XenMobile Server

Sicherheit und Benutzererfahrung

Sicherheit ist für jede Organisation wichtig, Sie müssen jedoch ein Gleichgewicht zwischen Sicherheit und Benutzererfahrung finden. Sie könnten beispielweise eine hochsichere Umgebung haben, die Benutzer mühselig ist. Bei einer sehr benutzerfreundlichen Umgebung ist wiederum die Zugriffssteuerung nicht so streng. In den anderen Abschnitten dieses virtuellen Handbuchs werden Sicherheitsfeatures im Detail behandelt. Dieser Artikel enthält einen Überblick über allgemeine Sicherheitsanliegen und die in XenMobile verfügbaren Sicherheitsoptionen.

Wichtige Überlegungen für alle Anwendungsfälle:

  • Möchten Sie bestimmte Apps, das gesamte Gerät oder beides schützen?
  • Wie sollen sich die Benutzer authentifizieren? Möchten Sie LDAP, die zertifikatbasierte Authentifizierung oder beides zusammen verwenden?
  • Wie sollen Benutzersitzungstimeouts behandelt werden? Beachten Sie, dass es für Hintergrunddienste, Citrix ADC und für den Offlinezugriff auf Apps unterschiedliche Timeouts gibt.
  • Sollen die Benutzer einen Passcode auf Geräteebene und/oder auf App-Ebene einrichten? Wie viele Anmeldeversuche möchten Sie den Benutzern erlauben? Berücksichtigen Sie die Auswirkungen zusätzlicher über MAM implementierter Authentifizierungsanforderungen für die Apps auf die Benutzererfahrung.
  • Welche weiteren Einschränkungen möchten Sie den Benutzern auferlegen? Sollen Benutzer auf Cloudservices wie Siri zugreifen? Was können die Benutzer mit den einzelnen von Ihnen zur Verfügung gestellten Apps tun und was nicht? Möchten Sie unternehmensweite Wi-Fi-Richtlinien bereitstellen, damit mobile Datenkontingente nicht im Büro verbraucht werden?

App oder Gerät

Zu den ersten Überlegungen gehört diejenige, ob nur bestimmte Apps über die Mobilanwendungsverwaltung (MAM) geschützt werden sollen. Alternativ können komplette Geräte per Mobilgeräteverwaltung (MDM) verwaltet werden. Wenn Sie keine Steuerung auf Geräteebene benötigen, verwalten Sie meist nur die mobilen Apps, insbesondere wenn Sie BYOD-Geräte (Bring Your Own Device) zulassen.

Benutzer mit nicht von XenMobile verwalteten Geräten können Apps über den App-Store installieren. Anstelle einer Steuerung auf Gerätebasis, etwa der selektiven oder vollständigen Löschung der Daten auf einem Gerät, steuern Sie den Zugriff auf Apps über App-Richtlinien. Je nach Einstellung erfordern die Richtlinien, dass Geräte regelmäßig XenMobile abfragen, um sicherzustellen, dass Apps weiterhin zugelassen sind.

Mit MDM können Sie ein ganzes Gerät schützen und dabei auch einen Bestand von dessen Software aufstellen. Sie können die Registrierung von Geräten mit Jailbreak, Rooting oder nicht sicherer Software unterbinden. Eine so umfassende Kontrolle macht die Benutzer jedoch misstrauisch und kann dazu führen, dass weniger persönliche Geräte registriert werden.

Authentifizierung

Die Authentifizierung spielt für die Benutzererfahrung eine große Rolle. Wenn in Ihrer Organisation bereits Active Directory in Verwendung ist, bietet es die einfachste Möglichkeit für den Benutzerzugriff auf das System.

Ein wichtiger Aspekt der Benutzererfahrung bei der Authentifizierung sind Timeouts. In hochsicheren Umgebungen müssen sich Benutzer ggf. bei jedem Zugriff auf das System anmelden. Diese Option ist jedoch nicht für alle Organisationen geeignet. Beispielsweise ist es für die Benutzer u. U. mühselig, wenn sie sich jedes Mal, wenn sie in ihre E-Mail schauen möchten, anmelden müssen.

Benutzerentropie

Für zusätzliche Sicherheit können Sie ein Feature namens Benutzerentropie aktivieren. Citrix Secure Hub und einige weitere Apps verwenden häufig gemeinsame Daten wie Kennwörter, PINs und Zertifikate, um sicherzustellen, dass alles ordnungsgemäß funktioniert. Diese Informationen werden in einem generischen Tresor in Secure Hub gespeichert. Wenn Sie die Benutzerentropie über die Option Encrypt Secrets aktivieren, erstellt XenMobile einen neuen Tresor namens “UserEntropy”. XenMobile verschiebt die Informationen aus dem allgemeinen Tresor in den neuen Tresor. Damit Secure Hub bzw. andere Apps auf die Informationen zugreifen können, müssen die Benutzer ein Kennwort oder eine PIN eingeben.

Durch Aktivieren der Benutzerentropie wird an mehreren Stellen eine weitere Authentifizierungsebene hinzugefügt. Die Benutzer müssen dann jedes Mal, wenn eine App Zugriff auf gemeinsam genutzte Daten (einschließlich Zertifikate) im UserEntropy-Tresor benötigt, ein Kennwort oder eine PIN eingeben.

Weitere Informationen zur Benutzerentropie finden Sie unter Informationen zum MDX Toolkit in der Dokumentation zu XenMobile. Die Einstellungen zum Aktivieren der Benutzerentropie finden Sie in den Clienteigenschaften.

Richtlinien

MDX- und MDM-Richtlinien bieten große Flexibilität, sie können jedoch auch die Benutzer einschränken. Beispielsweise können Sie den Zugriff auf Cloudanwendungen wie Siri oder iCloud sperren, von denen aus sensible Daten an verschiedene Ziele gesendet werden könnten. Sie können eine Richtlinie einrichten, um den Zugriff auf diese Dienste zu sperren, eine solche Richtlinie kann aber unbeabsichtigte Konsequenzen haben. Das iOS-Tastaturmikrofon erfordert ebenfalls Cloudzugriff und Sie blockieren möglicherweise auch den Zugriff auf dieses Feature.

Apps

Das Enterprise Mobility Management (EMM) besteht aus dem Mobile Device Management (MDM) und dem Mobile Application Management (MAM). Mit MDM können Unternehmen Mobilgeräte schützen und steuern und MAM erleichtert die Bereitstellung und Verwaltung von Apps. Angesichts der Zunahme von BYOD wird häufig eine MAM-Lösung zur App-Bereitstellung, Softwarelizenzierung, Konfiguration und App-Lebenszyklusverwaltung implementiert.

Mit XenMobile können Sie diese Apps noch sicherer machen, indem Sie bestimmte MAM-Richtlinien und VPN-Einstellungen konfigurieren, um Datenlecks und andere Sicherheitsbedrohungen zu vermeiden. Mit XenMobile können Unternehmen flexibel eine der folgenden Lösungen bereitstellen:

  • Nur-MAM-Umgebung
  • Nur-MDM-Umgebung
  • Einheitliche XenMobile Enterprise-Umgebung mit MDM- und MAM-Funktionen auf derselben Plattform

Zusätzlich zur App-Bereitstellung für Mobilgeräte ermöglicht XenMobile die App-Containerization per MDX-Technologie. MDX sichert Apps durch Verschlüsselung, separat von der Verschlüsselung auf Geräteebene, die von der Plattform bereitgestellt wird. Sie können die App löschen oder sperren. Die Apps unterliegen einer detaillierten richtlinienbasierten Steuerung. Unabhängige Softwarehersteller (ISV) können diese Steuerelemente über das Mobile Apps SDK anwenden.

In Unternehmensumgebungen verwenden Benutzer eine Reihe von mobilen Apps für ihre Arbeit. Dabei kann es sich um Apps aus einem öffentlichen App-Store, um unternehmensintern entwickelte Apps und native Apps handeln. In XenMobile werden Apps wie folgt kategorisiert:

Öffentliche Apps: Kostenlose oder kostenpflichtige Apps in einem öffentlichen App-Store, z. B. Apple App Store oder Google Play. Unternehmensexterne Hersteller bieten ihre Apps häufig in öffentlichen App-Stores an. Die Kunden können solche Apps direkt aus dem Internet herunterladen. Je nach Bedarf werden in einem Unternehmen u. U. zahlreiche öffentliche Apps in verwendet. Beispiele für solche Apps sind GoToMeeting, Salesforce und EpicCare.

Citrix unterstützt das direkte Herunterladen von App-Binärdateien aus öffentlichen App-Stores und das anschließende Umschließen mit dem MDX Toolkit zur Verteilung im Unternehmen nicht. Um Apps von Drittanbietern MDX-fähig zu machen, wenden Sie sich an den App-Anbieter, um die Binärdateien zu erhalten. Sie können die Binärdateien mit dem MDX Toolkit umschließen oder das MAM-SDK in die Binärdateien integrieren.

Intern entwickelte Apps: In vielen Unternehmen gibt es interne Entwickler, die Apps für spezifische Zwecke und zur unabhängigen Verteilung im Unternehmen entwickeln. In manchen Fällen haben Unternehmen auch Apps von ISV. Sie können solche Apps als native Apps bereitstellen oder mithilfe einer MAM-Lösung wie XenMobile eine Containerization durchführen. Beispielsweise kann eine Gesundheitsorganisation eine interne App erstellen, mit der Ärzte Patientendaten auf Mobilgeräten anzeigen können. Anschließend wird MAM-SDK in die App integriert oder die App wird mit MDM umschlossen, um die Patientendaten zu schützen und den VPN-Zugriff auf den Backendserver mit der Patientendatenbank zu ermöglichen.

Web- und SaaS-Apps: Apps, auf die über ein internes Netzwerk (Web-Apps) oder ein öffentliches Netzwerk (SaaS-Apps) zugegriffen wird. Mit XenMobile können Sie auch benutzerdefinierte Web- und SaaS-Apps unter Einsatz mehrerer App-Connectors erstellen. Die App-Connectors können das Single Sign-On (SSO) für bestehende Web-Apps vereinfachen. Weitere Informationen finden Sie unter App-Connectortypen. Sie können beispielsweise Google Apps SAML für das SSO basierend auf SAML (Security Assertion Markup Language) für Google Apps verwenden.

Mobile Produktivitätsapps: von Citrix entwickelte Apps, die in der XenMobile-Lizenz enthalten sind. Weitere Informationen finden Sie unter Mobile Produktivitätsapps. Citrix bietet auch andere Citrix Ready-Apps an, die ISV mit dem Mobile Apps SDK entwickelt haben.

HDX-Apps: unter Windows gehostete Apps, die mit StoreFront veröffentlicht werden. In einer Citrix Virtual Apps and Desktops-Umgebung können Sie solche Apps in XenMobile integrieren, um sie registrierten Benutzern zur Verfügung zu stellen.

Die zugrunde liegende Konfiguration und Architektur hängt von der Art der Apps ab, die Sie mit XenMobile bereitstellen und verwalten möchten. Sollen beispielsweise mehrere Benutzergruppen mit unterschiedlichen Berechtigungsstufen eine App verwenden, benötigen Sie ggf. eigene Bereitstellungsgruppen, um zwei Versionen der App bereitzustellen. Darüber hinaus müssen Sie sicherstellen, dass sich die Benutzergruppenmitgliedschaft gegenseitig ausschließt, um Richtlinienkonflikte auf Benutzergeräten zu vermeiden.

Sie sollten ggf. auch die Lizenzierung von iOS-Apps über Apple Volume Purchase verwalten. Hierfür müssen Sie sich für Apple Volume Purchase registrieren und Volume Purchase-Einstellungen für XenMobile in der XenMobile-Konsole konfigurieren, um die Apps mit den Volume Purchase-Lizenzen zu verteilen. Bei vielen Anwendungsfällen muss die MAM-Strategie vor Implementierung der XenMobile-Umgebung bewertet und geplant werden. Die Planung Ihrer MAM-Strategie können Sie durch Aufstellung folgender Elemente beginnen:

App-Arten: Machen Sie eine Liste der verschiedenen App-Arten, die Sie unterstützen möchten, und teilen Sie sie in Kategorien ein. Beispiel: öffentliche Apps, native Apps, mobile Produktivitätsapps, Internet-Apps, interne Apps, ISV-Apps usw. Kategorisieren Sie die Apps auch nach Geräteplattform (z. B. iOS und Android). Die Kategorisierung hilft bei der Ausrichtung der XenMobile-Einstellungen für die einzelnen App-Typen. Manche Apps können beispielsweise nicht umschlossen werden oder benötigen für die Interaktion mit anderen Apps spezielle APIs, die über das Mobile Apps SDK aktiviert werden.

Netzwerkanforderungen: Konfigurieren Sie Apps mit bestimmten Netzwerkzugriffsanforderungen mit den entsprechenden Einstellungen. Beispielsweise erfordern bestimmte Apps möglicherweise Zugriff auf das interne Netzwerk über ein VPN. Andere Apps benötigen ggf. das Internet für das Zugriffsrouting über die DMZ. Damit solche Apps eine Verbindung mit dem gewünschten Netzwerk herstellen können, müssen Sie verschiedene Einstellungen entsprechend konfigurieren. Die Definition der Netzwerkanforderungen für die einzelnen Apps hilft Ihnen, Ihre Architekturentscheidungen frühzeitig zu treffen und verbessert so den gesamten Implementierungsprozess.

Sicherheitsanforderungen: Es ist unverzichtbar, die Sicherheitsanforderungen zu definieren, die für einzelne und/oder alle Apps gelten sollen. Diese Planung gewährleistet, dass Sie bei der Installation von XenMobile Server die richtigen Konfigurationen erstellen. Einstellungen wie MDX-Richtlinien gelten zwar für einzelne Apps, Sitzungs- und Authentifizierungseinstellungen gelten jedoch für alle. Einige Apps haben möglicherweise besondere Anforderungen an Verschlüsselung, Containerization, Umschließen, Authentifizierung, Geofencing, Passcode oder Datenfreigabe, die Sie im Voraus umreißen können, um Ihre Bereitstellung zu vereinfachen.

Bereitstellungsvoraussetzungen: Über eine richtlinienbasierte Bereitstellung können Sie bei Bedarf dafür sorgen, dass nur berechtigte Benutzer die veröffentlichten Apps herunterladen können. Es kann beispielsweise sein, dass für bestimmte Apps eine oder mehrere der folgenden Bedingungen erfüllt sein müssen:

  • Geräteplattformbasierte Verschlüsselung ist aktiviert
  • Gerät wird verwaltet
  • Gerät hat eine Mindestversion des Betriebssystems
  • bestimmte Apps nur für Unternehmensbenutzer verfügbar

Außerdem können Sie festlegen, dass bestimmte Apps nur für Unternehmensbenutzer verfügbar sind. Stellen Sie solche Anforderungen im Voraus zusammen, damit Sie die entsprechenden Bereitstellungsregeln oder -aktionen konfigurieren können.

Lizenzanforderungen: Erstellen Sie eine Liste der Lizenzanforderungen für die Apps. Anhand dieser Liste können Sie die Lizenznutzung effektiv verwalten und entscheiden, ob Sie zur Vereinfachung der Lizenzierung bestimmte Features in XenMobile konfigurieren müssen. Wenn Sie beispielsweise eine kostenlose oder kostenpflichtige iOS-App bereitstellen, setzt Apple Lizenzanforderungen durch, indem Benutzer sich bei ihrem iTunes-Konto anmelden müssen. Sie können sich für Apple Volume Purchase registrieren, um solche Apps über XenMobile zu verteilen und zu verwalten. Über Volume Purchase können Benutzer die Apps ohne Anmeldung bei ihrem iTunes-Konto herunterladen. Außerdem müssen Tools wie Samsung SAFE und Samsung Knox spezielle Lizenzanforderungen erfüllen, bevor diese Funktionen bereitgestellt werden.

Anforderungen für Positiv- und Sperrlisten: Sie möchten wahrscheinlich das Installieren oder Verwenden mancher Apps unterbinden. Erstellen Sie eine Positivliste der Apps, mit denen ein Gerät seine Richtlinientreue verliert. Richten Sie anschließend Richtlinien ein, die ausgelöst werden, wenn ein Gerät nicht mehr richtlinientreu ist. Auf der anderen Seite kann die Verwendung einer App akzeptabel sein, die App jedoch aus einem bestimmten Grund unter die Sperrliste fallen. In dem Fall können Sie die App auf eine Positivliste setzen und angeben, dass sie akzeptabel ist, aber nicht benötigt wird. Bedenken Sie auch, dass auf neuen Geräten einige häufig verwendete Apps vorinstalliert sein können, die nicht Teil des Betriebssystems sind. Solche Apps könnten zu Konflikten mit Ihrer Sperrlistenstrategie führen.

Apps-Anwendungsfall

Eine Gesundheitsorganisation plant die Bereitstellung von XenMobile als MAM-Lösung für ihre mobilen Apps. Die Apps werden Benutzern mit Unternehmensgeräten und BYOD-Benutzern zur Verfügung gestellt. Die IT entscheidet sich für die Bereitstellung und Verwaltung der folgenden Apps:

  • Mobile Produktivitätsapps: iOS- und Android-Apps von Citrix.
  • Secure Mail: E-Mail-, Kalender- und Kontakte-App.
  • Secure Web: sicherer Webbrowser, der Zugriff auf das Internet und Intranetsites bietet.
  • Citrix Files: App für den Zugriff auf geteilte Daten und zum Teilen, Synchronisieren und Bearbeiten von Dateien.

Öffentlicher App-Store

  • Secure Hub: Client, der von allen Mobilgeräten zur Kommunikation mit XenMobile verwendet wird. Die IT überträgt über den Secure Hub-Client per Push Sicherheitseinstellungen, Konfigurationen und mobile Apps auf Mobilgeräte. Android- und iOS-Geräte registrieren sich über Secure Hub bei XenMobile.
  • Citrix Receiver: mobile App, mit der Benutzer unter Virtual Apps and Desktops gehostete Apps auf Mobilgeräten öffnen können.
  • GoToMeeting: Client für Online-Meetings, Desktopfreigabe und Videokonferenzen, mit dem Benutzer Besprechungen mit anderen Computerbenutzern, Kunden oder Kollegen über das Internet in Echtzeit abhalten können.
  • Salesforce1: Mit Salesforce1 können Benutzer von Mobilgeräten aus auf Salesforce zugreifen. Die App vereint für Salesforce-Benutzer alle Chatter-, CRM- und benutzerdefinierten Apps sowie Geschäftsprozesse in einer einheitlichen Umgebung.
  • RSA SecurID: softwarebasiertes Token für die zweistufige Authentifizierung.
  • EpicCare-Apps: Apps für medizinisches Personal, mit denen sicher und mobil auf Patientendaten, Zeitpläne und Nachrichten zugegriffen werden kann.
    • Haiku: mobile App für iPhones und Android-Smartphones.
    • Canto: mobile App für iPads.
    • Rover: mobile Apps für iPhones und iPads.

HDX: Diese Apps werden über Citrix Virtual Apps and Desktops bereitgestellt.

  • Epic Hyperspace: Epic-Client zur Verwaltung elektronischer Patientenakten.

ISV

  • Vocera: HIPAA-kompatible Voice-over-IP- und Messaging-App, zur Nutzung der Vocera-Sprachtechnologie auf iPhones und Android-Smartphones.

Interne Apps

  • HCMail: App zur Erstellung verschlüsselter Nachrichten, zum Durchsuchen von Adressbüchern auf internen Mailservern und zum Senden verschlüsselter Nachrichten über einen E-Mail-Client an Kontakte.

Interne Web-Apps

  • PatientRounding: Web-App zur Erfassung von Patientendaten in verschiedenen Abteilungen.
  • Outlook Web Access: ermöglicht den Zugriff auf E-Mails über einen Webbrowser.
  • SharePoint: wird für die unternehmensweite Datei- und Datenfreigabe verwendet.

Die folgende Tabelle enthält die grundlegenden, für die MAM-Konfiguration erforderlichen Informationen.

         
App-Name App-Typ Mit MDX umschlossen iOS Android
Secure Mail XenMobile App Ab Version 10.4.1 nein Ja Ja
Secure Web XenMobile App Ab Version 10.4.1 nein Ja Ja
Citrix Files XenMobile App Ab Version 10.4.1 nein Ja Ja
Secure Hub Öffentliche App Nicht verfügbar Ja Ja
Citrix Receiver Öffentliche App Nicht verfügbar Ja Ja
GoToMeeting Öffentliche App Nicht verfügbar Ja Ja
Salesforce1 Öffentliche App Nicht verfügbar Ja Ja
RSA SecurID Öffentliche App Nicht verfügbar Ja Ja
Epic Haiku Öffentliche App Nicht verfügbar Ja Ja
Epic Canto Öffentliche App Nicht verfügbar Ja Nein
Epic Rover Öffentliche App Nicht verfügbar Ja Nein
Epic Hyperspace HDX-App Nicht verfügbar Ja Ja
Vocera ISV-App Ja Ja Ja
HCMail Interne App Ja Ja Ja
PatientRounding Web-App Nicht verfügbar Ja Ja
Outlook Web Access Web-App Nicht verfügbar Ja Ja
SharePoint Web-App Nicht verfügbar Ja Ja

In den folgenden Tabellen sind spezifische Anforderungen aufgeführt, die Sie bei der Konfiguration von MAM-Richtlinien in XenMobile konsultieren können.

| **App-Name** | **VPN erforderlich** | **Interaktion** | **Interaktion** | **Geräteplattformbasierte Verschlüsselung** | | | | (mit Apps außerhalb des Containers)| (von Apps außerhalb des Containers) | | | —————— | — | ———————————— | ———————————— | ———— | | Secure Mail | J | Selektiv zugelassen | Zulässig | Nicht erforderlich | | Secure Web | J | Zulässig | Zulässig | Nicht erforderlich | | Citrix Files | J | Zulässig | Zulässig | Nicht erforderlich | | Secure Hub | J | – | – | – | | Citrix Receiver | J | – | – | – | | GoToMeeting | N | – | – | – | | Salesforce1 | N | – | – | – | | RSA SecurID | N | – | – | – | | Epic Haiku | J | – | – | – | | Epic Canto | J | – | – | – | | Epic Rover | J | – | – | – | | Epic Hyperspace | J | – | – | – | | Vocera | J | Blockiert | Blockiert | Nicht erforderlich | | HCMail | J | Blockiert | Blockiert | Erforderlich | | PatientRounding | J | – | – | Erforderlich | | Outlook Web Access | J | – | – | Nicht erforderlich | | SharePoint | J | – | – | Nicht erforderlich |

App-Name Proxy-Filter Lizenzierung Geofencing Mobile Apps SDK Mindestversion des Betriebssystems
Secure Mail Erforderlich Selektiv erforderlich Erzwungen
Secure Web Erforderlich Nicht erforderlich Erzwungen
Citrix Files Erforderlich Nicht erforderlich Erzwungen
Secure Hub Nicht erforderlich Volume Purchase Nicht erforderlich Nicht erzwungen
Citrix Receiver Nicht erforderlich Volume Purchase Nicht erforderlich Nicht erzwungen
GoToMeeting Nicht erforderlich Volume Purchase Nicht erforderlich Nicht erzwungen
Salesforce1 Nicht erforderlich Volume Purchase Nicht erforderlich Nicht erzwungen
RSA SecurID Nicht erforderlich Volume Purchase Nicht erforderlich Nicht erzwungen
Epic Haiku Nicht erforderlich Volume Purchase Nicht erforderlich Nicht erzwungen
Epic Canto Nicht erforderlich Volume Purchase Nicht erforderlich Nicht erzwungen
Epic Rover Nicht erforderlich Volume Purchase Nicht erforderlich Nicht erzwungen
Epic Hyperspace Nicht erforderlich Nicht erforderlich Nicht erzwungen
Vocera Erforderlich Erforderlich Erforderlich Erzwungen
HCMail Erforderlich Erforderlich Erforderlich Erzwungen
PatientRounding Erforderlich Nicht erforderlich Nicht erzwungen
Outlook Web Access Erforderlich Nicht erforderlich Nicht erzwungen
SharePoint Erforderlich Nicht erforderlich Nicht erzwungen

Communities

Jede Organisation besteht aus mehreren Benutzergemeinschaften, die unterschiedliche funktionelle Rollen besitzen. Diese Benutzergemeinschaften führen unterschiedliche Aufgaben und Bürofunktionen aus und nutzen diverse Ressourcen, die Sie über die Mobilgeräte bereitstellen. Manche Benutzer arbeiten von zu Hause oder an Remotestandorten und verwenden dabei die von Ihnen bereitgestellten Mobilgeräte. Andere Benutzer greifen über private Mobilgeräte auf Tools zu, für die bestimmte Regeln zur Sicherheitskonformität gelten.

Je mehr Benutzergemeinschaften mit Mobilgeräten arbeiten, desto bedeutender wird das Enterprise Mobility Management (EMM), um Datenverluste zu verhindern und Sicherheitsbeschränkungen durchzusetzen. Im Interesse einer effizienten und differenzierten Mobilgeräteverwaltung können Sie Benutzergemeinschaften auch in Kategorien unterteilen. Dies vereinfacht die Zuordnung von Benutzern zu Ressourcen und stellt sicher, dass die richtigen Sicherheitsrichtlinien angewandt werden.

Das folgende Beispiel zeigt, wie Benutzergemeinschaften in einer US-Organisation im Gesundheitssektor für EMM klassifiziert werden.

Anwendungsfall Benutzergemeinschaften

Dieses Klinikunternehmen bietet technologische Ressourcen und Zugriffsrechte für verschiedene Benutzer, darunter angestellte, externe und ehrenamtliche Mitarbeiter. Die Organisation plant, die EMM-Lösung nur für Benutzer bereitzustellen, die nicht zur Geschäftsleitung gehören.

Die Benutzerrollen und -funktionen im Unternehmen können in folgende Untergruppen unterteilt werden: Klinik, Verwaltung, Extern. Einige Benutzer erhalten firmeneigene Mobilgeräte, während andere über Privatgeräte eingeschränkt Zugriff auf Unternehmensressourcen haben. Um Sicherheitsbeschränkungen angemessen umzusetzen und Datenlecks zu vermeiden, soll das IT-Team der Organisation jedes registrierte (Unternehmens- oder BYOD-)Gerät verwalten. Benutzer können zudem nur jeweils ein Gerät registrieren.

Der folgende Abschnitt bietet einen Überblick über die Rollen und Funktionen der einzelnen Untergruppen:

Klinik

  • Pflegepersonal
  • Mediziner (Ärzte, Chirurgen usw.)
  • Fachärzte (Anästhesisten, Radiologen, Kardiologen, Onkologen usw.)
  • Externe Mediziner (nicht angestellte Ärzte und Büromitarbeiter an Remotestandorten)
  • Hausbesuchsdienste (Büropersonal und mobile Mitarbeiter, die arztbezogene Dienste für Hausbesuche bei Patienten durchführen)
  • Forschungsspezialisten (Wissensarbeiter und Hauptbenutzer in sechs Forschungsinstituten, die in der klinischen Forschung tätig sind und medizinische Studien durchführen)
  • Schulungen, Aus- und Weiterbildung (Pflegepersonal, Mediziner und Pädagogen)

Verwaltung

  • Gemeinsam genutzte Dienste (Büromitarbeiter, die verschiedene Backoffice-Funktionen ausführen, z. B. Personalabteilung, Gehaltsabrechnung, Kreditorenbuchhaltung, Einkauf und Logistik usw.)
  • Arztbezogene Dienste (Büromitarbeiter, die verschiedene Aufgaben im Bereich Gesundheitsmanagement und Administration ausüben und Geschäftsprozesslösungen für Anbieter bereitstellen. Dazu gehören Verwaltung und Geschäftsanalytik, Geschäftssysteme, Serviceangebote für Kunden und Patienten, Finanzwesen, Managed Care, Rentabilitätslösungen usw.)
  • Supportdienste (Büromitarbeiter, die Funktionen in verschiedenen nichtklinischen Bereichen ausüben: Arbeitgeberleistungen, klinische Integration, Kommunikation, Vergütung, Gebäudemanagement, Technologiesysteme für die Personalabteilung, Informationsdienste, internes Audit und Prozessoptimierung usw.)
  • Gemeinnützige Stiftungen (Büromitarbeiter und mobile Mitarbeiter, die verschiedene Funktionen im Rahmen philanthropischer Programme ausüben)

Auftragnehmer

  • Hersteller und Vertriebspartner (Bereitstellung diverser nicht-klinischer Supportfunktionen vor Ort und remote über Site-to-Site-VPN)

Auf der Grundlage dieser Informationen hat die Organisation folgende Entitäten erstellt. Weitere Informationen zu Bereitstellungsgruppen in XenMobile finden Sie unter Bereitstellen von Ressourcen.

Active Directory-Organisationseinheiten (OUs) und -Gruppen

Für OU = XenMobile-Ressourcen:

  • OU = Klinik; Gruppen =
    • XM - Pflegepersonal
    • XM - Mediziner
    • XM - Fachärzte
    • XM - Externe Mediziner
    • XM - Hausbesuchsdienste
    • XM - Forschungsspezialisten
    • XM - Schulungen, Aus- und Weiterbildung
  • OU = Verwaltung; Gruppen =
    • XM - Gemeinsam genutzte Dienste
    • XM - Arztbezogene Dienste
    • XM - Supportdienste
    • XM - Gemeinnützige Stiftungen

Lokale XenMobile-Benutzer und -Gruppen

Für Gruppe = Auftragnehmer, Benutzer =

  • Vendor1
  • Vendor2
  • Anbieter 3
  • … Anbieter 10

XenMobile-Bereitstellungsgruppen

  • Klinik - Pflegepersonal
  • Klinik - Mediziner
  • Klinik - Fachärzte
  • Klinik - Externe Mediziner
  • Klinik - Hausbesuchsdienste
  • Klinik - Forschungsspezialisten
  • Klinik - Schulungen, Aus- und Weiterbildung
  • Verwaltung - Gemeinsam genutzte Dienste
  • Verwaltung - Arztbezogene Dienste
  • Verwaltung - Supportdienste
  • Verwaltung - Gemeinnützige Stiftungen

Zuordnung von Bereitstellungsgruppe und Benutzergruppe

   
Active Directory-Gruppen XenMobile-Bereitstellungsgruppen
XM - Pflegepersonal Klinik - Pflegepersonal
XM - Mediziner Klinik - Mediziner
XM - Fachärzte Klinik - Fachärzte
XM - Externe Mediziner Klinik - Externe Mediziner
XM - Hausbesuchsdienste Klinik - Hausbesuchsdienste
XM - Forschungsspezialisten Klinik - Forschungsspezialisten
XM - Schulungen, Aus- und Weiterbildung Klinik - Schulungen, Aus- und Weiterbildung
XM - Gemeinsam genutzte Dienste Verwaltung - Gemeinsam genutzte Dienste
XM - Arztbezogene Dienste Verwaltung - Arztbezogene Dienste
XM - Supportdienste Verwaltung - Supportdienste
XM - Gemeinnützige Stiftungen Verwaltung - Gemeinnützige Stiftungen

Bereitstellungsgruppen und Ressourcenzuordnung

Die folgenden Tabellen zeigen, welche Ressourcen in diesem Anwendungsfall welcher Bereitstellungsgruppe zugeordnet sind. Die erste Tabelle zeigt die Zuweisungen für mobile Apps. Die zweite Tabelle zeigt die Zuweisung öffentlicher Apps, von HDX-Apps und von Geräteverwaltungsressourcen.

       
XenMobile-Bereitstellungsgruppen Mobile Apps von Citrix Öffentliche mobile Apps Mobile HDX-Apps
Klinik - Pflegepersonal X    
Klinik - Mediziner      
Klinik - Fachärzte      
Klinik - Externe Mediziner X    
Klinik - Hausbesuchsdienste X    
Klinik - Forschungsspezialisten X    
Klinik - Schulungen, Aus- und Weiterbildung   X X
Verwaltung - Gemeinsam genutzte Dienste   X X
Verwaltung - Arztbezogene Dienste   X X
Verwaltung - Supportdienste X X X
Verwaltung - Gemeinnützige Stiftungen X X X
Auftragnehmer X X X
               
XenMobile-Bereitstellungsgruppen Öffentliche App: RSA SecurID Öffentliche App: EpicCare Haiku HDX-App: Epic Hyperspace Passcoderichtlinie Geräteeinschränkungen Automatisierte Aktionen Wi-Fi-Richtlinie
Klinik - Pflegepersonal             X
Klinik - Mediziner         X    
Klinik - Fachärzte              
Klinik - Externe Mediziner              
Klinik - Hausbesuchsdienste              
Klinik - Forschungsspezialisten              
Klinik - Schulungen, Aus- und Weiterbildung   X X        
Verwaltung - Gemeinsam genutzte Dienste   X X        
Verwaltung - Arztbezogene Dienste   X X        
Verwaltung - Supportdienste   X X        

Hinweise und Überlegungen

  • XenMobile erstellt bei der Erstkonfiguration die Standardbereitstellungsgruppe “Alle Benutzer”. Wenn Sie diese Bereitstellungsgruppe nicht deaktivieren, sind alle Active Directory-Benutzer berechtigt, sich in XenMobile zu registrieren.
  • XenMobile synchronisiert Active Directory-Benutzer und -Gruppen bei Bedarf über eine dynamische Verbindung mit dem LDAP-Server.
  • Wenn ein Benutzer zu einer Gruppe gehört, die nicht in XenMobile zugeordnet ist, kann der Benutzer sich nicht registrieren. Wenn ein Benutzer Mitglieder mehrerer Gruppen ist, kategorisiert XenMobile den Benutzer nur als Mitglied der Gruppen, die in XenMobile zugeordnet sind.
  • Für eine verbindliche MDM-Registrierung müssen Sie in der XenMobile-Konsole unter “Servereigenschaften” für die Option “Registrierung erforderlich” die Einstellung “Wahr” auswählen. Einzelheiten finden Sie unter Servereigenschaften.
  • Sie können eine Benutzergruppe aus einer XenMobile-Bereitstellungsgruppe löschen, indem Sie den Eintrag in der SQL Server-Datenbank unter dbo.userlistgrps löschen. Achtung: Erstellen Sie ein Backup von XenMobile und der Datenbank, bevor Sie diese Aktion durchführen.

Geräteeigentümerschaft in XenMobile

Sie können Benutzer auch nach Eigentümer eines Benutzergeräts gruppieren. Es gibt unternehmenseigene Geräte und solche, die Benutzern gehören. Letztere werden auch als BYOD-Geräte (von “bring your own device”) bezeichnet. Sie können in zwei Bereichen der XenMobile-Konsole steuern, wie BYOD-Geräte eine Verbindung mit dem Netzwerk herstellen: in den Bereitstellungsregeln für jeden Ressourcentyp und über die XenMobile Server-Eigenschaften auf der Seite Einstellungen. Weitere Informationen zu Bereitstellungsregeln finden Sie in der Dokumentation zu XenMobile unter Konfigurieren von Bereitstellungsregeln. Weitere Informationen über Servereigenschaften finden Sie unter Servereigenschaften.

Sie können festlegen, dass alle BYOD-Benutzer die Verwaltung ihrer Geräte durch das Unternehmen akzeptieren müssen, bevor sie Zugriff auf Apps erhalten. Alternativ können Sie Benutzern auch ohne Verwaltung ihrer Geräte Zugriff auf Unternehmensapps erteilen.

Wenn Sie die Servereinstellung wsapi.mdm.required.flag auf true festlegen, werden alle BYOD-Geräte von XenMobile verwaltet und Benutzer, die eine Registrierung ablehnen, erhalten keinen Zugriff auf Apps. Erwägen Sie das Festlegen von wsapi.mdm.required.flag auf true in Umgebungen, in denen neben einer hohen Sicherheit eine gute Benutzererfahrung bei der Registrierung der Geräte in XenMobile erforderlich ist.

Wenn Sie die Einstellung nicht ändern und die Standardeinstellung false für wsapi.mdm.required.flag übernehmen, können Benutzer die Registrierung ablehnen und dennoch ggf. mit ihrem Gerät auf Apps über den XenMobile Store zugreifen. Das Festlegen von wsapi.mdm.required.flag auf false eignet sich für Umgebungen, in denen juristische und datenschutzrechtliche Vorgaben keine Verwaltung von Geräten erfordern, sondern nur die Verwaltung von Unternehmensapps.

Benutzer mit nicht von XenMobile verwalteten Geräten können Apps über den XenMobile Store installieren. Anstelle einer Steuerung auf Gerätebasis, etwa der selektiven oder vollständigen Löschung der Daten auf einem Gerät, steuern Sie den Zugriff auf Apps über App-Richtlinien. Je nach Einstellung erfordern die Richtlinien, dass Geräte regelmäßig den XenMobile-Server abfragen, um sicherzustellen, dass Apps weiterhin zugelassen sind.

Sicherheitsanforderungen

Die Zahl der bei der Bereitstellung einer XenMobile-Umgebung zu beachtenden Sicherheitsaspekte kann schnell zu einer Herausforderung werden. Es gibt viele ineinandergreifende Elemente und Einstellungen. Um Ihnen die Auswahl eines akzeptablen Schutzniveaus zu erleichtern, macht Citrix Empfehlungen für hohe, höhere und höchste Sicherheit (siehe folgende Tabelle).

Bei der Wahl des Bereitstellungsmodus sind über die Sicherheit hinaus weitere Aspekte zu berücksichtigen. Sie müssen auch die Anforderungen des Anwendungsfalls bedenken und überlegen, ob Sie Sicherheitsbedenken ausräumen können.

Hoch: Die Verwendung dieser Einstellungen bietet die optimale Benutzererfahrung bei gleichzeitiger Gewährleistung einer einfachen, für die meisten Organisationen akzeptablen Sicherheitsstufe.

Höher: Diese Einstellungen bewirken ein ausgeglicheneres Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit.

Höchste: Die Einhaltung dieser Empfehlungen bietet ein hohes Maß an Sicherheit auf Kosten von Benutzerfreundlichkeit und Benutzerakzeptanz.

Bereitstellungsmodus – Sicherheitsüberlegungen

Die folgende Tabelle enthält die Bereitstellungsmodi für jede Sicherheitsstufe.

     
Hohe Sicherheit Höhere Sicherheit Höchste Sicherheit
MAM oder MDM MDM+MAM MDM+MAM, plus FIPS

Hinweise:

  • Je nach Anwendungsfall kann eine Nur-MDM- oder Nur-MAM-Bereitstellung die Sicherheitsanforderungen erfüllen und eine gute Benutzererfahrung bieten.
  • Wenn keine App-Containerization, kein Micro-VPN- und keine App-spezifischen Richtlinien erforderlich sind, reicht MDM zur Verwaltung und zum Schützen von Geräten aus.
  • Für Anwendungsfälle wie BYOD, bei denen alle geschäftlichen und Sicherheitsanforderungen mit bloßer App-Containerization erfüllt werden können, empfiehlt Citrix den Nur-MAM-Modus.
  • Für Umgebungen mit hoher Sicherheit (und vom Unternehmen gestellten Geräten) empfiehlt Citrix MDM+MAM zur Nutzung aller verfügbaren Sicherheitsfunktionen. Stellen Sie sicher, dass Sie die MDM-Registrierung erzwingen.
  • FIPS-Optionen für Umgebungen mit höchsten Sicherheitsanforderungen, z. B. Regierungsbehörden.

Wenn Sie den FIPS-Modus aktivieren, müssen Sie SQL Server für die Verschlüsselung des SQL-Datenverkehrs konfigurieren.

Citrix ADC und Citrix Gateway – Sicherheitsüberlegungen

Die folgende Tabelle enthält Empfehlungen für Citrix ADC und Citrix Gateway für jede Sicherheitsstufe.

     
Hohe Sicherheit Höhere Sicherheit Höchste Sicherheit
Citrix ADC wird empfohlen. Citrix Gateway ist für MAM und ENT erforderlich und wird für MDM empfohlen. Standardkonfiguration von Citrix ADC für XenMobile-Assistenten mit SSL-Brücke, wenn XenMobile in der DMZ ist. Oder SSL-Offload, sofern dies zur Erfüllung von Sicherheitsstandards erforderlich ist, wenn XenMobile Server im internen Netzwerk ist. SSL-Offload mit End-to-End-Verschlüsselung

Hinweise:

  • Bei MDM kann der XenMobile-Server nach Wahl über NAT, Drittanbieter-Proxys oder Load Balancer dem Internet ausgesetzt werden. Diese Konfiguration erfordert jedoch, dass der SSL-Datenverkehr auf dem XenMobile-Server endet, was ein Sicherheitsrisiko bedeutet.
  • In Umgebungen mit hoher Sicherheit erfüllt oder übertrifft Citrix ADC mit der standardmäßigen XenMobile-Konfiguration normalerweise die Sicherheitsanforderungen.
  • Für MDM-Umgebungen mit höchsten Sicherheitsanforderungen ermöglicht die SSL-Terminierung am Citrix ADC die Datenverkehrsprüfung am Umkreis und gewährleistet eine durchgängige SSL-Verschlüsselung.
  • Optionen zum Definieren von SSL-/TLS-Verschlüsselungsverfahren.
  • SSL FIPS Citrix ADC-Hardware ist ebenfalls verfügbar.
  • Weitere Information finden Sie unter Integration in Citrix Gateway und Citrix ADC.

Registrierung – Sicherheitsüberlegungen

Die folgende Tabelle enthält Empfehlungen für Citrix ADC und Citrix Gateway für jede Sicherheitsstufe.

     
Hohe Sicherheit Höhere Sicherheit Höchste Sicherheit
Nur Active Directory-Gruppenmitgliedschaft. Bereitstellungsgruppe “Alle Benutzer” deaktiviert. Sicherheitsmodus mit Registrierung nur auf Einladung. Nur Active Directory-Gruppenmitgliedschaft. Bereitstellungsgruppe “Alle Benutzer” deaktiviert. Registrierungssicherheitsmodus mit Bindung an Geräte-ID. Nur Active Directory-Gruppenmitgliedschaft. Bereitstellungsgruppe “Alle Benutzer” deaktiviert.

Hinweise:

  • Citrix empfiehlt generell, die Registrierung auf Benutzer in vordefinierten Active Directory-Gruppen zu beschränken. Hierfür muss die integrierte Bereitstellungsgruppe “Alle Benutzer” deaktiviert werden.
  • Mit Registrierungseinladungen können Sie die Registrierung auf Benutzer beschränken, die eine Einladung erhalten haben. Registrierungseinladungen sind für Windows-Geräte nicht verfügbar.
  • Sie können Registrierungseinladungen mit Einmal-PIN (OTP) als Lösung für die zweistufige Authentifizierung nutzen und vorgeben, wie viele Geräte jeder Benutzer registrieren kann. OTP-Einladungen sind für Windows-Geräte nicht verfügbar.

Überlegungen zur Sicherheit von Gerätepasscodes

Die folgende Tabelle enthält Empfehlungen für den Gerätepasscode für jede Sicherheitsstufe.

     
Hohe Sicherheit Höhere Sicherheit Höchste Sicherheit
Empfohlen. Für die Verschlüsselung auf Geräteebene ist hohe Sicherheit erforderlich. Über MDM erzwungen. Sie können hohe Sicherheit für Nur-MAM-Umgebungen über die MDX-Richtlinie “Verhalten für nicht richtlinientreue Geräte” erzwingen. Über eine MDM, eine MDX-Richtlinie oder beides erzwungen. Wird über eine MDM- und MDX-Richtlinie erzwungen. MDM-Richtlinie “Komplexer Passcode”.

Hinweise:

  • Citrix empfiehlt die Verwendung eines Gerätepasscodes.
  • Sie können die Verwendung von Gerätepasscodes über eine MDM-Richtlinie erzwingen.
  • Sie können über eine MDX-Richtlinie festlegen, dass ein Gerätepasscode Voraussetzung für die Verwendung verwalteter Apps ist. Zum Beispiel für BYOD-Anwendungsfälle.
  • Citrix empfiehlt, die Kombination von MDM- und MDX-Richtlinien zur größeren Sicherheit in MDM+MAM-Umgebungen.
  • In Umgebungen mit höchsten Sicherheitsanforderungen können Sie Richtlinien für komplexe Passcodes konfigurieren und über MDM erzwingen. Sie können automatische Aktionen konfigurieren, um Administratoren zu benachrichtigen oder selektive/vollständige Gerätelöschungen zu veranlassen, wenn ein Gerät einer Passcoderichtlinie nicht entspricht.
Sicherheit und Benutzererfahrung