Sécurité et expérience utilisateur
La sécurité est importante pour toute organisation, mais vous devez trouver un équilibre entre la sécurité et l’expérience utilisateur. Par exemple, vous pourriez avoir un environnement hautement sécurisé difficile à utiliser pour les utilisateurs. Ou, votre environnement pourrait être si convivial que le contrôle d’accès n’est pas aussi strict. Les autres sections de ce manuel virtuel couvrent les fonctionnalités de sécurité en détail. Le but de cet article est de donner un aperçu général des préoccupations de sécurité courantes et des options de sécurité disponibles dans XenMobile.
Voici quelques considérations clés à garder à l’esprit pour chaque cas d’utilisation :
- Souhaitez-vous sécuriser certaines applications, l’intégralité de l’appareil, ou les deux ?
- Comment souhaitez-vous que vos utilisateurs authentifient leur identité ? Envisagez-vous d’utiliser LDAP, l’authentification par certificat, ou une combinaison des deux ?
- Comment souhaitez-vous gérer les délais d’expiration des sessions utilisateur ? Gardez à l’esprit qu’il existe différentes valeurs de délai d’expiration pour les services d’arrière-plan, Citrix ADC et pour l’accès aux applications hors ligne.
- Souhaitez-vous que les utilisateurs configurent un code d’accès au niveau de l’appareil, un code d’accès au niveau de l’application, ou les deux ? Combien de tentatives de connexion souhaitez-vous accorder aux utilisateurs ? Gardez à l’esprit l’impact que les exigences d’authentification supplémentaires par application implémentées avec MAM pourraient avoir sur l’expérience utilisateur.
- Quelles autres restrictions souhaitez-vous imposer aux utilisateurs ? Souhaitez-vous que les utilisateurs accèdent à des services cloud tels que Siri ? Que peuvent-ils faire et ne pas faire avec chaque application que vous mettez à leur disposition ? Souhaitez-vous déployer des stratégies Wi-Fi d’entreprise pour éviter que les forfaits de données cellulaires ne soient consommés dans les bureaux ?
Application ou appareil
L’une des premières choses à considérer est de savoir s’il faut sécuriser uniquement certaines applications à l’aide de la gestion des applications mobiles (MAM). Ou si vous souhaitez également gérer l’intégralité de l’appareil à l’aide de la gestion des appareils mobiles (MDM). Le plus souvent, si vous n’avez pas besoin d’un contrôle au niveau de l’appareil, vous ne gérez que les applications mobiles, surtout si votre organisation prend en charge le concept « Apportez votre propre appareil » (BYOD).
Les utilisateurs disposant d’appareils que XenMobile ne gère pas peuvent installer des applications via l’App Store. Au lieu de contrôles au niveau de l’appareil, tels que l’effacement sélectif ou complet, vous contrôlez l’accès aux applications via des stratégies d’application. Les stratégies, en fonction des valeurs que vous définissez, exigent que l’appareil vérifie régulièrement XenMobile pour confirmer que les applications sont toujours autorisées à s’exécuter.
MDM vous permet de sécuriser un appareil entier, y compris la possibilité de faire l’inventaire de tous les logiciels sur un appareil. Vous pouvez empêcher l’inscription si l’appareil est jailbreaké, rooté ou si un logiciel dangereux est installé. Cependant, prendre ce niveau de contrôle rend les utilisateurs méfiants à l’idée d’accorder autant de pouvoir sur leurs appareils personnels et pourrait réduire les taux d’inscription.
Authentification
L’authentification est un élément essentiel de l’expérience utilisateur. Si votre organisation utilise déjà Active Directory, l’utilisation d’Active Directory est le moyen le plus simple de permettre à vos utilisateurs d’accéder au système.
Un autre aspect important de l’expérience utilisateur en matière d’authentification est les délais d’expiration. Un environnement hautement sécurisé peut exiger que les utilisateurs se connectent chaque fois qu’ils accèdent au système, mais cette option n’est pas idéale pour toutes les organisations. Par exemple, demander aux utilisateurs de saisir leurs informations d’identification chaque fois qu’ils souhaitent accéder à leur messagerie peut avoir un impact significatif sur l’expérience utilisateur.
Entropie utilisateur
Pour une sécurité accrue, vous pouvez activer une fonctionnalité appelée entropie utilisateur. Citrix Secure Hub™ et certaines autres applications partagent souvent des données communes comme des mots de passe, des codes PIN et des certificats pour s’assurer que tout fonctionne correctement. Ces informations sont stockées dans un coffre-fort générique au sein de Secure Hub. Si vous activez l’entropie utilisateur via l’option Chiffrer les secrets, XenMobile crée un nouveau coffre-fort appelé UserEntropy. XenMobile déplace les informations du coffre-fort générique vers le nouveau coffre-fort. Pour que Secure Hub ou une autre application accède aux données, les utilisateurs doivent saisir un mot de passe ou un code PIN.
L’activation de l’entropie utilisateur ajoute une couche d’authentification supplémentaire à plusieurs endroits. Par conséquent, les utilisateurs doivent saisir un mot de passe ou un code PIN chaque fois qu’une application nécessite l’accès à des données partagées, y compris des certificats, dans le coffre-fort UserEntropy.
Vous pouvez en savoir plus sur l’entropie utilisateur en lisant À propos du MDX Toolkit dans la documentation XenMobile. Pour activer l’entropie utilisateur, vous pouvez trouver les paramètres associés dans les Propriétés du client.
Stratégies
Les stratégies MDX et MDM offrent une grande flexibilité aux organisations, mais elles peuvent également restreindre les utilisateurs. Par exemple, vous pourriez vouloir bloquer l’accès à des applications cloud, telles que Siri ou iCloud, qui ont le potentiel d’envoyer des données sensibles à divers emplacements. Vous pouvez configurer une stratégie pour bloquer l’accès à ces services, mais gardez à l’esprit qu’une telle stratégie peut avoir des conséquences imprévues. Le microphone du clavier iOS dépend également de l’accès au cloud et vous pourriez également bloquer l’accès à cette fonctionnalité.
Applications
La gestion de la mobilité d’entreprise (EMM) se segmente en gestion des appareils mobiles (MDM) et gestion des applications mobiles (MAM). Alors que MDM permet aux organisations de sécuriser et de contrôler les appareils mobiles, MAM facilite la livraison et la gestion des applications. Avec l’adoption croissante du BYOD, vous pouvez généralement implémenter une solution MAM pour faciliter la livraison d’applications, la gestion des licences logicielles, la configuration et la gestion du cycle de vie des applications.
Avec XenMobile, vous pouvez aller plus loin pour sécuriser ces applications en configurant des stratégies MAM spécifiques et des paramètres VPN pour prévenir les fuites de données et d’autres menaces de sécurité. XenMobile offre aux organisations la flexibilité de déployer l’une des solutions suivantes :
- Environnement MAM uniquement
- Environnement MDM uniquement
- Environnement XenMobile Enterprise unifié qui fournit les fonctionnalités MDM et MAM sur la même plateforme
En plus de la capacité à livrer des applications aux appareils mobiles, XenMobile offre la conteneurisation d’applications via la technologie MDX. MDX sécurise les applications grâce à un chiffrement distinct du chiffrement au niveau de l’appareil fourni par la plateforme. Vous pouvez effacer ou verrouiller l’application, et les applications sont soumises à des contrôles granulaires basés sur des stratégies. Les éditeurs de logiciels indépendants (ISV) peuvent appliquer ces contrôles à l’aide du SDK Mobile Apps.
Dans un environnement d’entreprise, les utilisateurs utilisent diverses applications mobiles pour les aider dans leur rôle professionnel. Les applications peuvent inclure des applications de l’App Store public, des applications développées en interne et des applications natives. XenMobile classe ces applications comme suit :
Applications publiques : Ces applications incluent des applications gratuites ou payantes disponibles dans un App Store public, tel que l’Apple App Store ou Google Play. Les fournisseurs extérieurs à l’organisation mettent souvent leurs applications à disposition dans les App Stores publics. Cette option permet à leurs clients de télécharger les applications directement depuis Internet. Vous pourriez utiliser de nombreuses applications publiques dans votre organisation en fonction des besoins des utilisateurs. Des exemples de telles applications incluent GoToMeeting, Salesforce et les applications EpicCare.
Citrix ne prend pas en charge le téléchargement direct de binaires d’applications depuis les App Stores publics, puis leur encapsulage avec le MDX Toolkit pour la distribution en entreprise. Pour activer MDX pour les applications tierces, contactez votre fournisseur d’applications pour obtenir les binaires d’applications. Vous pouvez encapsuler les binaires à l’aide du MDX Toolkit ou intégrer le SDK MAM aux binaires.
Applications internes : De nombreuses organisations ont des développeurs internes qui créent des applications offrant des fonctionnalités spécifiques et qui sont développées et distribuées indépendamment au sein de l’organisation. Dans certains cas, certaines organisations peuvent également avoir des applications fournies par des ISV. Vous pouvez déployer de telles applications en tant qu’applications natives ou vous pouvez conteneuriser les applications à l’aide d’une solution MAM, telle que XenMobile. Par exemple, une organisation de soins de santé peut créer une application interne qui permet aux médecins de consulter les informations des patients sur des appareils mobiles. Une organisation peut ensuite activer le SDK MAM ou encapsuler l’application MDM pour sécuriser les informations des patients et activer l’accès VPN au serveur de base de données des patients back-end.
Applications web et SaaS : Ces applications incluent des applications accessibles depuis un réseau interne (applications web) ou via un réseau public (SaaS). XenMobile vous permet également de créer des applications web et SaaS personnalisées à l’aide d’une liste de connecteurs d’applications. Ces connecteurs d’applications peuvent faciliter l’authentification unique (SSO) aux applications web existantes. Pour plus de détails, consultez Types de connecteurs d’applications. Par exemple, vous pouvez utiliser Google Apps SAML pour l’authentification unique basée sur le Security Assertion Markup Language (SAML) vers Google Apps.
Applications de productivité mobile : Applications développées par Citrix et incluses avec la licence XenMobile. Pour plus de détails, consultez À propos des applications de productivité mobile. Citrix propose également d’autres applications prêtes à l’emploi que les ISV développent à l’aide du SDK Mobile Apps.
Applications HDX : Applications hébergées sous Windows que vous publiez avec StoreFront. Si vous disposez d’un environnement Citrix Virtual Apps and Desktops™, vous pouvez intégrer les applications à XenMobile pour les rendre disponibles aux utilisateurs inscrits.
Selon le type d’applications mobiles que vous prévoyez de déployer et de gérer avec XenMobile, la configuration et l’architecture sous-jacentes diffèrent. Par exemple, si plusieurs groupes d’utilisateurs avec des niveaux d’autorisation différents consomment une seule application, vous pourriez avoir besoin de groupes de livraison distincts pour déployer deux versions de l’application. De plus, vous devez vous assurer que l’appartenance aux groupes d’utilisateurs est mutuellement exclusive pour éviter les incohérences de stratégie sur les appareils des utilisateurs.
Vous pourriez également vouloir gérer les licences d’applications iOS en utilisant l’achat en volume Apple. Cette option vous oblige à vous inscrire à l’achat en volume Apple et à configurer les paramètres d’achat en volume XenMobile dans la console XenMobile pour distribuer les applications avec les licences d’achat en volume. Divers cas d’utilisation de ce type rendent important d’évaluer et de planifier votre stratégie MAM avant d’implémenter l’environnement XenMobile. Vous pouvez commencer à planifier votre stratégie MAM en définissant les éléments suivants :
Types d’applications : Répertoriez les différents types d’applications que vous prévoyez de prendre en charge, puis classez-les. Par exemple : applications publiques, natives, de productivité mobile, Web, internes, ISV, etc. Classez également les applications par plateformes d’appareils, telles qu’iOS et Android. Cette catégorisation vous aide à aligner les paramètres XenMobile requis pour chaque type d’application. Par exemple, certaines applications peuvent ne pas être éligibles à l’encapsulation, ou peuvent nécessiter le SDK Mobile Apps pour activer des API spéciales pour l’interaction avec d’autres applications.
Exigences réseau : Configurez les applications avec des exigences d’accès réseau spécifiques à l’aide des paramètres appropriés. Par exemple, certaines applications peuvent nécessiter un accès à votre réseau interne via un VPN. Certaines applications peuvent nécessiter un accès Internet pour acheminer l’accès via la DMZ. Pour permettre à ces applications de se connecter au réseau requis, vous devez configurer divers paramètres en conséquence. La définition des exigences réseau par application permet de finaliser vos décisions architecturales dès le début, ce qui simplifie le processus de mise en œuvre global.
Exigences de sécurité : Il est essentiel de définir les exigences de sécurité qui s’appliquent à des applications individuelles ou à toutes les applications. Cette planification garantit que vous créez les bonnes configurations lors de l’installation du serveur XenMobile. Bien que des paramètres tels que les stratégies MDX s’appliquent à des applications individuelles, les paramètres de session et d’authentification s’appliquent à toutes les applications. Certaines applications peuvent avoir des exigences spécifiques en matière de chiffrement, de conteneurisation, d’encapsulation, d’authentification, de géorepérage, de code d’accès ou de partage de données que vous pouvez définir à l’avance pour simplifier votre déploiement.
Exigences de déploiement : Vous pouvez souhaiter utiliser un déploiement basé sur des stratégies pour n’autoriser que les utilisateurs conformes à télécharger les applications publiées. Par exemple, vous pouvez souhaiter que certaines applications nécessitent l’une des conditions suivantes :
- le chiffrement basé sur la plateforme de l’appareil est activé
- l’appareil est géré
- l’appareil répond à une version minimale du système d’exploitation
- certaines applications ne sont disponibles que pour les utilisateurs d’entreprise
Vous pouvez également souhaiter que certaines applications ne soient disponibles que pour les utilisateurs d’entreprise. Décrivez ces exigences à l’avance afin de pouvoir configurer les règles ou actions de déploiement appropriées.
Exigences de licence : Conservez un enregistrement des exigences de licence liées aux applications. Ces notes vous aident à gérer efficacement l’utilisation des licences et à décider s’il convient de configurer des fonctionnalités spécifiques dans XenMobile pour faciliter l’octroi de licences. Par exemple, si vous déployez une application iOS gratuite ou payante, Apple applique des exigences de licence à l’application en exigeant que les utilisateurs se connectent à leur compte iTunes. Vous pouvez vous inscrire à l’achat en volume Apple pour distribuer et gérer ces applications via XenMobile. L’achat en volume permet aux utilisateurs de télécharger les applications sans avoir à se connecter à leur compte iTunes. De plus, des outils tels que Samsung SAFE et Samsung Knox ont des exigences de licence spéciales que vous devez remplir avant de déployer ces fonctionnalités.
Exigences de liste d’autorisation et de liste de blocage : Vous souhaitez probablement empêcher les utilisateurs d’installer ou d’utiliser certaines applications. Créez une liste d’autorisation d’applications qui rendent un appareil non conforme. Ensuite, configurez des stratégies à déclencher lorsqu’un appareil devient non conforme. D’autre part, une application peut être acceptable à utiliser mais peut figurer sur la liste de blocage pour une raison quelconque. Dans ce cas, vous pouvez ajouter l’application à une liste d’autorisation et indiquer que l’application est acceptable à utiliser, mais n’est pas requise. Gardez également à l’esprit que les applications préinstallées sur les nouveaux appareils peuvent inclure des applications couramment utilisées qui ne font pas partie du système d’exploitation. Ces applications peuvent entrer en conflit avec votre stratégie de liste de blocage.
Cas d’utilisation des applications
Une organisation de soins de santé prévoit de déployer XenMobile pour servir de solution MAM pour ses applications mobiles. Les applications mobiles sont livrées aux utilisateurs d’entreprise et BYOD. Le service informatique décide de livrer et de gérer les applications suivantes :
- Applications de productivité mobile : Applications iOS et Android fournies par Citrix.
- Secure Mail : Application de messagerie, de calendrier et de contacts.
- Secure Web : Navigateur Web sécurisé qui fournit un accès à Internet et aux sites intranet.
- Citrix Files : Application pour accéder aux données partagées et pour partager, synchroniser et modifier des fichiers.
Magasin d’applications public
- Secure Hub : Client utilisé par tous les appareils mobiles pour communiquer avec XenMobile. Le service informatique envoie les paramètres de sécurité, les configurations et les applications mobiles aux appareils mobiles via le client Secure Hub. Les appareils Android et iOS s’inscrivent à XenMobile via Secure Hub.
- Citrix Receiver™ : Application mobile qui permet aux utilisateurs d’ouvrir des applications hébergées par Virtual Apps and Desktops sur des appareils mobiles.
- GoToMeeting : Client de réunion en ligne, de partage de bureau et de vidéoconférence qui permet aux utilisateurs de rencontrer d’autres utilisateurs d’ordinateurs, des clients ou des collègues via Internet en temps réel.
- Salesforce1 : Salesforce1 permet aux utilisateurs d’accéder à Salesforce depuis des appareils mobiles et rassemble toutes les applications Chatter, CRM, personnalisées et les processus métier dans une expérience unifiée pour tout utilisateur Salesforce.
- RSA SecurID : Jeton logiciel pour l’authentification à deux facteurs.
-
Applications EpicCare : Ces applications offrent aux professionnels de la santé un accès sécurisé et portable aux dossiers des patients, aux listes de patients, aux plannings et à la messagerie.
- Haiku : Application mobile pour iPhone et téléphones Android.
- Canto : Application mobile pour iPad
- Rover : Applications mobiles pour iPhone et iPad.
HDX : Ces applications sont livrées via Citrix Virtual Apps™ et Desktops.
- Epic Hyperspace : Application client Epic pour la gestion des dossiers de santé électroniques.
ISV
- Vocera : Application mobile de messagerie et de voix sur IP conforme à la norme HIPAA qui étend les avantages de la technologie vocale Vocera à tout moment, n’importe où via les smartphones iPhone et Android.
Applications internes
- HCMail : Application qui aide à composer des messages chiffrés, à rechercher des carnets d’adresses sur des serveurs de messagerie internes et à envoyer les messages chiffrés aux contacts à l’aide d’un client de messagerie.
Applications Web internes
- PatientRounding : Application Web utilisée pour enregistrer les informations de santé des patients par différents services.
- Outlook Web Access : Permet l’accès aux e-mails via un navigateur Web.
- SharePoint : Utilisé pour le partage de fichiers et de données à l’échelle de l’organisation.
Le tableau suivant répertorie les informations de base requises pour la configuration MAM.
| Nom de l’application | Type d’application | Encapsulation MDX | iOS | Android |
|---|---|---|---|---|
| Secure Mail | Application XenMobile | Non pour la version 10.4.1 et ultérieure | Oui | Oui |
| Secure Web | Application XenMobile | Non pour la version 10.4.1 et ultérieure | Oui | Oui |
| Citrix Files | Application XenMobile | Non pour la version 10.4.1 et ultérieure | Oui | Oui |
| Secure Hub | Application publique | N/A | Oui | Oui |
| Citrix Receiver | Application publique | N/A | Oui | Oui |
| GoToMeeting | Application publique | N/A | Oui | Oui |
| Salesforce1 | Application publique | N/A | Oui | Oui |
| RSA SecurID | Application publique | N/A | Oui | Oui |
| Epic Haiku | Application publique | N/A | Oui | Oui |
| Epic Canto | Application publique | N/A | Oui | Non |
| Epic Rover | Application publique | N/A | Oui | Non |
| Epic Hyperspace | Application HDX™ | N/A | Oui | Oui |
| Vocera | Application ISV | Oui | Oui | Oui |
| HCMail | Application interne | Oui | Oui | Oui |
| PatientRounding | Application Web | N/A | Oui | Oui |
| Outlook Web Access | Application Web | N/A | Oui | Oui |
| SharePoint | Application Web | N/A | Oui | Oui |
Les tableaux suivants répertorient les exigences spécifiques que vous pouvez consulter lors de la configuration des stratégies MAM dans XenMobile.
| Nom de l’application | VPN requis | Interaction (avec des applications en dehors du conteneur) | Interaction (à partir d’applications en dehors du conteneur) | Chiffrement basé sur la plateforme de l’appareil |
|---|---|---|---|---|
| Secure Mail | O | Autorisé sélectivement | Autorisé | Non requis |
| Secure Web | O | Autorisé | Autorisé | Non requis |
| Citrix Files | O | Autorisé | Autorisé | Non requis |
| Secure Hub | O | N/A | N/A | N/A |
| Citrix Receiver | O | N/A | N/A | N/A |
| GoToMeeting | N | N/A | N/A | N/A |
| Salesforce1 | N | N/A | N/A | N/A |
| RSA SecurID | N | N/A | N/A | N/A |
| Epic Haiku | O | N/A | N/A | N/A |
| Epic Canto | O | N/A | N/A | N/A |
| Epic Rover | O | N/A | N/A | N/A |
| Epic Hyperspace | O | N/A | N/A | N/A |
| Vocera | O | Bloqué | Bloqué | Non requis |
| HCMail | O | Bloqué | Bloqué | Requis |
| PatientRounding | O | N/A | N/A | Requis |
| Outlook Web Access | O | N/A | N/A | Non requis |
| SharePoint | O | N/A | N/A | Non requis |
| Nom de l’application | Filtrage proxy | Licences | Géorepérage | SDK Mobile Apps | Version minimale du système d’exploitation |
|---|---|---|---|---|---|
| Secure Mail | Requis | N/A | Requis sélectivement | N/A | Appliqué |
| Secure Web | Requis | N/A | Non requis | N/A | Appliqué |
| Citrix Files | Requis | N/A | Non requis | N/A | Appliqué |
| Secure Hub | Non requis | Achat en volume | Non requis | N/A | Non appliqué |
| Citrix Receiver | Non requis | Achat en volume | Non requis | N/A | Non appliqué |
| GoToMeeting | Non requis | Achat en volume | Non requis | N/A | Non appliqué |
| Salesforce1 | Non requis | Achat en volume | Non requis | N/A | Non appliqué |
| RSA SecurID | Non requis | Achat en volume | Non requis | N/A | Non appliqué |
| Epic Haiku | Non requis | Achat en volume | Non requis | N/A | Non appliqué |
| Epic Canto | Non requis | Achat en volume | Non requis | N/A | Non appliqué |
| Epic Rover | Non requis | Achat en volume | Non requis | N/A | Non appliqué |
| Epic Hyperspace | Non requis | N/A | Non requis | N/A | Non appliqué |
| Vocera | Requis | N/A | Requis | Requis | Appliqué |
| HCMail | Requis | N/A | Requis | Requis | Appliqué |
| PatientRound-ing | Requis | N/A | Non requis | N/A | Non appliqué |
| Outlook Web Access | Requis | N/A | Non requis | N/A | Non appliqué |
| SharePoint | Requis | N/A | Non requis | N/A | Non appliqué |
Communautés d’utilisateurs
Chaque organisation est composée de diverses communautés d’utilisateurs qui opèrent dans différents rôles fonctionnels. Ces communautés d’utilisateurs effectuent différentes tâches et fonctions de bureau à l’aide de diverses ressources que vous fournissez via les appareils mobiles des utilisateurs. Les utilisateurs peuvent travailler à domicile ou dans des bureaux distants à l’aide des appareils mobiles que vous fournissez. Ou, les utilisateurs peuvent utiliser leurs appareils mobiles personnels, ce qui leur permet d’accéder à des outils soumis à certaines règles de conformité de sécurité.
À mesure que de plus en plus de communautés d’utilisateurs utilisent des appareils mobiles, la gestion de la mobilité d’entreprise (EMM) devient essentielle pour prévenir les fuites de données et appliquer les restrictions de sécurité. Pour une gestion des appareils mobiles efficace et plus sophistiquée, vous pouvez catégoriser vos communautés d’utilisateurs. Cela simplifie le mappage des utilisateurs aux ressources et garantit que les bonnes stratégies de sécurité s’appliquent aux bons utilisateurs.
L’exemple suivant illustre comment les communautés d’utilisateurs d’une organisation de soins de santé sont classées pour l’EMM.
Cas d’utilisation des communautés d’utilisateurs
Cette organisation de soins de santé exemple fournit des ressources technologiques et un accès à de multiples utilisateurs, y compris les employés du réseau et des affiliés, ainsi que les bénévoles. L’organisation a choisi de déployer la solution EMM uniquement aux utilisateurs non-cadres.
Les rôles et fonctions des utilisateurs pour cette organisation peuvent être divisés en sous-groupes, notamment : cliniques, non cliniques et contractuels. Un ensemble sélectionné d’utilisateurs reçoit des appareils mobiles d’entreprise, tandis que d’autres peuvent accéder à des ressources d’entreprise limitées depuis leurs appareils personnels. Pour appliquer le niveau de restrictions de sécurité approprié et prévenir les fuites de données, l’organisation a décidé que le service informatique de l’entreprise gère chaque appareil inscrit, qu’il soit fourni par l’entreprise ou BYOD. De plus, les utilisateurs ne peuvent inscrire qu’un seul appareil.
La section suivante fournit un aperçu des rôles et fonctions de chaque sous-groupe :
Clinique
- Infirmiers/Infirmières
- Médecins (généralistes, chirurgiens, etc.)
- Spécialistes (diététiciens, anesthésiologistes, radiologues, cardiologues, oncologues, etc.)
- Médecins externes (médecins non-salariés et employés de bureau travaillant depuis des bureaux distants)
- Services de soins à domicile (employés de bureau et mobiles fournissant des services médicaux pour les visites à domicile des patients)
- Spécialiste en recherche (travailleurs du savoir et utilisateurs expérimentés dans six instituts de recherche menant des recherches cliniques pour trouver des réponses aux problèmes de médecine)
- Éducation et formation (infirmiers/infirmières, médecins et spécialistes en éducation et formation)
Non clinique
- Services partagés (employés de bureau exécutant diverses fonctions de back-office, notamment : RH, Paie, Comptes fournisseurs, Service de la chaîne d’approvisionnement, etc.)
- Services aux médecins (employés de bureau exécutant diverses fonctions de gestion des soins de santé, services administratifs et solutions de processus métier pour les prestataires, notamment : Services administratifs, Analyse et Business Intelligence, Systèmes métier, Services clients, Finance, Administration des soins gérés, Solutions d’accès aux patients, Solutions de cycle de revenus, etc.)
- Services de support (employés de bureau exécutant diverses fonctions non cliniques, notamment : Administration des avantages sociaux, Intégration clinique, Communications, Gestion de la rémunération et de la performance, Services des installations et des propriétés, Systèmes technologiques RH, Services d’information, Audit interne et amélioration des processus, etc.)
- Programmes philanthropiques (employés de bureau et mobiles exécutant diverses fonctions en soutien aux programmes philanthropiques)
Contractuels
- Partenaires fabricants et fournisseurs (sur site et connectés à distance via VPN site à site, fournissant diverses fonctions de support non cliniques)
Sur la base des informations précédentes, l’organisation a créé les entités suivantes. Pour plus d’informations sur les groupes de mise à disposition dans XenMobile, consultez Déployer des ressources.
Unités d’organisation (UO) et groupes Active Directory
Pour UO = Ressources XenMobile :
- UO = Clinique ; Groupes =
- XM-Nurses
- XM-Physicians
- XM-Specialists
- XM-Outside Physicians
- XM-Home Health Services
- XM-Research Specialist
- XM-Education and Training
- UO = Non clinique ; Groupes =
- XM-Shared Services
- XM-Physician Services
- XM-Support Services
- XM-Philanthropic Programs
Utilisateurs et groupes locaux XenMobile
Pour Groupe = Contractuels, Utilisateurs =
- Vendor1
- Vendor2
- Vendor 3
- … Vendor 10
Groupes de mise à disposition XenMobile
- Clinical-Nurses
- Clinical-Physicians
- Clinical-Specialists
- Clinical-Outside Physicians
- Clinical-Home Health Services
- Clinical-Research Specialist
- Clinical-Education and Training
- Non-Clinical-Shared Services
- Non-Clinical-Physician Services
- Non-Clinical-Support Services
- Non-Clinical-Philanthropic Programs
Mappage des groupes de mise à disposition et des groupes d’utilisateurs
| Groupes Active Directory | Groupes de mise à disposition XenMobile |
| XM-Nurses | Clinical-Nurses |
| XM-Physicians | Clinical-Physicians |
| XM-Specialists | Clinical-Specialists |
| XM-Outside Physicians | Clinical-Outside Physicians |
| XM-Home Health Services | Clinical-Home Health Services |
| XM-Research Specialist | Clinical-Research Specialist |
| XM-Education and Training | Clinical-Education and Training |
| XM-Shared Services | Non-Clinical-Shared Services |
| XM-Physician Services | Non-Clinical-Physician Services |
| XM-Support Services | Non-Clinical-Support Services |
| XM-Philanthropic Programs | Non-Clinical-Philanthropic Programs |
Mappage des groupes de mise à disposition et des ressources
Les tableaux suivants illustrent les ressources attribuées à chaque groupe de mise à disposition dans ce cas d’utilisation. Le premier tableau présente les attributions d’applications mobiles. Le second tableau présente les applications publiques, les applications HDX et les ressources de gestion des appareils.
| Groupes de mise à disposition XenMobile | Applications mobiles Citrix | Applications mobiles publiques | Applications mobiles HDX |
| Clinical-Nurses | X | ||
| Clinical-Physicians | |||
| Clinical-Specialists | |||
| Clinical-Outside Physicians | X | ||
| Clinical-Home Health Services | X | ||
| Clinical-Research Specialist | X | ||
| Clinical-Education and Training | X | X | |
| Non-Clinical-Shared Services | X | X | |
| Non-Clinical-Physician Services | X | X | |
| Non-Clinical-Support Services | X | X | X |
| Non-Clinical-Philanthropic Programs | X | X | X |
| Contractors | X | X | X |
| Groupes de mise à disposition XenMobile | Application publique : RSA SecurID | Application publique : EpicCare Haiku | Application HDX : Epic Hyperspace | Stratégie de code d’accès | Restrictions d’appareil | Actions automatisées | Stratégie Wi-Fi |
| Clinical-Nurses | X | ||||||
| Clinical-Physicians | X | ||||||
| Clinical-Specialists | |||||||
| Clinical-Outside Physicians | |||||||
| Clinical-Home Health Services | |||||||
| Clinical-Research Specialist | |||||||
| Clinical-Education and Training | X | X | |||||
| Non-Clinical-Shared Services | X | X | |||||
| Non-Clinical-Physician Services | X | X | |||||
| Non-Clinical-Support Services | X | X |
Remarques et considérations
- XenMobile crée un groupe de mise à disposition par défaut nommé All Users lors de la configuration initiale. Si vous ne désactivez pas ce groupe de mise à disposition, tous les utilisateurs Active Directory ont le droit de s’inscrire à XenMobile.
- XenMobile synchronise les utilisateurs et les groupes Active Directory à la demande en utilisant une connexion dynamique au serveur LDAP.
- Si un utilisateur fait partie d’un groupe qui n’est pas mappé dans XenMobile, cet utilisateur ne peut pas s’inscrire. De même, si un utilisateur est membre de plusieurs groupes, XenMobile le catégorise uniquement dans les groupes mappés à XenMobile.
- Pour rendre l’inscription MDM obligatoire, vous devez définir l’option Enrollment Required sur True dans les propriétés du serveur de la console XenMobile. Pour plus de détails, consultez Propriétés du serveur.
- Vous pouvez supprimer un groupe d’utilisateurs d’un groupe de mise à disposition XenMobile en supprimant l’entrée dans la base de données SQL Server, sous dbo.userlistgrps. Attention : Avant d’effectuer cette action, créez une sauvegarde de XenMobile et de la base de données.
À propos de la propriété des appareils dans XenMobile
Vous pouvez regrouper les utilisateurs en fonction du propriétaire de l’appareil d’un utilisateur. La propriété des appareils inclut les appareils appartenant à l’entreprise et les appareils appartenant à l’utilisateur, également connus sous le nom de “apportez votre propre appareil” (BYOD). Vous pouvez contrôler la façon dont les appareils BYOD se connectent à votre réseau à deux endroits dans la console XenMobile : dans les règles de déploiement pour chaque type de ressource et via les propriétés du serveur sur la page Paramètres. Pour plus de détails sur les règles de déploiement, consultez Configuration des règles de déploiement dans la documentation XenMobile. Pour plus de détails sur les propriétés du serveur, consultez Propriétés du serveur.
Vous pouvez exiger que tous les utilisateurs BYOD acceptent la gestion d’entreprise de leurs appareils avant de pouvoir accéder aux applications. Ou, vous pouvez donner aux utilisateurs l’accès aux applications d’entreprise sans gérer leurs appareils.
Lorsque vous définissez le paramètre de serveur wsapi.mdm.required.flag sur true, XenMobile gère tous les appareils BYOD, et tout utilisateur qui refuse l’inscription se voit refuser l’accès aux applications. Envisagez de définir wsapi.mdm.required.flag sur true dans les environnements où les équipes informatiques d’entreprise ont besoin d’une sécurité élevée ainsi que d’une expérience utilisateur positive lors de l’inscription des appareils utilisateurs dans XenMobile.
Si vous laissez wsapi.mdm.required.flag sur false, ce qui est le paramètre par défaut, les utilisateurs peuvent refuser l’inscription, mais peuvent toujours accéder aux applications sur leurs appareils via le XenMobile Store. Envisagez de définir wsapi.mdm.required.flag sur false dans les environnements où des contraintes de confidentialité, légales ou réglementaires n’exigent aucune gestion des appareils, mais uniquement la gestion des applications d’entreprise.
Les utilisateurs dont les appareils ne sont pas gérés par XenMobile peuvent installer des applications via le XenMobile Store. Au lieu de contrôles au niveau de l’appareil, tels que l’effacement sélectif ou complet, vous contrôlez l’accès aux applications via des stratégies d’application. Les stratégies, en fonction des valeurs que vous définissez, exigent que l’appareil vérifie régulièrement le serveur XenMobile pour confirmer que les applications sont toujours autorisées à s’exécuter.
Exigences de sécurité
Le nombre de considérations de sécurité lors du déploiement d’un environnement XenMobile peut rapidement devenir accablant. Il existe de nombreux éléments et paramètres interdépendants. Pour vous aider à démarrer et à choisir un niveau de protection acceptable, Citrix fournit des recommandations pour les niveaux de sécurité Élevé, Supérieur et Maximal, présentées dans le tableau suivant.
Votre choix de mode de déploiement implique plus que de simples préoccupations de sécurité. Il est important d’examiner également les exigences du cas d’utilisation et de décider si vous pouvez atténuer les problèmes de sécurité avant de choisir votre mode de déploiement.
Élevé : L’utilisation de ces paramètres offre une expérience utilisateur optimale tout en maintenant un niveau de sécurité de base acceptable pour la plupart des organisations.
Supérieur : Ces paramètres créent un équilibre plus solide entre sécurité et convivialité.
Maximal : Le respect de ces recommandations offre un niveau de sécurité élevé au détriment de la convivialité et de l’adoption par les utilisateurs.
Considérations de sécurité relatives au mode de déploiement
Le tableau suivant spécifie les modes de déploiement pour chaque niveau de sécurité.
| Sécurité élevée | Sécurité supérieure | Sécurité maximale |
| MAM ou MDM | MDM+MAM | MDM+MAM ; plus FIPS |
Notes :
- Selon le cas d’utilisation, un déploiement MDM uniquement ou MAM uniquement peut répondre aux exigences de sécurité et offrir une bonne expérience utilisateur.
- Si vous n’avez pas besoin de la conteneurisation d’applications, du micro VPN ou de stratégies spécifiques aux applications, le MDM est suffisant pour gérer et sécuriser les appareils.
- Pour les cas d’utilisation comme le BYOD où la conteneurisation d’applications seule peut satisfaire toutes les exigences commerciales et de sécurité, Citrix recommande le mode MAM uniquement.
- Pour les environnements à haute sécurité (et les appareils fournis par l’entreprise), Citrix recommande MDM+MAM pour tirer parti de toutes les capacités de sécurité disponibles. Assurez-vous d’appliquer l’inscription MDM.
- Options FIPS pour les environnements ayant les besoins de sécurité les plus élevés, tels que le gouvernement fédéral.
Si vous activez le mode FIPS, vous devez configurer SQL Server pour chiffrer le trafic SQL.
Considérations de sécurité relatives à Citrix ADC et Citrix Gateway
Le tableau suivant spécifie les recommandations Citrix ADC et Citrix Gateway pour chaque niveau de sécurité.
| Sécurité élevée | Sécurité supérieure | Sécurité maximale |
| Citrix ADC est recommandé. Citrix Gateway est requis pour MAM et ENT ; recommandé pour MDM | Citrix ADC standard pour la configuration de l’assistant XenMobile avec pont SSL si XenMobile est dans la DMZ. Ou déchargement SSL si nécessaire pour répondre aux normes de sécurité lorsque le serveur XenMobile est dans le réseau interne. | Déchargement SSL avec chiffrement de bout en bout |
Notes :
- L’exposition du serveur XenMobile à Internet via NAT ou des proxys et équilibreurs de charge tiers existants peut être une option pour le MDM. Cependant, cette configuration exige que le trafic SSL se termine sur le serveur XenMobile, ce qui présente un risque de sécurité potentiel.
- Pour les environnements à haute sécurité, Citrix ADC avec la configuration XenMobile par défaut répond généralement ou dépasse les exigences de sécurité.
- Pour les environnements MDM ayant les besoins de sécurité les plus élevés, la terminaison SSL au niveau du Citrix ADC permet l’inspection du trafic au périmètre et maintient le chiffrement SSL de bout en bout.
- Options pour définir les chiffrements SSL/TLS.
- Le matériel Citrix ADC SSL FIPS est également disponible.
- Pour plus d’informations, consultez Intégration avec Citrix Gateway et Citrix ADC.
Considérations de sécurité relatives à l’inscription
Le tableau suivant spécifie les recommandations Citrix ADC et Citrix Gateway pour chaque niveau de sécurité.
| Sécurité élevée | Sécurité supérieure | Sécurité maximale |
| Appartenance au groupe Active Directory uniquement. Groupe de mise à disposition Tous les utilisateurs désactivé. | Mode de sécurité d’inscription par invitation uniquement. Appartenance au groupe Active Directory uniquement. Groupe de mise à disposition Tous les utilisateurs désactivé | Mode de sécurité d’inscription lié à l’ID de l’appareil. Appartenance au groupe Active Directory uniquement. Groupe de mise à disposition Tous les utilisateurs désactivé |
Notes :
- Citrix recommande généralement de restreindre l’inscription aux utilisateurs des groupes Active Directory prédéfinis uniquement. Cette configuration nécessite la désactivation du groupe de mise à disposition Tous les utilisateurs intégré.
- Vous pouvez utiliser des invitations d’inscription pour restreindre l’inscription aux utilisateurs disposant d’une invitation. Les invitations d’inscription ne sont pas disponibles pour les appareils Windows.
- Vous pouvez utiliser des invitations d’inscription par code PIN à usage unique (OTP) comme solution d’authentification à deux facteurs et pour contrôler le nombre d’appareils qu’un utilisateur peut inscrire. Les invitations OTP ne sont pas disponibles pour les appareils Windows.
Considérations de sécurité relatives au code d’accès de l’appareil
Le tableau suivant spécifie les recommandations de code d’accès de l’appareil pour chaque niveau de sécurité.
| Sécurité élevée | Sécurité supérieure | Sécurité maximale |
| Recommandé. Une sécurité élevée est requise pour le chiffrement au niveau de l’appareil. Appliqué à l’aide du MDM. Vous pouvez définir une sécurité élevée comme requise pour MAM uniquement en utilisant la stratégie MDX, Comportement de l’appareil non conforme. | Appliqué à l’aide du MDM, d’une stratégie MDX ou des deux. | Appliqué à l’aide du MDM et de la stratégie MDX. Stratégie de code d’accès complexe MDM. |
Notes :
- Citrix recommande l’utilisation d’un code d’accès pour l’appareil.
- Vous pouvez appliquer un code d’accès pour l’appareil via une stratégie MDM.
- Vous pouvez utiliser une stratégie MDX pour faire du code d’accès de l’appareil une exigence pour l’utilisation des applications gérées. Par exemple, pour les cas d’utilisation BYOD.
- Citrix recommande de combiner les options de stratégie MDM et MDX pour une sécurité accrue dans les environnements MDM+MAM.
- Pour les environnements ayant les exigences de sécurité les plus élevées, vous pouvez configurer des stratégies de code d’accès complexes et les appliquer avec le MDM. Vous pouvez configurer des actions automatiques pour notifier les administrateurs ou effectuer des effacements sélectifs/complets de l’appareil lorsqu’un appareil ne respecte pas une stratégie de code d’accès.