用户社区
每个组织都由多个以不同的功能角色运作的用户社区组成。这些用户社区使用您通过用户移动设备提供的各种资源执行不同的任务和办公功能。用户可能会使用您提供的移动设备在家中或远程办公室工作。或者,用户可能会使用私人移动设备,这允许其访问遵从某些安全合规规则的工具。
如果存在多个使用移动设备的用户社区,企业移动性管理 (EMM) 将对防止数据泄漏以及强制遵守组织层面的安全限制至关重要。为了实现高效率以及更加复杂的移动设备管理,您可以对用户社区进行分类。这样可以简化将用户映射到资源的过程,并确保正确的安全策略应用到正确的用户。
将用户社区分类可以包括使用以下组件:
-
Active Directory 组织单位 (OU) 和组
添加到特定 Active Directory 安全组的用户可以接收策略以及应用程序等资源。将用户从 Active Directory 安全组中删除将删除对以前允许访问的 XenMobile 资源的访问权限。
-
XenMobile 本地用户和组
对于在 Active Directory 中没有帐户的用户,可以将用户创建为本地 XenMobile 用户。可以通过与 Active Directory 用户相同的方式将本地用户添加到交付组中并为其预配资源。
-
XenMobile 交付组
如果多组具有不同权限级别的用户要占用一个应用程序,您可能需要创建独立的交付组。创建独立的交付组后,可以部署同一应用程序的两个独立版本。
-
交付组和用户组映射
交付组到 Active Directory 组的映射可以是一对一映射,也可以是一对多映射。将基础策略和应用程序分配给一个一对多交付组映射。将功能特定的策略和应用程序分配给多个一对一交付组映射。
-
应用程序的交付组和资源映射
将特定的应用程序分配给每个交付组。
-
MDM 资源的交付组和资源映射
将应用程序和特定的设备管理资源分配给每个交付组。例如,为一个交付组配置以下各项的任意组合:应用程序类型(公共应用程序、HDX 应用程序等)、每种应用程序类型的特定应用程序以及设备策略和自动化操作等资源。
以下示例说明了如何对医疗机构的用户社区进行分类以实现 EMM。
用例
本示例医疗机构提供技术资源以及向多个用户提供访问权限,包括网络和附属机构员工和志愿者。此机构已选择仅向非执行用户推出 EMM 解决方案。
您可以将此机构的用户角色和功能划分为几个子组,包括:临床、非临床和合同工。选定的一组用户将收到企业移动设备,而其他用户可以从其私人设备 (BYOD) 访问有限的公司资源。要强制执行恰当的安全限制级别以及防止数据泄漏,此机构决定企业 IT 负责管理注册的每个设备。此外,用户只能注册一个设备。
以下各节概述了每个子组的角色和功能:
临床
- 护士
- 医师(医生、外科医生等)
- 专家(营养学家、验血师、麻醉师、放射科医师、心脏病专家、肿瘤学家等)
- 外部医师(从远程办公室工作的非雇员医师和办公室工作人员)
- 家庭医疗服务(执行患者家访的医师服务的办公室和移动工作人员)
- 研究专家(在六家研究机构执行临床研究以寻找医学问题答案的知识型工作者和高级用户)
- 教育和培训(护士、医师以及教育和培训专家)
非临床
- 共享服务(执行各种后勤功能的办公室工作人员,包括:HR、工资单、应付账款、供应链服务等)
- 医师服务(执行各种医疗保健管理、管理服务以及针对提供商的业务流程解决方案的办公室工作人员,包括:管理服务、分析和业务智能、业务系统、客户服务、财务、托管式医疗管理、患者访问解决方案、收支周期解决方案等)
- 支持服务(执行各种非临床功能的办公室工作人员,包括:收益管理、临床整合、沟通、薪酬与绩效管理、设施和物业服务、HR 技术系统、信息服务、内部审计和流程改进等)
- 慈善活动(执行支持慈善活动的各项功能的办公室和移动工作人员)
合同工
- 制造商和供应商合作伙伴(通过站点到站点 VPN 现场连接和远程连接,提供各种非临床支持功能)
根据上述信息,此机构创建了以下实体。有关 XenMobile 中的交付组的详细信息,请参阅 XenMobile 产品文档中的部署资源。
Active Directory 组织单位 (OU) 和组
针对 OU = XenMobile 资源
- OU = 临床;组 =
- XM-护士
- XM-医师
- XM-专家
- XM-外部医师
- XM-家庭医疗服务
- XM-研究专家
- XM-教育和培训
- OU = 非临床;组 =
- XM-共享服务
- XM-医师服务
- XM-支持服务
- XM-慈善活动
XenMobile 本地用户和组
针对组= 合同工,用户 =
- 供应商 1
- 供应商 2
- 供应商 3
- … 供应商 10
XenMobile 交付组
- 临床-护士
- 临床-医师
- 临床-专家
- 临床-外部医师
- 临床-家庭医疗服务
- 临床-研究专家
- 临床-教育和培训
- 非临床-共享服务
- 非临床-医师服务
- 非临床-支持服务
- 非临床-慈善活动
交付组和用户组映射
| Active Directory 组 | XenMobile 交付组 |
| XM-护士 | 临床-护士 |
| XM-医师 | 临床-医师 |
| XM-专家 | 临床-专家 |
| XM-外部医师 | 临床-外部医师 |
| XM-家庭医疗服务 | 临床-家庭医疗服务 |
| XM-研究专家 | 临床-研究专家 |
| XM-教育和培训 | 临床-教育和培训 |
| XM-共享服务 | 非临床-共享服务 |
| XM-医师服务 | 非临床-医师服务 |
| XM-支持服务 | 非临床-支持服务 |
| XM-慈善活动 | 非临床-慈善活动 |
应用程序的交付组和资源映射
| Secure Mail | Secure Web | ShareFile | Receiver | Salesforce1 | RSA SecurID | EpicCare Haiku | Epic Hyperspace | |
| 临床-护士 | X | X | X | |||||
| 临床-医师 | ||||||||
| 临床-专家 | ||||||||
| 临床-外部医师 | X | X | ||||||
| 临床-家庭医疗服务 | X | X | ||||||
| 临床-研究专家 | X | X | ||||||
| 临床-教育和培训 | X | X | ||||||
| 非临床-共享服务 | X | X | ||||||
| 非临床-医师服务 | X | X | ||||||
| 非临床-支持服务 | X | X | X | X | ||||
| 非临床-慈善活动 | X | X | X | X | ||||
| 合同工 | X | X | X | X | X | X |
MDM 资源的交付组和资源映射
| MDM:通行码策略 | MDM:设备限制 | MDM:自动化操作 | MDM:WiFi 策略 | |
| 临床-护士 | X | |||
| 临床-医师 | X | |||
| 临床-专家 | ||||
| 临床-外部医师 | ||||
| 临床-家庭医疗服务 | ||||
| 临床-研究专家 | ||||
| 临床-教育和培训 | ||||
| 非临床-共享服务 | ||||
| 非临床-医师服务 | ||||
| 非临床-支持服务 | ||||
| 非临床-慈善活动 | ||||
| 合同工 | X |
备注和注意事项
- XenMobile 在初始配置过程中创建名为“所有用户”的默认交付组。如果不禁用此交付组,所有 Active Directory 用户都将具有在 XenMobile 中注册的权限。
- XenMobile 使用与 LDAP 服务器的动态连接按需同步 Active Directory 用户和组。
- 如果某个用户所属的组未在 XenMobile 中映射,该用户将无法注册。同样,如果某个用户属于多个组的成员,XenMobile 将仅对在映射到 XenMobile 的组中的用户进行分类。
- 要强制进行 MDM 注册,请在 XenMobile 控制台的服务器属性中将需要注册选项设置为真。有关详细信息,请参阅服务器属性。
- 要从 XenMobile 交付组中删除用户组,请删除 SQL Server 数据库中 dbo.userlistgrps 下的条目。
小心:
执行此操作之前,请创建 XenMobile 和数据库的备份。
关于 XenMobile 中的设备所有权
可以根据用户设备的所有者对用户进行分组。设备所有权包括公司拥有的设备和用户拥有的设备(也称为自带设备 (BYOD))。您可以在 XenMobile 控制台中的两个位置控制 BYOD 设备连接到您网络的方式:在“部署规则”中以及通过设置页面上的 XenMobile Server 属性。有关部署规则的详细信息,请参阅 XenMobile 文档中的部署资源。有关服务器属性的详细信息,请参阅本手册中的服务器属性。
通过设置服务器属性,您可以要求所有 BYOD 用户在接受公司对其设备的管理后才能访问应用程序。或者,也可以在不管理用户设备的情况下直接允许其访问公司应用程序。
将服务器属性 wsapi.mdm.required.flag 设置为 true 时,XenMobile 将托管所有 BYOD 设备,并且任何拒绝注册的用户都将无法访问应用程序。在企业 IT 团队在注册过程中需要高安全性和积极用户体验的环境中,请考虑将 wsapi.mdm.required.flag 设置为 true。
如果 wsapi.mdm.required.flag 保留为 false(默认设置),用户可以拒绝注册。但是,用户可以通过 XenMobile Store 访问其设备上的应用程序。在隐私、法律或规制不需要设备管理而仅需要企业应用程序管理的环境中,请考虑将 wsapi.mdm.required.flag 设置为 false。
使用 XenMobile 未托管的设备的用户可以通过 XenMobile Store 安装应用程序。您可以通过应用程序策略控制对应用程序的访问,而不是通过设备级别控制,如选择性擦除或完全擦除。某些策略设置需要设备定期检查 XenMobile Server 以确认仍允许运行应用程序。