XenMobile Server

Modos de administración

Para cada instancia de XenMobile (un solo servidor o un clúster de nodos), puede elegir si quiere administrar dispositivos, aplicaciones o ambos. XenMobile utiliza los siguientes términos para los modos de administración de dispositivos y aplicaciones:

  • Modo de administración de dispositivos móviles (modo MDM)
  • Modo de administración de aplicaciones móviles (modo MAM)
  • Modo MDM+MAM (modo Enterprise)

Administración de dispositivos móviles (modo MDM)

Importante:

Si configura el modo MDM y después cambia al modo ENT, debe utilizar la misma autenticación (Active Directory). XenMobile no admite cambiar el modo de autenticación después de haber inscrito a los usuarios. Para obtener más información, consulte Actualizar.

Con MDM, puede configurar, proteger y ofrecer soporte a dispositivos móviles. MDM permite proteger los dispositivos y los datos contenidos en esos dispositivos a nivel de sistema. Puede configurar directivas, acciones y funciones de seguridad. Por ejemplo, puede borrar un dispositivo de forma selectiva si el dispositivo se pierde, deja de cumplir la normativa o se lo roban. Aunque la administración de aplicaciones no está disponible con el modo MDM, puede entregar aplicaciones móviles (por ejemplo, aplicaciones de almacén público y aplicaciones de empresa) en este modo. A continuación, se presentan los casos de uso más frecuentes para el modo MDM:

  • Vale la pena tener el modo MDM en cuenta cuando se trata de dispositivos propiedad de la empresa donde se requieren restricciones o directivas de administración a nivel de dispositivo (como un borrado completo, un borrado selectivo o una localización geográfica).
  • Cuando los clientes requieren la administración de un dispositivo real, pero no necesitan directivas MDX (por ejemplo, para la contenedorización de aplicaciones, para controlar el uso compartido de datos de las aplicaciones o la red micro VPN).
  • Cuando los usuarios solo necesitan que se entregue el correo electrónico a los clientes de correo nativos presentes en sus dispositivos móviles, y ya se puede acceder externamente a Exchange ActiveSync o al servidor de acceso de cliente. En este caso, se puede usar la administración MDM para configurar la entrega de correo electrónico.
  • Cuando implementa aplicaciones empresariales nativas (no MDX), aplicaciones de tiendas públicas o aplicaciones MDX entregadas desde tiendas públicas. Tenga en cuenta que una solución MDM por sí sola no evita la filtración de información confidencial entre las aplicaciones presentes en el dispositivo. La filtración de datos puede ocurrir con las operaciones “Copiar”, “Pegar” o “Guardar como” en las aplicaciones Office 365.

Administración de aplicaciones móviles (modo MAM)

La administración MAM protege los datos de la aplicación y permite controlar el uso compartido de esos datos. MAM también permite administrar los datos y los recursos corporativos de manera separada de los datos personales. Con XenMobile configurado para el modo MAM, puede usar aplicaciones móviles habilitadas para MDX para proporcionar el control y la contenedorización para cada aplicación. El “modo MAM” también se denomina “modo solo MAM”. Este término distingue este modo de un modo MAM antiguo.

Al aprovechar las directivas MDX, XenMobile ofrece el control al nivel de aplicación sobre: el acceso a la red (por ejemplo, con una red micro VPN), la interacción de dispositivos y aplicaciones, el cifrado de datos y el acceso a aplicaciones.

MAM suele ser idóneo para dispositivos BYO porque, aunque el dispositivo no esté administrado, los datos corporativos permanecen protegidos. MDX tiene muchas directivas exclusivas de MAM que no requieren un control de MDM.

MAM también admite las aplicaciones móviles de productividad. Esta compatibilidad implica la entrega segura de correo electrónico a Citrix Secure Mail, el intercambio de datos entre las aplicaciones móviles de productividad seguras y el almacenamiento seguro de datos en Citrix Files. Para obtener más información, consulte Aplicaciones móviles de productividad.

A menudo, MAM conviene cuando:

  • Entrega aplicaciones móviles, tales como aplicaciones MDX, administradas a nivel de aplicación.
  • No necesita administrar dispositivos a nivel de sistema.

MDM+MAM (modo Enterprise)

El modo MDM+MAM es un modo híbrido, también denominado “modo Enterprise”, que permite todos los conjuntos de funciones disponibles en la solución Enterprise Mobility Management (EMM o gestión de movilidad empresarial) de XenMobile. Configurar XenMobile en el modo MDM+MAM habilita las funciones MDM y MAM.

XenMobile permite especificar si los usuarios pueden optar por no administrar el dispositivo o si, en cambio, es necesario administrarlo. Esta flexibilidad es útil para entornos que incluyen una mezcla de casos de uso. Estos entornos pueden requerir la administración de un dispositivo a través de directivas MDM para acceder a los recursos MAM.

MDM+MAM conviene cuando:

  • Dispone de un solo caso de uso donde se requieren MDM y MAM. Se necesita MDM para acceder a los recursos MAM.
  • Algunos casos de uso requieren MDM, mientras que otros no.
  • Algunos casos de uso requieren MAM, mientras que otros no.

El modo de administración de XenMobile Server se indica a través de la propiedad Modo de servidor. Este parámetro se configura en la consola de XenMobile. El modo puede ser MDM, MAM o ENT (para MDM+MAM).

La edición de XenMobile para la que tiene licencia determina los modos de administración y otras funciones disponibles, como se muestra en la siguiente tabla.

   
XenMobile MDM Edition XenMobile Advanced Edition
Funciones MDM Funciones MDM
- Funciones MAM
- SDK de MAM
Secure Hub Secure Hub
- Secure Mail
- Secure Web

Modos de administración y perfiles de inscripción

Los modos de administración y los perfiles de inscripción funcionan juntos. Utilice un perfil de inscripción para configurar las opciones de inscripción para administración de dispositivos y aplicaciones con dispositivos Android e iOS. En el caso de Android, las opciones de inscripción disponibles para el modo de servidor MDM+MAM difieren de las opciones para el modo MDM. Para obtener más información, consulte Perfiles de inscripción.

Administración de dispositivos e inscripción MDM

Un entorno de XenMobile Enterprise puede incluir una mezcla de casos de uso, donde algunos de ellos requieren la administración de dispositivos a través de directivas MDM para permitir el acceso a los recursos MAM. Antes de implementar las aplicaciones móviles de productividad a los usuarios, debe evaluar de manera exhaustiva los casos de uso y decidir si requiere la inscripción MDM. Si más adelante decide cambiar el requisito de la inscripción MDM, es probable que los usuarios deban volver a inscribir sus dispositivos.

Nota:

Para especificar si necesita que los usuarios se inscriban en MDM, use la propiedad Inscripción requerida de XenMobile Server en la consola de XenMobile (Parámetros > Propiedades de servidor). Dicha propiedad de servidor global se aplica a todos los usuarios y dispositivos de la instancia de XenMobile. La propiedad se aplica solo cuando el modo de XenMobile Server es ENT.

A continuación, dispone de un resumen de las ventajas y las desventajas (junto con las maneras de atenuarlas) de requerir la inscripción MDM en una implementación de XenMobile en modo Enterprise.

Cuando la inscripción MDM es opcional

Ventajas:

  • Los usuarios pueden acceder a los recursos MAM sin que sus dispositivos se administren por MDM. Esta opción puede aumentar la cantidad de usuarios.
  • Posibilidad de proteger el acceso a los recursos MAM para, a su vez, proteger los datos de empresa.
  • Las directivas MDX, como Código de acceso de aplicación, pueden controlar el acceso a cada aplicación MDX.
  • Configurar Citrix ADC, XenMobile Server y tiempos de espera para cada aplicación, junto con el PIN de Citrix, ofrecen una capa extra de protección.
  • Si bien las acciones de MDM no se aplican al dispositivo, dispone de determinadas directivas MDX para denegar el acceso a los recursos MAM. La denegación del acceso se basaría en la configuración del sistema, como dispositivos liberados por jailbreak o rooting.
  • Los usuarios pueden elegir si inscribir sus dispositivos con MDM al primer uso.

Desventajas:

  • Los recursos MAM están disponibles para los dispositivos que no están inscritos con MDM.
  • Las acciones y las directivas MDM solo están disponibles en los dispositivos inscritos con MDM.

Opciones de mitigación:

  • Haga que los usuarios acepten los términos y las condiciones de la empresa. Serán responsables frente a esta empresa si eligen dejar de cumplir las normas. Haga que los administradores supervisen los dispositivos no administrados.
  • Administre la seguridad y el acceso a las aplicaciones a través de temporizadores de aplicación. Unos valores inferiores de tiempo de espera aumentan la seguridad, pero pueden afectar a la experiencia de usuario.
  • Una posibilidad es un segundo entorno de XenMobile con la inscripción MDM requerida. Al considerar esta opción, tenga en cuenta los recursos adicionales necesarios y la sobrecarga adicional que implica administrar dos entornos.

Cuando la inscripción MDM es obligatoria

Ventajas:

  • Posibilidad de restringir el acceso a los recursos MAM solo a los dispositivos administrados por MDM.
  • Las acciones y las directivas MDM pueden aplicarse a todos los dispositivos del entorno como sea pertinente.
  • Los usuarios no pueden optar por no inscribir su dispositivo.

Desventajas:

  • Requiere que todos los usuarios se inscriban con MDM.
  • Puede reducir la cantidad de usuarios, ya que los usuarios que no estén de acuerdo con que la empresa administre sus dispositivos personales pueden no inscribirse.

Opciones de mitigación:

  • Informe a los usuarios sobre lo que XenMobile administra realmente en sus dispositivos e indíqueles a qué información pueden acceder los administradores.
  • Puede usar un segundo entorno de XenMobile, donde la propiedad “Modo de servidor” tiene el valor “MAM” (también llamado “modo solo MAM”), para dispositivos que no necesitan la administración MDM. Al considerar esta opción, tenga en cuenta los recursos adicionales necesarios y la sobrecarga adicional que implica administrar dos entornos.

Acerca de los modos MAM y MAM antiguo

Con XenMobile 10.3.5, se introdujo el modo de servidor solo MAM. Para distinguir entre el modo MAM anterior y el nuevo, se utilizan estos términos en la documentación. El nuevo modo se llama “solo MAM” o “MA”, mientras que el modo MAM anterior se llama “modo MAM antiguo”.

El modo solo MAM se activa cuando la propiedad Modo de servidor de XenMobile tiene el valor MAM. Los dispositivos se registran en el modo MAM.

La funcionalidad MAM antigua se activa cuando la propiedad Modo de servidor de XenMobile tiene el valor ENT y los usuarios eligen no usar la administración de dispositivos. En ese caso, los dispositivos se registran en el modo MAM. Los usuarios que optan por no usar la administración MDM siguen recibiendo la funcionalidad de MAM antiguo.

Nota:

Anteriormente, configurar la propiedad “Modo de servidor” con el valor MAM tenía el mismo efecto que configurarla con el valor ENT, es decir, los usuarios que decidían no usar la administración MDM recibían la funcionalidad de MAM antiguo.

La siguiente tabla resume la configuración de modo de servidor que debe usarse para el determinado tipo de licencia y modo de dispositivo que se desee:

     
Tiene licencias para esta edición Quiere que los dispositivos se registren en este modo Defina la propiedad Modo de servidor con el valor
Enterprise / Advanced / MDM Modo MDM MDM
Enterprise/Advanced Modo MAM (también llamado “modo solo MAM”) MAM
Enterprise/Advanced Modo MDM+MAM ENT (Los usuarios que deciden no participar en la administración de dispositivos funcionarán con el modo MAM antiguo.)

El modo solo MAM admite las siguientes funciones que anteriormente estaban disponibles solo para ENT.

  • Autenticación basada en certificados: El modo solo MAM admite la autenticación con certificados. Los usuarios tienen acceso continuo a sus aplicaciones, incluso cuando caduque su contraseña de Active Directory. Si usa la autenticación basada en certificados para los dispositivos MAM, debe configurar el dispositivo Citrix Gateway. De manera predeterminada, en XenMobile, en Parámetros > Citrix Gateway, el parámetro “Entregar certificado de usuario para autenticación” está desactivado, lo que significa que se usa autenticación con nombre de usuario y contraseña. Active este parámetro para habilitar la autenticación por certificado.
  • Self-Help Portal: Para permitir que los usuarios lleven a cabo por sí mismos las acciones de bloqueo y borrado de aplicaciones. Estas acciones tienen efecto en todas las aplicaciones del dispositivo. Puede configurar las acciones de bloqueo de aplicaciones y borrado de aplicaciones en Configurar > Acciones.
  • Todos los modos de seguridad para la inscripción: Incluidos los de Alta seguridad, URL de invitación y Dos factores, configurados desde Administrar > Invitaciones de inscripción.
  • Límite de registro para dispositivos Android y iOS: La propiedad de servidor Cantidad de dispositivos por usuario ahora se encuentra en Configurar > Perfiles de inscripción y se aplica a todos los modos de servidor.
  • API de solo MAM: Para dispositivos solo MAM, puede invocar los servicios REST desde cualquier cliente REST mediante la API de REST de XenMobile para llamar los servicios que expone la consola de XenMobile.
  • Las API de solo MAM permiten:
    • Enviar una URL de invitación y un PIN de un solo uso.
    • Emitir acciones de bloqueo y borrado de aplicaciones a los dispositivos.

En la siguiente tabla se resumen las diferencias entre la funcionalidad de MAM antiguo y solo MAM.

     
Casos de inscripción y otras funciones MAM antiguo (modo de servidor = ENT) Modo solo MAM (modo de servidor = MAM)
Autenticación de certificados No se admite. Se admite. Para la autenticación con certificados, es necesario usar Citrix Gateway.
Requisito de implementación No es necesario que los dispositivos puedan acceder directamente al servidor de XenMobile Server. No es necesario que los dispositivos puedan acceder directamente al servidor de XenMobile Server.
Opción de inscripción Usar el nombre de dominio completo (FQDN) de Citrix Gateway o, cuando se usa el FQDN de MDM, optar por no inscribirse. Usar el nombre de dominio completo (FQDN) de XenMobile Server.
Métodos de inscripción* Nombre de usuario y contraseña Nombre de usuario y contraseña; Alta seguridad; URL de invitación; URL de invitación y PIN, URL de invitación y contraseña, Dos factores, Nombre de usuario y PIN
Bloqueo y borrado de aplicaciones Se admite. Se admite.
Opciones del portal Self-Help Portal para el borrado y bloqueo de aplicaciones No se admite. Se admite.
Comportamiento del borrado de aplicaciones Las aplicaciones permanecen en el dispositivo, pero no se pueden usar. XenMobile elimina la cuenta solo en el cliente. Las aplicaciones permanecen en el dispositivo, pero no se pueden usar. XenMobile elimina la cuenta solo en el cliente.
Acciones automatizadas para usuarios del modo solo MAM. Se admiten las acciones de evento, propiedad de dispositivo y propiedad de usuario. No se admiten las acciones automatizadas en aplicaciones instaladas. Admite acciones de eventos, propiedades de dispositivo, propiedades de usuario y algunas acciones de aplicaciones, incluido el bloqueo de aplicaciones y el borrado de aplicaciones.
Acción integrada cuando se elimina un usuario de Active Directory Admite el borrado de aplicaciones. Admite el borrado de aplicaciones.
Límite de inscripción Se admite; configurado en un perfil de inscripción. Se admite; configurado en un perfil de inscripción.
Inventario de software Se admite. XenMobile enumera las aplicaciones instaladas en un dispositivo No se admite.

* Con respecto a las notificaciones: SMTP es el único método admitido para enviar invitaciones de inscripción.

Importante:

Para el modo solo MAM, los usuarios ya inscritos deben volver a inscribir sus dispositivos. Debe proporcionar a los usuarios el nombre de dominio completo (FQDN) de XenMobile Server que necesiten para la inscripción. En el modo solo MAM, al igual que en el modo ENT, los dispositivos se inscriben con el nombre FQDN de XenMobile Server (en el modo MAM antiguo, los dispositivos se inscriben mediante el nombre FQDN de Citrix Gateway).