XenMobile Server

Modes de gestion

Pour chaque instance XenMobile (un seul serveur ou un cluster de nœuds), vous pouvez choisir de gérer les appareils, les applications ou les deux. XenMobile utilise les termes suivants pour les modes de gestion d’appareils et d’applications :

  • Mode de gestion d’appareils mobiles (mode MDM)
  • Mode de gestion d’applications mobiles (mode MAM)
  • Mode MDM + MAM (mode Enterprise)

Gestion d’appareils mobiles (mode MDM)

Important :

Si vous configurez le mode MDM et passez ensuite au mode ENT, veillez à utiliser la même authentification (Active Directory). XenMobile ne prend pas en charge la modification du mode d’authentification après l’inscription de l’utilisateur. Pour plus d’informations, consultez la section Mettre à niveau.

Grâce au mode MDM, vous pouvez configurer, sécuriser et prendre en charge les appareils mobiles. MDM vous permet de protéger les appareils et les données sur les appareils au niveau du système. Vous pouvez configurer des stratégies, des actions et des fonctions de sécurité. Par exemple, vous pouvez effacer un appareil de manière sélective si l’appareil est perdu, volé ou non conforme. Bien que la gestion des applications ne soit pas disponible en mode MDM, vous pouvez distribuer des applications mobiles, telles que les applications publiques et les applications d’entreprise, dans ce mode. Voici les cas d’utilisation courants pour le mode MDM :

  • MDM est pris en compte pour les appareils appartenant à l’entreprise dans lesquels des stratégies ou des restrictions de gestion au niveau de l’appareil, telles que l’effacement complet, l’effacement sélectif ou la géolocalisation, sont requises.
  • Lorsque les clients nécessitent la gestion d’un appareil réel, mais ne nécessitent pas de stratégies MDX, telles que la conteneurisation d’applications, les contrôles sur le partage de données d’application ou un micro VPN.
  • Lorsque les utilisateurs nécessitent uniquement l’envoi d’e-mails à leurs clients de messagerie natifs sur leurs appareils, et Exchange ActiveSync ou le serveur d’accès au client est déjà accessible de l’extérieur. Dans ce cas, vous pouvez utiliser MDM pour configurer la distribution des e-mails.
  • Lorsque vous déployez des applications d’entreprise natives (non-MDX), des applications de magasin d’applications publiques ou des applications MDX fournies par des magasins publics. Considérez qu’une solution MDM seule peut ne pas empêcher la fuite de données d’informations confidentielles entre les applications sur l’appareil. Des fuites de données peuvent se produire lors des opérations Copier et coller ou Enregistrer sous dans les applications Office 365.

Gestion d’applications mobiles (mode MAM)

Le mode MAM protège les données d’application et vous permet de contrôler le partage de données d’application. MAM facilite également la gestion des données et des ressources de l’entreprise, indépendamment des données personnelles. Lorsque XenMobile est configuré avec le mode MAM, vous pouvez utiliser des applications mobiles compatibles MDX pour fournir la conteneurisation et le contrôle par application. Le mode MAM est également appelé mode MAM exclusif. Ce terme distingue ce mode d’un ancien mode MAM.

En s’appuyant sur les stratégies MDX, XenMobile offre un contrôle au niveau de l’application sur l’accès au réseau (tel que le micro VPN), l’interaction entre l’application et l’appareil, le cryptage des données et l’accès aux applications.

Le mode MAM est souvent adapté à l’environnement BYOD (Bring Your Own Device, Apportez votre propre appareil) car, bien que l’appareil ne soit pas géré, les données de l’entreprise restent protégées. MDX dispose de nombreuses stratégies MAM exclusif qui ne nécessitent pas de contrôle MDM.

MAM prend également en charge les applications de productivité mobiles. Cette prise en charge inclut la distribution de la messagerie sécurisée à Citrix Secure Mail, le partage des données entre les applications de productivité mobiles sécurisées et le stockage sécurisé des données dans Citrix Files. Pour plus de détails, consultez la section Applications de productivité mobiles.

Le mode MAM convient souvent aux scénarios suivants :

  • Vous mettez à disposition des applications mobiles, telles que les applications MDX, gérées au niveau de l’application.
  • Vous n’êtes pas obligé de gérer les appareils au niveau du système.

MDM + MAM (Mode Enterprise)

MDM + MAM est un mode hybride, également appelé Mode Enterprise, qui permet d’activer tous les ensembles de fonctionnalités disponibles dans la solution de gestion de la mobilité d’entreprise XenMobile. La configuration de XenMobile avec le mode MDM + MAM active à la fois les fonctionnalités MDM et MAM.

XenMobile vous permet de spécifier si les utilisateurs peuvent choisir de désactiver la gestion des appareils ou si la gestion des appareils est requise. Cette flexibilité est utile pour les environnements qui incluent une combinaison de cas d’utilisation. Ces environnements peuvent nécessiter ou non la gestion d’un appareil via des stratégies MDM pour accéder à vos ressources MAM.

Le mode MDM + MAM convient aux scénarios suivants :

  • Vous disposez d’un cas d’utilisation unique dans lequel le mode MDM et le mode MAM sont requis. MDM est requis pour accéder à vos ressources MAM.
  • Certains cas d’utilisation nécessitent MDM alors que dans d’autres cas MDM n’est pas requis.
  • Certains cas d’utilisation nécessitent MAM alors que dans d’autres cas MAM n’est pas requis.

Vous pouvez spécifier le mode de gestion pour XenMobile Server via la propriété Mode de serveur. Vous pouvez configurer le paramètre dans la console XenMobile. Le mode peut être MDM, MAM ou ENT (pour MDM + MAM).

L’édition XenMobile pour laquelle vous disposez d’une licence détermine les modes de gestion et les autres fonctions disponibles, comme indiqué dans le tableau suivant.

   
XenMobile MDM Edition XenMobile Advanced Edition
Fonctionnalités MDM Fonctionnalités MDM
- Fonctionnalités MAM
- SDK MAM
Secure Hub Secure Hub
- Secure Mail
- Secure Web

Modes de gestion et profils d’inscription

Les modes de gestion et les profils d’inscription fonctionnent ensemble. Vous utilisez un profil d’inscription pour configurer les options d’inscription de gestion des appareils et de gestion des applications pour les appareils Android et iOS. Pour Android, les options d’inscription disponibles pour le mode serveur MDM+MAM diffèrent des options du mode MDM. Pour plus d’informations, voir Profils d’inscription.

Gestion des appareils et inscription MDM

Un environnement XenMobile Enterprise peut inclure une combinaison de cas d’utilisation, dont certains nécessitent une gestion des appareils via des stratégies MDM pour autoriser l’accès aux ressources MAM. Avant de déployer des applications de productivité mobiles pour les utilisateurs, évaluez entièrement vos cas d’utilisation et décidez si vous avez besoin d’une inscription MDM. Si vous décidez ultérieurement de modifier la configuration requise pour l’inscription MDM, il est probable que les utilisateurs devront réinscrire leurs appareils.

Remarque :

Pour spécifier si vous souhaitez que les utilisateurs s’inscrivent dans MDM, utilisez la propriété XenMobile Server Inscription requise dans la console XenMobile (Paramètres > Propriétés du serveur). Cette propriété de serveur globale s’applique à tous les utilisateurs et appareils de l’instance XenMobile. La propriété s’applique uniquement lorsque le mode de XenMobile Server est défini sur ENT.

Voici un résumé des avantages et des inconvénients (ainsi que des options d’atténuation) de la demande d’inscription MDM dans un déploiement XenMobile en mode Enterprise.

Lorsque l’inscription MDM est facultative

Avantages :

  • Les utilisateurs peuvent accéder aux ressources MAM sans placer leurs appareils sous la gestion MDM. Cette option peut augmenter l’adoption par les utilisateurs.
  • Il est possible de sécuriser l’accès aux ressources MAM pour protéger les données de l’entreprise.
  • Les stratégies MDX telles que Code secret d’application permettent de contrôler l’accès à l’application pour chaque application MDX.
  • La configuration de Citrix ADC, de XenMobile Server et des délais d’attente par application, associée au code PIN Citrix, offre une couche de protection supplémentaire.
  • Bien que les actions MDM ne s’appliquent pas à l’appareil, certaines stratégies MDX peuvent être utilisées pour refuser l’accès MAM. Le refus doit être basé sur les paramètres système, tels que les appareils jailbreakés ou rootés.
  • Les utilisateurs peuvent choisir d’inscrire leur appareil avec MDM lors de la première utilisation.

Inconvénients :

  • Les ressources MAM sont disponibles pour les appareils non inscrits dans MDM.
  • Les stratégies et les actions MDM sont disponibles uniquement pour les appareils inscrits dans MDM.

Options d’atténuation :

  • Demandez aux utilisateurs d’accepter les conditions générales d’une entreprise qui les tient responsables en cas de non-conformité. Demandez aux administrateurs de surveiller les appareils non gérés.
  • Gérez l’accès et la sécurité des applications en utilisant des minuteurs d’application. Les valeurs de délai d’attente réduites augmentent la sécurité, mais peuvent affecter l’expérience de l’utilisateur.
  • Un deuxième environnement XenMobile avec l’inscription MDM requise est possible. Lorsque vous envisagez cette option, gardez à l’esprit les frais supplémentaires liés à la gestion de deux environnements et les ressources supplémentaires requises.

Lorsque l’inscription MDM est requise

Avantages :

  • Il est possible de restreindre l’accès aux ressources MAM uniquement aux appareils gérés par MDM.
  • Les stratégies et les actions MDM peuvent s’appliquer à tous les appareils de l’environnement, selon vos besoins.
  • Les utilisateurs ne peuvent pas désactiver l’inscription de leur appareil.

Inconvénients :

  • Tous les utilisateurs doivent s’inscrire avec MDM.
  • Cette option peut diminuer l’adoption par les utilisateurs qui s’opposent à la gestion d’entreprise de leurs appareils personnels.

Options d’atténuation :

  • Informez les utilisateurs de ce que XenMobile gère réellement sur leurs appareils et des informations auxquelles les administrateurs peuvent accéder.
  • Vous pouvez utiliser un deuxième environnement XenMobile avec un mode serveur MAM (également appelé mode MAM exclusif) pour les appareils qui n’ont pas besoin d’une gestion MDM. Lorsque vous envisagez cette option, gardez à l’esprit les frais supplémentaires liés à la gestion de deux environnements et les ressources supplémentaires requises.

À propos des modes MAM et des modes MAM d’ancienne génération

XenMobile 10.3.5 a introduit un nouveau mode de serveur MAM exclusif. Pour faire la distinction entre les anciens et les nouveaux modes MAM, la documentation utilise les termes suivants. Le nouveau mode est appelé « mode MAM exclusif » ou MA. Le mode MAM antérieur est appelé « ancien mode MAM ».

Le mode MAM exclusif prend effet lorsque la propriété de mode de serveur de XenMobile est MAM. Les appareils s’enregistrent en mode MAM.

L’ancienne fonctionnalité MAM prend effet lorsque la propriété de mode de serveur de XenMobile est ENT et que les utilisateurs choisissent de ne pas utiliser la gestion des appareils. Dans ce cas, les appareils s’enregistrent en mode MAM. Les utilisateurs qui désactivent la gestion MDM continuent à recevoir l’ancienne fonctionnalité MAM.

Remarque :

Précédemment, la définition de la propriété de serveur sur MAM avait le même effet que de la définir sur ENT : les utilisateurs qui avaient choisi de ne pas utiliser la gestion MDM recevaient l’ancienne fonctionnalité MAM.

Le tableau suivant décrit le paramètre de mode de serveur à utiliser pour un type de licence particulier et un mode d’appareil souhaité :

     
Vos licences pour cette édition Vous voulez que les appareils s’inscrivent dans ce mode Définissez la propriété du mode de serveur sur
Enterprise/ Advanced/MDM Mode MDM Gestion d’appareils mobiles
Enterprise/Advanced Mode MAM (également appelé mode MAM exclusif) MAM
Enterprise/Advanced Mode MDM+MAM ENT (les utilisateurs qui ont choisi de ne pas utiliser la gestion des appareils utilisent l’ancien mode MAM)

Le mode MAM exclusif prend en charge les fonctionnalités suivantes qui étaient auparavant disponibles uniquement pour ENT.

  • Authentification basée sur certificat : le mode MAM exclusif prend en charge l’authentification basée sur les certificats. Les utilisateurs pourront continuer à accéder à leurs applications même si leur mot de passe Active Directory expire. Si vous utilisez l’authentification basée sur certificat pour les appareils MAM, vous devez configurer votre instance Citrix Gateway. Par défaut, dans Paramètres XenMobile > Citrix Gateway, l’option Délivrer un certificat utilisateur pour l’authentification est définie sur Désactivé, ce qui signifie que l’authentification par nom d’utilisateur et mot de passe est utilisée. Modifiez ce paramètre sur Activé pour activer l’authentification basée sur certificat.
  • Portail en libre-service : cette fonctionnalité permet aux utilisateurs de verrouiller et d’effacer eux-mêmes leurs applications. Ces actions s’appliquent à toutes les applications sur l’appareil. Vous pouvez configurer les actions de verrouillage et d’effacement d’applications dans Configurer> Actions.
  • Tous les modes d’inscription sécurisée : tous les modes d’inscription, y compris Haute sécurité, URL d’invitation et Deux facteurs sont configurés via Gérer > Invitations d’inscription.
  • Limite d’enregistrement d’appareils pour les appareils Android et iOS : la propriété de serveur Nombre d’utilisateurs par appareil a été déplacée vers Configurer > Profils d’inscription et s’applique désormais à tous les modes de serveur.
  • API MAM exclusif : pour les appareils en mode MAM exclusif, vous pouvez appeler les services REST à l’aide de n’importe quel client REST et utiliser l’API REST XenMobile pour appeler les services exposés au travers de la console XenMobile.
  • Les API du mode MAM exclusif vous permettent d’effectuer les actions suivantes :
    • Envoyez une URL d’invitation et un code PIN à usage unique.
    • Envoyer la commande Verrouillage des applications (mode kiosque) ou Effacement des applications sur des appareils

Le tableau suivant résume les différences entre les fonctionnalités de l’ancien mode MAM et du mode MAM exclusif.

     
Scénarios d’inscription et autres fonctionnalités Ancien mode MAM (le mode de serveur est ENT) Mode MAM exclusif (le mode de serveur est MAM)
Authentification du certificat Non pris en charge. Pris en charge. Pour utiliser l’authentification basée sur certificat, Citrix Gateway est requis.
Exigences en matière de déploiement Le serveur XenMobile n’a pas besoin d’être directement accessible à partir des appareils. Le serveur XenMobile n’a pas besoin d’être directement accessible à partir des appareils.
Options d’inscription Utiliser le nom de domaine complet de Citrix Gateway ou lors de l’utilisation du nom de domaine complet de MDM, ne pas s’inscrire. Utiliser le nom de domaine complet du serveur XenMobile.
Méthodes d’inscription* Nom d’utilisateur + mot de passe Nom d’utilisateur + mot de passe, Haute sécurité, URL d’invitation, URL d’invitation + code PIN, URL d’invitation + mot de passe, Deux facteurs, Nom d’utilisateur + code PIN
Mode kiosque et effacement des applications Pris en charge. Pris en charge.
Portail en libre-service Options du mode kiosque et d’effacement des applications Non pris en charge. Pris en charge.
Comportement d’effacement des applications Les applications restent sur l’appareil mais ne sont pas utilisables. XenMobile supprime le compte sur le client uniquement. Les applications restent sur l’appareil mais ne sont pas utilisables. XenMobile supprime le compte sur le client uniquement.
Actions automatisées pour les utilisateurs du mode MAM exclusif. Les actions liées aux événements, aux propriétés d’appareil et aux propriétés d’utilisateur sont prises en charge. Les actions automatisées basées sur les applications installées ne sont pas prises en charge. Les actions liées aux événements, aux propriétés d’appareil et aux propriétés d’utilisateur, ainsi que certaines actions basées sur les applications, telles que l’effacement d’applications ou le verrouillage d’applications (mode kiosque), sont prises en charge.
Action intégrée lorsqu’un utilisateur Active Directory est supprimé L’effacement des applications est pris en charge. L’effacement des applications est pris en charge.
Limite d’inscription Pris en charge ; configuré au moyen d’un profil d’inscription. Pris en charge ; configuré au moyen d’un profil d’inscription.
un inventaire logiciel Pris en charge. XenMobile dresse la liste des applications installées sur un appareil. Non pris en charge.

*Concernant les notifications : SMTP est la seule méthode prise en charge pour l’envoi d’invitations d’inscription.

Important :

Pour le mode MAM exclusif, les utilisateurs inscrits précédemment doivent réinscrire leurs appareils. N’oubliez pas de fournir le nom de domaine complet de XenMobile Server à vos utilisateurs car ils en auront besoin pour l’inscription. Dans le mode MAM exclusif, comme avec le mode ENT, les appareils s’inscrivent à l’aide du nom de domaine complet de XenMobile Server. (Dans les versions antérieures du mode MAM, les appareils s’inscrivent à l’aide du nom de domaine complet de Citrix Gateway).