Comunidades de usuarios
Cada organización consta de diversas comunidades de usuarios que operan en diferentes roles funcionales. Estas comunidades de usuarios realizan diferentes tareas y funciones de oficina mediante diversos recursos que usted proporciona a través de los dispositivos móviles de esos usuarios. Los usuarios pueden trabajar desde casa o en oficinas remotas mediante los dispositivos móviles que usted proporciona, o mediante sus dispositivos móviles personales, lo que les permite acceder a herramientas que están sujetas a reglas de cumplimiento de seguridad.
Con la cantidad creciente de comunidades de usuarios que usan dispositivos móviles, la administración Enterprise Mobility Management (EMM) se ha convertido en un elemento vital para evitar la filtración de datos y para hacer cumplir las restricciones de seguridad de la organización. Para una administración eficiente y más sofisticada de dispositivos móviles, puede categorizar las comunidades de los usuarios. Al hacerlo, se simplifica la asignación de usuarios a los recursos y se garantiza que se apliquen las directivas de seguridad correspondientes a los usuarios indicados.
La categorización de las comunidades de usuarios puede incluir el uso de los siguientes componentes:
-
Grupos y unidades organizativas (OU) de Active Directory
Los usuarios agregados a grupos de seguridad de Active Directory específicos pueden recibir recursos tales como aplicaciones y directivas. Quitar usuarios de los grupos de seguridad de Active Directory, elimina el acceso que tenían esos usuarios a los recursos de XenMobile previamente permitidos.
-
Grupos y usuarios locales de XenMobile
Para los usuarios que no tienen cuenta de Active Directory, puede crear usuarios locales de XenMobile. Puede agregar usuarios locales a grupos de entrega y aprovisionarles recursos de la misma manera que a los usuarios de Active Directory.
-
Grupos de entrega de XenMobile
Si varios grupos de usuarios con diferentes niveles de permisos utilizan una sola aplicación, puede que le interese crear grupos de entrega independientes. Con grupos de entrega separados, puede implementar dos versiones independientes de la misma aplicación.
-
Asignación de grupos de usuario y grupos de entrega
Las asignaciones de grupos de entrega a grupos de Active Directory pueden ser uno a uno, o uno a varios. Asigne aplicaciones y directivas base a grupos de entrega. La asignación puede ser de tipo “de uno a varios”, es decir una aplicación y directiva base se pueden asignar a varios grupos de entrega. Asigne aplicaciones y directivas específicas por función a las asignaciones uno a uno de grupos de entrega.
-
Asignación de aplicaciones por recursos y grupos de entrega
Asigne aplicaciones específicas a cada grupo de entrega.
-
Asignación de recursos MDM por recursos y grupos de entrega
Asigne aplicaciones y recursos de administración de dispositivos específicos a cada grupo de entrega. Por ejemplo: Configure un grupo de entrega con cualquier combinación de las siguientes acciones: tipos de aplicaciones (públicas, HDX, etc.), aplicaciones específicas por tipo de aplicación y recursos (como directivas de dispositivo y acciones automatizadas).
El siguiente ejemplo ilustra cómo se clasifican para EMM las comunidades de usuarios de una organización de asistencia sanitaria.
Caso de uso
Esta organización sanitaria de ejemplo ofrece recursos tecnológicos y acceso a varios usuarios, incluidos los voluntarios, los empleados en la red y los empleados asociados. La organización ha decidido aplicar la solución EMM solo para usuarios no ejecutivos.
En esta organización, las funciones y los roles se pueden dividir en estos subgrupos: sanitarios, no sanitarios y contratistas. Un conjunto seleccionado de los usuarios recibe dispositivos móviles de empresa, mientras que otras personas pueden acceder a recursos limitados de la empresa desde sus dispositivos personales (BYOD). Para hacer cumplir el nivel apropiado de restricciones de seguridad y evitar la filtración de datos, la organización decidió que el departamento de TI corporativo administrara cada dispositivo inscrito. Además, los usuarios pueden inscribir un solo dispositivo.
Las siguientes secciones ofrecen una descripción general de los roles y las funciones de cada subgrupo:
Sanitarios
- Enfermeros
- Médicos (doctores, cirujanos, etc.)
- Especialistas (dietistas, flebotomistas, anestesiólogos, radiólogos, cardiólogos, oncólogos, etc.)
- Médicos externos (médicos que no son empleados y empleados de oficina que trabajan desde oficinas remotas)
- Servicios de cuidados a domicilio (empleados de oficina y móviles que desempeñan tareas de cuidado sanitario en visitas a domicilio de los pacientes)
- Especialista en investigación (trabajadores intelectuales y usuarios avanzados en seis institutos de investigación que realizan investigaciones clínicas para buscar respuestas a problemas en Medicina)
- Educación y formación (enfermeros, médicos y especialistas en educación y formación)
No sanitarios
- Servicios compartidos (empleados de oficina que realizan varias funciones administrativas, entre ellas: recursos humanos, nóminas, contabilidad, servicio de cadena de suministro, etc.)
- Servicios médicos (empleados de oficina que realizan diversos servicios de administración de cuidados médicos, servicios administrativos y procesos comerciales para proveedores, incluidos: servicios administrativos, análisis e inteligencia empresarial, sistemas de negocio, servicios al cliente, finanzas, gestión de cuidados realizados, soluciones de acceso a pacientes, soluciones de ciclo de ingresos, etc.)
- Servicios de asistencia técnica (empleados de oficina que realizan varias funciones no clínicas, por ejemplo: gestión de ganancias y beneficios, integración clínica, comunicaciones, compensación y gestión del rendimiento, servicios de instalaciones y propiedades, sistemas de tecnología de recursos humanos, servicios de información, auditoría interna y mejora de procesos, etc.)
- Programas filantrópicos (empleados de oficina y móviles que realizan diversas funciones en apoyo a programas filantrópicos)
Contratistas
- Socios de fabricantes y proveedores (in situ y conectados de forma remota a través de la VPN de sitio a sitio, ofrecen varias funciones de asistencia no sanitaria)
En función de la información anterior, la organización crea las siguientes entidades. Para obtener más información acerca de los grupos de entrega en XenMobile, consulte Implementar recursos en la documentación de producto de XenMobile.
Grupos y unidades organizativas (OU) de Active Directory
Como OU = Recursos de XenMobile
- OU = Sanitarios; Groups =
- XM-Enfermería
- XM-Médicos
- XM-Especialistas
- XM-Médicos externos
- XM-Servicios de cuidados a domicilio
- XM-Especialista en investigación
- XM-Educación y formación
- OU = No sanitarios; Groups =
- XM-Servicios compartidos
- XM-Servicios médicos
- XM-Servicios de asistencia técnica
- XM-Programas filantrópicos
Grupos y usuarios locales de XenMobile
Como Group= Contratistas, Users =
- Proveedor1
- Proveedor2
- Proveedor3
- … Proveedor10
Grupos de entrega de XenMobile
- Sanitario-Enfermeros
- Sanitario-Médicos
- Sanitario-Especialistas
- Sanitario-Médicos externos
- Sanitario-Servicios de cuidados a domicilio
- Sanitario-Especialista en investigación
- Sanitario-Educación y formación
- No-Sanitario-Servicios compartidos
- No-Sanitario-Servicios médicos
- No-Sanitario-Servicios de asistencia técnica
- No-Sanitario-Programas filantrópicos
Asignación de grupos de usuario y grupos de entrega
Usar grupos de Active Directory | Grupos de entrega de XenMobile |
XM-Enfermería | Sanitario-Enfermeros |
XM-Médicos | Sanitario-Médicos |
XM-Especialistas | Sanitario-Especialistas |
XM-Médicos externos | Sanitario-Médicos externos |
XM-Servicios de cuidados a domicilio | Sanitario-Servicios de cuidados a domicilio |
XM-Especialista en investigación | Sanitario-Especialista en investigación |
XM-Educación y formación | Sanitario-Educación y formación |
XM-Servicios compartidos | No-Sanitario-Servicios compartidos |
XM-Servicios médicos | No-Sanitario-Servicios médicos |
XM-Servicios de asistencia técnica | No-Sanitario-Servicios de asistencia técnica |
XM-Programas filantrópicos | No-Sanitario-Programas filantrópicos |
Asignación de aplicaciones por recursos y grupos de entrega
Secure Mail | Secure Web | ShareFile | Receiver | SalesForce1 | RSA SecurID | EpicCare Haiku | Epic Hyperspace | |
Sanitario-Enfermeros | X | X | X | |||||
Sanitario-Médicos | ||||||||
Sanitario-Especialistas | ||||||||
Sanitario-Médicos externos | X | X | ||||||
Sanitario-Servicios de cuidados a domicilio | X | X | ||||||
Sanitario-Especialista en investigación | X | X | ||||||
Sanitario-Educación y formación | X | X | ||||||
No-Sanitario-Servicios compartidos | X | X | ||||||
No-Sanitario-Servicios médicos | X | X | ||||||
No-Sanitario-Servicios de asistencia técnica | X | X | X | X | ||||
No-Sanitario-Programas filantrópicos | X | X | X | X | ||||
Contratistas | X | X | X | X | X | X |
Asignación de recursos MDM por recursos y grupos de entrega
MDM: Directiva de código de acceso | MDM: Restricciones de dispositivo | MDM: Acciones automatizadas | MDM: Directiva de Wi-Fi | |
Sanitario-Enfermeros | X | |||
Sanitario-Médicos | X | |||
Sanitario-Especialistas | ||||
Sanitario-Médicos externos | ||||
Sanitario-Servicios de cuidados a domicilio | ||||
Sanitario-Especialista en investigación | ||||
Sanitario-Educación y formación | ||||
No-Sanitario-Servicios compartidos | ||||
No-Sanitario-Servicios médicos | ||||
No-Sanitario-Servicios de asistencia técnica | ||||
No-Sanitario-Programas filantrópicos | ||||
Contratistas | X |
Notas y consideraciones
- XenMobile crea un grupo de entrega predeterminado llamado AllUsers (Todos los usuarios) durante la configuración inicial. Si no inhabilita este grupo de entrega, todos los usuarios de Active Directory tendrán derecho a inscribirse en XenMobile.
- XenMobile sincroniza los grupos y los usuarios de Active Directory a demanda mediante una conexión dinámica al servidor LDAP.
- Si un usuario forma parte de un grupo que no está asignado en XenMobile, dicho usuario no podrá inscribirse. Del mismo modo, si un usuario es miembro de múltiples grupos, XenMobile solo clasificará al usuario como perteneciente a los grupos asignados a XenMobile.
- Para que la inscripción MDM sea obligatoria, establezca la opción Inscripción requerida en Verdadero en las Propiedades de servidor de la consola de XenMobile. Para obtener más información, consulte Propiedades de servidor.
- Para eliminar un grupo de usuarios de un grupo de entrega de XenMobile, elimine la entrada en la base de datos de SQL Server, en dbo.userlistgrps.
Precaución:
Antes de realizar esta acción, cree una copia de seguridad de XenMobile y la base de datos.
Acerca de la pertenencia de dispositivos en XenMobile
Puede agrupar a los usuarios en función del propietario de un dispositivo de usuario. La propiedad de un dispositivo puede ser de la empresa o del usuario; esta última también se conoce como uso de dispositivos personales en el trabajo (bring your own device, BYOD). Puede gestionar la manera en que los dispositivos de los usuarios se conectan a la red desde dos lugares de la consola de XenMobile: la página “Reglas de implementación” y las propiedades del servidor de XenMobile en la página Parámetros. Para obtener más información acerca de las reglas de implementación, consulte Implementar recursos en la documentación de XenMobile. Para obtener más información sobre las propiedades de servidor, consulte Propiedades de servidor en este manual.
Al configurar las propiedades de servidor, puede requerir que los usuarios con dispositivo BYOD acepten que la empresa administre sus dispositivos para poder acceder a las aplicaciones. O bien, puede permitir a los usuarios acceder a las aplicaciones de empresa sin administrar sus dispositivos.
Si establece la propiedad de servidor wsapi.mdm.required.flag en verdadero, XenMobile administrará todos los dispositivos BYOD y negará el acceso a las aplicaciones a todo usuario que rechace la inscripción. Puede establecer wsapi.mdm.required.flag en true en entornos en que los equipos de TI de la empresa necesitan niveles altos de seguridad y una experiencia de usuario segura durante la inscripción.
Si deja wsapi.mdm.required.flag en false, que es la opción predeterminada, los usuarios pueden rechazar la inscripción. Sin embargo, pueden acceder aplicaciones en sus dispositivos a través de XenMobile Store. Puede establecer wsapi.mdm.required.flag en false en entornos en que las restricciones de privacidad, legales o normativas no requieren la administración de dispositivos, sino solo la administración de las aplicaciones de empresa.
Los usuarios cuyos dispositivos no administre XenMobile no pueden instalarse aplicaciones a través de XenMobile Store. En lugar de controles a nivel de dispositivo (como el borrado completo o selectivo de datos), se puede controlar el acceso a las aplicaciones a través de directivas de aplicaciones. Algunas configuraciones de directiva requieren que el dispositivo consulte frecuentemente al servidor de XenMobile para confirmar que las aplicaciones aún se pueden ejecutar.