Richtlinien für Geräte und Apps
Die Geräte- und App-Richtlinien von Citrix Endpoint Management ermöglichen einen optimierten Ausgleich mehrerer Faktoren. Dazu gehören beispielsweise:
- Unternehmenssicherheit
- Schutz der Daten und Anlagen von Unternehmen
- Schutz von Benutzerdaten
- Produktive und positive Benutzererfahrung
Der optimale Ausgleich dieser Faktoren kann variieren. Stark regulierte Organisationen, beispielsweise im Finanzsektor, benötigen strengere Sicherheitsmechanismen als andere Branchen, z. B. Bildung und Einzelhandel, wo es vor allem auf die Produktivität der Benutzer ankommt.
Durch zentrale Steuerung und Konfiguration von Richtlinien auf der Grundlage von Identität, Geräten, Standort und Verbindungstyp des Benutzers können Sie die missbräuchliche Nutzung von Unternehmensinhalten wirksam einschränken. Falls ein Gerät verloren oder gestohlen wird, können Sie Unternehmensanwendungen und -daten remote deaktivieren, sperren oder löschen. Das Gesamtergebnis ist eine Lösung, mit der die Zufriedenheit und Produktivität der Mitarbeiter erhöht wird, während Sicherheit und administrative Steuerung ebenfalls gewährleistet sind.
Der Hauptschwerpunkt dieses Artikels liegt auf den zahlreichen Geräte- und App-Richtlinien, die in Verbindung mit der Sicherheit konfiguriert werden können.
Richtlinien zur Einschränkung von Sicherheitsrisiken
Die Geräte- und App-Richtlinien von Citrix Endpoint Management berücksichtigen zahlreiche Situationen, die ein Sicherheitsrisiko darstellen können. Dazu gehören beispielsweise:
- Benutzer versuchen, über nicht vertrauenswürdige Geräte oder an unsicheren Standorten auf Apps und Daten zuzugreifen.
- Benutzer senden Daten von Gerät zu Gerät.
- Ein nicht autorisierter Benutzer will auf Daten zugreifen.
- Benutzer, die ihr Privatgerät für die Arbeit verwendet haben (BYOD), verlassen die Firma.
- Ein Benutzer verlegt ein Gerät.
- Benutzer müssen immer sicher auf das Netzwerk zugreifen.
- Benutzer verwenden ein verwaltetes Privatgerät, und Sie müssen Firmendaten von persönlichen Daten trennen.
- Die Benutzeranmeldeinformationen müssen nach Inaktivität eines Geräts überprüft werden.
- Benutzer kopieren vertrauliche Inhalte über die Zwischenablage in nicht geschützte E-Mail-Systeme.
- Benutzer empfangen E-Mail-Anlagen oder Weblinks mit vertraulichen Daten auf einem Gerät, auf dem Privat- und Firmenkonten angelegt sind.
Diese Situationen verweisen auf zwei Hauptbereiche, die beim Schutz von Firmendaten Probleme verursachen können:
- Datenspeicherung
- Datenübertragung
Schutz ruhender Daten durch Citrix Endpoint Management
Daten, die auf mobilen Geräten gespeichert sind, werden auch ruhende Daten genannt. Citrix Endpoint Management verwendet die von den iOS- und Android-Plattformen bereitgestellte Geräteverschlüsselung. Citrix Endpoint Management ergänzt die plattformbasierte Verschlüsselung um Features wie die Complianceprüfung, die über das Citrix MAM SDK verfügbar ist.
Die MAM-Funktionen in Citrix Endpoint Management ermöglichen die sichere und kontrollierte Verwaltung von mobilen Citrix Produktivitätsapps, MDX-aktivierten Apps und ihrer zugehörigen Daten.
Das SDK für mobile Apps ermöglicht die Bereitstellung von Apps über Citrix Endpoint Management mithilfe der Citrix MDX-App-Containertechnologie. Die Containertechnologie trennt auf den Geräten der Benutzer Unternehmens-Apps und -Daten von persönlichen Apps und -Daten. Durch die Trennung der Daten können Sie benutzerdefinierte Apps, Drittanbieter-Apps oder mobile BYO-Apps durch umfassende richtlinienbasierte Steuerelemente sichern.
Citrix Endpoint Management umfasst auch eine Verschlüsselung auf App-Ebene. Citrix Endpoint Management verschlüsselt die in einer MDX-fähigen App gespeicherten Daten separat und ohne erforderlichen Passcode des Gerätes. Sie müssen das Gerät auch nicht verwalten, um die Richtlinie umsetzen zu können.
- Auf iOS-Geräten verwendet Citrix Endpoint Management starke FIPS-validierte Kryptografiedienste und Bibliotheken wie Schlüsselbund.
- OpenSSL bietet FIPS-validierte Module für verschiedene Geräteplattformen. OpenSSL sichert weiterhin Daten in der Übertragung und die zum Verwalten und Registrieren von Geräten erforderlichen Zertifikate.
- Citrix Endpoint Management verwendet die MAM SDK Shared Vault API zum Verwalten der von Apps mit derselben Schlüsselbundgruppe gemeinsam verwendeten Inhalte. Sie können beispielsweise Benutzerzertifikate über eine registrierte App freigeben, sodass Apps Zertifikate aus dem Tresor beziehen können.
- Citrix Endpoint Management verwendet die von den Plattformen bereitgestellte Geräteverschlüsselung.
- Citrix Endpoint Management MAM-Steuerelemente auf App-Ebene validieren per Konformitätsprüfung, ob die Geräteverschlüsselung bei jedem App-Start aktiviert ist.
Schutz von Daten im Übertragungsprozess durch Citrix Endpoint Management
Daten, die zwischen Mobilgeräten des Benutzers und dem internen Netzwerk übertragen werden, heißen auch Daten im Übertragungsprozess. Das MDX-App-Container-Verfahren bietet einen anwendungsspezifischen VPN-Zugriff auf Ihr internes Netzwerk über NetScaler Gateway.
Betrachten Sie die Situation, in der Mitarbeiter von einem Mobilgerät aus auf die folgenden Ressourcen im sicheren Unternehmensnetzwerk zugreifen möchten:
- Der Unternehmens-E-Mail-Server
- Eine SSL-fähige Webanwendung, die im Unternehmensintranet gehostet wird
- Auf einem Dateiserver oder Microsoft SharePoint gespeicherte Dokumente
MDX ermöglicht den Zugriff auf diese Unternehmensressourcen von mobilen Geräten über ein anwendungsspezifisches Micro-VPN. Jedes Gerät nutzt einen eigenen Micro-VPN-Tunnel.
Für die Micro-VPN-Funktionalität ist kein geräteübergreifendes VPN erforderlich, welches die Sicherheit auf nicht vertrauenswürdigen Mobilgeräten einschränken kann. Das interne Netzwerk ist keiner Schadsoftware und keinen Angriffen ausgesetzt, die das gesamte Unternehmenssystem infizieren können. Geschäftliche und private mobile Apps können nebeneinander auf dem Gerät existieren.
Um eine noch höhere Sicherheitsstufe anzubieten, können Sie für MDX-aktivierte Apps eine Richtlinie mit Alternativem NetScaler Gateway konfigurieren. Diese Richtlinie wird für die Authentifizierung und Micro-VPN-Sitzungen einer App verwendet. Sie können ein alternatives NetScaler Gateway mit der Richtlinie “Micro-VPN-Sitzung erforderlich” verwenden, um eine erneute Authentifizierung von Apps bei dem spezifischen Gateway zu erzwingen. Solche Gateways haben normalerweise unterschiedliche (höhere Sicherheit) Authentifizierungsanforderungen und Datenverwaltungsrichtlinien.
Neben Sicherheitsfeatures bietet das Micro-VPN-Feature Komprimierungsalgorithmen und andere Techniken zur Datenoptimierung. Komprimierungsalgorithmen stellen sicher, dass:
- nur die Mindestmenge an Daten übertragen wird
- die Übertragung in der schnellstmöglichen Zeit erfolgt. Die Geschwindigkeit verbessert die Benutzererfahrung und ist ein wichtiger Erfolgsfaktor bei der Akzeptanz mobiler Geräte.
Überprüfen Sie Ihre Geräterichtlinien in regelmäßigen Abständen, zum Beispiel in folgenden Situationen:
- Eine neue Version von Citrix Endpoint Management umfasst neue oder aktualisierte Richtlinien aufgrund veröffentlichter Gerätebetriebssystemupdates.
-
Beim Hinzufügen eines Gerätetyps:
Obwohl viele Richtlinien für alle Geräte gelten, gibt es für jedes Gerät einen betriebssystemspezifischen Richtliniensatz. Daher gibt es möglicherweise Unterschiede zwischen iOS-, Android- und Windows-Geräten und sogar zwischen Android-Geräten verschiedener Hersteller.
- Sie möchten Citrix Endpoint Management mit unternehmens- oder branchenspezifischen Änderungen synchronisieren, beispielsweise mit neuen Konformitätsanforderungen oder Sicherheitsrichtlinien im Unternehmen.
- Eine neue Version des MAM-SDKs enthält neue oder aktualisierte Richtlinien.
- Sie möchten eine App hinzufügen oder aktualisieren.
- Zum Integrieren neuer Workflows für Ihre Benutzer aufgrund neuer Apps oder Anforderungen.
Szenarios für App-Richtlinien und Anwendungsfälle
Sie können zwar auswählen, welche Apps über Citrix Secure Hub verfügbar sind, vielleicht möchten Sie aber auch die Interaktion dieser Apps mit Citrix Endpoint Management definieren. Verwenden Sie App-Richtlinien:
- Wenn Sie möchten, dass sich Benutzer nach einem bestimmten Zeitraum authentifizieren.
- Wenn Sie Benutzern Offlinezugriff auf ihre Daten gewähren möchten.
Die folgenden Abschnitte enthalten einige der Richtlinien und Einsatzbeispiele.
- Eine Liste aller Drittanbieterrichtlinien, die Sie mit dem MAM-SDK in Ihre iOS- und Android-App integrieren können, finden Sie unter Überblick über das MAM-SDK.
- Eine Liste aller MDX-Richtlinien pro Plattform finden Sie unter MDX-Richtlinien.
Authentifizierungsrichtlinien
-
Gerätepasscode
Verwendungszweck dieser Richtlinie: Aktivieren Sie die Passcoderichtlinie für Geräte, um festzulegen, dass ein Benutzer nur dann auf eine MDX-App zugreifen kann, wenn das Gerät einen aktivierten Passcode hat. Dieses Feature gewährleistet die Verwendung der iOS-Verschlüsselung auf Geräteebene.
Benutzerbeispiel: Bei Aktivieren dieser Richtlinie müssen Benutzer einen Passcode auf ihrem iOS-Gerät festlegen, bevor sie auf die MDX-App zugreifen können.
-
App-Passcode
Verwendungszweck dieser Richtlinie: Aktivieren Sie die Richtlinie für App-Passcodes, damit Benutzer in Citrix Secure Hub aufgefordert werden, sich bei der verwalteten App zu authentifizieren, bevor sie die App öffnen und auf Daten zugreifen können. Benutzer können sich über ihr Active Directory-Kennwort, die Citrix-PIN oder die iOS Touch ID authentifizieren, je nachdem, was Sie in der Citrix Endpoint Management-Konsole unter Einstellungen > Clienteigenschaften konfigurieren. Sie können unter “Clienteigenschaften” einen Inaktivitätstimer festlegen, damit Citrix Secure Hub Benutzer erst nach Ablauf des Timers zur erneuten Authentifizierung bei der verwalteten App auffordert.
Der App-Passcode unterscheidet sich von einem Gerätepasscode. Wenn eine Geräte-Passcoderichtlinie an ein Gerät übertragen wird, fordert Citrix Secure Hub den Benutzer auf, einen Passcode oder eine PIN zu konfigurieren. Der Benutzer muss sein Gerät beim Einschalten bzw. nach Ablauf des Inaktivitäts-Timers entsperren. Weitere Informationen finden Sie unter Authentifizierung in Citrix Endpoint Management.
Benutzerbeispiel: Beim Öffnen von Citrix Secure Web auf dem Gerät müssen Benutzer nach Ablauf des Inaktivitätszeitraums ihre Citrix-PIN eingeben, bevor sie Websites durchsuchen können.
-
Micro-VPN-Sitzung erforderlich
Verwendungszweck dieser Richtlinie: Wenn eine Anwendung zur Ausführung Zugriff auf eine Web-App (Webdienst) benötigt, aktivieren Sie diese Richtlinie. Citrix Endpoint Management fordert den Benutzer dann auf, sich mit dem Unternehmensnetzwerk zu verbinden oder eine aktive Sitzung zu erstellen, bevor er die App verwendet.
Benutzerbeispiel: Wenn Benutzer eine MDX-App öffnen, für die die Richtlinie “Micro-VPN-Sitzung erforderlich” aktiviert ist, können sie die App erst dann verwenden, wenn sie eine Verbindung mit dem Netzwerk herstellen. Die Verbindung muss über einen Mobilfunk- oder Wi-Fi-Dienst erstellt werden.
-
Maximale Offlinezeit
Verwendungszweck dieser Richtlinie: Verwenden Sie diese Richtlinie als zusätzliche Sicherheitsoption. Die Richtlinie sorgt dafür, dass Benutzer, die eine App eine bestimmte Zeitlang offline ausführen, den App-Anspruch erneut bestätigen und Richtlinien aktualisieren müssen.
Benutzerbeispiel: Wenn Sie eine MDX-App mit maximaler Offlinezeit konfigurieren, kann der Benutzer die App bis zum Ablauf des Offlinetimers offline verwenden. Anschließend muss der Benutzer sich per Mobilnetz oder Wi-Fi-Dienst mit dem Netzwerk verbinden und sich auf Aufforderung erneut authentifizieren.
Weitere Zugriffsrichtlinien
-
Kulanzzeitraum für App-Update (Stunden)
Verwendungszweck dieser Richtlinie: Der Kulanzzeitraum für App-Updates ist die Zeitdauer, vor deren Ablauf Benutzer eine App aktualisieren müssen, deren neue Version im App-Store verfügbar ist. Ist die Zeit abgelaufen, müssen Benutzer die App aktualisieren, bevor sie Zugriff auf die Daten in der App erhalten. Berücksichtigen Sie beim Festlegen dieses Werts die Anforderungen Ihrer mobilen Mitarbeiter, insbesondere von Benutzern, die aufgrund von Auslandsreisen längere Zeit offline sind.
Benutzerbeispiel: Sie laden eine neue Version von Citrix Secure Mail in den App-Store und definieren einen Kulanzzeitraum für das App-Update von 6 Stunden. Citrix Secure Hub-Benutzer haben dann sechs Stunden Zeit, um Citrix Secure Mail zu aktualisieren, bevor sie zum App-Store weitergeleitet werden.
-
Aktives Abfrageintervall (Minuten)
Verwendungszweck der Richtlinie: Das aktive Abfrageintervall ist der Zeitraum, in dem Citrix Endpoint Management prüft, wann für eine App notwendige Sicherheitsaktionen wie App sperren und App löschen durchzuführen sind.
Benutzerbeispiel: Wenn Sie die Richtlinie für das aktive Abfrageintervall auf 60 Minuten festlegen und dann den Befehl zur App-Sperre senden, erfolgt die Sperre innerhalb von 60 Minuten nach der letzten Abfrage.
Richtlinien für nicht richtlinientreue Geräte
Wenn ein Gerät unter die Mindestanforderungen für die Compliance fällt, können Sie mit der Richtlinie “Verhalten für nicht richtlinientreue Geräte” wählen, welche Aktion ausgeführt wird. Informationen hierzu finden Sie unter Verhalten für nicht richtlinientreue Geräte.
App-Interaktionsrichtlinien
Verwendungszweck dieser Richtlinien: Verwenden Sie App-Interaktionsrichtlinien, um den Daten- und Dokumentenfluss von MDX-Apps zu anderen Apps auf dem Gerät zu steuern. Beispielsweise können Sie verhindern, dass ein Benutzer:
- Daten in persönliche Apps außerhalb des Containers verschiebt
- Daten von außerhalb des Containers in die Apps im Container einfügt
Benutzerbeispiel: Sie wählen für eine App-Interaktionsrichtlinie die Einstellung “Eingeschränkt”. Benutzer können Texte dann von Citrix Secure Mail in Citrix Secure Web kopieren. Sie können sie aber nicht in ihren persönlichen Safari- oder Chrome-Browser außerhalb des Containers kopieren. Benutzer können außerdem Dokumente im Anhang aus Citrix Secure Mail in Citrix Files oder QuickEdit öffnen. Sie können angehängte Dokumente nicht in ihren eigenen Apps zur Dateianzeige außerhalb des Containers öffnen.
App-Einschränkungsrichtlinien
Verwendungszweck dieser Richtlinien: Mit App-Einschränkungsrichtlinien legen Sie fest, auf welche Features Benutzer aus einer geöffneten MDX-App heraus zugreifen können. Diese Einschränkungen sind hilfreich, um schädliche Aktivitäten zu verhindern, während die App ausgeführt wird. Die App-Einschränkungsrichtlinien von iOS und Android unterscheiden sich leicht. In iOS können Sie beispielsweise den Zugriff auf iCloud blockieren, während die MDX-App ausgeführt wird. In Android können Sie NFC blockieren, während die MDX-App ausgeführt wird.
Benutzerbeispiel: Wenn Sie beispielsweise die App-Einschränkungsrichtlinie zum Blockieren des Diktierfunktion auf iOS in einer MDX-App aktivieren, können Benutzer diese Funktion nicht auf der iOS-Tastatur verwenden, während die MDX-App ausgeführt wird. Diktierte Daten können damit nicht an den unsicheren Cloud-Diktierdienst eines Drittanbieters weitergegeben werden. Wenn Benutzer ihre persönliche App außerhalb des Containers öffnen, können sie die Diktierfunktion weiterhin für ihre persönliche Kommunikation nutzen.
Richtlinien für den App-Netzwerkzugriff
Verwendungszweck dieser Richtlinien: Mit den Richtlinien für den App-Netzwerkzugriff ermöglichen Sie den Zugriff aus einer MDX-App im Container auf dem Gerät auf Daten in Ihrem Unternehmensnetzwerk. Die Option “Tunnel - Web-SSO” erlaubt nur das Tunneln von HTTP- und HTTPS-Datenverkehr. Sie bietet Single Sign-On (SSO) für HTTP- und HTTPS-Datenverkehr sowie PKINIT-Authentifizierung.
Benutzerbeispiel: Wenn ein Benutzer eine MDX-App mit aktivierter Tunnelfunktion öffnet, öffnet der Browser eine Intranetsite, ohne dass der Benutzer ein VPN starten muss. Die App greift automatisch über das Micro-VPN auf die Intranetsite zu.
Richtlinien für App-Geolocation/-Geofencing
Verwendungszweck dieser Richtlinien: Mit diesen Richtlinien steuern Sie App-Geolocation/-Geofencing und legen Einstellungen wie Längengrad von Mittelpunkt, Breitengrad von Mittelpunkt und Radius fest. Die Richtlinien beschränken den Zugriff auf Daten in MDX-Apps auf einen bestimmten geografischen Bereich. Die Richtlinien definieren einen geografischen Bereich durch einen Radius mit Koordinaten für Längen- und Breitengrad. Wenn ein Benutzer versucht, eine App außerhalb des definierten Radius zu verwenden, bleibt die App gesperrt und der Benutzer hat keinen Zugriff auf die App-Daten.
Benutzerbeispiel: Ein Benutzer kann auf Daten zu Fusionen und Übernahmen zugreifen, während er sich im Büro befindet. Sobald er seinen Bürostandort verlässt, hat er keinen Zugriff auf diese vertraulichen Daten.
Citrix Secure Mail-App-Richtlinien
-
Hintergrundnetzwerkdienste
Verwendungszweck dieser Richtlinie: Hintergrundnetzwerkdienste in Citrix Secure Mail verwenden Secure Ticket Authority (STA), eine Art SOCKS5-Proxy, um über NetScaler Gateway eine Verbindung herzustellen. STA unterstützt längere Verbindungen und bietet eine bessere Akkulaufzeit im Vergleich zu Micro-VPN. STA ist daher ideal für E-Mail-Programme, die eine ständige Verbindung benötigen. Citrix empfiehlt, dass Sie diese Einstellungen für Citrix Secure Mail konfigurieren. Der NetScaler für XenMobile-Assistent richtet STA für Citrix Secure Mail automatisch ein.
Benutzerbeispiel: Wenn STA nicht aktiviert ist, werden Android-Benutzer beim Öffnen von Citrix Secure Mail aufgefordert, ein VPN zu öffnen, das dann auf dem Gerät geöffnet bleibt. Wenn STA aktiviert ist, wird beim Öffnen von Citrix Secure Mail durch Android-Benutzer sofort eine Verbindung hergestellt und es ist kein VPN erforderlich.
-
Standardsynchronisierungsintervall
Verwendungszweck dieser Richtlinie: Mit dieser Einstellung wird die Standardanzahl von Tagen festgelegt, für die eine E-Mail-Synchronisierung mit Citrix Secure Mail erfolgt, wenn ein Benutzer das erste Mal auf Citrix Secure Mail zugreift. Die Synchronisierung von E-Mails aus zwei Wochen dauert länger als die aus drei Tagen. Mehr zu synchronisierende Daten verlängern den Einrichtungsprozess für den Benutzer.
Benutzerbeispiel: Angenommen, das Standardsynchronisierungsintervall wurde bei der Ersteinrichtung von Citrix Secure Mail auf drei Tage festgelegt. Der Benutzer sieht alle E-Mails in seinem Posteingang, die er in den letzten drei Tagen erhalten hat. Wenn ein Benutzer E-Mails anzeigen möchte, die älter als drei Tage sind, kann er eine Suche durchführen. Citrix Secure Mail zeigt dann auch ältere E-Mails an, die auf dem Server gespeichert sind. Nach der Installation von Citrix Secure Mail kann jeder Benutzer diese Einstellung an seine Anforderungen anpassen.
Geräterichtlinien und Anwendungsverhalten
Geräterichtlinien (gelegentlich auch als MDM-Richtlinien bezeichnet) legen fest, wie Citrix Endpoint Management Geräte verwaltet. Obwohl viele Richtlinien für alle Geräte gelten, gibt es für jedes Gerät einen betriebssystemspezifischen Richtliniensatz. Die folgende Liste enthält einige dieser Geräterichtlinien und erläutert, wie sie verwendet werden. Eine Liste aller Geräterichtlinien finden Sie unter Geräterichtlinien.
-
App-Bestandsrichtlinie
Verwendungszweck dieser Richtlinie: Um sämtliche von einem Benutzer installierten Apps anzuzeigen, stellen Sie die App-Bestandsrichtlinie auf einem Gerät bereit. Wenn Sie die Richtlinie nicht bereitstellen, können Sie nur die vom Benutzer aus dem App-Store installierten Apps anzeigen, nicht jedoch persönlich installierte Apps. Verwenden Sie die App-Bestandsrichtlinie, wenn Sie bestimmte Apps auf Unternehmensgeräten sperren möchten.
Benutzerbeispiel: Benutzer mit einem MDM-verwalteten Gerät können diese Funktion nicht deaktivieren. Die persönlich installierten Anwendungen des Benutzers sind für Citrix Endpoint Management-Administratoren sichtbar.
-
App-Sperre
Verwendungszweck dieser Richtlinie: Mit der App-Sperre können Sie in Android Sperr- oder Positivlisten für Apps einrichten. Für zulässige Apps können Sie beispielsweise ein Kioskgerät konfigurieren. Normalerweise stellen Sie die Richtlinie mit App-Sperre nur auf Unternehmensgeräten bereit, da sie einschränkt, welche Apps von Benutzern installiert werden können. Sie können ein Kennwort festlegen, mit dem Benutzer die Sperre außer Kraft setzen und auf blockierte Apps zugreifen können.
Benutzerbeispiel: Sie möchten eine App-Sperr-Richtlinie bereitstellen, um die “Angry Birds”-App zu blockieren. Benutzer können “Angry Birds” dann zwar von Google Play herunterladen und installieren, beim Öffnen der App erhalten sie jedoch eine Nachricht, dass die App vom Administrator blockiert wurde.
-
Verbindungszeitplanrichtlinie
Verwendungszweck dieser Richtlinie: Die Verbindungszeitplanrichtlinie ermöglicht es Windows Mobile-Geräten, für Funktionen wie MDM-Verwaltung, App-Push und Richtlinienbereitstellung eine Verbindung mit Citrix Endpoint Management herzustellen. Für Android- und Android Enterprise-Geräte verwenden Sie Google Firebase Cloud Messaging (FCM). FCM steuert Verbindungen mit Citrix Endpoint Management. Es gibt folgende Verbindungszeitplanoptionen:
-
Nie: Die Verbindung muss manuell hergestellt werden. Die Benutzer müssen die Verbindung mit Citrix Endpoint Management auf ihrem Gerät herstellen. Citrix empfiehlt, diese Option nicht für Produktionsumgebungen zu verwenden, da sie die Bereitstellung von Sicherheitsrichtlinien auf Geräten verhindert. Benutzer erhalten dann keine neuen Apps und Richtlinien. Die Option Nie ist standardmäßig aktiviert.
-
Alle: Die Verbindung wird in dem hier ausgewählten Intervall hergestellt. Wenn Sie eine Sicherheitsrichtlinie wie eine Sperrung oder eine Datenlöschung senden, verarbeitet Citrix Endpoint Management die Richtlinie auf dem Gerät, wenn das Gerät das nächste Mal eine Verbindung herstellt.
-
Zeitplan festlegen: Citrix Endpoint Management versucht nach einer Netzwerkverbindungsunterbrechung eine Wiederherstellung der Verbindung zwischen Benutzergerät und Citrix Endpoint Management-Server. Citrix Endpoint Management überwacht die Verbindung durch regelmäßige Übertragung von Kontrollpaketen in dem von Ihnen festgelegten Zeitrahmen.
Benutzerbeispiel: Sie möchten eine Passcoderichtlinie auf registrierten Geräten bereitstellen. Die Zeitplanrichtlinie gewährleistet, dass die Geräte sich in regelmäßigen Abständen erneut mit dem Server verbinden, um die neue Richtlinie abzufragen.
-
-
Anmeldeinformationen
Verwendungszweck dieser Richtlinie: Diese Richtlinie wird oft mit einer Netzwerkrichtlinie verwendet. Sie ermöglicht es Ihnen, Authentifizierungszertifikate bereitzustellen, die für die Authentifizierung bei internen Ressourcen benötigt werden, die eine Zertifikatauthentifizierung erfordern.
Benutzerbeispiel: Sie stellen eine Netzwerkrichtlinie bereit, um ein Drahtlosnetzwerk auf dem Gerät zu konfigurieren. Das Wi-Fi-Netzwerk erfordert ein Zertifikat für die Authentifizierung. Die Anmeldeinformationsrichtlinie stellt ein Zertifikat bereit, das dann im Schlüsselspeicher des Betriebssystems gespeichert wird. Benutzer können das Zertifikat dann beim Verbindungsaufbau mit der internen Ressource auswählen.
-
Exchange-Richtlinie
Verwendungszweck dieser Richtlinie: Citrix Endpoint Management bietet zwei Optionen zum Bereitstellen von E-Mail mit Microsoft Exchange ActiveSync.
-
Citrix Secure Mail-App: Versand von E-Mails mit der Citrix Secure Mail-App, die Sie über den öffentlichen App-Store oder den App-Store verteilen.
-
Systemeigene E-Mail-App: Aktiviert ActiveSync-E-Mail für den systemeigenen E-Mail-Client auf dem Gerät. Sie können mit Makros die Benutzerdaten aus den Active Directory-Attributen übernehmen, z. B.
${user.username}
für den Benutzernamen und${user.domain}
für die Benutzerdomäne.
Benutzerbeispiel: Beim Bereitstellen der Exchange-Richtlinie senden Sie Exchange Server-Informationen an das Gerät. Der Benutzer wird dann von Citrix Secure Hub zur Authentifizierung aufgefordert, und die E-Mail-Synchronisierung wird gestartet.
-
-
Standort-/Ortungsrichtlinie
Verwendungszweck dieser Richtlinie: Mit dieser Richtlinie können Sie den Standort von Geräten auf einer Karte abrufen, vorausgesetzt auf dem Gerät ist GPS für Citrix Secure Hub aktiviert. Wenn Sie nach dem Bereitstellen der Richtlinie einen Ortungsbefehl von Citrix Endpoint Management senden, antwortet das Gerät mit den Standortkoordinaten.
Benutzerbeispiel: Wenn Sie die Standort-/Ortungsrichtlinie bereitstellen und GPS auf dem Gerät aktiviert ist, können Benutzer sich bei Verlust ihres Geräts beim Citrix Endpoint Management-Selbsthilfeportal anmelden und mit der Option “Orten” den Standort des Geräts auf einer Karte anzeigen. Die Benutzer entscheiden, ob Citrix Secure Hub Ortungsdienste verwenden darf. Sie können den Einsatz von Positionsdiensten nicht erzwingen, wenn Benutzer ein Gerät selbst registrieren. Die Auswirkung dieser Richtlinie auf die Akkulaufzeit ist ebenfalls zu berücksichtigen.
-
Passcoderichtlinie
Verwendungszweck dieser Richtlinie: Mit einer Passcoderichtlinie können Sie einen PIN-Code oder ein Kennwort auf einem verwalteten Gerät durchsetzen. Sie können in der Passcoderichtlinie die Komplexität des Passcodes und Timeouts auf dem Gerät einstellen.
Benutzerbeispiel: Wenn Sie eine Passcoderichtlinie auf einem verwalteten Gerät bereitstellen, fordert Citrix Secure Hub den Benutzer auf, einen Passcode oder eine PIN zu konfigurieren. Mit dem Passcode bzw. der PIN erhält der Benutzer während des Startvorgangs oder nach Ablauf des Inaktivitäts-Timers Zugriff auf sein Gerät.
-
Profilentfernungsrichtlinie
Verwendungszweck dieser Richtlinie: Sie stellen eine Richtlinie für eine Gruppe von Benutzern bereit und müssen später die Richtlinie aus einer Untergruppe der Benutzer entfernen. Sie können die Richtlinie für ausgewählte Benutzer mithilfe der Profilentfernungsrichtlinie entfernen. Verwenden Sie dann Bereitstellungsregeln, um die Profilentfernungsrichtlinie nur für bestimmte Benutzer bereitzustellen.
Benutzerbeispiel: Das Bereitstellen einer Profilentfernungsrichtlinie auf Benutzergeräten fällt Benutzern u. U. überhaupt nicht auf. Wird mit der Profilentfernungsrichtlinie beispielsweise die Einschränkung entfernt, die bislang den Einsatz der Gerätekamera verhinderte, bemerkt der Benutzer diese Änderung nicht. Überlegen Sie, ob Sie Benutzer informieren, wenn Änderungen sich auf ihre Benutzererfahrung auswirken.
-
Einschränkungsrichtlinie
Verwendungszweck dieser Richtlinie: Über die Einschränkungsrichtlinie können Sie Features und Funktionalität auf verwalteten Geräten auf vielfältige Weise sperren und steuern. Sie können hunderte von Einschränkungsoptionen für unterstützte Geräte aktivieren. Einschränkungsoptionen sind beispielsweise das Deaktivieren der Kamera oder des Mikrofons auf einem Gerät, das Durchsetzen von Roamingregeln und ein gesteuerter Zugriff auf Drittanbieterdienste wie App-Stores.
Benutzerbeispiel: Wenn Sie eine Einschränkung auf einem iOS-Gerät bereitstellen, können Benutzer u. U. nicht auf iCloud oder den Apple App Store zugreifen.
-
AGB-Richtlinie
Verwendungszweck dieser Richtlinie: Benutzer müssen möglicherweise auf rechtliche Auswirkungen hingewiesen werden, die sich aus der Verwaltung ihres Geräts ergeben. Darüber hinaus sollten Sie Benutzer informieren, welche Sicherheitsrisiken mit dem Bereitstellen von Unternehmensdaten auf dem Gerät verbunden sind. Das Dokument mit den AGB ermöglicht Ihnen die Veröffentlichung von Regeln und Hinweisen, bevor der Benutzer sich registriert.
Benutzerbeispiel: Ein Benutzer sieht die AGB-Informationen während der Registrierung. Wenn er die Bedingungen nicht akzeptiert, wird die Registrierung beendet und er erhält keinen Zugriff auf Unternehmensdaten. Sie können Berichte für Personal- und Rechtsabteilung oder das Compliance-Team generieren, um anzuzeigen, wer die Nutzungsbedingungen akzeptiert oder abgelehnt hat.
-
VPN-Richtlinie
Verwendungszweck dieser Richtlinie: Mit der VPN-Richtlinie gewähren Sie Zugriff auf Backend-Systeme mit älterer VPN-Gatewaytechnologie. Die Richtlinie unterstützt diverse VPN-Anbieter, einschließlich Cisco AnyConnect, Juniper und Citrix VPN. Die Richtlinie kann auch mit einer Zertifizierungsstelle verbunden werden und VPN bei Bedarf aktivieren, falls das VPN-Gateway diese Option unterstützt.
Benutzerbeispiel: Bei aktivierter VPN-Richtlinie öffnet das Gerät eines Benutzers eine VPN-Verbindung, wenn der Benutzer auf eine interne Domäne zugreift.
-
Webclip-Richtlinie
Verwendungszweck dieser Richtlinie: Mit dieser Richtlinie können Sie auf Geräten ein Symbol bereitstellen, das direkten Zugriff auf eine Website ermöglicht. Ein Webclip enthält einen Link zu einer Website und kann ein benutzerdefiniertes Symbol umfassen. Auf einem Gerät sieht ein Webclip wie ein App-Symbol aus.
Benutzerbeispiel: Ein Benutzer kann durch Klicken auf ein Webclip-Symbol eine Website öffnen, um Zugriff auf benötigte Services zu erhalten. Der Einsatz eines Weblinks ist benutzerfreundlicher als die Eingabe einer Linkadresse im Browser.
-
Netzwerkrichtlinie
Verwendungszweck dieser Richtlinie: Mit der Netzwerkrichtlinie können Sie auf einem verwalteten Gerät Wi-Fi-Netzwerkangaben wie SSID, Authentifizierungs- und Konfigurationsdaten bereitstellen.
Benutzerbeispiel: Wenn Sie die Netzwerkrichtlinie bereitstellen, verbindet sich das Gerät automatisch mit dem Wi-Fi-Netzwerk und authentifiziert den Benutzer, der damit Zugriff auf das Netzwerk erhält.
-
Endpoint Management Store-Richtlinie
Verwendungszweck dieser Richtlinie: Der App-Store ist ein einheitlicher App-Store, in dem Administratoren alle Unternehmensressourcen wie Apps und Daten veröffentlichen können, die von Benutzern benötigt werden. Ein Administrator kann Folgendes hinzufügen:
- Web-Apps, SaaS-Apps, MAM-SDK-fähige Apps, oder mit MDX umschlossene Apps
- Mobile Produktivitätsapps von Citrix
- Native mobile Apps wie IPA- oder APK-Dateien
- Apps aus dem Apple App Store und von Google Play
- Weblinks
- Mit Citrix StoreFront veröffentlichte Citrix Virtual Apps
Benutzerbeispiel: Nachdem ein Benutzer seine Geräte bei Citrix Endpoint Management registriert hat, kann er über Citrix Secure Hub auf den App-Store zugreifen und alle für ihn verfügbaren Unternehmens-Apps und -Dienste anzeigen. Benutzer können Apps per Mausklick installieren, auf Daten zugreifen, Apps bewerten und App-Updates aus dem App-Store herunterladen.