提供访问权限,包括网络和附属机构员工和志愿者。此机构已选择仅向非执行用户推出 EMM 解决方案。

此机构的用户角色和功能可以划分为几个子组,包括:临床、非临床和合同工。选定的一组用户将收到企业移动设备,而其他用户可以从其私人设备访问有限的公司资源。为了强制执行正确的安全限制级别以及防止数据泄漏,此机构决定企业 IT 负责管理注册的每个设备:企业设备和自带设备 (BYOD)。此外,用户只能注册一个设备。

下面的部分概述了每个子组的角色和功能:

临床

  • 护士
  • 医师(医生、外科医生等)
  • 专家(营养学家、验血师、麻醉师、放射科医师、心脏病专家、肿瘤学家等)
  • 外部医师(从远程办公室工作的非雇员医师和办公室工作人员)
  • 家庭医疗服务(执行患者家访的医师服务的办公室和移动工作人员)
  • 研究专家(在六家研究机构执行临床研究以寻找医学问题答案的知识型工作者和高级用户)
  • 教育和培训(护士、医师以及教育和培训专家)

非临床

  • 共享服务(执行以下各种后勤职能的办公室工作人员:HR、工资单、应付账款、供应链服务等)
  • 医师服务(执行以下各种医疗保健管理、行政服务以及针对提供商的业务流程解决方案的办公室工作人员:行政服务、分析和业务智能、业务系统、客户服务、财务、托管式医疗管理、患者访问解决方案、收支周期解决方案等)
  • 支持服务(执行以下各种非临床职能的办公室工作人员:收益管理、临床整合、沟通、薪酬与绩效管理、设施和物业服务、HR 技术系统、信息服务、内部审计和流程改进等)
  • 慈善活动(执行支持慈善活动的各项功能的办公室和移动工作人员)

合同工

  • 制造商和供应商合作伙伴(通过站点到站点 VPN 现场连接和远程连接,提供各种非临床支持功能)

根据上述信息,此机构创建了以下实体。有关 XenMobile 中的交付组的详细信息,请参阅部署资源

Active Directory 组织单位 (OU) 和组

针对 OU = XenMobile 资源:

  • OU = 临床;组 =
    • XM-护士
    • XM-医师
    • XM-专家
    • XM-外部医师
    • XM-家庭医疗服务
    • XM-研究专家
    • XM-教育和培训
  • OU = 非临床;组 =
    • XM-共享服务
    • XM-医师服务
    • XM-支持服务
    • XM-慈善活动

XenMobile 本地用户和组

针对组= 合同工,用户 =

  • 供应商 1
  • 供应商 2
  • 供应商 3
  • … 供应商 10

XenMobile 交付组

  • 临床-护士
  • 临床-医师
  • 临床-专家
  • 临床-外部医师
  • 临床-家庭医疗服务
  • 临床-研究专家
  • 临床-教育和培训
  • 非临床-共享服务
  • 非临床-医师服务
  • 非临床-支持服务
  • 非临床-慈善活动

交付组和用户组映射

   
Active Directory 组 XenMobile 交付组
XM-护士 临床-护士
XM-医师 临床-医师
XM-专家 临床-专家
XM-外部医师 临床-外部医师
XM-家庭医疗服务 临床-家庭医疗服务
XM-研究专家 临床-研究专家
XM-教育和培训 临床-教育和培训
XM-共享服务 非临床-共享服务
XM-医师服务 非临床-医师服务
XM-支持服务 非临床-支持服务
XM-慈善活动 非临床-慈善活动

交付组和资源映射

以下各表列出了分配给此用例中每个交付组的资源。第一个表显示了移动应用程序分配情况;第二个表显示了公共应用程序、HDX 应用程序和设备管理资源。

       
XenMobile 交付组 Citrix 移动应用程序 公共移动应用程序 HDX 移动应用程序
临床-护士 X    
临床-医师      
临床-专家      
临床-外部医师 X    
临床-家庭医疗服务 X    
临床-研究专家 X    
临床-教育和培训   X X
非临床-共享服务   X X
非临床-医师服务   X X
非临床-支持服务 X X X
非临床-慈善活动 X X X
合同工 X X X
               
XenMobile 交付组 公共应用程序:RSA SecurID 公共应用程序:EpicCare Haiku HDX 应用程序:Epic Hyperspace 通行码策略 设备限制 自动化操作 WiFi 策略
临床-护士             X
临床-医师         X    
临床-专家              
临床-外部医师              
临床-家庭医疗服务              
临床-研究专家              
临床-教育和培训   X X        
非临床-共享服务   X X        
非临床-医师服务   X X        
非临床-支持服务   X X        

备注和注意事项

  • XenMobile 在初始配置过程中创建名为“所有用户”的默认交付组。如果不禁用此交付组,所有 Active Directory 用户都将具有在 XenMobile 中注册的权限。
  • XenMobile 使用与 LDAP 服务器的动态连接按需同步 Active Directory 用户和组。
  • 如果某个用户所属的组未在 XenMobile 中映射,该用户将无法注册。同样,如果某个用户是多个组的成员,XenMobile 将仅以该用户属于映射到 XenMobile 的组的情况对其进行分类。
  • 为了强制进行 MDM 注册,必须在 XenMobile 控制台的“服务器属性”中将“需要注册选项”设置为“真”。有关详细信息,请参阅服务器属性
  • 您可以通过删除 SQL Server 数据库中 dbo.userlistgrps 下的条目,将用户组从 XenMobile 交付组中删除。 警告: 执行此操作之前,请创建 XenMobile 和数据库的备份。

关于 XenMobile 中的设备所有权

可以根据用户设备的所有者对用户进行分组。设备所有权包括公司拥有的设备和用户拥有的设备(也称为自带设备 (BYOD))。您可以在 XenMobile 控制台中的两个位置控制 BYOD 设备连接到您网络的方式:在“部署规则”中以及通过设置页面上的 XenMobile Server 属性。有关部署规则的详细信息,请参阅 XenMobile 文档中的配置部署规则。有关服务器属性的详细信息,请参阅服务器属性

通过设置服务器属性,您可以要求所有 BYOD 用户在接受公司对其设备的管理后才能访问应用程序,也可以在不管理用户设备的情况下为其提供访问公司应用程序的权限。

将服务器设置 wsapi.mdm.required.flag 设为 true 时,XenMobile 将托管所有 BYOD 设备,并且任何拒绝注册的用户都将无法访问应用程序。在企业 IT 团队需要高安全性和积极用户体验(来源于在 XenMobile 中注册用户设备)的环境中,应考虑将 wsapi.mdm.required.flag 设置为 true

如果让 wsapi.mdm.required.flag 保留 false(默认设置),用户可以拒绝注册,但仍可以在其设备上通过 XenMobile Store 访问应用程序。在隐私、法律或规制不需要设备管理而仅需要企业应用程序管理的环境中,应考虑将 wsapi.mdm.required.flag 设置为 false

使用 XenMobile 未托管的设备的用户可以通过 XenMobile Store 安装应用程序。您可以通过应用程序策略控制对应用程序的访问,而不是通过设备级别控制,如选择性擦除或完全擦除。根据您设置的值,策略需要设备定期检查 XenMobile Server 以确认仍允许运行应用程序。

安全要求

部署 XenMobile 环境时的安全注意事项量很快会变得难以应对。存在很多相互关联的方面和设置,您可能不知道从何处着手或如何选择才能确保提供可接受的保护级别。为了简化这些选择,Citrix 提供了有关高安全性、较高安全性和最高安全性的建议,如下表中所述。

请注意,不应单独从安全问题角度来选择部署模式。此外,务必要查看用例的要求,并确定是否可以在选择部署模式之前缓解安全问题。

高: 使用这些设置可提供最佳的用户体验,同时保持大多数组织可接受的基本安全级别。

较高: 这些设置在安全性和可用性之间进行更加稳健的权衡。

最高: 遵循这些建议,安全级别将非常高,但可用性和用户采用率会降低。

部署模式安全注意事项

下表列出了实现每种安全级别的部署模式。

     
高安全性 较高安全性 最高安全性
MAM 和/或 MDM MDM+MAM MDM+MAM;以及 FIPS

注意:

  • 根据用例,仅 MDM 部署或仅 MAM 部署可以满足安全要求,并提供良好的用户体验。
  • 如果无需应用程序容器化、Micro VPN 或应用程序特定的策略,MDM 应足以满足管理和保护设备的需求。
  • 对通过应用程序容器化即可满足所有业务和安全要求的用例(例如 BYOD),Citrix 建议采用仅 MAM 模式。
  • 对于高安全性环境 (和公司发放的设备),Citrix 建议采用 MDM+MAM 以充分利用可用的所有安全功能。应在 XenMobile 控制台中通过服务器属性强制进行 MDM 注册。
  • FIPS 选项适用于具有最高安全性需求的环境,例如联邦政府。

如果启用 FIPS 模式,则必须配置 SQL Server 以加密 SQL 流量。

NetScaler 和 NetScaler Gateway 安全注意事项

下表列出了针对每种安全级别的 NetScaler 和 NetScaler Gateway 建议。

     
高安全性 较高安全性 最高安全性
建议使用 NetScaler。MAM 和 ENT 需要使用 NetScaler Gateway;对于 MDM,建议使用 如果 XenMobile 在 DMZ 中,使用标准 NetScaler for XenMobile 向导配置与 SSL 桥接;或当 XenMobile Server 在内部网络中,如果为了满足安全标准而需要 SSL 卸载,则使用 SSL 卸载。 SSL 卸载与端到端加密

注意:

  • 只要 SSL 流量终止于 XenMobile Server,对于 MDM,可以通过 NAT 或现有的第三方代理/负载平衡器向 Internet 公开 XenMobile Server,但这种方式会带来潜在的安全风险。
  • 对于高安全性环境,采用默认 XenMobile 配置的 NetScaler 应该可以满足或超过安全要求。
  • 对于具有最高安全性需求的 MDM 环境,SSL 终止于 NetScaler 提供了检查外围流量的功能,同时维持端到端 SSL 加密。
  • 用于定义 SSL/TLS 密码的选项。
  • 此外,还提供 SSL FIPS NetScaler 硬件。
  • 有关详细信息,请参阅与 NetScaler Gateway 和 NetScaler 集成

注册安全注意事项

下表列出了针对每种安全级别的 NetScaler 和 NetScaler Gateway 建议。

     
高安全性 较高安全性 最高安全性
仅限 Active Directory 组成员身份。禁用“所有用户”交付组。 仅限邀请的注册模式。仅限 Active Directory 组成员身份。禁用“所有用户”交付组 注册模式关联到设备 ID。仅限 Active Directory 组成员身份。禁用“所有用户”交付组

注意:

  • Citrix 通常建议只允许预定义的 Active Directory 组中的用户进行注册。这需要禁用内置的“所有用户”交付组。
  • 您可以使用注册邀请来限制仅收到邀请的用户可以注册。
  • 您可以使用一次性 PIN (OTP) 注册邀请作为双重解决方案以及控制用户可以注册的设备数。
  • 对于具有最高安全性要求的环境,您可以通过 SN/UDID/EMEI 将注册邀请关联到设备。双重选项也可用于要求使用 Active Directory 密码和 OTP。(请注意,OTP 选项当前不适用于 Windows 设备。)

设备 PIN 安全注意事项

下表列出了针对每种安全级别的设备 PIN 建议。

     
高安全性 较高安全性 最高安全性
推荐。设备级别加密要求高安全性。可通过 MDM 强制要求。可以使用 MDX 策略设置为采用仅 MAM 时要求 。 通过使用 MDM 和/或 MDX 策略强制要求。 通过使用 MDM 和 MDX 策略强制要求。MDM 复杂通行码策略。

注意:

  • Citrix 建议使用设备 PIN。
  • 可以通过 MDM 策略强制要求输入设备 PIN 。
  • 可以通过 MDX 策略要求在使用托管应用程序时输入设备 PIN;例如,对于 BYOD 用例。
  • Citrix 建议组合使用 MDM 和 MDX 策略选项来提高 MDM+MAM 环境的安全性 。
  • 对于具有最高安全性要求的环境,可以配置复杂通行码策略,并通过 MDM 强制实施这些策略。您可以配置自动操作,以便在设备不符合通行码策略时通知管理员或执行选择性设备擦除/完全设备擦除。