Sécurité et expérience utilisateur
La sécurité est importante pour toute organisation, mais vous devez trouver un équilibre entre la sécurité et l’expérience utilisateur. Par exemple, vous pouvez avoir un environnement hautement sécurisé qui est difficile à utiliser pour les utilisateurs. Ou votre environnement peut être si convivial que le contrôle d’accès n’est pas aussi strict. Les autres sections de ce manuel virtuel couvrent en détail les fonctionnalités de sécurité. Le but de cet article est de donner un aperçu général des problèmes de sécurité courants et des options de sécurité disponibles dans Citrix Endpoint Management.
Voici quelques considérations clés à garder à l’esprit pour chaque cas d’utilisation :
- Voulez-vous sécuriser certaines applications, l’appareil entier ou tout ?
- Comment voulez-vous que vos utilisateurs authentifient leur identité ? Souhaitez-vous utiliser LDAP, l’authentification basée sur les certificats ou une combinaison des deux ?
- Combien de temps souhaitez-vous que la session d’un utilisateur dure avant qu’elle expire ? Gardez à l’esprit qu’il existe différentes valeurs de délai d’expiration pour les services d’arrière-plan, Citrix ADC et pour accéder aux applications en mode hors connexion.
- Souhaitez-vous que les utilisateurs configurent un code d’accès au niveau de l’appareil et un code d’accès au niveau de l’application ? Combien de tentatives de connexion souhaitez-vous autoriser ? Gardez à l’esprit les exigences d’authentification supplémentaires par application qui peuvent être implémentées avec MAM et la façon dont les utilisateurs peuvent les percevoir.
- Quelles autres restrictions voulez-vous appliquer aux utilisateurs ? Souhaitez-vous donner aux utilisateurs l’accès à des services cloud tels que Siri ? Que peuvent-ils faire avec chaque application que vous mettez à leur disposition et que ne peuvent-ils pas faire ? Souhaitez-vous déployer des stratégies de réseau (Wi-Fi) d’entreprise pour empêcher l’utilisation de forfaits de données cellulaires dans les bureaux ?
Application ou appareil
Une des premières décisions à prendre est de déterminer si vous souhaitez sécuriser :
- Certaines applications uniquement (gestion d’applications mobiles ou MAM)
- L’ensemble de l’appareil (gestion d’appareils mobiles ou MDM).
- MDM+MAM
Le plus souvent, si vous n’avez pas besoin d’un contrôle au niveau de l’appareil, vous n’avez besoin que de gérer les applications mobiles, en particulier si votre organisation prend en charge Bring Your Own Device (BYOD).
Les utilisateurs équipés d’appareils qui ne sont pas gérés peuvent installer des applications via le magasin d’applications. À la place des contrôles au niveau de l’appareil, comme l’effacement partiel ou complet, vous contrôlez l’accès aux applications via des stratégies d’application. Selon les valeurs que vous avez définies, les stratégies requièrent que l’appareil vérifie régulièrement Citrix Endpoint Management pour confirmer que les applications sont toujours autorisées à s’exécuter.
MDM vous permet de sécuriser l’ensemble d’un appareil, y compris la possibilité de faire l’inventaire de tous les logiciels d’un appareil. MDM vous permet d’empêcher l’inscription si l’appareil est jailbreaké, rooté ou si un logiciel non sécurisé est installé. Toutefois, les utilisateurs se méfient d’un tel niveau de contrôle sur leurs appareils personnels et cela peut réduire les taux d’inscription.
Authentification
C’est au niveau de l’authentification qu’une grande partie de l’expérience de l’utilisateur a lieu. Si votre organisation exécute déjà Active Directory, l’utilisation d’Active Directory est le moyen le plus simple d’autoriser vos utilisateurs à accéder au système.
Les délais d’expiration représentent aussi une partie importante de l’expérience de l’utilisateur avec l’authentification. Un environnement de haute sécurité peut exiger que les utilisateurs ouvrent une session chaque fois qu’ils accèdent au système. Cette option peut ne pas être idéale pour toutes les organisations ou tous les cas d’utilisation.
Entropie utilisateur
Pour plus de sécurité, vous pouvez activer une fonctionnalité appelée entropie utilisateur. Citrix Secure Hub et d’autres applications partagent souvent des données communes telles que les mots de passe, les codes confidentiels et les certificats pour garantir le bon fonctionnement de tous les éléments. Ces informations sont stockées dans un coffre générique dans Citrix Secure Hub. Si vous activez l’entropie utilisateur via l’option Crypter les secrets (Encrypt Secrets), Citrix Endpoint Management crée un nouveau coffre appelé UserEntropy. Citrix Endpoint Management déplace les informations du coffre-fort générique vers ce nouveau coffre-fort. Pour que Citrix Secure Hub ou une autre application accède aux données, les utilisateurs doivent entrer un mot de passe ou un code PIN.
L’activation de l’entropie utilisateur ajoute une couche d’authentification supplémentaire à plusieurs emplacements. Par conséquent, chaque fois qu’une application nécessite l’accès aux données partagées dans le coffre-fort UserEntropy (y compris les mots de passe, les codes confidentiels et les certificats), les utilisateurs doivent s’authentifier.
Pour en savoir plus sur l’entropie utilisateur, consultez la section À propos de MDX Toolkit. Pour activer l’entropie utilisateur, vous pouvez trouver les paramètres associés dans les propriétés du client.
Stratégies
Les stratégies MDX et MDM offrent une grande flexibilité aux organisations, mais elles peuvent également restreindre les utilisateurs. Ces restrictions peuvent être utiles dans certaines situations, mais les stratégies peuvent également rendre un système inutilisable. Par exemple, vous pouvez souhaiter bloquer l’accès à des applications cloud telles que Siri ou iCloud qui sont susceptibles d’envoyer des données sensibles à l’extérieur. Vous pouvez configurer une stratégie pour bloquer l’accès à ces services, mais gardez à l’esprit qu’une telle stratégie peut avoir des conséquences imprévues. Par exemple, le microphone du clavier iOS repose sur l’accès au cloud.
Applications
La gestion de la mobilité d’entreprise (EMM) inclut la gestion d’appareils mobiles (MDM) et gestion d’applications mobiles (MAM). Alors que MDM permet aux entreprises de sécuriser et de contrôler les appareils mobiles, MAM facilite la livraison et la gestion des applications. Avec l’adoption croissante de la stratégie BYOD (Apportez votre propre appareil), vous pouvez généralement implémenter une solution MAM, telle que Citrix Endpoint Management, pour les opérations suivantes :
- mise à disposition des applications
- attribution de licences logicielles
- configuration
- gestion du cycle de vie des applications
Avec Citrix Endpoint Management, vous pouvez aller plus loin dans la sécurisation des applications en configurant des stratégies MAM et des paramètres VPN spécifiques pour éviter les fuites de données et autres menaces de sécurité. Citrix Endpoint Management offre aux entreprises la flexibilité nécessaire pour inclure à la fois les fonctionnalités MDM et MAM dans le même environnement.
En plus de la possibilité de mettre à disposition des applications sur des appareils mobiles, Citrix Endpoint Management propose la conteneurisation d’applications via la technologie MDX. MDX sécurise les applications grâce à un cryptage distinct du cryptage au niveau de l’appareil fourni par les plates-formes. Vous pouvez effacer ou verrouiller des applications. Les applications sont soumises à des contrôles granulaires basés sur des stratégies. Les éditeurs de logiciels indépendants peuvent appliquer ces contrôles à l’aide du SDK Mobile Apps.
Dans un environnement d’entreprise, les utilisateurs utilisent diverses applications mobiles pour les aider dans leur travail. Les applications peuvent inclure des applications du magasin d’applications public, des applications développées en interne ou des applications natives. Citrix Endpoint Management classe ces applications comme suit :
Applications publiques : ces applications peuvent être gratuites ou payantes et sont disponibles dans un magasin d’applications public, tel que l’Apple App Store ou Google Play. Les fournisseurs externes à l’organisation mettent souvent à disposition leurs applications dans des magasins d’applications publics. Cette option permet aux clients de télécharger les applications directement depuis Internet. Vous pouvez utiliser de nombreuses applications publiques dans votre organisation en fonction des besoins des utilisateurs. Des exemples de telles applications incluent les applications GoToMeeting, Salesforce et EpicCare.
Citrix ne prend pas en charge le téléchargement des fichiers binaires des applications directement à partir des magasins d’applications publics ou l’encapsulation avec MDX Toolkit pour la distribution d’entreprise. Pour activer MDX pour des applications tierces, contactez le fournisseur de votre application pour obtenir les fichiers binaires de l’application. Vous pouvez encapsuler les fichiers binaires à l’aide du MDX Toolkit ou intégrer le SDK MAM aux fichiers binaires.
Applications internes : de nombreuses organisations ont des développeurs internes qui créent des applications fournissant des fonctionnalités spécifiques et étant développées et distribuées indépendamment au sein de l’organisation. Dans certains cas, certaines organisations peuvent également avoir des applications fournies par des éditeurs de logiciels indépendants. Vous pouvez déployer ces applications en tant qu’applications natives ou vous pouvez les conteneuriser en utilisant une solution MAM, telle que Citrix Endpoint Management. Par exemple, une organisation de soins de santé peut créer une application interne qui permet aux médecins de consulter les informations sur les patients à partir d’appareils mobiles. Une organisation peut alors activer le SDK MAM pour l’application ou l’encapsuler par MDM pour sécuriser les informations du patient et activer l’accès VPN au serveur de base de données du patient principal.
Applications Web et Saas : ces applications comprennent les applications accessibles à partir d’un réseau interne (applications web) ou sur un réseau public (SaaS). Citrix Endpoint Management vous permet également de créer des applications Web et SaaS personnalisées à l’aide d’une liste de connecteurs d’applications. Ces connecteurs d’application peuvent faciliter l’authentification unique (SSO) aux applications Web existantes. Pour de plus amples informations, consultez la section Types de connecteur d’application. Par exemple, vous pouvez utiliser Google Apps SAML pour l’authentification unique basée sur le langage SAML (Security Assertion Markup Language) de Google Apps.
Applications de productivité mobiles Citrix : il s’agit d’applications développées par Citrix et incluses avec la licence Citrix Endpoint Management. Pour plus de détails, consultez la section À propos des applications de productivité mobiles. Citrix propose également d’autres applications prêtes à l’emploi. Les éditeurs de logiciels indépendants développent des applications prêtes à l’emploi à l’aide du SDK Mobile Apps.
Applications HDX : il s’agit d’applications hébergées par Windows que vous publiez avec StoreFront. Si vous disposez d’un environnement Citrix Virtual Apps and Desktops, vous pouvez intégrer les applications à Citrix Endpoint Management pour mettre les applications à la disposition des utilisateurs inscrits.
Selon le type d’applications mobiles que vous prévoyez de déployer et de gérer avec Citrix Endpoint Management, la configuration et l’architecture sous-jacentes diffèrent. Supposons que plusieurs groupes d’utilisateurs ayant un niveau d’autorisation différent utilisent une même application, vous pouvez créer des groupes de mise à disposition distincts pour déployer deux versions de la même application. Vous devez vous assurer que l’appartenance au groupe d’utilisateurs est mutuellement exclusive pour éviter les incohérences de stratégie sur les appareils des utilisateurs.
Vous pouvez également gérer les licences d’applications iOS à l’aide de l’achat en volume d’Apple. Cette option nécessite que vous vous inscriviez au programme d’achats en volume Apple. Vous devez également utiliser la console Citrix Endpoint Management pour configurer les paramètres d’achats en volume. Cette configuration vous permet de distribuer les applications avec les licences d’achat en volume. Avec une telle variété de cas d’utilisation, il est important d’évaluer et de planifier votre stratégie MAM avant la mise en œuvre de l’environnement Citrix Endpoint Management. Vous pouvez commencer à planifier votre stratégie MAM en définissant les éléments suivants :
Types d’applications : répertorie les différents types d’applications que vous envisagez d’utiliser. Ensuite, catégorisez les applications, telles que les applications publiques, natives, de productivité mobiles Citrix, Web, internes et ISV. En outre, catégorisez les applications selon différentes plates-formes d’appareils, telles que iOS et Android. Cette catégorisation permet d’aligner les paramètres Citrix Endpoint Management requis pour chaque type d’application. Par exemple, certaines applications peuvent ne pas être qualifiées pour l’encapsulation. Ou, quelques applications peuvent nécessiter l’utilisation du SDK Applications mobiles pour activer des API spéciales pour l’interaction avec d’autres applications.
Exigences en matière de réseau : configurez les applications avec des paramètres appropriés pour répondre aux exigences d’accès réseau spécifiques. Par exemple, certaines applications peuvent nécessiter l’accès à votre réseau interne via un VPN. Certaines applications peuvent nécessiter un accès Internet pour acheminer l’accès via la DMZ. Afin de permettre à ces applications de se connecter au réseau requis, vous devez configurer divers paramètres en conséquence. Définissez les exigences réseau par application pour vous aider à finaliser vos décisions architecturales. Ce travail rationalise le processus global de mise en œuvre.
Exigences en matière de sécurité : définissez les exigences de sécurité qui s’appliquent à des applications individuelles ou à toutes les applications. Certains paramètres, tels que les stratégies MDX, s’appliquent à des applications individuelles Les paramètres de session et d’authentification s’appliquent à toutes les applications Certaines applications peuvent avoir des exigences spécifiques en matière de cryptage, de conteneurisation, d’encapsulation, d’authentification, de géofencing, de code d’accès ou de partage de données. Définissez ces exigences à l’avance afin de simplifier votre déploiement.
Exigences en matière de déploiement : vous pouvez utiliser un déploiement basé sur des stratégies pour autoriser le téléchargement des applications publiées uniquement par des utilisateurs compatibles. Par exemple, vous pouvez souhaiter que certaines applications requièrent que :
- le cryptage de l’appareil basé sur la plate-forme soit activé
- l’appareil soit géré
- l’appareil réponde à une version minimale du système d’exploitation
- certaines applications soient disponibles uniquement pour les utilisateurs d’entreprise
Définissez ces exigences à l’avance afin de pouvoir configurer les stratégies ou les actions de déploiement appropriées.
Exigences en matière de licence : enregistrez les exigences en matière de licence liées à l’application. Ces notes vous aideront à gérer efficacement l’utilisation des licences et à décider si vous devez configurer des fonctionnalités spécifiques dans Citrix Endpoint Management pour faciliter l’attribution de licences. Par exemple, si vous déployez une application iOS gratuite ou payante, Apple applique les exigences de licence sur l’application en demandant aux utilisateurs de se connecter à leur compte Apple Store. Vous pouvez vous inscrire à l’achat en volume d’Apple pour distribuer et gérer ces applications via Citrix Endpoint Management. L’achat en volume permet aux utilisateurs de télécharger les applications sans se connecter à leur compte Apple Store. En outre, des outils tels que Samsung Knox présentent des exigences de licence spéciales qui doivent être satisfaites avant le déploiement de ces fonctionnalités.
Exigences en matière de liste d’autorisation/liste de blocage : vous souhaitez probablement empêcher les utilisateurs d’installer ou d’utiliser certaines applications. Créez une liste d’autorisation d’applications qui définit la machine utilisateur comme étant hors conformité. Ensuite, configurez des stratégies pour qu’elles se déclenchent lorsqu’un appareil devient non conforme. D’un autre côté, une application peut être acceptable pour une utilisation, mais peut tomber sous la liste de blocage pour une raison quelconque. Dans ce cas, vous pouvez ajouter l’application à une liste d’autorisation et indiquer que l’utilisation de l’application est acceptable mais n’est pas requise. De plus, gardez à l’esprit que les applications préinstallées sur les nouveaux appareils peuvent inclure certaines applications couramment utilisées qui ne font pas partie du système d’exploitation. Ces applications peuvent entrer en conflit avec votre stratégie de liste de blocage.
Cas d’utilisation des applications
Une organisation de soins de santé prévoit de déployer Citrix Endpoint Management en tant que solution MAM pour leurs applications mobiles. Les applications mobiles sont mises à disposition des utilisateurs professionnels et BYOD. Le département informatique décide de mettre à disposition et de gérer les applications suivantes :
- Applications de productivité mobiles : applications iOS et Android fournies par Citrix.
- Citrix Files : application permettant d’accéder aux données partagées et de partager, synchroniser et éditer des fichiers.
Magasin d’applications public
- Citrix Secure Hub : client utilisé par tous les appareils mobiles pour communiquer avec Citrix Endpoint Management. Le département informatique envoie les paramètres de sécurité, les configurations et les applications mobiles vers les appareils mobiles via le client Citrix Secure Hub. Les appareils Android et iOS s’inscrivent dans Citrix Endpoint Management via Citrix Secure Hub.
- Application Citrix Workspace : application mobile qui permet aux utilisateurs d’ouvrir des applications d’appareils mobiles hébergées par Citrix Virtual Apps.
- GoToMeeting : un client de réunion, de partage de bureau et de visioconférence en ligne qui permet aux utilisateurs de se rencontrer en temps réel avec d’autres utilisateurs, clients ou collègues via Internet.
- SalesForce1 : Salesforce1 permet aux utilisateurs d’accéder à Salesforce à partir d’appareils mobiles et rassemble toutes les applications Chatter, CRM et applications personnalisées, ainsi que les processus d’entreprise, pour une expérience unifiée pour tout utilisateur Salesforce.
- RSA SecurID : jeton logiciel pour l’authentification à deux facteurs.
-
Applications EpicCare : ces applications offrent aux professionnels de la santé un accès sécurisé et portable aux dossiers des patients, aux listes de patients, aux calendriers et aux messages.
- Haiku : application mobile pour les téléphones iPhone et Android.
- Canto : application mobile pour l’iPad.
- Rover : applications mobiles pour iPhone et l’iPad.
HDX : les applications HDX sont fournies via Citrix Virtual Apps dans Citrix Workspace.
- Epic Hyperspace : application Epic client pour la gestion électronique des dossiers de santé.
ISV
- Vocera : application VoIP et de messagerie compatible HIPAA qui étend les avantages de la technologie vocale Vocera à tout moment, n’importe où, via l’iPhone et les smartphones Android.
Applications internes
- HCMail : application qui permet de composer des messages cryptés, d’effectuer des recherches dans des carnets d’adresses sur des serveurs de messagerie internes et d’envoyer les messages cryptés aux contacts à l’aide d’un client de messagerie.
Applications web internes
- PatientRounding : application Web utilisée pour enregistrer les informations sur la santé des patients par différents départements.
- Outlook Web Access : permet l’accès à la messagerie via un navigateur Web.
- SharePoint : utilisé pour le partage de fichiers et de données à l’échelle de l’organisation.
Le tableau suivant répertorie les informations de base requises pour la configuration MAM.
Nom de l’application | Type d’application | Encapsulation MDX | iOS | Android |
---|---|---|---|---|
Citrix Secure Mail | Application de productivité mobile | Pas pour la version 10.4.1 et versions ultérieures | Oui | Oui |
Citrix Secure Web | Application de productivité mobile | Pas pour la version 10.4.1 et versions ultérieures | Oui | Oui |
Citrix Files | Application de productivité mobile | Pas pour la version 10.4.1 et versions ultérieures | Oui | Oui |
Citrix Secure Hub | Application publique | SO | Oui | Oui |
Application Citrix Workspace | Application publique | SO | Oui | Oui |
GoToMeeting | Application publique | SO | Oui | Oui |
SalesForce1 | Application publique | SO | Oui | Oui |
RSA SecurID | Application publique | SO | Oui | Oui |
Epic Haiku | Application publique | SO | Oui | Oui |
Epic Canto | Application publique | SO | Oui | Non |
Epic Rover | Application publique | SO | Oui | Non |
Epic Hyperspace | Application HDX | SO | Oui | Oui |
Vocera | Application d’éditeur de logiciels indépendant | Oui | Oui | Oui |
HCMail | Application interne | Oui | Oui | Oui |
PatientRounding | Application Web | SO | Oui | Oui |
Outlook Web Access | Application Web | SO | Oui | Oui |
SharePoint | Application Web | SO | Oui | Oui |
Les tableaux suivants répertorient les exigences spécifiques que vous pouvez consulter lorsque vous configurez les stratégies MAM dans Citrix Endpoint Management.
Nom de l’application | VPN requis | Interaction (avec des applications en dehors du conteneur) | Interaction (à partir d’applications en dehors du conteneur) | Cryptage de l’appareil basé sur la plate-forme |
---|---|---|---|---|
Citrix Secure Mail | O | Autorisé de manière sélective | Autorisé | Non requis |
Citrix Secure Web | O | Autorisé | Autorisé | Non requis |
Citrix Files | O | Autorisé | Autorisé | Non requis |
Citrix Secure Hub | O | S/O | S/O | S/O |
Application Citrix Workspace | O | S/O | S/O | S/O |
GoToMeeting | N | S/O | S/O | S/O |
SalesForce1 | N | S/O | S/O | S/O |
RSA SecurID | N | S/O | S/O | S/O |
Epic Haiku | O | S/O | S/O | S/O |
Epic Canto | O | S/O | S/O | S/O |
Epic Rover | O | S/O | S/O | S/O |
Epic Hyperspace | O | S/O | S/O | S/O |
Vocera | O | Bloqué | Bloqué | Non requis |
HCMail | O | Bloqué | Bloqué | Obligatoire |
PatientRounding | O | S/O | S/O | Obligatoire |
Outlook Web Access | O | S/O | S/O | Non requis |
SharePoint | O | S/O | S/O | Non requis |
Nom de l’application | Filtrage par proxy | Gestion des licences | Géofencing | SDK Applications mobiles | Version minimale du système d’exploitation |
---|---|---|---|---|---|
Citrix Secure Mail | Obligatoire | S/O | Requis de manière sélective | S/O | Appliqué |
Citrix Secure Web | Obligatoire | S/O | Non requis | S/O | Appliqué |
Secure Notes | Obligatoire | S/O | Non requis | S/O | Appliqué |
Citrix Files | Obligatoire | S/O | Non requis | S/O | Appliqué |
Citrix Secure Hub | Non requis | Achat en volume | Non requis | S/O | Non appliqué |
Application Citrix Workspace | Non requis | Achat en volume | Non requis | S/O | Non appliqué |
GoToMeeting | Non requis | Achat en volume | Non requis | S/O | Non appliqué |
SalesForce1 | Non requis | Achat en volume | Non requis | S/O | Non appliqué |
RSA SecurID | Non requis | Achat en volume | Non requis | S/O | Non appliqué |
Epic Haiku | Non requis | Achat en volume | Non requis | S/O | Non appliqué |
Epic Canto | Non requis | Achat en volume | Non requis | S/O | Non appliqué |
Epic Rover | Non requis | Achat en volume | Non requis | S/O | Non appliqué |
Epic Hyperspace | Non requis | S/O | Non requis | S/O | Non appliqué |
Vocera | Obligatoire | S/O | Obligatoire | Obligatoire | Appliqué |
HCMail | Obligatoire | S/O | Obligatoire | Obligatoire | Appliqué |
PatientRounding | Obligatoire | S/O | Non requis | S/O | Non appliqué |
Outlook Web Access | Obligatoire | S/O | Non requis | S/O | Non appliqué |
SharePoint | Obligatoire | S/O | Non requis | S/O | Non appliqué |
Communautés d’utilisateurs
Chaque organisation est composée de diverses communautés d’utilisateurs qui opèrent dans différents rôles fonctionnels. Ces communautés d’utilisateurs exécutent différentes tâches et fonctions de bureau à l’aide de diverses ressources que vous fournissez via des appareils utilisateur. Les utilisateurs peuvent travailler à domicile ou dans des bureaux distants à l’aide d’appareils mobiles que vous fournissez. Les utilisateurs peuvent également posséder leurs appareils mobiles, ce qui leur permet d’accéder à des outils soumis à certaines règles de conformité de sécurité.
Avec un plus grand nombre de communautés d’utilisateurs utilisant des appareils mobiles pour leur travail, la gestion de la mobilité d’entreprise devient essentielle pour éviter la fuite de données. La gestion EMM est également essentielle pour appliquer les restrictions de sécurité d’une organisation. Pour une gestion efficace et plus sophistiquée des appareils mobiles, vous pouvez catégoriser vos communautés d’utilisateurs. Cela simplifie le mappage des utilisateurs aux ressources et applique les stratégies de sécurité appropriées pour les utilisateurs.
L’exemple suivant illustre comment les communautés d’utilisateurs d’une organisation de soins de santé sont classées pour EMM.
Cas d’utilisation des communautés d’utilisateurs
Cet exemple d’organisation de soins de santé fournit des ressources technologiques et un accès à plusieurs utilisateurs, y compris des employés et des bénévoles du réseau et de sociétés affiliées. L’organisation a choisi de déployer la solution EMM auprès des utilisateurs non-cadres uniquement.
Vous pouvez répartir les rôles utilisateur et les fonctions de cette organisation en sous-groupes, y compris personnel médical, personnel non-médical et sous-traitants. Certains utilisateurs reçoivent des appareils mobiles d’entreprise tandis que d’autres peuvent accéder aux ressources limitées de l’entreprise à partir de leurs appareils personnels. Pour appliquer le niveau approprié de restrictions de sécurité et empêcher la fuite de données, l’organisation a décidé que l’informatique de l’entreprise gère chaque appareil inscrit. Ces appareils peuvent appartenir à une entreprise ou être de type BYOD. En outre, les utilisateurs ne peuvent inscrire qu’un seul appareil.
La section suivante donne un aperçu des rôles et des fonctions de chaque sous-groupe :
Personnel médical
- Infirmiers/Infirmières
- Médecins (docteurs, chirurgiens, etc.)
- Spécialistes (diététiciens, anesthésistes, radiologues, cardiologues, oncologues, etc.)
- Médecins externes (médecins non-employés et employés de bureau travaillant dans des bureaux éloignés)
- Services de santé à domicile (employés de bureau et travailleurs mobiles exécutant des services médicaux lors de visites à domicile auprès de patients)
- Spécialistes en recherche (travailleurs intellectuels et utilisateurs avancés dans six instituts de recherche médicale)
- Éducation et formation (infirmiers/infirmières, médecins et spécialistes en phase d’éducation et de formation)
Personnel non-médical
- Services partagés (employés de bureau effectuant diverses fonctions administratives, y compris RH, gestion des salaires, comptes fournisseurs, service de la chaîne d’approvisionnement, etc.)
- Services médicaux (employés de bureau effectuant divers services de gestion des soins de santé, services administratifs et solutions de processus commerciaux aux fournisseurs, y compris : services administratifs, analyse commerciale et intelligence économique, systèmes commerciaux, services aux clients, finances, gestion des soins, solutions d’accès patient, solutions de cycle des revenus, etc.)
- Services de support (employés de bureau remplissant diverses fonctions non-médicales, y compris : administration des avantages sociaux, intégration clinique, communications, rémunération et gestion du rendement, services d’équipement et de site, systèmes de technologie des RH, services d’information, vérification interne et amélioration des processus, etc.)
- Programmes philanthropiques (employés de bureau et mobiles qui exécutent diverses fonctions pour soutenir les programmes philanthropiques)
Sous-traitants
- Partenaires fabricants et fournisseurs (connectés sur site et à distance via un VPN site à site fournissant diverses fonctions de support non-médical)
Sur la base des informations précédentes, l’organisation a créé les entités suivantes. Pour plus d’informations sur les groupes de mise à disposition dans Citrix Endpoint Management, consultez la section Déployer des ressources.
Unités d’organisation et groupes Active Directory
Unité d’organisation = Ressources Citrix Endpoint Management :
- Unité d’organisation = personnel médical ; Groupes =
- XM - Infirmiers/Infirmières
- XM - Médecins
- XM - Spécialistes
- XM - Médecins externes
- XM - Services de santé à domicile
- XM - Spécialistes en recherche
- XM - Éducation et formation
- Unité d’organisation = non-médical ; Groupes =
- XM - Services partagés
- XM - Services médicaux
- XM - Services de support
- XM - Programmes philanthropiques
Utilisateurs et groupes locaux Citrix Endpoint Management
Groupe = sous-traitants ; Utilisateurs =
- Vendor1
- Vendor2
- Fournisseur 3
- … Fournisseur 10
Groupes de mise à disposition Citrix Endpoint Management
- Personnel médical - Infirmiers/Infirmières
- Personnel médical - Médecins
- Personnel médical - Spécialistes
- Personnel médical - Médecins externes
- Personnel médical - Services de santé à domicile
- Personnel médical - Spécialistes en recherche
- Personnel médical - Éducation et formation
- Personnel non-médical - Services partagés
- Personnel non-médical - Services médicaux
- Personnel non-médical - Services de support
- Personnel non-médical - Programmes philanthropiques
Groupe de mise à disposition et mappage de groupe d’utilisateurs
Groupes Active Directory | Groupes de mise à disposition Citrix Endpoint Management |
---|---|
XM - Infirmiers/Infirmières | Personnel médical - Infirmiers/Infirmières |
XM - Médecins | Personnel médical - Médecins |
XM - Spécialistes | Personnel médical - Spécialistes |
XM - Médecins externes | Personnel médical - Médecins externes |
XM - Services de santé à domicile | Personnel médical - Services de santé à domicile |
XM - Spécialistes en recherche | Personnel médical - Spécialistes en recherche |
XM - Éducation et formation | Personnel médical - Éducation et formation |
XM - Services partagés | Personnel non-médical - Services partagés |
XM - Services médicaux | Personnel non-médical - Services médicaux |
XM - Services de support | Personnel non-médical - Services de support |
XM - Programmes philanthropiques | Personnel non-médical - Programmes philanthropiques |
Groupe de mise à disposition et mappage des ressources
Les tableaux suivants illustrent les ressources affectées à chaque groupe de mise à disposition dans ce cas d’utilisation. Le premier tableau présente les attributions d’applications mobiles. Le deuxième tableau présente les ressources d’applications publiques, d’applications HDX et de gestion des appareils.
Groupes de mise à disposition Citrix Endpoint Management | Applications mobiles Citrix | Applications mobiles publiques | Applications mobiles HDX |
---|---|---|---|
Personnel médical - Infirmiers/Infirmières | X | ||
Personnel médical - Médecins | |||
Personnel médical - Spécialistes | |||
Personnel médical - Médecins externes | X | ||
Personnel médical - Services de santé à domicile | X | ||
Personnel médical - Spécialistes en recherche | X | ||
Personnel médical - Éducation et formation | X | X | |
Personnel non-médical - Services partagés | X | X | |
Personnel non-médical - Services médicaux | X | X | |
Personnel non-médical - Services de support | X | X | X |
Personnel non-médical - Programmes philanthropiques | X | X | X |
Sous-traitants | X | X | X |
Groupes de mise à disposition Citrix Endpoint Management | Application publique : RSA SecurID | Application publique : EpicCare Haiku | Application HDX : Epic Hyperspace | Stratégie de code secret | Restrictions d’appareil | Actions automatisées | Stratégie de réseau |
---|---|---|---|---|---|---|---|
Personnel médical - Infirmiers/Infirmières | X | ||||||
Personnel médical - Médecins | X | ||||||
Personnel médical - Spécialistes | |||||||
Personnel médical - Médecins externes | |||||||
Personnel médical - Services de santé à domicile | |||||||
Personnel médical - Spécialistes en recherche | |||||||
Personnel médical - Éducation et formation | X | X | |||||
Personnel non-médical - Services partagés | X | X | |||||
Personnel non-médical - Services médicaux | X | X | |||||
Personnel non-médical - Services de support | X | X |
Notes et considérations
- Citrix Endpoint Management crée un groupe de mise à disposition par défaut appelé Tous les utilisateurs lors de la configuration initiale. Si vous ne désactivez pas de ce groupe de mise à disposition, tous les utilisateurs Active Directory ont le droit de s’inscrire à Citrix Endpoint Management.
- Citrix Endpoint Management synchronise les utilisateurs et les groupes Active Directory à la demande en utilisant une connexion dynamique au serveur LDAP.
- Si un utilisateur fait partie d’un groupe qui n’est pas mappé dans Citrix Endpoint Management, cet utilisateur ne peut pas s’inscrire. De même, si un utilisateur est membre de plusieurs groupes, Citrix Endpoint Management catégorise uniquement l’utilisateur comme étant dans les groupes mappés à Citrix Endpoint Management.
Exigences en matière de sécurité
La portée des considérations de sécurité liées à un environnement Citrix Endpoint Management peut rapidement devenir écrasante. Il existe de nombreux composants et de paramètres imbriqués. Vous ne savez peut-être pas par où commencer ou quoi choisir pour vous assurer qu’un niveau de protection acceptable est disponible. Pour simplifier ces choix, Citrix fournit des recommandations pour une sécurité élevée, une sécurité supérieure et une sécurité maximale, comme indiqué dans le tableau suivant.
Les problèmes de sécurité seuls ne doivent pas à eux seuls dicter le mode d’inscription de vos appareils : MAM, MDM+MAM avec MDM facultatif, ou MDM+MAM avec MDM requis. Il est également important d’examiner les exigences des cas d’utilisation et de décider si vous pouvez atténuer les problèmes de sécurité avant de choisir votre mode de gestion.
Sécurité élevée : l’utilisation de ces paramètres offre une expérience utilisateur optimale tout en maintenant un niveau de sécurité de base acceptable pour la plupart des organisations.
Sécurité supérieure : ces paramètres établissent un meilleur équilibre entre sécurité et facilité d’utilisation.
Sécurité la plus élevée : suivre ces recommandations fournit un haut niveau de sécurité au détriment de la facilité d’utilisation et de l’adoption par les utilisateurs.
Considérations sur la sécurité du mode de gestion
Le tableau suivant spécifie les modes de gestion pour chaque niveau de sécurité.
Haute sécurité | Sécurité plus élevée | Sécurité la plus élevée |
---|---|---|
MAM, MDM+MAM | MDM+MAM | MDM+MAM |
Remarques :
- Selon le cas d’utilisation, un déploiement MAM exclusif peut répondre aux exigences de sécurité et offrir une bonne expérience utilisateur.
- Pour les cas d’utilisation tels que le BYOD dans lequel toutes les exigences de l’entreprise et de sécurité peuvent être satisfaites uniquement avec la conteneurisation d’applications, Citrix recommande le mode MAM exclusif.
- Pour les environnements à haute sécurité (et les appareils fournis par les entreprises), Citrix recommande MDM+MAM pour tirer parti de toutes les fonctionnalités de sécurité disponibles.
Considérations relatives à la sécurité de Citrix ADC et NetScaler Gateway
Le tableau suivant spécifie les recommandations Citrix ADC et NetScaler Gateway pour chaque niveau de sécurité.
Haute sécurité | Sécurité plus élevée | Sécurité la plus élevée |
---|---|---|
Citrix ADC est recommandé. NetScaler Gateway est requis pour MAM et MDM+MAM. | Configuration standard de l’assistant NetScaler pour XenMobile avec pont SSL si Citrix Endpoint Management se trouve dans la zone démilitarisée. | Décharge SSL avec cryptage de bout en bout |
Remarques :
- L’exposition du serveur Citrix Endpoint Management à Internet via NAT ou des proxies/équilibreurs de charge tiers existants peut être une option pour MDM. Toutefois, dans ce cas, le trafic SSL se termine sur un serveur Citrix Endpoint Management, ce qui pose un risque de sécurité potentiel.
- Pour les environnements hautement sécurisés, NetScaler Gateway défini avec la configuration Citrix Endpoint Management par défaut doit respecter ou dépasser les exigences de sécurité.
- Pour les inscriptions MDM ayant les besoins de sécurité les plus élevés, la terminaison SSL sur NetScaler Gateway permet d’inspecter le trafic sur le périmètre tout en assurant le cryptage SSL de bout en bout.
- Options pour définir les chiffrements SSL/TLS.
- Pour plus d’informations, voir Intégration avec NetScaler Gateway et Citrix ADC.
Considérations de sécurité d’inscription
Le tableau suivant spécifie les recommandations Citrix ADC et NetScaler Gateway pour chaque niveau de sécurité.
Haute sécurité | Sécurité plus élevée | Sécurité la plus élevée |
---|---|---|
Appartenance à un groupe Active Directory uniquement. Groupe de mise à disposition Tous les utilisateurs désactivé. | Mode d’inscription sécurisée sur invitation uniquement. Appartenance à un groupe Active Directory uniquement. Groupe de mise à disposition Tous les utilisateurs désactivé | Mode d’inscription sécurisée lié à l’ID d’appareil. Appartenance à un groupe Active Directory uniquement. Groupe de mise à disposition Tous les utilisateurs désactivé |
Remarques :
- Citrix vous recommande généralement de limiter l’inscription aux utilisateurs appartenant à des groupes Active Directory prédéfinis uniquement. Cette restriction nécessite de désactiver le groupe de mise à disposition intégré Tous les utilisateurs.
- Vous pouvez utiliser des invitations d’inscription pour restreindre l’inscription aux utilisateurs avec une invitation. Les invitations d’inscription ne sont pas disponibles pour les appareils Windows.
- Vous pouvez utiliser des invitations à s’inscrire par code PIN unique (OTP) comme solution d’authentification à deux facteurs et contrôler le nombre d’appareils qu’un utilisateur peut inscrire. (Les invitations OTP ne sont pas disponibles pour les appareils Windows.)
Considérations de sécurité pour le code secret des appareils
Le tableau suivant spécifie les recommandations de code secret de l’appareil pour chaque niveau de sécurité.
Haute sécurité | Sécurité plus élevée | Sécurité la plus élevée |
---|---|---|
Recommandée. Une haute sécurité est requise pour le cryptage au niveau de l’appareil. Peut être appliqué avec MDM. Peut être défini selon les besoins pour MAM exclusif en utilisant la stratégie MDX, Comportement des appareils non conformes. | Appliqué à l’aide d’une stratégie MDM, MAM ou MDM+MAM. | Appliquée en utilisant une stratégie MDM et MDX. Stratégie de code secret complexe. |
Remarques :
- Citrix recommande l’utilisation d’un code secret d’appareil.
- Vous pouvez appliquer un code secret d’appareil via une stratégie MDM.
- Vous pouvez utiliser une stratégie MDX pour que le code secret d’un appareil soit obligatoire pour l’utilisation des applications gérées ; par exemple, pour les cas d’utilisation BYOD.
- Citrix recommande de combiner les options de stratégie MDM et MDX pour une sécurité accrue dans les inscriptions MDM+MAM.
- Pour les environnements ayant les exigences de sécurité les plus élevées, vous pouvez configurer des stratégies de code d’accès complexes et les appliquer avec MDM. Vous pouvez configurer des actions automatiques pour informer les administrateurs ou émettre des effacements sélectifs/complets lorsqu’un appareil ne respecte pas une stratégie de code d’accès.